As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Tutorial: Crie uma relação de confiança entre seu Microsoft AD AWS gerenciado e seu domínio autogerenciado do Active Directory
Este tutorial mostra todas as etapas necessárias para configurar uma relação de confiança entre o AWS Directory Service for Microsoft Active Directory e seu Active Microsoft Directory autogerenciado (local). Embora a criação de confiança exija apenas algumas etapas, você deve primeiro concluir as etapas de pré-requisito a seguir.
**Topics**
+ [Pré-requisitos](before_you_start.md)
+ [Etapa 1: preparar o domínio autogerenciado do AD](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [Etapa 2: Preparar seu Microsoft AD AWS gerenciado](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [Etapa 3: criar a relação de confiança](ms_ad_tutorial_setup_trust_create.md)
**Consulte também**
[Criando uma relação de confiança entre seu Microsoft AD AWS gerenciado e o AD autogerenciado](ms_ad_setup_trust.md)
# Pré-requisitos
Este tutorial pressupõe que você já tenha o seguinte:
**nota**
AWS O Microsoft AD gerenciado não oferece suporte à confiança em [domínios de rótulo único](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
+ Um diretório AWS gerenciado do Microsoft AD criado em AWS. Se precisar de ajuda para isso, consulte [Introdução ao AWS Managed Microsoft AD](ms_ad_getting_started.md).
+ Uma instância EC2 em execução Windows foi adicionada a esse Microsoft AD AWS gerenciado. Se precisar de ajuda para isso, consulte [Unindo uma instância Windows do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado](launching_instance.md).
**Importante**
A conta de administrador do seu Microsoft AD AWS gerenciado deve ter acesso administrativo a essa instância.
+ As seguintes ferramentas do Windows Server instaladas nessa instância:
+ Ferramentas do AD DS e do AD LDS
+ DNS
Se precisar de ajuda para isso, consulte [Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado](ms_ad_install_ad_tools.md).
+ Um Microsoft Active Directory autogerenciado (on-premises)
Você deve ter acesso administrativo a esse diretório. As mesmas ferramentas do Windows Server listadas acima também devem estar disponíveis para esse diretório.
+ Uma conexão ativa entre sua rede autogerenciada e a VPC que contém seu Microsoft AD AWS gerenciado. Se você precisar de ajuda para isso, consulte [Amazon nuvem virtual privada Connectivity Options](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf).
+ Uma política de segurança local definida corretamente. Marque `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` e verifique se a opção contém pelo menos estes três pipes nomeados:
+ netlogon
+ samr
+ lsarpc
+ Os nomes NetBIOS e de domínio devem ser exclusivos e não podem ser os mesmos para estabelecer uma relação de confiança
Para obter mais informações sobre os pré-requisitos para criar uma relação de confiança, consulte [Criando uma relação de confiança entre seu Microsoft AD AWS gerenciado e o AD autogerenciado](ms_ad_setup_trust.md).
## Configuração do tutorial
Para este tutorial, já criamos um Microsoft AD AWS gerenciado e um domínio autogerenciado. A rede autogerenciada está conectada à VPC do Microsoft AD AWS gerenciado. As seguintes são as propriedades dos dois diretórios:
### AWS Microsoft AD gerenciado em execução em AWS
+ Nome de domínio (FQDN): Ad.example.com MyManaged
+ Nome NetBIOS: AD MyManaged
+ Endereços DNS: 10.0.10.246, 10.0.20.121
+ CIDR da VPC: 10.0.0.0/16
O Microsoft AD AWS gerenciado reside na VPC ID: vpc-12345678.
### Domínio autogerenciado ou AWS gerenciado do Microsoft AD
+ Nome do domínio (FQDN): corp.example.com
+ Nome NetBIOS: CORP
+ Endereços DNS: 172.16.10.153
+ CIDR autogerenciado: 172.16.0.0/16
**Próxima etapa**
[Etapa 1: preparar o domínio autogerenciado do AD](ms_ad_tutorial_setup_trust_prepare_onprem.md)
# Etapa 1: preparar o domínio autogerenciado do AD
Primeiro, é necessário seguir várias etapas obrigatórias em seu domínio autogerenciado (on-premises).
## Configurar o firewall autogerenciado
Você deve configurar seu firewall autogerenciado para que as seguintes portas estejam abertas CIDRs para todas as sub-redes usadas pela VPC que contém seu Microsoft AD gerenciado. AWS Neste tutorial, permitimos tráfego de entrada e saída de 10.0.0.0/16 (o bloco CIDR da VPC do nosso AWS Microsoft AD gerenciado) nas seguintes portas:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - autenticação de Kerberos
+ TCP/UDP 389: Lightweight Directory Access Protocol (LDAP)
+ TCP 445: Server Message Block (SMB)
+ TCP 9389 - Serviços Web do Active Directory (ADWS) (*Opcional* - Essa porta precisa estar aberta se você quiser usar seu nome NetBIOS em vez do nome de domínio completo para autenticação com aplicativos como AWS Amazon ou Amazon Quick.) WorkDocs
**nota**
SMBv1 não é mais suportado.
Essas são as portas mínimas necessárias para conectar a VPC ao diretório autogerenciado. Sua configuração específica pode exigir que portas adicionais sejam abertas.
## Verificar se a pré-autenticação Kerberos está habilitada
As contas de usuário nos dois diretórios devem ter a pré-autenticação Kerberos habilitada. Esse é o padrão, mas vamos verificar as propriedades de qualquer usuário aleatório para ter certeza de que nada foi alterado.
**Para exibir as configurações de Kerberos do usuário**
1. No controlador de domínio autogerenciado, abra o Gerenciador de servidores.
1. No menu **Tools**, escolha **Active Directory Users and Computers (Usuários e computadores do Active Directory)**.
1. Escolha a pasta **Users** (Usuários) e abra o menu de contexto (clique com o botão direito do mouse). Selecione qualquer conta de usuário aleatória listada no painel direito. Escolha **Properties**.
1. Selecione a guia **Account (Conta)**. Na lista **Account options**, role para baixo e confirme se a opção **Do not require Kerberos preauthentication** *não* está marcada.
![\[A caixa de diálogo Propriedade de usuário do CORP com a opção de conta não exige a pré-autenticação do Kerberos destacada.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/kerberos_enabled.png)
## Configurar encaminhadores condicionais de DNS para o domínio autogerenciado
Você deve configurar encaminhadores condicionais de DNS em cada domínio. Antes de fazer isso em seu domínio autogerenciado, primeiro você obterá algumas informações sobre seu Microsoft AD AWS gerenciado.
**Para configurar encaminhadores condicionais de DNS para seu domínio autogerenciado**
1. Faça login no Console de gerenciamento da AWS e abra o [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. No painel de navegação, selecione **Directories (Diretórios)**.
1. Escolha o ID do diretório do seu Microsoft AD AWS gerenciado.
1. Na página **Details (Detalhes)**, anote os valores em **Directory name (Nome do diretório)** e o **DNS address (Endereço DNS)** do seu diretório.
1. Agora, retorne ao seu controlador de domínio autogerenciado. Abra o Gerenciador de Servidores.
1. No menu **Ferramentas**, escolha **DNS**.
1. Na árvore do console, expanda o servidor DNS do domínio para o qual você está configurando a confiança. Nosso servidor é CN7 VJ0 WIN-5V70 .corp.example.com.
1. Na árvore do console, escolha **Encaminhadores condicionais**.
1. No menu **Ação**, escolha **Novo encaminhador condicional**.
1. No **domínio DNS**, digite o nome de domínio totalmente qualificado (FQDN) do seu AWS Microsoft AD gerenciado, que você anotou anteriormente. Neste exemplo, o FQDN é MyManaged Ad.example.com.
1. Escolha os **endereços IP dos servidores primários** e digite os endereços DNS do seu diretório AWS gerenciado do Microsoft AD, que você anotou anteriormente. Neste exemplo, são eles: 10.0.10.246, 10.0.20.121
Depois de digitar o endereço DNS, você pode obter um erro como “tempo limite” ou “não foi possível resolver”. Em geral, você pode ignorar esses erros.
![\[A caixa de diálogo Novo encaminhador condicional com os endereços IP dos servidores DNS em destaque.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)
1. Selecione **Store this conditional forwarder in Active Directory, and replicate it as follows**.
1. Selecione **All DNS servers in this domain** e escolha **OK**.
**Próxima etapa**
[Etapa 2: Preparar seu Microsoft AD AWS gerenciado](ms_ad_tutorial_setup_trust_prepare_mad.md)
# Etapa 2: Preparar seu Microsoft AD AWS gerenciado
Agora, vamos preparar seu Microsoft AD AWS gerenciado para a relação de confiança. Muitas das etapas a seguir são quase idênticas ao que você acabou de concluir para seu domínio autogerenciado. Desta vez, no entanto, você está trabalhando com seu Microsoft AD AWS gerenciado.
## Configurar as sub-redes e os grupos de segurança da VPC
Você deve permitir o tráfego da sua rede autogerenciada para a VPC que contém seu Microsoft AD AWS gerenciado. Para fazer isso, você precisará garantir que as regras ACLs associadas às sub-redes usadas para implantar seu AWS Microsoft AD gerenciado e as regras de grupo de segurança configuradas em seus controladores de domínio permitam o tráfego necessário para suportar relações de confiança.
