Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 1: configuración del entorno de AWS para el Active Directory de AWS Managed Microsoft AD
Antes de poder crear AWS Managed Microsoft AD en su laboratorio de pruebas de AWS, primero debe configurar su par de claves de Amazon EC2 de modo que todos los datos de inicio de sesión estén cifrados.
Crear un par de claves
Si ya tiene un par de claves, puede omitir este paso. Para obtener más información sobre los pares de claves de Amazon EC2, consulte Creación de pares de claves.
Creación de un par de claves
Inicie sesión en la AWS Management Console y abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/
. -
En el panel de navegación, en Network & Security, seleccione Key Pairs y después Create Key Pair.
-
En Key pair name (Nombre del par de claves), escriba
AWS-DS-KP
. En Key pair file format (Formato de archivo del par de claves), seleccione pem, y, a continuación, elija Create (Crear). -
Su navegador descargará el archivo de clave privada automáticamente. El nombre del archivo es el nombre que indicó cuando creó el par de claves con la extensión
.pem
. Guarde el archivo de clave privada en un lugar seguro.importante
Esta es la única oportunidad para guardar el archivo de clave privada. Deberá proporcionar el nombre de su par de claves al lanzar una instancia, y la clave privada correspondiente cada vez que descifre la contraseña de la instancia.
Creación, configuración y vinculación de dos Amazon VPC
Como se muestra en la ilustración siguiente, cuando termine este proceso de varios pasos habrá creado y configurado dos VPC públicas, dos subredes públicas por VPC, una gateway de Internet por VPC y una interconexión de VPC entre las VPC. Elegimos utilizar VPC y subredes públicas con el propósito de simplificar y ahorrar costos. Para cargas de trabajo de producción, recomendamos utilizar VPC privadas. Para obtener más información sobre cómo mejorar la seguridad de la VPC, consulte Seguridad en Amazon Virtual Private Cloud.
![Entorno de Amazon VPC con subredes y puertas de enlace de Internet para crear un Active Directory de AWS Managed Microsoft AD.](images/tutorialmicrosoftadbase_vpclayout.png)
Todos los ejemplos de la AWS CLI y PowerShell utilizan la información de la VPC siguiente y se basan en la región us-west-2. Puede elegir cualquier región admitida para crear su entorno. Para obtener más información, consulte ¿Qué es Amazon VPC?.
Paso 1: Crear dos VPC
En este paso, debe crear dos VPC en la misma cuenta mediante los parámetros especificados en la tabla siguiente. AWS Managed Microsoft AD admite el uso de cuentas independientes con la característica Cómo compartir el AWS Managed Microsoft AD. La primera VPC se utilizará para AWS Managed Microsoft AD. La segunda VPC se utilizará para los recursos que se pueden utilizar más adelante en Tutorial: creación de una relación de confianza a partir de AWS Managed Microsoft AD para una instalación de Active Directory autoadministrada en Amazon EC2.
Información sobre VPC del Active Directory administrado |
Información de la VPC en las instalaciones |
---|---|
Etiqueta de nombre: AWS-DS-VPC01 IPv4 CIDR block (Bloque de CIDR IPv4): 10.0.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block Tenencia: predeterminada |
Etiqueta de nombre: AWS-OnPrem-VPC01 Bloque de CIDR IPv4: 10.100.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block Tenencia: predeterminada |
Para obtener instrucciones detalladas, consulte Crear una VPC.
Paso 2: Crear dos subredes por VPC
Después de haber creado las VPC, deberá crear dos subredes por VPC utilizando los parámetros especificados en la tabla siguiente. En este laboratorio de pruebas cada subred será /24. Esto permitirá emitir hasta 256 direcciones por subred. Cada subred debe estar en una zona de disponibilidad distinta. Poner cada subred en una zona de disponibilidad distinta es uno de los Requisitos previos para crear un AWS Managed Microsoft AD.
Información de la subred AWS-DS-VPC01: |
Información de la subred AWS-OnPrem-VPC01 |
---|---|
Etiqueta de nombre: AWS-DS-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 Zona de disponibilidad: us-west-2a Bloque de CIDR IPv4: 10.0.0.0/24 |
Etiqueta de nombre: AWS-OnPrem-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 Zona de disponibilidad: us-west-2a Bloque de CIDR IPv4: 10.100.0.0/24 |
Etiqueta de nombre: AWS-DS-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 Zona de disponibilidad: us-west-2b Bloque de CIDR IPv4: 10.0.1.0/24 |
Etiqueta de nombre: AWS-OnPrem-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 Zona de disponibilidad: us-west-2b Bloque de CIDR IPv4: 10.100.1.0/24 |
Para obtener instrucciones detalladas, consulte Crear una subred en la VPC.
Paso 3: Crear y asociar una gateway de Internet a las VPC
Dado que estamos utilizando VPC públicas, tendrá que crear y asociar una gateway de Internet a las VPC utilizando los parámetros especificados en la siguiente tabla. Esto le permitirá conectarse y administrar sus instancias EC2.
Información de la puerta de enlace de Internet AWS-DS-VPC01 |
Información de la puerta de enlace de Internet AWS-OnPrem-VPC01 |
---|---|
Etiqueta de nombre: AWS-DS-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 |
Etiqueta de nombre: AWS-OnPrem-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
Para obtener instrucciones detalladas, consulte Gateways de Internet.
Paso 4: configuración de una conexión de emparejamiento de VPC entre AWS-DS-VPC01 y AWS-OnPrem-VPC01
Dado que ya ha creado dos VPC anteriormente, deberá conectarlas en red usando una interconexión de VPC mediante los parámetros especificados en la tabla siguiente. Si bien hay muchas formas de conectar las VPC, en este tutorial se utilizará el emparejamiento de VPC. AWS Managed Microsoft AD admite muchas soluciones para conectar sus VPC, algunas de las cuales incluyen el emparejamiento de VPC, puerta de enlace de tránsito y VPN.
Etiqueta de nombre de conexión de emparejamiento: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer VPC (solicitante): vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 Cuenta: Mi Cuenta Región: Esta región VPC (receptor): vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
Para obtener instrucciones sobre cómo crear una interconexión de VPC con otra VPC desde su cuenta, consulte Crear una interconexión de VPC con otra VPC de su cuenta.
Paso 5: Agregar dos rutas a la tabla de enrutamiento principal de cada VPC
Para que la interconexión de VPC y las gateways de Internet creadas en los pasos anteriores funcionen, deberá actualizar la tabla de enrutamiento principal de ambas VPC utilizando los parámetros especificados en la tabla siguiente. Agregará dos rutas: 0.0.0.0/0 que enrutará a todos los destinos no conocidos explícitamente en la tabla de enrutamiento y 10.0.0.0/16 o 10.100.0.0/16 que enrutará a cada VPC a través de la interconexión de VPC establecida anteriormente.
Puede encontrar fácilmente la tabla de enrutamiento correcta para cada VPC filtrando la etiqueta de nombre de VPC (AWS-DS-VPC01 o AWS-OnPrem-VPC01).
Información de la ruta 1 de AWS-DS-VPC01 |
Información de la ruta 2 de AWS-DS-VPC01 |
Información de la ruta 1 de AWS-OnPrem-VPC01 |
Información de la ruta 2 de AWS-OnPrem-VPC01 |
---|---|---|---|
Destino: 0.0.0.0/0 Objetivo: igw-xxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW |
Destino: 10.100.0.0/16 Objetivo: pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer |
Destino: 0.0.0.0/0 Objetivo: igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01 |
Destino: 10.0.0.0/16 Objetivo: pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer |
Para obtener instrucciones sobre cómo agregar rutas a una tabla de enrutamiento de VPC, consulte Agregar y quitar rutas de una tabla de enrutamiento.
Creación de grupos de seguridad para instancias de Amazon EC2
De forma predeterminada, AWS Managed Microsoft AD crea un grupo de seguridad para administrar el tráfico entre sus controladores de dominio. En esta sección, deberá crear dos grupos de seguridad (uno para cada VPC) que se utilizarán para administrar el tráfico dentro de su VPC para las instancias EC2 mediante los parámetros especificados en las tablas siguientes. También agregará una regla que permite la entrada RDP (3389) desde cualquier lugar y para todos los tipos de tráfico entrante desde la VPC local. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Windows.
Información del grupo de seguridad de AWS-DS-VPC01: |
---|
Nombre del grupo de seguridad: grupo de seguridad del laboratorio de pruebas de AWS DS Descripción: grupo de seguridad del laboratorio de pruebas de AWS DS VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 |
Reglas de entrada del grupo de seguridad para AWS-DS-VPC01
Tipo | Protocolo | Intervalo de puertos | Origen | Tipo de tráfico |
---|---|---|---|---|
Regla TCP personalizada | TCP | 3389 | Mi dirección IP | Escritorio remoto |
All Traffic | Todos | Todos | 10.0.0.0/16 | Todo el tráfico local de VPC |
Reglas de salida del grupo de seguridad para AWS-DS-VPC01
Tipo | Protocolo | Rango de puerto | Destino | Tipo de tráfico |
---|---|---|---|---|
All Traffic | Todos | Todos | 0.0.0.0/0 | Todo el tráfico |
Información del grupo de seguridad AWS-OnPrem-VPC01: |
---|
Nombre del grupo de seguridad: grupo de seguridad del laboratorio de pruebas de AWS OnPrem. Descripción: grupo de seguridad del laboratorio de pruebas de AWS OnPrem. VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
Reglas de entrada del grupo de seguridad para AWS-OnPrem-VPC01
Tipo | Protocolo | Intervalo de puertos | Origen | Tipo de tráfico |
---|---|---|---|---|
Regla TCP personalizada | TCP | 3389 | Mi dirección IP | Escritorio remoto |
Regla TCP personalizada | TCP | 53 | 10.0.0.0/16 | DNS |
Regla TCP personalizada | TCP | 88 | 10.0.0.0/16 | Kerberos |
Regla TCP personalizada | TCP | 389 | 10.0.0.0/16 | LDAP |
Regla TCP personalizada | TCP | 464 | 10.0.0.0/16 | Cambiar/establecer contraseña de Kerberos |
Regla TCP personalizada | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
Regla TCP personalizada | TCP | 135 | 10.0.0.0/16 | Replicación |
Regla TCP personalizada | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
Regla TCP personalizada | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
Regla TCP personalizada | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC y LDAP GC SSL |
Regla UDP personalizada | UDP | 53 | 10.0.0.0/16 | DNS |
Regla UDP personalizada | UDP | 88 | 10.0.0.0/16 | Kerberos |
Regla UDP personalizada | UDP | 123 | 10.0.0.0/16 | Hora de Windows |
Regla UDP personalizada | UDP | 389 | 10.0.0.0/16 | LDAP |
Regla UDP personalizada | UDP | 464 | 10.0.0.0/16 | Cambiar/establecer contraseña de Kerberos |
All Traffic | Todos | Todos | 10.100.0.0/16 | Todo el tráfico local de VPC |
Reglas de salida del grupo de seguridad para AWS-OnPrem-VPC01
Tipo | Protocolo | Rango de puerto | Destino | Tipo de tráfico |
---|---|---|---|---|
All Traffic | Todos | Todos | 0.0.0.0/0 | Todo el tráfico |
Para obtener instrucciones detalladas sobre cómo crear y agregar reglas a los grupos de seguridad, consulte Trabajar con grupos de seguridad.