Introducción a AWS Managed Microsoft AD - AWS Directory Service
AWS Requisitos previos de Microsoft AD gestionadoAWS IAM Identity Center requisitos previosRequisitos previos de la autenticación multifactorCreación de su Microsoft AD AWS administrado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a AWS Managed Microsoft AD

AWS Managed Microsoft AD crea un entorno totalmente gestionado, Microsoft Active Directory en el Nube de AWS y funciona con Windows Servidor 2019 y funciona en los niveles funcionales de bosque y dominio R2 de 2012. Cuando crea un directorio con Microsoft AD AWS administrado, AWS Directory Service crea dos controladores de dominio y agrega el DNS servicio en su nombre. Los controladores de dominio se crean en diferentes subredes de Amazon. VPC Esta redundancia ayuda a garantizar que su directorio permanezca accesible incluso si se produce un error. Si necesita más controladores de dominio, puede añadirlos posteriormente. Para obtener más información, consulte Implementación de controladores de dominio adicionales para el AWS Managed Microsoft AD.

Para ver una demostración y una descripción general de AWS Managed Microsoft AD, consulte lo siguiente YouTube vídeo.

Temas

Requisitos previos para crear un AWS Managed Microsoft AD

Para crear un Microsoft AD AWS administrado Active Directory, necesitas un Amazon VPC con lo siguiente:

  • Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente.

  • El hardware VPC debe tener una tenencia predeterminada.

  • No puede crear un Microsoft AD AWS administrado en un espacio de direcciones que VPC utilice direcciones del espacio de direcciones 198.18.0.0/15.

Si necesita integrar su dominio de Microsoft AD AWS administrado con un dominio local existente Active Directory dominio, debe tener los niveles funcionales de bosque y dominio de su dominio local configurados en Windows Server 2003 o superior.

AWS Directory Service utiliza una VPC estructura doble. Las EC2 instancias que componen su directorio se ejecutan fuera de su AWS cuenta y son administradas por AWS. Contienen dos adaptadores de red, ETH0 y ETH1. ETH0 es el adaptador de administración y se encuentra fuera de su cuenta. ETH1 se crea dentro de su cuenta.

El rango de IP de administración de la red ETH 0 de su directorio es 198.18.0.0/15.

Para ver un tutorial sobre cómo crear el AWS entorno y Microsoft AD AWS administrado, consulteTutoriales de laboratorio de pruebas de AWS Managed Microsoft AD.

AWS IAM Identity Center requisitos previos

Si planea usar IAM Identity Center con Microsoft AD AWS administrado, debe asegurarse de que se cumpla lo siguiente:

  • El directorio de Microsoft AD AWS administrado está configurado en la cuenta de administración de la AWS organización.

  • La instancia de IAM Identity Center se encuentra en la misma región en la que está configurado el directorio AWS administrado de Microsoft AD.

Para obtener más información, consulte los requisitos previos del Centro de IAM identidad en la Guía del AWS IAM Identity Center usuario.

Requisitos previos de la autenticación multifactor

Para admitir la autenticación multifactorial con su directorio de Microsoft AD AWS administrado, debe configurar su servidor de Servicio de usuario telefónico de autenticación remota (RADIUS) local o basado en la nube de la siguiente manera para que pueda aceptar solicitudes de su directorio de AWS Microsoft AD administrado en. AWS

  1. En el RADIUS servidor, cree dos RADIUS clientes para representar los dos controladores de dominio AWS gestionados de Microsoft AD (DCs) en AWS. Debe configurar ambos clientes mediante los siguientes parámetros comunes (el RADIUS servidor puede variar):

    • Dirección (DNSo IP): es la DNS dirección de uno de los Microsoft AD AWS administradosDCs. Ambas DNS direcciones se encuentran en la Consola de AWS Directory Service, en la página de detalles del directorio AWS administrado de Microsoft AD que va a utilizarMFA. Las DNS direcciones que se muestran representan las direcciones IP de los dos Microsoft AD AWS administrados DCs que utilizan AWS.

      nota

      Si el RADIUS servidor admite DNS direcciones, debe crear solo una configuración de RADIUS cliente. De lo contrario, debe crear una configuración de RADIUS cliente para cada Microsoft AD DC AWS administrado.

    • Número de puerto: configure el número de puerto para el que el RADIUS servidor acepta las conexiones de los RADIUS clientes. El RADIUS puerto estándar es 1812.

    • Secreto compartido: escriba o genere un secreto compartido que el RADIUS servidor utilizará para conectarse con RADIUS los clientes.

    • Protocolo: es posible que deba configurar el protocolo de autenticación entre el Microsoft AD AWS administrado DCs y el RADIUS servidor. Los protocolos compatibles son PAP CHAP MS- CHAPv1 y MS-CHAPv2. Se CHAPv2 recomienda el MS- porque proporciona la mayor seguridad de las tres opciones.

    • Nombre de la aplicación: puede ser opcional en algunos RADIUS servidores y, por lo general, identifica la aplicación en los mensajes o informes.

  2. Configure su red existente para permitir el tráfico entrante desde los RADIUS clientes (DCsDNSdirecciones AWS administradas de Microsoft AD, consulte el paso 1) al puerto de su RADIUS servidor.

  3. Añade una regla al grupo de EC2 seguridad de Amazon en tu dominio AWS gestionado de Microsoft AD que permita el tráfico entrante desde la DNS dirección del RADIUS servidor y el número de puerto definidos anteriormente. Para obtener más información, consulte Añadir reglas a un grupo de seguridad en la Guía del EC2 usuario.

Para obtener más información sobre el uso de Microsoft AD AWS administrado conMFA, consulteHabilitación de la autenticación multifactor para el AWS Managed Microsoft AD.

Creación de su Microsoft AD AWS administrado

Para crear un nuevo Microsoft AD AWS administrado Active Directory, lleve a cabo los siguientes pasos. Antes de comenzar este procedimiento, asegúrese de haber completado los requisitos previos que se indican en Requisitos previos para crear un AWS Managed Microsoft AD.

Para crear un Microsoft AD AWS administrado

  1. En el panel de navegación de la consola de AWS Directory Service, elija Directorios y, a continuación, elija Configurar directorio.

  2. En la página Seleccionar tipo de directorio, elija AWS Managed Microsoft AD y, a continuación, elija Siguiente.

  3. En la página Enter directory information (Especifique la información del directorio), facilite la siguiente información:

    Edición

    Elija entre la edición estándar o la edición empresarial de AWS Managed Microsoft AD. Para obtener más información acerca de las ediciones, consulte AWS Directory Service para Microsoft Active Directory.

    DNSNombre del directorio

    El nombre completo del directorio, como por ejemplo corp.example.com.

    nota

    Si planea usar Amazon Route 53 paraDNS, el nombre de dominio de su Microsoft AD AWS administrado debe ser diferente al nombre de dominio de Route 53. DNSpueden producirse problemas de resolución si Route 53 y AWS Managed Microsoft AD comparten el mismo nombre de dominio.

    BIOSNombre de la red del directorio

    El nombre abreviado del directorio, como CORP.

    Descripción del directorio

    Descripción opcional del directorio. Esta descripción se puede cambiar después de crear su Microsoft AD AWS administrado.

    Contraseña de administrador

    Contraseña del administrador del directorio. Al crear el directorio, se crea también una cuenta de administrador con el nombre de usuario Admin y esta contraseña. Puedes cambiar la contraseña de administrador después de crear tu Microsoft AD AWS administrado.

    La contraseña no puede incluir la palabra “admin”.

    La contraseña del administrador del directorio distingue entre mayúsculas y minúsculas y debe tener 8 caracteres como mínimo y 64 como máximo. También debe contener al menos un carácter de tres de las siguientes categorías:

    • Letras minúsculas (a-z)

    • Letras mayúsculas (A-Z)

    • Números (0-9)

    • Caracteres no alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmar contraseña

    Vuelva a escribir la contraseña de administrador.

    (Opcional) Administración de usuarios y grupos

    Para habilitar la administración AWS administrada de usuarios y grupos de Microsoft AD desde AWS Management Console, seleccione Administrar la administración de usuarios y grupos en AWS Management Console. Para obtener más información acerca de cómo usar la administración de grupos y usuarios, consulte Administre los usuarios y grupos AWS administrados de Microsoft AD con AWS Management ConsoleAWS CLI, o AWS Tools for PowerShell.

  4. En la página Elegir VPC subredes, proporcione la siguiente información y, a continuación, elija Siguiente.

    VPC

    El VPC para el directorio.

    Subredes

    Elija las subredes de los controladores de dominio. Las dos subredes deben estar en diferentes zonas de disponibilidad.

  5. En la página Review & create (Revisar y crear), revise la información del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, seleccione Create directory (Crear directorio). Se tarda entre 20 y 40 minutos en crear el directorio. Una vez creado, el valor Status cambia a Active.

Para obtener más información sobre lo que se crea con su Microsoft AD AWS administrado, consulte lo siguiente: