Como criar uma relação de confiança entre o AWS Managed Microsoft AD e o AD autogerenciado - AWS Directory Service
Pré-requisitosCriar a relação de confiança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como criar uma relação de confiança entre o AWS Managed Microsoft AD e o AD autogerenciado

Você pode configurar relações de confiança externas e de floresta unidirecionais e bidirecionais entre o AWS Directory Service for Microsoft Active Directory e diretórios autogerenciados (on-premises), bem como entre vários diretórios do AWS Managed Microsoft AD na Nuvem AWS. AWS O Managed Microsoft AD oferece suporte a todos os três sentidos de relação de confiança: de entrada, de saída e bidirecional.

Para obter mais informações sobre relações de confiança, consulte Everything you wanted to know about trusts with AWS Managed Microsoft AD.

nota

Ao configurar relações de confiança, você deve garantir que seu diretório autogerenciado seja e permaneça compatível com o AWS Directory Services. Para obter mais informações sobre suas responsabilidades, consulte nosso modelo de responsabilidade compartilhada.

O AWS Managed Microsoft AD oferece suporte a relações de confiança externas e de florestas. Para ver um cenário de exemplo que mostra como criar uma confiança de floresta, consulte Tutorial: criar uma relação de confiança entre o diretório do AWS Managed Microsoft AD e seu domínio autogerenciado do Active Directory ..

É necessária uma confiança bidirecional para aplicações da AWS Enterprise, como Amazon Chime, Amazon Connect, Amazon QuickSight, AWS IAM Identity Center, Amazon WorkDocs, Amazon WorkMail, Amazon WorkSpaces e o AWS Management Console. AWS O Managed Microsoft AD deve poder consultar os usuários e grupos no Active Directory autogerenciado.

Você pode habilitar a autenticação seletiva para que somente a conta de serviço específica da aplicação da AWS possa consultar o Active Directory autogerenciado. Para obter mais informações, consulte Enhance security of your AWS app integration with AWS Managed Microsoft AD.

O Amazon EC2, o Amazon RDS e o Amazon FSx funcionarão com uma relação de confiança unidirecional ou bidirecional.

Pré-requisitos

Para criar a confiança são necessárias apenas algumas etapas, mas antes você deve atender a vários pré-requisitos para configurar a confiança.

nota

O AWS Managed Microsoft AD não oferece suporte a relações de confiança com Domínios de rótulo único.

Conectar-se à VPC

Se você estiver criando uma relação de confiança com o diretório autogerenciado, primeiro conecte sua rede autogerenciada à Amazon VPC que contém o AWS Managed Microsoft AD. O firewall das redes autogerenciadas e do AWS Managed Microsoft AD deve ter abertas as portas de rede que estão listadas no Windows Server 2008 e versões posteriores na documentação da Microsoft.

Para usar o nome NetBIOS em vez do nome de domínio completo para autenticação com as aplicações da AWS, como Amazon WorkDocs ou Amazon QuickSight, você deve permitir a porta 9389. Para obter mais informações sobre as portas e os protocolos do Active Directory, consulte Service overview and network port requirements for Windows na documentação da Microsoft.

Essas são as portas mínimas necessárias para conectar ao diretório. Sua configuração específica pode exigir que portas adicionais sejam abertas.

Configurar a VPC

A VPC que contém o AWS Managed Microsoft AD deve ter regras de saída e de entrada adequadas.

Para configurar as regras de saída da VPC

  1. No console do AWS Directory Service, na página Detalhes do diretório, observe o ID de diretório do AWS Managed Microsoft AD.

  2. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  3. Escolha Grupos de segurança.

  4. Procure o ID de diretório do AWS Managed Microsoft AD. Nos resultados de pesquisa, selecione o item com a descrição "Grupo de segurança criado pela AWS para controladores de diretório do ID do diretório".

    nota

    O grupo de segurança selecionado é criado automaticamente quando você cria inicialmente o diretório.

  5. Acesse a guia Oubound Rules (Regras de saída) daquele grupo de segurança. Selecione Editar e Adicionar outra regra. Insira os seguintes valores para a nova regra:

    • Tipo: Todo o tráfego

    • Protocol (Protocolo): Todos

    • Destino determina o tráfego concedido aos seus controladores de domínio e onde eles podem ir em sua rede autogerenciada. Especifique um único endereço IP ou intervalo de endereços IP em notação CIDR (por exemplo, 203.0.113.5/32). Você também pode especificar o nome ou o ID de outro grupo de segurança na mesma região. Para ter mais informações, consulte Compreender a configuração do grupo de segurança da AWS do seu diretório.

  6. Selecione Save (Salvar).

Habilitar a pré-autenticação Kerberos

Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Para obter mais informações sobre essa configuração, revise Preauthentication no Microsoft TechNet.

Configurar encaminhadores condicionais de DNS para o domínio autogerenciado

Você deve configurar encaminhadores condicionais de DNS em seu domínio autogerenciado. Consulte Assign a Conditional Forwarder for a Domain Name no Microsoft TechNet para obter detalhes sobre encaminhadores condicionais.

Para executar as etapas a seguir, é necessário ter acesso às seguintes ferramentas do Windows Server para seu domínio autogerenciado:

  • Ferramentas do AD DS e do AD LDS

  • DNS

Para configurar encaminhadores condicionais de DNS para seu domínio autogerenciado

  1. Primeiro, você deverá obter algumas informações sobre seu AWS Managed Microsoft AD. Faça login no AWS Management Console e abra o console do AWS Directory Service.

  2. No painel de navegação, selecione Directories (Diretórios).

  3. Escolha o ID do diretório do AWS Microsoft Managed AD.

  4. Anote o nome de domínio totalmente qualificado (FQDN) e o endereço DNS do diretório.

  5. Agora, retorne ao seu controlador de domínio autogerenciado. Abra o Gerenciador de Servidores.

  6. No menu Ferramentas, escolha DNS.

  7. Na árvore do console, expanda o servidor DNS do domínio para o qual você está configurando a confiança.

  8. Na árvore do console, escolha Encaminhadores condicionais.

  9. No menu Ação, escolha Novo encaminhador condicional.

  10. Em Domínio DNS, digite o nome totalmente qualificado (FQDN) do domínio do AWS Managed Microsoft AD que você anotou anteriormente.

  11. Escolha Endereços IP dos servidores primários e digite os endereços de DNS do diretório do AWS Managed Microsoft AD que você anotou anteriormente.

    Depois de digitar o endereço DNS, você pode obter um erro como “tempo limite” ou “não foi possível resolver”. Em geral, você pode ignorar esses erros.

  12. Selecione Armazenar este encaminhador condicional no Active Directory e replicar como: Todos os servidores DNS neste domínio. Escolha OK.

Senha de relação de confiança

Se você está criando uma relação de confiança com um domínio existente, configure a relação de confiança nesse domínio usando as ferramentas de administração do Windows Server. Durante esse processo, anote a senha de confiança que você usará. Você precisará usar essa mesma senha para configurar a relação de confiança no AWS Managed Microsoft AD. Para obter mais informações, consulte Managing Trusts no Microsoft TechNet.

Agora você está pronto para criar a relação de confiança no AWS Managed Microsoft AD.

Nomes NetBIOS e de domínio

Os nomes NetBIOS e de domínio devem ser exclusivos e não podem ser os mesmos para estabelecer uma relação de confiança.

Criar, verificar ou excluir uma relação de confiança

nota

Relações de confiança são um recurso global do AWS Managed Microsoft AD. Se você estiver usando o Configurar a replicação em várias regiões do AWS Managed Microsoft AD, os procedimentos a seguir deverão ser executados no Região principal. As alterações serão aplicadas automaticamente em todas as regiões replicadas. Para ter mais informações, consulte Recursos globais versus regionais.

Para criar uma relação de confiança com o AWS Managed Microsoft AD

  1. Abra o console de AWS Directory Service.

  2. Na página Diretórios, selecione o ID do seu AWS Managed Microsoft AD.

  3. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região principal e, em seguida, escolha a guia Rede e segurança. Para ter mais informações, consulte Regiões principais versus adicionais.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  4. Na seção Trust relationships (Relações de confiança), selecione Action (Ação) e selecione Add trust relationship (Adicionar relação de confiança).

  5. Na página Add a trust relationship (Adicionar uma relação de confiança), forneça as informações necessárias, incluindo o tipo de confiança, o nome de domínio totalmente qualificado (FQDN) do seu domínio confiável, a senha de confiança e o sentido da confiança.

  6. (Opcional) Se quiser permitir que apenas usuários autorizados acessem recursos em seu diretório do AWS Managed Microsoft AD, escolha a caixa de seleção Autenticação seletiva. Para obter informações gerais sobre autenticação seletiva, consulte Security Considerations for Trusts (Considerações de segurança para relações de confiança) no Microsoft TechNet.

  7. Em Encaminhador condicional, digite o endereço IP do servidor DNS autogerenciado. Se você já tiver criado encaminhadores condicionais, poderá digitar o FQDN do domínio autogerenciado em vez de um endereço IP de DNS.

  8. (Opcional) Selecione Adicionar outro endereço IP e digite o endereço IP de um servidor de DNS autogerenciado adicional. Você pode repetir esta etapa para cada endereço de servidor DNS aplicável para um total de quatro endereços.

  9. Escolha Adicionar.

  10. Se o servidor DNS ou a rede do seu domínio autogerenciado usa um espaço de endereço IP público (não compatível com RFC 1918), acesse a seção Roteamento IP, selecione Ações e selecione Adicionar rota. Digite o bloco de endereço IP do servidor DNS ou da rede autogerenciada usando o formato CIDR, por exemplo, 203.0.113.0/24. Esta etapa não é necessária se o servidor DNS e a rede autogerenciada estiverem usando espaços de endereço IP compatíveis com RFC 1918.

    nota

    Ao usar um espaço de endereço IP público, não use nenhum dos intervalos de endereço IP da AWS, já que eles não podem ser usados.

  11. (Opcional) Recomendamos que, enquanto você está na página Adicionar rotas, você também selecione Adicionar rotas ao grupo de segurança para a VPC deste diretório. Isso configurará os grupos de segurança conforme a detalhado em “Configurar a VPC”. Essas regras de segurança têm impacto na interface de rede interna que não é exposta publicamente. Se essa opção não estiver disponível, você verá uma mensagem indicando que já personalizou seus grupos de segurança.

Você deve configurar a relação de confiança em ambos os domínios. As relações devem ser complementares. Por exemplo, se você criar uma relação de confiança de saída em um domínio, deverá criar uma relação de confiança de entrada em outro.

Se você está criando uma relação de confiança com um domínio existente, configure a relação de confiança nesse domínio usando as ferramentas de administração do Windows Server.

É possível criar várias relações de confiança entre o AWS Managed Microsoft AD e diversos domínios do Active Directory. Contudo, pode existir somente uma relação de confiança por par de cada vez. Por exemplo, se você tem uma relação de confiança unidirecional no sentido de entrada e deseja configurar outra relação de confiança na direção de saída, precisará excluir a relação de confiança existente e criar uma nova relação bidirecional.

Para verificar uma relação de confiança de saída

  1. Abra o console de AWS Directory Service.

  2. Na página Diretórios, selecione o ID do seu AWS Managed Microsoft AD.

  3. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região principal e, em seguida, escolha a guia Rede e segurança. Para ter mais informações, consulte Regiões principais versus adicionais.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  4. Na seção Trust relationships (Relações de confiança), selecione a confiança que você deseja verificar, selecione Actions (Ações) e selecione Verify trust relationship (Verificar relação de confiança).

Esse processo verifica somente a direção de saída de uma relação de confiança bidirecional. A AWS não oferece suporte à verificação de relações de confiança recebidas. Para obter mais informações sobre como verificar relações de confiança com o Active Directory autogerenciado, consulte Verificar uma relação de confiança no Microsoft TechNet.

Para excluir uma relação de confiança existente

  1. Abra o console de AWS Directory Service.

  2. Na página Diretórios, selecione o ID do seu AWS Managed Microsoft AD.

  3. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região principal e, em seguida, escolha a guia Rede e segurança. Para ter mais informações, consulte Regiões principais versus adicionais.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  4. Na seção Trust relationships (Relações de confiança), selecione a confiança que você deseja excluir, selecione Actions (Ações) e selecione Delete trust relationship (Excluir relação de confiança).

  5. Escolha Excluir.