Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Conector de AD
<a name="directory_ad_connector"></a>

El Conector AD es una puerta de enlace de directorio con la que puede redirigir solicitudes del directorio a Microsoft Active Directory en las instalaciones sin almacenar en caché la información que hay en la nube. Conector AD está disponible en dos tamaños: pequeño y grande. Un pequeño Conector AD está diseñado para organizaciones más pequeñas y para gestionar un número bajo de operaciones por segundo. Un Conector AD grande está diseñado para organizaciones más grandes y para gestionar un número entre moderado y alto de operaciones por segundo. Puede distribuir las cargas de la aplicación entre varios conectores de AD para satisfacer sus necesidades de rendimiento. No se aplica ningún límite de usuarios o conexiones. 

El Conector AD no admite las relaciones de confianza transitivas del Active Directory. Los Conectores AD y los dominios del Active Directory en las instalaciones deben tener una relación de confianza unívoca. Es decir, para cada dominio en las instalaciones, incluidos los dominios secundarios en un bosque del Active Directory que desee autenticar, debe crear un Conector AD único.

**nota**  
AD Connector no se puede compartir con otras AWS cuentas. Si es un requisito, considere la posibilidad de utilizar Microsoft AD AWS administrado para[Comparta su Microsoft AD AWS gestionado](ms_ad_directory_sharing.md). AD Connector tampoco es compatible con varias VPC, lo que significa que AWS aplicaciones como [WorkSpaces](https://aws.amazon.com/workspaces)estas deben aprovisionarse en la misma VPC que el AD Connector.

Una vez configurado, Conector AD ofrece los siguientes beneficios:
+ Los usuarios finales y los administradores de TI pueden usar sus credenciales corporativas actuales para iniciar sesión en AWS aplicaciones como WorkSpaces WorkDocs, o Amazon WorkMail.
+ Puede administrar AWS recursos como EC2 instancias de Amazon o buckets de Amazon S3 mediante el acceso basado en roles de IAM al. Consola de administración de AWS
+ Puede aplicar de forma coherente las políticas de seguridad existentes (como la caducidad de las contraseñas, el historial de contraseñas y los bloqueos de cuentas) tanto si los usuarios como los administradores de TI acceden a los recursos de su infraestructura local o de la nube. AWS 
+ Puede usar AD Connector para habilitar la autenticación multifactorial integrándola con su infraestructura de MFA basada en RADIUS existente para proporcionar una capa adicional de seguridad cuando los usuarios accedan a las aplicaciones. AWS 

Siga leyendo los temas de esta sección para obtener información acerca de cómo conectarse a un directorio y sacar el máximo partido a las características de Conector AD.

**Topics**
+ [Introducción a Conector AD](ad_connector_getting_started.md)
+ [Prácticas recomendadas para Conector AD](ad_connector_best_practices.md)
+ [Mantenimiento de su directorio del Conector AD](ad_connector_maintain.md)
+ [Protección del directorio de Conector AD](ad_connector_security.md)
+ [Supervisión del directorio de Conector AD](ad_connector_monitor.md)
+ [Acceso a AWS aplicaciones y servicios desde AD Connector](ad_connector_manage_apps_services.md)
+ [Formas de unir una EC2 instancia de Amazon a Active Directory](ad_connector_join_instance.md)
+ [Cuotas de Conector AD](ad_connector_limits.md)
+ [Solución de problemas de Conector AD](ad_connector_troubleshooting.md)

# Introducción a Conector AD
<a name="ad_connector_getting_started"></a>

Con AD Connector, puede conectarse Directory Service a su Active Directory empresarial existente. Cuando se conecte a su directorio existente, todos los datos del directorio permanecerán en los controladores de dominio. Directory Service no replica ninguno de los datos de su directorio.

**Topics**
+ [Requisitos previos de Conector AD](#prereq_connector)
+ [Creación de un Conector AD](#create_ad_connector)
+ [¿Qué se crea con el Conector AD?](create_details_ad_connector.md)

## Requisitos previos de Conector AD
<a name="prereq_connector"></a>

Para conectarse a su directorio existente con Conector AD, necesita lo siguiente:

**Amazon VPC**  
Configurar una VPC con lo siguiente:  
+ Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente y debe ser del mismo tipo de red.

  Puede usarlo IPv6 para su VPC. Para obtener más información, consulte la [IPv6 compatibilidad con su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) en la Guía del *usuario de Amazon Virtual Private Cloud*.
+ La VPC debe estar conectada a la red existente a través de una conexión de red privada virtual (VPN) o de Direct Connect.
+ La VPC debe disponer de tenencia de hardware predeterminada.
Directory Service utiliza una estructura de dos VPC. Las instancias EC2 que componen su directorio se ejecutan fuera de su AWS cuenta y son administradas por. AWS Contienen dos adaptadores de red, `ETH0` y `ETH1`. `ETH0` es el adaptador de administración y se encuentra fuera de su cuenta. `ETH1` se crea dentro de su cuenta.   
El rango de IP de administración de la red `ETH0` del directorio se elige mediante programación para garantizar que no entre en conflicto con la VPC en la que está implementado el directorio. Este rango de IP puede estar en cualquiera de los siguientes pares (ya que los directorios se ejecutan en dos subredes):  
+ 10.0.1.0/24 y 10.0.2.0/24 
+ 169.254.0.0/16
+ 192.168.1.0/24 y 192.168.2.0/24 
Para evitar conflictos, comprobamos el primer octeto del CIDR `ETH1`. Si comienza con un 10, entonces elegimos una VPC 192.168.0.0/16 con subredes 192.168.1.0/24 y 192.168.2.0/24. Si el primer octeto no es un 10, elegimos una VPC 10.0.0.0/16 con subredes 10.0.1.0/24 y 10.0.2.0/24.   
El algoritmo de selección no incluye las rutas de la VPC. Por lo tanto, es posible que este escenario provoque un conflicto del enrutamiento IP.   
Para obtener más información, consulte los siguientes temas en la *Guía del usuario de Amazon VPC*.  
+ [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)
+ [Subredes de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet)
+ [Adición de una puerta de enlace privada virtual de hardware a la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html)
Para obtener más información al respecto AWS Direct Connect, consulte la [Guía del AWS Direct Connect usuario](https://docs.aws.amazon.com/directconnect/latest/UserGuide/).

**Active Directory existente**  
Necesitará conectarse a una red existente con un dominio de Active Directory.  
Conector AD no admite [dominios de etiqueta única](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
El nivel funcional de este dominio Active Directory debe ser `Windows Server 2003` o superior. Conector AD también admite la conexión a un dominio alojado en una instancia de Amazon EC2.  
Conector AD no admite controladores de dominio de solo lectura (RODC) cuando se utiliza en combinación con la característica de unión de dominios de Amazon EC2. 

**Cuenta de servicio**  
Debe disponer de las credenciales de una cuenta de servicio en el directorio existente con los siguientes privilegios delegados:  
+ Leer usuarios y grupos: obligatorio
+ Unir ordenadores al dominio: solo es obligatorio cuando se utiliza Seamless Domain Join y WorkSpaces
+ Crear objetos de ordenador: solo es necesario cuando se utiliza Seamless Domain Join y WorkSpaces
+ La contraseña de la cuenta de servicio debe cumplir con los requisitos de AWS contraseña. AWS las contraseñas deben ser:
  + Deben tener entre 8 y 128 caracteres de extensión. 
  + Deben contener al menos un carácter de tres de las siguientes categorías:
    + Letras minúsculas (a-z)
    + Letras mayúsculas (A-Z)
    + Números (0-9)
    + Caracteres no alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
Para obtener más información, consulte [Privilegios delegados a su cuenta de servicio](#connect_delegate_privileges).   
Conector AD usa Kerberos para la autenticación y autorización de AWS aplicaciones. LDAP solo se usa para búsquedas de objetos de usuarios y grupos (operaciones de lectura). Con las transacciones LDAP, nada es mutable y las credenciales no se transmiten en texto limpio. La autenticación la gestiona un servicio AWS interno, que utiliza los tickets de Kerberos para realizar operaciones de LDAP como usuario.

**Permisos de usuario**  
Todos los usuarios de Active Directory deben tener permisos para leer sus propias atributos. En concreto los siguientes atributos:  
+ GivenName
+ SurName
+ Correo electrónico
+ SamAccountName
+ UserPrincipalName
+ UserAccountControl
+ MemberOf
De forma predeterminada, los usuarios de Active Directory tienen permisos de lectura para estos atributos. Sin embargo, los administradores pueden modificarlos con el paso del tiempo, por lo que conviene que compruebe que los usuarios tienen estos permisos de lectura antes de configurar Conector AD por primera vez.

**Direcciones IP**  
Consiga las direcciones IP de dos servidores DNS o controladores de dominio de su directorio existente.  
Conector AD obtiene los registros SRV `_ldap._tcp.<DnsDomainName>` y `_kerberos._tcp.<DnsDomainName>` de estos servidores al conectar a su directorio, de modo que estos servidores deben contener dichos registros SRV. Conector AD intenta encontrar un controlador de dominio común que proporcionará ambos servicios LDAP y Kerberos, de modo que estos registros SRV deben incluir al menos un controlador de dominio común. Para obtener más información acerca de los registros SRV, vaya a [SRV Resource Records](http://technet.microsoft.com/en-us/library/cc961719.aspx) en Microsoft. TechNet

**Puertos para subredes**  
Para que AD Connector redirija las solicitudes de directorio a sus controladores de dominio de Active Directory existentes, el firewall de su red actual debe tener los siguientes puertos abiertos a las CIDRs dos subredes de su Amazon VPC.  
+ TCP/UDP 53: DNS
+ TCP/UDP 88: autenticación de Kerberos
+ TCP/UDP 389: LDAP
Estos son los puertos mínimos necesarios antes de que Conector AD pueda conectarse al directorio. La configuración específica podría requerir abrir puertos adicionales.  
Si quieres usar AD Connector y Amazon WorkSpaces, el atributo Disable VLVSupport LDAP debe estar establecido en 0 para tus controladores de dominio. Esta es la configuración predeterminada para los controladores de dominio. AD Connector no podrá consultar a los usuarios del directorio si el atributo Disable VLVSupport LDAP está activado. Esto impide que el Conector AD funcione con Amazon WorkSpaces.  
Si los servidores DNS o los servidores del controlador de dominio de su dominio de Active Directory existente están dentro de la VPC, los grupos de seguridad asociados a esos servidores deben tener los puertos anteriores abiertos a ambas subredes CIDRs de la VPC. 
Para obtener requisitos de puertos adicionales, consulte [AD and AD DS Port Requirements](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)) en la documentación de Microsoft.

