Paso 3: Implemente una instancia de Amazon EC2 para gestionar su Active Directory gestionado de AWS Microsoft AD - AWS Directory Service
Opcional: cree un conjunto de opciones de DHCP en AWS-DS-VPC01 para su directorioCree un rol para unir las instancias de Windows a su dominio de Microsoft AD AWS administradoCree una instancia de Amazon EC2 y únase automáticamente al directorioInstalación de las herramientas de Active Directory en su instancia de EC2

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 3: Implemente una instancia de Amazon EC2 para gestionar su Active Directory gestionado de AWS Microsoft AD

Para este laboratorio, utilizamos instancias de Amazon EC2 que tienen direcciones IP públicas para facilitar el acceso a la instancia de administración desde cualquier lugar. En un entorno de producción, puede usar instancias que estén en una VPC privada a la que solo se pueda acceder a través de una VPN o AWS Direct Connect un enlace. No es necesario que la instancia tenga una dirección IP pública.

En esta sección, veremos las distintas tareas posteriores a la implementación necesarias para que los equipos clientes se conecten a su dominio con el servidor Windows Server de su nueva instancia EC2. Puede utilizar el servidor Windows Server en el siguiente paso para verificar que el laboratorio funcione.

Opcional: cree un conjunto de opciones de DHCP en AWS-DS-VPC01 para su directorio

En este procedimiento opcional, debe configurar un ámbito de opciones de DHCP para que las instancias EC2 de su VPC utilicen automáticamente su AWS Microsoft AD administrado para la resolución de DNS. Para obtener más información, consulte Conjuntos de opciones de DHCP.

Creación de un conjunto de opciones de DHCP para un directorio

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija DHCP Options Sets y, a continuación, elija Create DHCP options set.

  3. En la página Create DHCP options set (Crear conjunto de opciones de DHCP), facilite los siguientes valores para el directorio:

    • En Name (Nombre), escriba AWS DS DHCP.

    • En Domain name (Nombre del dominio), escriba corp.example.com.

    • En Domain name servers (Servidores de nombres de dominio), introduzca las direcciones IP de los servidores DNS de su directorio de AWS proporcionado.

      nota

      Para buscar estas direcciones, vaya a la página de AWS Directory Service directorios y, a continuación, elija el ID de directorio correspondiente. En la página Detalles, identifique y utilice las IP que aparecen en la dirección DNS.

      Como alternativa, para buscar estas direcciones, vaya a la página Directorios de AWS Directory Service y, a continuación, elija el identificador de directorio correspondiente. A continuación, seleccione Escalar y compartir. En Controladores de dominio, identifique y use las IP que aparecen en Dirección IP.

    • Deje las opciones en blanco para NTP servers, NetBIOS name servers y NetBIOS node type.

  4. Seleccione Create DHCP options set (Crear conjunto de opciones de DHCP) y, a continuación, elija Close (Cerrar). El nuevo conjunto de opciones de DHCP aparecerá en la lista de opciones de DHCP.

  5. Anote el ID del nuevo conjunto de opciones de DHCP (dopt-xxxxxxxx). Debe usarlo al final de este procedimiento para asociar el nuevo conjunto de opciones a su VPC.

    nota

    La integración sencilla en un dominio funciona sin tener que configurar un conjunto de opciones DHCP.

  6. En el panel de navegación, elija Your VPCs (Sus VPC).

  7. En la lista de VPC, seleccione AWS DS VPC, elija Acciones y, a continuación, elija Editar conjunto de opciones de DHCP.

  8. En la página Edit DHCP options set (Editar conjunto de opciones de DHCP), seleccione el conjunto de opciones registrado en el paso 5 y, a continuación, seleccione Save (Guardar).

Cree un rol para unir las instancias de Windows a su dominio de Microsoft AD AWS administrado

Utilice este procedimiento para configurar un rol que une una instancia de Amazon EC2 para Windows a un dominio. Para obtener más información, consulte Unir sin problemas una instancia de Amazon EC2 para Windows a su AWS Microsoft AD gestionado Active Directory.

Configuración de EC2 para unir instancias de Windows a su dominio

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, elija Crear rol.

  3. En Seleccionar tipo de entidad de confianza, seleccione Servicio de AWS .

  4. Justo debajo de Choose the service that will use this role (Elegir el servicio que utilizará este rol), elija EC2 y, a continuación, elija Next: Permissions (Siguiente: Permisos).

  5. En la página Attached permissions policy (Asociar política de permisos), haga lo siguiente:

    • Seleccione la casilla situada junto a la política gestionada de AmazonSSM. ManagedInstanceCore Esta política proporciona los permisos mínimos necesarios para utilizar el servicio de Systems Manager.

    • Seleccione la casilla situada junto a la política gestionada de AmazonSSM DirectoryServiceAccess. La política proporciona los permisos para unir instancias a un Active Directory administrado por AWS Directory Service.

    Para obtener información acerca de estas políticas administradas y otras políticas que puede asociar a un perfil de instancia de IAM de Systems Manager, consulte Creación de un perfil de instancia de IAM para Systems Manager en la Guía del usuario de AWS Systems Manager . Para obtener más información sobre las políticas administradas, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

  6. Elija Next: Tags (Siguiente: Etiquetas).

  7. (Opcional) Añada uno o varios pares clave-valor de etiqueta para organizar, realizar un seguimiento o controlar el acceso a este rol y, a continuación, elija Next: Review (Siguiente: Revisar).

  8. En Nombre del rol, introduzca un nombre para el rol que describa que se usa para unir instancias a un dominio, como EC2. DomainJoin

  9. (Opcional) En Role description (Descripción del rol), escriba una descripción.

  10. Elija Create role. El sistema le devuelve a la página Roles.

Cree una instancia de Amazon EC2 y únase automáticamente al directorio

En este procedimiento, configura un sistema Windows Server en una instancia EC2 que se puede utilizar más adelante para administrar usuarios, grupos y políticas en Active Directory.

Creación de una instancia EC2 y unión automática al directorio

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. Elija Iniciar instancia.

  3. En la página Step 1 (Paso 1), junto a Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx elija Select (Seleccionar).

  4. En la página Step 2 (Paso 2), seleccione t3.micro (tenga en cuenta que puede elegir un tipo de instancia más grande) y después elija Next: Configure Instance Details (Siguiente: Configurar detalles de instancia).

  5. En la página Step 3, haga lo siguiente:

    • En Red, elija la VPC que termina con AWS-DS-VPC01 (por ejemplo, vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01).

    • En Subred elija Subred pública 1, que debería estar preconfigurada para su zona de disponibilidad preferida (por ejemplo, subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a).

    • Para Auto-assign Public IP, elija Enable (si el ajuste de subred no está establecido como habilitado de forma predeterminada).

    • Para Domain join directory, seleccione corp.example.com (d-xxxxxxxxxx).

    • Para el rol de IAM, elija el nombre con el que asignó el rol de la instanciaCree un rol para unir las instancias de Windows a su dominio de Microsoft AD AWS administrado, como EC2. DomainJoin

    • No cambie el resto de los valores predeterminados de los demás ajustes.

    • Elija Siguiente: Agregar almacenamiento.

  6. En la página Step 4, deje la configuración predeterminada y, a continuación, elija Next: Add Tags.

  7. En la página Step 5, elija Add Tag. En Key (Clave), escriba corp.example.com-mgmt y, a continuación, elija Next: Configure Security Group (Siguiente: Configurar grupo de seguridad).

  8. En la página Paso 6, elija Seleccionar un grupo de seguridad existente, seleccione Grupo de seguridad del laboratorio de pruebas de AWS DS (que configuró anteriormente en el Tutorial básico) y, a continuación, elija Revisar y lanzar para revisar la instancia.

  9. En la página Step 7, revise la página y, a continuación, seleccione Launch.

  10. En el cuadro de diálogo Select an existing key pair or create a new key pair, proceda del modo siguiente:

    • Elija Choose an existing key pair.

    • En Seleccionar un par de claves, elija AWS-DS-KP.

    • Active la casilla I acknowledge....

    • Elija Launch Instances.

  11. Elija Ver instancias para volver a la consola de Amazon EC2 y ver el estado de la implementación.

Instalación de las herramientas de Active Directory en su instancia de EC2

Puede elegir entre dos métodos para instalar las herramientas de administración del dominio de Active Directory en su instancia EC2. Puedes usar la interfaz de usuario del administrador de servidores (recomendada para este tutorial) o. Windows PowerShell

Para instalar las herramientas de Active Directory en su instancia de EC2 (Server Manager)

  1. En la consola de Amazon EC2, elija Instancias, seleccione la instancia que acaba de crear y, a continuación, elija Conectar.

  2. En el cuadro de diálogo Connect To Your Instance (Conectar s su instancia), elija Get Password (Obtener contraseña) para recuperar la contraseña si no lo ha hecho aún y, a continuación, elija Download Remote Desktop File (Descargar archivo de escritorio remoto).

  3. En el cuadro de diálogo Windows Security (Seguridad de Windows), escriba sus credenciales de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo, administrator).

  4. En el menú Inicio, elija Administrador del servidor.

  5. En Panel, elija Agregar roles y características.

  6. En Asistente para agregar roles y características, elija Siguiente.

  7. En la página Seleccionar tipo de instalación, elija Instalación basada en características o en roles y, a continuación, elija Siguiente.

  8. En la página Seleccionar servidor de destino, asegúrese de que se selecciona el servidor local y, a continuación, elija Siguiente.

  9. En la página }Seleccionar roles de servidor, elija Siguiente.

  10. En la página Seleccionar características, haga lo siguiente:

    • Active la casilla de verificación Administración de directivas de grupo.

    • Amplíe Herramientas de administración remota del servidor y, a continuación, expanda Herramientas de administración de roles.

    • Active la casilla de verificación Herramientas de AD DS y AD LDS.

    • Active la casilla de verificación de herramientas de servidor DNS.

    • Elija Siguiente.

  11. En la página de Confirmar selecciones de instalación, revise la información y seleccione Instalar. Cuando haya terminado la instalación de la característica, las siguientes herramientas o complementos estarán disponibles en la carpeta Herramientas administrativas de Windows en el menú Inicio.

    • Centro de administración de Active Directory

    • Dominios y relaciones de confianza de Active Directory

    • Módulo Active Directory para Windows PowerShell

    • Sitios y servicios de Active Directory

    • Usuarios y equipos de Active Directory

    • Edición ADSI

    • DNS

    • Administración de políticas de grupo

Para instalar las herramientas de Active Directory en su instancia EC2 (Windows PowerShell) (opcional)

  1. Inicie Windows PowerShell.

  2. Escriba el siguiente comando. 

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server