As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Etapa 1: configurar o ambiente para relações de confiança
Nesta seção, você configura seu ambiente Amazon EC2, implanta sua nova floresta e prepara sua VPC para relações de confiança. AWS
## Criar uma instância do EC2 do Windows Server 2019
Siga o procedimento a seguir para criar um servidor membro do Windows Server 2019 no Amazon EC2.
**Como criar uma instância do EC2 do Windows Server 2019**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No console do Amazon EC2, escolha **Iniciar instância**.
1. Na página **Etapa 1**, localize **Microsoft Windows Server 2019 Base - ami- {{xxxxxxxxxxxxxxxxx}}** na lista. Em seguida, escolha **Selecionar**.
1. Na página **Etapa 2**, selecione **t2.large** e escolha **Próximo: configurar os detalhes da instância**.
1. Na página **Etapa 3**, faça o seguinte:
+ Em **Rede**, selecione **vpc- {{xxxxxxxxxxxxxxxxx}} AWS- OnPrem - VPC01** (que você configurou anteriormente no [tutorial do Base](microsoftadbasestep1.md#createvpc)).
+ Em **Sub-rede**, selecione **sub-rede- {{xxxxxxxxxxxxxxxxx}} \| AWS- - VPC01 -Subnet01 \| OnPrem - -**. AWS OnPrem VPC01
+ Para a lista **Atribuir IP público automaticamente**, escolha **Habilitar** (se a configuração de sub-rede não estiver definida como **Habilitar** por padrão).
+ Deixe as demais configurações com os valores padrão.
+ Escolha **Next: Add Storage** (Próximo: adicionar armazenamento).
1. Na página **Etapa 4**, mantenha as configurações padrão e escolha **Próximo: adicionar tags**.
1. Na página **Etapa 5**, selecione **Adicionar tag**. Em **Chave**, digite **example.local-DC01** e escolha **Próximo: configurar grupo de segurança**.
1. Na página **Etapa 6**, escolha **Selecionar um grupo de segurança existente**, selecione **Grupo de segurança do laboratório de teste do AWS on premises)** (que você configurou anteriormente no [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) e escolha **Revisar e iniciar** para revisar sua instância.
1. Na página **Etapa 7**, examine a página e escolha **Iniciar**.
1. Na caixa de diálogo **Selecionar um par de chaves existente ou criar um novo par de chaves**, faça o seguinte:
+ Escolha **Selecionar um par de chaves existente**.
+ Em **Selecionar um par de chaves**, escolha **AWS-DS-KP** (que você configurou anteriormente no [Tutorial básico](microsoftadbasestep1.md#createkeypair2)).
+ Marque a caixa de seleção **Eu reconheço...**.
+ Selecione **Launch Instances**.
1. Escolha **Visualizar instâncias** para retornar ao console do Amazon EC2 e visualizar o status da implantação.
## Promover seu servidor a um controlador de domínio
Antes de criar confianças, você deve criar e implantar o primeiro controlador de domínio para uma nova floresta. Durante esse processo, configure uma nova floresta do Active Directory, instale o DNS e defina esse servidor para usar o servidor DNS local para resolução de nome. Você deve reiniciar o servidor no final deste procedimento.
**nota**
Se você quiser criar um controlador de domínio AWS que se replique com sua rede local, primeiro você deve unir manualmente a instância do EC2 ao seu domínio local. Depois disso, você pode promover o servidor a um controlador de domínio.
**Para promover seu servidor a um controlador de domínio**
1. No console do Amazon EC2, escolha **Instâncias**, selecione a instância que você acabou de criar e escolha **Conectar**.
1. Na caixa de diálogo **Conectar à sua instância**, escolha **Fazer download do Remote Desktop File**.
1. Na caixa de diálogo **Segurança do Windows**, digite suas credenciais de administrador local para o computador do Windows Server fazer login (por exemplo, **administrator**). Se você ainda não tem a senha de administrador local, volte ao console do Amazon EC2, clique com o botão direito na instância e escolha **Obter senha do Windows**. Navegue até seu `AWS DS KP.pem` arquivo ou sua chave pessoal `.pem` e escolha **Descriptografar senha**.
1. No menu **Iniciar**, escolha **Gerenciador de servidores**.
1. No **Painel**, escolha **Adicionar funções e recursos**.
1. No **Assistente de adição de funções e recursos**, selecione **Próximo**.
1. Na página **Selecionar tipo de instalação**, escolha **Instalação baseada em função ou recurso** e **Próximo**.
1. Na página **Select destination server (Selecionar servidor de destino)**, verifique se o servidor local está selecionado e escolha **Next (Próximo)**.
1. Na página **Selecionar funções do servidor**, selecione **Serviços de domínio do Active Directory**. Na caixa de diálogo **Assistente de adição de funções e recursos**, verifique se a caixa de seleção **Incluir ferramentas de gerenciamento (se aplicável)** está marcada. Escolha **Adicionar recursos** e **Próximo**.
1. Na página **Select features** (Selecionar recursos), escolha **Next** (Próximo).
1. Na página **Serviços do domínio do Active Directory**, escolha **Próximo**.
1. Na página **Confirmar seleções de instalação**, escolha **Instalar**.
1. Depois que os binários do Active Directory estiverem instalados, escolha **Fechar**.
1. Quando o Gerenciador de Servidores for aberto, procure um sinalizador na parte superior, ao lado da palavra **Gerenciar**. Quando o sinalizador ficar amarelo, o servidor estará pronto para ser promovido.
1. Escolha o sinalizador amarelo e **Promover este servidor a um controlador de domínio**.
1. Na página **Configuração de implantação**, escolha **Adicionar uma nova floresta**. Em **Nome do domínio raiz**, digite **example.local** e escolha **Próximo**.
1. Na página **Opções do controlador de domínio**, faça o seguinte:
+ Em **Nível funcional da floresta** e **Nível funcional do domínio**, escolha **Windows Server 2016**.
+ Em **Especificar recursos do controlador de domínio**, verifique se o **Servidor DNS** e o **Catálogo global (GC)** estão selecionados.
+ Digite e confirme uma senha do Directory Services Restore Mode (DSRM). Escolha **Próximo**.
1. Na página **Opções de DNS**, ignore o aviso sobre a delegação e escolha **Próximo**.
1. Na página **Opções adicionais**, verifique se **EXAMPLE** está listado como nome de NetBios domínio.
1. Na página **Caminhos**, mantenha os padrões e escolha **Próximo**.
1. Na página **Opções de análise**, escolha **Próximo**. Agora o servidor verifica se todos os pré-requisitos do controlador de domínio foram atendidos. Alguns avisos podem ser exibidos, mas você pode ignorá-los.
1. Escolha **Instalar**. Após a conclusão da instalação, o servidor é reiniciado e se transforma em um controlador de domínio funcional.
## Configurar a VPC
Os três procedimentos a seguir orientam sobre as etapas para configurar sua VPC para conectividade com a AWS.
**Para configurar as regras de saída da VPC**
1. [No [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), anote o ID do diretório AWS gerenciado do Microsoft AD para corp.example.com que você criou anteriormente no tutorial do Base.](microsoftadbasestep2.md)
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Security Groups (Grupos de segurança)**.
1. Pesquise seu ID de diretório AWS gerenciado do Microsoft AD. Nos resultados da pesquisa, selecione o item com a descrição do **grupo de segurança AWS criado para controladores de {{xxxxxx}} diretório d.**
**nota**
Esse grupo de segurança foi criado automaticamente quando você criou seu diretório.
1. Escolha a guia **Outbond Rules (Regras de saída)** daquele grupo de segurança. Escolha **Editar**, **Adicionar outra regra** e adicione os seguintes valores:
+ Em **Tipo**, escolha **Todo o tráfego**.
+ Em **Destination**, digite **0.0.0.0/0**.
+ Deixe as demais configurações com os valores padrão.
+ Selecione **Salvar**.
**Para verificar se a pré-autenticação Kerberos está habilitada**
1. No controlador de domínio **example.local**, abra o **Gerenciador de Servidores**.
1. No menu **Tools**, escolha **Active Directory Users and Computers (Usuários e computadores do Active Directory)**.
1. Navegue até o diretório **Users (Usuários)**, clique com o botão direito do mouse em qualquer usuário e selecione **Properties (Propriedades)** e escolha a guia **Account (Conta)**. Na lista **Account options (Opções de conta)**, role para baixo e confirme se a opção **Do not require Kerberos preauthentication (Não exige pré-autenticação do Kerberos)** **não** está selecionada.
1. Siga as mesmas etapas para o domínio **corp.example.com** da instância **corp.example.com-mgmt**.
**Para configurar encaminhadores condicionais de DNS**
**nota**
Um encaminhador condicional é um servidor DNS em uma rede que é usado para encaminhar consultas DNS de acordo com o nome de domínio DNS na consulta. Por exemplo, um servidor DNS pode ser configurado para encaminhar todas as consultas recebidas para nomes terminados com widgets.example.com para o endereço IP de um servidor DNS específico ou para os endereços IP de vários servidores DNS.
1. Abra o [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. No painel de navegação, selecionar **Diretórios**.
1. Selecione o **ID do diretório** do seu Microsoft AD AWS gerenciado.
1. Anote o nome completo do domínio (FQDN), **corp.example.com** e os endereços DNS do seu diretório.
1. Agora, retorne ao controlador de domínio **example.local** e abra o **Gerenciador de Servidores**.
1. No menu **Ferramentas**, escolha **DNS**.
1. Na árvore do console, expanda o servidor DNS do domínio para o qual você está configurando a confiança e navegue até **Encaminhadores condicionais**.
1. Clique com o botão direito em **Encaminhadores condicionais** e escolha **Novo encaminhador condicional**.
1. No domínio DNS, digite **corp.example.com**.
1. Em **Endereços IP dos servidores primários**, escolha **, digite o primeiro endereço DNS do seu diretório AWS gerenciado do Microsoft AD (que você anotou no procedimento anterior) e pressione **Enter**. Faça o mesmo para o segundo endereço DNS. Depois de digitar os endereços DNS, você poderá ver um erro como "tempo limite" ou "não foi possível resolver". Em geral, você pode ignorar esses erros.
1. Marque a caixa de seleção **Store this conditional forwarder in Active Directory, and replicate it as follows**. No menu suspenso, escolha **Todos os servidores DNS nesta floresta** e **OK**.