本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 1：準備您自我管理的 AD 域
<a name="ms_ad_tutorial_setup_trust_prepare_onprem"></a>

首先，您必須在自我管理 (內部部署) 域上完成幾個必要步驟。

## 設定自我管理防火牆
<a name="tutorial_setup_trust_connect_vpc"></a>

您必須設定自我管理防火牆，以便將下列連接埠開放給包含 AWS Managed Microsoft AD 之 CIDRs。在本教學課程中，我們在下列連接埠上允許來自 10.0.0.0/16 ( AWS Managed Microsoft AD VPC 的 CIDR 區塊） 的傳入和傳出流量：

 
+ TCP/UDP 53 - DNS 
+ TCP/UDP 88 - Kerberos 身分驗證
+ TCP/UDP 389 - 輕量型目錄存取通訊協定 (LDAP)
+ TCP 445 - 伺服器訊息區塊 (SMB)
+ TCP 9389 - Active Directory Web Services (ADWS) (*選用* - 如果您想要使用 NetBIOS 名稱而非完整網域名稱，搭配 Amazon WorkDocs 或 Amazon Quick 等 AWS 應用程式進行身分驗證，則需要開啟此連接埠。)

**注意**  
不再支援 SMBv1。  
您至少需要這些連接埠，才可將 VPC 連線到自我管理目錄。您特定的組態可能需要開啟其他連接埠。

## 確定已啟用 Kerberos 預先驗證
<a name="tutorial_setup_trust_enable_kerberos"></a>

這兩個目錄中的使用者帳戶必須已啟用 Kerberos 預先驗證。這是預設值，但請檢查隨機使用者的屬性以確定沒有任何變更。

**檢視使用者的 Kerberos 設定**

1. 在自我管理的域控制站上，開啟「伺服器管理員」。

1. 在 **Tools** (工具) 選單上，選擇 **Active Directory Users and Computers** (Active Directory 使用者和電腦)。

1. 選擇 **Users (使用者)** 資料夾，開啟內容功能表 (按一下滑鼠右鍵)。選擇適當窗格中所列的任何隨機使用者帳戶。選擇 **Properties (屬性)**。

1. 選擇 **Account** (帳戶) 標籤。在**帳戶選項**清單中，向下捲動並確定 **未**核取*不需要 Kerberos 預先驗證*。  
![\[具有帳戶選項的 Corp User Properties 對話方塊不需要反白顯示 Kerberos 預先驗證。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/kerberos_enabled.png)

## 為您的自我管理域設定 DNS 條件式轉寄站
<a name="tutorial_setup_trust_onprem_forwarder"></a>

您必須在每個網域上設定 DNS 條件式轉寄站。在自我管理網域上執行此操作之前，您會先取得一些 Managed Microsoft AD AWS 的相關資訊。

**在您的自我管理域上設定條件式轉寄站**

1. 登入 AWS 管理主控台 並開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。

1. 在導覽窗格中，選取 **Directories** (目錄)。

1. 選擇 AWS Managed Microsoft AD 的目錄 ID。

1. 在 **Details** (詳細資訊) 頁面，記錄目錄中的 **Directory name** (目錄名稱) 以及 **DNS address** (DNS 地址) 的數值。

1. 現在，返回自我管理域控制站。開啟伺服器管理員。

1. 在**工具**選單上，選擇 **DNS**。

1. 在主控台樹狀目錄中，展開您要設定信任之網域的 DNS 伺服器。我們的伺服器是 WIN-5V70CN7VJ0.corp.example.com。

1. 在主控台樹狀目錄中，選擇**條件式轉寄站**。

1. 在**動作**選單上，選擇**新增條件式轉寄站**。

1. 在 **DNS 網域**中，輸入您先前記下的 AWS Managed Microsoft AD 的完整網域名稱 (FQDN)。在此範例中，FQDN 是 MyManagedAD.example.com。

1. 選擇**主要伺服器的 IP 地址**，然後輸入您稍早記下的 AWS Managed Microsoft AD 目錄的 DNS 地址。在此範例中為 10.0.10.246、10.0.20.121

   輸入 DNS 地址之後，您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。  
![\[新的條件式轉寄站對話方塊，反白顯示 DNS 伺服器的 IP 地址。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)

1. 選取**在 Active Directory 中儲存此條件式轉寄站，並複寫如下**。

1. 選取**這個網域中的所有 DNS 伺服器**，然後選擇**確定**。

**後續步驟**

[步驟 2：準備您的 AWS Managed Microsoft AD](ms_ad_tutorial_setup_trust_prepare_mad.md)