如何在两个 AWS Managed Microsoft AD 域之间建立信任关系?

1 分钟阅读
0

我想在两个 AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD)域之间创建信任关系。

解决方法

配置 Amazon Virtual Private Cloud(Amazon VPC)资源

  1. 创建两个 Amazon VPC,每个 VPC 中有两个子网。
    注意:确保两个 VPC 上的启用 DNS 主机名都设置为
  2. 在两个 VPC 之间创建 VPC 对等连接
  3. 修改 VPC 对等连接以激活接受方 DNS 解析
  4. 更新您的 VPC 路由表以支持对等连接。

配置 AWS Managed Microsoft AD 资源

  1. 在每个 VPC 中部署 AWS Managed Microsoft AD 目录
  2. 在每个 VPC 中创建 Amazon Elastic Compute Cloud(Amazon EC2)实例,以管理每个对应的 AWS Managed Microsoft AD 目录。然后,将每个实例加入到其对应的目录
  3. 在每个目录中查找 AWS Managed Microsoft AD 域控制器的默认安全组。然后,将所有流量出站规则添加到 0.0.0.0/0
  4. 在每个管理实例上安装 Active Directory 管理工具

创建从一个 AWS Managed Microsoft AD 目录到另一个的 DNS 条件转发器

  1. 登录到一个 AWS Managed Microsoft AD 目录(目录 A)的管理实例
  2. 打开 DNS 管理控制台。
  3. 展开条件转发服务器
  4. 打开上下文(右键单击)菜单,然后选择新建条件转发器
  5. 输入另一个 AWS Managed Microsoft AD 目录(目录 B)的 FQDN 和两个 IP 地址。
  6. 选择选项将此条件转发器存储在 Active Directory 中,然后按如下所示进行复制。然后,选择此林中的所有 DNS 服务器
  7. 选择确定

在目录 A 中创建信任关系

  1. 打开 Directory Service 控制台
  2. 目录列表中,选择目录 A 的 ID。这是您在前面的步骤中从中创建 DNS 条件转发器的目录。
  3. 按照步骤在目录 A 中配置双向信任关系

创建信任关系后,状态为验证失败

在目录 B 中创建信任关系

  1. 打开 Directory Service 控制台
  2. 目录列表中,选择目录 B 的 ID。这是 DNS 条件转发器指向的目录。
  3. 按照步骤在目录 B 中配置双向林信任关系

创建信任关系后,状态为已验证

验证目录 A 中的信任关系

  1. 返回到您为目录 A 创建的信任关系。
  2. 验证信任

验证信任后,目录 A 的信任关系状态将更改为已验证

AWS 官方
AWS 官方已更新 1 年前