Étape 1 : Configuration de votre AWS environnement pour AWS Managed Microsoft AD Active Directory - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : Configuration de votre AWS environnement pour AWS Managed Microsoft AD Active Directory

Avant de créer AWS Managed Microsoft AD dans votre laboratoire de AWS test, vous devez d'abord configurer votre paire de clés Amazon EC2 afin que toutes les données de connexion soient cryptées.

Création d'une paire de clés

Si vous possédez déjà une paire de clés, vous pouvez ignorer cette étape. Pour plus d'informations sur les paires de clés Amazon EC2, consultez la section Créer des paires de clés.

Création d’une paire de clés
  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, sous Réseau et sécurité, choisissez Paires de clés, puis sélectionnez Créer une paire de clés.

  3. Pour Key pair name (Nom de la paire de clés), saisissez AWS-DS-KP. Pour Key pair file format (Format de fichier de la paire de clés), sélectionnez pem, puis choisissez Create (Créer).

  4. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier est le nom que vous avez spécifié lorsque vous avez créé votre paire de clés, suivi de l'extension .pem. Enregistrez le fichier de clé privée en lieu sûr.

    Important

    C’est votre seule occasion d’enregistrer le fichier de clé privée. Vous devez indiquer le nom de votre paire de clés quand vous lancez une instance, ainsi que la clé privée correspondante chaque fois que vous déchiffrez le mot de passe de l'instance.

Créez, configurez et associez deux Amazon VPC

Comme le montre l'illustration suivante, ce processus à plusieurs étapes permet de créer et de configurer deux VPC publics, deux sous-réseaux publics par VPC, une passerelle Internet par VPC et une connexion d'appairage de VPC entre les VPC. Nous avons choisi d'utiliser des VPC et des sous-réseaux publics pour des raisons de simplicité et de coût. Pour les charges de travail de production, nous vous recommandons d'utiliser des VPC privés. Pour de plus amples informations sur l'amélioration de la sécurité VPC, veuillez consulter Security in Amazon Virtual Private Cloud (français non garanti).

Environnement Amazon VPC avec sous-réseaux et passerelles Internet pour créer un répertoire AWS Microsoft AD Active Directory géré.

Tous les AWS CLI PowerShell exemples utilisent les informations VPC ci-dessous et sont intégrés dans us-west-2. Vous pouvez choisir n'importe quelle région prise en charge pour créer votre environnement. Pour de plus amples informations, veuillez consulter What is Amazon VPC? (français non garanti).

Étape 1 : Créer deux VPC

Au cours de cette étape, vous devez créer deux VPC dans le même compte en utilisant les paramètres spécifiés dans le tableau suivant. AWS Managed Microsoft AD prend en charge l'utilisation de comptes distincts avec Partagez votre Microsoft AD AWS géré cette fonctionnalité. Le premier VPC sera utilisé pour Managed AWS Microsoft AD. Le deuxième VPC sera utilisé pour des ressources qui pourront servir plus tard dans Tutoriel : Création d'une relation de confiance entre AWS Managed Microsoft AD et une installation Active Directory autogérée sur Amazon EC2.

Informations sur les VPC Active Directory gérés

Informations sur le VPC sur site

Nom du tag : AWS-DS-VPC01

Bloc d'adresse CIDR IPv4 : 10.0.0.0/16

Bloc d'adresse CIDR IPv6 : Pas de bloc d'adresse CIDR IPv6

Location : Par défaut

Balise de nom : AWS- OnPrem -VPC01

Bloc d'adresse CIDR IPv4 : 10.100.0.0/16

Bloc d'adresse CIDR IPv6 : Pas de bloc d'adresse CIDR IPv6

Location : Par défaut

Pour obtenir des instructions détaillées, veuillez consulter Creating a VPC (français non garanti).

Étape 2 : Créer deux sous-réseaux par VPC

Après avoir créé les VPC, vous devrez créer deux sous-réseaux par VPC en utilisant les paramètres spécifiés dans le tableau suivant. Pour ce laboratoire de test, chaque sous-réseau sera de type /24. Cela permet d'émettre jusqu'à 256 adresses par sous-réseau. Chaque sous-réseau doit être un dans une zone de disponibilité distincte. Mettre chaque sous-réseau dans une zone de disponibilité distincte est un des Conditions préalables à la création d'un Microsoft AWS AD géré.

Informations sur le sous-réseau AWS-DS-VPC01 :

AWS- Informations sur le OnPrem sous-réseau -VPC01

Balise de nom : AWS-DS-VPC01-subnet01

VPC : vpc-xxxxxxxxxxxxxxxxx-DS-VPC01 AWS

Zone de disponibilité : us-west-2a

Bloc d'adresse CIDR IPv4 : 10.0.0.0/24

Balise de nom : AWS- OnPrem -vPC01-subnet01

VPC : AWS vpc-xxxxxxxxxxxxxxxxx - -VPC01 OnPrem

Zone de disponibilité : us-west-2a

Bloc d'adresse CIDR IPv4 : 10.100.0.0/24

Balise de nom : AWS-DS-VPC01-subnet02

VPC : vpc-xxxxxxxxxxxxxxxxx-DS-VPC01 AWS

Zone de disponibilité : us-west-2b

Bloc d'adresse CIDR IPv4 : 10.0.1.0/24

Tag de nom : AWS- OnPrem -vPC01-subnet02

VPC : AWS vpc-xxxxxxxxxxxxxxxxx - -VPC01 OnPrem

Zone de disponibilité : us-west-2b

Bloc d'adresse CIDR IPv4 : 10.100.1.0/24

Pour obtenir des instructions détaillées, veuillez consulter Creating a subnet in your VPC (français non garanti).

Étape 3 : Créer et attacher une passerelle Internet à vos VPC

Puisque nous utilisons des VPC publics, vous devrez créer et attacher une passerelle Internet à vos VPC en utilisant les paramètres spécifiés dans le tableau suivant. Cela vous donnera la possibilité de vous connecter à vos instances EC2 et de les gérer.

Informations sur la passerelle Internet AWS-DS-VPC01

AWS- OnPrem -Informations sur la passerelle Internet Gateway VPC01

Nom du tag : AWS-DS-VPC01-IGW

VPC : vpc-xxxxxxxxxxxxxxxxx-DS-VPC01 AWS

Balise de nom : AWS- OnPrem -VPC01-IGW

VPC : AWS vpc-xxxxxxxxxxxxxxxxx - -VPC01 OnPrem

Pour obtenir des instructions détaillées, veuillez consulter Internet gateways (français non garanti).

Étape 4 : Configuration d'une connexion d'appairage VPC entre AWS-DS-VPC01 et -VPC01 AWS OnPrem

Étant donné que vous avez déjà créé deux VPC précédemment, vous devrez les mettre en réseau à l'aide de l'appairage de VPC en utilisant les paramètres spécifiés dans le tableau suivant. Bien qu'il existe de nombreuses manières de connecter vos VPC, ce didacticiel utilisera le peering VPC. AWS Managed Microsoft AD prend en charge de nombreuses solutions pour connecter vos VPC, notamment le peering VPC, Transit Gateway et VPN.

Étiquette nominative de connexion d'appairage : AWS-DS-VPC01& -AWS-VPC01-Peer OnPrem

VPC (demandeur) : vpc-xxxxxxxxxxxxxxxxx -DS-VPC01 AWS

Compte : Mon compte

Région : Cette région

VPC (Accepter) : vpc-xxxxxxxxxxxxxxxxx - -VPC01 AWS OnPrem

Pour obtenir des instructions sur la création d'une connexion d'appairage de VPC avec un autre VPC depuis votre compte, veuillez consulter Creating a VPC peering connection with another VPC in your account (français non garanti).

Étape 5 : Ajouter deux routes à la table de routage principale de chaque VPC

Pour que les passerelles Internet et la connexion d'appairage de VPC créées au cours des étapes précédentes soient fonctionnelles, vous devez mettre à jour la table de routage principale des deux VPC en utilisant les paramètres spécifiés dans le tableau suivant. Vous allez ajouter deux routes : 0.0.0.0/0, qui desservira toutes les destinations non explicitement connues de la table de routage et 10.0.0.0/16 ou 10.100.0.0/16, qui desservira chaque VPC via la connexion d'appairage de VPC établie ci-dessus.

Vous pouvez facilement trouver la bonne table de routage pour chaque VPC en filtrant sur le nom du VPC (AWS-DS-VPC01 ou - -VPC01). AWS OnPrem

Informations sur la route 1 AWS-DS-VPC01

Informations sur la route 2 AWS-DS-VPC01

AWS- Informations OnPrem sur la route 1 -VPC01

AWS- Informations OnPrem sur la route 2 -VPC01

Destination : 0.0.0.0/0

Cible : igw-xxxxxxxxxxxxxxxxx -DS-VPC01-IGW AWS

Destination : 10.100.0.0/16

Cible : pcx-xxxxxxxxxxxxxxxxxxxxx -DS-VPC01& - AWS-VPC01-peer AWS OnPrem

Destination : 0.0.0.0/0

Cible : AWS igw-xxxxxxxxxxxxxxxxx -OnPrem-VPC01

Destination : 10.0.0.0/16

Cible : pcx-xxxxxxxxxxxxxxxxxxxxx -DS-VPC01& - AWS-VPC01-peer AWS OnPrem

Pour obtenir des instructions sur l'ajout de routes à une table de routage de VPC, veuillez consulter Adding and removing routes from a route table (français non garanti).

Création de groupes de sécurité pour les instances Amazon EC2

Par défaut, AWS Managed Microsoft AD crée un groupe de sécurité pour gérer le trafic entre ses contrôleurs de domaine. Dans cette section, vous devrez créer 2 groupes de sécurité (un pour chaque VPC) qui seront utilisés pour gérer le trafic dans votre VPC pour vos instances EC2 à l'aide des paramètres spécifiés dans les tableaux suivants. Vous allez également ajouter une règle qui autorise le trafic entrant RDP (3389) entrant depuis n'importe où et pour tous les types de trafic entrant depuis le VPC local. Pour en savoir plus, veuillez consulter la section Amazon EC2 security groups for Windows instances (français non garanti).

Informations sur le groupe de sécuritéAWS-DS-VPC01 :

Nom du groupe de sécurité : AWS DS Test Lab Security Group

Description : Groupe de sécurité AWS DS Test Lab

VPC : vpc-xxxxxxxxxxxxxxxxx-DS-VPC01 AWS

Règles entrantes du groupe de sécurité pour AWS-DS-VPC01

Type Protocole Plage de ports Source Type de trafic
Destination TCP 3389 Mon IP Bureau à distance
Tout le trafic Tous Tous 10.0.0.0/16 Tout le trafic du VPC local

Règles de sortie du groupe de sécurité pour AWS-DS-VPC01

Type Protocole Plage de ports Destination Type de trafic
Tout le trafic Tous Tous 0.0.0.0/0 Tout le trafic
AWS- Informations OnPrem sur le groupe de sécurité -VPC01 :

Nom du groupe de sécurité : AWS OnPrem Test Lab Security Group.

Description : Groupe de sécurité du laboratoire de AWS OnPrem test.

VPC : AWS vpc-xxxxxxxxxxxxxxxxx - -VPC01 OnPrem

Règles entrantes du groupe de sécurité pour AWS- -VPC01 OnPrem

Type Protocole Plage de ports Source Type de trafic
Destination TCP 3389 Mon IP Bureau à distance
Destination TCP 53 10.0.0.0/16 DNS
Destination TCP 88 10.0.0.0/16 Kerberos
Destination TCP 389 10.0.0.0/16 LDAP
Destination TCP 464 10.0.0.0/16 Mot de passe Kerberos (modification/définition)
Destination TCP 445 10.0.0.0/16 SMB / CIFS
Destination TCP 135 10.0.0.0/16 Réplication
Destination TCP 636 10.0.0.0/16 LDAP SSL
Destination TCP 49152 - 65535 10.0.0.0/16 RPC
Destination TCP 3268 ‑ 3269 10.0.0.0/16 LDAP GC & LDAP GC SSL
Règle UDP personnalisée UDP 53 10.0.0.0/16 DNS
Règle UDP personnalisée UDP 88 10.0.0.0/16 Kerberos
Règle UDP personnalisée UDP 123 10.0.0.0/16 Heure Windows
Règle UDP personnalisée UDP 389 10.0.0.0/16 LDAP
Règle UDP personnalisée UDP 464 10.0.0.0/16 Mot de passe Kerberos (modification/définition)
Tout le trafic Tous Tous 10.100.0.0/16 Tout le trafic du VPC local

Règles sortantes du groupe de sécurité pour AWS- -VPC01 OnPrem

Type Protocole Plage de ports Destination Type de trafic
Tout le trafic Tous Tous 0.0.0.0/0 Tout le trafic

Pour obtenir des instructions détaillées sur la création et l'ajout de règles à vos groupes de sécurité, veuillez consulter Working with security groups (français non garanti).