Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Tutorial: Configuración de su laboratorio de pruebas base de Microsoft AD AWS administrado en AWS
Este tutorial le enseña cómo configurar su AWS entorno para prepararse para una nueva instalación AWS gestionada de Microsoft AD que utilice una nueva instancia de Amazon EC2 que ejecute Windows Server 2019. Luego, le enseña a usar las herramientas de administración típicas de Active Directory para administrar su entorno Microsoft AD AWS administrado desde su instancia EC2 de Windows. Cuando complete el tutorial, habrá establecido los requisitos previos de la red y habrá configurado un nuevo bosque AWS administrado de Microsoft AD.
Como se muestra en la siguiente ilustración, el laboratorio que cree a partir de este tutorial es el componente fundamental para el aprendizaje práctico sobre AWS Microsoft AD administrado. Posteriormente, podrá agregar tutoriales opcionales para una experiencia más práctica. Esta serie de tutoriales es ideal para cualquiera que se acerque por primera vez a AWS Managed Microsoft AD y quiera contar con un laboratorio de pruebas para evaluación. Para completar este tutorial se necesita aproximadamente 1 hora.
![\[Diagrama que muestra los pasos del tutorial: 1 configurar el entorno, 2 crear su Microsoft AD AWS administrado, 3 implementar un Amazon EC2 y 4 probar el laboratorio.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)
**[Paso 1: Configure su AWS entorno para Microsoft AD Active Directory AWS administrado](microsoftadbasestep1.md)**
Una vez que haya completado las tareas previas, creará y configurará una Amazon VPC en la instancia de Amazon EC2.
**[Paso 2: Cree su Microsoft AD Active Directory AWS administrado](microsoftadbasestep2.md)**
En este paso, configuras Microsoft AD AWS administrado AWS por primera vez.
**[Paso 3: Implemente una instancia de Amazon EC2 para gestionar su Active Directory gestionado de AWS Microsoft AD](microsoftadbasestep3.md)**
A continuación, veremos las distintas tareas posteriores a la implementación necesarias para que los equipos clientes se conecten a su nuevo dominio y para configurar un nuevo sistema de Windows Server en EC2.
**[Paso 4: verificación de que el laboratorio de pruebas base esté operativo](microsoftadbasestep4.md)**
Por último, como administrador, debe verificar que pueda iniciar sesión y conectarse a AWS Managed Microsoft AD desde su sistema de Windows Server en EC2. Tras haber comprobado satisfactoriamente que el laboratorio es operativo, puede seguir agregando otros módulos guía del laboratorio de pruebas.
# Requisitos previos
Si quiere utilizar solamente los pasos de la IU de este tutorial para crear su laboratorio de pruebas, puede omitir esta sección de requisitos previos y pasar al paso 1. Sin embargo, si planea usar AWS CLI comandos o AWS Tools for Windows PowerShell módulos para crear su entorno de laboratorio de pruebas, primero debe configurar lo siguiente:
+ **Usuario de IAM con la clave de acceso y la clave de acceso secreta**: si desea utilizar los módulos AWS CLI o AWS Tools for Windows PowerShell , necesitará un usuario de IAM con una clave de acceso. Si no tiene una clave de acceso, consulte [Creación, modificación y visualización de claves de acceso (Consola de administración de AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey).
+ **AWS Command Line Interface (opcional): descárguelo** [e instálelo AWS CLI en Windows](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). Tras completar la instalación, abra el símbolo del sistema o la ventana de PowerShell. Luego, escriba `aws configure`. Tenga en cuenta que necesita la clave de acceso y la clave secreta para completar la configuración. Consulte el primer requisito previo para ver los pasos que indican cómo hacer esto. Se le solicitará que indique lo siguiente:
+ AWS ID de clave de acceso [Ninguno]: `AKIAIOSFODNN7EXAMPLE`
+ AWS clave de acceso secreta [Ninguna]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ Nombre de la región predeterminada [Ninguna]: `us-west-2`
+ Default output format [None]: `json`
+ **AWS Tools for Windows PowerShell****(opcional)**: descargue e instale la última versión AWS Tools for Windows PowerShell del formulario y [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/), a continuación, ejecute el siguiente comando. Tenga en cuenta que necesita su clave de acceso y la clave secreta para completar la configuración. Consulte el primer requisito previo para ver los pasos que indican cómo hacerlo.
`Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`
# Paso 1: Configure su AWS entorno para Microsoft AD Active Directory AWS administrado
Antes de poder crear Microsoft AD AWS administrado en su laboratorio de AWS pruebas, primero debe configurar el par de claves de Amazon EC2 para que todos los datos de inicio de sesión estén cifrados.
## Crear un par de claves
Si ya tiene un par de claves, puede omitir este paso. Para obtener más información sobre los pares de claves de Amazon EC2, consulte [Creación de pares de claves](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).
**Creación de un par de claves**
1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. En el panel de navegación, en **Network & Security**, seleccione **Key Pairs** y después **Create Key Pair**.
1. En **Key pair name (Nombre del par de claves)**, escriba **AWS-DS-KP**. En **Key pair file format (Formato de archivo del par de claves)**, seleccione **pem**, y, a continuación, elija **Create (Crear)**.
1. Su navegador descargará el archivo de clave privada automáticamente. El nombre del archivo es el nombre que indicó cuando creó el par de claves con la extensión `.pem`. Guarde el archivo de clave privada en un lugar seguro.
**importante**
Esta es la única oportunidad para guardar el archivo de clave privada. Deberá proporcionar el nombre de su par de claves al lanzar una instancia, y la clave privada correspondiente cada vez que descifre la contraseña de la instancia.
## Crea, configura y conecta Amazon VPCs
Como se muestra en la siguiente ilustración, cuando termine este proceso de varios pasos, habrá creado y configurado dos subredes públicas, dos públicas por VPC VPCs, una conexión de Internet Gateway por VPC y una conexión de peering de VPC entre ellas. VPCs Elegimos usar subredes públicas VPCs y subredes por motivos de simplicidad y costo. Para las cargas de trabajo de producción, le recomendamos que utilice la privada. VPCs Para obtener más información sobre cómo mejorar la seguridad de la VPC, consulte [Seguridad en Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html).
![\[Entorno de Amazon VPC con subredes y pasarelas de Internet para crear un Active Directory administrado de AWS Microsoft AD.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
Todos los PowerShell ejemplos utilizan AWS CLI la información de VPC que se muestra a continuación y están integrados en us-west-2. Puede elegir cualquier [región admitida](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) para crear su entorno. Para obtener más información, consulte [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).
**Paso 1: Crea dos VPCs**
En este paso, debe crear dos VPCs en la misma cuenta utilizando los parámetros especificados en la siguiente tabla. AWS Microsoft AD administrado admite el uso de cuentas independientes con [Comparta su Microsoft AD AWS gestionado](ms_ad_directory_sharing.md) esta función. La primera VPC se utilizará para Managed AWS Microsoft AD. La segunda VPC se utilizará para los recursos que se pueden utilizar más adelante en [Tutorial: Creación de una confianza desde Microsoft AD AWS gestionado a una instalación autogestionada de Active Directory en Amazon EC2](ms_ad_tutorial_test_lab_trust.md).
****
| Información sobre VPC del Active Directory administrado | Información de la VPC en las instalaciones |
| --- | --- |
| Etiqueta de nombre: AWS-DS- VPC01 IPv4 Bloque CIDR: 10.0.0.0/16 IPv6 Bloque CIDR: sin bloque CIDR IPv6 Tenencia: predeterminada | Etiqueta de nombre: - - AWS OnPrem VPC01 IPv4 Bloque CIDR: 10.100.0.0/16 IPv6 Bloque CIDR: sin bloque CIDR IPv6 Tenencia: predeterminada |
Para obtener instrucciones detalladas, consulte [Crear una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC).
**Paso 2: Crear dos subredes por VPC**
Una vez creada la, VPCs tendrá que crear dos subredes por VPC mediante los parámetros especificados en la tabla siguiente. En este laboratorio de pruebas cada subred será /24. Esto permitirá emitir hasta 256 direcciones por subred. Cada subred debe estar en una zona de disponibilidad distinta. Poner cada subred en una zona de disponibilidad distinta es uno de los [Requisitos previos para crear un Microsoft AWS AD administrado](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).
