Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Tutorial: Cree una relación de confianza entre su Microsoft AD AWS administrado y su dominio de Active Directory autoadministrado
En este tutorial se explican todos los pasos necesarios para configurar una relación de confianza entre AWS Directory Service para Microsoft Active Directory y su Microsoft Active Directory autogestionado (local). Crear la relación de confianza solo requiere unos cuantos pasos, pero antes se deben haber satisfecho los requisitos previos siguientes.
**Topics**
+ [Requisitos previos](before_you_start.md)
+ [Paso 1: preparación del dominio de AD autoadministrado](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [Paso 2: Prepare su Microsoft AD AWS administrado](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [Paso 3: creación de la relación de confianza](ms_ad_tutorial_setup_trust_create.md)
**Véase también**
[Creación de una relación de confianza entre su Microsoft AD AWS administrado y su AD autogestionado](ms_ad_setup_trust.md)
# Requisitos previos
Este tutorial parte de la base de que ya se dispone de lo siguiente:
**nota**
AWS Microsoft AD administrado no admite la confianza con los [dominios de etiqueta única](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
+ Un directorio AWS administrado de Microsoft AD creado en AWS. Si necesita ayuda para hacerlo, consulte [Introducción a AWS Managed Microsoft AD](ms_ad_getting_started.md).
+ Se Windows agregó una instancia de EC2 en ejecución a ese Microsoft AD AWS administrado. Si necesita ayuda para hacerlo, consulte [Cómo unir una instancia Windows de Amazon EC2 a su Active Directory AWS administrado de Microsoft AD](launching_instance.md).
**importante**
La cuenta de administrador de su Microsoft AD AWS administrado debe tener acceso administrativo a esta instancia.
+ Las siguientes herramientas de Windows Server se encuentran instaladas en esa instancia:
+ AD DS y AD LDS Tools
+ DNS
Si necesita ayuda para hacerlo, consulte [Instalación de herramientas de administración de Active Directory para Microsoft AD AWS administrado](ms_ad_install_ad_tools.md).
+ Un directorio de Microsoft Active Directory (en las instalaciones) autoadministrado
Debe disponer de acceso administrativo a ese directorio. Las mismas herramientas de Windows Server mencionadas anteriormente también deben estar disponibles para este directorio.
+ Una conexión activa entre la red autogestionada y la VPC que contiene el Microsoft AD AWS gestionado. Si necesita ayuda para hacerlo, consulte [Amazon Virtual Private Cloud Connectivity Options](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf).
+ Una política de seguridad local configurada correctamente. Compruebe `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` y asegúrese de que contenga al menos las siguientes tres canalizaciones mencionadas a continuación:
+ netlogon
+ samr
+ lsarpc
+ Los nombres de dominio y NetBIOS deben ser únicos y no pueden ser los mismos para establecer una relación de confianza
Para obtener más información acerca de los requisitos previos para crear una relación de confianza, consulte [Creación de una relación de confianza entre su Microsoft AD AWS administrado y su AD autogestionado](ms_ad_setup_trust.md).
## Configuración del tutorial
Para este tutorial, ya hemos creado un Microsoft AD AWS administrado y un dominio autoadministrado. La red autogestionada está conectada a la VPC de Microsoft AD AWS gestionada. Estas son las propiedades de ambos directorios:
### AWS Microsoft AD administrado que se ejecuta en AWS
+ Nombre de dominio (FQDN): MyManaged AD.example.com
+ Nombre de NetBIOS: AD MyManaged
+ Direcciones de DNS: 10.0.10.246, 10.0.20.121
+ CIDR de VPC: 10.0.0.0/16
El Microsoft AD AWS administrado reside en el ID de VPC: vpc-12345678.
### Dominio de Microsoft AD AWS autogestionado o gestionado
+ Nombre de dominio (FQDN): corp.example.com
+ Nombre NetBIOS: CORP
+ Direcciones de DNS: 172.16.10.153
+ CIDR autoadministrado: 172.16.0.0/16
**Paso siguiente**
[Paso 1: preparación del dominio de AD autoadministrado](ms_ad_tutorial_setup_trust_prepare_onprem.md)
# Paso 1: preparación del dominio de AD autoadministrado
En primer lugar, es necesario completar varios pasos previos obligatorios en su dominio autoadministrado (en las instalaciones).
## Configuración de un firewall autoadministrado
Debe configurar el firewall autoadministrado para que los siguientes puertos estén abiertos a todas las CIDRs subredes utilizadas por la VPC que contiene su Microsoft AD administrado AWS . En este tutorial, permitimos el tráfico entrante y saliente desde 10.0.0.0/16 (el bloque CIDR de nuestra VPC gestionada de AWS Microsoft AD) en los siguientes puertos:
+ TCP/UDP 53: DNS
+ TCP/UDP 88: autenticación de Kerberos
+ TCP/UDP 389: protocolo ligero de acceso a directorios (LDAP)
+ TCP 445: protocolo de bloqueo de mensajes del servidor (SMB)
+ TCP 9389: Servicios web de Active Directory (ADWS) (*opcional*: este puerto debe estar abierto si desea utilizar su nombre de NetBIOS en lugar del nombre de dominio completo para la autenticación con aplicaciones AWS como Amazon o WorkDocs Amazon Quick).
**nota**
SMBv1 ya no es compatible.
Estos son los puertos mínimos necesarios para conectar la VPC y al directorio autogestionado. La configuración específica podría requerir abrir puertos adicionales.
## Asegúrese de que la autenticación previa de Kerberos esté habilitada
Las cuentas de usuario en ambos directorios deben tener habilitada la autenticación previa de Kerberos. Esta es la configuración predeterminada, pero vamos a comprobar las propiedades de cualquier usuario aleatorio para asegurarnos de que no haya cambiado nada.
**Cómo visualizar la configuración de Kerberos del usuario**
1. En el controlador de dominio autoadministrado, abra Server Manager.
1. En el menú **Herramientas**, elija **Usuarios y equipos de Active Directory**.
1. Elija la carpeta **Users (Usuarios)** y abra el menú contextual (haga clic con el botón derecho del ratón). Seleccione cualquiera de las cuentas de usuario que se muestran en el panel de la derecha. Seleccione **Propiedades**.
1. Elija la pestaña **Cuenta**. En la lista **Opciones de cuenta**, desplácese hacia abajo y asegúrese de que **No pedir la autenticación Kerberos previa** *no* esté seleccionado.
![\[Cuadro de diálogo de propiedades del usuario corporativo con la opción de cuenta «No pedir la autenticación Kerberos previa» resaltada.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/kerberos_enabled.png)
## Configuración de reenviadores condicionales DNS en su dominio autogestionado
Debe configurar programas de envío condicionales DNS en cada dominio. Antes de hacerlo en tu dominio autogestionado, primero obtendrás información sobre tu Microsoft AD AWS gestionado.
**Configuración de reenviadores condicionales DNS en su dominio autoadministrado**
1. Inicia sesión en la [AWS Directory Service consola Consola de administración de AWS](https://console.aws.amazon.com/directoryservicev2/) y ábrela.
1. En el panel de navegación, seleccione **Directories**.
1. Elija el ID de directorio de su Microsoft AD AWS administrado.
1. En la página **Details** (Detalles), anote los valores de **Directory name** (Nombre de directorio) y **DNS address** (Dirección DNS) del directorio.
1. Ahora, vuelva a su controlador de dominio autogestionado. Abra el Administrador del servidor.
1. En el menú **Herramientas**, elija **DNS**.
1. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la relación de confianza. Nuestro servidor es CN7 VJ0 WIN-5V70 .corp.example.com.
1. En el árbol de la consola, seleccione **Reenviadores condicionales**.
1. En el menú **Acción**, elija **Nuevo reenviador condicional**.
1. En el **dominio DNS**, escriba el nombre de dominio completo (FQDN) de su Microsoft AD AWS administrado, que indicó anteriormente. En este ejemplo, el FQDN es MyManaged AD.example.com.
1. Elija **las direcciones IP de los servidores principales** y escriba las direcciones DNS de su directorio AWS gestionado de Microsoft AD, que ha indicado anteriormente. En este ejemplo son: 10.0.10.246 y 10.0.20.121
Después de escribir las direcciones de DNS, es posible que aparezca un error que indique que se ha agotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.
![\[Cuadro de diálogo Nuevo programa de envío condicional con las direcciones IP de los servidores DNS resaltadas.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)
1. Active la casilla **Almacenar este reenviador condicional en Active Directory y replicarlo como sigue**.
1. Seleccione **Todos los servidores DNS en este dominio** y después haga clic en **Aceptar**.
**Paso siguiente**
[Paso 2: Prepare su Microsoft AD AWS administrado](ms_ad_tutorial_setup_trust_prepare_mad.md)
# Paso 2: Prepare su Microsoft AD AWS administrado
Ahora preparemos su Microsoft AD AWS administrado para la relación de confianza. Muchos de los pasos siguientes son casi idénticos a los que acaba de completar para su dominio autoadministrado. Sin embargo, esta vez está trabajando con su Microsoft AD AWS administrado.
## Configuración de las subredes de VPC y los grupos de seguridad
Debe permitir el tráfico de su red autogestionada a la VPC que contiene su Microsoft AD AWS gestionado. Para ello, tendrá que asegurarse de que las reglas ACLs asociadas a las subredes utilizadas para implementar su Microsoft AD AWS administrado y las reglas del grupo de seguridad configuradas en los controladores de dominio permiten el tráfico necesario para admitir las confianzas.
Los requisitos de puertos varían en función de la versión de Windows Server que utilizan los controladores de dominio y de los servicios o las aplicaciones que van a utilizar la relación de confianza. Para este tutorial, tendrá que abrir los siguientes puertos:
**Entrada**
+ TCP/UDP 53: DNS
+ TCP/UDP 88: autenticación de Kerberos
+ UDP 123: NTP
+ TCP 135: RPC
+ TCP/UDP 389: LDAP
+ TCP/UDP 445: SMB
+ TCP/UDP 464: autenticación Kerberos
+ TCP 636: LDAPS (LDAP a través de TLS/SSL)
+ TCP 3268-3269: catálogo global
+ TCP/UDP 49152-65535: puertos efímeros de RPC
**nota**
SMBv1 ya no es compatible.
**Salida**
+ ALL
**nota**
Estos son los puertos mínimos necesarios para poder conectar la VPC y el directorio autoadministrado. La configuración específica podría requerir abrir puertos adicionales.
**Para configurar las reglas de entrada y salida del controlador de dominio AWS administrado de Microsoft AD**
1. Vuelva a la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). En la lista de directorios, anote el identificador de directorio de su directorio AWS administrado de Microsoft AD.
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Usa el cuadro de búsqueda para buscar tu ID de directorio de Microsoft AD AWS administrado. En los resultados de búsqueda, seleccione el grupo de seguridad con la descripción **AWS created security group for *yourdirectoryID* directory controllers**.
![\[En la consola de Amazon VPC, aparecen resaltados los resultados de búsqueda del grupo de seguridad de los controladores de directorio.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/security-group-search.png)
1. Vaya a la pestaña **Outbound Rules** en ese grupo de seguridad. Elija **Editar reglas** y, a continuación, **Agregar regla**. Para la nueva regla, escriba los siguientes valores:
+ **Type (Tipo)**: ALL Traffic (Todo el tráfico)
+ **Protocol (Protocolo)**: ALL (Todos)
+ **Destination (Destino)** determina el tráfico que puede salir de sus controladores de dominio y a dónde puede ir. Especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por ejemplo, 203.0.113.5/32). También puede especificar el nombre o el ID de otro grupo de seguridad en la misma región. Para obtener más información, consulte [Comprenda la configuración y el uso de los grupos de AWS seguridad de su directorio](ms_ad_best_practices.md#understandsecuritygroup).
1. Seleccione **Guardar regla**.
![\[En la consola de Amazon VPC, edite las reglas de salida para el grupo de seguridad de los controladores del directorio.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## Asegúrese de que la autenticación previa de Kerberos esté habilitada
Ahora quiere confirmar que los usuarios de su Microsoft AD AWS administrado también tienen habilitada la autenticación previa de Kerberos. Este es el mismo proceso que ha completado para su directorio autoadministrado. Esta es la configuración predeterminada, pero vamos a comprobar que no haya cambiado nada.
**Visualización de la configuración de Kerberos del usuario**
1. Inicie sesión en una instancia que sea miembro de su directorio AWS administrado de Microsoft AD mediante el [AWS Permisos gestionados de grupos y cuentas de administrador de Microsoft AD](ms_ad_getting_started_admin_account.md) dominio o una cuenta a la que se le hayan delegado permisos para administrar los usuarios del dominio.
1. Si no están instaladas todavía, instale la herramienta Usuarios y equipos de Active Directory y la herramienta de DNS. Obtenga información sobre cómo instalar estas herramientas en [Instalación de herramientas de administración de Active Directory para Microsoft AD AWS administrado](ms_ad_install_ad_tools.md).
1. Abra el Administrador del servidor. En el menú **Herramientas**, elija **Usuarios y equipos de Active Directory**.
1. Seleccione la carpeta **Usuarios** en su dominio. Tenga en cuenta que esta es la carpeta **Users (Usuarios)** situada bajo el nombre de NetBIOS, no la carpeta **Users (Usuarios)** situada bajo el nombre de dominio completo (FQDN).
![\[En el cuadro de diálogo de Usuarios y equipos del Active Directory, la carpeta Usuarios está resaltada.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. En la lista de usuarios, haga clic con el botón derecho en un usuario y seleccione **Properties** (Propiedades).
1. Elija la pestaña **Cuenta**. En la lista **Opciones de cuenta**, desplácese hacia abajo y asegúrese de que **No pedir la autenticación Kerberos previa** *no* esté activado.
**Paso siguiente**
[Paso 3: creación de la relación de confianza](ms_ad_tutorial_setup_trust_create.md)
# Paso 3: creación de la relación de confianza
Ahora que ha finalizado el trabajo de preparación, los pasos finales se centran en crear las relaciones de confianza. Primero se crea la confianza en el dominio autogestionado y, finalmente, en el Microsoft AD AWS gestionado. Si se presenta algún problema durante el proceso de creación de relaciones de confianza, consulte [Motivos de los estados al crear relaciones de confianza](ms_ad_troubleshooting_trusts.md) para obtener ayuda.
