Paso 1: configuración del entorno para las relaciones de confianza - AWS Directory Service
Creación de una instancia de EC2 de Windows Server 2019Promoción de su servidor a controlador de dominioConfigure la VPC

Paso 1: configuración del entorno para las relaciones de confianza

En esta sección configurará su entorno de Amazon EC2, implementará su nuevo bosque y preparará su VPC para establecer relaciones de confianza con AWS.

Utilice un entorno de Amazon EC2 con Amazon VPC, subredes y puertas de enlace de Internet para implementar un nuevo bosque y establecer una relación de confianza.

Creación de una instancia de EC2 de Windows Server 2019

Siga este procedimiento para crear un servidor miembro de Windows Server 2019 en Amazon EC2.

Creación de una instancia EC2 de Windows Server 2019

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la consola de Amazon EC2, elija Lanzar instancia.

  3. En la página Step 1 (Paso 1), busque Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx en la lista. A continuación, elija Seleccionar.

  4. En la página Step 2, seleccione t2.large y, a continuación, elija Next: Configure Instance Details.

  5. En la página Step 3, haga lo siguiente:

    • En Red, seleccione vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 (que configuró anteriormente en el Tutorial básico).

    • En Subred, seleccione subnet-xxxxxxxxxxxxxxxxx | AWS-OnPrem-VPC01-Subnet01 | AWS-OnPrem-VPC01.

    • En la lista Auto-assign Public IP, elija Enable (si el ajuste de subred no está ajustado en Enable de forma predeterminada).

    • No cambie el resto de los valores predeterminados de los demás ajustes.

    • Elija Siguiente: Añadir almacenamiento.

  6. En la página Step 4, deje la configuración predeterminada y, a continuación, elija Next: Add Tags.

  7. En la página Step 5, elija Add Tag. En Key (Clave), escriba example.local-DC01 y, a continuación, elija Next: Configure Security Group (Siguiente: Configurar grupo de seguridad).

  8. En la página Paso 6, elija Seleccionar un grupo de seguridad existente, seleccione Grupo de seguridad del laboratorio de pruebas de AWS On-Prem (que configuró anteriormente en el Tutorial básico) y, a continuación, elija Revisar y lanzar para revisar la instancia.

  9. En la página Step 7, revise la página y, a continuación, seleccione Launch.

  10. En el cuadro de diálogo Select an existing key pair or create a new key pair, proceda del modo siguiente:

    • Elija Choose an existing key pair.

    • En Seleccionar un par de claves, elija AWS-DS-KP (que configuró anteriormente en el Tutorial básico).

    • Active la casilla I acknowledge....

    • Elija Launch Instances.

  11. Elija Ver instancias para volver a la consola de Amazon EC2 y ver el estado de la implementación.

Promoción de su servidor a controlador de dominio

Antes de poder crear relaciones de confianza, debe crear e implementar el primer controlador de dominio para un nuevo bosque. Durante este proceso, puede configurar un nuevo bosque de Active Directory, instalar DNS y establecer este servidor para usar el servidor DNS local para la resolución de nombres. Debe reiniciar el servidor al final de este procedimiento.

nota

Si desea crear un controlador de dominio en AWS que se replique con su red en las instalaciones, primero habría que incorporar manualmente la instancia de EC2 a su dominio en las instalaciones. Hecho esto, podrá promocionar el servidor a un controlador de dominio.

Para promocionar su servidor a un controlador de dominio

  1. En la consola de Amazon EC2, elija Instancias, seleccione la instancia que acaba de crear y, a continuación, elija Conectar.

  2. En el cuadro de diálogo Connect To Your Instance, elija Download Remote Desktop File.

  3. En el cuadro de diálogo Windows Security (Seguridad de Windows), escriba sus credenciales de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo, administrator). Si aún no tiene la contraseña de administrador local, vuelva a la consola de Amazon EC2, haga clic con el botón derecho en la instancia y elija Obtener contraseña de Windows. Vaya a su archivo AWS DS KP.pem o a su clave personal .pem y, a continuación, elija Decrypt Password.

  4. En el menú Inicio, elija Administrador del servidor.

  5. En Panel, elija Agregar roles y características.

  6. En Asistente para agregar roles y características, elija Siguiente.

  7. En la página Seleccionar tipo de instalación, elija Instalación basada en características o en roles y, a continuación, elija Siguiente.

  8. En la página Seleccionar servidor de destino, asegúrese de que se selecciona el servidor local y, a continuación, elija Siguiente.

  9. En la página Seleccionar roles de servidor, seleccione Servicios de dominio de Active Directory. En el cuadro de diálogo Asistente para agregar roles y características, compruebe que se activa la casilla Incluir herramientas de administración (si es aplicable). Elija Agregar características y, luego, seleccione Siguiente.

  10. En la página Seleccionar características, elija Siguiente.

  11. En la página Servicios de dominio de Active Directory, elija Siguiente.

  12. En la página Confirmar selecciones de instalación, elija Instalar.

  13. Una vez instalados los binarios de Active Directory, elija Cerrar.

  14. Al abrirse el administrador del servidor, busque una marca en la parte superior junto a la palabra Administrar. Cuando esta marca pase a color amarillo, el servidor estará listo para promocionarse.

  15. Elija la marca amarilla y, a continuación, elija Promover este servidor a controlador de dominio.

  16. En la página Configuración de implementación, elija Agregar un nuevo bosque. En Nombre del dominio raíz, escriba example.local y, a continuación, elija Siguiente.

  17. En la página Opciones del controlador de dominio, haga lo siguiente:

    • Tanto en Nivel funcional de bosque como en Nivel funcional del dominio, elija Windows Server 2016.

    • En Especificar capacidades del controlador de dominio, verifique que tanto el Servidor DNS como el Catálogo global (GC) estén seleccionados.

    • Escriba y, a continuación, confirme una contraseña de Directory Services Restore Mode (DSRM). A continuación, elija Next.

  18. En la página Opciones de DNS, ignore la advertencia sobre delegación y elija Siguiente.

  19. En la página Additional options (Opciones adicionales), asegúrese de que EXAMPLE se muestra como nombre del dominio NetBios.

  20. En la página Rutas, deje los valores predeterminados y seleccione Siguiente.

  21. En la página Revisar opciones, seleccione Siguiente. El servidor realiza ahora comprobaciones para asegurarse de que se cumplen todos los requisitos previos para el controlador de dominio. Si bien pueden aparecer algunas advertencias, puede ignorarlas de forma segura.

  22. Elija Instalar. Una vez realizada la instalación, el servidor se reinicia y, a continuación, pasa a ser un controlador de dominio funcional.

Configure la VPC

Los tres procedimientos siguientes le guían a través de los pasos para configurar su VPC a fin de establecer conectividad con AWS.

Configuración de las reglas de salida de la VPC

  1. En la consola de AWS Directory Service, anote el ID de directorio de AWS Managed Microsoft AD para corp.example.com que creó previamente en el Tutorial básico.

  2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  3. En el panel de navegación, elija Security Groups.

  4. Busque el ID de directorio de AWS Managed Microsoft AD. En los resultados de búsqueda, seleccione el elemento que tiene la descripción Grupo de seguridad de AWS creado para los controladores de directorio d-xxxxxx.

    nota

    Este grupo de seguridad se creó automáticamente en el momento de crearse su directorio.

  5. Elija la pestaña Outbound Rules en ese grupo de seguridad. Elija Edit y Add another rule y, a continuación, añada los siguientes valores:

    • En Type, seleccione All Traffic.

    • En Destination, escriba 0.0.0.0/0.

    • No cambie el resto de los valores predeterminados de los demás ajustes.

    • Seleccione Guardar.

Para comprobar que la autenticación previa de Kerberos está habilitada

  1. En el controlador de dominio example.local, abra Administrador del servidor.

  2. En el menú Herramientas, elija Usuarios y equipos de Active Directory.

  3. Vaya al directorio Usuarios, haga clic con el botón derecho en cualquier usuario y seleccione Propiedades y, a continuación, elija la pestaña Cuenta. En la lista Opciones de la cuenta, desplácese hacia abajo y asegúrese de que No pedir la autenticación Kerberos previa no esté seleccionado.

  4. Siga los mismos pasos para el dominio corp.example.com en la instancia de corp.example.com-mgmt .

Configuración de programas de envío condicionales DNS
nota

Un reenviador condicional es un servidor DNS en una red que se utiliza para reenviar consultas DNS según el nombre de dominio DNS de la consulta. Por ejemplo, un servidor DNS puede configurarse para reenviar todas las consultas que recibe para los nombres que terminan con widgets.example.com a la dirección IP de un servidor DNS específico o a las direcciones IP de varios servidores DNS.

  1. Abra la consola de AWS Directory Service.

  2. En el panel de navegación, elija Directories (Directorios).

  3. Seleccione el ID de directorio de su AWS Managed Microsoft AD.

  4. Tome nota del nombre de dominio completo (FQDN), corp.example.com, y las direcciones DNS de su directorio.

  5. Ahora, vuelva a su controlador de dominio example.local y, a continuación, abra Administrador del servidor.

  6. En el menú Herramientas, elija DNS.

  7. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la confianza y vaya a Reenviadores condicionales.

  8. Haga clic con el botón derecho en Reenviadores condicionales y, a continuación, elija Nuevo reenviador condicional.

  9. En Dominio DNS, escriba corp.example.com.

  10. En Direcciones IP de los servidores principales, elija <Haga clic para agregar...>, escriba la primera dirección DNS del directorio de AWS Managed Microsoft AD (que anotó en el procedimiento anterior) y, a continuación, pulse Intro. Haga lo mismo para la segunda dirección DNS. Después de escribir las direcciones DNS, es posible que aparezca un error que indique que se ha agotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.

  11. Active la casilla Almacenar este reenviador condicional en Active Directory y replicarlo como sigue. En el menú desplegable, elija Todos los servidores DNS en este bosque y, a continuación, elija Aceptar.