Creación de una relación de confianza entre el AWS Managed Microsoft AD y un AD autoadministrado - AWS Directory Service
Requisitos previosCreación de la relación de confianza

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una relación de confianza entre el AWS Managed Microsoft AD y un AD autoadministrado

Puede configurar relaciones de confianza externas y forestales unidireccionales y bidireccionales entre su AWS Directory Service para Microsoft Active Directory y los directorios autogestionados (en las instalaciones), así como entre varios directorios de AWS Managed Microsoft AD en la nube de AWS. AWS Managed Microsoft AD admite las tres direcciones en la relación de confianza: entrante, saliente y bidireccional.

Para obtener más información sobre la relación de confianza, consulte Everything you wanted to know about trusts with AWS Managed Microsoft AD.

nota

Al configurar relaciones de confianza, debe asegurarse de que el directorio autogestionado sea y siga siendo compatible con AWS Directory Service. Para obtener más información acerca de sus responsabilidades, consulte nuestro modelo de responsabilidad compartida.

AWS Managed Microsoft AD admite las relaciones de confianza entre bosques y externas. Para ver un caso de ejemplo donde se muestra cómo crear una relación de confianza entre bosques, consulte Tutorial: creación de una relación de confianza entre el directorio de AWS Managed Microsoft AD y el dominio de Active Directory autogestionado.

Se requiere una confianza bidireccional para las aplicaciones de empresa de AWS como Amazon Chime, Amazon Connect, Amazon QuickSight, AWS IAM Identity Center, Amazon WorkDocs, Amazon WorkMail, Amazon WorkSpaces y AWS Management Console. AWS Managed Microsoft AD debe poder consultar a los usuarios y grupos del Active Directory autoadministrado.

Puede habilitar la autenticación selectiva para que solo la cuenta de servicio específica de la aplicación de AWS pueda consultar el Active Directory autoadministrado. Para obtener más información, consulte Enhance security of your AWS app integration with AWS Managed Microsoft AD.

Amazon EC2, Amazon RDS y Amazon FSx funcionarán con una confianza unidireccional o bidireccional.

Requisitos previos

Para crear una relación de confianza solo son necesarios unos pasos, pero primero debe completar otros pasos previos antes de configurarla.

nota

AWS Managed Microsoft AD no admite la confianza con dominios de etiqueta única.

Conéctese a VPC

Si va a crear una relación de confianza con el directorio autoadministrado, primero debe conectar la red autoadministrada a la Amazon VPC que contiene el AWS Managed Microsoft AD. El firewall para sus redes del AWS Managed Microsoft AD y autoadministradas debe tener abiertos los puertos de red que se encuentran en Windows Server 2008 y versiones posteriores en la documentación de Microsoft.

Para usar su nombre NetBIOS en lugar de su nombre de dominio completo para la autenticación con sus aplicaciones de AWS, como Amazon WorkDocs o Amazon QuickSight, debe permitir el puerto 9389. Para obtener más información sobre los puertos y protocolos del Active Directory, consulte Introducción a los servicios y requisitos de puerto de red para Windows en la documentación de Microsoft.

Estos son los puertos mínimos necesarios para poder conectarse al directorio. La configuración específica podría requerir abrir puertos adicionales.

Configure la VPC

La VPC que contiene su directorio de AWS Managed Microsoft AD debe tener las reglas de salida y entrada adecuadas.

Configuración de las reglas de salida de la VPC

  1. En la consola de AWS Directory Service, en la página Detalles del directorio, indique el ID de su directorio de AWS Managed Microsoft AD.

  2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  3. Seleccione Security Groups.

  4. Busque el ID de directorio de AWS Managed Microsoft AD. En los resultados de búsqueda, seleccione el elemento con la descripción “AWS created security group for directory ID directory controllers”.

    nota

    El grupo de seguridad seleccionado es un grupo de seguridad que se crea automáticamente en el momento de crearse el directorio.

