

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 2：建立信任
<a name="microsoftadtruststep2"></a>

在本節中，您會建立兩個不同的樹系信任。一個信任是從 EC2 執行個體上的 Active Directory 網域建立，另一個信任則從 中的 AWS Managed Microsoft AD 建立 AWS。

![corp.example.com 與 example.local 之間的雙向信任](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)


**建立從 EC2 網域到 AWS Managed Microsoft AD 的信任**

1. 登入 **example.local**。

1. 開啟**伺服器管理員**，然後在主控台樹狀目錄中選擇 **DNS**。記下所列出的伺服器 IPv4 位址。在下一個程序中，當您建立從 **corp.example.com** 到 **example.local** 目錄的條件式轉寄站時會需要用到。

1. 在**工具**選單中，選擇 **Active Directory 網域及信任**。

1. 在主控台樹狀目錄中，在 **example.local** 上按一下滑鼠右鍵，然後選擇**內容**。

1. 在**信任**標籤上，選擇**新增信任**，然後選擇**下一步**。

1. 在**信任名稱**頁面上，輸入 **corp.example.com**，然後選擇 **下一步**。

1. 在**信任類型**頁面上，選擇**樹系信任**，然後選擇**下一步**。
**注意**  
AWS Managed Microsoft AD 也支援外部信任。但在此教學課程中，您將建立一個雙向樹系信任。

1. 在**信任方向**頁面上，選擇**雙向**，然後選擇**下一步**。
**注意**  
如果您稍後決定改用單向信任來嘗試此操作，請確定信任方向已正確設定 (信任網域上的傳出、信任網域上的傳入)。如需一般資訊，請參閱 Microsoft 網站上的 [Understanding trust direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) 一文。

1. 在**信任方**頁面上，選擇**只建立於這個網域**，然後選擇**下一步**。

1. 在**連出信任驗證等級**頁面上，選擇 **Forest-wide authentication** (驗證整個樹系)，然後選擇**下一步**。
**注意**  
雖然選項中有 **Selective authentication (選擇性身分驗證)**，但為了簡化本教學課程，我們建議您不要在此處啟用。設定時，只有受信任網域或樹系中已明確授與位於信任網域或樹系中的電腦物件 (資源電腦) 身分驗證許可的使用者，才能透過外部或樹系信任進行存取。如需詳細資訊，請參閱 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)) 一文。

1. 在**信任密碼**頁面上，輸入兩次信任密碼，然後選擇**下一步**。您將會在下一個程序中使用此相同的密碼。

1. 在**信任選取完成**頁面上，檢閱結果，然後選擇**下一步**。

1. 在**信任建立完成**頁面上，檢閱結果，然後選擇**下一步**。

1. 在**確認連出信任**頁面上，選擇**否，不要確認連出信任**。然後選擇**下一步**

1. 在**確認連入信任**頁面上，選擇**否，不要確認連入信任**。然後選擇**下一步**

1. 在**完成新增信任精靈**頁面上，選擇**完成**。

**注意**  
信任關係是 AWS Managed Microsoft AD 的全域功能。如果您使用 [設定 AWS Managed Microsoft AD 的多區域複寫](ms_ad_configure_multi_region_replication.md)，則必須在 [主要區域](multi-region-global-primary-additional.md#multi-region-primary) 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊，請參閱[全域與區域功能](multi-region-global-region-features.md)。

**從 AWS Managed Microsoft AD 建立對 EC2 網域的信任**

1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。

1. 選擇 **corp.example.com** 目錄。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：
   + 如果**多區域複寫**下顯示多個區域，請選取主要區域，然後選擇**聯網和安全**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
   + 如果**多區域複寫**下沒有顯示任何區域，請選擇**聯網和安全**索引標籤。

1. 在 **Trust relationships (信任關係)** 區段，選擇 **Actions (動作)**，然後選取 **Add trust relationship (新增信任關係)**。

1. 在 **Add a trust relationship** (新增信任關係) 對話方塊中，執行下列動作：
   + 在 **Trust type (信任類型)** 下，選取 **Forest trust (樹系信任)**。
**注意**  
請確定您在此處選擇的**信任類型**與先前程序中設定的相同信任類型相符 （建立從 EC2 網域到 AWS Managed Microsoft AD 的信任）。
   + 針對 **Existing or new remote domain name (現有或新的遠端網域名稱)**，請輸入 **example.local**。
   + 針對 **Trust password** (信任密碼)，輸入您在上一個程序中提供的相同密碼。
   + 在 **Trust direction (信任方向)**中，選取 **Two-way (雙向)**。
**注意**  
如果您稍後決定改用單向信任來嘗試此操作，請確定信任方向已正確設定 (信任網域上的傳出、信任網域上的傳入)。如需一般資訊，請參閱 Microsoft 網站上的 [Understanding trust direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) 一文。
雖然選項中有 **Selective authentication (選擇性身分驗證)**，但為了簡化本教學課程，我們建議您不要在此處啟用。設定時，只有受信任網域或樹系中已明確授與位於信任網域或樹系中的電腦物件 (資源電腦) 身分驗證許可的使用者，才能透過外部或樹系信任進行存取。如需詳細資訊，請參閱 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)) 一文。
   + 針對 **Conditional forwarder (條件式轉寄站)**，請輸入 **example.local** 樹系中 DNS 伺服器的 IP 地址 (您在上一個程序中記下的值)。
**注意**  
條件式轉寄站是網路上的 DNS 伺服器，可根據查詢中的 DNS 網域名稱來轉寄 DNS 查詢。例如，您可以設定 DNS 伺服器，將其收到的名稱以 widgets.example.com 結尾的所有查詢轉寄至特定 DNS 伺服器的 IP 地址，或轉寄至多個 DNS 伺服器的 IP 地址。

1. 選擇**新增**。