**Autenticación previa de Kerberos**  
Las cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Para obtener instrucciones detalladas sobre cómo habilitar este ajuste, consulte [Asegúrese de que la autenticación previa de Kerberos esté habilitada](ms_ad_tutorial_setup_trust_prepare_onprem.md#tutorial_setup_trust_enable_kerberos). [Para obtener información general sobre esta configuración, consulte Autenticación previa activada.](http://technet.microsoft.com/en-us/library/cc961961.aspx) Microsoft TechNet

**Tipos de cifrado**  
AD Connector admite los siguientes tipos de cifrado para la autenticación de los controladores de dominio de Active Directory a través de Kerberos:  
+ AES-256-HMAC
+ AES-128-HMAC
+ RC4-HMAC

### AWS IAM Identity Center requisitos previos
<a name="prereq_aws_sso_ad_connector"></a>

Si planea utilizar IAM Identity Center con Conector AD, debe asegurarse de que se cumpla lo siguiente:
+ El AD Connector está configurado en la cuenta de administración de la AWS organización.
+ Su instancia de IAM Identity Center debe estar en la misma región en la que se configuró su directorio del Conector AD. 

Para obtener más información, consulte los [requisitos previos del Centro de identidad de IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) en la Guía del AWS IAM Identity Center usuario.

### Requisitos previos de la autenticación multifactor
<a name="mfa_prereqs"></a>

Para admitir la autenticación multifactor con su directorio de Conector AD necesita lo siguiente:
+ Un servidor [Remote Authentication Dial In User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) en la red existente que tenga dos puntos de enlace de cliente. Los puntos de enlace de cliente de RADIUS tienen que cumplir los siguientes requisitos:
  + Para crear los puntos de enlace, necesita las direcciones IP de los servidores de Directory Service . Estas direcciones IP se pueden obtener en el campo **Directory IP Address** de los detalles del directorio. 
  + Los dos puntos de enlace de RADIUS tienen que utilizar el mismo código secreto compartido.
+ Su red actual debe permitir el tráfico entrante desde los servidores a través del puerto de servidor RADIUS predeterminado (1812). Directory Service 
+ Los nombres de usuario deben ser idénticos en el servidor RADIUS y en el directorio existente.

Para obtener más información sobre cómo utilizar Conector AD con la MFA, consulte [Habilitación de la autenticación multifactor para el Conector AD](ad_connector_mfa.md). 

### Privilegios delegados a su cuenta de servicio
<a name="connect_delegate_privileges"></a>

Para poder conectarse al directorio existente, debe disponer de las credenciales de su cuenta de servicio del Conector AD en el directorio existente que tiene determinados privilegios delegados. Aunque los miembros del grupo **Domain Admins (Administradores del dominio)** tengan suficientes privilegios para conectarse al directorio, es recomendable utilizar una cuenta de servicio que tenga únicamente los privilegios mínimos necesarios para conectarse al directorio. El siguiente procedimiento muestra cómo crear un nuevo grupo llamado`Connectors`, delegar los privilegios necesarios para conectarse a este grupo y, Directory Service a continuación, agregar una nueva cuenta de servicio a este grupo. 

Este procedimiento debe realizarse en un equipo que esté unido al directorio y que tenga instalado el complemento de MMC **Usuarios y equipos de Active Directory**. Además, es necesario la sesión se inicie como administrador del dominio.

**Para delegar privilegios a su cuenta de servicio**

1. Abra **Usuarios y equipos de Active Directory** y seleccione la raíz del dominio en el árbol de navegación.

1. En la lista del panel izquierdo, haga clic con el botón derecho en **Usuarios**, seleccione **Nuevo** y, a continuación, seleccione **Grupo**. 

1. En el cuadro **Nuevo objeto - Grupo**, escriba lo siguiente y haga clic en **Aceptar**.  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/ad_connector_getting_started.html)

1. En el árbol de navegación de **Usuarios y equipos de Active Directory**, seleccione identificar la unidad organizativa (OU) donde se crearán las cuentas de equipo. En el menú, seleccione **Acción** y luego **Delegar control**. Puede seleccionar una unidad organizativa principal hasta el dominio a medida que los permisos se propaguen al hijo OUs. Si su AD Connector está conectado a AWS Managed Microsoft AD, no tendrá acceso para delegar el control en el nivel raíz del dominio. En este caso, para delegar el control, seleccione la unidad organizativa situada en la unidad organizativa del directorio en la que se crearán los objetos del equipo.

1. En la página **Asistente para delegación de control**, haga clic en **Siguiente** y luego en **Agregar**.

1. En el cuadro de diálogo **Seleccionar usuarios, equipos o grupos**, escriba `Connectors` y haga clic en **Aceptar**. Si se encuentran varios objetos, seleccione el grupo `Connectors` que creó anteriormente. Haga clic en **Next (Siguiente)**.

1. En la página **Tareas que se delegarán**, seleccione **Crear una tarea personalizada para delegar** y luego elija **Siguiente**.

1. Seleccione **Sólo los siguientes objetos en la carpeta** y, a continuación, seleccione **Objetos de equipo** y **Objetos de usuario**.

1. Seleccione **Crear los objetos seleccionados en esta carpeta** y **Eliminar los objetos seleccionados en esta carpeta**. A continuación, elija **Siguiente**.  
![\[Asistente de delegación de control: solo están seleccionadas las siguientes opciones en la carpeta: objetos de usuario, crear objetos seleccionados en esta carpeta y eliminar objetos seleccionados en esta carpeta.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)

1. Seleccione **Read (Lectura)** y después elija **Next (Siguiente)**.
**nota**  
Si va a utilizar Seamless Domain Join o WorkSpaces, también debe habilitar los permisos de **escritura** para que Active Directory pueda crear objetos informáticos.  
![\[Asistente de delegación de control: en Mostrar estos permisos, están seleccionados los permisos: general, específicos de propiedad y lectura.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)

1. Compruebe la información en la página **Finalización del Asistente para delegación de control** y haga clic en **Finalizar**. 

1. Cree una cuenta de usuario con una contraseña segura y añada ese usuario al grupo `Connectors`. Este usuario se conocerá como su cuenta de servicio AD Connector y, dado que ahora es miembro del `Connectors` grupo, ahora tiene privilegios suficientes Directory Service para conectarse al directorio.

### Probar el conector de AD
<a name="connect_verification"></a>

Para que AD Connector se conecte al directorio existente, el firewall de la red existente debe tener determinados puertos abiertos a ambas subredes de la VPC. CIDRs Para probar si estas condiciones se cumplen, siga estos pasos:

**Para probar la conexión**

1. Ejecute una instancia de Windows en la VPC y conéctese a ella a través de RDP. La instancia debe ser miembro del dominio existente. El resto de los pasos deben realizarse en esta instancia de VPC.

1. Descarga y descomprime la aplicación de prueba. [DirectoryServicePortTest](samples/DirectoryServicePortTest.zip) La aplicación de prueba contiene el código fuente y los archivos del proyecto de Visual Studio para que, si lo desea, pueda modificarla.
**nota**  
Este script no es compatible con Windows Server 2003 o sistemas operativos antiguos.

1. Desde un símbolo del sistema de Windows, ejecute la aplicación de prueba **DirectoryServicePortTest** con las siguientes opciones:
**nota**  
La aplicación de DirectoryServicePortTest prueba solo se puede usar cuando los niveles funcionales del dominio y del bosque están configurados en Windows Server 2012 R2 o versiones anteriores.

   ```
   DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"
   ```  
*<domain\$1name>*  
Nombre completo del dominio. Se utiliza para comprobar los niveles funcionales del bosque y el dominio. Si no incluye el nombre del dominio, no se comprobarán los niveles funcionales.  
*<server\$1IP\$1address>*  
Dirección IP de un controlador del dominio existente. Los puertos se comprobarán utilizando esta dirección IP. Si no incluye la dirección IP, no se comprobarán los puertos.

   Esta aplicación de prueba determina si están abiertos los puertos necesarios desde la VPC a su dominio y también verifica los niveles funcionales mínimos del bosque y el dominio.

   El resultado será similar al siguiente:

   ```
   Testing forest functional level.
   Forest Functional Level = Windows2008R2Forest : PASSED
   
   Testing domain functional level.
   Domain Functional Level = Windows2008R2Domain : PASSED
   
   Testing required TCP ports to <server_IP_address>:
   Checking TCP port 53: PASSED
   Checking TCP port 88: PASSED
   Checking TCP port 389: PASSED
   
   Testing required UDP ports to <server_IP_address>:
   Checking UDP port 53: PASSED
   Checking UDP port 88: PASSED
   Checking UDP port 389: PASSED
   ```