  5. Vaya a la pestaña Outbound Rules de ese grupo de seguridad. Seleccione Edit y después Add another rule. Para la nueva regla, escriba los siguientes valores:

    • Type: All Traffic

    • Protocol: All

    • Destination determina el tráfico que puede salir de sus controladores de dominio y a dónde puede ir en su red autogestionada. Especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por ejemplo, 203.0.113.5/32). También puede especificar el nombre o el ID de otro grupo de seguridad en la misma región. Para obtener más información, consulte Comprender la configuración y el uso de los grupos de seguridad de AWS del directorio.

  6. Seleccione Guardar.

Habilitación de la autenticación previa de Kerberos

Sus cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Para obtener más información acerca de esta configuración, revise Preauthentication en Microsoft TechNet.

Configuración de programas de envío condicionales DNS en su dominio autogestionado

Debe configurar programas de envío condicionales DNS en su dominio autogestionado. Consulte Assign a Conditional Forwarder for a Domain Name en Microsoft TechNet para obtener más información acerca de los programas de envío condicionales.

Para seguir estos pasos, debe tener acceso a las herramientas de Windows Server enumeradas a continuación para su dominio autogestionado:

  • AD DS y AD LDS Tools

  • DNS

Configuración de reenviadores condicionales DNS en su dominio autogestionado

  1. Primero debe obtener información acerca de su directorio de AWS Managed Microsoft AD. Inicie sesión en la AWS Management Console y abra la consola de AWS Directory Service.

  2. En el panel de navegación, seleccione Directories.

  3. Elija el ID de directorio de su AWS Managed Microsoft AD.

  4. Tome nota del nombre de dominio completo (FQDN) y las direcciones de DNS de su directorio.

  5. Ahora, vuelva a su controlador de dominio autogestionado. Abra el Administrador del servidor.

  6. En el menú Herramientas, elija DNS.

  7. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la relación de confianza.

  8. En el árbol de la consola, seleccione Reenviadores condicionales.

  9. En el menú Acción, elija Nuevo reenviador condicional.

  10. En Dominio DNS, escriba el nombre completo del dominio (FQDN) de su AWS Managed Microsoft AD, el cual apuntó antes.

  11. Elija las direcciones IP de los servidores principales e ingrese las direcciones DNS del directorio de AWS Managed Microsoft AD que anotó anteriormente.

    Después de escribir las direcciones de DNS, es posible que aparezca un error que indique que se ha agotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.

  12. Active la casilla Almacenar este reenviador condicional en Active Directory y replicarlo como sigue: Todos los servidores DNS en este dominio. Seleccione Aceptar.

Contraseña de relación de confianza

Si crea una relación de confianza con un dominio existente, configure la relación de confianza en ese dominio con las herramientas de administración de Windows Server. Al hacerlo, indique su contraseña de confianza. Deberá usar esta misma contraseña al configurar la relación de confianza en el directorio de AWS Managed Microsoft AD. Para obtener más información, consulte Managing Trusts en Microsoft TechNet.

Ya lo tiene todo listo para crear la relación de confianza en su directorio de AWS Managed Microsoft AD.

NetBIOS y nombres de dominio

Los nombres de dominio y NetBIOS deben ser únicos y no pueden ser los mismos para establecer una relación de confianza.

Crear, verificar o eliminar una relación de confianza

nota

Las relaciones de confianza son una característica global de AWS Managed Microsoft AD. Si está utilizando Configuración de la replicación multirregional para AWS Managed Microsoft AD, se deben seguir estos procedimientos en Región principal . Los cambios se aplicarán automáticamente en todas las regiones replicadas. Para obtener más información, consulte Características globales frente a las regionales.

Creación de una relación de confianza con su directorio de AWS Managed Microsoft AD

  1. Abra la consola de AWS Directory Service.

  2. En la página Directorios, elija el ID de AWS Managed Microsoft AD.

  3. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación multirregional, seleccione la región principal y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  4. En la sección Trust relationships (Relaciones de confianza), elija Actions (Acciones) y, a continuación, seleccione Add trust relationship (Añadir relación de confianza).

  5. En la página Add a trust relationship (Añadir una relación de confianza), proporcione la información necesaria, incluidos el tipo de confianza, el nombre de dominio completo (FQDN) del dominio de confianza, la contraseña de confianza y la dirección de confianza.

