Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Introducción al AWS Microsoft AD gestionado
AWS Managed Microsoft AD crea un servidor 2019 totalmente administrado, Microsoft Active Directory Nube de AWS integrado y alimentado por Windows Server 2019 y funciona en los niveles funcionales de bosque y dominio de 2016. Cuando crea un directorio con Microsoft AD AWS administrado, Directory Service crea dos controladores de dominio y agrega el servicio DNS en su nombre. Los controladores de dominio se crean en subredes diferentes de una Amazon VPC; esta redundancia ayuda a garantizar que el directorio permanecerá accesible incluso en caso de error. Si necesita más controladores de dominio, puede añadirlos posteriormente. Para obtener más información, consulte Implementación de controladores de dominio adicionales para su Microsoft AD AWS administrado.
Para ver una demostración y una descripción general de AWS Managed Microsoft AD, consulte el siguiente YouTube vídeo.
Temas
Requisitos previos para crear un AWS Microsoft AD gestionado
Para crear un Active Directory AWS administrado de Microsoft AD, necesita una Amazon VPC con lo siguiente:
-
Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente y debe ser del mismo tipo de red.
Se puede usar IPv6 para su VPC. Para obtener más información, consulte Compatibilidad con IPv6 para su VPC en la Guía del usuario de Amazon Virtual Private Cloud.
-
La VPC debe disponer de tenencia de hardware predeterminada.
-
No puede crear un Microsoft AD AWS administrado en una VPC con las direcciones de 198.18.0. 0/15 espacio de direcciones.
Si necesita integrar su dominio de Microsoft AD AWS administrado con un dominio de Active Directory local existente, debe tener los niveles funcionales de bosque y dominio de su dominio local establecidos en Windows Server 2003 o superior.
Directory Service utiliza una estructura de dos VPC. Las instancias EC2 que componen su directorio se ejecutan fuera de su AWS cuenta y son administradas por. AWS Contienen dos adaptadores de red, ETH0 y ETH1. ETH0 es el adaptador de administración y se encuentra fuera de su cuenta. ETH1 se crea dentro de su cuenta.
El rango de IP de administración de la red ETH0 de su directorio es 198.18.0. 0/15.
Para ver un tutorial sobre cómo crear el AWS entorno y Microsoft AD AWS administrado, consulteAWS Tutoriales de laboratorio de pruebas gestionadas de Microsoft AD.
AWS IAM Identity Center requisitos previos
Si planea usar el Centro de identidades de IAM con Microsoft AD AWS administrado, debe asegurarse de que se cumpla lo siguiente:
-
El directorio de Microsoft AD AWS administrado está configurado en la cuenta de administración de la AWS organización.
-
Su instancia de IAM Identity Center se encuentra en la misma región en la que está configurado su directorio AWS gestionado de Microsoft AD.
Para más información, consulte Requisitos previos del IAM Identity Center en la Guía del usuario de AWS IAM Identity Center .
Multi-factor requisitos previos de autenticación
Para admitir la autenticación multifactor con su directorio de Microsoft AD AWS administrado, debe configurar su servidor de Servicio de autenticación remota de Dial-In usuarios
-
En su servidor RADIUS, cree dos clientes RADIUS para representar los dos controladores de dominio (DC) AWS administrados de Microsoft AD. AWS Debe configurar ambos clientes utilizando los siguientes parámetros comunes (su servidor RADIUS puede variar):
-
Dirección (DNS o IP): es la dirección DNS de uno de los DC AWS administrados de Microsoft AD. Ambas direcciones DNS se encuentran en la consola de AWS Directory Service, en la página de detalles del directorio AWS administrado de Microsoft AD en el que planea usar MFA. Las direcciones DNS que se muestran representan las direcciones IP de los dos DC AWS administrados de Microsoft AD que utilizan. AWS
nota
Si su servidor RADIUS es compatible con direcciones DNS, deberá crear una única configuración de cliente RADIUS. De lo contrario, debe crear una configuración de cliente RADIUS para cada Microsoft AD DC AWS administrado.
-
Port number: configure el número de puerto donde su servidor RADIUS acepta conexiones de clientes RADIUS. El puerto para RADIUS estándar es 1812.
-
Shared secret (Secreto compartido): escriba o genere el secreto compartido que el servidor RADIUS utilizará para conectar con los clientes de RADIUS.
-
Protocolo: es posible que deba configurar el protocolo de autenticación entre los DC de Microsoft AD AWS administrados y el servidor RADIUS. Los protocolos compatibles son PAP, CHAP MS-CHAPv1 y. MS-CHAPv2 MS-CHAPv2 se recomienda porque proporciona la mayor seguridad de las tres opciones.
-
Application name: puede ser opcional en algunos servidores RADIUS y normalmente identifica la aplicación en los mensajes o en los informes.
-
-
Configure su red existente para permitir el tráfico entrante desde los clientes RADIUS (direcciones DNS de Microsoft AD DC AWS administradas, consulte el paso 1) al puerto de su servidor RADIUS.
-
Añada una regla al grupo de seguridad Amazon EC2 de su dominio gestionado de AWS Microsoft AD que permita el tráfico entrante desde la dirección DNS y el número de puerto del servidor RADIUS definidos anteriormente. Para obtener más información, consulte Agregar reglas a un grupo de seguridad en la Guía del usuario de EC2.
Para obtener más información sobre el uso de Microsoft AD AWS administrado con MFA, consulte. Habilitar la autenticación multifactorial para AWS Microsoft AD gestionado
Creando su AWS Microsoft AD gestionado
Para crear un nuevo Active Directory AWS administrado de Microsoft AD, lleve a cabo los siguientes pasos. Antes de comenzar este procedimiento, asegúrese de haber completado los requisitos previos que se indican en Requisitos previos para crear un AWS Microsoft AD gestionado.
Para crear un AWS Microsoft AD gestionado
-
En el panel de navegación de la consola de AWS Directory Service
, elija Directorios y, a continuación, elija Configurar directorio. -
En la página Seleccionar tipo de directorio, elija AWS Managed Microsoft AD y, a continuación, elija Siguiente.
-
En la página Enter directory information (Especifique la información del directorio), facilite la siguiente información:
- Edición
-
Elija entre la edición estándar o la edición empresarial de AWS Managed Microsoft AD. Para obtener más información acerca de las ediciones, consulte AWS Directory Service para Microsoft Active Directory.
- Nombre de DNS del directorio
-
El nombre completo del directorio, como por ejemplo
corp.example.com.nota
Si planea utilizar la zona alojada privada de Amazon Route 53 para DNS, el nombre de dominio de su Microsoft AD AWS administrado debe ser diferente al nombre de dominio de Route 53. Se pueden producir problemas de resolución de DNS si Route 53 y AWS Managed Microsoft AD comparten el mismo nombre de dominio. Además, considere la posibilidad de cambiar la configuración Usar sugerencias de raíz si no hay ningún reenviador disponible de verdadero a falso. Cuando se establece en true y no se puede acceder a los reenviadores, Managed AWS Microsoft AD recurre a las sugerencias de raíz de Internet, que devuelven NXDOMAIN para los nombres de las zonas alojadas privadas. Esta respuesta negativa se almacena en caché, lo que prolonga los errores de resolución incluso después de que se haya restablecido la conectividad.
- Nombre NetBIOS del directorio
-
El nombre abreviado del directorio, como
CORP. - Descripción del directorio
-
Descripción opcional del directorio. Esta descripción se puede cambiar después de crear su Microsoft AD AWS administrado.
- Contraseña de administrador
-
Contraseña del administrador del directorio. Al crear el directorio, se crea también una cuenta de administrador con el nombre de usuario
Adminy esta contraseña. Puedes cambiar la contraseña de administrador después de crear tu Microsoft AD AWS administrado.La contraseña no puede incluir la palabra “admin”.
La contraseña del administrador del directorio distingue entre mayúsculas y minúsculas y debe tener 8 caracteres como mínimo y 64 como máximo. También debe contener al menos un carácter de tres de las siguientes categorías:
-
Letras minúsculas (a-z)
-
Letras mayúsculas () A-Z
-
Números (0-9)
-
Non-alphanumeric caracteres (~! @#$%^&*_-+=`|\ () {} []:; "'<>,.? /)
-
- Confirmar contraseña
-
Vuelva a escribir la contraseña de administrador.
- (Opcional) Administración de usuarios y grupos
-
Para habilitar la administración AWS administrada de usuarios y grupos de Microsoft AD desde Consola de administración de AWS, seleccione Administrar la administración de usuarios y grupos en Consola de administración de AWS. Para obtener más información acerca de cómo usar la administración de grupos y usuarios, consulte Administración AWS Administró usuarios y grupos de Microsoft AD con Consola de administración de AWS, AWS CLI, or Herramientas de AWS para PowerShell.
-
En la página Choose VPC and subnets (Elegir la VPC y las subredes), proporcione la siguiente información y, a continuación, elija Next (Siguiente).
- VPC
-
Seleccione la VPC del directorio.
- Tipo de red
-
El sistema de direcciones del Protocolo de Internet (IP) asociado a la VPC y las subredes.
Seleccione el bloque de CIDR asociado a su VPC existente. Los recursos en la subred pueden estar configurados para usar solo IPv4, solo IPv6 o IPv4 e IPv6 (pila doble). Para obtener más información, consulte Creación de IPv4 y IPv6 en la Guía del usuario de Amazon Virtual Private Cloud.
- Subredes
-
Seleccione las subredes de los controladores de dominio. Las dos subredes deben estar en diferentes zonas de disponibilidad.
-
En la página Review & create (Revisar y crear), revise la información del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, seleccione Create directory (Crear directorio). Se tarda entre 20 y 40 minutos en crear el directorio. Una vez creado, el valor Status cambia a Active.
Para obtener más información sobre lo que se crea con su Microsoft AD AWS administrado, consulte lo siguiente:
Artículos del blog AWS de seguridad relacionados