Requisitos previos del directorio híbrido - AWS Directory Service
Requisitos del dominio Microsoft Active Directory:Servicios de Active Directory obligatoriosKerberosTipos de cifrado compatiblesPuertosPermisosAmazon VPCGrupo de seguridadLímites de evaluación

Requisitos previos del directorio híbrido

El directorio híbrido amplía el directorio de Active Directory autoadministrado a Nube de AWS. Antes de crear un directorio híbrido, asegúrese de que su entorno cumpla estos requisitos:

Requisitos del dominio Microsoft Active Directory:

Antes de crear un directorio híbrido, asegúrese de que su entorno e infraestructura de AD autoadministrados cumplan los siguientes requisitos y recopile la información necesaria.

Requisitos del dominio

El entorno de AD autoadministrado debe cumplir los siguientes requisitos:

  • Utiliza un nivel funcional Windows Server 2012 R2 o uno 2016.

  • Utiliza controladores de dominio estándar que se evalúan en el momento de crear directorios híbridos. Los controladores de dominio de solo lectura (RODC) no se pueden utilizar para la creación de directorios híbridos.

  • Tiene dos controladores de dominio con todos los servicios de Active Directory en ejecución.

  • El controlador de dominio principal (PDC) debe poder enrutarse en todo momento.

    En concreto, el emulador de PDC y las IP maestras del RID de su AD autoadministrado deben pertenecer a una de estas categorías:

    • Formar parte de los intervalos de direcciones IP privadas de RFC1918 (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16)

    • Dentro de la gama de CIDR de VPC

    • Coincidencia de las IP de DNS de sus instancias autoadministradas para el directorio

    Puede añadir rutas IP adicionales para el directorio una vez creado el directorio híbrido.

Información necesaria

Reúna la siguiente información sobre el directorio de AD autoadministrado:

  • Nombre de DNS del directorio

  • IP de DNS del directorio

  • Credenciales de la cuenta de servicio con permisos de administrador para el directorio de AD autoadministrado

  • ARN secreto de AWS para almacenar las credenciales de su cuenta de servicio (consulte ARN secreto de AWS para directorio híbrido)

ARN secreto de AWS para directorio híbrido

Para configurar un directorio híbrido con su AD autoadministrado, debe crear una clave de KMS para cifrar el secreto de AWS y, a continuación, crear el secreto propiamente dicho. Ambos recursos deben crearse en la misma Cuenta de AWS que contiene el directorio híbrido.

Crear una clave de KMS.

La clave de KMS se utiliza para cifrar el secreto de AWS.

importante

En Clave de cifrado, no utilice la clave de KMS predeterminada de AWS. Asegúrese de crear la clave de KMS de AWS en la misma Cuenta de AWS que contiene el directorio híbrido que desea crear para vincular con su AD autoadministrado.

Para crear una clave de KMS de AWS

  1. En la consola de AWS KMS, elija Crear API.

  2. En Tipo de clave, elija Simétrica.

  3. Para Uso de claves, elija Cifrar y descifrar.

  4. Para Advanced options (Opciones avanzadas):

    1. En Origen del material de claves, elija Externo.

    2. Para Regionalidad, elija Clave de región única y seleccione Siguiente.

  5. Para Alias, proporcione un nombre para la clave de KMS.

  6. (Opcional) En Description, proporcione una descripción de la clave de KMS.

  7. (Opcional) En Etiquetas, introduzca una etiqueta para la clave de KMS y seleccione Siguiente.

  8. En Administradores de claves, seleccione un usuario de IAM.

  9. En Eliminación de clave, mantenga la selección predeterminada Permitir que los administradores de claves eliminen esta clave y seleccione Siguiente.

  10. En Usuarios de clave, proporcione el mismo usuario de IAM del paso anterior y seleccione Siguiente.

  11. Revise la configuración.

  12. En Política de claves, agregue la siguiente instrucción a la política:

  13. Seleccione Finalizar.

Creación de un secreto de AWS

Cree un secreto en Secrets Manager para almacenar las credenciales de su cuenta de usuario de AD autoadministrado.

importante

Cree el secreto en la misma Cuenta de AWS que contiene el directorio híbrido que desea crear para vincular con su AD autoadministrado.

Creación de un secreto

  • En Secrets Manager, elija Almacenar un nuevo secreto.

  • En Tipo de secreto, elija Otro tipo de secreto.

  • En los pares clave/valor, añada sus dos claves:

  1. Agregación de la clave del nombre de usuario

    1. Para la primera clave, introduzca  customerAdAdminDomainUsername.

    2. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD. No incluya el nombre de dominio, ya que esto provocará un error en la creación de la instancia.

  2. Agregación de la clave de contraseña

    1. Para la segunda clave, introduzca  customerAdAdminDomainPassword.

    2. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.

Compleción de la configuración del secreto

  1. En Clave de cifrado, elija la clave de KMS que ha creado en Crear una clave de KMS., y luego elija Siguiente.

  2. En Nombre del secreto, ingrese una descripción del secreto.

  3. (Opcional) En Descripción, ingrese una descripción del secreto.

  4. Elija Siguiente.

  5. En Configurar los ajustes de rotación, mantenga los valores predeterminados y seleccione Siguiente.

  6. Revise la configuración del secreto y seleccione Guardar.

  7. Elija el secreto que creó y copie el valor del ARN del secreto. Se utilizará este ARN en el siguiente paso para configurar Active Directory autoadministrado.

Requisitos de infraestructura

Prepare los siguientes componentes de infraestructura:

  • Dos nodos de AWS Systems Manager con privilegios de administrador para los agentes de SSM

    • Si su Active Directory se autoadministra fuera de la Nube de AWS, necesitará dos nodos de Systems Manager para un entorno híbrido y multinube. Para obtener más información sobre cómo aprovisionar estos nodos, consulte Setting up Systems Manager for hybrid and multicloud environments.

    • Si su Active Directory se autoadministra dentro de la Nube de AWS, necesitará dos instancias EC2 administradas por Systems Manager. Para obtener más información sobre cómo aprovisionar estas instancias, consulte Managing EC2 instances with Systems Manager.

Servicios de Active Directory obligatorios

Asegúrese de que los siguientes servicios se estén ejecutando en el directorio de AD autoadministrado:

  • Active Directory Domain Services

  • Servicios web de Active Directory (ADWS)

  • Sistema de eventos COM+

  • Distributed File System Replication (DFSR)

  • Sistema de nombres de dominio (DNS)

  • Servidor del DNS

  • Cliente de política de grupo

  • Mensajería entre sitios

  • Llamada de procedimiento remoto (RPC)

  • Gerente de cuentas de seguridad

  • Windows Time Server

    nota

    El directorio híbrido requiere que el puerto UDP 123 esté abierto y que el Windows Time Server esté habilitado y en funcionamiento. Sincronizamos la hora con su controlador de dominio para garantizar que la replicación del directorio híbrido funcione correctamente.

Requisitos de autenticación de Kerberos

Las cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Para obtener instrucciones detalladas sobre cómo habilitar esta configuración, consulte Aseguración de que la autenticación previa de Kerberos esté habilitada. Para obtener información general sobre esta configuración, consulte Preauthentication en Microsoft TechNet.

Tipos de cifrado compatibles

el directorio híbrido admite los siguientes tipos de cifrado para la autenticación de los controladores de dominio de Active Directory a través de Kerberos:

  • AES-256-HMAC

Requisitos de puerto de red

Para que AWS amplíe sus controladores de dominio de Active Directory autoadministrados, el firewall de su red existente debe tener los siguientes puertos abiertos para los CIDRs de las dos subredes de su Amazon VPC:

  • TCP/UDP 53: DNS

  • TCP/UDP 88: autenticación de Kerberos

  • UDP 123: servidor de horario

  • TCP 135: llamada de procedimiento remoto (RPC)

