As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Unindo uma instância Windows do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado Você pode iniciar e associar uma Windows instância do Amazon EC2 a um AWS Microsoft AD gerenciado. Como alternativa, você pode unir manualmente uma Windows instância EC2 existente a um Microsoft AD AWS gerenciado. ------ #### [ Seamlessly join EC2 Windows instance ] Esse procedimento une perfeitamente uma instância do Amazon Windows EC2 ao seu Microsoft AD AWS gerenciado. Se você precisar realizar uma união perfeita de domínios em vários Contas da AWS, consulte[Tutorial: Compartilhando seu diretório AWS gerenciado do Microsoft AD para uma associação perfeita ao domínio EC2](ms_ad_tutorial_directory_sharing.md). Para obter mais informações sobre o Amazon EC2, consulte [O que é o Amazon EC2?](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html). **Pré-requisitos** Para associar diretamente um domínio em uma instância do EC2, você precisará concluir o seguinte: + Tenha um Microsoft AD AWS gerenciado. Para saber mais, consulte [Criando seu Microsoft AD AWS gerenciado](ms_ad_getting_started.md#ms_ad_getting_started_create_directory). + Você precisará das seguintes permissões do IAM para ingressar diretamente em uma instância do EC2 Windows: + Perfil de instância do IAM com as seguintes permissões do IAM: + `AmazonSSMManagedInstanceCore` + `AmazonSSMDirectoryServiceAccess` + O domínio do usuário que une perfeitamente o EC2 ao Managed AWS Microsoft AD precisa das seguintes permissões do IAM: + Directory Service Permissões: + `"ds:DescribeDirectories"` + `"ds:CreateComputer"` + Permissões da Amazon VPC: + `"ec2:DescribeVpcs"` + `"ec2:DescribeSubnets"` + `"ec2:DescribeNetworkInterfaces"` + `"ec2:CreateNetworkInterface"` + `"ec2:AttachNetworkInterface"` + Permissões do EC2: + `"ec2:DescribeInstances"` + `"ec2:DescribeImages"` + `"ec2:DescribeInstanceTypes"` + `"ec2:RunInstances"` + `"ec2:CreateTags"` + AWS Systems Manager Permissões: + `"ssm:DescribeInstanceInformation"` + `"ssm:SendCommand"` + `"ssm:GetCommandInvocation"` + `"ssm:CreateBatchAssociation"` Quando seu Microsoft AD AWS gerenciado é criado, um grupo de segurança é criado com regras de entrada e saída. Para saber mais sobre essas regras e portas, consulte [O que é criado com seu Microsoft AD AWS gerenciado](ms_ad_getting_started_what_gets_created.md). Para ingressar perfeitamente no domínio de uma Windows instância do EC2, sua VPC em que você está executando sua instância deve permitir as mesmas portas permitidas nas regras de entrada e saída do seu grupo de segurança gerenciado do AWS Microsoft AD. + Dependendo das configurações de segurança e firewall da rede, talvez seja exigido permitir tráfego de saída adicional. Esse tráfego seria para HTTPS (porta 443) para os seguintes endpoints: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/launching_instance.html) + Recomendamos usar um servidor DNS que resolva seu nome de domínio AWS gerenciado do Microsoft AD. Para fazer isso, você pode criar um conjunto de opções de DHCP. Consulte [Criando ou alterando um conjunto de opções de DHCP para o AWS Managed Microsoft AD](dhcp_options_set.md) para obter mais informações. + Se você optar por não criar um conjunto de opções DHCP, seus servidores DNS serão estáticos e configurados pelo seu AWS Microsoft AD gerenciado. **Para associar perfeitamente uma instância do Amazon EC2 para Windows** 1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 1. Na barra de navegação, escolha o mesmo Região da AWS que o diretório existente. 1. No **Painel do EC2**, na seção **Iniciar instância**, escolha **Iniciar instância**. 1. Na página **Iniciar uma instância**, na seção **Nome e tags**, insira o nome que você gostaria de usar para sua instância do Windows EC2. 1. (Opcional) Escolha **Adicionar tags extras** para um ou mais pares chave-valor de tag para organizar, monitorar ou controlar o acesso para esta instância do EC2. 1. Na seção **Imagem da aplicação e do sistema operacional (imagem de máquina da Amazon)**, escolha **Windows** no painel **Início rápido**. É possível alterar a imagem de máquina da Amazon (AMI) do Windows na lista suspensa **Imagem de máquina da Amazon (AMI)**. 1. Na seção **Tipo de instância**, escolha o tipo de instância que você gostaria de usar na lista suspensa **Tipo de instância**. 1. Na seção **Par de chaves: login**, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente. 1. Para criar um novo par de chaves, escolha **Criar par de chaves**. 1. Insira um nome para o par de chaves e selecione uma opção para **Tipo de par de chaves** e **Formato do arquivo de chave privada**. 1. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha **.pem**. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha **.ppk**. 1. Escolha **Criar par de chaves**. 1. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro. **Importante** Esta é a única chance de você salvar o arquivo de chave privada. 1. Na página **Iniciar uma instância**, na seção **Configurações de rede**, escolha **Editar**. Escolha a **VPC** na qual seu diretório foi criado na lista suspensa **VPC: *obrigatório***. 1. Escolha uma das sub-redes públicas em sua VPC na lista suspensa **Sub-rede**. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota. Para obter mais informações sobre como conectar a um gateway da Internet, consulte [Conectar à Internet usando um gateway da Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) no *Guia do usuário da Amazon VPC*. 1. Em **Atribuir IP público automaticamente**, escolha **Habilitar**. Para obter mais informações sobre endereçamento IP público e privado, consulte [Endereçamento IP de instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) no *Guia do usuário do Amazon EC2*. 1. Para configurações de **Firewall (grupos de segurança)**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades. 1. Para opções de **Configurar armazenamento**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades. 1. Selecione a seção **Detalhes avançados**, escolha seu domínio na lista suspensa **Diretório de associação ao domínio**. **nota** Depois de escolher o diretório de associação do domínio, você verá: ![\[Uma mensagem de erro ao selecionar seu diretório de associação do domínio. Há um erro com seu documento do SSM existente.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/SSM-Error-Message.png) Esse erro ocorre se o assistente de inicialização do EC2 identificar um documento do SSM existente com propriedades inesperadas. Você pode executar uma das seguintes ações: Se você editou anteriormente o documento do SSM e as propriedades são esperadas, escolha fechar e continue executando a instância do EC2 sem alterações. Selecione o link Excluir o documento do SSM existente aqui para excluir o documento do SSM. Isso permitirá a criação de um documento do SSM com as propriedades corretas. O documento do SSM será criado automaticamente quando você iniciar a instância do EC2. 1. Para **Perfil de instância do IAM**, é possível selecionar um perfil de instância do IAM existente ou criar um novo. Selecione um perfil de instância do IAM que tenha as políticas AWS gerenciadas **Amazon SSMManaged InstanceCore** e **Amazon SSMDirectory ServiceAccess** anexadas a ele na lista suspensa do **perfil da instância do IAM**. Para criar um novo, escolha o link **Criar perfil do IAM** e faça o seguinte: 1. Selecione **Criar perfil**. 1. Em **Selecionar entidade confiável**, escolha **serviço da AWS **. 1. Em **Use case** (Caso de uso), selecione **EC2**. 1. Em **Adicionar permissões**, na lista de políticas, selecione as SSMDirectory ServiceAccess políticas da **Amazon SSMManaged InstanceCore** e **da Amazon**. Para filtrar a lista, digite **SSM** na caixa de pesquisa. Escolha **Próximo**. **nota** A **Amazon SSMDirectory ServiceAccess** fornece as permissões para unir instâncias a um Active Directory gerenciado por Directory Service. A **Amazon SSMManaged InstanceCore** fornece as permissões mínimas necessárias para usar o AWS Systems Manager serviço. Para obter mais informações sobre a criação de um perfil com essas permissões e sobre outras permissões e políticas que você pode atribuir ao seu perfil do IAM, consulte [Criar um perfil de instância do IAM para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) no *Guia do usuário do AWS Systems Manager *. 1. Na página **Nomear, revisar e criar**, insira um **Nome de perfil**. Você precisará desse nome de perfil para anexar à instância do EC2. 1. (Opcional) Você pode fornecer uma descrição do perfil de instância do IAM no campo **Descrição**. 1. Selecione **Criar perfil**. 1. Volte para a página **Iniciar uma instância** e escolha o ícone de atualização ao lado do **Perfil de instância do IAM**. Seu novo perfil de instância do IAM deve estar visível na lista suspensa do **Perfil de instância do IAM**. Escolha o novo perfil e mantenha o resto das configurações com seus valores padrão. 1. Escolha **Iniciar instância**. ------ #### [ Manually join EC2 Windows instance ] Para associar manualmente uma instância existente do Amazon EC2 Windows a um AWS Managed Microsoft AD Active Directory, a instância deve ser iniciada usando os parâmetros especificados em [Unindo uma instância Windows do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado](#launching_instance). Você precisará dos endereços IP dos servidores DNS AWS gerenciados do Microsoft AD. Essas informações podem ser encontradas em **Serviços de diretório** > **Diretórios** > o link **ID do diretório** do diretório > seções **Detalhes do diretório** e **Rede e segurança**. ![\[No Directory Service console, na página de detalhes do diretório, os endereços IP dos servidores DNS Directory Service fornecidos são destacados.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/directory_details_highlighted.png) **Para unir uma instância do Windows a um Microsoft AD Active Directory AWS gerenciado** 1. Conecte-se à instância usando qualquer cliente Remote Desktop Protocol. 1. Abra a caixa de diálogo de IPv4 propriedades TCP/ na instância. 1. Abra **Conexões de rede**. **dica** Você pode abrir **Conexões de rede** de maneira direta executando o seguinte comando a partir de um prompt de comando na instância. ``` %SystemRoot%\system32\control.exe ncpa.cpl ``` 1. Abra o menu de contexto (clique com o botão direito do mouse) de qualquer conexão de rede habilitada e escolha **Propriedades**. 1. Na caixa de diálogo de propriedades da conexão, abra (clique duas vezes) **Protocolo de Internet versão 4**. 1. **Selecione **Usar os seguintes endereços de servidor DNS, altere os endereços** do servidor **DNS preferencial e do servidor** **DNS alternativo para os endereços IP dos seus servidores** DNS gerenciados fornecidos pelo AWS Microsoft AD e escolha OK.** ![\[A caixa de diálogo Propriedades do Protocolo de Internet Versão 4 (TCP/IPv4) com os campos do servidor DNS preferencial e do servidor DNS alternativo destacados.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/dns_server_addresses.png) 1. Abra a caixa de diálogo **Propriedades do sistema** da instância, selecione a guia **Nome do computador** e escolha **Alterar**. **dica** Você pode abrir a caixa de diálogo **Propriedades do sistema** de maneira direta executando o seguinte comando a partir de um prompt de comando na instância. ``` %SystemRoot%\system32\control.exe sysdm.cpl ``` 1. No campo **Membro de**, selecione **Domínio**, insira o nome totalmente qualificado do seu Microsoft AD Active Directory AWS gerenciado e escolha **OK**. 1. Quando for solicitado o nome e a senha do administrador do domínio, insira o nome de usuário e a senha de uma conta com privilégios de associação no domínio. Para obter mais informações sobre como delegar esses privilégios, consulte [Delegando privilégios de associação de diretórios para o Managed AWS Microsoft AD](directory_join_privileges.md). **nota** É possível inserir o nome totalmente qualificado do domínio ou o nome NetBIOS, seguido por uma barra invertida (\$1) e pelo nome do usuário. O nome de usuário seria **Admin**. Por exemplo, **corp.example.com\$1admin** ou **corp\$1admin**. 1. Depois que você receber a mensagem de boas-vindas ao domínio, reinicie a instância para que as alterações entrem em vigor. Agora que sua instância foi associada ao domínio AWS gerenciado do Microsoft AD Active Directory, você pode fazer login nessa instância remotamente e instalar utilitários para gerenciar o diretório, como adicionar usuários e grupos. As ferramentas administrativas do Active Directory podem ser usadas para criar usuários e grupos. Para obter mais informações, consulte [Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado](ms_ad_install_ad_tools.md). **nota** Você também pode usar o Amazon Route 53 para processar consultas ao DNS em vez de alterar manualmente os endereços DNS nas instâncias do Amazon EC2. Para obter mais informações, consulte [Integrating your Directory Service's DNS resolution with Amazon Route 53 Resolver](https://aws.amazon.com/blogs//networking-and-content-delivery/integrating-your-directory-services-dns-resolution-with-amazon-route-53-resolvers/) e [Encaminhar consultas ao DNS de saída para a rede](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries). ------