步驟 2：準備您的 AWS Managed Microsoft AD

現在，讓我們為您的託 AWS 管 Microsoft AD 做好信任關係做好準備。下列許多步驟幾乎都與您剛剛在自我管理域方面完成的步驟相同。不過，這次您正在使用 AWS 受管理的 Microsoft AD。

設定您的 VPC 子網路和安全群組

您必須允許從自我管理網路傳輸到包含受管理 Microsoft AD 的 VPC 人雲端的 AWS 流量。若要這麼做，您必須確定與用來部署 AWS 受管理 Microsoft AD 的子網路相關聯的 ACL，以及在網域控制站上設定的安全性群組規則，兩者都允許必要的流量來支援信任。

連接埠要求取決於您網域控制器所使用的 Windows Server 以及使用信任的服務或應用程式。在此教學課程中，您需開啟以下連接埠：

傳入

不再支援 SMBv1。

傳出

您至少需要這些連接埠，才可連線 VPC 和自我管理目錄。您特定的組態可能需要開啟其他連接埠。

返回 AWS Directory Service 主控台。在目錄清單中，記下您 AWS 受管理的 Microsoft AD 目錄的目錄識別碼。
在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。
在導覽窗格中，選擇安全群組。
使用搜尋方塊來搜尋您 AWS 受管理的 Microsoft AD 目錄識別碼。在搜尋結果中，選取包含說明的「安全性群組」AWS created security group for yourdirectoryID directory controllers。
前往該安全群組的 Outbound Rules (傳出規則) 標籤。選擇編輯規則，然後選擇新增規則。針對新的規則，輸入下列值：
- Type (類型)：所有流量
- Protocol (協定)：全部
- Destination (目標) 能決定可傳出您網域控制器的流量及該流量傳入的目標。請指定單一 IP 地址，或是以 CIDR 表示法表示的 IP 地址範圍 (例如 203.0.113.5/32)。您也可以指定位在相同區域的另一個安全群組的名稱或 ID。如需詳細資訊，請參閱瞭解目錄的 AWS 安全性群組組態和使用方式。
選取儲存規則。

現在，您想要確認 AWS 管理 Microsoft AD 中的使用者也已啟用 Kerberos 預先驗證。這與您在自我管理目錄方面完成的程序相同。這是預設值，但請檢查以確定沒有任何變更。

使用網域或已委派權限來管理網域中使用者的帳戶，登入身管理員帳戶的權限為 AWS 受管理 Microsoft AD 目錄成員的執行個體。
如果尚未安裝，請安裝 Active Directory 使用者和電腦工具及 DNS 工具。若要了解如何安裝這些工具，請參閱安裝適用於 AWS 受管理 Microsoft AD 的活動目錄管理工具。
開啟伺服器管理員。在 Tools (工具) 選單上，選擇 Active Directory Users and Computers (Active Directory 使用者和電腦)。
選擇您網域中的 Users (使用者) 資料夾。請注意，這是在您的 NetBIOS 名稱下的 Users (使用者) 資料夾，而不是在完全合格的網域名稱 (FQDN) 下的 Users (使用者) 資料夾。
使用者清單中，請按一下滑鼠右鍵，選擇 Properties (屬性)。
選擇 Account (帳戶) 標籤。在 Account options (帳戶選項) 清單中，確認 Do not require Kerberos preauthentication (不需要 Kerberos 預先驗證) 未核取。

後續步驟

步驟 3：建立信任關係

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

步驟 1：準備您自我管理的 AD 域

步驟 3：建立信任關係