在 AWS Managed Microsoft AD 與自我管理 AD 之間建立信任關係 - AWS Directory Service
必要條件建立信任關係

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS Managed Microsoft AD 與自我管理 AD 之間建立信任關係

您可以在適用於 Microsoft Active Directory 的 AWS Directory Service 與自我管理 (內部部署) 目錄之間,以及在 AWS 雲端的多個 AWS Managed Microsoft AD 目錄之間設定單向和雙向外部和森林信任關係。 AWS 受管 Microsoft AD 支援所有三個信任關係方向:傳入、傳出和雙向 (雙向)。

如需信任關係的詳細資訊,請參閱有關使用 AWS Managed Microsoft AD 信任的所有須知

注意

設定信任關係時,您必須確保自我管理的目錄與 保持相容 AWS Directory Service。如需您責任的詳細資訊,請參閱我們的「共同的責任模型」。

AWS Managed Microsoft AD 同時支援外部和樹系信任。如需帶您演練如何建立樹系信任的示範案例,請參閱教學:在 AWS Managed Microsoft AD 和自我管理的 Active Directory 域之間建立信任關係

Amazon Chime、Amazon Connect 、Amazon QuickSight、 AWS IAM Identity Center、Amazon 、Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces和 等 AWS 企業應用程式需要雙向信任 AWS Management Console。 AWS 受管 Microsoft AD 必須能夠查詢自我管理中的使用者和群組 Active Directory.

您可以啟用選擇性身分驗證,因此只有 AWS 應用程式特定的服務帳戶可以查詢自我管理的 Active Directory。 如需詳細資訊,請參閱增強 AWS 應用程式與 AWS Managed Microsoft AD 整合的安全性

Amazon EC2、Amazon RDS和 Amazon FSx將使用單向或雙向信任。

必要條件

建立信任只需要幾個步驟,但您必須先完成幾個必要步驟,才能設定信任。

注意

AWS Managed Microsoft AD 不支援對單一標籤網域 的信任。

連線至 VPC

如果您要建立與自我管理目錄的信任關係,您必須先將自我管理的網路連線到VPC包含 AWS Managed Microsoft AD 的 Amazon。自我管理和 AWS 受管 Microsoft AD 網路的防火牆必須開啟 中列出的網路連接埠 Windows Server 2008 及更新版本 Microsoft 文件中)。

若要使用您的 NetBIOS 名稱,而不是使用完整網域名稱來驗證 AWS 您的應用程式,例如 Amazon WorkDocs 或 Amazon QuickSight,您必須允許連接埠 9389。如需 Active Directory 連接埠和通訊協定的詳細資訊,請參閱 的服務概觀和網路連接埠需求 Windows 在 中 Microsoft 文件中)。

您至少需要這些連接埠,才可連線到您的目錄。您特定的組態可能需要開啟其他連接埠。

設定您的 VPC

包含 AWS Managed Microsoft AD VPC的 必須具有適當的傳出和傳入規則。

若要設定VPC傳出規則

  1. AWS Directory Service 主控台 目錄詳細資訊頁面上,記下您的 AWS Managed Microsoft AD 目錄 ID。

  2. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  3. 選擇 Security Groups (安全群組)。

  4. 搜尋 AWS Managed Microsoft AD 目錄 ID。在搜尋結果中,選取描述為「為目錄 ID 目錄控制器AWS 建立安全群組」的項目。

    注意

    選取的安全群組是您一開始建立目錄時自動建立的安全群組。

  5. 前往該安全群組的 Outbound Rules (輸出規則) 標籤。依序選取 Edit (編輯) 和 Add another rule (新增其他規則)。針對新的規則,輸入下列值:

    • Type (類型):所有流量

    • Protocol (協定):全部

    • 目標能決定可傳出您域控制站的流量及該流量可傳入您自我管理網路的目標。以CIDR符號 (例如 203.0.113.5/32) 指定單一 IP 地址或 IP 地址範圍。您也可以指定位在相同區域的另一個安全群組的名稱或 ID。如需詳細資訊,請參閱了解目錄 AWS 的安全群組組態和使用

  6. 選取 Save (儲存)。

啟用 Kerberos 預先身分驗證

您的使用者帳戶必須啟用 Kerberos 預先驗證。如需此設定的詳細資訊,請參閱 Microsoft 上的預先驗證 TechNet。

在自我管理網域上設定DNS條件式轉送器

您必須在自我管理網域上設定DNS條件式轉送器。如需條件式轉送器的詳細資訊,請參閱為 Microsoft 上的網域名稱指派條件式轉送器。 TechNet

若要執行下列步驟,您必須具備自我管理域的下列 Windows Server 工具存取權:

  • AD DS 和 AD LDS工具

  • DNS

在您的自我管理域上設定條件式轉寄站

  1. 首先,您必須取得一些有關 AWS Managed Microsoft AD 的資訊。登入 AWS Management Console 並開啟 AWS Directory Service 主控台