Os requisitos de porta variam de acordo com a versão do Windows Server usada pelos seus controladores de domínio e pelos serviços ou aplicativos que utilizarão a confiança. Para fins deste tutorial, você precisará abrir as seguintes portas:
**Entrada**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - autenticação de Kerberos
+ UDP 123 - NTP
+ TCP 135 - RPC
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP/UDP 464 - autenticação do Kerberos
+ TCP 636 - LDAPS (LDAP por TLS/SSL)
+ TCP 3268-3269 - catálogo global
+ TCP/UDP 49152-65535 - portas efêmeras para RPC
**nota**
SMBv1 não é mais suportado.
**Saída**
+ ALL
**nota**
Essas são as portas mínimas necessárias para poder conectar a VPC e o diretório autogerenciado. Sua configuração específica pode exigir que portas adicionais sejam abertas.
**Para configurar suas regras de entrada e saída do controlador de domínio Microsoft AD AWS gerenciado**
1. Retorne para o [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). Na lista de diretórios, anote a ID do diretório do seu diretório AWS Managed Microsoft AD.
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Security Groups (Grupos de segurança)**.
1. Use a caixa de pesquisa para pesquisar seu ID de diretório AWS gerenciado do Microsoft AD. Nos resultados da pesquisa, selecione o grupo de segurança com a descrição **AWS created security group for *yourdirectoryID* directory controllers**.
![\[No console da Amazon VPC, os resultados da pesquisa do grupo de segurança dos controladores de diretório estão destacados.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/security-group-search.png)
1. Vá para a guia **Outbound Rules** desse grupo de segurança. Selecione **Editar regras de saída** e **Adicionar regra**. Insira os seguintes valores para a nova regra:
+ **Type**: Todo o tráfego
+ **Protocol (Protocolo)**: TODOS
+ **Destination** determina o tráfego que pode sair dos controladores de domínio e para onde ele pode ir. Especifique um único endereço IP ou intervalo de endereços IP em notação CIDR (por exemplo, 203.0.113.5/32). Você também pode especificar o nome ou o ID de outro grupo de segurança na mesma região. Para obter mais informações, consulte [Entenda a configuração e o uso do grupo de AWS segurança do seu diretório](ms_ad_best_practices.md#understandsecuritygroup).
1. Selecione **Salvar regra**.
![\[No console do Amazon VPC, edite as regras de saída dos grupos de segurança do controlador do diretório.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## Verificar se a pré-autenticação Kerberos está habilitada
Agora você quer confirmar se os usuários em seu Microsoft AD AWS gerenciado também têm a pré-autenticação Kerberos habilitada. Este é o mesmo processo que você concluiu para o diretório autogerenciado. Este é o padrão, mas vamos verificar para ter certeza de que nada foi alterado.
**Para visualizar as configurações de Kerberos do usuário**
1. Faça login em uma instância que seja membro do seu diretório AWS gerenciado do Microsoft AD usando o [AWS Conta gerenciada de administrador do Microsoft AD e permissões de grupo](ms_ad_getting_started_admin_account.md) para o domínio ou uma conta à qual foram delegadas permissões para gerenciar usuários no domínio.
1. Se ainda não estiverem instaladas, instale a ferramenta Usuários de computadores do Active Directory e a ferramenta do DNS. Saiba como instalar essas ferramentas em [Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado](ms_ad_install_ad_tools.md).
1. Abra o Gerenciador de Servidores. No menu **Tools**, escolha **Active Directory Users and Computers (Usuários e computadores do Active Directory)**.
1. Escolha a pasta **Users** em seu domínio. Observe que essa é a pasta **Users (Usuários)** sob seu nome NetBIOS, e não a pasta **Users (Usuários) ** sob o nome do domínio totalmente qualificado (FQDN).
![\[Na caixa de diálogo Usuários e computadores do Active Directory, a pasta Usuários está destacada.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. Na lista de usuários, clique com o botão direito do mouse em um usuário e selecione **Properties (Propriedades)**.
1. Selecione a guia **Account (Conta)**. Na lista **Account options**, confirme se **Do not require Kerberos preauthentication** *não* está marcada.
**Próxima etapa**
[Etapa 3: criar a relação de confiança](ms_ad_tutorial_setup_trust_create.md)
# Etapa 3: criar a relação de confiança
Agora que o trabalho de preparação está concluído, as etapas finais são para criar as confianças. Primeiro, você cria a confiança em seu domínio autogerenciado e, finalmente, em seu Microsoft AD AWS gerenciado. Se você tiver problemas durante o processo de criação de confiança, consulte [Motivos do status da criação de relações de confiança](ms_ad_troubleshooting_trusts.md) para obter assistência.
## Configurar a confiança no seu Active Directory autogerenciado
Neste tutorial, você configura uma confiança de floresta bidirecional. Contudo, se você criar uma confiança de floresta unidirecional, lembre-se de que as direções de confiança em cada um dos domínios deve ser complementar. Por exemplo, se você criar uma relação de confiança unidirecional de saída em seu domínio autogerenciado, precisará criar uma confiança unidirecional de entrada em seu Microsoft AD gerenciado. AWS
**nota**
AWS O Microsoft AD gerenciado também oferece suporte a relações de confiança externas. Contudo, para os propósitos deste tutorial, você criará uma confiança de floresta bidirecional.
**Para configurar a relação de confiança no Active Directory autogerenciado**
1. Abra o Gerenciador de Servidores e, no menu **Tools**, escolha **Active Directory Domains and Trusts**.
1. Abra o menu de contexto (clique com o botão direito do mouse) do domínio e escolha **Properties**.
1. Escolha a guia **Trusts (Confianças)** e escolha **New trust (Nova confiança)**. Digite o nome do seu Microsoft AD AWS gerenciado e escolha **Avançar**.
1. Escolha **Forest trust**. Escolha **Próximo**.
1. Escolha **Two-way**. Escolha **Próximo**.
1. Escolha **This domain only**. Escolha **Próximo**.
1. Escolha **Forest-wide authentication**. Escolha **Próximo**.
1. Digite uma **Trust password**. Lembre-se dessa senha, pois você precisará dela ao configurar a confiança para seu Microsoft AD AWS gerenciado.
1. Na caixa de diálogo seguinte, confirme suas configurações e escolha **Next**. Confirme se a confiança foi criada com êxito e escolha **Next** novamente.
1. Escolha **No, do not confirm the outgoing trust**. Escolha **Próximo**.
1. Escolha **No, do not confirm the incoming trust**. Escolha **Próximo**.
## Configure a confiança em seu diretório AWS gerenciado do Microsoft AD
Finalmente, você configura a relação de confiança da floresta com seu diretório AWS gerenciado do Microsoft AD. Como você criou uma relação de confiança bidirecional na floresta no domínio autogerenciado, você também cria uma relação de confiança bidirecional usando seu diretório gerenciado AWS do Microsoft AD.
**nota**
Relações de confiança são um recurso global do AWS Managed Microsoft AD. Se você estiver usando o [Configurar a replicação multirregional para o AWS Microsoft AD gerenciado](ms_ad_configure_multi_region_replication.md), os procedimentos a seguir deverão ser executados no [Região principal](multi-region-global-primary-additional.md#multi-region-primary). As alterações serão aplicadas automaticamente em todas as regiões replicadas. Para obter mais informações, consulte [Recursos globais versus regionais](multi-region-global-region-features.md).
**Para configurar a confiança em seu diretório AWS gerenciado do Microsoft AD**
1. Retorne para o [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Na página **Diretórios**, escolha seu Microsoft AD ID AWS gerenciado.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região principal e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Trust relationships (Relações de confiança)**, selecione **Action (Ação)** e selecione **Add trust relationship (Adicionar relação de confiança)**.
1. Na página **Adicionar uma relação de confiança**, especifique o tipo de confiança. Nesse caso, escolhemos **Confiança de floresta**. Digite o FQDN do seu domínio autogerenciado (neste tutorial, **corp.example.com**). Digite a mesma senha de confiança que você usou ao criar a confiança em seu domínio autogerenciado. Especifique a direção. Neste caso, selecionamos **Bidirecional**.
1. No campo **Encaminhador condicional**, digite o endereço IP do servidor de DNS local. Neste exemplo, digite 172.16.10.153.
1. (Opcional) Escolha **Adicionar outro endereço IP** e digite um segundo endereço IP para o seu servidor de DNS local. Você pode especificar até um total de quatro servidores DNS.
1. Escolha **Adicionar**.
Parabéns. Agora você tem uma relação de confiança entre seu domínio autogerenciado (corp.exemplo.com) e seu AWS Microsoft AD gerenciado (AD.exemplo.com). MyManaged Somente uma relação pode ser configurada entre esses dois domínios. Se, por exemplo, você desejar alterar a direção da confiança para unidirecional, você precisará primeiro excluir essa relação de confiança existente e criar uma nova.
Para obter mais informações, incluindo instruções sobre a verificação ou a exclusão de confianças, consulte [Criando uma relação de confiança entre seu Microsoft AD AWS gerenciado e o AD autogerenciado](ms_ad_setup_trust.md).