Criar uma relação de confiança - AWS Directory Service
Pré-requisitosCriar a relação de confiança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar uma relação de confiança

Você pode configurar relações de confiança externas e florestais unidirecionais e bidirecionais entre o AWS Directory Service for Microsoft Active Directory e os diretórios autogerenciados (locais), bem como entre vários diretórios gerenciados AWS do Microsoft AD na nuvem. AWS AWS O Microsoft AD gerenciado oferece suporte a todas as três direções de relacionamento de confiança: entrada, saída e bidirecional (bidirecional).

Para obter mais informações sobre relações de confiança, consulte Tudo o que você queria saber sobre relações de confiança com o Microsoft AD AWS gerenciado.

nota

Ao configurar relações de confiança, você deve garantir que seu diretório autogerenciado seja e permaneça compatível com AWS Directory Service s. Para obter mais informações sobre suas responsabilidades, consulte nosso modelo de responsabilidade compartilhada.

AWS O Microsoft AD gerenciado oferece suporte a relações de confiança externas e florestais. Para ver um cenário de exemplo que mostra como criar uma confiança de floresta, consulte Tutorial: criar uma relação de confiança entre o diretório do AWS Managed Microsoft AD e seu domínio autogerenciado do Active Directory ..

É necessária uma confiança bidirecional para aplicativos AWS corporativos, como Amazon Chime, QuickSight Amazon Connect AWS IAM Identity Center, Amazon WorkDocs, Amazon WorkMail, WorkSpaces Amazon e o. AWS Management Console AWS O Microsoft AD gerenciado deve ser capaz de consultar os usuários e grupos em seu autogerenciamentoActive Directory.

O Amazon EC2, o Amazon RDS e o Amazon FSx funcionarão com uma relação de confiança unidirecional ou bidirecional.

Pré-requisitos

Para criar a confiança são necessárias apenas algumas etapas, mas antes você deve atender a vários pré-requisitos para configurar a confiança.

nota

AWS O Microsoft AD gerenciado não oferece suporte à confiança em domínios de rótulo único.

Conectar-se à VPC

Se você estiver criando uma relação de confiança com seu diretório autogerenciado, você deve primeiro conectar sua rede autogerenciada à Amazon VPC contendo seu Microsoft AD gerenciado AWS . O firewall de suas redes autogerenciadas e AWS gerenciadas do Microsoft AD deve ter as portas de rede abertas listadas no WindowsServer 2008 e em versões posteriores na Microsoft documentação.

Para usar seu nome NetBIOS em vez de seu nome de domínio completo para autenticação com seus AWS aplicativos como Amazon ou WorkDocs Amazon QuickSight, você deve permitir a porta 9389. Para obter mais informações sobre portas e protocolos do Active Directory, consulte Visão geral do serviço e requisitos de porta de rede Windows na Microsoft documentação.

Essas são as portas mínimas necessárias para conectar ao diretório. Sua configuração específica pode exigir que portas adicionais sejam abertas.

Configurar a VPC

A VPC que contém seu AWS Microsoft AD gerenciado deve ter as regras de entrada e saída apropriadas.

Para configurar as regras de saída da VPC

  1. No AWS Directory Service console, na página Detalhes do diretório, anote seu ID de diretório AWS gerenciado do Microsoft AD.

  2. Abra o console do Amazon VPC em https://console.aws.amazon.com/vpc/.

  3. Escolha Grupos de segurança.

  4. Pesquise seu ID de diretório AWS gerenciado do Microsoft AD. Nos resultados da pesquisa, selecione o item com a descrição "grupo de segurança AWS criado para controladores de diretório ID de diretório”.

    nota

    O grupo de segurança selecionado é criado automaticamente quando você cria inicialmente o diretório.

  5. Acesse a guia Oubound Rules (Regras de saída) daquele grupo de segurança. Selecione Editar e Adicionar outra regra. Insira os seguintes valores para a nova regra:

    • Tipo: Todo o tráfego

    • Protocol (Protocolo): Todos

    • Destino determina o tráfego concedido aos seus controladores de domínio e onde eles podem ir em sua rede autogerenciada. Especifique um único endereço IP ou intervalo de endereços IP em notação CIDR (por exemplo, 203.0.113.5/32). Você também pode especificar o nome ou o ID de outro grupo de segurança na mesma região. Para ter mais informações, consulte Entenda a configuração e o uso do grupo de AWS segurança do seu diretório.

  6. Selecione Save (Salvar).

Habilitar a pré-autenticação Kerberos

Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Para obter mais informações sobre essa configuração, consulte Pré-autenticação na Microsoft TechNet.

Configurar encaminhadores condicionais de DNS para o domínio autogerenciado

Você deve configurar encaminhadores condicionais de DNS em seu domínio autogerenciado. Consulte Atribuir um encaminhador condicional para um nome de domínio na Microsoft TechNet para obter detalhes sobre encaminhadores condicionais.

Para executar as etapas a seguir, é necessário ter acesso às seguintes ferramentas do Windows Server para seu domínio autogerenciado:

  • Ferramentas do AD DS e do AD LDS

  • DNS

Para configurar encaminhadores condicionais de DNS para seu domínio autogerenciado

  1. Primeiro, você deve obter algumas informações sobre seu Microsoft AD AWS gerenciado. Faça login no AWS Management Console e abra o console do AWS Directory Service.

  2. No painel de navegação, selecione Directories (Diretórios).

  3. Escolha o ID do diretório do seu Microsoft AD AWS gerenciado.

  4. Anote o nome de domínio totalmente qualificado (FQDN) e o endereço DNS do diretório.

  5. Agora, retorne ao seu controlador de domínio autogerenciado. Abra o Gerenciador de Servidores.

  6. No menu Ferramentas, escolha DNS.

  7. Na árvore do console, expanda o servidor DNS do domínio para o qual você está configurando a confiança.

  8. Na árvore do console, escolha Encaminhadores condicionais.

  9. No menu Ação, escolha Novo encaminhador condicional.

  10. No domínio DNS, digite o nome de domínio totalmente qualificado (FQDN) do seu AWS Microsoft AD gerenciado, que você anotou anteriormente.

  11. Escolha os endereços IP dos servidores primários e digite os endereços DNS do seu diretório AWS gerenciado do Microsoft AD, que você anotou anteriormente.

    Depois de digitar o endereço DNS, você pode obter um erro como “tempo limite” ou “não foi possível resolver”. Em geral, você pode ignorar esses erros.

  12. Selecione Armazenar este encaminhador condicional no Active Directory e replicar como: Todos os servidores DNS neste domínio. Escolha OK.

Senha de relação de confiança

Se você está criando uma relação de confiança com um domínio existente, configure a relação de confiança nesse domínio usando as ferramentas de administração do Windows Server. Durante esse processo, anote a senha de confiança que você usará. Você precisará usar essa mesma senha ao configurar a relação de confiança no Microsoft AD AWS gerenciado. Para obter mais informações, consulte Gerenciando relações de confiança na Microsoft TechNet.

Agora você está pronto para criar a relação de confiança em seu Microsoft AD AWS gerenciado.

Nomes NetBIOS e de domínio

Os nomes NetBIOS e de domínio devem ser exclusivos e não podem ser os mesmos para estabelecer uma relação de confiança.

Criar, verificar ou excluir uma relação de confiança

nota

Relações de confiança são um recurso global do AWS Managed Microsoft AD. Se você estiver usando o Replicação em várias regiões, os procedimentos a seguir deverão ser executados no Primary Região da AWS. As alterações serão aplicadas automaticamente em todas as regiões replicadas. Para ter mais informações, consulte Recursos globais versus regionais.

Para criar uma relação de confiança com seu Microsoft AD AWS gerenciado

  1. Abra o console de AWS Directory Service.

  2. Na página Diretórios, escolha seu Microsoft AD ID AWS gerenciado.

  3. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região principal e, em seguida, escolha a guia Rede e segurança. Para ter mais informações, consulte Primário versus adicional Regiões da AWS.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  4. Na seção Trust relationships (Relações de confiança), selecione Action (Ação) e selecione Add trust relationship (Adicionar relação de confiança).

  5. Na página Add a trust relationship (Adicionar uma relação de confiança), forneça as informações necessárias, incluindo o tipo de confiança, o nome de domínio totalmente qualificado (FQDN) do seu domínio confiável, a senha de confiança e o sentido da confiança.

  6. (Opcional) Se você quiser permitir que somente usuários autorizados acessem recursos em seu diretório AWS gerenciado do Microsoft AD, você pode, opcionalmente, escolher a caixa de seleção Autenticação seletiva. Para obter informações gerais sobre autenticação seletiva, consulte Considerações de segurança para relações de confiança na Microsoft. TechNet

  7. Em Encaminhador condicional, digite o endereço IP do servidor DNS autogerenciado. Se você já tiver criado encaminhadores condicionais, poderá digitar o FQDN do domínio autogerenciado em vez de um endereço IP de DNS.

  8. (Opcional) Selecione Adicionar outro endereço IP e digite o endereço IP de um servidor de DNS autogerenciado adicional. Você pode repetir esta etapa para cada endereço de servidor DNS aplicável para um total de quatro endereços.

  9. Escolha Adicionar.

  10. Se o servidor DNS ou a rede do seu domínio autogerenciado usa um espaço de endereço IP público (não compatível com RFC 1918), acesse a seção Roteamento IP, selecione Ações e selecione Adicionar rota. Digite o bloco de endereço IP do servidor DNS ou da rede autogerenciada usando o formato CIDR, por exemplo, 203.0.113.0/24. Esta etapa não é necessária se o servidor DNS e a rede autogerenciada estiverem usando espaços de endereço IP compatíveis com RFC 1918.

    nota

    Ao usar um espaço de endereço IP público, não use nenhum dos intervalos de endereço IP da AWS, já que eles não podem ser usados.

  11. (Opcional) Recomendamos que, enquanto você está na página Adicionar rotas, você também selecione Adicionar rotas ao grupo de segurança para a VPC deste diretório. Isso configurará os grupos de segurança conforme a detalhado em “Configurar a VPC”. Essas regras de segurança têm impacto na interface de rede interna que não é exposta publicamente. Se essa opção não estiver disponível, você verá uma mensagem indicando que já personalizou seus grupos de segurança.

Você deve configurar a relação de confiança em ambos os domínios. As relações devem ser complementares. Por exemplo, se você criar uma relação de confiança de saída em um domínio, deverá criar uma relação de confiança de entrada em outro.

Se você está criando uma relação de confiança com um domínio existente, configure a relação de confiança nesse domínio usando as ferramentas de administração do Windows Server.

Você pode criar várias relações de confiança entre seu Microsoft AD AWS gerenciado e vários domínios do Active Directory. Contudo, pode existir somente uma relação de confiança por par de cada vez. Por exemplo, se você tem uma relação de confiança unidirecional no sentido de entrada e deseja configurar outra relação de confiança na direção de saída, precisará excluir a relação de confiança existente e criar uma nova relação bidirecional.

Para verificar uma relação de confiança de saída

  1. Abra o console de AWS Directory Service.

  2. Na página Diretórios, escolha seu Microsoft AD ID AWS gerenciado.

  3. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região principal e, em seguida, escolha a guia Rede e segurança. Para ter mais informações, consulte Primário versus adicional Regiões da AWS.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  4. Na seção Trust relationships (Relações de confiança), selecione a confiança que você deseja verificar, selecione Actions (Ações) e selecione Verify trust relationship (Verificar relação de confiança).

Esse processo verifica somente a direção de saída de uma relação de confiança bidirecional. AWS não suporta a verificação de fundos fiduciários recebidos. Para obter mais informações sobre como verificar uma relação de confiança de ou para seu Active Directory autogerenciado, consulte Verificar uma relação de confiança na Microsoft TechNet.

Para excluir uma relação de confiança existente

  1. Abra o console de AWS Directory Service.

  2. Na página Diretórios, escolha seu Microsoft AD ID AWS gerenciado.

  3. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região principal e, em seguida, escolha a guia Rede e segurança. Para ter mais informações, consulte Primário versus adicional Regiões da AWS.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  4. Na seção Trust relationships (Relações de confiança), selecione a confiança que você deseja excluir, selecione Actions (Ações) e selecione Delete trust relationship (Excluir relação de confiança).

  5. Escolha Excluir.