Introducción a Simple AD - AWS Directory Service
Requisitos previos para Simple ADCrea tu Simple AD Active DirectoryQué se crea con tu Simple AD Active DirectoryConfigurar DNS para Simple AD

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a Simple AD

Simple AD crea un directorio totalmente gestionado y basado en Samba en la AWS nube. Cuando crea un directorio con Simple AD, AWS Directory Service crea dos controladores de dominio y servidores DNS en su nombre. Los controladores de dominio se crean en diferentes subredes de una Amazon VPC. Esta redundancia ayuda a garantizar que el directorio permanezca accesible incluso si se produce un error.

Requisitos previos para Simple AD

Para crear un Simple ADActive Directory, necesitas una Amazon VPC con lo siguiente:

  • La VPC debe disponer de tenencia de hardware predeterminada.

  • La VPC no debe configurarse con los siguientes puntos de enlace de la VPC:

  • Al menos dos subredes en dos zonas de disponibilidad diferentes. Las subredes deben estar en el mismo rango de enrutamiento entre dominios sin clase (CIDR). Si desea ampliar o cambiar el tamaño de la VPC del directorio, asegúrese de seleccionar las dos subredes de controlador de dominio al rango de CIDR de la VPC ampliado. Cuando crea un Simple AD, AWS Directory Service crea dos controladores de dominio y servidores DNS en su nombre.

  • Si necesita compatibilidad de LDAPS con Simple AD, le recomendamos que lo configure mediante un equilibrador de carga de red conectado al puerto 389. Este modelo le permite utilizar un certificado seguro para la conexión a través de LDAPS, simplificar el acceso a LDAPS a través de una única dirección IP de NLB y disponer de conmutación por error automática a través del NLB. Simple AD no admite el uso de certificados autofirmados en el puerto 636. Para obtener más información sobre cómo configurar LDAPS con Simple AD, consulte How to configure an LDAPS endpoint for Simple AD en el Blog de seguridad de AWS .

  • Deben habilitarse los siguientes tipos de cifrado en el directorio:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • Tipos de cifrado futuros

      nota

      Si deshabilita estos tipos de cifrado, puede provocar problemas de comunicación con RSAT (Herramientas de administración remota del servidor) y afectar a la disponibilidad o a su directorio.

  • Para obtener más información, consulte ¿Qué es Amazon VPC? en la Guía del usuario de Amazon VPC.

AWS Directory Service utiliza una estructura de dos VPC. Las instancias EC2 que componen su directorio se ejecutan fuera de su AWS cuenta y son administradas por. AWS Contienen dos adaptadores de red, ETH0 y ETH1. ETH0 es el adaptador de administración y se encuentra fuera de su cuenta. ETH1 se crea dentro de su cuenta.

El rango de IP de administración de la red ETH0 del directorio se elige mediante programación para garantizar que no entre en conflicto con la VPC en la que está implementado el directorio. Este rango de IP puede estar en cualquiera de los siguientes pares (ya que los directorios se ejecutan en dos subredes):

  • 10.0.1.0/24 y 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 y 192.168.2.0/24

Para evitar conflictos, comprobamos el primer octeto del CIDR ETH1. Si comienza con un 10, entonces elegimos una VPC 192.168.0.0/16 con subredes 192.168.1.0/24 y 192.168.2.0/24. Si el primer octeto no es un 10, elegimos una VPC 10.0.0.0/16 con subredes 10.0.1.0/24 y 10.0.2.0/24.

El algoritmo de selección no incluye las rutas de la VPC. Por lo tanto, es posible que este escenario provoque un conflicto del enrutamiento IP.

Crea tu Simple AD Active Directory

Para crear un nuevo Simple ADActive Directory, lleve a cabo los siguientes pasos. Antes de comenzar este procedimiento, asegúrese de haber completado los requisitos previos que se indican en Requisitos previos para Simple AD.

Para crear un Simple AD Active Directory

  1. En el panel de navegación de la consola de AWS Directory Service, elija Directorios y, a continuación, elija Configurar directorio.

  2. En la página Seleccionar tipo de directorio, elija Simple AD y, a continuación, elija Siguiente.

  3. En la página Enter directory information (Especifique la información del directorio), facilite la siguiente información:

    Tamaño del directorio

    Elija entre la opción de tamaño Small (Pequeño) o Large (Grande). Para obtener más información acerca de los tamaños, consulte AD sencillo.

    Nombre de organización

    Un nombre de organización único para su directorio que se utilizará para registrar los dispositivos cliente.

    Este campo solo está disponible si está creando su directorio como parte del lanzamiento WorkSpaces.

    Nombre de DNS del directorio

    El nombre completo del directorio, como por ejemplo corp.example.com.

    Nombre NetBIOS del directorio

    El nombre abreviado del directorio, como CORP.

    Administrator password

    Contraseña del administrador del directorio. Al crear el directorio, se crea también una cuenta de administrador con el nombre de usuario Administrator y esta contraseña.

