本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Managed Microsoft AD 測試實驗室教學課程
本節提供一系列引導式教學課程,協助您在 中建立測試實驗室環境,您可以在 AWS 其中實驗 AWS Managed Microsoft AD。
**Topics**
+ [教學課程:在 中設定您的基礎 AWS Managed Microsoft AD 測試實驗室 AWS](ms_ad_tutorial_test_lab_base.md)
+ [教學課程:從 AWS Managed Microsoft AD 建立對 Amazon EC2 上自我管理 Active Directory 安裝的信任](ms_ad_tutorial_test_lab_trust.md)
# 教學課程:在 中設定您的基礎 AWS Managed Microsoft AD 測試實驗室 AWS
本教學課程說明如何設定您的 AWS 環境,以準備新的 AWS Managed Microsoft AD 安裝,該安裝使用執行 Windows Server 2019 的新 Amazon EC2 執行個體。然後,它會教導您使用典型的 Active Directory 管理工具,從 EC2 Windows 執行個體管理 AWS Managed Microsoft AD 環境。完成教學課程時,您將設定網路先決條件,並設定新的 AWS Managed Microsoft AD 樹系。
如下圖所示,您從本教學課程中建立的實驗室是實際了解 AWS Managed Microsoft AD 的基礎元件。您可以稍後新增選用教學,以取得更多實作體驗。此教學系列適合所有剛開始使用 AWS Managed Microsoft AD,並需要測試實驗室進行評估的人。此教學約需 1 小時方能完成。
![\[顯示教學課程步驟的圖表:1 個設定您的環境、2 個建立 AWS Managed Microsoft AD、3 個部署 Amazon EC2,以及 4 個測試實驗室。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)
**[步驟 1:設定 Managed AWS Microsoft AD Active Directory AWS 的環境](microsoftadbasestep1.md)**
完成先決條件任務後,您可以在 EC2 執行個體中建立和設定 Amazon VPC。
**[步驟 2:建立 AWS Managed Microsoft AD Active Directory](microsoftadbasestep2.md)**
在此步驟中,您 AWS 第一次在 中設定 AWS Managed Microsoft AD。
**[步驟 3:部署 Amazon EC2 執行個體以管理您的 AWS Managed Microsoft AD Active Directory](microsoftadbasestep3.md)**
在此步驟中,您會演練讓用戶端電腦連線到新的網域,並在 EC2 中設定新 Windows Server 系統所需的各種部署後任務。
**[步驟 4:確認基礎測試實驗室可運作](microsoftadbasestep4.md)**
最後,身為管理員,您會確認可從 EC2 中的 Windows Server 系統登入並連線到 AWS Managed Microsoft AD。一旦成功測試實驗室可運作,您可以繼續新增其他測試實驗室指南模組。
# 先決條件
如果您只打算使用此教學中的 UI 步驟來建立測試實驗室,則可以略過「必要條件」一節並前往「步驟 1」。不過,如果您打算使用 AWS CLI 命令或 AWS Tools for Windows PowerShell 模組來建立測試實驗室環境,您必須先設定下列項目:
+ **具有存取和私密存取金鑰的 IAM 使用者** – 如果您想要使用 AWS CLI 或 AWS Tools for Windows PowerShell 模組,則需要具有存取金鑰的 IAM 使用者。如果您沒有存取金鑰,請參閱[建立、修改和檢視存取金鑰 (AWS 管理主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
+ **AWS Command Line Interface (選用)** – 在 [Windows AWS CLI 下載並安裝](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html) 。安裝完成後,開啟命令提示字元或PowerShell視窗,然後輸入 `aws configure`。請注意,您需要存取金鑰和私密金鑰才能完成設定。請參閱第一個必要條件中的做法步驟。系統會提示您輸入下列資訊:
+ AWS 存取金鑰 ID 【無】: `AKIAIOSFODNN7EXAMPLE`
+ AWS 私密存取金鑰 【無】: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ 預設區域名稱 [無]:`us-west-2`
+ 預設輸出格式 [無]:`json`
+ **AWS Tools for Windows PowerShell** **(選用)** – 從 [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/) 下載並安裝最新版 AWS Tools for Windows PowerShell ,然後執行下列命令。請注意,您需要存取金鑰和私密金鑰才能完成設定。請參閱第一個必要條件中的做法步驟。
`Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`
# 步驟 1:設定 Managed AWS Microsoft AD Active Directory AWS 的環境
您必須先設定 Amazon EC2 金鑰對,以便加密所有登入資料,才能在 AWS 測試實驗室中建立 AWS Managed Microsoft AD。
## 建立金鑰對
如果您已有金鑰對,則可以略過此步驟。如需 Amazon EC2 金鑰對的詳細資訊,請參閱[建立金鑰對](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html)。
**建立一組金鑰對**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/):// 開啟 Amazon EC2 主控台。
1. 在導覽窗格的 **Network & Security** (網路與安全) 下,選擇 **Key Pairs** (金鑰對),然後選擇 **Create Key Pair** (建立金鑰對)。
1. 在 **Key pair name (金鑰對名稱)** 中,輸入 **AWS-DS-KP**。在 **Key pair file format (金鑰對檔案格式)** 中,選取 **pem**,然後選擇 **Create (建立)**。
1. 您的瀏覽器會自動下載私有金鑰檔案。檔案名稱是您在建立金鑰對時所指定的名稱,副檔名為 `.pem`。將私有金鑰檔案存放在安全的地方。
**重要**
這是您儲存私有金鑰檔案的唯一機會。當您每次解密執行個體密碼來啟動執行個體與對應的私有金鑰時,都需要提供您的金鑰對名稱。
## 建立、設定和對等兩個 Amazon VPCs
如下圖所示,完成此多步驟程序時,您將建立並設定兩個公有 VPC、每個 VPC 兩個公有子網路、每個 VPC 一個網際網路閘道,並在 VPC 之間設定一個 VPC 對等連線。為求簡單易用和成本考量,我們選擇使用公有 VPC 和子網路。對於生產工作負載,建議您使用私有 VPC。如需更多改善 VPC 安全的相關資訊,請參閱 [Security in Amazon Virtual Private Cloud (Amazon Virtual Private Cloud 的安全)](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)。
![\[具有子網路的 Amazon VPC 環境,以及用來建立 AWS Managed Microsoft AD Active Directory 的網際網路閘道。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
所有 AWS CLI 和 PowerShell 範例都使用來自下方的 VPC 資訊,並內建於 us-west-2 中。您可以選擇任何[支援的區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)來建立您的環境。如需一般資訊,請參閱 [What is Amazon VPC? (什麼是 Amazon VPC)?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。
**步驟 1:建立兩個 VPC**
在此步驟中,您需要使用下表中指定的參數在相同帳戶中建立兩個 VPCs。 AWS 受管 Microsoft AD 支援使用具有 [共用您的 AWS Managed Microsoft AD](ms_ad_directory_sharing.md)功能的個別帳戶。第一個 VPC 將用於 AWS Managed Microsoft AD。第二個 VPC 將用於稍後可在 [教學課程:從 AWS Managed Microsoft AD 建立對 Amazon EC2 上自我管理 Active Directory 安裝的信任](ms_ad_tutorial_test_lab_trust.md) 中使用的資源。
****
| Managed Active Directory VPC 資訊 | 內部部署 VPC 資訊 |
| --- | --- |
| 名稱標籤: AWS-DS-VPC01 IPv4 CIDR 區塊:10.0.0.0/16 IPv6 CIDR block (IPv6 CIDR 區塊): 無 IPv6 CIDR 區塊 租用:預設 | 名稱標籤: AWS-OnPrem-VPC01 IPv4 CIDR 區塊:10.100.0.0/16 IPv6 CIDR block (IPv6 CIDR 區塊): 無 IPv6 CIDR 區塊 租用:預設 |
如需詳細說明,請參閱 [Creating a VPC (建立 VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)。
**步驟 2:為每個 VPC 建立兩個子網路**
建立 VPC 後,您需要使用下表的指定參數,為每個 VPC 建立兩個子網路。對於這個測試實驗室,每個子網路都會是 /24。這將讓每個子網路發出多達 256 個地址。每個子網路都必須位於不同可用區域中。將每個子網路放在不同可用區域中的獨立子網路是 [建立 AWS Managed Microsoft AD 的先決條件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs) 的其中之一。
****
| AWS-DS-VPC01 子網路資訊: | AWS-OnPrem-VPC01 子網路資訊 |
| --- | --- |
| 名稱標籤: AWS-DS-VPC01-Subnet01 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 可用區域:us-west-2a IPv4 CIDR 區塊:10.0.0.0/24 | 名稱標籤: AWS-OnPrem-VPC01-Subnet01 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 可用區域:us-west-2a IPv4 CIDR 區塊:10.100.0.0/24 |
| 名稱標籤: AWS-DS-VPC01-Subnet02 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 可用區域:us-west-2b IPv4 CIDR 區塊:10.0.1.0/24 | 名稱標籤: AWS-OnPrem-VPC01-Subnet02 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 可用區域:us-west-2b IPv4 CIDR 區塊:10.100.1.0/24 |
如需詳細說明,請參閱 [Creating a subnet in your VPC (在 VPC 中建立子網路)](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)。
**步驟 3:建立網際網路閘道並連接到您的 VPC**
由於我們使用的是公有 VPC,因此您將需要使用下表中的指定參數來建立網際網路閘道並將其連接到您的 VPC。這可讓您連接和管理 EC2 執行個體。
****
| AWS-DS-VPC01 網際網路閘道資訊 | AWS-OnPrem-VPC01 網際網路閘道資訊 |
| --- | --- |
| 名稱標籤: AWS-DS-VPC01-IGW VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 | 名稱標籤: AWS-OnPrem-VPC01-IGW VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
如需詳細說明,請參閱 [Internet gateways (網際網路閘道)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)。
**步驟 4:在 AWS-DS-VPC01 和 AWS-OnPrem-VPC01 之間設定 VPC 對等互連**
由於您先前已建立兩個 VPC,因此您將需要使用下表中的指定參數,使用 VPC 對等連線將它們連線在一起。雖然有許多方法可以連接您的 VPCs,但本教學課程將使用 VPC 對等互連。 AWS 受管 Microsoft AD 支援許多解決方案來連接您的 VPCs,其中一些解決方案包括 [VPC 對等](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)互連、[Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 和 [VPN](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)。
****
| |
| --- |
| 對等連線名稱標籤: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer VPC (請求者):vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 帳戶:我的帳戶 區域:此區域 VPC (接受者):vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
如需有關如何使用帳戶中的另一個 VPC 建立 VPC 對等連線的說明,請參閱 [Creating a VPC peering connection with another VPC in your account (使用帳戶中的另一個 VPC 建立 VPC 對等連線)](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local)。
**步驟 5:將兩個路由新增至每個 VPC 的主要路由表**
為了讓在先前步驟中建立的網際網路閘道和 VPC 對等連線正常運作,您必須使用下表中的指定參數來更新兩個 VPC 的主路由表。您將新增兩個路由:將路由到路由表未明確知道的所有目的地的 0.0.0.0/0,以及將透過上面建立的 VPC 對等連接路由到每個 VPC 的 10.0.0.0/16 或 10.100.0.0/16。
您可以篩選 VPC 名稱標籤 (AWS-DS-VPC01 或 AWS-OnPrem-VPC01),輕鬆找到每個 VPC 的正確路由表。
****
| AWS-DS-VPC01 路由 1 資訊 | AWS-DS-VPC01 路由 2 資訊 | AWS-OnPrem-VPC01 路由 1 資訊 | AWS-OnPrem-VPC01 路由 2 資訊 |
| --- | --- | --- | --- |
| 目的地:0.0.0.0/0 目標:igw-xxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW | 目的地:10.100.0.0/16 目標:pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer | 目的地:0.0.0.0/0 目標:igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01 | 目的地:10.0.0.0/16 目標:pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer |
如需如何將路由新增至 VPC 路由表的說明,請參閱 [Adding and removing routes from a route table (從路由表新增和移除路由)](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)。
## 建立 Amazon EC2 執行個體的安全群組
根據預設, AWS 受管 Microsoft AD 會建立安全群組來管理其網域控制站之間的流量。在本節中,您將需要建立 2 個安全群組 (每個 VPC 一個),這兩組將用來使用下表中的指定參數,管理 EC2 執行個體 VPC 內的流量。您也會新增一項規則,允許從任何地方傳入的 RDP (3389),以及從本機 VPC 傳入的所有流量類型。如需詳細資訊,請參閱 [Windows 執行個體的 Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html)。
****
| AWS-DS-VPC01 安全群組資訊: |
| --- |
| 安全群組名稱: AWS DS Test Lab 安全群組 描述: AWS DS Test Lab 安全群組 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 |
**適用於 AWS-DS-VPC01 的安全群組傳入規則**
****
| Type | 通訊協定 | 連接埠範圍 | 來源 | 流量類型 |
| --- | --- | --- | --- | --- |
| 自訂 TCP 規則 | TCP | 3389 | 我的 IP | 遠端桌面 |
| 所有流量 | 全部 | 全部 | 10.0.0.0/16 | 所有本機 VPC 流量 |
**適用於 AWS-DS-VPC01 的安全群組傳出規則**
****
| Type | 通訊協定 | 連接埠範圍 | 目標 | 流量類型 |
| --- | --- | --- | --- | --- |
| 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 所有流量 |
****
| AWS-OnPrem-VPC01 安全群組資訊: |
| --- |
| 安全群組名稱: AWS OnPrem Test Lab 安全群組。 Description: AWS OnPrem Test Lab 安全群組。 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
**安全群組輸入規則,適用於 AWS-OnPrem-VPC01**
****
| Type | 通訊協定 | 連接埠範圍 | 來源 | 流量類型 |
| --- | --- | --- | --- | --- |
| 自訂 TCP 規則 | TCP | 3389 | 我的 IP | 遠端桌面 |
| 自訂 TCP 規則 | TCP | 53 | 10.0.0.0/16 | DNS |
| 自訂 TCP 規則 | TCP | 88 | 10.0.0.0/16 | Kerberos |
| 自訂 TCP 規則 | TCP | 389 | 10.0.0.0/16 | LDAP |
| 自訂 TCP 規則 | TCP | 464 | 10.0.0.0/16 | Kerberos 更改/設定密碼 |
| 自訂 TCP 規則 | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
| 自訂 TCP 規則 | TCP | 135 | 10.0.0.0/16 | 複寫 |
| 自訂 TCP 規則 | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| 自訂 TCP 規則 | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| 自訂 TCP 規則 | TCP | 3268-3269 | 10.0.0.0/16 | LDAP GC 和 LDAP GC SSL |
| 自訂 UDP 規則 | UDP | 53 | 10.0.0.0/16 | DNS |
| 自訂 UDP 規則 | UDP | 88 | 10.0.0.0/16 | Kerberos |
| 自訂 UDP 規則 | UDP | 123 | 10.0.0.0/16 | Windows 時間 |
| 自訂 UDP 規則 | UDP | 389 | 10.0.0.0/16 | LDAP |
| 自訂 UDP 規則 | UDP | 464 | 10.0.0.0/16 | Kerberos 更改/設定密碼 |
| 所有流量 | 全部 | 全部 | 10.100.0.0/16 | 所有本機 VPC 流量 |
**安全群組傳出規則,適用於 AWS-OnPrem-VPC01**
****
| Type | 通訊協定 | 連接埠範圍 | 目標 | 流量類型 |
| --- | --- | --- | --- | --- |
| 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 所有流量 |
如需如何建立規則並將規則新增至安全群組的詳細說明,請參閱 [Working with security groups (使用安全群組)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
# 步驟 2:建立 AWS Managed Microsoft AD Active Directory
您可以使用三種不同的方法來建立目錄。您可以使用 程序 AWS 管理主控台 (本教學課程建議),也可以使用 AWS CLI 或 AWS Tools for Windows PowerShell 程序來建立目錄。
**方法 1:建立 AWS Managed Microsoft AD 目錄 (AWS 管理主控台)**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)中,選擇**目錄**,然後選擇**設定目錄**。
1. 在**選取目錄類型**頁面上,選擇 **AWS Managed Microsoft AD**,然後選擇**下一步**。
1. 在 **Enter directory information (輸入目錄資訊)** 頁面上,提供下列資訊,然後選擇 **Next (下一步)**。
+ 針對**版本**,選取**標準版**或**企業版**。如需版本的詳細資訊,請參閱 [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)。
+ 在 **Directory DNS name (目錄 DNS 名稱)** 中,輸入 **corp.example.com**。
+ 針對 **Directory NetBIOS name (目錄 NetBIOS 名稱)**,輸入 **corp**。
+ 針對**Directory description (目錄描述)**,輸入 **AWS DS Managed**。