****
| AWS Información de la subred -DS-: VPC01 | AWS- OnPrem - VPC01 información de subred |
| --- | --- |
| Etiqueta de nombre: AWS-DS- -Subnet01 VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona de disponibilidad: us-west-2a IPv4 Bloque CIDR: 10.0.0.0/24 | Etiqueta de nombre: - - -Subnet01 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona de disponibilidad: us-west-2a IPv4 Bloque CIDR: 10.100.0.0/24 |
| Etiqueta de nombre: -DS- -Subnet02 AWS VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona de disponibilidad: us-west-2b IPv4 Bloque CIDR: 10.0.1.0/24 | Etiqueta de nombre: - - -Subnet02 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona de disponibilidad: us-west-2b IPv4 Bloque CIDR: 10.100.1.0/24 |
Para obtener instrucciones detalladas, consulte [Crear una subred en la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).
**Paso 3: Cree y conecte un Internet Gateway a su VPCs**
Dado que estamos utilizando VPC públicas, tendrá que crear y asociar una puerta de enlace de Internet a las VPC utilizando los parámetros especificados en la siguiente tabla. Esto le permitirá conectarse y administrar sus instancias EC2.
****
| AWS-DS- Información sobre VPC01 Internet Gateway | AWS- OnPrem - Información sobre VPC01 Internet Gateway |
| --- | --- |
| Etiqueta de nombre: AWS-DS- -IGW VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 | Etiqueta de nombre: - - AWS-IGW OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Para obtener instrucciones detalladas, consulte [Gateways de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
**Paso 4: Configurar una conexión de emparejamiento de VPC entre AWS-DS- y - - VPC01 AWS OnPrem VPC01**
Como ya creó dos VPCs anteriormente, necesitará conectarlos en red mediante el emparejamiento de VPC mediante los parámetros especificados en la siguiente tabla. Si bien hay muchas formas de conectarlo VPCs, en este tutorial se utilizará el peering de VPC. AWS [Microsoft AD administrado admite muchas soluciones para conectarlo VPCs, algunas de ellas incluyen la interconexión de [VPC, Transit](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)[Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) y VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)
****
| |
| --- |
| Etiqueta de nombre de la conexión entre pares: AWS-DS- VPC01 & - - -Peer AWS OnPrem VPC01 VPC (solicitante): vpc-xxxxxxxxxxxxxxxxx -DS- AWS VPC01 Cuenta: Mi Cuenta Región: Esta región VPC (Aceptador): vpc-xxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
Para obtener instrucciones sobre cómo crear una interconexión de VPC con otra VPC desde su cuenta, consulte [Crear una interconexión de VPC con otra VPC de su cuenta](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local).
**Paso 5: Agregar dos rutas a la tabla de enrutamiento principal de cada VPC**
Para que las pasarelas de Internet y la conexión de emparejamiento de VPC creadas en los pasos anteriores funcionen, tendrá que actualizar la tabla de enrutamiento principal de VPCs ambas mediante los parámetros especificados en la siguiente tabla. Agregará dos rutas: 0.0.0.0/0 que enrutará a todos los destinos no conocidos explícitamente en la tabla de enrutamiento y 10.0.0.0/16 o 10.100.0.0/16 que enrutará a cada VPC a través de la interconexión de VPC establecida anteriormente.
Puede encontrar fácilmente la tabla de enrutamiento correcta para cada VPC filtrando la etiqueta de nombre de la VPC (AWS-DS- VPC01 o - -). AWS OnPrem VPC01
****
| AWS-DS- información sobre la ruta 1 VPC01 | AWS-DS- información sobre la VPC01 ruta 2 | AWS- OnPrem - Información de VPC01 la ruta 1 | AWS- OnPrem - Información de VPC01 la ruta 2 |
| --- | --- | --- | --- |
| Destino: 0.0.0.0/0 Objetivo: igw-xxxxxxxxxxxxxxxxx -DS- -IGW AWS VPC01 | Destino: 10.100.0.0/16 Objetivo: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01 | Destino: 0.0.0.0/0 Objetivo: igw-xxxxxxxxxxxxxxxxx AWS-Onprem- VPC01 | Destino: 10.0.0.0/16 Objetivo: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01 |
Para obtener instrucciones sobre cómo agregar rutas a una tabla de enrutamiento de VPC, consulte [Agregar y quitar rutas de una tabla de enrutamiento](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes).
## Creación de grupos de seguridad para instancias de Amazon EC2
De forma predeterminada, AWS Managed Microsoft AD crea un grupo de seguridad para administrar el tráfico entre sus controladores de dominio. En esta sección, deberá crear dos grupos de seguridad (uno para cada VPC) que se utilizarán para administrar el tráfico dentro de su VPC para las instancias EC2 mediante los parámetros especificados en las tablas siguientes. También agregará una regla que permite la entrada RDP (3389) desde cualquier lugar y para todos los tipos de tráfico entrante desde la VPC local. Para obtener más información, consulte [Grupos de seguridad de Amazon EC2 para instancias de Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html).
****
| AWS Información del grupo de VPC01 seguridad -DS-: |
| --- |
| Nombre del grupo de seguridad: AWS DS Test Lab Security Group Descripción: Grupo de seguridad AWS DS Test Lab VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 |
**Reglas de entrada de grupos de seguridad para -DS- AWS VPC01**
****
| Tipo | Protocolo | Intervalo de puertos | origen | Tipo de tráfico |
| --- | --- | --- | --- | --- |
| Regla TCP personalizada | TCP | 3389 | Mi dirección IP | Escritorio remoto |
| All Traffic | Todos | Todos | 10.0.0.0/16 | Todo el tráfico local de VPC |
**Reglas de salida del grupo de seguridad para -DS- AWS VPC01**
****
| Tipo | Protocolo | Rango de puerto | Destino | Tipo de tráfico |
| --- | --- | --- | --- | --- |
| All Traffic | Todos | Todos | 0.0.0.0/0 | Todo el tráfico |
****
| AWS- OnPrem - información del grupo VPC01 de seguridad: |
| --- |
| Nombre del grupo de seguridad: AWS OnPrem Test Lab Security Group. Descripción: Grupo de seguridad de AWS OnPrem Test Lab. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
**Reglas de entrada de grupos de seguridad para - - AWS OnPrem VPC01**
****
| Tipo | Protocolo | Intervalo de puertos | origen | Tipo de tráfico |
| --- | --- | --- | --- | --- |
| Regla TCP personalizada | TCP | 3389 | Mi dirección IP | Escritorio remoto |
| Regla TCP personalizada | TCP | 53 | 10.0.0.0/16 | DNS |
| Regla TCP personalizada | TCP | 88 | 10.0.0.0/16 | Kerberos |
| Regla TCP personalizada | TCP | 389 | 10.0.0.0/16 | LDAP |
| Regla TCP personalizada | TCP | 464 | 10.0.0.0/16 | Cambiar/establecer contraseña de Kerberos |
| Regla TCP personalizada | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
| Regla TCP personalizada | TCP | 135 | 10.0.0.0/16 | Replicación |
| Regla TCP personalizada | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| Regla TCP personalizada | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| Regla TCP personalizada | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC y LDAP GC SSL |
| Regla UDP personalizada | UDP | 53 | 10.0.0.0/16 | DNS |
| Regla UDP personalizada | UDP | 88 | 10.0.0.0/16 | Kerberos |
| Regla UDP personalizada | UDP | 123 | 10.0.0.0/16 | Hora de Windows |
| Regla UDP personalizada | UDP | 389 | 10.0.0.0/16 | LDAP |
| Regla UDP personalizada | UDP | 464 | 10.0.0.0/16 | Cambiar/establecer contraseña de Kerberos |
| All Traffic | Todos | Todos | 10.100.0.0/16 | Todo el tráfico local de VPC |
**Reglas de salida de grupos de seguridad para - - AWS OnPrem VPC01**
****
| Tipo | Protocolo | Rango de puerto | Destino | Tipo de tráfico |
| --- | --- | --- | --- | --- |
| All Traffic | Todos | Todos | 0.0.0.0/0 | Todo el tráfico |
Para obtener instrucciones detalladas sobre cómo crear y agregar reglas a los grupos de seguridad, consulte [Trabajar con grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups).
# Paso 2: Cree su Microsoft AD Active Directory AWS administrado
Puede utilizar tres métodos diferentes para crear su directorio. Puede usar el Consola de administración de AWS procedimiento (recomendado para este tutorial) o puede usar los AWS Tools for Windows PowerShell procedimientos AWS CLI o para crear su directorio.
**Método 1: para crear el directorio AWS administrado de Microsoft AD (Consola de administración de AWS)**
1. En el [panel de navegación de la consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), elija **Directorios** y, a continuación, elija **Configurar directorio**.
1. En la página **Seleccionar tipo de directorio**, elija **AWS Managed Microsoft AD** y, a continuación, elija **Siguiente**.
1. En la página **Enter directory information (Especifique la información del directorio)**, proporcione la información siguiente y, a continuación, elija **Next (Siguiente)**.
+ En **Edition (Edición)**, seleccione la edición **Standard Edition** o **Enterprise Edition**. Para obtener más información acerca de las ediciones, consulte [AWS Directory Service para Microsoft Active Directory](what_is.md#microsoftad).
+ En **Directory DNS name (Nombre de DNS del directorio)**, escriba **corp.example.com**.
+ En **Directory NetBIOS name (Nombre NetBIOS del directorio)**, escriba **corp**.
+ En **Directory description (Descripción del directorio)**, escriba **AWS DS Managed**.
+ En **Admin password**, escriba la contraseña que quiera usar para esta cuenta y escriba de nuevo la contraseña en **Confirm password**. Esta cuenta de **Admin** se crea automáticamente durante el proceso de creación del directorio. La contraseña no puede incluir la palabra *admin*. La contraseña del administrador del directorio distingue entre mayúsculas y minúsculas y debe tener 8 caracteres como mínimo y 64 como máximo. También debe contener al menos un carácter de tres de las siguientes categorías:
+ Letras minúsculas (a-z)
+ Letras mayúsculas (A-Z)
+ Números (0-9)
+ Caracteres no alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
1. En la página **Choose VPC and subnets (Elegir la VPC y las subredes)**, proporcione la siguiente información y, a continuación, elija **Next (Siguiente)**.
+ Para **VPC**, elija la opción que comience por **AWS-DS- VPC01** y termine por **(**10.0.0.0/16).
+ En **Subnets (Subredes)**, elija las subredes públicas **10.0.0.0/24** y **10.0.1.0/24**.
1. En la página **Review & create (Revisar y crear)**, revise la información del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, seleccione **Create directory (Crear directorio)**. Se tarda entre 20 y 40 minutos en crear el directorio. Una vez creado, el valor **Status** cambia a **Active**.
**Método 2: Para crear su Microsoft AD AWS administrado (PowerShell) (opcional)**
1. Abra PowerShell.
1. Escriba el siguiente comando. Asegúrese de utilizar los valores proporcionados en el paso 4 del Consola de administración de AWS procedimiento anterior.
```
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
```
**Método 3: Para crear su Microsoft AD AWS administrado (AWS CLI) (opcional)**
1. Abre el AWS CLI.
1. Escriba el siguiente comando. Asegúrese de utilizar los valores proporcionados en el paso 4 del Consola de administración de AWS procedimiento anterior.
```
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
```
# Paso 3: Implemente una instancia de Amazon EC2 para gestionar su Active Directory gestionado de AWS Microsoft AD
Para este laboratorio, utilizamos instancias de Amazon EC2 que tienen direcciones IP públicas para facilitar el acceso a la instancia de administración desde cualquier lugar. En un entorno de producción, puede utilizar instancias que se encuentren en una VPC privada, accesibles únicamente a través de una VPN o un enlace de Direct Connect . No es necesario que la instancia tenga una dirección IP pública.
En esta sección, veremos las distintas tareas posteriores a la implementación necesarias para que los equipos clientes se conecten a su dominio con el servidor Windows Server de su nueva instancia EC2. Puede utilizar el servidor Windows Server en el siguiente paso para verificar que el laboratorio funcione.
## Opcional: cree un conjunto de opciones de DHCP en AWS-DS- VPC01 para su directorio
En este procedimiento opcional, debe configurar un ámbito de opciones de DHCP para que las instancias EC2 de su VPC utilicen automáticamente su AWS Microsoft AD administrado para la resolución de DNS. Para obtener más información, consulte [Conjuntos de opciones de DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).
**Creación de un conjunto de opciones de DHCP para un directorio**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **DHCP Options Sets** y, a continuación, elija **Create DHCP options set**.
1. En la página **Create DHCP options set (Crear conjunto de opciones de DHCP)**, facilite los siguientes valores para el directorio:
+ En **Name (Nombre)**, escriba **AWS DS DHCP**.
+ En **Domain name (Nombre del dominio)**, escriba **corp.example.com**.
+ En **Domain name servers (Servidores de nombres de dominio)**, introduzca las direcciones IP de los servidores DNS de su directorio de AWS proporcionado.
**nota**
Para buscar estas direcciones, vaya a la página de Directory Service **directorios** y, a continuación, elija el ID de directorio correspondiente. En la página de **detalles**, identifique y utilice las IPs que aparecen en la **dirección DNS**.
Como alternativa, para buscar estas direcciones, vaya a la página **Directorios** de Directory Service y, a continuación, elija el identificador de directorio correspondiente. A continuación, seleccione **Escalar y compartir**. En **Controladores de dominio**, identifique y utilice los IPs que aparecen en la **dirección IP**.
+ Deje las opciones en blanco para **NTP servers**, **NetBIOS name servers** y **NetBIOS node type**.
1. Seleccione **Create DHCP options set (Crear conjunto de opciones de DHCP)** y, a continuación, elija **Close (Cerrar)**. El nuevo conjunto de opciones de DHCP aparecerá en la lista de opciones de DHCP.
1. Anote el ID del nuevo conjunto de opciones de DHCP (**dopt- *xxxxxxxx***). Debe usarlo al final de este procedimiento para asociar el nuevo conjunto de opciones a su VPC.
**nota**
La integración sencilla en un dominio funciona sin tener que configurar un conjunto de opciones DHCP.
1. **En el panel de navegación, elija Su. VPCs**
1. En la lista de VPCs, seleccione **AWS DS VPC**, elija **Acciones** y, a continuación, elija **Editar conjunto de opciones de DHCP**.
1. En la página **Edit DHCP options set (Editar conjunto de opciones de DHCP)**, seleccione el conjunto de opciones registrado en el paso 5 y, a continuación, seleccione **Save (Guardar)**.
## Cree un rol para unir las instancias de Windows a su dominio de Microsoft AD AWS administrado
Utilice este procedimiento para configurar un rol que vincula una instancia de Amazon EC2 en Windows a un dominio. Para obtener más información, consulte [Cómo unir una instancia Windows de Amazon EC2 a su Active Directory AWS administrado de Microsoft AD](launching_instance.md).
**Configuración de EC2 para unir instancias de Windows a su dominio**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.
1. En **Seleccionar tipo de entidad de confianza**, seleccione **Servicio de AWS **.
1. Justo debajo de **Choose the service that will use this role (Elegir el servicio que utilizará este rol)**, elija **EC2** y, a continuación, elija **Next: Permissions (Siguiente: Permisos)**.
1. En la página **Attached permissions policy (Asociar política de permisos)**, haga lo siguiente:
+ Selecciona la casilla situada junto a la política SSMManaged InstanceCore gestionada por **Amazon**. Esta política proporciona los permisos mínimos necesarios para utilizar el servicio de Systems Manager.
+ Selecciona la casilla situada junto a Política SSMDirectory ServiceAccess gestionada por **Amazon**. La política proporciona los permisos para unir instancias a un Active Directory administrado por Directory Service.
Para obtener información acerca de estas políticas administradas y otras políticas que puede asociar a un perfil de instancia de IAM de Systems Manager, consulte [Creación de un perfil de instancia de IAM para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) en la *Guía del usuario de AWS Systems Manager *. Para obtener más información sobre las políticas administradas, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
1. Elija **Next: Tags (Siguiente: Etiquetas)**.
1. (Opcional) Añada uno o varios pares clave-valor de etiqueta para organizar, realizar un seguimiento o controlar el acceso a este rol y, a continuación, elija **Next: Review (Siguiente: Revisar)**.
1. En **Nombre del rol**, introduce un nombre para el rol que describa que se usa para unir instancias a un dominio, por ejemplo **EC2DomainJoin**.
1. (Opcional) En **Role description (Descripción del rol)**, escriba una descripción.
1. Elija **Create role**. El sistema le devuelve a la página **Roles**.
## Creación de una instancia de Amazon EC2 y vinculación automática al directorio
En este procedimiento, configura un sistema Windows Server en una instancia de EC2 que se podrá utilizar posteriormente para administrar usuarios, grupos y políticas en el Active Directory.
**Creación de una instancia EC2 y unión automática al directorio**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Elija **Iniciar instancia**.
1. En la página del **paso 1**, junto a **Microsoft Windows Server 2019 Base (ami), *xxxxxxxxxxxxxxxxx*** elija **Seleccionar**.
1. En la página **Step 2 (Paso 2)**, seleccione **t3.micro** (tenga en cuenta que puede elegir un tipo de instancia más grande) y después elija **Next: Configure Instance Details (Siguiente: Configurar detalles de instancia)**.
1. En la página **Step 3**, haga lo siguiente:
+ En **Red**, elija la VPC que termina en **AWS-DS- VPC01 (por ejemplo, vpc- *xxxxxxxxxxxxxxxxx*** **\$1 AWS-DS-)**. VPC01
+ En **Subred**, elija la **subred pública 1**, que debe estar preconfigurada para la zona de disponibilidad que prefiera (por ejemplo, **subnet** - \$1 -DS- -Subnet01 \$1). *xxxxxxxxxxxxxxxxx* AWS VPC01 *us-west-2a*
+ Para **Auto-assign Public IP**, elija **Enable** (si el ajuste de subred no está establecido como habilitado de forma predeterminada).
+ **En el **directorio de unión de dominios**, elija corp.example.com (d-). *xxxxxxxxxx***
+ Para el **rol de IAM**, elige el nombre con el que le diste al rol de la instancia, por ejemplo. [Cree un rol para unir las instancias de Windows a su dominio de Microsoft AD AWS administrado](#configureec2) **EC2DomainJoin**
+ No cambie el resto de los valores predeterminados de los demás ajustes.
+ Elija **Siguiente: Añadir almacenamiento**.
1. En la página **Step 4**, deje la configuración predeterminada y, a continuación, elija **Next: Add Tags**.
1. En la página **Step 5**, elija **Add Tag**. En **Key (Clave)**, escriba **corp.example.com-mgmt** y, a continuación, elija **Next: Configure Security Group (Siguiente: Configurar grupo de seguridad)**.
1. En la página **Paso 6**, elija **Seleccionar un grupo de seguridad existente**, seleccione **Grupo de seguridad del laboratorio de pruebas de AWS DS** (que configuró anteriormente en el [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) y, a continuación, elija **Revisar y lanzar** para revisar la instancia.
1. En la página **Step 7**, revise la página y, a continuación, seleccione **Launch**.
1. En el cuadro de diálogo **Select an existing key pair or create a new key pair**, proceda del modo siguiente:
+ Elija **Choose an existing key pair**.
+ En **Seleccionar un par de claves**, elija **AWS-DS-KP**.
+ Active la casilla **I acknowledge...**.
+ Elija **Lanzar instancias**.
1. Elija **Ver instancias** para volver a la consola de Amazon EC2 y ver el estado de la implementación.
## Instalación de las herramientas de Active Directory en su instancia de EC2
Puede elegir entre dos métodos para instalar las herramientas de administración del dominio de Active Directory en su instancia EC2. Puede utilizar la interfaz de usuario de Server Manager (recomendada para este tutorial) o PowerShell.
**Para instalar las herramientas de Active Directory en su instancia de EC2 (Server Manager)**
1. En la consola de Amazon EC2, elija **Instancias**, seleccione la instancia que acaba de crear y, a continuación, elija **Conectar**.
