AWS(三)：如何在AwsManagedAd目录和windowsAD实例之间建立双向信任。

前提：

1.创建好了一个AWS?managed AD目录，我的目录域名为:aws.managed.com

2.创建好了一个windows AD实例并提升了为域控服务器,实例域名为:aws2.com

看过我AWS?一和二的应该都会创建windows实例了，切记不能将其无缝加入到aws?managed AD的域下。好windowsAD实例后，将其提升为域控服务器，这里我引用CSDN某大佬文文章，从5.3看起就可以了。

3.目录和实例位于同一个vpc中

一?：为windows AD实例添加条件转换器

作用：实例和目录之间通过域名来进行双向信任的认证，因此需要条件转化器将IP与域名相互转化。

1?为条件转换器添加目录信息

1.1?打开server?manager

1.2?点击tool->点击DNS

?1.3 1.点开计算机->2.点击conditional?forwarders->3.点击new conditional?forwarders

?1.4? 填充目录的信息，最关键的一步，这里会发生错误都可以忽略，是正常的，点击OK。

?1.5?测试域名是否可通，打开cmd，ping?aws.managed.com，一定要通

1.6?目录不需要我我们为他手动添加条件转换器，AWS为我们提供了更方便的接口，后续会提到，这里继续设置windows实例

二：使实例信任目录?

2?在windows实例上建立双向信任通道

2.1? 点击tools->点击adomains and trusts

2.2??右击你的实例域名->选择trusts->New Trusts

2.3?填充你的目录域名

?2.4? 选择Forest?trust

?2.5?选择Two-way，建立双向信任

?2.6?选择?this?domain only

?2.7?forest-wide-authrntication

?2.8?创建你的信任密码，后续目录建立信任也需要该密码作为认证，牢记

2.9?一直next直到如下画面，选择No .......,再next，再选择No......

?2.10? 创建

?三：查看是否创建成功：类似我的如下画面就是成功了。

四：结言

直到这里，实例建立双休信任所需要的配置就全部配置完毕了，以上实现了两个功能。

1.配置条件转换器使你的实力能够通过域名与目录进行访问

2.使你的实例信任目录，但是由于构建的是双向信任，必须目录方也同意，因此该信任暂时还未生效，与单向信任有所区别，现在的目录无法访问实例资源。

需要为目录进行配置以上的两个功能。但是我们无法直接操作目录的域控服务器，因此需要调用AWS?的目录接口，篇幅太长，主要涉及到对安全组的操作，图片太多，我将放到"AWS(四)：AWS?managed AD目录建立双向信任所需的配置"中。