+ 針對 **Admin password** (管理員密碼),輸入此帳戶要使用的密碼,然後在 **Confirm password** (確認密碼) 中再輸入一次密碼。在建立目錄的過程中會自動建立此 **Admin** (管理員) 帳戶。密碼不得包含 *admin* 一字。目錄管理員密碼區分大小寫,長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類:
+ 小寫字母 (a-z)
+ 大寫字母 (A-Z)
+ 數字 (0-9)
+ 非英數字元 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
1. 在 **Choose VPC and subnets (選擇 VPC 和子網路)** 頁面上,提供下列資訊,然後選擇 **Next (下一步)**。
+ 對於 **VPC**,選擇開頭為 **AWS-DS-VPC01** 且結尾為 **(10.0.0.0/16)** 的選項。
+ 在 **Subnets (子網路)**,選擇 **10.0.0.0/24** 和 **10.0.1.0/24** 公有子網路。
1. 在 **Review & create (檢閱和建立)** 頁面上檢閱目錄資訊,並進行必要的變更。若資訊無誤,請選擇 **Create directory (建立目錄)**。建立目錄需要 20 到 40 分鐘。建立後,**Status** (狀態) 值會變更為 **Active** (作用中)。
**方法 2:建立 AWS Managed Microsoft AD (PowerShell) (選用)**
1. 打開 PowerShell。
1. 鍵入下列命令。請務必使用上述 AWS 管理主控台 程序的步驟 4 中提供的值。
```
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
```
**方法 3:建立 AWS Managed Microsoft AD (AWS CLI) (選用)**
1. 開啟 AWS CLI。
1. 鍵入下列命令。請務必使用上述 AWS 管理主控台 程序的步驟 4 中提供的值。
```
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
```
# 步驟 3:部署 Amazon EC2 執行個體以管理您的 AWS Managed Microsoft AD Active Directory
在此實驗室中,我們使用具有公有 IP 地址的 Amazon EC2 執行個體,以便從任何地方輕鬆存取管理執行個體。在生產設定中,您可以使用私有 VPC 中只能透過 VPN 或 Direct Connect 連結存取的執行個體。具有公有 IP 地址的執行個體則沒有任何需求。
在本節中,您會使用新 EC2 執行個體上的 Windows Server,來演練讓用戶端電腦連線到您網域所需的各種部署後任務。在下一個步驟中,您會使用 Windows Server 來確認實驗室可運作。
## 選用:為您的目錄在 AWS-DS-VPC01 中建立 DHCP 選項集
在此選用程序中,您會設定 DHCP 選項範圍,讓 VPC 中的 EC2 執行個體自動使用 AWS Managed Microsoft AD 進行 DNS 解析。如需詳細資訊,請參閱 [DHCP 選項集](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)。
**為目錄建立 DHCP 選項集**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **DHCP Options Sets (DHCP 選項集)**,然後選擇 **Create DHCP options set (建立 DHCP 選項集)**。
1. 在 **Create DHCP options set (建立 DHCP 選項集)** 頁面上,提供您目錄的下列值:
+ 在 **Name (名稱)** 輸入 **AWS DS DHCP**。
+ 在 **Domain name (網域名稱)** 中輸入 **corp.example.com**。
+ 針對 **Domain name servers (網域名稱伺服器)**,輸入您 AWS 所提供目錄之 DNS 伺服器的 IP 地址。
**注意**
若要尋找這些地址,請前往 Directory Service **目錄**頁面,然後選擇適用的目錄 ID。在**詳細資訊**頁面上,識別並使用 **DNS 地址**中顯示的 IP。
若要尋找這些地址,您也可以前往 Directory Service ** 目錄** 頁面,然後選擇相應的目錄 ID。然後,選擇**擴展和共享**。在**域控制站**下,識別並使用 **IP 地址**中顯示的 IP。
+ 將 **NTP servers** (NTP 伺服器)、**NetBIOS name servers** (NetBIOS 名稱伺服器) 和 **NetBIOS node type** (NetBIOS 節點類型) 中的設定留白。
1. 選擇**建立 DHCP 選項集**,然後選擇**關閉**。新的 DHCP 選項集會隨即出現在您的 DHCP 選項清單中。
1. 記下新 DHCP 選項集的 ID (**dopt-*xxxxxxxx***)。在此程序最後要建立新選項集與 VPC 的關聯時會用到。
**注意**
無縫網域加入,無須設定 DHCP 選項集。
1. 在導覽窗格中,選擇 **Your VPCs** (您的 VPC)。
1. 在 VPC 清單中,選取 **AWS DS VPC** 並選擇**動作**,然後選擇**編輯 DHCP 選項集**。
1. 在 **Edit DHCP options set(編輯 DHCP 選項集)** 頁面上,選取您在步驟 5 中記錄的選項集,然後選擇 **Save (儲存)**。
## 建立角色以將 Windows 執行個體加入您的 AWS Managed Microsoft AD 網域
使用此程序來設定將 Amazon EC2 Windows 執行個體加入網域的角色。如需詳細資訊,請參閱[將 Amazon EC2 Windows 執行個體加入 AWS Managed Microsoft AD Active Directory](launching_instance.md)。
**設定 EC2,將 Windows 執行個體加入您的網域**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 IAM 主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 在 **Select type of trusted entity** (選擇可信任執行個體類型) 下,選擇 **AWS service** ( 服務)。
1. 緊接在 **Choose the service that will use this role (選擇將使用此角色的服務)** 下,選擇 **EC2**,然後選擇 **Next: Permissions (下一步:許可)**。
1. 在 **Attached permissions policy (連結許可政策)** 頁面上,執行下列動作:
+ 選取 **AmazonSSMManagedInstanceCore** 受管政策旁的方塊。此政策提供使用 Systems Manager 服務所需的最低權限。
+ 選取 **AmazonSSMDirectoryServiceAccess** 受管政策旁的方塊。此政策提供將執行個體加入受 Directory Service管理 Active Directory 的權限。
如需您可以連接至 Systems Manager IAM 執行個體設定檔的這些受管政策和其他政策的資訊,請參閱《AWS Systems Manager 使用者指南》**中的[建立 Systems Manager 的 IAM 執行個體設定檔](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。如需受管政策的詳細資訊,請參閱《IAM 使用者指南》**中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
