Requisitos del dominio Microsoft Active Directory:Servicios de Active Directory obligatorios Kerberos Tipos de cifrado compatibles Puertos Permisos Amazon VPC Security group (Grupo de seguridad)Límites de evaluación

Requisitos previos del directorio híbrido

El directorio híbrido amplía el directorio de Active Directory autoadministrado a Nube de AWS. Antes de crear un directorio híbrido, asegúrese de que su entorno cumpla estos requisitos:

Requisitos del dominio Microsoft Active Directory:

Antes de crear un directorio híbrido, asegúrese de que su entorno e infraestructura de AD autoadministrados cumplan los siguientes requisitos y recopile la información necesaria.

Requisitos del dominio

El entorno de AD autoadministrado debe cumplir los siguientes requisitos:

Utiliza un nivel funcional Windows Server 2012 R2 o uno 2016.
Utiliza controladores de dominio estándar que se evalúan en el momento de crear directorios híbridos. Los controladores de dominio de solo lectura (RODC) no se pueden utilizar para la creación de directorios híbridos.
Tiene dos controladores de dominio con todos los servicios de Active Directory en ejecución.
El controlador de dominio principal (PDC) debe poder enrutarse en todo momento.

En concreto, el emulador de PDC y el maestro IPs de RID de su AD autogestionado deben pertenecer a una de estas categorías:
- Parte de los rangos de direcciones IP RFC1918 privadas (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16)
- Dentro de la gama de CIDR de VPC
- Haga IPs coincidir el DNS de sus instancias autogestionadas con el directorio
Puede añadir rutas IP adicionales para el directorio una vez creado el directorio híbrido.

Información necesaria

Reúna la siguiente información sobre el directorio de AD autoadministrado:

Nombre de DNS del directorio
DNS del directorio IPs
Credenciales de la cuenta de servicio con permisos de administrador para el directorio de AD autoadministrado
AWS ARN secreto para almacenar las credenciales de su cuenta de servicio (consulte) AWS ARN secreto para directorio híbrido

AWS ARN secreto para directorio híbrido

Para configurar un directorio híbrido con su AD autogestionado, debe crear una clave de KMS para cifrar el AWS secreto y, a continuación, crear el secreto propiamente dicho. Ambos recursos deben crearse en el mismo directorio Cuenta de AWS que contiene el directorio híbrido.

Crear una clave de KMS.

La clave KMS se usa para cifrar el AWS secreto.

importante

En Clave de cifrado, no utilice la clave de KMS predeterminada de AWS . Asegúrese de crear la clave AWS KMS en el mismo directorio Cuenta de AWS que contiene el directorio híbrido que desea crear para unirlo a su AD autogestionado.

Para crear una clave AWS KMS

En la AWS KMS consola, selecciona Crear clave.
En Tipo de clave, elija Simétrica.
Para Uso de claves, elija Cifrar y descifrar.
Para Advanced options (Opciones avanzadas):
1. En Origen del material de claves, elija Externo.
2. Para Regionalidad, elija Clave de región única y seleccione Siguiente.
Para Alias, proporcione un nombre para la clave de KMS.
(Opcional) En Description, proporcione una descripción de la clave de KMS.
(Opcional) En Etiquetas, introduzca una etiqueta para la clave de KMS y seleccione Siguiente.
En Administradores de claves, seleccione un usuario de IAM.
En Eliminación de clave, mantenga la selección predeterminada Permitir que los administradores de claves eliminen esta clave y seleccione Siguiente.
En Usuarios de clave, proporcione el mismo usuario de IAM del paso anterior y seleccione Siguiente.
Revise la configuración.
En Política de claves, agregue la siguiente instrucción a la política:
Seleccione Finalizar.

Crea un AWS secreto

Cree un secreto en Secrets Manager para almacenar las credenciales de su cuenta de usuario de AD autoadministrado.

importante

Cree el secreto en el mismo directorio Cuenta de AWS que contiene el directorio híbrido al que desea unirse con su AD autogestionado.

Creación de un secreto

En Secrets Manager, elija Almacenar un nuevo secreto.
En Tipo de secreto, elija Otro tipo de secreto.
En los pares clave/valor, añada sus dos claves:

Agregación de la clave del nombre de usuario
1. Para la primera clave, introduzca customerAdAdminDomainUsername.
2. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD. No incluya el nombre de dominio, ya que esto provocará un error en la creación de la instancia.
Agregación de la clave de contraseña
1. Para la segunda clave, introduzca customerAdAdminDomainPassword.
2. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.

Compleción de la configuración del secreto

En Clave de cifrado, elija la clave de KMS que ha creado en Crear una clave de KMS., y luego elija Siguiente.
En Nombre del secreto, ingrese una descripción del secreto.
(Opcional) En Descripción, ingrese una descripción del secreto.
Elija Siguiente.
En Configurar los ajustes de rotación, mantenga los valores predeterminados y seleccione Siguiente.
Revise la configuración del secreto y seleccione Guardar.
Elija el secreto que creó y copie el valor del ARN del secreto. Se utilizará este ARN en el siguiente paso para configurar Active Directory autoadministrado.

Requisitos de infraestructura

Prepare los siguientes componentes de infraestructura:

Dos AWS Systems Manager nodos con privilegios de administrador para los agentes SSM
- Si su Active Directory se autoadministra fuera de la Nube de AWS, necesitará dos nodos de Systems Manager para un entorno híbrido y multinube. Para obtener más información sobre cómo aprovisionar estos nodos, consulte Setting up Systems Manager for hybrid and multicloud environments.
- Si su Active Directory se autoadministra dentro de Nube de AWS, necesitará dos instancias EC2 administradas por Systems Manager. Para obtener más información sobre cómo aprovisionar estas instancias, consulte Managing EC2 instances with Systems Manager.

Servicios de Active Directory obligatorios

Asegúrese de que los siguientes servicios se estén ejecutando en el directorio de AD autoadministrado:

Active Directory Domain Services
Servicios web de Active Directory (ADWS)
Sistema de eventos COM+
Distributed File System Replication (DFSR)
Sistema de nombres de dominio (DNS)
Servidor del DNS
Cliente de política de grupo
Mensajería entre sitios
Llamada de procedimiento remoto (RPC)
Gerente de cuentas de seguridad
Windows Time Server

nota
El directorio híbrido requiere que el puerto UDP 123 esté abierto y que el Windows Time Server esté habilitado y en funcionamiento. Sincronizamos la hora con su controlador de dominio para garantizar que la replicación del directorio híbrido funcione correctamente.

Requisitos de autenticación de Kerberos

Las cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Para obtener instrucciones detalladas sobre cómo habilitar esta configuración, consulte Aseguración de que la autenticación previa de Kerberos esté habilitada. Para obtener información general sobre esta configuración, consulte Autenticación previa activada. Microsoft TechNet

Tipos de cifrado compatibles

el directorio híbrido admite los siguientes tipos de cifrado para la autenticación de los controladores de dominio de Active Directory a través de Kerberos:

AES-256-HMAC

Requisitos de puerto de red

AWS Para ampliar sus controladores de dominio de Active Directory autogestionados, el firewall de su red actual debe tener los siguientes puertos abiertos a las CIDRs dos subredes de su Amazon VPC:

TCP/UDP 53: DNS
TCP/UDP 88: autenticación de Kerberos
UDP 123: servidor de horario
TCP 135: llamada de procedimiento remoto (RPC)
TCP/UDP 389: LDAP
TCP 445: SMB
TCP 636: solo necesario para entornos con el protocolo ligero de acceso a directorios seguro (LDAPS)
TCP 49152-65535: puertos TCP altos asignados aleatoriamente por RPC
TCP 3268 y 3269: catálogo global
TCP 9389: servicios web de Active Directory (ADWS)

Estos son los puertos mínimos necesarios para crear un directorio híbrido. La configuración específica podría requerir abrir puertos adicionales.

nota

El DNS IPs proporcionado para los controladores de dominio y los titulares de funciones de FSMO debe tener los puertos anteriores abiertos a ambas subredes de la CIDRs Amazon VPC.

nota

El directorio híbrido requiere que el puerto UDP 123 esté abierto y que el Windows Time Server esté habilitado y en funcionamiento. Sincronizamos la hora con su controlador de dominio para garantizar que la replicación del directorio híbrido funcione correctamente.

Cuenta de AWS permisos

Necesitará permisos para realizar las siguientes acciones en su Cuenta de AWS:

ec2: AuthorizeSecurityGroupEgress
ec2: AuthorizeSecurityGroupIngress
ec2: CreateNetworkInterface
ec2: CreateSecurityGroup
ec2: DescribeNetworkInterfaces
ec2: DescribeSubnets
ec2: DescribeVpcs
ec2: CreateTags
ec2: CreateNetworkInterfacePermission
ssm: ListCommands
ssm: GetCommandInvocation
ssm: GetConnectionStatus
ssm: SendCommand
administrador de secretos: DescribeSecret
administrador de secretos: GetSecretValue
soy: GetRole
objetivo: CreateServiceLinkedRole

Requisitos de la red de Amazon VPC

Una VPC con lo siguiente:

Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente.
La VPC debe disponer de una tenencia predeterminada

No puede crear un directorio híbrido en una VPC con direcciones dentro del espacio de direcciones 198.18.0.0/15.

Directory Service utiliza una estructura de dos VPC. Las instancias EC2 que componen su directorio se ejecutan fuera del suyo Cuenta de AWS y son administradas por ellas. AWS Contienen dos adaptadores de red, ETH0 y ETH1. ETH0 es el adaptador de administración y se encuentra fuera de su cuenta. ETH1 se crea dentro de su cuenta.

El rango de IP de administración de la ETH0 red para su directorio es198.18.0.0/15.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon VPC.

Para obtener más información al respecto AWS Direct Connect, consulte la sección ¿Qué es? AWS Direct Connect

AWS configuración de grupos de seguridad

De forma predeterminada, AWS adjunta un grupo de seguridad para permitir el acceso de red a los nodos AWS Systems Manager gestionados de la VPC. Si lo desea, puede proporcionar su propio grupo de seguridad que permita el tráfico de red hacia y desde los controladores de dominio autoadministrados fuera de la VPC.

Si lo desea, puede proporcionar su propio grupo de seguridad que permita el tráfico de red hacia y desde los controladores de dominio autoadministrados fuera de la VPC. Si va a proporcionar su propio grupo de seguridad, debe:

Permitir hacer una lista de sus rangos de VPC CIDR y de los rangos autoadministrados.
Asegúrese de que estos rangos no se superpongan con los rangos de IP reservados de AWS

Consideraciones sobre las evaluaciones del directorio

A continuación se indican las consideraciones que se deben tener en cuenta a la hora de crear las evaluaciones de directorio y el número de evaluaciones que puede tener en su Cuenta de AWS:

Al crear un directorio híbrido, se crea de manera automática una evaluación del directorio. Existen dos tipos de evaluaciones: CUSTOMER y SYSTEM. Su Cuenta de AWS tiene un límite de 100 evaluaciones de directorio del CUSTOMER.
Si intenta crear un directorio híbrido y ya tiene 100 evaluaciones de directorio del CUSTOMER, aparecerá un error. Elimine las evaluaciones para liberar capacidad antes de volver a intentarlo.
Para solicitar un aumento de la cuota de evaluación de CUSTOMER directorios, póngase en contacto con las evaluaciones de directorio de CUSTOMER existentes Soporte o eliminarlas para liberar capacidad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS Microsoft AD gestionado (edición híbrida)

Creación de un directorio híbrido