A continuación se muestra el código fuente de la aplicación **DirectoryServicePortTest**.

```
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Net;
using System.Net.Sockets;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices.ActiveDirectory;
using System.Threading;
using System.DirectoryServices.AccountManagement;
using System.DirectoryServices;
using System.Security.Authentication;
using System.Security.AccessControl;
using System.Security.Principal;

namespace DirectoryServicePortTest
{
    class Program
    {
        private static List<int> _tcpPorts;
        private static List<int> _udpPorts;

        private static string _domain = "";
        private static IPAddress _ipAddr = null;

        static void Main(string[] args)
        {
            if (ParseArgs(args))
            {
                try
                {
                    if (_domain.Length > 0)
                    {
                        try
                        {
                            TestForestFunctionalLevel();

                            TestDomainFunctionalLevel();
                        }
                        catch (ActiveDirectoryObjectNotFoundException)
                        {
                            Console.WriteLine("The domain {0} could not be found.\n", _domain);
                        }
                    }

                    if (null != _ipAddr)
                    {
                        if (_tcpPorts.Count > 0)
                        {
                            TestTcpPorts(_tcpPorts);
                        }

                        if (_udpPorts.Count > 0)
                        {
                            TestUdpPorts(_udpPorts);
                        }
                    }
                }
                catch (AuthenticationException ex)
                {
                    Console.WriteLine(ex.Message);
                }
            }
            else
            {
                PrintUsage();
            }

            Console.Write("Press <enter> to continue.");
            Console.ReadLine();
        }

        static void PrintUsage()
        {
            string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location);
            Console.WriteLine("Usage: {0} \n-d <domain> \n-ip \"<server IP address>\" \n[-tcp \"<tcp_port1>,<tcp_port2>,etc\"] \n[-udp \"<udp_port1>,<udp_port2>,etc\"]", currentApp);
        }

        static bool ParseArgs(string[] args)
        {
            bool fReturn = false;
            string ipAddress = "";

            try
            {
                _tcpPorts = new List<int>();
                _udpPorts = new List<int>();

                for (int i = 0; i < args.Length; i++)
                {
                    string arg = args[i];

                    if ("-tcp" == arg | "/tcp" == arg)
                    {
                        i++;
                        string portList = args[i];
                        _tcpPorts = ParsePortList(portList);
                    }

                    if ("-udp" == arg | "/udp" == arg)
                    {
                        i++;
                        string portList = args[i];
                        _udpPorts = ParsePortList(portList);
                    }

                    if ("-d" == arg | "/d" == arg)
                    {
                        i++;
                        _domain = args[i];
                    }

                    if ("-ip" == arg | "/ip" == arg)
                    {
                        i++;
                        ipAddress = args[i];
                    }
                }
            }
            catch (ArgumentOutOfRangeException)
            {
                return false;
            }

            if (_domain.Length > 0 || ipAddress.Length > 0)
            {
                fReturn = true;
            }

            if (ipAddress.Length > 0)
            { 
                _ipAddr = IPAddress.Parse(ipAddress); 
            }
            
            return fReturn;
        }

        static List<int> ParsePortList(string portList)
        {
            List<int> ports = new List<int>();

            char[] separators = {',', ';', ':'};

            string[] portStrings = portList.Split(separators);
            foreach (string portString in portStrings)
            {
                try
                {
                    ports.Add(Convert.ToInt32(portString));
                }
                catch (FormatException)
                {
                }
            }

            return ports;
        }

        static void TestForestFunctionalLevel()
        {
            Console.WriteLine("Testing forest functional level.");

            DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null);
            Forest forestContext = Forest.GetForest(dirContext);

            Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);

            if (forestContext.ForestMode >= ForestMode.Windows2003Forest)
            {
                Console.WriteLine("PASSED");
            }
            else
            {
                Console.WriteLine("FAILED");
            }

            Console.WriteLine();
        }

        static void TestDomainFunctionalLevel()
        {
            Console.WriteLine("Testing domain functional level.");

            DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null);
            Domain domainObject = Domain.GetDomain(dirContext);

            Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);

            if (domainObject.DomainMode >= DomainMode.Windows2003Domain)
            {
                Console.WriteLine("PASSED");
            }
            else
            {
                Console.WriteLine("FAILED");
            }

            Console.WriteLine();
        }

        static List<int> TestTcpPorts(List<int> portList)
        {
            Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());

            List<int> failedPorts = new List<int>();

            foreach (int port in portList)
            {
                Console.Write("Checking TCP port {0}: ", port);

                TcpClient tcpClient = new TcpClient();

                try
                {
                    tcpClient.Connect(_ipAddr, port);

                    tcpClient.Close();
                    Console.WriteLine("PASSED");
                }
                catch (SocketException)
                {
                    failedPorts.Add(port);
                    Console.WriteLine("FAILED");
                }
            }

            Console.WriteLine();

            return failedPorts;
        }

        static List<int> TestUdpPorts(List<int> portList)
        {
            Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());

            List<int> failedPorts = new List<int>();

            foreach (int port in portList)
            {
                Console.Write("Checking UDP port {0}: ", port);

                UdpClient udpClient = new UdpClient();

                try
                {
                    udpClient.Connect(_ipAddr, port);
                    udpClient.Close();
                    Console.WriteLine("PASSED");
                }
                catch (SocketException)
                {
                    failedPorts.Add(port);
                    Console.WriteLine("FAILED");
                }
            }

            Console.WriteLine();

            return failedPorts;
        }
    }
}
```

## Creación de un Conector AD
<a name="create_ad_connector"></a>

Para conectarse a su directorio existente con Conector AD, siga estos pasos. Antes de comenzar este procedimiento, asegúrese de haber completado los requisitos previos que se indican en [Requisitos previos de Conector AD](#prereq_connector).

**nota**  
No puede crear un Conector AD con una plantilla de Cloud Formation.

**Para conectarse con Conector AD**

1. En el [panel de navegación de la consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), elija **Directorios** y, a continuación, elija **Configurar directorio**.

1. En la página **Seleccionar tipo de directorio**, elija **Conector AD** y, a continuación, elija **Siguiente**.

1. En la página **Enter AD Connector information (Especifique la información de AD Connector)**, facilite la siguiente información:  
**Tamaño del directorio**  
Elija entre la opción de tamaño **Small (Pequeño)** o **Large (Grande)**. Para obtener más información acerca de los tamaños, consulte [Conector de AD](directory_ad_connector.md).  
**Descripción del directorio**  
Descripción opcional del directorio.

1. En la página **Choose VPC and subnets (Elegir la VPC y las subredes)**, proporcione la siguiente información y, a continuación, elija **Next (Siguiente)**.  
**VPC**  
VPC del directorio.  
**Subredes**  
Elija las subredes de los controladores de dominio. Las dos subredes deben estar en diferentes zonas de disponibilidad. 

1. En la página **Connect to AD (Conectar a AD)**, proporcione la siguiente información:  
**Nombre de DNS del directorio**  
Nombre completo del directorio existente, por ejemplo `corp.example.com`.  
**Nombre NetBIOS del directorio**  
Nombre abreviado del directorio existente, por ejemplo `CORP`.  
**Direcciones IP de DNS**  
La dirección IP de al menos un servidor DNS del directorio existente. Estos servidores deben ser accesibles desde cada subred especificada en el paso 4. Estos servidores pueden estar ubicados fuera de AWS, siempre que haya conectividad de red entre las subredes especificadas y las direcciones IP del servidor DNS.  
**Nombre de usuario de la cuenta de servicio**  
El nombre de usuario de un usuario del directorio existente. Para obtener más información acerca de esta cuenta, consulte [Requisitos previos de Conector AD](#prereq_connector).  
**Contraseña de la cuenta de servicio**  
La contraseña de la cuenta del usuario existente. Esta contraseña distingue entre mayúsculas y minúsculas y debe tener un mínimo de 8 caracteres y un máximo de 128. También debe contener al menos un carácter de tres de las siguientes categorías:  
   + Letras minúsculas (a-z)
   + Letras mayúsculas (A-Z)
   + Números (0-9)
   + Caracteres no alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**Confirmar contraseña**  
Vuelva a escribir la contraseña de la cuenta del usuario existente.

1. En la página **Review & create (Revisar y crear)**, revise la información del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, seleccione **Create directory (Crear directorio)**. La creación del directorio tarda varios minutos. Una vez creado, el valor **Status** cambia a **Active**.

Para obtener más información sobre lo que se crea con el Conector AD, consulte [¿Qué se crea con el Conector AD?](create_details_ad_connector.md).

# ¿Qué se crea con el Conector AD?
<a name="create_details_ad_connector"></a>

Al crear un AD Connector, crea y asocia Directory Service automáticamente una interfaz de red elástica (ENI) a cada una de las instancias de AD Connector. Cada uno de ellos ENIs es esencial para la conectividad entre la VPC y el Directory Service AD Connector y nunca debe eliminarse. Puede identificar todas las interfaces de red reservadas para su uso Directory Service mediante la descripción: «interfaz de red AWS creada para el identificador del *directorio*». Para obtener más información sobre ENI, consulte [Interfaces de red elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) en la Guía del usuario de Amazon EC2.

**nota**  
Las instancias del Conector AD se implementan en dos zonas de disponibilidad de una región de forma predeterminada y se conectan a su Amazon Virtual Private Cloud (VPC). Las instancias del Conector AD que fallan se reemplazan automáticamente en la misma zona de disponibilidad con la misma dirección IP.

Al iniciar sesión en cualquier AWS aplicación o servicio integrado con un AD Connector (AWS IAM Identity Center incluido), la aplicación o el servicio reenvía la solicitud de autenticación a AD Connector, que luego la reenvía a un controlador de dominio de su Active Directory autogestionado para su autenticación. Si se ha autenticado correctamente en el Active Directory autoadministrado, el Conector AD devuelve un token de autenticación a la aplicación o al servicio (similar a un token de Kerberos). En este punto, ya puedes acceder a la AWS aplicación o al servicio.

# Prácticas recomendadas para Conector AD
<a name="ad_connector_best_practices"></a>

A continuación se indican algunas sugerencias y directrices que debe tener en cuenta para evitar problemas y sacar el máximo provecho del Conector AD.

## Configuración: requisitos previos
<a name="ad_connector_best_practices_prereq"></a>

Plantéese estas directrices antes de crear el directorio.

### Compruebe que tena el tipo de directorio correcto
<a name="choose_right_type"></a>

Directory Service proporciona varias formas de usarlo Microsoft Active Directory con otros AWS servicios. Puede elegir el servicio de directorio con las características que necesita con un costo que se adapte a su presupuesto:
+ **AWS Directory Service for Microsoft Active Directory** es un servicio gestionado y Microsoft Active Directory alojado en la AWS nube con numerosas funciones. AWS Microsoft AD administrado es la mejor opción si tiene más de 5000 usuarios y necesita establecer una relación de confianza entre un directorio AWS hospedado y sus directorios locales.
+ **AD Connector** simplemente conecta su Active Directory local existente a AWS. Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios de AWS . 
+ **Simple AD** es un servicio de directorio económico a pequeña escala compatible con el servicio básico de Active Directory. Admite 5000 usuarios o menos, aplicaciones compatibles con Samba 4 y compatibilidad LDAP para aplicaciones compatibles con LDAP.

Para obtener una comparación más detallada de Directory Service las opciones, consulte[¿Cuál debe elegir?](what_is.md#choosing_an_option).

### Asegúrese de que sus instancias VPCs y estén configuradas correctamente
<a name="vpc_config"></a>

Para poder conectarse a sus directorios, administrarlos y usarlos, debe configurar correctamente los directorios a los VPCs que están asociados. Consulte [Requisitos previos para crear un Microsoft AWS AD administrado](ms_ad_getting_started.md#ms_ad_getting_started_prereqs), [Requisitos previos de Conector AD](ad_connector_getting_started.md#prereq_connector) o [Requisitos previos para Simple AD](simple_ad_getting_started.md#prereq_simple) para obtener información sobre la seguridad de VPC y los requisitos de red. 

Si está añadiendo una instancia a su dominio, asegúrese de que dispone de conectividad y acceso remoto a la instancia, tal y como se describe en [Formas de unir una instancia de Amazon EC2 a su AWS Microsoft AD gestionado](ms_ad_join_instance.md). 

### Sea consciente de sus límites
<a name="aware_of_limits"></a>

Obtenga información sobre los distintos límites de su tipo de directorio específico. El almacenamiento disponible y el tamaño total de los objetos son las únicas limitaciones en cuanto al número de objetos que puede almacenar en el directorio. Consulte cualquiera de las opciones [AWS Cuotas administradas de Microsoft AD](ms_ad_limits.md), [Cuotas de Conector AD](ad_connector_limits.md) o [Cuotas de Simple AD](simple_ad_limits.md) para obtener más información sobre el directorio que ha elegido.

### Comprenda la configuración y el uso de los grupos de AWS seguridad de su directorio
<a name="ad_connector_understandsecgroup"></a>

AWS crea un [grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) y lo adjunta a las interfaces de [red elásticas de su directorio, a las que se puede acceder desde las interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) homólogas o redimensionadas. [VPCs](https://aws.amazon.com/vpc/) AWS configura el grupo de seguridad para bloquear el tráfico innecesario al directorio y permite el tráfico necesario. 