1. 選擇 **Next: Tags** (下一步:標籤)。
1. (選用) 新增一或多個標籤來組織鍵值對、追蹤或控制存取此角色,然後選擇 **Next: Review (下一步:檢視)**。
1. 針對**角色名稱**,輸入角色的名稱,描述這會用於將執行個體加入網域,例如 **EC2DomainJoin**。
1. (選用) 針對 **Role description (角色描述)**,輸入描述。
1. 選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
## 建立 Amazon EC2 執行個體並自動加入目錄
在此程序中,您會在 EC2 執行個體中設定 Windows Server 系統,稍後可用於管理 Active Directory 中的使用者、群組和政策。
**建立 EC2 執行個體並自動加入目錄**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 選擇**啟動執行個體**。
1. 在 **Step 1 (步驟 1)** 頁面上,選擇 **Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx*** 旁的 **Select (選取)**。
1. 在 **Step 2 (步驟 2)** 頁面上,選取 **t3.micro** (請注意,您可以選擇更大的執行個體類型),然後選擇 **Next: Configure Instance Details (下一步:設定執行個體詳細資訊)**。
1. 在 **Step 3** (步驟 3) 頁面上,執行下列動作:
+ 針對**網路**,選擇以 **AWS-DS-VPC01** 做為結尾的 VPC (例如 **vpc-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01**))。
+ 針對**子網路**,選擇應該已預先設定您慣用之可用區域的 **Public subnet 1** (例如 **subnet-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01-Subnet01 \$1 *us-west-2a***)。
+ 針對 **Auto-assign Public IP** (自動指派公有 IP),如果該子網路設定未預設為啟用,請選擇 **Enable** (啟用)。
+ 針對 **Domain join directory** (網域加入目錄),選擇 **corp.example.com (d-*xxxxxxxxxx*)**。
+ 針對 **IAM role (IAM 角色)**,選擇您在 [建立角色以將 Windows 執行個體加入您的 AWS Managed Microsoft AD 網域](#configureec2) 中命名的執行個體名稱,例如 **EC2DomainJoin**。
+ 將其他設定保留為其預設值。
+ 選擇 **Next: Add Storage (下一步:新增儲存體)**。
1. 在 **Step 4** (步驟 4) 頁面上,保留預設設定,然後選擇 **Next: Add Tags** (下一步:新增標籤)。
1. 在 **Step 5** (步驟 5) 頁面上,選擇 **Add Tag** (新增標籤)。在 **Key (金鑰)** 下,輸入 **corp.example.com-mgmt**,然後選擇 **Next: Configure Security Group (下一步:設定安全群組)**。
1. 在**步驟 6** 頁面上,選擇**選取現有安全群組**並選取 **AWS DS RDP 安全群組** (即您之前在[基礎教學](microsoftadbasestep1.md#createsecuritygroup)中設定的值),然後選擇**檢閱和啟動**以檢閱您的執行個體。
1. 在 **Step 7** (步驟 7) 頁面上,檢閱頁面,然後選擇 **Launch** (啟動)。
1. 在 **Select an existing key pair or create a new key pair** (選取現有金鑰對或建立新金鑰對) 對話方塊中,執行下列動作:
+ 選擇 **Choose an existing key pair** (選擇現有金鑰對)。
+ 在**選取金鑰對**下,選擇 **AWS-DS-KP**。
+ 選取 **I acknowledge...** (我確認...) 核取方塊。
+ 選擇 **Launch Instances** (啟動執行個體)。
1. 選擇 **檢視執行個體**返回 Amazon EC2 主控台並檢視部署的狀態。
## 在您的 EC2 執行個體上安裝 Active Directory 工具
您可以從兩種方法中進行選擇,在您的 EC2 執行個體上安裝 Active Directory 網域管理工具。您可以使用 Server Manager UI (本教學課程建議使用) 或 PowerShell。
**在您的 EC2 執行個體上安裝 Active Directory 工具 (伺服器管理員)**
1. 在 Amazon EC2 主控台中,選擇**執行個體**並選取您剛建立的執行個體,然後選擇**連線**。
1. 在**連線至執行個體**對話方塊中,選擇**取得密碼**以在您尚未取得密碼時擷取密碼,然後選擇**下載遠端桌面檔案**。
1. 在 **Windows Security (Windows 安全性)** 對話方塊中,輸入 Windows Server 電腦的本機管理員登入資料進行登入 (例如 **administrator**)。
1. 從**開始**選單,選擇**伺服器管理員**。
1. 在**儀表板**中,選擇**新增角色及功能**。
1. 在**新增角色及功能精靈**中,選擇**下一步**。
1. 在**選取安裝類型**頁面上,選擇**角色型或功能型安裝**,然後選擇**下一步**。
1. 在**選取目的地伺服器**頁面上,確定已選取本機伺服器,然後選擇**下一步**。
1. 在**選取伺服器角色**頁面上,選擇**下一步**。
1. 在**選取功能**頁面上,執行下列動作:
+ 選取**群組原則管理**核取方塊。
+ 展開**遠端伺服器管理工具**,然後展開**角色管理工具**。
+ 選取 **AD DS 及 AD LDS 工具**核取方塊。
+ 選取 **DNS 伺服器工具**核取方塊。
+ 選擇**下一步**。
1. 在**確認安裝選項**頁面上,檢閱資訊,然後選擇**安裝**。功能安裝完成後,開始選單的 Windows 系統管理工具資料夾中將會提供下列新的工具或嵌入式管理單元。
+ Active Directory 管理中心
+ Active Directory 網域及信任
+ 的 Active Directory 模組 PowerShell
+ Active Directory 站台及服務
+ Active Directory 使用者和電腦
+ ADSI 編輯器
+ DNS
+ 群組原則管理
**在 EC2 執行個體上安裝 Active Directory 工具 (PowerShell) (選用)**
1. 啟動 PowerShell。
1. 鍵入下列命令。
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```
# 步驟 4:確認基礎測試實驗室可運作
使用下列程序確認已成功設定測試實驗室,再新增其他測試實驗室指南模組。此程序會驗證您的 Windows Server 是否已正確設定、可以連線至 corp.example.com 網域,並用來管理您的 AWS Managed Microsoft AD 樹系。
**確認測試實驗室可運作**
1. 登出您以本機管理員身分登入的 EC2 執行個體。
1. 回到 Amazon EC2 主控台,在導覽窗格中選擇**執行個體**。然後選取您所建立的執行個體。選擇**連線**。
1. 在 **Connect To Your Instance** (連線到您的執行個體) 對話方塊中,選擇 **Download Remote Desktop File** (下載遠端桌面檔)。
