Creación de una relación de confianza - AWS Directory Service
Requisitos previosCreación de la relación de confianza

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una relación de confianza

Puede configurar relaciones de confianza externas y forestales unidireccionales y bidireccionales entre su AWS Directory Service para Microsoft Active Directory y los directorios autogestionados (locales), así como entre varios directorios gestionados de AWS Microsoft AD en la nube. AWS AWS Microsoft AD administrado admite las tres direcciones de relación de confianza: entrante, saliente y bidireccional (bidireccional).

Para obtener más información sobre la relación de confianza, consulte Todo lo que desea saber sobre las confianzas con Microsoft AD AWS administrado.

nota

Al configurar relaciones de confianza, debe asegurarse de que su directorio autogestionado sea y siga siendo compatible con AWS Directory Service s. Para obtener más información acerca de sus responsabilidades, consulte nuestro modelo de responsabilidad compartida.

AWS Microsoft AD administrado admite confianzas tanto externas como forestales. Para ver un caso de ejemplo donde se muestra cómo crear una relación de confianza entre bosques, consulte Tutorial: Creación de una relación de confianza entre el directorio de AWS Managed Microsoft AD y el dominio de Active Directory autogestionado.

Se requiere una confianza bidireccional para aplicaciones AWS empresariales como Amazon Chime, Amazon Connect, QuickSight Amazon AWS IAM Identity Center, Amazon WorkDocs, Amazon WorkMail, WorkSpaces Amazon y. AWS Management Console AWS Microsoft AD administrado debe poder consultar a los usuarios y grupos de su cuenta autogestionadaActive Directory.

Amazon EC2, Amazon RDS y Amazon FSx funcionarán con una confianza unidireccional o bidireccional.

Requisitos previos

Para crear una relación de confianza solo son necesarios unos pasos, pero primero debe completar otros pasos previos antes de configurarla.

nota

AWS Microsoft AD administrado no admite la confianza con los dominios de etiqueta única.

Conéctese a VPC

Si va a crear una relación de confianza con su directorio autogestionado, primero debe conectar su red autogestionada a la Amazon VPC que contiene su Microsoft AD gestionado AWS . El firewall de las redes Microsoft AD AWS autoadministradas y administradas debe tener abiertos los puertos de red que aparecen en la Microsoft documentación de WindowsServer 2008 y versiones posteriores.

Para usar su nombre NetBIOS en lugar de su nombre de dominio completo para la autenticación con AWS aplicaciones como Amazon o WorkDocs Amazon QuickSight, debe permitir el puerto 9389. Para obtener más información sobre los puertos y protocolos de Active Directory, consulte la documentación sobre la descripción general del servicio y los requisitos de los puertos de Windows red. Microsoft

Estos son los puertos mínimos necesarios para poder conectarse al directorio. La configuración específica podría requerir abrir puertos adicionales.

Configure la VPC

La VPC que contiene su AWS Microsoft AD administrado debe tener las reglas de entrada y salida adecuadas.

Configuración de las reglas de salida de la VPC

  1. En la AWS Directory Service consola, en la página Detalles del directorio, anota tu ID de directorio AWS administrado de Microsoft AD.

  2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  3. Seleccione Security Groups.

  4. Busca tu ID de directorio AWS administrado de Microsoft AD. En los resultados de la búsqueda, seleccione el elemento con la descripción «grupo de seguridad AWS creado para los controladores de directorio con ID de directorio».

    nota

    El grupo de seguridad seleccionado es un grupo de seguridad que se crea automáticamente en el momento de crearse el directorio.

  5. Vaya a la pestaña Outbound Rules de ese grupo de seguridad. Seleccione Edit y después Add another rule. Para la nueva regla, escriba los siguientes valores:

    • Type: All Traffic

    • Protocol: All

    • Destination determina el tráfico que puede salir de sus controladores de dominio y a dónde puede ir en su red autogestionada. Especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por ejemplo, 203.0.113.5/32). También puede especificar el nombre o el ID de otro grupo de seguridad en la misma región. Para obtener más información, consulte Comprenda la configuración y el uso de los grupos de AWS seguridad de su directorio.

  6. Seleccione Guardar.

Habilitación de la autenticación previa de Kerberos

Sus cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Para obtener más información acerca de esta configuración, consulte Autenticación previa en Microsoft TechNet.

Configuración de programas de envío condicionales DNS en su dominio autogestionado

Debe configurar programas de envío condicionales DNS en su dominio autogestionado. Consulte Asignar un reenviador condicional a un nombre de dominio en Microsoft TechNet para obtener más información sobre los reenviadores condicionales.

Para seguir estos pasos, debe tener acceso a las herramientas de Windows Server enumeradas a continuación para su dominio autogestionado:

  • AD DS y AD LDS Tools

  • DNS

Configuración de reenviadores condicionales DNS en su dominio autogestionado

  1. En primer lugar, debe obtener información sobre su Microsoft AD AWS administrado. Inicie sesión en la AWS Management Console y abra la consola de AWS Directory Service.

  2. En el panel de navegación, seleccione Directories.

  3. Elija el ID de directorio de su Microsoft AD AWS administrado.

  4. Tome nota del nombre de dominio completo (FQDN) y las direcciones de DNS de su directorio.

  5. Ahora, vuelva a su controlador de dominio autogestionado. Abra el Administrador del servidor.

  6. En el menú Herramientas, elija DNS.

  7. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la relación de confianza.

  8. En el árbol de la consola, seleccione Reenviadores condicionales.

  9. En el menú Acción, elija Nuevo reenviador condicional.

  10. En el dominio DNS, escriba el nombre de dominio completo (FQDN) de su Microsoft AD AWS administrado, que indicó anteriormente.

  11. Elija las direcciones IP de los servidores principales y escriba las direcciones DNS de su directorio AWS administrado de Microsoft AD, que indicó anteriormente.

    Después de escribir las direcciones de DNS, es posible que aparezca un error que indique que se ha agotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.

  12. Active la casilla Almacenar este reenviador condicional en Active Directory y replicarlo como sigue: Todos los servidores DNS en este dominio. Seleccione Aceptar.

Contraseña de relación de confianza

Si crea una relación de confianza con un dominio existente, configure la relación de confianza en ese dominio con las herramientas de administración de Windows Server. Al hacerlo, indique su contraseña de confianza. Deberá usar esta misma contraseña al configurar la relación de confianza en el Microsoft AD AWS administrado. Para obtener más información, consulte Administración de confianzas en Microsoft TechNet.

Ahora está listo para crear la relación de confianza en su Microsoft AD AWS administrado.

NetBIOS y nombres de dominio

Los nombres de dominio y NetBIOS deben ser únicos y no pueden ser los mismos para establecer una relación de confianza.

Crear, verificar o eliminar una relación de confianza

nota

Las relaciones de confianza son una característica global de AWS Managed Microsoft AD. Si está utilizando Replicación multirregional, se deben seguir estos procedimientos en Región principal . Los cambios se aplicarán automáticamente en todas las regiones replicadas. Para obtener más información, consulte Características globales frente a las regionales.

Para crear una relación de confianza con su Microsoft AD AWS administrado

  1. Abra la consola de AWS Directory Service.

  2. En la página Directorios, elige tu ID de Microsoft AD AWS administrado.

  3. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación multirregional, seleccione la región principal y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  4. En la sección Trust relationships (Relaciones de confianza), elija Actions (Acciones) y, a continuación, seleccione Add trust relationship (Añadir relación de confianza).

  5. En la página Add a trust relationship (Añadir una relación de confianza), proporcione la información necesaria, incluidos el tipo de confianza, el nombre de dominio completo (FQDN) del dominio de confianza, la contraseña de confianza y la dirección de confianza.

  6. (Opcional) Si desea permitir que solo los usuarios autorizados accedan a los recursos de su directorio AWS administrado de Microsoft AD, puede seleccionar opcionalmente la casilla de verificación Autenticación selectiva. Para obtener información general sobre la autenticación selectiva, consulte Consideraciones de seguridad para Trusts on Microsoft TechNet.

  7. En Reenviador condicional, escriba la dirección IP del servidor DNS autogestionado. Si ha creado anteriormente reenviadores condicionales, puede escribir el FQDN de su dominio autogestionado en lugar de una dirección IP de DNS.

  8. (Opcional) Elija Agregar otra dirección IP y escriba la dirección IP de un servidor DNS autogestionado adicional. Puede repetir este paso para cada dirección de servidor DNS aplicable, con un máximo de cuatro direcciones.

  9. Elija Añadir.

  10. Si el servidor DNS o la red de su dominio autogestionado usa un espacio de direcciones IP público (no RFC 1918), vaya a la sección Direccionamiento IP, elija Acciones y, a continuación, elija Agregar ruta. Escriba el bloque de direcciones IP del servidor DNS o su red autogestionada en formato CIDR, por ejemplo 203.0.113.0/24. Este paso no es necesario si su servidor DNS y su red autogestionada están utilizando espacios de direcciones IP RFC 1918.

    nota

    Cuando se utiliza un espacio de direcciones IP públicas, asegúrese de no utilizar ninguno de los rangos de direcciones IP de AWS dado que no se pueden utilizar.

  11. (Opcional) Le recomendamos que mientras se encuentra en la página Add routes (Añadir rutas) también seleccione Add routes to the security group for this directory's VPC (Añadir rutas al grupo de seguridad de la VPC de este directorio). De este modo se configurarán los grupos de seguridad según se detalla anteriormente, en “Configuración de la VPC”. Estas reglas de seguridad afectan a una interfaz de red interna no expuesta públicamente. Si esta opción no está disponible, verá un mensaje en su lugar en el que se indica que ya ha personalizado sus grupos de seguridad.

Debe configurar la relación de confianza en ambos dominios. Las relaciones deben ser complementarias. Por ejemplo, si crea una relación de confianza saliente en un dominio, debe crear una relación de confianza entrante en el otro.

Si crea una relación de confianza con un dominio existente, configure la relación de confianza en ese dominio con las herramientas de administración de Windows Server.

Puede crear varias confianzas entre su Microsoft AD AWS administrado y varios dominios de Active Directory. No obstante, solo puede existir una relación de confianza por par a la vez. Por ejemplo, si existe una relación de confianza unidireccional en la “dirección entrante” y desea configurar otra relación de confianza en la “dirección saliente”, deberá eliminar la relación de confianza existente y crear una nueva relación de confianza bidireccional.

Verificación de una relación de confianza saliente

  1. Abra la consola de AWS Directory Service.

  2. En la página Directorios, elige tu ID de Microsoft AD AWS administrado.

  3. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación multirregional, seleccione la región principal y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  4. En la sección Trust relationships (Relaciones de confianza), seleccione la confianza que desea verificar, elija Actions (Acciones) y, a continuación, seleccione Verify trust relationship (Verificar relación de confianza).

Este proceso verifica solo la dirección de salida de una confianza bidireccional. AWS no admite la verificación de un fideicomiso entrante. Para obtener más información sobre cómo comprobar la confianza hacia o desde su Active Directory autoadministrado, consulte Verificar una confianza en Microsoft TechNet.

Eliminación de una relación de confianza existente

  1. Abra la consola de AWS Directory Service.

  2. En la página Directorios, elige tu ID de Microsoft AD AWS administrado.

  3. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación multirregional, seleccione la región principal y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  4. En la sección Trust relationships (Relaciones de confianza), seleccione la confianza que desea eliminar, elija Actions (Acciones) y, a continuación, seleccione Delete trust relationship (Eliminar relación de confianza).

  5. Elija Eliminar.