  2. 在導覽窗格中,選取 Directories (目錄)。

  3. 選擇 AWS Managed Microsoft AD 的目錄 ID。

  4. 請記下完整網域名稱 (FQDN) 和目錄DNS的地址。

  5. 現在,返回自我管理域控制站。開啟伺服器管理員。

  6. 工具功能表中,選擇 DNS

  7. 在主控台樹狀圖中,展開您要設定信任之網域的DNS伺服器。

  8. 在主控台樹狀目錄中,選擇條件式轉寄站

  9. 動作選單上,選擇新增條件式轉寄站

  10. DNS網域 中,輸入您先前記下的 AWS Managed Microsoft AD 的完整網域名稱 (FQDN)。

  11. 選擇主要伺服器的 IP 地址,然後輸入您先前記下的 AWS Managed Microsoft AD 目錄DNS地址。

    輸入DNS地址後,您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。

  12. 選取將此條件式轉送器儲存在 Active Directory 中,並如下複寫:此網域中的所有DNS伺服器 。選擇確定

信任關係密碼

如果您想要建立與現有網域的信任關係,請使用 Windows Server 管理工具設定該網域上的信任關係。當您執行此作業時,請記下所使用的信任密碼。在 AWS Managed Microsoft AD 上設定信任關係時,您將需要使用此相同的密碼。如需詳細資訊,請參閱在 Microsoft 上管理信任 TechNet。

您現在可以在 AWS Managed Microsoft AD 上建立信任關係。

NetBIOS 和網域名稱

NetBIOS 和網域名稱必須是唯一的,且不能相同,才能建立信任關係。

建立、驗證或刪除信任關係

注意

信任關係是 AWS Managed Microsoft AD 的全域功能。如果您使用 設定 AWS Managed Microsoft AD 的多區域複寫,則必須在 主要區域 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊,請參閱全域與區域功能

建立與 AWS Managed Microsoft AD 的信任關係

  1. 開啟 AWS Directory Service 主控台

  2. 目錄頁面上,選擇您的 AWS Managed Microsoft AD ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選擇 Actions (動作),然後選取 Add trust relationship (新增信任關係)

  5. 新增信任關係頁面上,提供必要資訊,包括信任類型、信任網域的完整網域名稱 (FQDN)、信任密碼和信任方向。

  6. (選用) 如果您想要僅允許授權使用者存取 AWS Managed Microsoft AD 目錄中的資源,您可以選擇選擇性身分驗證核取方塊。如需選擇性身分驗證的一般資訊,請參閱 Microsoft 上 Trusts 的安全考量 TechNet。

  7. 對於條件式轉送器 ,輸入自我管理DNS伺服器的 IP 地址。如果您先前已建立條件式轉送器,則可以輸入自我管理網域FQDN的 ,而不是 DNS IP 地址。

  8. (選用) 選擇新增另一個 IP 地址,然後輸入其他自我管理DNS伺服器的 IP 地址。您可以為每個適用的DNS伺服器地址重複此步驟,總共四個地址。

  9. 選擇新增

  10. 如果自我管理網域的DNS伺服器或網路使用公有 (非RFC 1918) IP 地址空間,請前往 IP 路由區段,選擇動作 ,然後選擇新增路由 。使用CIDR格式輸入DNS伺服器或自我管理網路的 IP 地址區塊,例如 203.0.113.0/24。如果您的DNS伺服器和自我管理的網路都使用 RFC 1918 個 IP 地址空間,則不需要此步驟。

    注意

    使用公有 IP 地址空間時,請務必不要使用任何 AWS IP 地址範圍,因為這些範圍無法使用。

  11. (選用) 建議您在新增路由頁面時,也為此目錄的安全群組選取新增路由VPC。這將設定上述「設定您的」中詳述的安全群組VPC。這些安全規則會影響未公開的內部網路界面。如果這個選項無法使用,您會另外看到訊息,指出您已自訂安全群組。

您必須在這兩個網域上設定信任關係。這些關係必須是互補的。例如,如果您在一個網域上建立連出信任,則必須在另一個網域上建立連入信任。

如果您想要建立與現有網域的信任關係,請使用 Windows Server 管理工具設定該網域上的信任關係。

您可以在 AWS Managed Microsoft AD 和各種 Active Directory 網域之間建立多個信任。不過,每對一次只能存在一個信任關係。例如,如果您已有「連入方向」的單向信任,之後想要設定「連出方向」的另一個信任關係,您將需要刪除現有信任關係,再建立新的「雙向」信任。

驗證連出信任關係

  1. 開啟 AWS Directory Service 主控台

  2. 目錄頁面上,選擇您的 AWS Managed Microsoft AD ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選取您要驗證的信任,選擇 Actions (動作),然後選取 Verify trust relationship (驗證信任關係)

此程序只會驗證雙向信任的傳出方向。 AWS 不支援傳入信任的驗證。如需如何驗證與自我管理 Active Directory 之間信任的詳細資訊,請參閱在 Microsoft 上驗證信任 TechNet。

刪除現有的信任關係

  1. 開啟 AWS Directory Service 主控台

  2. 目錄頁面上,選擇您的 AWS Managed Microsoft AD ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選取您要刪除的信任,選擇 Actions (動作),然後選取 Delete trust relationship (刪除信任關係)

  5. 選擇 Delete (刪除)