1. 在 **Windows Security (Windows 安全性)** 對話方塊中,輸入 CORP 網域的管理員登入資料進行登入 (例如 **corp\$1admin**)。
1. 登入後,在**開始**選單的 **Windows 系統管理工具**下,選擇 **Active Directory 使用者和電腦**。
1. 您應該會看到 **corp.example.com**,以及與新網域相關聯的所有預設 OU 和帳戶。在**網域控制**站下,請注意您在本教學課程的步驟 2 中建立 AWS Managed Microsoft AD 時自動建立的網域控制站名稱。
恭喜您!您的 AWS Managed Microsoft AD 基礎測試實驗室環境現已設定完成。您可以開始新增系列中的下一個測試實驗室。
下一個教學:「[教學課程:從 AWS Managed Microsoft AD 建立對 Amazon EC2 上自我管理 Active Directory 安裝的信任](ms_ad_tutorial_test_lab_trust.md)」
# 教學課程:從 AWS Managed Microsoft AD 建立對 Amazon EC2 上自我管理 Active Directory 安裝的信任
在本教學課程中,您將了解如何在[基本教學](ms_ad_tutorial_test_lab_base.md)課程中建立的 AWS Directory Service for Microsoft Active Directory 樹系之間建立信任。您也將了解如何在 Amazon EC2 的 Windows Server 上建立新的原生 Active Directory 樹系。如下圖所示,您從本教學課程建立的實驗室是設定完整的 AWS Managed Microsoft AD 測試實驗室時所需的第二個建置區塊。您可以使用測試實驗室來測試純雲端或混合雲端型 AWS 解決方案。
您應該只需要依此教學建立一次。之後,您可以視需要新增選用教學以取得更多體驗。
![\[從 Microsoft Active Directory 建立信任到自我管理 Active Directory 的步驟:設定您的環境、建立 Microsoft Active Directory、部署 Amazon EC2 執行個體,以及測試實驗室。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)
**[步驟 1:設定建立信任的環境](microsoftadtruststep1.md)**
您需要準備好 Amazon EC2 環境,才能在新的 Active Directory 樹系與您於[基礎教學](ms_ad_tutorial_test_lab_base.md)中所建立的 AWS Managed Microsoft AD 樹系之間建立信任。若要執行此作業,請先建立 Windows Server 2019 伺服器、將該伺服器升級為網域控制站,然後相應地設定您的 VPC。
**[步驟 2:建立信任](microsoftadtruststep2.md)**
在此步驟中,您會在 Amazon EC2 中託管的新建立 Active Directory 樹系與 中的 AWS Managed Microsoft AD 樹系之間建立雙向樹系信任關係 AWS。
**[步驟 3:驗證信任](microsoftadtruststep3.md)**
最後,身為管理員,您可以使用 Directory Service 主控台來驗證新的信任是否正常運作。
# 步驟 1:設定建立信任的環境
在本節中,您會設定 Amazon EC2 環境、部署新的樹系,以及準備 VPC 以進行信任 AWS。
![\[具有 Amazon VPC、子網路和網際網路閘道的 Amazon EC2 環境,可部署新的樹系並建立信任關係。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
## 建立 Windows Server 2019 EC2 執行個體
使用下列程序,在 Amazon EC2 中建立 Windows Server 2019 成員伺服器。
**建立 Windows Server 2019 EC2 執行個體**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 在 Amazon EC2 主控台中,選擇**啟動執行個體**。
1. 在 **Step 1 (步驟 1)** 頁面上,於清單中找到 **Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx***。然後選擇**選取**。
1. 在 **Step 2** (步驟 2) 頁面上,選取 **t2.large**,然後選擇 **Next: Configure Instance Details** (下一步:設定執行個體詳細資訊)。
1. 在 **Step 3** (步驟 3) 頁面上,執行下列動作:
+ 針對**網路**,選取 **vpc-*xxxxxxxxxxxxxxxxx* AWS-OnPrem-VPC01** (您之前針對[基礎教學](microsoftadbasestep1.md#createvpc)中設定的值)。
+ 針對**子網路**,選取**子網路-*xxxxxxxxxxxxxxxxxxxxx* \$1 AWS-OnPrem-VPC01-Subnet01 \$1 AWS-OnPrem-VPC01**。
+ 針對 **Auto-assign Public IP** (自動指派公有 IP) 清單,選擇 **Enable** (啟用) (如果此子網路設定未預設為 **Enable** (啟用))。
+ 將其他設定保留為其預設值。
+ 選擇 **Next: Add Storage (下一步:新增儲存體)**。
1. 在 **Step 4** (步驟 4) 頁面上,保留預設設定,然後選擇 **Next: Add Tags** (下一步:新增標籤)。
1. 在 **Step 5** (步驟 5) 頁面上,選擇 **Add Tag** (新增標籤)。在 **Key (金鑰)** 下,輸入 **example.local-DC01**,然後選擇 **Next: Configure Security Group (下一步:設定安全群組)**。
1. 在**步驟 6** 頁面上,選擇**選取現有安全群組**並選取 **AWS DS RDP 安全群組** (即您之前在[基礎教學](microsoftadbasestep1.md#createsecuritygroup)中設定的值),然後選擇**檢閱和啟動**以檢閱您的執行個體。
1. 在 **Step 7** (步驟 7) 頁面上,檢閱頁面,然後選擇 **Launch** (啟動)。
1. 在 **Select an existing key pair or create a new key pair** (選取現有金鑰對或建立新金鑰對) 對話方塊中,執行下列動作:
+ 選擇 **Choose an existing key pair** (選擇現有金鑰對)。
+ 在**選取金鑰對**下,選擇 **AWS-DS-KP** (您之前在[基礎教學](microsoftadbasestep1.md#createkeypair2)中設定的值)。
+ 選取 **I acknowledge...** (我確認...) 核取方塊。
+ 選擇 **Launch Instances** (啟動執行個體)。
1. 選擇 **檢視執行個體**返回 Amazon EC2 主控台並檢視部署的狀態。
## 將您的伺服器升級為域控制站
您必須為新樹系建立第一個網域控制站並加以部署,才能建立信任。在此過程中,您會設定新的 Active Directory 樹系、安裝 DNS,並設定此伺服器使用本機 DNS 伺服器進行名稱解析。您必須在此程序結束時重新啟動伺服器。
**注意**
如果您想要在 中建立網域控制站 AWS ,以使用內部部署網路複寫,您必須先手動將 EC2 執行個體加入內部部署網域。之後,您可以將伺服器升級為網域控制站。
**將您的伺服器升級為網域控制站**
1. 在 Amazon EC2 主控台中,選擇**執行個體**並選取您剛建立的執行個體,然後選擇**連線**。
1. 在 **Connect To Your Instance** (連線到您的執行個體) 對話方塊中,選擇 **Download Remote Desktop File** (下載遠端桌面檔)。
1. 在 **Windows Security (Windows 安全性)** 對話方塊中,輸入 Windows Server 電腦的本機管理員登入資料進行登入 (例如 **administrator**)。如果您還沒有本機管理員密碼,請回到 Amazon EC2 主控台,在執行個體上按一下滑鼠右鍵,然後選擇**取得 Windows 密碼**。導覽至您的 `AWS DS KP.pem` 檔案或您個人的 `.pem` 金鑰,然後選擇 **Decrypt Password (解密密碼)**。
1. 從**開始**選單,選擇**伺服器管理員**。
1. 在**儀表板**中,選擇**新增角色及功能**。
1. 在**新增角色及功能精靈**中,選擇**下一步**。
1. 在**選取安裝類型**頁面上,選擇**角色型或功能型安裝**,然後選擇**下一步**。
1. 在**選取目的地伺服器**頁面上,確定已選取本機伺服器,然後選擇**下一步**。
1. 在**選取伺服器角色**頁面上,選取 **Active Directory Domain Services**。在**新增角色及功能精靈**對話方塊中,確認已選取**包含管理工具 (如適用)** 核取方塊。選擇**新增功能**,然後選擇**下一步**。
1. 在**選取功能**頁面上,選擇**下一步**。
1. 在 **Active Directory Domain Services** 頁面上,選擇**下一步**。
1. 在**確認安裝選項**頁面上,選擇**安裝**。
1. 安裝 Active Directory 二進位檔案之後,選擇**關閉**。
1. 當伺服器管理員開啟時,尋找**管理**文字頂端附近的標記。當此標記變成黃色時,即表示伺服器已準備好升級。
1. 選擇黃色標記,然後選擇**將此伺服器升級為網域控制站**。
1. 在**部署設定**頁面上,選擇**新增樹系**。在**根網域名稱**中,輸入 **example.local**,然後選擇 ** 下一步**。
1. 在**網域控制站選項**頁面上,執行下列動作:
+ 在**樹系功能等級**和**網域功能等級**中,選擇 **Windows Server 2016**。
+ 在**指定網域控制器功能**下,確認已同時選取 **DNS 伺服器**和**全域目錄 (GC)**。
+ 輸入目錄服務還原模式 (DSRM) 密碼並確認。然後選擇**下一步**。
1. 在 **DNS 選項**頁面上,忽略委派的相關警告,然後選擇**下一步**。
1. 在 **Additional options (其他選項)** 頁面上,確定 **EXAMPLE** 已列為 NetBios 網域名稱。
1. 在**路徑**頁面上,保留預設值,然後選擇**下一步**。
1. 在**檢閱選項**頁面上,選擇**下一步**。伺服器現在會檢查以確認是否滿足網域控制站的所有必要條件。您可能會看到一些警告,但可以放心地忽略。
1. 選擇 **Install (安裝)**。一旦安裝完成,伺服器會重新啟動並成為可運作的網域控制站。
## 設定您的 VPC
下列三個程序將引導您完成設定 VPC 以連線到 AWS的步驟。
**設定您的 VPC 輸出規則**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)中,記下您先前在[基礎教學](microsoftadbasestep2.md)課程中建立的 AWS corp.example.com Managed Microsoft AD 目錄 ID。
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Security Groups** (安全群組)。
1. 搜尋您的 AWS Managed Microsoft AD 目錄 ID。在搜尋結果中,選取描述為 **AWS created security group for d-*xxxxxx* directory controllers** 的項目。
**注意**
此安全群組會在您一開始建立目錄時自動建立。
1. 在該安全群組下,選擇 **Outbound Rules** (輸出規則) 標籤。依序選擇 **Edit** (編輯) 和 **Add another rule** (新增其他規則),然後新增下列值:
+ 針對 **Type** (類型),選擇 **All Traffic** (所有流量)。
+ 針對 **Destination (目標)**,輸入 **0.0.0.0/0**。
+ 將其他設定保留為其預設值。
+ 選取**儲存**。
**確認已啟用 Kerberos 預先驗證**
1. 在 **example.local** 網域控制站上,開啟**伺服器管理員**。
1. 在 **Tools** (工具) 選單上,選擇 **Active Directory Users and Computers** (Active Directory 使用者和電腦)。
1. 導覽至**使用者**目錄,在任何使用者上按一下滑鼠右鍵並選取**內容**,然後選擇**帳戶**標籤。在**帳戶選項**清單中,向下捲動並確定 **未**選取**不需要 Kerberos 預先驗證**。
1. 對 **corp.example.com-mgmt** 執行個體中的 **corp.example.com** 網域執行相同步驟。
**設定 DNS 條件式轉寄站**
**注意**
條件式轉寄站是網路上的 DNS 伺服器,可根據查詢中的 DNS 網域名稱來轉寄 DNS 查詢。例如,您可以設定 DNS 伺服器,將其收到的名稱以 widgets.example.com 結尾的所有查詢轉寄至特定 DNS 伺服器的 IP 地址,或轉寄至多個 DNS 伺服器的 IP 地址。
1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在導覽窗格中,選擇**目錄**。
1. 選取 AWS Managed Microsoft AD 的**目錄 ID**。
1. 記下您目錄的完整域名稱 (FQDN) **corp.example.com** 和 DNS 地址。
1. 現在,返回您的 **example.local** 網域控制站,然後開啟**伺服器管理員**。
1. 在**工具**選單上,選擇 **DNS**。
1. 在主控台樹狀目錄中,展開您要設定信任之網域的 DNS 伺服器,然後導覽至**條件式轉寄站**。
1. 在**條件式轉寄站**上按一下滑鼠右鍵,然後選擇**新增條件式轉寄站**。
1. 在 DNS 網域中,輸入 **corp.example.com**。
1. 在**主要伺服器的 IP 地址**下,選擇 ****,輸入 AWS Managed Microsoft AD 目錄的第一個 DNS 地址 (您在先前程序中記下的),然後按 **Enter** 鍵。對第二個 DNS 地址執行相同步驟。輸入 DNS 地址之後,您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。
1. 選取 **Store this conditional forwarder in Active Directory, and replicate as follows** (在 Active Directory 中儲存此條件式轉寄站,並複寫如下) 核取方塊。在下拉式選單中,選擇**這個樹系中的所有 DNS 伺服器**,然後選擇**確定**。
# 步驟 2:建立信任
在本節中,您會建立兩個不同的樹系信任。一個信任是從 EC2 執行個體上的 Active Directory 網域建立,另一個信任則從 中的 AWS Managed Microsoft AD 建立 AWS。
![\[corp.example.com 與 example.local 之間的雙向信任\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)
**建立從 EC2 網域到 AWS Managed Microsoft AD 的信任**
1. 登入 **example.local**。
1. 開啟**伺服器管理員**,然後在主控台樹狀目錄中選擇 **DNS**。記下所列出的伺服器 IPv4 位址。在下一個程序中,當您建立從 **corp.example.com** 到 **example.local** 目錄的條件式轉寄站時會需要用到。
1. 在**工具**選單中,選擇 **Active Directory 網域及信任**。
1. 在主控台樹狀目錄中,在 **example.local** 上按一下滑鼠右鍵,然後選擇**內容**。
1. 在**信任**標籤上,選擇**新增信任**,然後選擇**下一步**。
1. 在**信任名稱**頁面上,輸入 **corp.example.com**,然後選擇 **下一步**。
1. 在**信任類型**頁面上,選擇**樹系信任**,然後選擇**下一步**。
**注意**
AWS Managed Microsoft AD 也支援外部信任。但在此教學課程中,您將建立一個雙向樹系信任。
1. 在**信任方向**頁面上,選擇**雙向**,然後選擇**下一步**。
**注意**
如果您稍後決定改用單向信任來嘗試此操作,請確定信任方向已正確設定 (信任網域上的傳出、信任網域上的傳入)。如需一般資訊,請參閱 Microsoft 網站上的 [Understanding trust direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) 一文。
1. 在**信任方**頁面上,選擇**只建立於這個網域**,然後選擇**下一步**。
1. 在**連出信任驗證等級**頁面上,選擇 **Forest-wide authentication** (驗證整個樹系),然後選擇**下一步**。
**注意**
雖然選項中有 **Selective authentication (選擇性身分驗證)**,但為了簡化本教學課程,我們建議您不要在此處啟用。設定時,只有受信任網域或樹系中已明確授與位於信任網域或樹系中的電腦物件 (資源電腦) 身分驗證許可的使用者,才能透過外部或樹系信任進行存取。如需詳細資訊,請參閱 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)) 一文。
1. 在**信任密碼**頁面上,輸入兩次信任密碼,然後選擇**下一步**。您將會在下一個程序中使用此相同的密碼。
1. 在**信任選取完成**頁面上,檢閱結果,然後選擇**下一步**。
1. 在**信任建立完成**頁面上,檢閱結果,然後選擇**下一步**。
1. 在**確認連出信任**頁面上,選擇**否,不要確認連出信任**。然後選擇**下一步**
1. 在**確認連入信任**頁面上,選擇**否,不要確認連入信任**。然後選擇**下一步**
1. 在**完成新增信任精靈**頁面上,選擇**完成**。
**注意**
信任關係是 AWS Managed Microsoft AD 的全域功能。如果您使用 [設定 AWS Managed Microsoft AD 的多區域複寫](ms_ad_configure_multi_region_replication.md),則必須在 [主要區域](multi-region-global-primary-additional.md#multi-region-primary) 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊,請參閱[全域與區域功能](multi-region-global-region-features.md)。
**從 AWS Managed Microsoft AD 建立對 EC2 網域的信任**
1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 選擇 **corp.example.com** 目錄。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取主要區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Trust relationships (信任關係)** 區段,選擇 **Actions (動作)**,然後選取 **Add trust relationship (新增信任關係)**。
1. 在 **Add a trust relationship** (新增信任關係) 對話方塊中,執行下列動作:
+ 在 **Trust type (信任類型)** 下,選取 **Forest trust (樹系信任)**。
**注意**
請確定您在此處選擇的**信任類型**與先前程序中設定的相同信任類型相符 (建立從 EC2 網域到 AWS Managed Microsoft AD 的信任)。
+ 針對 **Existing or new remote domain name (現有或新的遠端網域名稱)**,請輸入 **example.local**。
+ 針對 **Trust password** (信任密碼),輸入您在上一個程序中提供的相同密碼。
+ 在 **Trust direction (信任方向)**中,選取 **Two-way (雙向)**。
**注意**
如果您稍後決定改用單向信任來嘗試此操作,請確定信任方向已正確設定 (信任網域上的傳出、信任網域上的傳入)。如需一般資訊,請參閱 Microsoft 網站上的 [Understanding trust direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) 一文。
雖然選項中有 **Selective authentication (選擇性身分驗證)**,但為了簡化本教學課程,我們建議您不要在此處啟用。設定時,只有受信任網域或樹系中已明確授與位於信任網域或樹系中的電腦物件 (資源電腦) 身分驗證許可的使用者,才能透過外部或樹系信任進行存取。如需詳細資訊,請參閱 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)) 一文。
+ 針對 **Conditional forwarder (條件式轉寄站)**,請輸入 **example.local** 樹系中 DNS 伺服器的 IP 地址 (您在上一個程序中記下的值)。
**注意**
條件式轉寄站是網路上的 DNS 伺服器,可根據查詢中的 DNS 網域名稱來轉寄 DNS 查詢。例如,您可以設定 DNS 伺服器,將其收到的名稱以 widgets.example.com 結尾的所有查詢轉寄至特定 DNS 伺服器的 IP 地址,或轉寄至多個 DNS 伺服器的 IP 地址。
1. 選擇**新增**。
# 步驟 3:驗證信任
在本節中,您會測試是否已在 AWS 與 Amazon EC2 上的 Active Directory 之間成功設定信任。
**驗證信任**
1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 選擇 **corp.example.com** 目錄。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取主要區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Trust relationships (信任關係)** 區段,選擇您剛才建立的信任關係。
1. 選擇 **Actions** (動作),然後選擇 **Verify trust relationship** (驗證信任關係)。
一旦驗證完成,您應該會看到 **Status** (狀態) 欄下顯示 **Verified** (已驗證)。
恭喜您完成此教學!您現在擁有可運作的多樹系 Active Directory 環境,您可以從中開始測試各種案例。我們規劃在 2018 年推出更多測試實驗室教學,請不時回來查看是否有任何新教學。