Paso 2: preparación de su AWS Managed Microsoft AD - AWS Directory Service
Configuración de las subredes de VPC y los grupos de seguridadAsegúrese de que la autenticación previa de Kerberos esté habilitada

Paso 2: preparación de su AWS Managed Microsoft AD

Ahora vamos a preparar su AWS Managed Microsoft AD para la relación de confianza. Muchos de los pasos siguientes son casi idénticos a los que acaba de completar para su dominio autoadministrado. Esta vez, sin embargo, está trabajando con su AWS Managed Microsoft AD.

Configuración de las subredes de VPC y los grupos de seguridad

Debe permitir el tráfico de su red autoadministrada a la VPC que contiene su AWS Managed Microsoft AD. Para ello, tendrá que asegurarse de que las ACL asociadas a las subredes que se utilizaron para implementar su AWS Managed Microsoft AD y las reglas del grupo de seguridad que se configuraron en los controladores de dominio permiten el tráfico necesario para admitir las relaciones de confianza.

Los requisitos de puertos varían en función de la versión de Windows Server que utilizan los controladores de dominio y de los servicios o las aplicaciones que van a utilizar la relación de confianza. Para este tutorial, tendrá que abrir los siguientes puertos:

Entrante

  • TCP/UDP 53: DNS

  • TCP/UDP 88: autenticación de Kerberos

  • UDP 123: NTP

  • TCP 135: RPC

  • TCP/UDP 389: LDAP

  • TCP/UDP 445: SMB

  • TCP/UDP 464: autenticación Kerberos

  • TCP 636: LDAPS (LDAP a través de TLS/SSL)

  • TCP 3268-3269: catálogo global

  • TCP/UDP 49152-65535: puertos efímeros de RPC

nota

SMBv1 ya no es compatible.

Salida

  • ALL

nota

Estos son los puertos mínimos necesarios para poder conectar la VPC y el directorio autoadministrado. La configuración específica podría requerir abrir puertos adicionales.

Configuración de las reglas de entrada y de salida de su controlador de dominio de AWS Managed Microsoft AD

  1. Vuelva a la consola de AWS Directory Service. En la lista de directorios, anote el ID del directorio de AWS Managed Microsoft AD.

  2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  3. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  4. Utilice el cuadro de búsqueda para buscar el ID de su directorio de AWS Managed Microsoft AD. En los resultados de búsqueda, seleccione el grupo de seguridad con la descripción AWS created security group for yourdirectoryID directory controllers.

    En la consola de Amazon VPC, aparecen resaltados los resultados de búsqueda del grupo de seguridad de los controladores de directorio.

  5. Vaya a la pestaña Outbound Rules en ese grupo de seguridad. Elija Editar reglas y, a continuación, Agregar regla. Para la nueva regla, escriba los siguientes valores:

    • Type (Tipo): ALL Traffic (Todo el tráfico)

    • Protocol (Protocolo): ALL (Todos)

    • Destination (Destino) determina el tráfico que puede salir de sus controladores de dominio y a dónde puede ir. Especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por ejemplo, 203.0.113.5/32). También puede especificar el nombre o el ID de otro grupo de seguridad en la misma región. Para obtener más información, consulte Comprender la configuración y el uso de los grupos de seguridad de AWS del directorio.

  6. Seleccione Guardar regla.

    En la consola de Amazon VPC, edite las reglas de salida para el grupo de seguridad de los controladores del directorio.

Asegúrese de que la autenticación previa de Kerberos esté habilitada

Ahora tiene que confirmar si los usuarios de su AWS Managed Microsoft AD también tienen habilitada la autenticación previa de Kerberos. Este es el mismo proceso que ha completado para su directorio autoadministrado. Esta es la configuración predeterminada, pero vamos a comprobar que no haya cambiado nada.

Visualización de la configuración de Kerberos del usuario

  1. Inicie sesión en una instancia que sea miembro de su directorio de AWS Managed Microsoft AD mediante la Permisos de grupo y de cuenta de administrador de AWS Managed Microsoft AD del dominio o una cuenta en la que se hayan delegado permisos para administrar usuarios en el dominio.

  2. Si no están instaladas todavía, instale la herramienta Usuarios y equipos de Active Directory y la herramienta de DNS. Obtenga información sobre cómo instalar estas herramientas en Instalación de las herramientas de administración del Active Directory para el AWS Managed Microsoft AD.

  3. Abra el Administrador del servidor. En el menú Herramientas, elija Usuarios y equipos de Active Directory.

  4. Seleccione la carpeta Usuarios en su dominio. Tenga en cuenta que esta es la carpeta Users (Usuarios) situada bajo el nombre de NetBIOS, no la carpeta Users (Usuarios) situada bajo el nombre de dominio completo (FQDN).

    En el cuadro de diálogo de Usuarios y equipos del Active Directory, la carpeta Usuarios está resaltada.

  5. En la lista de usuarios, haga clic con el botón derecho en un usuario y seleccione Properties (Propiedades).

  6. Elija la pestaña Cuenta. En la lista Opciones de cuenta, desplácese hacia abajo y asegúrese de que No pedir la autenticación Kerberos previa no esté activado.

Paso siguiente

Paso 3: creación de la relación de confianza