#### Modificación del grupo de seguridad del directorio
<a name="ad_connector_modifyingsecgroup"></a>

Si quiere modificar la seguridad de los directorios de grupos de seguridad, puede hacerlo. Realice esos cambios únicamente si comprende completamente cómo funcionan los filtros de los grupos de seguridad. Para obtener más información, consulte [Grupos de seguridad de Amazon EC2 para instancias de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) en la *Guía del usuario de Amazon EC2*. Los cambios incorrectos pueden provocar la pérdida de comunicaciones con los equipos e instancias previstos. AWS recomienda que no intente abrir puertos adicionales al directorio, ya que esto reduce la seguridad del directorio. Lea detenidamente el [Modelo de responsabilidad compartida de AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). 

**aviso**  
Técnicamente, puede asociar el grupo de seguridad del directorio a otras instancias de EC2 que se crearon. Sin embargo, no AWS recomienda esta práctica. AWS puede tener motivos para modificar el grupo de seguridad sin previo aviso para satisfacer las necesidades funcionales o de seguridad del directorio gestionado. Estos cambios afectan a cualquier instancia a la que asocie el grupo de seguridad del directorio y puede interrumpir el funcionamiento de las instancias asociadas. Además, al asociar el grupo de seguridad del directorio a las instancias EC2 se puede crear un posible riesgo de seguridad para las instancias EC2.

### Configurar sitios y subredes en las instalaciones correctamente al usar Conector AD
<a name="ad_connector_config_onprem"></a>

Si la red en las instalaciones tiene definidos sitios de Active Directory, debe asegurarse de que las subredes de la VPC en la que reside el directorio del Conector AD estén definidas en un sitio de Active Directory y que no existen conflictos entre las subredes de la VPC y las subredes de sus otros sitios.

Para detectar los controladores de dominio, directorio del Conector AD utiliza el sitio de Active Directory cuyos rangos de direcciones IP de subred que sean próximos a los de la VPC que contienen el directorio del Conector AD. Si hay un sitio cuyas subredes tienen los mismos rangos de direcciones IP que los de su VPC, el directorio del Conector AD detectará los controladores de dominio en ese sitio, que puede no estar físicamente cerca de su región. 

### Comprenda las restricciones de nombre de usuario para AWS las aplicaciones
<a name="ad_connector_usernamerestrictions"></a>

Directory Service proporciona compatibilidad con la mayoría de los formatos de caracteres que se pueden utilizar en la construcción de nombres de usuario. Sin embargo, hay restricciones de caracteres que se aplican a los nombres de usuario que se utilizarán para iniciar sesión en AWS aplicaciones WorkSpaces, como WorkDocs Amazon o WorkMail Quick. Estas restricciones requieren que no se utilicen los siguientes caracteres:
+ Espacios
+ Caracteres multibyte
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1

**nota**  
El símbolo @ se permite siempre que preceda a un sufijo UPN. 

## Programación de las aplicaciones
<a name="ad_connector_program_apps"></a>

Antes de programar sus aplicaciones, tenga en cuenta lo siguiente:

### Pruebas de carga antes de la puesta en producción
<a name="ad_connector_program_load_test"></a>

Asegúrese de hacer pruebas de laboratorio con aplicaciones y solicitudes que sean representativos de su carga de trabajo de producción para confirmar que el directorio puede adaptarse a la carga de su aplicación. Si necesita capacidad adicional, distribuya las cargas en varios directorios de AD Connector.

## Uso del directorio
<a name="ad_connector_bp_using_directory"></a>

Estas son algunas sugerencias que tener en cuenta al utilizar su directorio.

### Rotar con regularidad sus credenciales de administrador
<a name="rotate_admin_creds"></a>

Cambie la contraseña de administrador de la cuenta del servicio del Conector AD con regularidad y asegúrese de que la contraseña sea coherente con las políticas de contraseñas de Active Directory existentes. Para obtener instrucciones sobre cómo cambiar la contraseña de la cuenta del servicio, consulte [Actualización de las credenciales de la cuenta de servicio de AD Connector en Consola de administración de AWS](ad_connector_update_creds.md).

### Utilizar directorios del Conector AD únicos para cada dominio
<a name="ad_connector_use_unique_connector"></a>

Los Conectores AD y sus dominios AD en las instalaciones deben tener una relación de confianza unívoca. Es decir, para cada dominio en las instalaciones, incluidos los dominios secundarios en un bosque de AD que desee autenticar, debe crear un Conector AD único. Cada Conector AD que cree deberá utilizar una cuenta de servicio diferente, incluso si está conectado al mismo directorio.

### Compruebe si hay compatibilidad
<a name="ad_connector_compatibility"></a>

Al utilizar AD Connector, debe asegurarse de que su directorio local sea y siga siendo compatible con Directory Service. Para obtener más información acerca de sus responsabilidades, consulte nuestro [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model).

# Mantenimiento de su directorio del Conector AD
<a name="ad_connector_maintain"></a>

Puede usarlo Consola de administración de AWS para mantener su AD Connector y completar las tareas day-to-day administrativas. Las formas en que puede administrar su directorio incluyen las siguientes:
+ [Visualización de detalles sobre su Conector AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_view_directory_info.html).
+ [Actualización de la dirección de DNS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html) a la que apunta su Conector AD.
+ [Eliminación de su Conector AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_delete.html) cuando ya no sea necesario.

# Visualización de la información del directorio del Conector AD
<a name="ad_connector_view_directory_info"></a>

**Visualización de información detallada del directorio**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), en **Active Directory**, seleccione **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio. La información acerca del directorio se muestra en la sección **Detalles del directorio**. 

Para obtener más información acerca del campo **Status**, consulte [Descripción del estado del directorio](ad_connector_directory_status.md).

# Actualización del tipo de red de directorios
<a name="ad_connector_update-directory-type"></a>

Puede actualizar el tipo de red de su Directory Service directorio de IPv4 a doble pila (IPv4 y IPv6). La actualización del tipo de red para incluir las direcciones IPv6 IP proporciona un espacio de direcciones mayor que IPv4. IPv4 y IPv6 la comunicación son independientes entre sí.

Para obtener más información, consulte [Compare IPv4 y IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.

**importante**  
Esta es una operación de un solo sentido que no se puede revertir. Primero, se deben realizar pruebas en un entorno que no sea de producción.

## Requisitos previos
<a name="ad_connector_update-directory-type-prereq"></a>

Antes de actualizar el tipo de red de directorio, asegúrese de que se cumplan los siguientes requisitos:
+ La VPC debe estar configurada con rangos de IPv6 CIDR. Para obtener más información, consulte el [IPv6 soporte para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) en la Guía del *usuario de Amazon Virtual Private Cloud*.
+ Tiene acceso administrativo a la Consola de administración de AWS.
+ Su directorio debe estar en estado activo.
+ Dispone de los permisos de IAM adecuados para modificar Directory Service la configuración.

## Actualización del tipo de red de directorios
<a name="ad_connector_update-directory-type-procedure"></a>

**Actualización del directorio a una red de doble pila**
**nota**  
Si el directorio está replicado en varias regiones, realice esta actualización en cada una de las regiones.

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), elija **Directorios**.

1. Seleccione el directorio de destino.

1. Vaya a la pestaña **Redes y seguridad**.

1. Seleccione **Añadir IPv6 soporte**. Esta opción solo está disponible para directorios IPv4 exclusivos.

1. Revise la información de actualización y los detalles de los precios.

1. Seleccione **Agregar** para confirmar la actualización.

Tras iniciar la actualización, el estado del directorio cambia a **Actualizando** durante el proceso de actualización. La actualización suele tardar entre 15 y 30 minutos en completarse. Una vez completada, el estado del directorio vuelve a **Activo**.

# Actualización de la dirección de DNS del Conector AD
<a name="ad_connector_update_dns"></a>

Siga estos pasos para actualizar las direcciones de DNS a las que apunta su Conector AD.

**nota**  
Si tiene una actualización en curso, espere hasta que se haya completado antes de iniciar otra.  
Si lo utiliza WorkSpaces con su AD Connector, asegúrese de que sus direcciones DNS también WorkSpace estén actualizadas. Para obtener más información, consulte [Actualizar servidores DNS para WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/update-dns-server.html).

**Para actualizar la configuración de DNS de Conector AD**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), en **Active Directory**, elija **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio.

1. En la página **Detalles del directorio**, elija la pestaña **Redes y seguridad**. 

1. En la sección **Configuración de DNS existente**, elija **Actualizar**.

1. En el cuadro de diálogo **Update existing DNS addresses (Actualizar direcciones de DNS existentes)**, escriba las direcciones IP de DNS actualizadas y, a continuación, elija **Update (Actualizar)**.

Para obtener más información sobre la solución de problemas del Conector AD, consulte [Solución de problemas del Conector AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_troubleshooting.html).

# Eliminación del Conector AD
<a name="ad_connector_delete"></a>

Cuando se elimina un directorio de Conector AD, su directorio en las instalaciones permanece intacto. Todas las instancias que están unidas al directorio también permanecen intactas y permanecen unidas al directorio local. Puede seguir utilizando las credenciales del directorio para iniciar sesión en estas instancias.

**Eliminación de Conector AD**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**. Asegúrese de estar en el Región de AWS lugar donde está desplegado su AD Connector. Para obtener más información, consulte [Selección de una región](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/select-region.html).

1. Asegúrese de que no haya ninguna AWS aplicación habilitada para el AD Connector que desea eliminar. AWS Las aplicaciones habilitadas le impedirán eliminar su AD Connector.

   1. En la página **Directorios**, elija el ID del directorio.

   1. En la página **Directory details (Detalles del directorio)**, seleccione la pestaña **Application management (Administración de aplicaciones)**. En la sección de **AWS aplicaciones y servicios**, verá qué AWS aplicaciones están habilitadas para su AD Connector.
      + Inhabilita Consola de administración de AWS el acceso. Para obtener más información, consulte [Inhabilitar Consola de administración de AWS el acceso](ms_ad_management_console_access.md#console_disable).
      + Para deshabilitar Amazon WorkSpaces, debes anular el registro del servicio en el directorio de la consola. WorkSpaces Para obtener más información, consulta [Eliminar un directorio](https://docs.aws.amazon.com/workspaces/latest/adminguide/delete-workspaces-directory.html) en la *Guía de WorkSpaces administración de Amazon*.
      + Para deshabilitarlo WorkDocs, debe eliminar el WorkDocs sitio en la WorkDocs consola. Para obtener más información, consulta [Eliminar un sitio](https://docs.aws.amazon.com/workdocs/latest/adminguide/delete_site.html) en la *Guía de WorkDocs administración de Amazon*.
      + Para deshabilitar Amazon WorkMail, debes eliminar la WorkMail organización de Amazon en la WorkMail consola de Amazon. Para obtener más información, consulta [Eliminar una organización](https://docs.aws.amazon.com/workmail/latest/adminguide/remove_organization.html) en la *Guía del WorkMail administrador de Amazon*.
      + Para deshabilitar el servidor de archivos de Amazon FSx para Windows, debe eliminar el sistema de FSx archivos de Amazon del dominio. Para obtener más información, consulte [Cómo trabajar con Active Directory en FSx Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) en la *Guía del usuario de Amazon FSx for Windows File Server*.
      + Para deshabilitar Amazon Relational Database Service, debe eliminar la instancia de Amazon RDS del dominio. Para obtener más información, consulte [Administración de una instancia de base de datos en un dominio](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) en la *Guía del usuario de Amazon RDS*.
      + Para deshabilitar el AWS Client VPN servicio, debe eliminar el servicio de directorio del punto final Client VPN. Para obtener más información, consulte [Uso de Client VPN](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/cvpn-working.html) en la *Guía del administrador de AWS Client VPN *.
      + Para deshabilitar Amazon Connect, debe eliminar la instancia de Amazon Connect. Para obtener más información, consulte [Eliminación de su instancia de Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/delete-connect-instance.html) en la *Guía de administración de Amazon Connect*.
      + Para deshabilitar Amazon Quick, debes darte de baja de Amazon Quick. Para obtener más información, consulta [Cómo cerrar tu Amazon Quick cuenta](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html) en la *Guía rápida del usuario de Amazon*.
**nota**  
Si lo está utilizando AWS IAM Identity Center y ya lo ha conectado anteriormente al directorio AWS administrado de Microsoft AD que planea eliminar, primero debe cambiar la fuente de identidad antes de poder eliminarlo. Para obtener más información, consulte [Cambio del origen de identidad](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-change.html) en la *Guía del usuario de IAM Identity Center*.

1. En el panel de navegación, elija **Directories (Directorios)**.

1. Seleccione únicamente el Conector AD que se va a eliminar y haga clic en **Eliminar**. La eliminación de Conector AD puede tardar varios minutos. Cuando Conector AD se haya eliminado, también se eliminará de la lista de directorios.

# Protección del directorio de Conector AD
<a name="ad_connector_security"></a>

Puede utilizar funciones como la autenticación multifactor (MFA), el protocolo ligero de acceso a directorios del lado del cliente a través de Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) y proteger su AD Connector. AWS Private Certificate Authority A continuación, se describen algunas formas de proteger su Conector AD:
+ Habilite la MFA para aumentar la seguridad del Conector AD.
+ Habilite el protocolo ligero de acceso a directorios del lado del cliente a través de la capa de conexión segura (SSL) o la seguridad de la capa de transporte (TLS), o LDAPS, del lado del cliente para cifrar las comunicaciones a través del LDAP y mejorar la seguridad.
+ Habilite la autenticación de seguridad de la capa de trasporte mutua (mTLS) basada en certificados con tarjetas inteligentes, que permite a los usuarios autenticarse en Amazon Web Services a través de Active Directory y del Conector AD.
+ Actualice las credenciales de la cuenta de servicio del Conector AD.
+  AWS Private CA Configure Connector for AD para poder emitir y administrar certificados para su AD Connector.

**Topics**
+ [Habilitación de la autenticación multifactor para el Conector AD](ad_connector_mfa.md)
+ [Habilitación de LDAPS del lado del cliente mediante el Conector AD](ad_connector_ldap_client_side.md)
+ [Habilitación de la autenticación mTLS en Conector AD para usarla con tarjetas inteligentes](ad_connector_clientauth.md)
+ [Actualización de las credenciales de la cuenta de servicio de AD Connector en Consola de administración de AWS](ad_connector_update_creds.md)
+ [Configurar el AWS Private CA conector para AD](ad_connector_pca_connector.md)

# Habilitación de la autenticación multifactor para el Conector AD
<a name="ad_connector_mfa"></a>

Puede habilitar la autenticación multifactor para Conector AD si tiene Active Directory ejecutándose en las instalaciones o en instancias de Amazon EC2. Para obtener más información sobre el uso de la autenticación multifactorial con Directory Service, consulte[Requisitos previos de Conector AD](ad_connector_getting_started.md#prereq_connector).

**nota**  
La autenticación multifactor no puede usarse con Simple AD. Sin embargo, el MFA se puede habilitar para su directorio administrado de AWS Microsoft AD. Para obtener más información, consulte [Habilitación de la autenticación multifactorial para Microsoft AWS AD administrado](ms_ad_mfa.md).

**Habilitación de la autenticación multifactor para Conector AD**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el vínculo del ID de su directorio del Conector AD.

1. En la página **Directory details (Detalles del directorio)**, seleccione la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Multi-factor authentication (Autenticación multifactor)**, elija **Actions (Acciones)** y, a continuación, seleccione **Enable (Habilitar)**.

1. En la página **Enable multi-factor authentication (MFA) (Habilitar la autenticación multifactor (MFA))**, proporcione los valores siguientes:   
**Display label (Mostrar etiqueta)**  
Proporcione un nombre de etiqueta.  
**RADIUS server DNS name or IP addresses (Nombre de DNS o direcciones IP del servidor RADIUS)**  
Direcciones IP de los puntos de enlace del servidor RADIUS o dirección IP del balanceador de carga del servidor RADIUS. Puede especificar varias direcciones IP separándolas mediante comas (por ejemplo, `192.0.0.0,192.0.0.12`).  
El MFA RADIUS solo se aplica para autenticar el acceso a las Consola de administración de AWS aplicaciones y servicios de Amazon Enterprise, como Amazon Quick o WorkSpaces Amazon Chime. No proporciona MFA a las cargas de trabajo de Windows que se ejecutan en instancias EC2 ni para iniciar sesión en una instancia EC2. Directory Service no admite la autenticación RADIUS. Challenge/Response   
En el momento en que los usuarios especifiquen el nombre de usuario y la contraseña, deben disponer de un código MFA. Como alternativa, debe usar una solución que realice MFA, out-of-band como la verificación de texto por SMS para el usuario. En las soluciones de out-of-band MFA, debe asegurarse de establecer el valor de tiempo de espera RADIUS de forma adecuada para su solución. Al utilizar una solución de out-of-band MFA, la página de inicio de sesión solicitará al usuario un código de MFA. En ese caso, se recomienda a los usuarios que escriban su contraseña en el campo de contraseña y en el campo de MFA.  
**Puerto**  
Puerto que utiliza el servidor RADIUS para las comunicaciones. La red local debe permitir el tráfico entrante desde los servidores a través del puerto de servidor RADIUS predeterminado (UDP:1812). Directory Service   
**Código secreto compartido**  
Código de secreto compartido que se especificó cuando se crearon los puntos de enlace de RADIUS.  
**Confirm shared secret code** (Confirmar código secreto compartido)  
Confirme el código secreto compartido para los puntos de enlace de RADIUS.  
**Protocolo**  
Seleccione el protocolo que se especificó cuando se crearon los puntos de enlace de RADIUS.  
**Tiempo de espera del servidor (en segundos)**  
Tiempo, en segundos, que hay que esperar a que el servidor RADIUS responda. Este valor debe estar entre 1 y 50.  
**Número máximo de reintentos de solicitud RADIUS**  
Número de veces que se intenta la comunicación con el servidor RADIUS. Este valor debe estar entre 0 y 10.

   La autenticación multifactor está disponible cuando **RADIUS Status** cambia a **Habilitado**. 

1. Seleccione **Habilitar**. 

# Habilitación de LDAPS del lado del cliente mediante el Conector AD
<a name="ad_connector_ldap_client_side"></a>

La compatibilidad con LDAPS del lado del cliente en AD Connector cifra las comunicaciones entre Microsoft Active Directory (AD) y las aplicaciones. AWS Algunos ejemplos de estas aplicaciones son WorkSpaces Quick y Amazon Chime. AWS IAM Identity Center Este cifrado le ayuda a proteger mejor los datos de identidad de su organización y a cumplir sus requisitos de seguridad.

También puede anular el registro y deshabilitar los LDAPS del lado del cliente.

**Topics**
+ [Requisitos previos](#prereqs-ldap-client-side)
+ [Habilitación del LDAPS del lado del cliente](#enable-ldap-client-side)
+ [Administración de LDAPS del lado del cliente](manage-ldap-client-side.md)

## Requisitos previos
<a name="prereqs-ldap-client-side"></a>

Antes de habilitar LDAPS del lado del cliente, debe cumplir los siguientes requisitos.

**Topics**
+ [Implementar certificados de servidor en Active Directory](#deploy_server_certs_ldap_client_side)
+ [Requisitos del certificado de CA](#cert_requirements_ldap_client_side)
+ [Requisitos de red](#networking_requirements_ldap_client_side)

### Implementar certificados de servidor en Active Directory
<a name="deploy_server_certs_ldap_client_side"></a>

Para habilitar LDAPS en el lado del cliente, debe obtener e instalar certificados de servidor para cada controlador de dominio en Active Directory. Estos certificados los utilizará el servicio LDAP para escuchar y aceptar automáticamente conexiones SSL de clientes LDAP. Puede utilizar certificados SSL emitidos por una implementación interna de Active Directory Certificate Services (ADCS) o adquiridos a un emisor comercial. Para obtener más información acerca de los requisitos de certificados de servidor de Active Directory, consulte [Certificado LDAP a través de SSL (LDAPS)](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) en el sitio web de Microsoft.

### Requisitos del certificado de CA
<a name="cert_requirements_ldap_client_side"></a>

Se requiere un certificado de CA (entidad de certificación) que represente al emisor de los certificados de servidor para la operación LDAPS del lado del cliente. Los certificados de entidad de certificación coinciden con los certificados de servidor que presentan los controladores de dominio de Active Directory para cifrar las comunicaciones LDAP. Tenga en cuenta los siguientes requisitos de los certificados de CA:
+  Para registrar un certificado, deben quedar más de 90 días para que caduque.
+ Los certificados deben estar en formato PEM (Privacy-Enhanced Mail). Si exporta certificados de CA desde Active Directory, elija X.509 (.CER) codificado en base64 como formato de archivo de exportación.
+ Se puede almacenar un máximo de cinco (5) certificados de entidad de certificación por directorio de Conector AD.
+ No se admiten los certificados que utilizan el algoritmo de firma RSASSA-PSS.

### Requisitos de red
<a name="networking_requirements_ldap_client_side"></a>

AWS el tráfico LDAP de la aplicación se ejecutará exclusivamente en el puerto TCP 636, sin recurrir al puerto LDAP 389. Sin embargo, las comunicaciones LDAP de Windows que admiten la replicación, relaciones de confianza y otras características seguirán utilizando el puerto LDAP 389 con la seguridad nativa de Windows. Configure grupos de AWS seguridad y firewalls de red para permitir las comunicaciones TCP en el puerto 636 del AD Connector (saliente) y en el Active Directory autoadministrado (entrante). 

## Habilitación del LDAPS del lado del cliente
<a name="enable-ldap-client-side"></a>

Para habilitar LDAPS del cliente, importe el certificado de la entidad de certificación (CA) en Conector AD y, a continuación, habilite LDAPS en el directorio. Al activarlo, todo el tráfico LDAP entre las AWS aplicaciones y su Active Directory autogestionado fluirá con el cifrado de canales Secure Sockets Layer (SSL).

