本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 3：建立信任關係
<a name="ms_ad_tutorial_setup_trust_create"></a>

既然準備工作已完成，最後步驟便要建立信任。首先，在自我管理網域上建立信任，最後在 AWS Managed Microsoft AD 上建立信任。如果您在信任建立程序期間發生任何問題，請參閱「[信任建立狀態原因](ms_ad_troubleshooting_trusts.md)」以取得協助。

## 在您的自我管理 Active Directory 設定信任
<a name="tutorial_setup_trust_onprem_trust"></a>

在此教學課程中，您會設定雙向樹系信任。但是如果您建立單向樹系信任，請注意您每個網域的信任方向都必須互相配合。例如，如果您在自我管理網域上建立單向傳出信任，則需要在 AWS Managed Microsoft AD 上建立單向傳入信任。

**注意**  
AWS Managed Microsoft AD 也支援外部信任。但在此教學課程中，您將建立一個雙向樹系信任。

**在自我管理 Active Directory 中設定信任**

1. 開啟 Server Manager (伺服器管理員)，然後在 **Tools** (工具) 選單上，選擇 **Active Directory Domains and Trusts** (Active Directory 網域和信任)。

1. 開啟您網域的內容 (按一下滑鼠右鍵) 選單，然後選擇 **Properties** (屬性)。

1. 選擇 **Trusts** (信任) 標籤，再選擇 **New trust** (新增信任)。輸入 AWS Managed Microsoft AD 的名稱，然後選擇**下一步**。

1. 選擇 **Forest trust** (森林信任)。選擇**下一步**。

1. 選擇 **Two-way** (雙向)。選擇**下一步**。

1. 選擇 **This domain only** (僅限此網域)。選擇**下一步**。

1. 選擇 **Forest-wide authentication** (全森林身分驗證)。選擇**下一步**。

1. 輸入 **Trust password** (信任密碼)。請務必記住此密碼，因為在設定 AWS Managed Microsoft AD 的信任時需要此密碼。

1. 在下一個對話方塊中，確認您的設定，然後選擇 **Next** (下一步)。確認信任已成功建立，並再次選擇 **Next** (下一步)。

1. 選擇 **No, do not confirm the outgoing trust** (否，不要確認傳出信任)。選擇**下一步**。

1. 選擇 **No, do not confirm the incoming trust** (否，不要確認傳入信任)。選擇**下一步**。

## 在 AWS Managed Microsoft AD 目錄中設定信任
<a name="tutorial_setup_trust_mad_trust"></a>

最後，您會設定與 AWS Managed Microsoft AD 目錄的樹系信任關係。由於您在自我管理網域上建立了雙向樹系信任，因此您也可以使用 AWS Managed Microsoft AD 目錄建立雙向信任。

**注意**  
信任關係是 AWS Managed Microsoft AD 的全域功能。如果您使用 [設定 AWS Managed Microsoft AD 的多區域複寫](ms_ad_configure_multi_region_replication.md)，則必須在 [主要區域](multi-region-global-primary-additional.md#multi-region-primary) 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊，請參閱[全域與區域功能](multi-region-global-region-features.md)。

**在 AWS Managed Microsoft AD 目錄中設定信任**

1. 返回 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。

1. 在**目錄**頁面上，選擇您的 AWS Managed Microsoft AD ID。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：
   + 如果**多區域複寫**下顯示多個區域，請選取主要區域，然後選擇**聯網和安全**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
   + 如果**多區域複寫**下沒有顯示任何區域，請選擇**聯網和安全**索引標籤。

1. 在 **Trust relationships (信任關係)** 區段，選擇 **Actions (動作)**，然後選取 **Add trust relationship (新增信任關係)**。

1. 在**新增信任關係**頁面上，指定信任類型。在此例中，我們選擇**林信任**。鍵入自我管理域的 FQDN (在本教學中為 **corp.example.com**)。輸入您在建立自我管理域之信任時使用的同一組信任密碼。指定方向。在此例中，我們選擇**雙向**。

1. 在**條件式轉寄站**欄位中，輸入您自我管理 DNS 伺服器的 IP 地址。在此範例中，請輸入 172.16.10.153。

1. (選用) 選擇**新增另一個 IP 地址**，然後輸入您自我管理 DNS 伺服器的第二個 IP 地址。您最多總共可以指定四個 DNS 伺服器。

1. 選擇**新增**。

恭喜您。您現在在自我管理網域 (corp.example.com：//) 與 AWS Managed Microsoft AD (MyManagedAD.example.com). 這兩個網域之間只可設定一項關係。例如，如果您想要將信任方向變更為單向，您需要先刪除這項現有關係，再建立新的關係。

如需詳細資訊，包括驗證或刪除信任的相關說明，請參閱 [在 AWS Managed Microsoft AD 和自我管理 AD 之間建立信任關係](ms_ad_setup_trust.md)。