Etapa 1: configurar o ambiente para relações de confiança - AWS Directory Service
Criar uma instância do EC2 do Windows Server 2019Promover seu servidor a um controlador de domínioConfigurar a VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 1: configurar o ambiente para relações de confiança

Nesta seção, você deve configurar o ambiente do Amazon EC2, implantar sua nova floresta e preparar sua VPC para relações de confiança com a AWS.

Ambiente do Amazon EC2 com a Amazon VPC, as sub-redes e os gateways da Internet para implantar uma nova floresta e estabelecer uma relação de confiança.

Criar uma instância do EC2 do Windows Server 2019

Siga o procedimento a seguir para criar um servidor membro do Windows Server 2019 no Amazon EC2.

Como criar uma instância do EC2 do Windows Server 2019

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No console do Amazon EC2, escolha Iniciar instância.

  3. Na página Step 1 (Etapa 1), localize Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx na lista. Em seguida, escolha Selecionar.

  4. Na página Etapa 2, selecione t2.large e escolha Próximo: configurar os detalhes da instância.

  5. Na página Etapa 3, faça o seguinte:

    • Em Rede, selecione vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 (que você configurou anteriormente no Tutorial básico).

    • Em Sub-rede, selecione subnet-xxxxxxxxxxxxxxxxx | AWS-OnPrem-VPC01-Subnet01 | AWS-OnPrem-VPC01.

    • Para a lista Atribuir IP público automaticamente, escolha Habilitar (se a configuração de sub-rede não estiver definida como Habilitar por padrão).

    • Deixe as demais configurações com os valores padrão.

    • Escolha Next: Add Storage (Próximo: adicionar armazenamento).

  6. Na página Etapa 4, mantenha as configurações padrão e escolha Próximo: adicionar tags.

  7. Na página Etapa 5, selecione Adicionar tag. Em Chave, digite example.local-DC01 e escolha Próximo: configurar grupo de segurança.

  8. Na página Etapa 6, escolha Selecionar um grupo de segurança existente, selecione Grupo de segurança do laboratório de teste do AWS on premises) (que você configurou anteriormente no Tutorial básico) e escolha Revisar e iniciar para revisar sua instância.

  9. Na página Etapa 7, examine a página e escolha Iniciar.

  10. Na caixa de diálogo Selecionar um par de chaves existente ou criar um novo par de chaves, faça o seguinte:

    • Escolha Selecionar um par de chaves existente.

    • Em Selecionar um par de chaves, escolha AWS-DS-KP (que você configurou anteriormente no Tutorial básico).

    • Marque a caixa de seleção Eu reconheço....

    • Selecione Launch Instances.

  11. Escolha Visualizar instâncias para retornar ao console do Amazon EC2 e visualizar o status da implantação.

Promover seu servidor a um controlador de domínio

Antes de criar confianças, você deve criar e implantar o primeiro controlador de domínio para uma nova floresta. Durante esse processo, configure uma nova floresta do Active Directory, instale o DNS e defina esse servidor para usar o servidor DNS local para resolução de nome. Você deve reiniciar o servidor no final deste procedimento.

nota

Se desejar criar um controlador de domínio na AWS que replica com a rede on-premises, primeiro associe manualmente a instância do EC2 ao seu domínio on-premises. Depois disso, você pode promover o servidor a um controlador de domínio.

Para promover seu servidor a um controlador de domínio

  1. No console do Amazon EC2, escolha Instâncias, selecione a instância que você acabou de criar e escolha Conectar.

  2. Na caixa de diálogo Conectar à sua instância, escolha Fazer download do Remote Desktop File.

  3. Na caixa de diálogo Segurança do Windows, digite suas credenciais de administrador local para o computador do Windows Server fazer login (por exemplo, administrator). Se você ainda não tem a senha de administrador local, volte ao console do Amazon EC2, clique com o botão direito na instância e escolha Obter senha do Windows. Navegue até seu AWS DS KP.pem arquivo ou sua chave pessoal .pem e escolha Descriptografar senha.

  4. No menu Iniciar, escolha Gerenciador de servidores.

  5. No Painel, escolha Adicionar funções e recursos.

  6. No Assistente de adição de funções e recursos, selecione Próximo.

  7. Na página Selecionar tipo de instalação, escolha Instalação baseada em função ou recurso e Próximo.

  8. Na página Select destination server (Selecionar servidor de destino), verifique se o servidor local está selecionado e escolha Next (Próximo).

  9. Na página Selecionar funções do servidor, selecione Serviços de domínio do Active Directory. Na caixa de diálogo Assistente de adição de funções e recursos, verifique se a caixa de seleção Incluir ferramentas de gerenciamento (se aplicável) está marcada. Escolha Adicionar recursos e Próximo.

  10. Na página Select features, escolha Next.

  11. Na página Serviços do domínio do Active Directory, escolha Próximo.

  12. Na página Confirmar seleções de instalação, escolha Instalar.

  13. Depois que os binários do Active Directory estiverem instalados, escolha Fechar.

  14. Quando o Gerenciador de Servidores for aberto, procure um sinalizador na parte superior, ao lado da palavra Gerenciar. Quando o sinalizador ficar amarelo, o servidor estará pronto para ser promovido.

  15. Escolha o sinalizador amarelo e Promover este servidor a um controlador de domínio.

  16. Na página Configuração de implantação, escolha Adicionar uma nova floresta. Em Nome do domínio raiz, digite example.local e escolha Próximo.

  17. Na página Opções do controlador de domínio, faça o seguinte:

    • Em Nível funcional da floresta e Nível funcional do domínio, escolha Windows Server 2016.

    • Em Especificar recursos do controlador de domínio, verifique se o Servidor DNS e o Catálogo global (GC) estão selecionados.

    • Digite e confirme uma senha do Directory Services Restore Mode (DSRM). Em seguida, escolha Próximo.

  18. Na página Opções de DNS, ignore o aviso sobre a delegação e escolha Próximo.

  19. Na página Additional options (Opções adicionais), verifique se EXAMPLE está listado como o nome NetBios de domínio.

  20. Na página Caminhos, mantenha os padrões e escolha Próximo.

  21. Na página Opções de análise, escolha Próximo. Agora o servidor verifica se todos os pré-requisitos do controlador de domínio foram atendidos. Alguns avisos podem ser exibidos, mas você pode ignorá-los.

  22. Escolha Instalar. Após a conclusão da instalação, o servidor é reiniciado e se transforma em um controlador de domínio funcional.

Configurar a VPC

Os três procedimentos a seguir orientam sobre as etapas para configurar sua VPC para conectividade com a AWS.

Para configurar as regras de saída da VPC

  1. No console do AWS Directory Service, anote o ID do diretório do AWS Managed Microsoft AD para corp.example.com que você criou anteriormente no Tutorial básico.

  2. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  3. No painel de navegação, selecione Grupos de segurança.

  4. Procure o ID de diretório do AWS Managed Microsoft AD. Nos resultados da pesquisa, selecione o item com a descrição Grupo de segurança criado pela AWS para controladores de diretório d-xxxxxx.

    nota

    Esse grupo de segurança foi criado automaticamente quando você criou seu diretório.

  5. Escolha a guia Outbond Rules (Regras de saída) daquele grupo de segurança. Escolha Editar, Adicionar outra regra e adicione os seguintes valores:

    • Em Tipo, escolha Todo o tráfego.

    • Em Destination, digite 0.0.0.0/0.

    • Deixe as demais configurações com os valores padrão.

    • Selecione Save (Salvar).

Para verificar se a pré-autenticação Kerberos está habilitada

  1. No controlador de domínio example.local, abra o Gerenciador de Servidores.

  2. No menu Tools, escolha Active Directory Users and Computers (Usuários e computadores do Active Directory).

  3. Navegue até o diretório Users (Usuários), clique com o botão direito do mouse em qualquer usuário e selecione Properties (Propriedades) e escolha a guia Account (Conta). Na lista Account options (Opções de conta), role para baixo e confirme se a opção Do not require Kerberos preauthentication (Não exige pré-autenticação do Kerberos) não está selecionada.

  4. Siga as mesmas etapas para o domínio corp.example.com da instância corp.example.com-mgmt.

Para configurar encaminhadores condicionais de DNS
nota

Um encaminhador condicional é um servidor DNS em uma rede que é usado para encaminhar consultas DNS de acordo com o nome de domínio DNS na consulta. Por exemplo, um servidor DNS pode ser configurado para encaminhar todas as consultas recebidas para nomes terminados com widgets.example.com para o endereço IP de um servidor DNS específico ou para os endereços IP de vários servidores DNS.

  1. Abra o console de AWS Directory Service.

  2. No painel de navegação, selecionar Diretórios.

  3. Escolha o ID do diretório do AWS Microsoft Managed AD.

  4. Anote o nome completo do domínio (FQDN), corp.example.com e os endereços DNS do seu diretório.

  5. Agora, retorne ao controlador de domínio example.local e abra o Gerenciador de Servidores.

  6. No menu Ferramentas, escolha DNS.

  7. Na árvore do console, expanda o servidor DNS do domínio para o qual você está configurando a confiança e navegue até Encaminhadores condicionais.

  8. Clique com o botão direito em Encaminhadores condicionais e escolha Novo encaminhador condicional.

  9. No domínio DNS, digite corp.example.com.

  10. Em Endereços IP dos servidores primários, escolha <Clique aqui para adicionar…>, digite o primeiro endereço de DNS do diretório do AWS Managed Microsoft AD (que você anotou no procedimento anterior) e pressione Enter. Faça o mesmo para o segundo endereço DNS. Depois de digitar os endereços DNS, você poderá ver um erro como "tempo limite" ou "não foi possível resolver". Em geral, você pode ignorar esses erros.

  11. Marque a caixa de seleção Store this conditional forwarder in Active Directory, and replicate it as follows. No menu suspenso, escolha Todos os servidores DNS nesta floresta e OK.