Puede utilizar dos métodos diferentes para habilitar LDAPS en el lado del cliente para su directorio. Puede usar el método o el Consola de administración de AWS método. AWS CLI 

### Registrar el certificado en Directory Service
<a name="step1-register-cert-ldap-client-side"></a>

Utilice uno de los métodos siguientes para registrar un certificado en Directory Service.

**Método 1: para registrar el certificado en Directory Service (Consola de administración de AWS)**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio.

1. En la página **Directory details (Detalles del directorio)**, elija la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Client-side LDAPS (LDAPS del lado del cliente)**, seleccione el menú **Actions (Acciones)** y, a continuación, seleccione **Register certificate (Registrar certificado)**.

1. En el cuadro de diálogo **Register a CA certificate (Registrar un certificado de entidad de certificación)**, seleccione **Browse (Examinar)** y, a continuación, seleccione el certificado y elija **Open (Abrir)**.

1. Elija **Register certificate (Registrar certificado)**.

**Método 2: Para registrar su certificado en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente. Para los datos del certificado, elija la ubicación del archivo de certificado de CA. Se proporcionará un ID de certificado en la respuesta.

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
  ```

### Comprobación del estado de registro
<a name="step2-check-registration-status-ldap-client-side"></a>

Para ver el estado del registro de un certificado o una lista de certificados registrados, utilice uno de los métodos siguientes.

**Método 1: comprobar el estado de registro del certificado en Directory Service (Consola de administración de AWS)**

1. Vaya a la sección **Client-side LDAPS (LDAPS del lado del cliente)** de la página **Directory details (Detalles del directorio)**.

1. Revise el estado actual del registro de certificado que se muestra en la columna **Registration status (Estado del registro)**. Cuando el valor de estado de registro cambia a **Registered (Registrado)**, el certificado se ha registrado correctamente.

**Método 2: comprobar el estado de registro del certificado en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente. Si el valor de estado devuelve `Registered`, el certificado se ha registrado correctamente.

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

### Habilitación del LDAPS del lado del cliente
<a name="step3-enable-ldap-client-side"></a>

Utilice uno de los siguientes métodos para habilitar la entrada del LDAPS del lado del cliente. Directory Service

**nota**  
Debe haber registrado correctamente al menos un certificado para poder habilitar LDAPS en el lado del cliente.

**Método 1: Para habilitar el LDAPS del lado del cliente en () Directory Service Consola de administración de AWS**

1. Vaya a la sección **Client-side LDAPS (LDAPS del lado del cliente)** de la página **Directory details (Detalles del directorio)**.

1. Seleccione **Habilitar**. Si esta opción no está disponible, compruebe que se ha registrado correctamente un certificado válido y vuelva a intentarlo.

1. En el cuadro de diálogo **Enable client-side LDAPS (Habilitar LDAPS del lado del cliente)**, elija **Enable (Habilitar)**.

**Método 2: Para habilitar el LDAPS del lado del cliente en () Directory Service AWS CLI**
+ Ejecute el comando siguiente.

  ```
  aws ds enable-ldaps --directory-id your_directory_id --type Client
  ```

### Comprobación del estado de LDAPS
<a name="step4-check-status-ldap-client-side"></a>

Utilice uno de los siguientes métodos para comprobar el estado del LDAPS. Directory Service

**Método 1: Para comprobar el estado del LDAPS en Directory Service ()Consola de administración de AWS**

1. Vaya a la sección **Client-side LDAPS (LDAPS del lado del cliente)** de la página **Directory details (Detalles del directorio)**.

1. Si el valor de estado se muestra como **Enabled (Habilitado)**, LDAPS se ha configurado correctamente.

**Método 2: Para comprobar el estado del LDAPS en Directory Service ()AWS CLI**
+ Ejecute el comando siguiente. Si el valor de estado devuelve `Enabled`, LDAPS se ha configurado correctamente.

  ```
  aws ds describe-ldaps-settings –directory-id your_directory_id
  ```

Para obtener más información sobre cómo ver el certificado LDAPS del lado del cliente, anular el registro o deshabilitar su certificado LDAPS, consulte [Administración de LDAPS del lado del cliente](manage-ldap-client-side.md).

# Administración de LDAPS del lado del cliente
<a name="manage-ldap-client-side"></a>

Utilice estos comandos para administrar la configuración de LDAPS.

Puede utilizar dos métodos distintos para administrar la configuración de LDAPS del lado del cliente. Puede utilizar el Consola de administración de AWS método o el AWS CLI método.

## Ver detalles del certificado
<a name="describe-a-certificate-ldap-client-side"></a>

Utilice cualquiera de los métodos siguientes para ver cuándo está establecida la caducidad de un certificado.

**Método 1: para ver los detalles del certificado en Directory Service (Consola de administración de AWS)**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio.

1. En la página **Directory details (Detalles del directorio)**, elija la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Client-side LDAPS (LDAPS del lado del cliente)**, en **CA certificates (Certificados de entidad de certificación)**, se mostrará la información del certificado.

**Método 2: para ver los detalles del certificado en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente. Para obtener el ID de certificado, utilice el identificador devuelto por `register-certificate` o `list-certificates`. 

  ```
  aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## Anular el registro de un certificado
<a name="dergister-a-certificate-ldap-client-side"></a>

Utilice cualquiera de los métodos siguientes para anular el registro de un certificado.

**nota**  
Si sólo se registra un certificado, primero debe deshabilitar LDAPS antes de anular el registro del certificado.

**Método 1: anular el registro de un certificado en Directory Service ()Consola de administración de AWS**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio.

1. En la página **Directory details (Detalles del directorio)**, elija la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Client-side LDAPS (LDAPS del lado del cliente)**, elija **Actions (Acciones)** y, a continuación, elija **Deregister certificate (Anular registro del certificado)**.

1. En el cuadro de diálogo **Deregister a CA certificate (Anular el registro del certificado de entidad de certificación)**, elija **Deregister (Anular registro)**.

**Método 2: anular el registro de un certificado en () Directory Service AWS CLI**
+ Ejecute el comando siguiente. Para obtener el ID de certificado, utilice el identificador devuelto por `register-certificate` o `list-certificates`. 

  ```
  aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## Deshabilitación de LDAPS del cliente
<a name="disable-client-side-ldaps"></a>

Utilice cualquiera de los métodos siguientes para deshabilitar LDAPS del lado del cliente.

**Método 1: deshabilitar el LDAPS del lado del cliente en () Directory Service Consola de administración de AWS**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio.

1. En la página **Directory details (Detalles del directorio)**, elija la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Client-side LDAPS (LDAPS del lado del cliente)**, elija **Disable (Deshabilitar)**.

1. En el cuadro de diálogo **Disable client-side LDAPS (Deshabilitar LDAPS del lado del cliente)**, elija **Disable (Deshabilitar)**.

**Método 2: Para deshabilitar el LDAPS del lado del cliente en () Directory Service AWS CLI**
+ Ejecute el comando siguiente.

