Paso 1: preparación del dominio de AD autogestionado - AWS Directory Service
Configuración de un firewall autogestionadoAsegúrese de que la autenticación previa de Kerberos esté habilitadaConfiguración de reenviadores condicionales DNS en su dominio autogestionado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 1: preparación del dominio de AD autogestionado

En primer lugar, es necesario completar varios pasos previos obligatorios en su dominio autogestionado (en las instalaciones).

Configuración de un firewall autogestionado

Debe configurar el firewall autoadministrado para que los siguientes puertos estén abiertos a los CIDR de todas las subredes utilizadas por la VPC que contiene su Microsoft AD administrado. AWS En este tutorial, permitimos el tráfico entrante y saliente desde 10.0.0.0/16 (el bloque CIDR de nuestra VPC gestionada de AWS Microsoft AD) en los siguientes puertos:

  • TCP/UDP 53: DNS

  • TCP/UDP 88: autenticación de Kerberos

  • TCP/UDP 389: protocolo ligero de acceso a directorios (LDAP)

  • TCP 445: bloque de mensajes del servidor (SMB)

  • TCP 9389: Servicios web de Active Directory (ADWS) (opcional: este puerto debe estar abierto si desea utilizar su nombre de NetBIOS en lugar del nombre de dominio completo para la autenticación con aplicaciones AWS como Amazon o WorkDocs Amazon). QuickSight

nota

SMBv1 ya no es compatible.

Estos son los puertos mínimos necesarios para conectar la VPC y al directorio autogestionado. La configuración específica podría requerir abrir puertos adicionales.

Asegúrese de que la autenticación previa de Kerberos esté habilitada

Las cuentas de usuario en ambos directorios deben tener habilitada la autenticación previa de Kerberos. Esta es la configuración predeterminada, pero vamos a comprobar las propiedades de cualquier usuario aleatorio para asegurarnos de que no haya cambiado nada.

Para ver la configuración de Kerberos del usuario

  1. En el controlador de dominio autogestionado, abra Server Manager.

  2. En el menú Herramientas, elija Usuarios y equipos de Active Directory.

  3. Elija la carpeta Users (Usuarios) y abra el menú contextual (haga clic con el botón derecho del ratón). Seleccione cualquiera de las cuentas de usuario que se muestran en el panel de la derecha. Seleccione Propiedades.

  4. Elija la pestaña Cuenta. En la lista Opciones de cuenta, desplácese hacia abajo y asegúrese de que No pedir la autenticación Kerberos previa no esté seleccionado.

    El cuadro de diálogo Propiedades de usuario corporativo con la opción de cuenta no requiere la autenticación previa de Kerberos resaltada.

Configuración de reenviadores condicionales DNS en su dominio autogestionado

Debe configurar programas de envío condicionales DNS en cada dominio. Antes de hacerlo en tu dominio autogestionado, primero obtendrás información sobre tu Microsoft AD AWS gestionado.

Configuración de reenviadores condicionales DNS en su dominio autogestionado

  1. Inicia sesión en la AWS Directory Service consola AWS Management Console y ábrela.

  2. En el panel de navegación, seleccione Directories.

  3. Elija el ID de directorio de su Microsoft AD AWS administrado.

  4. En la página Details (Detalles), anote los valores de Directory name (Nombre de directorio) y DNS address (Dirección DNS) del directorio.

  5. Ahora, vuelva a su controlador de dominio autogestionado. Abra el Administrador del servidor.

  6. En el menú Herramientas, elija DNS.

  7. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la relación de confianza. Nuestro servidor es WIN-5V70CN7VJ0.corp.example.com.

  8. En el árbol de la consola, seleccione Reenviadores condicionales.

  9. En el menú Acción, elija Nuevo reenviador condicional.

  10. En el dominio DNS, escriba el nombre de dominio completo (FQDN) de su Microsoft AD AWS administrado, que indicó anteriormente. En este ejemplo, el FQDN es MyManaged AD.example.com.

  11. Elija las direcciones IP de los servidores principales y escriba las direcciones DNS de su directorio AWS administrado de Microsoft AD, que indicó anteriormente. En este ejemplo son: 10.0.10.246 y 10.0.20.121

    Después de escribir las direcciones de DNS, es posible que aparezca un error que indique que se ha agotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.

    Nuevo cuadro de diálogo del reenviador condicional con las direcciones IP de los servidores DNS resaltadas.

  12. Active la casilla Almacenar este reenviador condicional en Active Directory y replicarlo como sigue.

  13. Seleccione Todos los servidores DNS en este dominio y después haga clic en Aceptar.

Paso siguiente

Paso 2: preparación de su AWS Managed Microsoft AD