Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Paso 1: preparación del dominio de AD autoadministrado
<a name="ms_ad_tutorial_setup_trust_prepare_onprem"></a>

En primer lugar, es necesario completar varios pasos previos obligatorios en su dominio autoadministrado (en las instalaciones).

## Configuración de un firewall autoadministrado
<a name="tutorial_setup_trust_connect_vpc"></a>

Debe configurar el firewall autoadministrado para que los siguientes puertos estén abiertos a todas las CIDRs subredes utilizadas por la VPC que contiene su Microsoft AD administrado AWS . En este tutorial, permitimos el tráfico entrante y saliente desde 10.0.0.0/16 (el bloque CIDR de nuestra VPC gestionada de AWS Microsoft AD) en los siguientes puertos:

 
+ TCP/UDP 53: DNS 
+ TCP/UDP 88: autenticación de Kerberos
+ TCP/UDP 389: protocolo ligero de acceso a directorios (LDAP)
+ TCP 445: protocolo de bloqueo de mensajes del servidor (SMB)
+ TCP 9389: Servicios web de Active Directory (ADWS) (*opcional*: este puerto debe estar abierto si desea utilizar su nombre de NetBIOS en lugar del nombre de dominio completo para la autenticación con aplicaciones AWS como Amazon o WorkDocs Amazon Quick).

**nota**  
SMBv1 ya no es compatible.  
Estos son los puertos mínimos necesarios para conectar la VPC y al directorio autogestionado. La configuración específica podría requerir abrir puertos adicionales.

## Asegúrese de que la autenticación previa de Kerberos esté habilitada
<a name="tutorial_setup_trust_enable_kerberos"></a>

Las cuentas de usuario en ambos directorios deben tener habilitada la autenticación previa de Kerberos. Esta es la configuración predeterminada, pero vamos a comprobar las propiedades de cualquier usuario aleatorio para asegurarnos de que no haya cambiado nada.

**Cómo visualizar la configuración de Kerberos del usuario**

1. En el controlador de dominio autoadministrado, abra Server Manager.

1. En el menú **Herramientas**, elija **Usuarios y equipos de Active Directory**.

1. Elija la carpeta **Users (Usuarios)** y abra el menú contextual (haga clic con el botón derecho del ratón). Seleccione cualquiera de las cuentas de usuario que se muestran en el panel de la derecha. Seleccione **Propiedades**. 

1. Elija la pestaña **Cuenta**. En la lista **Opciones de cuenta**, desplácese hacia abajo y asegúrese de que **No pedir la autenticación Kerberos previa** *no* esté seleccionado.   
![\[Cuadro de diálogo de propiedades del usuario corporativo con la opción de cuenta «No pedir la autenticación Kerberos previa» resaltada.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/kerberos_enabled.png)

## Configuración de reenviadores condicionales DNS en su dominio autogestionado
<a name="tutorial_setup_trust_onprem_forwarder"></a>

Debe configurar programas de envío condicionales DNS en cada dominio. Antes de hacerlo en tu dominio autogestionado, primero obtendrás información sobre tu Microsoft AD AWS gestionado.

**Configuración de reenviadores condicionales DNS en su dominio autoadministrado**

1. Inicia sesión en la [AWS Directory Service consola Consola de administración de AWS](https://console.aws.amazon.com/directoryservicev2/) y ábrela.

1. En el panel de navegación, seleccione **Directories**.

1. Elija el ID de directorio de su Microsoft AD AWS administrado.

1. En la página **Details** (Detalles), anote los valores de **Directory name** (Nombre de directorio) y **DNS address** (Dirección DNS) del directorio.

1. Ahora, vuelva a su controlador de dominio autogestionado. Abra el Administrador del servidor.

1. En el menú **Herramientas**, elija **DNS**.

1. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la relación de confianza. Nuestro servidor es CN7 VJ0 WIN-5V70 .corp.example.com.

1. En el árbol de la consola, seleccione **Reenviadores condicionales**.

1. En el menú **Acción**, elija **Nuevo reenviador condicional**. 

1. En el **dominio DNS**, escriba el nombre de dominio completo (FQDN) de su Microsoft AD AWS administrado, que indicó anteriormente. En este ejemplo, el FQDN es MyManaged AD.example.com.

1. Elija **las direcciones IP de los servidores principales** y escriba las direcciones DNS de su directorio AWS gestionado de Microsoft AD, que ha indicado anteriormente. En este ejemplo son: 10.0.10.246 y 10.0.20.121

   Después de escribir las direcciones de DNS, es posible que aparezca un error que indique que se ha agotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.  
![\[Cuadro de diálogo Nuevo programa de envío condicional con las direcciones IP de los servidores DNS resaltadas.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)

1. Active la casilla **Almacenar este reenviador condicional en Active Directory y replicarlo como sigue**.

1. Seleccione **Todos los servidores DNS en este dominio** y después haga clic en **Aceptar**.

**Paso siguiente**

[Paso 2: Prepare su Microsoft AD AWS administrado](ms_ad_tutorial_setup_trust_prepare_mad.md)