Pré-requisitos do diretório híbrido

O diretório híbrido estende seu Active Directory autogerenciado para o. Nuvem AWS Antes de criar um diretório híbrido, certifique-se de que seu ambiente atenda aos seguintes requisitos:

Microsoft Active Directoryrequisitos de domínio

Antes de criar um diretório híbrido, certifique-se de que seu ambiente e infraestrutura autogerenciados do AD atendam aos requisitos a seguir e reúna as informações necessárias.

Requisitos de domínio

Seu ambiente autogerenciado do AD deve atender aos seguintes requisitos:

• Usa um nível 2016 funcional Windows Server 2012 R2 ou.

• Usa controladores de domínio padrão para serem avaliados para a criação de diretórios híbridos. Controladores de domínio somente para leitura (RODC) não podem ser usados para a criação de diretórios híbridos.

• Tem dois controladores de domínio com todos os Active Directory serviços em execução.

• O Controlador de Domínio Primário (PDC) deve ser roteável em todos os momentos.

  Especificamente, o emulador PDC e o RID Master IPs do seu AD autogerenciado devem estar em uma das seguintes categorias:

  • Parte dos intervalos de endereços IP RFC1918 privados (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16)

  • Dentro da sua faixa de CIDR de VPC

  • Combine o DNS IPs de suas instâncias autogerenciadas com o diretório

  Você pode adicionar outras rotas IP para o diretório após a criação do diretório híbrido.

Informações necessárias

Reúna as seguintes informações sobre seu AD autogerenciado:

• Nome do DNS do diretório

• Diretório DNS IPs

• Credenciais da conta de serviço com permissões de administrador para seu AD autogerenciado

• AWS ARN secreto para armazenar as credenciais da sua conta de serviço (consulte) AWS ARN secreto para diretório híbrido

AWS ARN secreto para diretório híbrido

Para configurar um diretório híbrido com seu AD autogerenciado, você precisa criar uma chave KMS para criptografar seu AWS segredo e, em seguida, criar o segredo em si. Ambos os recursos devem ser criados no mesmo Conta da AWS que contém o diretório híbrido.

Criar uma chave do KMS

A chave KMS é usada para criptografar seu AWS segredo.

Importante

Para Chave de criptografia, não use a chave KMS AWS padrão. Certifique-se de criar a chave AWS KMS na mesma Conta da AWS que contém o diretório híbrido que você deseja criar para se juntar ao seu AD autogerenciado.

Para criar uma chave AWS KMS

1. No AWS KMS console, escolha Criar chave.

2. Em Tipo de chave, escolha Simétrica.

3. Em Uso da chave, escolha Criptografar e descriptografar.

4. Em Advanced options (Opções avançadas):

   1. Em Origem do material de chaves, escolha Externa.

   2. Em Regionalidade, escolha Chave de região única e escolha Avançar.

5. Em Alias, forneça um nome para a chave do KMS.

6. (Opcional) Em Descrição, forneça uma descrição da chave do KMS.

7. (Opcional) Para Tags, adicione tags para a chave KMS e escolha Avançar.

8. Para administradores de chaves, selecione um usuário do IAM.

9. Em Exclusão de chave, mantenha a seleção padrão para Permitir que administradores de chaves excluam essa chave e escolha Avançar.

10. Para usuários de chave, selecione o mesmo usuário do IAM da etapa anterior e escolha Avançar.

11. Revise a configuração.

12. Para Política de chaves, adicione a seguinte declaração à política:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "Enable IAM User Permissions",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
          },
          "Action": "kms:*",
          "Resource": "*"
        },
        { 
           "Sid": "Allow use of the KMS key on behalf of Directory Service", 
           "Effect": "Allow", 
           "Principal": {
             "Service": "ds.amazonaws.com"
           }, 
           "Action": "kms:Decrypt", 
           "Resource": "*"
        }
      ]
    }

13. Escolha Terminar.

Crie um AWS segredo

Crie um segredo no Secrets Manager para armazenar as credenciais da sua conta de usuário autogerenciada do AD.

Importante

Crie o segredo no mesmo Conta da AWS que contém o diretório híbrido que você deseja associar ao seu AD autogerenciado.

Como criar um segredo

• Em Secrets Manager, escolha Armazenar um novo segredo

• Em Tipo secreto, escolha Outro tipo de segredo

• Em Pares de chave/valor, adicione suas duas chaves:

1. Adicione a chave do nome de usuário

   1. Para a primeira chave, insira customerAdAdminDomainUsername.

   2. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD. Não inclua o nome do domínio, pois isso faz com que a criação da instância falhe.

2. Adicione a chave da senha

   1. Para a segunda chave, insira customerAdAdminDomainPassword.

   2. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.

Conclua a configuração secreta

1. Em Chave de criptografia, selecione a chave KMS que você criou em Criar uma chave do KMS e escolha Avançar.

2. Em Nome secreto, insira uma descrição para o segredo.

3. (Opcional) Em Descrição, insira uma descrição para o segredo.

4. Escolha Próximo.

5. Em Definir configurações de rotação, mantenha os valores padrão e escolha Próximo.

6. Revise as configurações do segredo e escolha Armazenar.

7. Escolha o segredo que você criou e copie o valor do ARN do segredo. Você usará esse ARN na próxima etapa para configurar seu Active Directory autogerenciado.

Requisitos de infraestrutura

Prepare os seguintes componentes de infraestrutura:

• Dois AWS Systems Manager nós com privilégios de administrador para agentes SSM

  • Se você Active Directory for autogerenciado fora do Nuvem AWS, precisará de dois nós do Systems Manager para um ambiente híbrido e multicloud. Para obter mais informações sobre como provisionar esses nós, consulte Configurando o Systems Manager para ambientes híbridos e multicloud.

  • Se você Active Directory for autogerenciado dentro do Nuvem AWS, você precisará de duas EC2 instâncias gerenciadas do Systems Manager. Para obter mais informações sobre como provisionar essas instâncias, consulte Gerenciando EC2 instâncias com Systems Manager.

Serviços necessários do Active Directory

Certifique-se de que os seguintes serviços estejam sendo executados em seu AD autogerenciado:

• Serviços de Domínio do Active Directory

• Serviço Web do Active Directory (ADWS)

• Sistema de eventos COM+

• DFSR (Distributed File System Replication, Replicação do sistema de arquivos distribuídos)

• Domain Name System (DNS)

• Servidor DNS

• Cliente de política de grupo

• Mensagens entre sites

• Chamada de procedimento remoto (RPC)

• Gerente de contas de segurança

• Servidor de horário do Windows

  nota

  O diretório híbrido exige que a porta UDP 123 esteja aberta e que o Windows Time Server esteja habilitado e funcional. Sincronizamos o horário com seu controlador de domínio para garantir que a replicação de diretórios híbridos funcione corretamente.

Requisitos de autenticação Kerberos

Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Para obter instruções detalhadas sobre como habilitar essa configuração, consulte Garantir que a pré-autenticação Kerberos esteja habilitada. Para obter informações gerais sobre essa configuração, acesse Pré-autenticação em Microsoft TechNet.

Tipos de criptografia compatíveis

O diretório híbrido oferece suporte aos seguintes tipos de criptografia ao se autenticar via Kerberos em seus Active Directory controladores de domínio:

• AES-256-HMAC

Requisitos de porta de rede

AWS Para estender seus controladores de Active Directory domínio autogerenciados, o firewall da sua rede existente deve ter as seguintes portas abertas CIDRs para ambas as sub-redes em sua Amazon VPC:

• TCP/UDP 53 - DNS

• TCP/UDP 88 - autenticação de Kerberos

• UDP 123 - Servidor de horário

• TCP 135 - Chamada de procedimento remoto

• TCP/UDP 389 - LDAP

• TCP 445 - SMB

• TCP 636 - Necessário somente para ambientes com LDAPS (Lightweight Directory Access Protocol Secure)

• TCP 49152-65535 - Portas TCP altas alocadas aleatoriamente pelo RPC

• TCP 3268 e 3269 - Catálogo global

• TCP 9389 Serviços Web do Active Directory (ADWS)

Essas são as portas mínimas necessárias para criar um diretório híbrido. Sua configuração específica pode exigir que portas adicionais sejam abertas.

nota

O DNS IPs fornecido para seus controladores de domínio e detentores de funções FSMO deve ter as portas acima abertas CIDRs para ambas as sub-redes na Amazon VPC.

nota

O diretório híbrido exige que a porta UDP 123 esteja aberta e que o Windows Time Server esteja habilitado e funcional. Sincronizamos o horário com seu controlador de domínio para garantir que a replicação de diretórios híbridos funcione corretamente.

Permissões Conta da AWS

Você precisará de permissões para as seguintes ações em seu Conta da AWS:

• ec2: AuthorizeSecurityGroupEgress

• ec2: AuthorizeSecurityGroupIngress

• ec2: CreateNetworkInterface

• ec2: CreateSecurityGroup

• ec2: DescribeNetworkInterfaces

• ec2: DescribeSubnets

• ec2: DescribeVpcs

• ec2: CreateTags

• ec2: CreateNetworkInterfacePermission

• sms: ListCommands

• sms: GetCommandInvocation

• sms: GetConnectionStatus

• sms: SendCommand

• gerente de segredos: DescribeSecret

• gerente de segredos: GetSecretValue

• objetivo: GetRole

• objetivo: CreateServiceLinkedRole

Requisitos de rede Amazon VPC

Uma VPC com o seguinte:

• Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente

• A VPC deve ter locação padrão

Você não pode criar um diretório híbrido em uma VPC usando endereços no espaço de endereço 198.18.0.0/15.

AWS Directory Service usa uma estrutura de duas VPC. As EC2 instâncias que compõem seu diretório são executadas fora do seu Conta da AWS e são gerenciadas pelo AWS. Elas têm dois adaptadores de rede ETH0 e ETH1. ETH0 é o adaptador de gerenciamento e existe fora da sua conta. ETH1 é criado em sua conta.

O intervalo de IP de gerenciamento da rede ETH0 para seu diretório é198.18.0.0/15.

Para obter mais informações, consulte um dos tópicos a seguir no Guia do usuário da Amazon VPC.

• O que é Amazon VPC?

• O que é Amazon VPC?

• VPCs e sub-redes

• O que AWS Site-to-Site VPNé

Para obter mais informações sobre AWS Direct Connect, consulte o O que é AWS Direct Connect?

AWS configuração do grupo de segurança

Por padrão, AWS anexa um grupo de segurança para permitir o acesso à rede aos nós AWS Systems Manager gerenciados em sua VPC. Opcionalmente, você pode fornecer seu próprio grupo de segurança que permite tráfego de rede de e para seus controladores de domínio autogerenciados fora da sua VPC.

Opcionalmente, você pode fornecer seu próprio grupo de segurança que permite tráfego de rede de e para seus controladores de domínio autogerenciados fora da sua VPC. Se você fornecer seu próprio grupo de segurança, precisará:

• Permita que você liste seus VPC CIDR intervalos e intervalos autogerenciados.

• Certifique-se de que esses intervalos não se sobreponham aos intervalos de IP AWS reservados

Considerações sobre avaliações de diretórios

A seguir estão algumas considerações ao criar avaliações de diretório e o número de avaliações que você pode ter em seu: Conta da AWS

• Uma avaliação de diretório é criada automaticamente quando você cria um diretório híbrido. Existem dois tipos de avaliações: CUSTOMER e. SYSTEM Você Conta da AWS tem um limite de 100 avaliações de CUSTOMER diretório.

• Se você tentar criar um diretório híbrido e já tiver 100 avaliações de CUSTOMER diretório, encontrará um erro. Exclua as avaliações para liberar capacidade antes de tentar novamente.

• Você pode solicitar um aumento em sua cota de avaliação de CUSTOMER diretório entrando em contato Suporte ou excluindo as avaliações existentes do diretório CUSTOMER para liberar capacidade.