  • TCP/UDP 389: LDAP

  • TCP 445: SMB

  • TCP 636: solo necesario para entornos con el protocolo ligero de acceso a directorios seguro (LDAPS)

  • TCP 49152-65535: puertos TCP altos asignados aleatoriamente por RPC

  • TCP 3268 y 3269: catálogo global

  • TCP 9389: servicios web de Active Directory (ADWS)

Estos son los puertos mínimos necesarios para crear un directorio híbrido. La configuración específica podría requerir abrir puertos adicionales.

nota

Las IP de DNS proporcionadas para los controladores de dominio y los titulares de los roles de FSMO deben tener los puertos anteriores abiertos a los CIDR de las dos subredes de Amazon VPC.

nota

El directorio híbrido requiere que el puerto UDP 123 esté abierto y que el Windows Time Server esté habilitado y en funcionamiento. Sincronizamos la hora con su controlador de dominio para garantizar que la replicación del directorio híbrido funcione correctamente.

Cuenta de AWSPermisos de

Necesita permiso para realizar las siguientes acciones en su Cuenta de AWS:

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateNetworkInterface

  • ec2:CreateSecurityGroup

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:CreateTags

  • ec2:CreateNetworkInterfacePermission

  • ssm:ListCommands

  • ssm:GetCommandInvocation

  • ssm:GetConnectionStatus

  • ssm:SendCommand

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

  • iam:GetRole

  • iam:CreateServiceLinkedRole

Requisitos de la red de Amazon VPC

Una VPC con lo siguiente:

  • Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente.

  • La VPC debe disponer de una tenencia predeterminada

No puede crear un directorio híbrido en una VPC con direcciones dentro del espacio de direcciones 198.18.0.0/15.

Directory Service utiliza una estructura con dos VPC. Las instancias de EC2 que conforman su directorio se ejecutan fuera de su Cuenta de AWS y las administra AWS. Contienen dos adaptadores de red, ETH0 y ETH1. ETH0 es el adaptador de administración y se encuentra fuera de su cuenta. ETH1 se crea dentro de su cuenta.

El rango IP de administración de la red ETH0 de su directorio es 198.18.0.0/15.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon VPC.

Para obtener más información acerca de AWS Direct Connect, consulte ¿Qué es AWS Direct Connect?

Configuración del grupo de seguridad de AWS

De forma predeterminada, AWS adjunta un grupo de seguridad para permitir el acceso de red a los nodos AWS Systems Manager administrados de la VPC. Si lo desea, puede proporcionar su propio grupo de seguridad que permita el tráfico de red hacia y desde los controladores de dominio autoadministrados fuera de la VPC.

Si lo desea, puede proporcionar su propio grupo de seguridad que permita el tráfico de red hacia y desde los controladores de dominio autoadministrados fuera de la VPC. Si va a proporcionar su propio grupo de seguridad, debe:

  • Permitir hacer una lista de sus rangos de VPC CIDR y de los rangos autoadministrados.

  • Asegúrese de que estos rangos no se superpongan con los rangos de IP reservados de AWS

Consideraciones sobre las evaluaciones del directorio

A continuación se indican las consideraciones que se deben tener en cuenta a la hora de crear las evaluaciones de directorio y el número de evaluaciones que puede tener en su Cuenta de AWS:

  • Al crear un directorio híbrido, se crea de manera automática una evaluación del directorio. Existen dos tipos de evaluaciones: CUSTOMER y SYSTEM. Su Cuenta de AWS tiene un límite de 100 evaluaciones de directorio del CUSTOMER.

  • Si intenta crear un directorio híbrido y ya tiene 100 evaluaciones de directorio del CUSTOMER, aparecerá un error. Elimine las evaluaciones para liberar capacidad antes de volver a intentarlo.

  • Se puede solicitar un aumento de la cuota de evaluación de su directorio de CUSTOMER, al ponerse en contacto con Soporte o al eliminar las evaluaciones del directorio CUSTOMER existentes para liberar capacidad.