Introdução ao AWS Managed Microsoft AD - AWS Directory Service
AWS Pré-requisitos gerenciados do Microsoft ADAWS IAM Identity Center pré-requisitosPré-requisitos da autenticação multifatorCriando seu Microsoft AD AWS gerenciado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Introdução ao AWS Managed Microsoft AD

AWS O Microsoft AD gerenciado cria um ambiente totalmente gerenciado, Microsoft Active Directory no Nuvem AWS e é alimentado por Windows Server 2019 e opera nos níveis funcionais de 2012 R2 Forest e Domain. Quando você cria um diretório com o AWS Managed Microsoft AD, AWS Directory Service cria dois controladores de domínio e adiciona o serviço DNS em seu nome. Os controladores de domínio são criados em diferentes sub-redes em uma Amazon VPC. Essa redundância ajuda a garantir que o diretório permaneça acessível, mesmo que ocorra uma falha. Se precisar de mais controladores de domínio, você pode adicioná-los posteriormente. Para obter mais informações, consulte Implantando controladores de domínio adicionais para seu AWS Microsoft AD gerenciado.

Para obter uma demonstração e uma visão geral do AWS Managed Microsoft AD, consulte o seguinte YouTube vídeo.

Tópicos

Pré-requisitos para criar um AWS Managed Microsoft AD

Para criar um Microsoft AD AWS gerenciado Active Directory, você precisa de uma Amazon VPC com o seguinte:

  • Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente.

  • A VPC deve ter uma locação de hardware padrão.

  • Você não pode criar um Microsoft AD AWS gerenciado em uma VPC usando endereços no espaço de endereço 198.18.0.0/15.

Se você precisar integrar seu domínio AWS gerenciado do Microsoft AD com um local existente Active Directory domínio, você deve ter os níveis funcionais de Floresta e Domínio para seu domínio local definidos como Windows Server 2003 ou superior.

AWS Directory Service usa uma estrutura de duas VPC. As EC2 instâncias que compõem seu diretório são executadas fora da sua AWS conta e são gerenciadas pelo AWS. Elas têm dois adaptadores de rede ETH0 e ETH1. ETH0 é o adaptador de gerenciamento e existe fora da sua conta. ETH1 é criado em sua conta.

O intervalo IP de gerenciamento da rede ETH0 do seu diretório é 198.18.0.0/15.

Para obter um tutorial sobre como criar o AWS ambiente e o Microsoft AD AWS gerenciado, consulteAWS Tutoriais gerenciados do laboratório de testes do Microsoft AD.

AWS IAM Identity Center pré-requisitos

Se você planeja usar o IAM Identity Center com o Microsoft AD AWS gerenciado, você precisa garantir que o seguinte seja verdadeiro:

  • Seu diretório AWS gerenciado do Microsoft AD está configurado na conta de gerenciamento da sua AWS organização.

  • Sua instância do IAM Identity Center está na mesma região em que seu diretório AWS gerenciado do Microsoft AD está configurado.

Para obter mais informações, consulte Pré-requisitos do Centro de Identidade do IAM no Guia do usuário do AWS IAM Identity Center .

Pré-requisitos da autenticação multifator

Para oferecer suporte à autenticação multifator com seu diretório AWS Managed Microsoft AD, você deve configurar seu servidor RADIUS (Remote Authentication Dial-In User Service) local ou baseado na nuvem da seguinte maneira para que ele possa aceitar solicitações do seu diretório Managed Microsoft AD em. AWS AWS

  1. Em seu servidor RADIUS, crie dois clientes RADIUS para representar os dois controladores de domínio gerenciados do AWS Microsoft AD () DCs em. AWS Você deve configurar os dois clientes usando os seguintes parâmetros comuns (o servidor RADIUS pode variar):

    • Endereço (DNS ou IP): Esse é o endereço DNS de um dos AWS Microsoft AD gerenciados. DCs Ambos os endereços DNS podem ser encontrados no AWS Directory Service Console na página Detalhes do diretório AWS Managed Microsoft AD no qual você planeja usar o MFA. Os endereços DNS exibidos representam os endereços IP de ambos os Microsoft AD AWS gerenciados DCs que são usados pelo AWS.

      nota

      Se seu servidor RADIUS oferecer suporte a endereços de DNS, é necessário criar apenas uma configuração de cliente RADIUS. Caso contrário, você deverá criar uma configuração de cliente RADIUS para cada Microsoft AD DC AWS gerenciado.

    • Número da porta: configure o número da porta na qual seu servidor do RADIUS aceita conexões de cliente do RADIUS. A porta padrão do RADIUS é 1812.

    • Segredo compartilhado: digite ou gere um segredo compartilhado que o servidor do RADIUS usará para conectar-se aos clientes do RADIUS.

    • Protocolo: Talvez seja necessário configurar o protocolo de autenticação entre o Microsoft AD AWS gerenciado DCs e o servidor RADIUS. Os protocolos compatíveis são PAP, CHAP MS- CHAPv1 e MS-. CHAPv2 O MS- CHAPv2 é recomendado porque fornece a segurança mais forte das três opções.

    • Nome do aplicativo: pode ser opcional em alguns servidores do RADIUS e normalmente identifica o aplicativo em mensagens ou relatórios.

  2. Configure sua rede existente para permitir o tráfego de entrada dos clientes RADIUS (endereços AWS Microsoft AD DCs DNS gerenciados, consulte a Etapa 1) para a porta do servidor RADIUS.

  3. Adicione uma regra ao grupo de EC2 segurança da Amazon em seu domínio AWS gerenciado do Microsoft AD que permita tráfego de entrada do endereço DNS e do número da porta do servidor RADIUS definidos anteriormente. Para obter mais informações, consulte Adicionar regras a um grupo de segurança no Guia EC2 do usuário.

Para obter mais informações sobre como usar o Microsoft AD AWS gerenciado com MFA, consulte. Habilitando a autenticação multifator para o AWS Managed Microsoft AD

Criando seu Microsoft AD AWS gerenciado

Para criar um novo Microsoft AD AWS gerenciado Active Directory, execute as etapas a seguir. Antes de iniciar este procedimento, verifique se você concluiu os pré-requisitos identificados em Pré-requisitos para criar um AWS Managed Microsoft AD.

Para criar um Microsoft AD AWS gerenciado

  1. No painel de navegação do console do AWS Directory Service, escolha Diretórios e escolha Configurar diretório.

  2. Na página Selecionar tipo do diretório, escolha AWS Managed Microsoft AD e, em seguida, Próximo.

  3. Na página Enter directory information (Inserir informações do diretório), forneça as seguintes informações:

    Edição

    Escolha entre a Standard Edition ou a Enterprise Edition do AWS Managed Microsoft AD. Para obter mais informações sobre edições, consulte AWS Directory Service for Microsoft Active Directory.

    Nome do DNS do diretório

    O nome completo do diretório, como corp.example.com.

    nota

    Se você planeja usar o Amazon Route 53 para DNS, o nome de domínio do seu Microsoft AD AWS gerenciado deve ser diferente do seu nome de domínio do Route 53. Problemas de resolução de DNS podem ocorrer se o Route 53 e o AWS Managed Microsoft AD compartilharem o mesmo nome de domínio.

    Nome de NetBIOS do diretório

    O nome curto do diretório, como CORP.

    Descrição do diretório

    Uma descrição opcional do diretório. Essa descrição pode ser alterada depois de criar seu Microsoft AD AWS gerenciado.

    Senha do Admin

    A senha do administrador do diretório. O processo de criação do diretório cria uma conta de administrador com o nome de usuário Admin e essa senha. Você pode alterar a senha do administrador depois de criar seu Microsoft AD AWS gerenciado.

    A senha não pode incluir a palavra "admin".

    A senha do administrador do diretório diferencia maiúsculas de minúsculas e deve ter de 8 a 64 caracteres, inclusive. Ela também precisa conter pelo menos um caractere de três das quatro categorias a seguir:

    • Letras minúsculas (a-z)

    • Letras maiúsculas (A-Z)

    • Números (0-9)

    • Caracteres não alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmar senha

    Digite a senha do administrador novamente.

    (Opcional) Gerenciamento de usuários e grupos

    Para habilitar o gerenciamento AWS gerenciado de usuários e grupos do Microsoft AD a partir do AWS Management Console, selecione Gerenciar gerenciamento de usuários e grupos no AWS Management Console. Para obter mais informações sobre como usar o gerenciamento de usuários e grupos, consulte Gerencie usuários e grupos AWS gerenciados do Microsoft AD com o AWS Management Console, AWS CLI, ou Ferramentas da AWS para PowerShell.

  4. Na página Choose VPC and subnets (Selecionar VPC e sub-redes), forneça as seguintes informações e selecione Next (Próximo).

    VPC

    A VPC do diretório.

    Sub-redes

    Selecione as sub-redes para os controladores de domínio. As duas sub-redes deve estar em diferentes zonas de disponibilidade.

  5. Na página Review & create (Revisar e criar), analise as informações do diretório e faça as alterações necessárias. Quando as informações estiverem corretas, escolha Create directory (Criar diretório). A criação do diretório leva de 20 a 40 minutos. Depois de criado, o valor de Status é alterado para Ativo.

Para obter mais informações sobre o que é criado com seu Microsoft AD AWS gerenciado, consulte o seguinte: