Requisitos previos del directorio híbrido

El directorio híbrido extiende su Active Directory autogestionado a. Nube de AWS Antes de crear un directorio híbrido, asegúrese de que su entorno cumpla estos requisitos:

Microsoft Active Directoryrequisitos de dominio

Antes de crear un directorio híbrido, asegúrese de que su entorno e infraestructura de AD autogestionados cumplan los siguientes requisitos y recopile la información necesaria.

Requisitos de dominio

Su entorno de AD autogestionado debe cumplir los siguientes requisitos:

• Utiliza un nivel 2016 funcional Windows Server 2012 R2 o.

• Utiliza controladores de dominio estándar para evaluarlos a la hora de crear directorios híbridos. Los controladores de dominio de solo lectura (RODC) no se pueden utilizar para la creación de directorios híbridos.

• Tiene dos controladores de dominio con todos Active Directory los servicios en ejecución.

• El controlador de dominio principal (PDC) debe poder enrutarse en todo momento.

  En concreto, el emulador de PDC y el maestro IPs de RID de su AD autogestionado deben pertenecer a una de estas categorías:

  • Parte de los rangos de direcciones IP RFC1918 privadas (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16)

  • Dentro de su gama de VPC CIDR

  • Haga coincidir el DNS IPs de sus instancias autogestionadas con el directorio

  Puede añadir rutas IP adicionales para el directorio una vez creado el directorio híbrido.

Información necesaria

Recopile la siguiente información sobre su AD autogestionado:

• Nombre de DNS del directorio

• Directorio (DNS) IPs

• Credenciales de cuenta de servicio con permisos de administrador para su AD autogestionado

• AWS ARN secreto para almacenar las credenciales de su cuenta de servicio (consulte) AWS ARN secreto para directorio híbrido

AWS ARN secreto para directorio híbrido

Para configurar un directorio híbrido con su AD autogestionado, debe crear una clave KMS para cifrar el AWS secreto y, a continuación, crear el secreto propiamente dicho. Ambos recursos deben crearse en el mismo directorio Cuenta de AWS que contiene el directorio híbrido.

Crear de una clave de KMS.

La clave KMS se usa para cifrar el AWS secreto.

importante

Para la clave de cifrado, no utilices la clave KMS AWS predeterminada. Asegúrese de crear la clave AWS KMS en el mismo directorio Cuenta de AWS que contiene el directorio híbrido que desea crear para unirlo a su AD autogestionado.

Para crear una clave AWS KMS

1. En la AWS KMS consola, selecciona Crear clave.

2. En Tipo de clave, elija Simétrica.

3. Para Uso de claves, elija Cifrar y descifrar.

4. Para Advanced options (Opciones avanzadas):

   1. En Origen del material de claves, elija Externo.

   2. En Regionalidad, selecciona la clave de región única y selecciona Siguiente.

5. Para Alias, proporcione un nombre para la clave de KMS.

6. (Opcional) En Description, proporcione una descripción de la clave de KMS.

7. (Opcional) En el caso de las etiquetas, añada etiquetas a la clave KMS y seleccione Siguiente.

8. Para los administradores de claves, seleccione un usuario de IAM.

9. Para la eliminación de claves, mantenga la selección predeterminada de Permitir que los administradores de claves eliminen esta clave y pulse Siguiente.

10. Para los usuarios clave, seleccione el mismo usuario de IAM del paso anterior y elija Siguiente.

11. Revise la configuración.

12. En Política clave, añada la siguiente declaración a la política:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "Enable IAM User Permissions",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
          },
          "Action": "kms:*",
          "Resource": "*"
        },
        { 
           "Sid": "Allow use of the KMS key on behalf of Directory Service", 
           "Effect": "Allow", 
           "Principal": {
             "Service": "ds.amazonaws.com"
           }, 
           "Action": "kms:Decrypt", 
           "Resource": "*"
        }
      ]
    }

13. Seleccione Finalizar.

Crea un AWS secreto

Crea un secreto en Secrets Manager para almacenar las credenciales de tu cuenta de usuario de AD autogestionada.

importante

Cree el secreto en el mismo directorio Cuenta de AWS que contiene el directorio híbrido al que quiere unirse a su AD autogestionado.

Creación de un secreto

• En Secrets Manager, selecciona Guardar un secreto nuevo

• En Tipo de secreto, selecciona Otro tipo de secreto

• En los pares clave/valor, añada sus dos claves:

1. Agrega la clave del nombre de usuario

   1. Para la primera clave, introduzca customerAdAdminDomainUsername.

   2. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD. No incluya el nombre de dominio, ya que esto provocará un error en la creación de la instancia.

2. Añada la clave de contraseña

   1. Para la segunda clave, introduzca customerAdAdminDomainPassword.

   2. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.

Complete la configuración secreta

1. En Clave de cifrado, seleccione la clave KMS que creó Crear de una clave de KMS. y elija Siguiente.

2. En Nombre secreto, introduce una descripción para el secreto.

3. (Opcional) En Descripción, introduzca una descripción para el secreto.

4. Elija Siguiente.

5. En Configurar los ajustes de rotación, mantenga los valores predeterminados y seleccione Siguiente.

6. Revisa la configuración del secreto y selecciona Guardar.

7. Elija el secreto que creó y copie el valor del ARN del secreto. Utilizará este ARN en el siguiente paso para configurar su Active Directory autogestionado.

Requisitos de infraestructura

Prepare los siguientes componentes de infraestructura:

• Dos AWS Systems Manager nodos con privilegios de administrador para los agentes de SSM

  • Si Active Directory se autogestiona fuera del Nube de AWS, necesitará dos nodos Systems Manager para un entorno híbrido y multinube. Para obtener más información sobre cómo aprovisionar estos nodos, consulte Configuración de Systems Manager para entornos híbridos y multinube.

  • Si Active Directory se autogestiona dentro de Nube de AWS, necesitará dos EC2 instancias gestionadas por Systems Manager. Para obtener más información sobre cómo aprovisionar estas instancias, consulte Administración de EC2 instancias con Systems Manager.

Servicios de Active Directory necesarios

Asegúrese de que los siguientes servicios se estén ejecutando en su AD autogestionado:

• Active Directory Domain Services

• Servicio web de Active Directory (ADWS)

• Sistema de eventos COM+

• Distributed File System Replication (DFSR)

• Sistema de nombres de dominio (DNS)

• Servidor DNS

• Cliente de políticas de grupo

• Mensajería entre sitios

• Llamada a procedimiento remoto (RPC)

• Gerente de cuentas de seguridad

• Servidor horario de Windows

  nota

  El directorio híbrido requiere que el puerto UDP 123 esté abierto y que el servidor horario de Windows esté habilitado y funcione. Sincronizamos la hora con su controlador de dominio para garantizar que la replicación del directorio híbrido funcione correctamente.

Requisitos de autenticación de Kerberos

Las cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Para obtener instrucciones detalladas sobre cómo habilitar esta configuración, consulte Asegúrese de que la autenticación previa de Kerberos esté habilitada. Para obtener información general sobre esta configuración, consulte Autenticación previa activada. Microsoft TechNet

Tipos de cifrado compatibles

El directorio híbrido admite los siguientes tipos de cifrado cuando se autentica mediante Kerberos en los controladores de dominio: Active Directory

• AES-256-HMAC

Requisitos de puerto de red

AWS Para ampliar sus controladores de Active Directory dominio autogestionados, el firewall de su red actual debe tener los siguientes puertos abiertos a las CIDRs dos subredes de su Amazon VPC:

• TCP/UDP 53: DNS

• TCP/UDP 88: autenticación de Kerberos

• UDP 123: servidor horario

• TCP 135: llamada de procedimiento remoto

• TCP/UDP 389: LDAP

• TCP 445: SMB

• TCP 636: solo es necesario para entornos con el protocolo ligero de acceso a directorios seguro (LDAPS)

• TCP 49152-65535: puertos TCP altos asignados aleatoriamente por RPC

• TCP 3268 y 3269: catálogo global

• Servicios web de Active Directory (ADWS) TCP 9389

Estos son los puertos mínimos necesarios para crear un directorio híbrido. La configuración específica podría requerir abrir puertos adicionales.

nota

El DNS IPs proporcionado para los controladores de dominio y los titulares de funciones de FSMO debe tener los puertos anteriores abiertos a ambas subredes de la CIDRs Amazon VPC.

nota

El directorio híbrido requiere que el puerto UDP 123 esté abierto y que el servidor horario de Windows esté habilitado y funcione. Sincronizamos la hora con su controlador de dominio para garantizar que la replicación del directorio híbrido funcione correctamente.

Permisos de Cuenta de AWS

Necesitará permisos para realizar las siguientes acciones en su Cuenta de AWS:

• ec2: AuthorizeSecurityGroupEgress

• ec2: AuthorizeSecurityGroupIngress

• ec2: CreateNetworkInterface

• ec2: CreateSecurityGroup

• ec2: DescribeNetworkInterfaces

• ec2: DescribeSubnets

• ec2: DescribeVpcs

• ec2: CreateTags

• ec2: CreateNetworkInterfacePermission

• ssm: ListCommands

• ssm: GetCommandInvocation

• ssm: GetConnectionStatus

• ssm: SendCommand

• administrador de secretos: DescribeSecret

• administrador de secretos: GetSecretValue

• soy: GetRole

• objetivo: CreateServiceLinkedRole

Requisitos de red de Amazon VPC

Una VPC con lo siguiente:

• Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente

• La VPC debe tener un arrendamiento predeterminado

No puede crear un directorio híbrido en una VPC con direcciones del espacio de direcciones 198.18.0.0/15.

AWS Directory Service utiliza una estructura de dos VPC. Las EC2 instancias que componen su directorio se ejecutan fuera del suyo Cuenta de AWS y son administradas por AWS ellas. Contienen dos adaptadores de red, ETH0 y ETH1. ETH0 es el adaptador de administración y se encuentra fuera de su cuenta. ETH1 se crea dentro de su cuenta.

El rango de IP de administración de la red ETH0 para su directorio es198.18.0.0/15.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon VPC.

• ¿Qué es Amazon VPC?

• ¿Qué es Amazon VPC?

• VPCs y subredes

• ¿Qué es? AWS Site-to-Site VPN

Para obtener más información AWS Direct Connect, consulte la sección ¿Qué es AWS Direct Connect?

AWS configuración de grupos de seguridad

De forma predeterminada, AWS adjunta un grupo de seguridad para permitir el acceso de red a los nodos AWS Systems Manager gestionados de la VPC. Si lo desea, puede proporcionar su propio grupo de seguridad que permita el tráfico de red hacia y desde sus controladores de dominio autogestionados fuera de su VPC.

Si lo desea, puede proporcionar su propio grupo de seguridad que permita el tráfico de red hacia y desde sus controladores de dominio autogestionados fuera de su VPC. Si va a proporcionar su propio grupo de seguridad, debe:

• Enumere sus VPC CIDR rangos y los rangos autogestionados.

• Asegúrese de que estos rangos no se superpongan con los rangos de IP AWS reservados

Consideraciones sobre las evaluaciones de directorios

A continuación se indican las consideraciones que se deben tener en cuenta a la hora de crear las evaluaciones de directorio y el número de evaluaciones que puede tener en las suyas Cuenta de AWS:

• Al crear un directorio híbrido, se crea automáticamente una evaluación del directorio. Hay dos tipos de evaluaciones: CUSTOMER ySYSTEM. Cuenta de AWS Tiene un límite de 100 evaluaciones de CUSTOMER directorio.

• Si intenta crear un directorio híbrido y ya tiene 100 evaluaciones de CUSTOMER directorio, aparecerá un error. Elimine las evaluaciones para liberar capacidad antes de volver a intentarlo.

• Para solicitar un aumento de la cuota de evaluación de su CUSTOMER directorio, póngase en contacto con las evaluaciones del directorio CUSTOMER existentes Soporte o eliminarlas para liberar capacidad.