Étape 1 : configurer votre environnement pour les approbations - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : configurer votre environnement pour les approbations

Dans cette section, vous allez configurer votre environnement Amazon EC2, déployer votre nouvelle forêt et préparer votre VPC pour les approbations avec. AWS

Environnement Amazon EC2 avec Amazon VPC, sous-réseaux et passerelles Internet pour déployer une nouvelle forêt et établir une relation de confiance.

Créer une instance EC2 Windows Server 2019

Utilisez la procédure suivante pour créer un serveur membre Windows Server 2019 dans Amazon EC2.

Pour créer une instance EC2 Windows Server 2019
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans la console Amazon EC2, choisissez Lancer une instance.

  3. Sur la page Step 1 (Étape 1), recherchez Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx dans la liste. Puis choisissez Sélectionner.

  4. Sur la page Étape 2, sélectionnez t2.large, puis choisissez Suivant : Configurer les détails de l'instance.

  5. Sur la page Étape 3, procédez comme suit :

  6. Sur la page Étape 4, conservez les paramètres par défaut, puis choisissez Next: Add Tags.

  7. Sur la page Étape 5, choisissez Add Tag. SousUnder Key (Clé), saisissez example.local-DC01, puis choisissez Next: Configure Security Group (Suivant : Configurer le groupe de sécurité).

  8. Sur la page Étape 6, choisissez Sélectionner un groupe de sécurité existant, sélectionnez AWS On-Prem Test Lab Security Group (que vous avez précédemment défini dans le didacticiel de base), puis choisissez Vérifier et lancer pour vérifier votre instance.

  9. Sur la page Étape 7, vérifiez la page, puis choisissez Lancer.

  10. Dans la boîte de dialogue Sélectionner une paire de clés existante ou créer une nouvelle paire de clés, procédez comme suit :

    • Choisissez Choisir une paire de clés existante.

    • Sous Sélectionner une paire de clés, choisissez AWS-DS-KP (que vous avez précédemment défini dans le didacticiel de base).

    • Cochez la case I acknowledge....

    • Choisissez Launch Instances (Démarrer les instances).

  11. Sélectionnez Afficher les instances pour revenir à la console Amazon EC2 et consulter l'état du déploiement.

Promouvoir votre serveur en contrôleur de domaine

Avant de pouvoir créer des approbations, vous devez générer et déployer le premier contrôleur de domaine pour une nouvelle forêt. Au cours de ce processus, vous configurez une nouvelle forêt Active Directory, installez DNS et définissez ce serveur afin qu'il utilise le serveur DNS local pour la résolution des noms. Vous devez redémarrer le serveur à la fin de cette procédure.

Note

Si vous souhaitez créer un contrôleur de domaine AWS qui se réplique avec votre réseau local, vous devez d'abord joindre manuellement l'instance EC2 à votre domaine sur site. Après cela, vous pourrez promouvoir le serveur en contrôleur de domaine.

Pour promouvoir votre serveur en contrôleur de domaine
  1. Dans la console Amazon EC2, choisissez Instances, sélectionnez l'instance que vous venez de créer, puis sélectionnez Connecter.

  2. Dans la boîte de dialogue Connectez-vous à votre instance, choisissez Télécharger le fichier Bureau à distance.

  3. Dans la boîte de dialogue Windows Security (Sécurity Windows) saisissez vos informations d'identification d'administrateur local pour que l'ordinateur Windows Server puisse se connecter (par exemple : administrator). Si vous ne possédez pas encore le mot de passe d'administrateur local, revenez à la console Amazon EC2, cliquez avec le bouton droit de la souris sur l'instance et choisissez Obtenir le mot de passe de Windows. Accédez à votre fichier AWS DS KP.pem ou votre clé .pem personnelle, puis choisissez Déchiffrer le mot de passe.

  4. Dans le menu Démarrer, choisissez Server Manager.

  5. Dans le Tableau de bord, choisissez Ajouter des rôles et des fonctionnalités.

  6. Dans l'Assistant Ajouter des rôles et des fonctionnalités, choisissez Suivant.

  7. Sur la page Sélectionner le type d'installation, choisissez Installation basée sur un rôle ou une fonctionnalité, puis choisissez Suivant.

  8. Sur la page Sélectionner le serveur de destination, assurez-vous que le serveur local est sélectionné, puis choisissez Suivant.

  9. Sur la page Sélectionner des rôles de serveurs, sélectionnez Services de domaine Active Directory. Dans la boîte de dialogue Assistant Ajouter des rôles et des fonctionnalités, vérifiez que la case Inclure les outils de gestion (le cas échéant) est cochée. Cliquez sur Ajouter des fonctionnalités, puis sur Suivant.

  10. Sur la page Sélectionner les fonctionnalités, choisissez Suivant.

  11. Sur la page Services de domaine Active Directory, choisissez Suivant.

  12. Sur la page Confirmer les sélections d'installation, choisissez Installer.

  13. Une fois les fichiers binaires Active Directory installés, choisissez Fermer.

  14. Lorsque le Gestionnaire de serveurs s'ouvre, recherchez un indicateur en haut de la page en regard de la mention Gérer. Lorsque cet indicateur devient jaune, le serveur est prêt à être promu.

  15. Choisissez l'indicateur jaune, puis choisissez Promouvoir ce serveur en contrôleur de domaine.

  16. Sur la page Configuration de déploiement, choisissez Ajouter une nouvelle forêt. Dans Root domain nam (Nom de domaine racine), saisissez example.local, puis choisissez Next (Suivant).

  17. Sur la page Options du contrôleur de domaine, procédez comme suit :

    • Dans Niveau fonctionnel de la forêt et Niveau fonctionnel du domaine, choisissez Windows Server 2016.

    • Sous Spécifier les capacités du contrôleur de domaine, vérifiez que le serveur DNS et le catalogue global (GC) sont sélectionnés.

    • Saisissez et confirmez un mot de passe pour le mode de restauration des services d'annuaire (DSRM). Ensuite, sélectionnez Suivant.

  18. Sur la page Options DNS, ignorez l'avertissement sur la délégation et choisissez Suivant.

  19. Sur la page Options supplémentaires, assurez-vous que EXAMPLE est répertorié comme nom de NetBios domaine.

  20. Sur la page Chemins, conservez les valeurs par défaut, puis choisissez Suivant.

  21. Sur la page Vérifier les options, choisissez Suivant. Le serveur vérifie maintenant que toutes les conditions préalables requises pour le contrôleur de domaine sont remplies. Certains avertissements peuvent s'afficher, mais vous pouvez les ignorer sans risque.

  22. Choisissez Installer. Une fois l'installation terminée, le serveur redémarre puis devient un contrôleur de domaine fonctionnel.

Configuration de votre VPC

Les trois procédures suivantes vous guident à travers les étapes de configuration de votre VPC pour établir une connectivité avec AWS.

Pour configurer vos règles sortantes VPC
  1. Dans la AWS Directory Service console, notez l'ID de répertoire Microsoft AD AWS géré pour corp.example.com que vous avez créé précédemment dans le didacticiel de base.

  2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  3. Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité).

  4. Recherchez votre ID d'annuaire Microsoft AD AWS géré. Dans les résultats de recherche, sélectionnez l'élément avec la description AWS created security group for d-xxxxxx directory controllers.

    Note

    Ce groupe de sécurité a été automatiquement créé lorsque vous avez créé votre annuaire.

  5. Choisissez l'onglet Règles sortantes de ce groupe de sécurité. Choisissez Modifier, Ajouter une autre règle, puis ajoutez les valeurs suivantes :

    • Pour Type, sélectionnez Tout le trafic.

    • Pour Destination, tapez 0.0.0.0/0.

    • Conservez les valeurs par défaut des autres paramètres.

    • Sélectionnez Save.

Pour vérifier que l'authentification préalable Kerberos est activée
  1. Sur le contrôleur de domaine example.local, ouvrez le Gestionnaire de serveurs.

  2. Dans le menu Tools, choisissez Active Directory Users and Computers.

  3. Accédez à l'annuaire Utilisateurs, cliquez avec le bouton droit sur n'importe quel utilisateur et sélectionnez Propriétés, puis choisissez l'onglet Compte. Faites défiler la liste Options de compte vers le bas pour vérifier que l'option La pré-authentification Kerberos n'est pas nécessaire n'est pas cochée.

  4. Effectuez les mêmes étapes pour le domaine corp.example.com de l'instance corp.example.com-mgmt.

Pour configurer des redirecteurs conditionnels DNS
Note

Un redirecteur conditionnel est un serveur DNS sur un réseau qui est utilisé pour transférer des requêtes DNS en fonction du nom de domaine DNS dans la requête. Par exemple, un serveur DNS peut être configuré pour transférer toutes les requêtes qu'il reçoit pour des noms se terminant par widgets.example.com à l'adresse IP d'un serveur DNS spécifique ou aux adresses IP de plusieurs serveurs DNS.

  1. Ouvrez la AWS Directory Service console.

  2. Dans le volet de navigation, choisissez Directories (Annuaires).

  3. Sélectionnez l'ID de répertoire de votre AWS Managed Microsoft AD.

  4. Prenez note du nom de domaine complet (FQDN), corp.example.com, et des adresses DNS de votre annuaire.

  5. À présent, retournez sur votre contrôleur de domaine example.local, puis ouvrez le Gestionnaire de serveurs.

  6. Dans le menu Tools, choisissez DNS.

  7. Dans l'arborescence de la console, développez le serveur DNS du domaine pour lequel vous configurez l'approbation et accédez à Redirecteurs conditionnels.

  8. Cliquez avec le bouton droit de la souris sur Redirecteurs conditionnels, puis choisissez Nouveau redirecteur conditionnel.

  9. Pour le domaine DNS, saisissez corp.example.com.

  10. Sous Adresses IP des serveurs principaux, choisissez <Cliquez ici pour ajouter... >, tapez la première adresse DNS de votre annuaire Microsoft AD AWS géré (dont vous avez pris note dans la procédure précédente), puis appuyez sur Entrée. Répétez l'opération pour la seconde adresse DNS. Après avoir saisi les adresses DNS, il est possible que l'erreur « timeout » ou « Impossible à résoudre » s'affiche. Vous pouvez généralement ignorer ces erreurs.

  11. Cochez la case Stocker ce redirecteur conditionnel dans Active Directory, et le répliquer comme suit. Dans le menu déroulant, choisissez Tous les serveurs DNS de cette forêt, puis cliquez sur OK.