    La contraseña del administrador del directorio distingue entre mayúsculas y minúsculas y debe tener 8 caracteres como mínimo y 64 como máximo. También debe contener al menos un carácter de tres de las siguientes categorías:

    • Letras minúsculas (a-z)

    • Letras mayúsculas (A-Z)

    • Números (0-9)

    • Caracteres no alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmar contraseña

    Vuelva a escribir la contraseña de administrador.

    Descripción del directorio

    Descripción opcional del directorio.

  4. En la página Choose VPC and subnets (Elegir la VPC y las subredes), proporcione la siguiente información y, a continuación, elija Next (Siguiente).

    VPC

    VPC del directorio.

    Subredes

    Elija las subredes de los controladores de dominio. Las dos subredes deben estar en diferentes zonas de disponibilidad.

  5. En la página Review & create (Revisar y crear), revise la información del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, seleccione Create directory (Crear directorio). La creación del directorio tarda varios minutos. Una vez creado, el valor Status cambia a Active.

Qué se crea con tu Simple AD Active Directory

Cuando crea un Active Directory con Simple AD, AWS Directory Service realiza las siguientes tareas en su nombre:

  • Configura un directorio basado en Samba dentro de la VPC.

  • Crea una cuenta de administrador del directorio con el nombre de usuario Administrator y la contraseña especificada. Esta cuenta le permite administrar el directorio.

    importante

    Asegúrese de guardar esta contraseña. AWS Directory Service no almacena esta contraseña y no se puede recuperar. Sin embargo, puede restablecer una contraseña desde la AWS Directory Service consola o mediante la ResetUserPasswordAPI.

  • Crea un grupo de seguridad para los controladores del directorio.

  • Crea una cuenta llamada AWSAdminD-xxxxxxxx con privilegios de administrador del dominio. Esta cuenta se utiliza AWS Directory Service para realizar operaciones automatizadas de mantenimiento de directorios, como la toma de instantáneas de directorios y las transferencias de funciones de FSMO. AWS Directory Service almacena de forma segura las credenciales de esta cuenta.

  • Crea y asocia automáticamente una interfaz de red elástica (ENI) a cada uno de sus controladores de dominio. Cada uno de estos ENI es esencial para la conectividad entre la VPC AWS Directory Service y los controladores de dominio y nunca debe eliminarse. Puede identificar todas las interfaces de red reservadas para su uso AWS Directory Service mediante la descripción: «interfaz de red AWS creada para el identificador del directorio». Para obtener más información, consulte Elastic Network Interfaces en la Guía del usuario de Amazon EC2 para instancias de Windows. El servidor DNS predeterminado del Microsoft AD AWS administrado Active Directory es el servidor DNS de la VPC en el enrutamiento entre dominios sin clase (CIDR) +2. Para obtener más información, consulte el servidor DNS de Amazon en la Guía del usuario de Amazon VPC.

    nota

    De forma predeterminada, los controladores de dominio se implementan en dos zonas de disponibilidad de una región y se conectan a su nube privada virtual (VPC) de Amazon. Las copias de seguridad se hacen automáticamente una vez al día y los volúmenes de Amazon Elastic Block Store (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que tienen errores se sustituyen automáticamente en la misma zona de disponibilidad con la misma dirección IP y se puede llevar a cabo una recuperación de desastres completa con la última copia de seguridad.

Configurar DNS para Simple AD

Simple AD reenvía las solicitudes de DNS a la dirección IP de los servidores DNS proporcionados por Amazon para Amazon VPC. Estos servidores DNS resolverán nombres configurados en sus zonas alojadas privadas de Amazon Route 53. Al apuntar sus equipos en las instalaciones a su Simple AD, ya puede resolver las solicitudes de DNS en la zona alojada privada. Para obtener más información sobre Route 53, consulte Qué es Route 53.

Tenga en cuenta que, para permitir que su Simple AD responda a las consultas de DNS externas, debe configurar la lista de control de acceso (ACL) a la red de la VPC que contenga su Simple AD para que permita el tráfico desde fuera de la VPC.

  • Si no utiliza las zonas alojadas privadas de Route 53, sus solicitudes de DNS se reenviarán a los servidores DNS públicos.

  • Si utiliza servidores DNS personalizados que están fuera de la VPC y desea utilizar DNS privado, deberá cambiar la configuración para utilizar los servidores DNS personalizados en instancias EC2 dentro de la VPC. Para obtener más información, consulte Uso de zonas alojadas privadas.

  • Si desea que su Simple AD resuelva nombres mediante servidores DNS dentro de su VPC y servidores DNS privados fuera de su VPC, puede hacerlo a través de un conjunto de opciones de DHCP. Para ver un ejemplo detallado, consulte este artículo.

nota

Las actualizaciones dinámicas de DNS no se admiten en dominios de Simple AD. En lugar de ello, puede realizar los cambios directamente en su directorio utilizando el Administrador de DNS en una instancia que esté unida al dominio.