  ```
  aws ds disable-ldaps --directory-id your_directory_id --type Client
  ```

# Habilitación de la autenticación mTLS en Conector AD para usarla con tarjetas inteligentes
<a name="ad_connector_clientauth"></a>

Puede utilizar la autenticación mutua de Transport Layer Security (mTLS) basada en certificados con tarjetas inteligentes para autenticar a los usuarios en Amazon a WorkSpaces través de Active Directory (AD) y AD Connector autogestionados. Cuando está habilitada, los usuarios seleccionan su tarjeta inteligente en la pantalla de inicio de WorkSpaces sesión e introducen un PIN para autenticarse, en lugar de utilizar un nombre de usuario y una contraseña. A partir de ahí, el escritorio virtual de Windows o Linux utiliza la tarjeta inteligente para autenticarse en AD desde el sistema operativo nativo del escritorio. 

**nota**  
La autenticación con tarjeta inteligente en AD Connector solo está disponible en los siguientes Regiones de AWS casos y solo con WorkSpaces. Por el momento, no se admiten otras AWS aplicaciones.  
Este de EE. UU. (Norte de Virginia)
Oeste de EE. UU. (Oregón)
Asia-Pacífico (Sídney)
Asia Pacífico (Tokio)
Europa (Irlanda)
AWS GovCloud (EE. UU.-Oeste)
AWS GovCloud (EE. UU.-Este)

También puede anular el registro y deshabilitar los certificados.

**Topics**
+ [Requisitos previos](#prereqs-clientauth)
+ [Habilitación de la autenticación con tarjeta inteligente](#enable-clientauth)
+ [Administración de la configuración de autenticación con tarjeta inteligente](manage-clientauth.md)

## Requisitos previos
<a name="prereqs-clientauth"></a>

Para habilitar la autenticación mutua de Transport Layer Security (mTLS) basada en certificados mediante tarjetas inteligentes para el WorkSpaces cliente de Amazon, necesita una infraestructura de tarjetas inteligentes operativa integrada en su Active Directory autogestionado. Para obtener más información sobre cómo configurar la autenticación con tarjeta inteligente con Amazon WorkSpaces y Active Directory, consulte la [Guía de WorkSpaces administración de Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html).

Antes de activar la autenticación con tarjeta inteligente WorkSpaces, revise los siguientes requisitos previos:
+ [Requisitos del certificado de CA](#ca-cert)
+ [Requisitos del certificado de usuario](#user-cert)
+ [Proceso de comprobación de la revocación de certificados](#ocsp)
+ [Consideraciones](#other)

### Requisitos del certificado de CA
<a name="ca-cert"></a>

Conector AD requiere un certificado de entidad de certificación (CA), que representa al emisor de los certificados de usuario, para la autenticación con tarjeta inteligente. Conector AD hace coincidir los certificados de CA con los certificados presentados por los usuarios con sus tarjetas inteligentes. Tenga en cuenta los siguientes requisitos de los certificados de CA:
+ Antes de registrar un certificado de CA, deben quedar más de 90 días para que caduque.
+  Los certificados de CA deben estar en formato Privacy-Enhanced Mail (PEM). Si exporta certificados de CA desde Active Directory, elija X.509 (.CER) codificado en base64 como formato de archivo de exportación.
+ Para que la autenticación con tarjeta inteligente se haga correctamente, se deben cargar todos los certificados de CA raíz e intermediaria que van desde la CA emisora hasta los certificados de usuario.
+ Se puede almacenar un máximo de 100 certificados de entidad de certificación por directorio del Conector AD.
+ Conector AD no admite el algoritmo de firma RSASSA-PSS para los certificados de CA.
+ Compruebe que el servicio de propagación de certificados esté configurado como Automático y en ejecución.

### Requisitos del certificado de usuario
<a name="user-cert"></a>

Los siguientes son algunos de los requisitos para el certificado de usuario:
+  El certificado de tarjeta inteligente del usuario tiene un nombre alternativo del sujeto (SAN) del usuario userPrincipalName (UPN).
+ El certificado de tarjeta inteligente del usuario tiene un uso de claves mejorado como inicio de sesión con tarjeta inteligente (1.3.6.1.4.1.311.20.2.2) y autenticación de cliente (1.3.6.1.5.5.7.3.2).
+ La información del Protocolo de estado de certificados en línea (OCSP) para el certificado de tarjeta inteligente del usuario debe ser Método de acceso = Protocolo de estado de certificado en línea (1.3.6.1.5.5.7.48.1) en el Acceso a la información de la autoridad.

Para obtener más información sobre los requisitos de autenticación de AD Connector y tarjetas inteligentes, consulta [los requisitos](https://docs.aws.amazon.com//workspaces/latest/adminguide/smart-cards.html#smart-cards-requirements) de la *Guía de WorkSpaces administración de Amazon*. Para obtener ayuda para solucionar WorkSpaces problemas de Amazon, como iniciar sesión WorkSpaces, restablecer la contraseña o conectarse a WorkSpaces, consulta [Solución de problemas con los WorkSpaces clientes](https://docs.aws.amazon.com//workspaces/latest/userguide/client_troubleshooting.html) en la Guía * WorkSpaces del usuario de Amazon*.

### Proceso de comprobación de la revocación de certificados
<a name="ocsp"></a>

Para llevar a cabo la autenticación con tarjeta inteligente, Conector AD debe comprobar el estado de revocación de los certificados de usuario mediante el protocolo Online Certificate Status Protocol (OCSP). Para llevar a cabo la comprobación la revocación de certificados, la URL de un agente de respuesta OCSP ser accesible desde Internet. Si usa un nombre de DNS, la URL de un agente de respuesta OCSP debe usar un dominio de nivel superior que se encuentre en la [Base de datos de la zona raíz de la Internet Assigned Numbers Authority (IANA)](https://www.iana.org/domains/root/db). 

**nota**  
Los directorios creados después del 7 de octubre de 2025 requieren que los servidores OCSP utilizados para la validación de los SmartCard certificados se puedan enrutar a través de la configuración de red de la VPC. Si no se puede acceder al servidor OCSP a través de las tablas de enrutamiento, los grupos de seguridad y la red ACLs de la VPC, la SmartCard autenticación fallará durante las comprobaciones de revocación de certificados. Para resolver este problema, asegúrese de que:  
Enrutamiento de red: las tablas de enrutamiento de la VPC permiten que el tráfico llegue al servidor OCSP desde las subredes en las que están desplegadas las instancias del directorio AD Connector.
Grupos de seguridad: los grupos de seguridad asociados a las interfaces de red del directorio permiten el tráfico saliente hacia el servidor OCSP por el puerto 80 (HTTP).
Red ACLs: su red de subred ACLs permite el tráfico to/from bidireccional en su servidor OCSP.
Puerta de enlace de Internet/NAT: si su servidor OCSP está conectado a Internet, asegúrese de que la VPC tenga la configuración de puerta de enlace de Internet o puerta de enlace NAT adecuada para las subredes del directorio. Si su tipo de red es IPv4, necesitará configurar la NAT y la puerta de enlace a Internet con su VPC.

La comprobación de revocación de certificados del Conector AD utiliza el siguiente proceso:
+ Conector AD debe comprobar la extensión Authority Information Access (AIA) del certificado de usuario para una URL del agente de respuesta OCSP y, a continuación, Conector AD utiliza la URL para comprobar la revocación.
+ Si Conector AD no puede resolver la URL que se encuentra en la extensión AIA del certificado de usuario o encuentra una URL del agente de respuesta OCSP en el certificado de usuario, Conector AD utiliza la URL de OCSP opcional proporcionada durante el registro del certificado de CA raíz.

  Si la URL de la extensión AIA del certificado de usuario se resuelve, pero no tiene respuesta, se produce un error en la autenticación del usuario.
+ Si la URL del agente de respuesta OCSP proporcionada durante el registro del certificado de CA raíz no se resuelve, no responde o, en cambio, no se proporcionó ninguna URL del agente de respuesta OCSP, se producirá un error en la autenticación del usuario.
+ El servidor OCSP debe ser compatible con la [RFC 6960](https://datatracker.ietf.org/doc/html/rfc6960). Además, el servidor OCSP debe admitir las solicitudes que utilicen el método GET para las solicitudes que tengan un total de 255 bytes o menos.

**nota**  
Conector AD requiere una URL **HTTP** para la URL del agente de respuesta OCSP.

### Consideraciones
<a name="other"></a>

Antes de habilitar la autenticación con tarjeta inteligente en Conector AD, tenga en cuenta lo siguiente:
+ Conector AD utiliza la autenticación Mutual Transport Layer Security (mutual TLS) basada en certificados para autenticar a los usuarios en Active Directory mediante certificados de tarjetas inteligentes basados en hardware o software. Por el momento, solo se admiten las tarjetas de acceso común (CAC) y las tarjetas de verificación de identidad personal (PIV). Es posible que funcionen otros tipos de tarjetas inteligentes basadas en hardware o software, pero no se ha probado su uso con el Protocolo de WorkSpaces transmisión.
+ La autenticación con tarjeta inteligente sustituye a la autenticación por nombre de usuario y contraseña por WorkSpaces.

  Si tiene otras AWS aplicaciones configuradas en el directorio de AD Connector con la autenticación con tarjeta inteligente habilitada, esas aplicaciones seguirán presentando la pantalla de introducción de nombre de usuario y contraseña. 
+ Al habilitar la autenticación con tarjeta inteligente, se limita la duración de la sesión del usuario a la duración máxima de los tickets de servicio de Kerberos. Puede configurar esta opción mediante una política de grupo (de forma predeterminada, está configurada en 10 horas). Para obtener más información sobre esta configuración, consulte la [documentación de Microsoft](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket).
+ El tipo de cifrado Kerberos compatible con la cuenta de servicio del Conector AD debe coincidir con todos los tipos de cifrado Kerberos compatibles con el controlador de dominio.

## Habilitación de la autenticación con tarjeta inteligente
<a name="enable-clientauth"></a>

Para habilitar la autenticación con tarjeta inteligente WorkSpaces en el AD Connector, primero debe importar los certificados de la entidad de certificación (CA) al AD Connector. Puede importar sus certificados de CA a AD Connector mediante la AWS Directory Service consola, la [API](https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html) o la [CLI](https://docs.aws.amazon.com/cli/latest/reference/ds/index.html). Siga estos pasos para importar los certificados de CA y, posteriormente, habilitar la autenticación con tarjeta inteligente.

**Topics**
+ [Habilitación de la delegación restringida de Kerberos para la cuenta de servicio del Conector AD](#step1)
+ [Registro del certificado de CA en el Conector AD](#step2)
+ [Habilitar la autenticación con tarjeta inteligente para AWS las aplicaciones y los servicios compatibles](#step3)

### Habilitación de la delegación restringida de Kerberos para la cuenta de servicio del Conector AD
<a name="step1"></a>

Para usar la autenticación con tarjeta inteligente con Conector AD, debe habilitar la **delegación limitada de Kerberos (KCD)** para la cuenta del servicio del Conector AD en el servicio LDAP del directorio AD autoadministrado.

La delegación limitada de Kerberos es una característica de Windows Server. Esta característica les permite a los administradores del servicio especificar y aplicar límites de confianza en una aplicación limitando el alcance hasta el que pueden actuar los servicios de esta última en representación de un usuario. Para obtener más información, consulte [Delegación limitada de Kerberos](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html). 
**nota**  
**La delegación restringida de Kerberos (KCD)** requiere que la parte del nombre de usuario de la cuenta de servicio AD Connector coincida con el AMAccount nombre s del mismo usuario. El AMAccount nombre s está restringido a 20 caracteres. El AMAccount nombre s es un atributo de Microsoft Active Directory que se utiliza como nombre de inicio de sesión en versiones anteriores de clientes y servidores de Windows.

1. Use el comando `SetSpn` para establecer un nombre principal de servicio (SPN) para la cuenta de servicio del Conector AD en el AD autoadministrado. Esto habilita la cuenta de servicio para la configuración de delegación.

   El SPN puede ser cualquier combinación de servicios o nombres, pero no un duplicado de un SPN existente. `-s` comprueba si hay duplicados.

   ```
   setspn -s my/spn service_account
   ```

1. En **Usuarios y equipos de AD**, abra el menú contextual (haga clic con el botón derecho), elija la cuenta de servicio del Conector AD y elija **Propiedades**.

1. Seleccione la pestaña **Delegación**.

1. Elija las opciones **Confiar en este usuario para delegar únicamente en el servicio especificado** y **Utilizar cualquier protocolo de autenticación**.

1. Seleccione **Agregar** y, a continuación, **Usuarios o equipos** para localizar el controlador de dominio. 

1. Haga clic en **Aceptar** para mostrar una lista de los servicios disponibles que se utilizan para la delegación.

1. Elija el tipo de servicio **ldap** y seleccione **Aceptar.** 

1. Elija **Aceptar** para guardar la nueva configuración.

1. Repita este proceso para otros controladores de dominio en el Active Directory. Como alternativa, puede automatizar el proceso utilizando PowerShell.

### Registro del certificado de CA en el Conector AD
<a name="step2"></a>

Utilice uno de los métodos siguientes para registrar un certificado de CA para el directorio del Conector AD.

**Método 1: para registrar su certificado de CA en Conector AD (Consola de administración de AWS)**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio.

1. En la página **Directory details (Detalles del directorio)**, elija la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Autenticación con tarjeta inteligente**, seleccione **Acciones** y, a continuación, seleccione **Registrar certificado**.

1. En el cuadro de diálogo **Registrar un certificado**, seleccione **Elegir archivo** y, a continuación, seleccione un certificado y elija **Abrir**. Si lo desea, puede llevar a cabo una comprobación de revocación de este certificado al proporcionar una URL del agente de respuesta OCSP del Protocolo Online Certificate Status Protocol (OCSP). Para obtener más información acerca de OCSP, consulte [Proceso de comprobación de la revocación de certificados](#ocsp).

1. Elija **Register certificate (Registrar certificado)**. Cuando vea que el estado del certificado cambia a **Registrado**, el proceso de registro se habrá completado correctamente. 

**Método 2: para registrar su certificado de CA en Conector AD (AWS CLI)**
+ Ejecute el comando siguiente. Para los datos del certificado, elija la ubicación del archivo de certificado de CA. Para proporcionar una dirección secundaria del agente de respuesta OCSP, utilice el objeto `ClientCertAuthSettings` opcional. 

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address
  ```

  Si se ejecuta correctamente, la respuesta proporciona un ID de certificado. También puede comprobar que el certificado de CA se ha registrado correctamente al ejecutar el siguiente comando de la CLI:

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

  Si el valor de estado devuelve `Registered`, el certificado se ha registrado correctamente.

### Habilitar la autenticación con tarjeta inteligente para AWS las aplicaciones y los servicios compatibles
<a name="step3"></a>

Utilice uno de los métodos siguientes para registrar un certificado de CA para el directorio del Conector AD.

**Método 1: habilitación de la autenticación con tarjeta inteligente en Conector AD (Consola de administración de AWS)**

1. Vaya a la sección **Autenticación con tarjeta inteligente** en la página **Detalles del directorio** y seleccione **Habilitar**. Si esta opción no está disponible, compruebe que se ha registrado correctamente un certificado válido y vuelva a intentarlo.

1. En el cuadro de diálogo **Habilitar la autenticación con tarjeta inteligente**, seleccione **Habilitar**.

**Método 2: para habilitar la autenticación con tarjeta inteligente en Conector AD (AWS CLI)**
+ Ejecute el comando siguiente.

  ```
  aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard
  ```

  Si se hace correctamente, Conector AD devuelve una respuesta `HTTP 200` con un cuerpo HTTP vacío.

Para obtener más información sobre cómo ver su certificado, anular su registro o deshabilitarlo, consulte [Administración de la configuración de autenticación con tarjeta inteligente](manage-clientauth.md).

# Administración de la configuración de autenticación con tarjeta inteligente
<a name="manage-clientauth"></a>

Puede utilizar dos métodos distintos para administrar la configuración de la tarjeta inteligente. Puede utilizar el Consola de administración de AWS método o el AWS CLI método.

**Topics**
+ [Ver detalles del certificado](#describe-a-certificate-clientauth)
+ [Anular el registro de un certificado](#dergister-a-certificate-clientauth)
+ [Deshabilitación de la autenticación con tarjeta inteligente](#disable-smart-card-clientauth)

## Ver detalles del certificado
<a name="describe-a-certificate-clientauth"></a>

Utilice cualquiera de los métodos siguientes para ver cuándo está establecida la caducidad de un certificado.

**Método 1: para ver los detalles del certificado en Directory Service (Consola de administración de AWS)**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el vínculo del ID de su directorio del Conector AD.

1. En la página **Directory details (Detalles del directorio)**, elija la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Autenticación con tarjeta inteligente**, en **Certificados de CA**, elija el ID de certificado para ver los detalles de dicho certificado.

**Método 2: ver los detalles del certificado en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente. Para obtener el ID de certificado, utilice el identificador devuelto por `register-certificate` o `list-certificates`. 

  ```
  aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## Anular el registro de un certificado
<a name="dergister-a-certificate-clientauth"></a>

Utilice cualquiera de los métodos siguientes para anular el registro de un certificado.

**nota**  
Si sólo se registra un certificado, primero debe deshabilitar la autenticación con tarjeta inteligente antes de anular el registro del certificado.

**Método 1: anular el registro de un certificado en Directory Service ()Consola de administración de AWS**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el vínculo del ID de su directorio del Conector AD.

1. En la página **Directory details (Detalles del directorio)**, elija la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Autenticación con tarjeta inteligente**, en **Certificados de CA**, seleccione el certificado que desee anular del registro, elija **Acciones** y, a continuación, elija **Anular** el registro del certificado. 
**importante**  
Asegúrese de que el certificado que va a anular del registro no esté activo o esté actualmente en uso como parte de una cadena de certificados de CA para la autenticación con tarjeta inteligente.

1. En el cuadro de diálogo **Deregister a CA certificate (Anular el registro del certificado de entidad de certificación)**, elija **Deregister (Anular registro)**.

**Método 2: anular el registro de un certificado en () Directory Service AWS CLI**
+ Ejecute el comando siguiente. Para obtener el ID de certificado, utilice el identificador devuelto por `register-certificate` o `list-certificates`. 

  ```
  aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## Deshabilitación de la autenticación con tarjeta inteligente
<a name="disable-smart-card-clientauth"></a>

Utilice uno de los métodos siguientes para deshabilitar la autenticación con tarjeta inteligente.

**Método 1: deshabilitar la autenticación con tarjeta inteligente en Directory Service ()Consola de administración de AWS**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. Elija el vínculo del ID de su directorio del Conector AD.

1. En la página **Directory details (Detalles del directorio)**, elija la pestaña **Networking & security (Redes y seguridad)**.

1. En la sección **Autenticación con tarjeta inteligente**, seleccione **Deshabilitar**.

1. En el cuadro de diálogo **Deshabilitar la autenticación con tarjeta inteligente**, seleccione **Deshabilitar**.

**Método 2: deshabilitar la autenticación con tarjeta inteligente en Directory Service (AWS CLI)**
+ Ejecute el comando siguiente.

  ```
  aws ds disable-client-authentication --directory-id your_directory_id --type SmartCard
  ```

# Actualización de las credenciales de la cuenta de servicio de AD Connector en Consola de administración de AWS
<a name="ad_connector_update_creds"></a>

Las credenciales de AD Connector que proporciona Directory Service representan la cuenta de servicio que se utiliza para acceder al directorio local existente. Puede modificar las credenciales de la cuenta de servicio Directory Service realizando los siguientes pasos.

**nota**  
Si AWS IAM Identity Center está habilitado para el directorio, Directory Service debe transferir el nombre principal de servicio (SPN) de la cuenta de servicio actual a la nueva cuenta de servicio. Si la cuenta de servicio actual no tiene permiso para eliminar el SPN o la nueva cuenta de servicio no tiene permiso para añadir el SPN, se le solicitarán las credenciales de una cuenta de directorio que tenga permiso para realizar ambas acciones. Estas credenciales solo se usarán para transferir el SPN. El servicio no las almacenará.

**Para actualizar las credenciales de la cuenta de servicio AD Connector en Directory Service**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), en **Active Directory**, elija **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio.

1. En la página **Detalles del directorio**, desplácese hacia abajo hasta la sección **Credenciales de la cuenta de servicio**.

1. En la sección **Credenciales de cuenta de servicio**, elija **Actualizar**. 

1. En el cuadro de diálogo **Actualizar las credenciales de la cuenta de servicio**, escriba el nombre de usuario y la contraseña de la cuenta de servicio. Vuelva a escribir la contraseña para confirmarla y, a continuación, seleccione **Actualizar**.

# Configurar el AWS Private CA conector para AD
<a name="ad_connector_pca_connector"></a>

Puede integrar su Active Directory autoadministrado AWS Private Certificate Authority con AD Connector para emitir y administrar certificados para los usuarios, grupos y máquinas unidos al dominio de AD. AWS Private CA Connector for AD proporciona un sustituto directo y totalmente gestionado AWS Private CA para su empresa autogestionada, CAs sin necesidad de implementar, aplicar parches o actualizar agentes locales o servidores proxy.

Puede configurar esta integración a través de la Directory Service consola, la consola de AWS Private CA Connector for AD o llamando a la [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html)API. Para usar la consola AWS Private CA Connector for Active Directory, consulte [AWS Private CA Connector for Active Directory](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html). En las siguientes secciones se describe cómo configurar esta integración desde la consola de Directory Service .

## Requisitos previos
<a name="ad_connector_pca_connector_pre-reqs"></a>

Para obtener instrucciones de configuración, consulte [Configurar Connector para AD](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad-getting-started-prerequisites.html) en la Guía del usuario de AWS Private CA Connector para AD.

## Configuración AWS Private CA del conector para AD
<a name="ad_connector_pca_connector_set_up"></a>

**Creación de Conector de Private CA para Active Directory**

1. Inicie sesión en Consola de administración de AWS y abra la Directory Service consola en[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. En la página **Directorios**, elija el ID del directorio.

1. En la pestaña **Administración de aplicaciones** y en la sección de **aplicaciones y servicios de AWS **, seleccione **Conector para AD de AWS Private CA **.

1. En la página **Create Private CA certificate for Active Directory**, complete los pasos para crear su autorización de certificación (CA) privada para el Conector Active Directory.

Para obtener más información, consulte [Creación de un conector](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html).

## Vea su AWS Private CA conector para AD
<a name="ad_connector_pca_connector_view"></a>

**Cómo ver los detalles del conector de Private CA**

1. Inicie sesión en Consola de administración de AWS y abra la Directory Service consola en[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. En la página **Directorios**, elija el ID del directorio.

1. En la pestaña **Administración de aplicaciones** y en la sección de **aplicaciones y servicios de AWS **, consulte sus conectores de Private CA como las Private CA asociadas. Los siguientes campos muestran:

   1. **AWS Private CA ID de conector**: el identificador único de un AWS Private CA conector. Elíjalo para ver la página de detalles.

   1. **AWS Private CA asunto**: información relativa al nombre distintivo de la CA. Elíjalo para ver la página de detalles.

   1. **Estado**: resultados de la comprobación de estado del AWS Private CA conector y AWS Private CA:
      + **Activo**: ambas comprobaciones se aprueban
      + **Fallo de 1/2 comprobación**: una comprobación falla
      + **Fallo**: ambas comprobaciones fallan

      Para ver detalles del estado de fallo, coloque el cursor sobre el hipervínculo para ver qué comprobación tuvo errores.

   1. **Estado de inscripción de los certificados DC**: compruebe el estado del certificado del controlador de dominio:
      + **Habilitado**: la inscripción de certificados está habilitada
      + **Deshabilitada**: la inscripción de certificados está deshabilitada

   1. **Fecha de creación**: fecha en que se creó el AWS Private CA conector.

Para obtener más información, consulte [Ver detalles del conector](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html).

## Verificación de la emisión del certificado a los usuarios de AD
<a name="ms_ad_pca_connector_confirm"></a>

Complete los siguientes pasos para confirmar que AWS Private CA está emitiendo certificados para su Active Directory autogestionado:
+ Reinicie los controladores de dominio en las instalaciones.
+ Consulte sus certificados con Microsoft Management Console. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in).

# Supervisión del directorio de Conector AD
<a name="ad_connector_monitor"></a>

Puede obtener el máximo rendimiento del Conector AD al aprender más sobre los diferentes estados del Conector AD y lo que significan para su configuración. También puede utilizar Amazon Simple Notification Service para recibir notificaciones sobre el estado del Conector AD.

**Topics**
+ [Descripción del estado del directorio](ad_connector_directory_status.md)
+ [Activación de las notificaciones de estado del directorio del Conector AD con Amazon SNS](ad_connector_enable_notifications.md)

# Descripción del estado del directorio
<a name="ad_connector_directory_status"></a>

Estos son los diferentes estados de un directorio.

**Activo**  
El directorio funciona con normalidad. Directory Service no ha detectado problemas en su directorio. 

**Creando**  
El directorio se está creando en estos momentos. Los directorios suelen tardar entre 20 y 45 minutos en crearse, pero esto depende de la carga del sistema. 

**Eliminado**  
El directorio se ha eliminado. Se han liberado todos los recursos para el directorio. Una vez que un directorio entra en este estado, no se puede recuperar. 

**Eliminando**  
El directorio se está eliminando. El directorio permanecerá en este estado hasta que se haya eliminado por completo. