¿Qué se crea con AWS Managed Microsoft AD? - AWS Directory Service

¿Qué se crea con AWS Managed Microsoft AD?

Cuando se crea un Active Directory con AWS Managed Microsoft AD, Directory Service lleva a cabo las siguientes tareas en su nombre:

  • Crea y asocia automáticamente una interfaz de red elástica (ENI) a cada uno de sus controladores de dominio. Cada uno de estos ENI es esencial para la conectividad entre la VPC y los controladores de dominio de Directory Service y nunca deben eliminarse. Puede identificar todas las interfaces de red reservadas para su uso con Directory Service mediante la descripción: “AWS creó una interfaz de red para el directorio directory-id”. Para obtener más información, consulte Interfaces de redes elásticas en la Guía del usuario de Amazon EC2. El servidor DNS predeterminado de AWS Managed Microsoft AD Active Directory es el servidor DNS de la VPC en el enrutamiento entre dominios sin clases (CIDR) +2. Para obtener más información, consulte Servidor DNS de Amazon en la Guía del usuario de Amazon VPC.

    nota

    Los controladores de dominio se implementan de manera predeterminada en dos zonas de disponibilidad dentro de una región y se conectan a la Amazon VPC (Virtual Private Cloud). Las copias de seguridad se hacen en forma automática una vez al día y los volúmenes de Amazon EBS (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que tienen errores se sustituyen automáticamente en la misma zona de disponibilidad con la misma dirección IP y se puede llevar a cabo una recuperación de desastres completa con la última copia de seguridad.

  • Aprovisiona Active Directory dentro de la VPC mediante dos controladores de dominio para tolerancia a errores y alta disponibilidad. Se pueden aprovisionar más controladores de dominio para mayor resiliencia y rendimiento después de que el directorio se haya creado correctamente y esté activo. Para obtener más información, consulte Implementación de controladores de dominio adicionales para el AWS Managed Microsoft AD.

    nota

    AWS no permite la instalación de agentes de supervisión en los controladores de dominio de AWS Managed Microsoft AD.

  • Crea un grupo de seguridad de AWS sg-1234567890abcdef0 que establece reglas de red para el tráfico entrante y saliente de los controladores de dominio. La regla de salida predeterminada permite todo el tráfico a todas las direcciones IPv4. Las reglas de entrada predeterminadas permiten solo el tráfico a través de los puertos requeridos por Active Directory desde el bloque de CIDR de IPv4 asociado con el hosting de VPC para su AWS Managed Microsoft AD. Para mayor seguridad, las ENI que se crean no tienen direcciones IP elásticas conectadas a ellas y el usuario no tiene permiso para asociar una IP elástica a esas ENI. Por lo tanto, el único tráfico entrante que puede comunicarse con su AWS Managed Microsoft AD es la VPC local. Se pueden cambiar las reglas del grupo de seguridad para permitir fuentes de tráfico adicionales, por ejemplo, desde otras VPC interconectadas o CIDR a los que se pueda acceder a través de la VPN. Tenga mucho cuidado al intentar cambiar estas reglas, ya que podría perder la capacidad de comunicarse con los controladores de dominio. Para obtener más información, consulte Prácticas recomendadas para AWS Managed Microsoft AD y Mejora de la configuración de seguridad de red del AWS Managed Microsoft AD.

    Puede usar listas de prefijos para administrar sus bloques de CIDR dentro de las reglas del grupo de seguridad. Las listas de prefijos facilitan la configuración y administración de los grupos de seguridad y las tablas de enrutamiento. Puede consolidar varios bloques de CIDR con el mismo puerto y protocolos para escalar el tráfico de la red.

    • En un entorno de Windows, los clientes suelen comunicarse mediante el bloque de mensajes del servidor (SMB) o el puerto 445. Este protocolo facilita diversas acciones, como el uso compartido de archivos e impresoras y la comunicación general por red. Verá el tráfico de clientes en el puerto 445 hacia las interfaces de administración de sus controladores de dominio de AWS Managed Microsoft AD.

      Este tráfico se produce cuando los clientes SMB utilizan la resolución de nombres de DNS (puerto 53) y NetBIOS (puerto 138) para localizar los recursos de su dominio AWS Managed Microsoft AD. Estos clientes se dirigen a cualquier interfaz disponible en los controladores de dominio al localizar los recursos del dominio. Este comportamiento es de esperar y suele producirse en entornos con varios adaptadores de red y en los que el multicanal de SMB permite a los clientes establecer conexiones a través de diferentes interfaces para mejorar el rendimiento y la redundancia.

    Las siguientes reglas del grupo de seguridad de AWS se crean de forma predeterminada:

    Reglas de entrada

    Protocolo Intervalo de puertos Origen Tipo de tráfico Uso de Active Directory
    ICMP N/A AWS Managed Microsoft AD VPC IPv4 CIDR Ping LDAP Keep Alive, DFS
    TCP y UDP 53 AWS Managed Microsoft AD VPC IPv4 CIDR DNS Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza
    TCP y UDP 88 AWS Managed Microsoft AD VPC IPv4 CIDR Kerberos Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque
    TCP y UDP 389 AWS Managed Microsoft AD VPC IPv4 CIDR LDAP Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza
    TCP y UDP 445 AWS Managed Microsoft AD VPC IPv4 CIDR SMB/CIFS Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP y UDP 464 AWS Managed Microsoft AD VPC IPv4 CIDR Cambiar/establecer contraseña de Kerberos Replicación, autenticación de usuarios y equipos, relaciones de confianza
    TCP 135 AWS Managed Microsoft AD VPC IPv4 CIDR Replicación RPC, EPM
    TCP 636 AWS Managed Microsoft AD VPC IPv4 CIDR LDAP SSL Directorio, replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP 1024 - 65535 AWS Managed Microsoft AD VPC IPv4 CIDR RPC Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    TCP 3268 - 3269 AWS Managed Microsoft AD VPC IPv4 CIDR LDAP GC y LDAP GC SSL Directorio, replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza
    UDP 123 AWS Managed Microsoft AD VPC IPv4 CIDR Hora de Windows Hora de Windows, relaciones de confianza
    UDP 138 AWS Managed Microsoft AD VPC IPv4 CIDR DFSN & NetLogon DFS, política de grupo
    Todos Todos AWS creó un grupo de seguridad para controladores de dominio (sg-1234567890abcdef0) All Traffic

    Reglas salientes

    Protocolo Rango de puerto Destino Tipo de tráfico Uso de Active Directory
    Todos Todos 0.0.0.0/0 All Traffic

  • Para obtener más información acerca de los puertos y protocolos que utiliza Active Directory, consulte Service overview and network port requirements for Windows en la documentación de Microsoft.

  • Crea una cuenta de administrador para el directorio con el nombre de usuario Admin y la contraseña especificada. Esta cuenta se encuentra en la Users OU (por ejemplo, Corp > Usuarios). Esta cuenta se utiliza para administrar su directorio en la nube de Nube de AWS. Para obtener más información, consulte Permisos de grupo y de cuenta de administrador de AWS Managed Microsoft AD.

    importante

    Asegúrese de guardar esta contraseña. Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, es posible restablecer una contraseña utilizando la consola de Directory Service o la API ResetUserPassword.

  • Crea las tres unidades organizativas (OU) siguientes en la raíz del dominio:

    Nombre de OU Descripción

    AWS Delegated Groups

    		 Almacena todos los grupos que puede utilizar para delegar permisos específicos de AWS en los usuarios.
    AWS Reserved Almacena todas las cuentas específicas de administración de AWS.
    <su-nombre-de-dominio> El nombre de esta OU se basa en el nombre NetBIOS que escribió cuando creó el directorio. Si no especificó un nombre NetBIOS, este será de forma predeterminada la primera parte del nombre de DNS del directorio (por ejemplo, en el caso de corp.example.com, el nombre NetBIOS sería corp). Esta OU es propiedad de AWS y contiene todos los objetos del directorio relacionados con AWS para los que a usted se le concede control total. Esta OU contiene dos unidades organizativas secundarias de forma predeterminada: Computers (Equipos) y Users (Usuarios). Por ejemplo:

    • Corp

      • Computers

      • Usuarios

  • Crea los siguientes grupos en la AWS Delegated Groups OU:

    Nombre del grupo Descripción
    AWS Delegated Account Operators Los miembros de este grupo de seguridad tienen una capacidad de administración de cuentas limitada, por ejemplo, a restablecer contraseñas

    AWS Delegated Active Directory Based Activation Administrators

    Los miembros de este grupo de seguridad pueden crear objetos de activación de licencias por volumen de Active Directory, lo que permite a las empresas activar equipos mediante una conexión con sus dominios.
    AWS Delegated Add Workstations To Domain Users Los miembros de este grupo de seguridad puede unir 10 equipos a un dominio.
    AWS Delegated Administrators Los miembros de este grupo de seguridad pueden administrar AWS Managed Microsoft AD, disponer de control total sobre todos los objetos de la unidad organizativa y administrar los grupos contenidos en la AWS Delegated Groups OU.
    AWS Delegated Allowed to Authenticate Objects Los miembros de este grupo de seguridad tienen la capacidad de autenticarse en los recursos del equipo de la AWS Reserved OU (solo es necesario para objetos en las instalaciones con relaciones de confianza habilitadas para autenticación selectiva).
    AWS Delegated Allowed to Authenticate to Domain Controllers Los miembros de este grupo de seguridad tienen la capacidad de autenticarse en los recursos del equipo de la Domain Controllers OU (solo es necesario para objetos en las instalaciones con relaciones de confianza habilitadas para autenticación selectiva).

    AWS Delegated Deleted Object Lifetime Administrators

    Los miembros de este grupo de seguridad pueden modificar el objeto msDS-DeletedObjectLifetime, que define el periodo que un objeto eliminado estará disponible para su recuperación en la papelera de reciclaje de AD.
    AWS Delegated Distributed File System Administrators Los miembros de este grupo de seguridad pueden agregar y eliminar espacios de nombres FRS, DFS-R y DFS.
    AWS Delegated Domain Name System Administrators Los miembros de este grupo de seguridad pueden administrar el DNS integrado de Active Directory.
    AWS Delegated Dynamic Host Configuration Protocol Administrators Los miembros de este grupo de seguridad pueden autorizar los servidores DHCP de Windows en la compañía.
    AWS Delegated Enterprise Certificate Authority Administrators Los miembros de este grupo de seguridad pueden implementar y administrar la infraestructura de la entidad de certificación de empresa de Microsoft.
    AWS Delegated Fine Grained Password Policy Administrators Los miembros de este grupo de seguridad pueden modificar las políticas de contraseñas específicas creadas previamente.
    AWS Delegated FSx Administrators Los miembros de este grupo de seguridad tienen la capacidad de administrar los recursos de Amazon FSx.
    AWS Delegated Group Policy Administrators Los miembros de este grupo de seguridad pueden realizar tareas de administración de las políticas de grupo (crear, editar, eliminar, vincular, etc.).
    AWS Delegated Kerberos Delegation Administrators Los miembros de este grupo de seguridad pueden habilitar la delegación en los objetos de equipos y cuentas de usuario.
    AWS Delegated Managed Service Account Administrators Los miembros de este grupo de seguridad pueden crear y eliminar cuentas de servicio administradas.
    AWS Delegated MS-NPRC Non-Compliant Devices Los miembros de este grupo de seguridad no podrán exigir comunicaciones por canales seguros con los controladores de dominio. Este grupo es para cuentas de equipos.
    AWS Delegated Remote Access Service Administrators Los miembros de este grupo de seguridad pueden agregar y eliminar servidores RAS del grupo de servidores RAS e IAS.
    AWS Delegated Replicate Directory Changes Administrators Los miembros de este grupo de seguridad pueden sincronizar la información del perfil de Active Directory con SharePoint Server.
    AWS Delegated Server Administrators Los miembros de este grupo de seguridad se incluyen en el grupo de administradores locales en todos los equipos unidos al dominio.
    AWS Delegated Sites and Services Administrators Los miembros de este grupo de seguridad pueden cambiar el nombre del objeto Default-First-Site-Name en los sitios y servicios de Active Directory.
    AWS Delegated System Management Administrators Los miembros de este grupo de seguridad pueden crear y administrar objetos en el contenedor de administración del sistema.
    AWS Delegated Terminal Server Licensing Administrators Los miembros de este grupo de seguridad pueden agregar y eliminar servidores de licencias de Terminal Server del grupo de servidores de licencias de Terminal Server.
    AWS Delegated User Principal Name Suffix Administrators Los miembros de este grupo de seguridad pueden agregar y eliminar sufijos de nombre principal de usuario.
    nota

    También puede añadir a estos AWS Delegated Groups.

  • Crea y aplica los siguientes objetos de política de grupo (GPO):

    nota

    No tiene permiso para eliminar, modificar o desvincular estos GPO. Esto se debe a su diseño, ya que están reservados para uso de AWS. Si es necesario, puede vincularlos a las unidades organizativas que controle.

    Nombre de política de grupo Aplica a Descripción
    Default Domain Policy Dominio Incluye la contraseña de dominio y las políticas Kerberos.
    ServerAdmins Todas las cuentas de equipo que no sean controladores de dominios Agrega 'AWS Delegated Server Administrators' como miembro del BUILTIN\Administrators Group.
    AWS Reserved Policy:User AWS Reserved user accounts Establece la configuración de seguridad recomendada en todas las cuentas de usuario de la AWS Reserved OU.
    AWS Managed Active Directory Policy Todos los controladores de dominio Establece la configuración de seguridad recomendada en todos los controladores de dominio.
    TimePolicyNT5DS Todos los controladores de dominio que no sean PDCe Establece todas las políticas de tiempo de controladores de dominio que no sean PDCe para utilizar la hora de Windows (NT5DS).
    TimePolicyPDC El controlador de dominio PDCe Establece la política de tiempo del controlador de dominio PDCe para utilizar el protocolo de tiempo de red (NTP).
    Default Domain Controllers Policy No se utiliza Se aprovisiona durante la creación del dominio; se utiliza en su lugar la política de Active Directory administrada por AWS.

    Si desea ver la configuración de cada GPO, puede hacerlo desde una instancia de Windows unida a un dominio con la Consola de administración de políticas de grupo (GPMC) habilitada.

  • Crea las siguientes default local accounts para la administración de AWS Managed Microsoft AD:

    importante

    Asegúrese de guardar la contraseña de administrador. Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, puede restablecer la contraseña desde la consola de Directory Service o con la API ResetUserPassword.

    Admin

    El Admin es la directory administrator account que se crea cuando se crea por primera vez AWS Managed Microsoft AD. Debe proporcionar una contraseña para esta cuenta cuando cree un AWS Managed Microsoft AD. Esta cuenta se encuentra en la Users OU (por ejemplo, Corp > Usuarios). Se utiliza esta cuenta para administrar su Active Directory en la AWS. Para obtener más información, consulte Permisos de grupo y de cuenta de administrador de AWS Managed Microsoft AD.

    AWS_11111111111

    Cualquier nombre de cuenta que comience con AWS, seguido de un guion bajo, y que se encuentre en la AWS Reserved OU es una cuenta administrada por el servicio. AWS utiliza esta cuenta administrada por el servicio para interactuar con Active Directory. Estas cuentas se crean cuando se habilita AWS Directory Service Data y con cada nueva aplicación de AWS autorizada en Active Directory. Solo los servicios de AWS tienen acceso a estas cuentas.

    krbtgt account

    La krbtgt account desempeña un rol importante en el intercambio de tickets Kerberos que AWS Managed Microsoft AD utiliza. La krbtgt account es una cuenta especial que se utiliza para la encriptación del ticket de concesión de ticket (TGT) en Kerberos y desempeña un papel fundamental en la seguridad del protocolo de autenticación Kerberos. Para obtener más información, consulte la documentación de Microsoft.

    AWS rota de manera automática la contraseña de la krbtgt account de AWS Managed Microsoft AD dos veces cada 90 días. Hay un período de espera de 24 horas entre las dos rotaciones consecutivas cada 90 días.

Para obtener más información sobre la cuenta de administrador y otras cuentas creadas por Active Directory, consulte la documentación de Microsoft.