Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Paso 1: configuración del entorno para las relaciones de confianza
<a name="microsoftadtruststep1"></a>

En esta sección, configurará su entorno Amazon EC2, implementará su nuevo bosque y preparará su VPC para las confianzas. AWS

![\[Utilice un entorno de Amazon EC2 con Amazon VPC, subredes y puertas de enlace de Internet para implementar un nuevo bosque y establecer una relación de confianza.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


## Creación de una instancia de EC2 de Windows Server 2019
<a name="createkeypair1"></a>

Siga este procedimiento para crear un servidor miembro de Windows Server 2019 en Amazon EC2. 

**Creación de una instancia EC2 de Windows Server 2019**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En la consola de Amazon EC2, elija **Launch Instance**.

1. En la página del **paso 1**, busque **Microsoft Windows Server 2019 Base - ami- *xxxxxxxxxxxxxxxxx*** en la lista. A continuación, elija **Seleccionar**.

1. En la página **Step 2**, seleccione **t2.large** y, a continuación, elija **Next: Configure Instance Details**.

1. En la página **Step 3**, haga lo siguiente:
   + Para **Network**, seleccione **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem - VPC01** (que configuró anteriormente en el [tutorial básico](microsoftadbasestep1.md#createvpc)).
   + Para **Subnet**, seleccione **subnet- *xxxxxxxxxxxxxxxxx* \$1 AWS- - VPC01 -Subnet01 \$1 OnPrem - -**. AWS OnPrem VPC01
   + En la lista **Auto-assign Public IP**, elija **Enable** (si el ajuste de subred no está ajustado en **Enable** de forma predeterminada).
   + No cambie el resto de los valores predeterminados de los demás ajustes.
   + Elija **Siguiente: Añadir almacenamiento**.

1. En la página **Step 4**, deje la configuración predeterminada y, a continuación, elija **Next: Add Tags**.

1. En la página **Step 5**, elija **Add Tag**. En **Key (Clave)**, escriba **example.local-DC01** y, a continuación, elija **Next: Configure Security Group (Siguiente: Configurar grupo de seguridad)**.

1. En la página **Paso 6**, elija **Seleccionar un grupo de seguridad existente**, seleccione **Grupo de seguridad del laboratorio de pruebas de AWS On-Prem** (que configuró anteriormente en el [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) y, a continuación, elija **Revisar y lanzar** para revisar la instancia.

1. En la página **Step 7**, revise la página y, a continuación, seleccione **Launch**.

1. En el cuadro de diálogo **Select an existing key pair or create a new key pair**, proceda del modo siguiente:
   + Elija **Choose an existing key pair**.
   + En **Seleccionar un par de claves**, elija **AWS-DS-KP** (que configuró anteriormente en el [Tutorial básico](microsoftadbasestep1.md#createkeypair2)).
   + Active la casilla **I acknowledge...**.
   + Elija **Lanzar instancias**.

1. Elija **Ver instancias** para volver a la consola de Amazon EC2 y ver el estado de la implementación.

## Promoción de su servidor a controlador de dominio
<a name="promoteserver"></a>

Antes de poder crear relaciones de confianza, debe crear e implementar el primer controlador de dominio para un nuevo bosque. Durante este proceso, puede configurar un nuevo bosque de Active Directory, instalar DNS y establecer este servidor para usar el servidor DNS local para la resolución de nombres. Debe reiniciar el servidor al final de este procedimiento.

**nota**  
Si desea crear un controlador de dominio que se AWS replique con su red local, primero debe unir manualmente la instancia EC2 a su dominio local. Hecho esto, podrá promocionar el servidor a un controlador de dominio.

**Para promocionar su servidor a un controlador de dominio**

1. En la consola de Amazon EC2, elija **Instancias**, seleccione la instancia que acaba de crear y, a continuación, elija **Conectar**. 

1. En el cuadro de diálogo **Connect To Your Instance**, elija **Download Remote Desktop File**. 

1. En el cuadro de diálogo **Windows Security (Seguridad de Windows)**, escriba sus credenciales de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo, **administrator**). Si aún no tiene la contraseña de administrador local, vuelva a la consola de Amazon EC2, haga clic con el botón derecho en la instancia y elija **Obtener contraseña de Windows**. Vaya a su archivo `AWS DS KP.pem` o a su clave personal `.pem` y, a continuación, elija **Decrypt Password**.

1. En el menú **Inicio**, elija **Administrador del servidor**.

1. En **Panel**, elija **Agregar roles y características**.

1. En **Asistente para agregar roles y características**, elija **Siguiente**. 

1. En la página **Seleccionar tipo de instalación**, elija **Instalación basada en características o en roles** y, a continuación, elija **Siguiente**.

1. En la página **Seleccionar servidor de destino**, asegúrese de que se selecciona el servidor local y, a continuación, elija **Siguiente**.

1. En la página **Seleccionar roles de servidor**, seleccione **Servicios de dominio de Active Directory**. En el cuadro de diálogo **Asistente para agregar roles y características**, compruebe que se activa la casilla **Incluir herramientas de administración (si es aplicable)**. Elija **Agregar características** y, luego, seleccione **Siguiente**.

1. En la página **Seleccionar características**, elija **Siguiente**. 

1. En la página **Servicios de dominio de Active Directory**, elija **Siguiente**.

1. En la página **Confirmar selecciones de instalación**, elija **Instalar**.

1. Una vez instalados los binarios de Active Directory, elija **Cerrar**.

1. Al abrirse el administrador del servidor, busque una marca en la parte superior junto a la palabra **Administrar**. Cuando esta marca pase a color amarillo, el servidor estará listo para promocionarse. 

1. Elija la marca amarilla y, a continuación, elija **Promover este servidor a controlador de dominio**.

1. En la página **Configuración de implementación**, elija **Agregar un nuevo bosque**. En **Nombre del dominio raíz**, escriba **example.local** y, a continuación, elija **Siguiente**.

1. En la página **Opciones del controlador de dominio**, haga lo siguiente:
   + Tanto en **Nivel funcional de bosque** como en **Nivel funcional del dominio**, elija **Windows Server 2016**.
   + En **Especificar capacidades del controlador de dominio**, verifique que tanto el **Servidor DNS** como el **Catálogo global (GC)** estén seleccionados.
   + Escriba y, a continuación, confirme una contraseña de Directory Services Restore Mode (DSRM). A continuación, elija **Siguiente**.

1. En la página **Opciones de DNS**, ignore la advertencia sobre delegación y elija **Siguiente**.

1. **En la página de **opciones adicionales**, asegúrese de que EXAMPLE aparezca como nombre de dominio.** NetBios 

1. En la página **Rutas**, deje los valores predeterminados y seleccione **Siguiente**.

1. En la página **Revisar opciones**, seleccione **Siguiente**. El servidor realiza ahora comprobaciones para asegurarse de que se cumplen todos los requisitos previos para el controlador de dominio. Si bien pueden aparecer algunas advertencias, puede ignorarlas de forma segura. 

1. Elija **Instalar**. Una vez realizada la instalación, el servidor se reinicia y, a continuación, pasa a ser un controlador de dominio funcional.

## Configure la VPC
<a name="configurevpc1"></a>

Los tres procedimientos siguientes le guían a través de los pasos para configurar su VPC a fin de establecer conectividad con AWS.

**Configuración de las reglas de salida de la VPC**

1. [En la [AWS Directory Service consola](https://console.aws.amazon.com/directoryservicev2/), anote el ID del directorio AWS administrado de Microsoft AD para corp.example.com que creó anteriormente en el tutorial básico.](microsoftadbasestep2.md)

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Grupos de seguridad**.

1. Busca tu ID de directorio AWS administrado de Microsoft AD. En los resultados de la búsqueda, seleccione el elemento con la descripción: **grupo de seguridad AWS creado para los controladores de *xxxxxx* directorio d-**.
**nota**  
Este grupo de seguridad se creó automáticamente en el momento de crearse su directorio.

1. Elija la pestaña **Outbound Rules** en ese grupo de seguridad. Elija **Edit** y **Add another rule** y, a continuación, añada los siguientes valores:
   + En **Type**, seleccione **All Traffic**.
   + En **Destination**, escriba **0.0.0.0/0**.
   + No cambie el resto de los valores predeterminados de los demás ajustes.
   + Seleccione **Guardar**.

**Para comprobar que la autenticación previa de Kerberos está habilitada**

1. En el controlador de dominio **example.local**, abra **Administrador del servidor**.

1. En el menú **Herramientas**, elija **Usuarios y equipos de Active Directory**.

1. Vaya al directorio **Usuarios**, haga clic con el botón derecho en cualquier usuario y seleccione **Propiedades** y, a continuación, elija la pestaña **Cuenta**. En la lista **Opciones de la cuenta**, desplácese hacia abajo y asegúrese de que **No pedir la autenticación Kerberos previa** **no** esté seleccionado.

1. Siga los mismos pasos para el dominio **corp.example.com** en la instancia de **corp.example.com-mgmt **.

**Configuración de programas de envío condicionales DNS**
**nota**  
Un reenviador condicional es un servidor DNS en una red que se utiliza para reenviar consultas DNS según el nombre de dominio DNS de la consulta. Por ejemplo, un servidor DNS puede configurarse para reenviar todas las consultas que recibe para los nombres que terminan con widgets.example.com a la dirección IP de un servidor DNS específico o a las direcciones IP de varios servidores DNS.

1. Abra la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).

1. En el panel de navegación, elija **Directories (Directorios)**.

1. Seleccione el **ID de directorio** de su Microsoft AD AWS administrado.

1. Tome nota del nombre de dominio completo (FQDN), **corp.example.com**, y las direcciones DNS de su directorio.

1. Ahora, vuelva a su controlador de dominio **example.local** y, a continuación, abra **Administrador del servidor**.

1. En el menú **Herramientas**, elija **DNS**.

1. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la confianza y vaya a **Reenviadores condicionales**.

1. Haga clic con el botón derecho en **Reenviadores condicionales** y, a continuación, elija **Nuevo reenviador condicional**.

1. En Dominio DNS, escriba **corp.example.com**.

1. En **Direcciones IP de los servidores principales**, seleccione **<Haga clic aquí para añadir... **>, escriba la primera dirección DNS del directorio AWS administrado de Microsoft AD (que anotó en el procedimiento anterior) y, a continuación, presione **Entrar**. Haga lo mismo para la segunda dirección DNS. Después de escribir las direcciones DNS, es posible que aparezca un error que indique que se ha agotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.

1. Active la casilla **Almacenar este reenviador condicional en Active Directory y replicarlo como sigue**. En el menú desplegable, elija **Todos los servidores DNS en este bosque** y, a continuación, elija **Aceptar**.