1. En el cuadro de diálogo **Conectar s su instancia**, elija **Obtener contraseña** para recuperar la contraseña si no lo ha hecho aún y, a continuación, elija **Descargar archivo de escritorio remoto**.
1. En el cuadro de diálogo **Windows Security (Seguridad de Windows)**, escriba sus credenciales de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo, **administrator**).
1. En el menú **Inicio**, elija **Administrador del servidor**.
1. En **Panel**, elija **Agregar roles y características**.
1. En **Asistente para agregar roles y características**, elija **Siguiente**.
1. En la página **Seleccionar tipo de instalación**, elija **Instalación basada en características o en roles** y, a continuación, elija **Siguiente**.
1. En la página **Seleccionar servidor de destino**, asegúrese de que se selecciona el servidor local y, a continuación, elija **Siguiente**.
1. En la página **\$1Seleccionar roles de servidor**, elija **Siguiente**.
1. En la página **Seleccionar características**, haga lo siguiente:
+ Active la casilla de verificación **Administración de directivas de grupo**.
+ Amplíe **Herramientas de administración remota del servidor** y, a continuación, expanda **Herramientas de administración de roles**.
+ Active la casilla de verificación **Herramientas de AD DS y AD LDS**.
+ Active la casilla de verificación de **herramientas de servidor DNS**.
+ Elija **Siguiente**.
1. En la página de **Confirmar selecciones de instalación**, revise la información y seleccione **Instalar**. Cuando haya terminado la instalación de la característica, las siguientes herramientas o complementos estarán disponibles en la carpeta Herramientas administrativas de Windows en el menú Inicio.
+ Centro de administración de Active Directory
+ Dominios y relaciones de confianza de Active Directory
+ Módulo del Active Directory para PowerShell
+ Sitios y servicios de Active Directory
+ Usuarios y equipos de Active Directory
+ Edición ADSI
+ DNS
+ Administración de políticas de grupo
**Instalación de las herramientas del Active Directory en su instancia de EC2 (PowerShell) (opcional)**
1. Inicie PowerShell.
1. Escriba el siguiente comando.
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```
# Paso 4: verificación de que el laboratorio de pruebas base esté operativo
Utilice el siguiente procedimiento para verificar que el laboratorio de pruebas se ha configurado correctamente antes de agregar módulos de guía adicionales del laboratorio de pruebas. Este procedimiento comprueba que Windows Server esté configurado correctamente, que se pueda conectar al dominio corp.example.com y que se utilice para administrar el bosque administrado de AWS Microsoft AD.
**Verificación de que el laboratorio de pruebas esté operativo**
1. Cierre sesión en la instancia EC2 en la que hubiera iniciado sesión como administrador local.
1. En la consola de Amazon EC2, elija **Instancias** en el panel de navegación. A continuación, seleccione la instancia que creó. Elija **Conectar**.
1. En el cuadro de diálogo **Connect To Your Instance**, elija **Download Remote Desktop File**.
1. En el cuadro de diálogo **Windows Security (Seguridad de Windows)**, escriba sus credenciales de administrador para el dominio CORP para iniciar sesión (por ejemplo, **corp\$1admin**).
1. Una vez que haya iniciado sesión, en el menú **Inicio**, bajo **Herramientas administrativas de Windows**, seleccione **Usuarios y equipos de Active Directory**.
1. Debería aparecer **corp.example.com** con todas las cuentas predeterminadas OUs y asociadas a un nuevo dominio. En **Controladores de dominio**, observe los nombres de los controladores de dominio que se crearon automáticamente al crear su Microsoft AD AWS administrado en el paso 2 de este tutorial.
¡Enhorabuena\$1 Ya se ha configurado su entorno de laboratorio de pruebas base AWS administrado de Microsoft AD. Está preparado para empezar a agregar el siguiente laboratorio de pruebas de la serie.
Siguiente tutorial: [Tutorial: Creación de una confianza desde Microsoft AD AWS gestionado a una instalación autogestionada de Active Directory en Amazon EC2](ms_ad_tutorial_test_lab_trust.md)