  6. (Opcional) Si solo desea permitir a los usuarios autorizados el acceso a los recursos de su directorio de AWS Managed Microsoft AD, puede elegir la casilla Autenticación selectiva. Para obtener información general sobre la autenticación selectiva, consulte Security Considerations for Trusts en Microsoft TechNet.

  7. En Reenviador condicional, escriba la dirección IP del servidor DNS autogestionado. Si ha creado anteriormente reenviadores condicionales, puede escribir el FQDN de su dominio autogestionado en lugar de una dirección IP de DNS.

  8. (Opcional) Elija Agregar otra dirección IP y escriba la dirección IP de un servidor DNS autogestionado adicional. Puede repetir este paso para cada dirección de servidor DNS aplicable, con un máximo de cuatro direcciones.

  9. Elija Añadir.

  10. Si el servidor DNS o la red de su dominio autogestionado usa un espacio de direcciones IP público (no RFC 1918), vaya a la sección Direccionamiento IP, elija Acciones y, a continuación, elija Agregar ruta. Escriba el bloque de direcciones IP del servidor DNS o su red autogestionada en formato CIDR, por ejemplo 203.0.113.0/24. Este paso no es necesario si su servidor DNS y su red autogestionada están utilizando espacios de direcciones IP RFC 1918.

    nota

    Cuando se utiliza un espacio de direcciones IP públicas, asegúrese de no utilizar ninguno de los rangos de direcciones IP de AWS dado que no se pueden utilizar.

  11. (Opcional) Le recomendamos que mientras se encuentra en la página Add routes (Añadir rutas) también seleccione Add routes to the security group for this directory's VPC (Añadir rutas al grupo de seguridad de la VPC de este directorio). De este modo se configurarán los grupos de seguridad según se detalla anteriormente, en “Configuración de la VPC”. Estas reglas de seguridad afectan a una interfaz de red interna no expuesta públicamente. Si esta opción no está disponible, verá un mensaje en su lugar en el que se indica que ya ha personalizado sus grupos de seguridad.

Debe configurar la relación de confianza en ambos dominios. Las relaciones deben ser complementarias. Por ejemplo, si crea una relación de confianza saliente en un dominio, debe crear una relación de confianza entrante en el otro.

Si crea una relación de confianza con un dominio existente, configure la relación de confianza en ese dominio con las herramientas de administración de Windows Server.

Puede crear varias relaciones de confianza entre su AWS Managed Microsoft AD y varios dominios de Active Directory. No obstante, solo puede existir una relación de confianza por par a la vez. Por ejemplo, si existe una relación de confianza unidireccional en la “dirección entrante” y desea configurar otra relación de confianza en la “dirección saliente”, deberá eliminar la relación de confianza existente y crear una nueva relación de confianza bidireccional.

Verificación de una relación de confianza saliente

  1. Abra la consola de AWS Directory Service.

  2. En la página Directorios, elija el ID de AWS Managed Microsoft AD.

  3. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación multirregional, seleccione la región principal y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  4. En la sección Trust relationships (Relaciones de confianza), seleccione la confianza que desea verificar, elija Actions (Acciones) y, a continuación, seleccione Verify trust relationship (Verificar relación de confianza).

Este proceso verifica únicamente la dirección de salida de una confianza bidireccional. AWS no admite verificar las relaciones de confianza entrantes. Para obtener más información sobre cómo verificar una relación de confianza hacia o desde su Active Directory autogestionado, consulte Verify a Trust en Microsoft TechNet.

Eliminación de una relación de confianza existente

  1. Abra la consola de AWS Directory Service.

  2. En la página Directorios, elija el ID de AWS Managed Microsoft AD.

  3. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación multirregional, seleccione la región principal y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  4. En la sección Trust relationships (Relaciones de confianza), seleccione la confianza que desea eliminar, elija Actions (Acciones) y, a continuación, seleccione Delete trust relationship (Eliminar relación de confianza).

  5. Elija Eliminar.