## Configuración de la relación de confianza en el directorio de Active Directory autogestionado
En este tutorial, va a configurar una relación de confianza bidireccional. No obstante, si crea una relación de confianza entre bosques unidireccional, tenga en cuenta que la dirección de la relación de confianza de cada uno de los dominios debe ser complementaria. Por ejemplo, si creas una confianza unidireccional y saliente en tu dominio autogestionado, tendrás que crear una confianza unidireccional y entrante en tu AWS Microsoft AD gestionado.
**nota**
AWS Managed Microsoft AD también admite confianzas externas. Sin embargo, para este tutorial, creará una relación de confianza bidireccional entre bosques.
**Configuración de la relación de confianza en el directorio del Active Directory autoadministrado**
1. Abra el Administrador del servidor y, en el menú **Herramientas**, elija **Dominios y confianzas de Active Directory**.
1. Abra el menú contextual (con el botón derecho) de su dominio y elija **Propiedades**.
1. Elija la pestaña **Confianzas** y luego **Nueva confianza**. Escriba el nombre de su Microsoft AD AWS administrado y seleccione **Siguiente**.
1. Elija **Confianza de bosque**. Elija **Siguiente**.
1. Elija **Bidireccional**. Elija **Siguiente**.
1. Elija **Solo este dominio**. Elija **Siguiente**.
1. Elija **Autenticación en todo el bosque**. Elija **Siguiente**.
1. Escriba un valor en **Contraseña de la confianza**. Asegúrese de recordar esta contraseña, ya que la necesitará al configurar la confianza para su Microsoft AD AWS administrado.
1. En el siguiente cuadro de diálogo, confirme la configuración y elija **Siguiente**. Confirme que la confianza se haya creado correctamente y vuelva a seleccionar **Siguiente**.
1. Elija **No, no confirmar la confianza saliente**. Elija **Siguiente**.
1. Elija **No, no confirmar la confianza entrante**. Elija **Siguiente**.
## Configure la confianza en su directorio AWS administrado de Microsoft AD
Por último, debe configurar la relación de confianza del bosque con su directorio AWS administrado de Microsoft AD. Como ha creado una confianza de bosque bidireccional en el dominio autogestionado, también crea una confianza bidireccional mediante el directorio de AWS Microsoft AD administrado.
**nota**
Las relaciones de confianza son una característica global de AWS Managed Microsoft AD. Si está utilizando [Configurar la replicación multirregional para Microsoft AWS AD administrado](ms_ad_configure_multi_region_replication.md), se deben seguir estos procedimientos en [Región principal](multi-region-global-primary-additional.md#multi-region-primary). Los cambios se aplicarán automáticamente en todas las regiones replicadas. Para obtener más información, consulte [Características globales frente a las regionales](multi-region-global-region-features.md).
**Para configurar la confianza en el directorio de Microsoft AD AWS administrado**
1. Vuelva a la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. En la página **Directorios**, elige tu ID de Microsoft AD AWS administrado.
1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
+ Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región principal y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
+ Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.
1. En la sección **Trust relationships (Relaciones de confianza)**, elija **Actions (Acciones)** y, a continuación, seleccione **Add trust relationship (Añadir relación de confianza)**.
1. En la página **Agregar una relación de confianza**, especifique el tipo de confianza. En este caso, elegimos **Relación de confianza entre bosques**. Escriba el FQDN de su dominio autogestionado (en este tutorial, **corp.example.com**). Escriba la misma contraseña de confianza que usó al crear la relación de confianza en su dominio autogestionado. Especifique la dirección. En este caso, elegimos **Bidireccional**.
1. En el campo **Reenviador condicional**, ingrese la dirección IP del servidor DNS autogestionado. En este ejemplo, escriba 172.16.10.153.
1. (Opcional) Elija **Agregar otra dirección IP** y escriba una segunda dirección IP para el servidor DNS autogestionado. Puede especificar hasta un total de cuatro servidores DNS.
1. Elija **Añadir**.
Enhorabuena. Ahora tienes una relación de confianza entre tu dominio autogestionado (corp.example.com) y tu AWS Microsoft AD gestionado (AD.example.com). MyManaged Solo se puede configurar una relación entre estos dos dominios. Si, por ejemplo, desea cambiar la dirección de confianza por una unidireccional, primero tendría que eliminar esta relación de confianza y crear una nueva.
Para obtener más información, incluidas instrucciones acerca de cómo verificar o eliminar relaciones de confianza, consulte [Creación de una relación de confianza entre su Microsoft AD AWS administrado y su AD autogestionado](ms_ad_setup_trust.md).