如何在兩個 AWS Managed Microsoft AD 網域之間設定信任關係？

解決方法

設定 Amazon Virtual Private Cloud (Amazon VPC) 資源

1. 在每個 VPC 中建立兩個 Amazon VPC並具有兩個子網路。
   注意：確保在兩個 VPC 上的啟用 DNS 主機名稱都設定為是。
2. 在兩個 VPC 之間建立 VPC 對等互連。
3. 修改 VPC 對等互連以啟動 接受者 DNS 解析。
4. 更新 VPC 路由表以支援對等互連。

設定 AWS Managed Microsoft AD 資源

1. 在每個 VPC 中部署 AWS Managed Microsoft AD 目錄。
2. 在每個 VPC 中建立 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以管理每個對應的 AWS Managed Microsoft AD 目錄。然後，將每個執行個體加入其對應的目錄。
3. 尋找每個目錄預設的 ](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html#understandsecuritygroup)AWS Managed Microsoft AD 網域控制器安全群組[。然後，將所有流量的傳出規則新增至 0.0.0.0/0。
4. 在每個管理執行個體上安裝 Active Directory 管理工具。

建立從一個 AWS Managed Microsoft AD 目錄到另一個目錄的 DNS 條件式轉寄站

1. 登入一個 AWS Managed Microsoft AD 目錄 (目錄 A) 的管理執行個體。
2. 開啟 DNS 管理主控台。
3. 展開條件式轉寄站。
4. 開啟內容 (按一下滑鼠右鍵) 功能表，然後選擇新增條件式轉寄站。
5. 輸入其他 AWS Managed Microsoft AD 目錄 (目錄 B) 的 FQDN 和兩個 IP 地址。
6. 選擇選項將此條件式轉寄站儲存在 Active Directory 中並複製下列。然後，選擇此樹系中的所有 DNS 伺服器。
7. 選擇確定。

在目錄 A 中建立信任關係

1. 開啟目錄服務主控台。
2. 在目錄清單中，選擇目錄 A 的 ID。這是您在先前步驟中建立 DNS 條件式轉寄站的目錄所在。
3. 依照目錄 A 中設定雙向信任關係的步驟。

建立信任關係之後，狀態為驗證失敗。

在目錄 B 中建立信任關係

1. 開啟目錄服務主控台。
2. 在目錄清單中，選擇目錄 B 的 ID。這是 DNS 條件式轉寄站所指向的目錄。
3. 依照目錄 B 中設定雙向樹系信任關係的步驟。

建立信任關係之後，狀態為已驗證。

驗證目錄 A 中的信任關係

1. 返回您為目錄 A 建立的信任關係。
2. 驗證信任。

驗證信任之後，目錄 A 的信任關係狀態變更為已驗證。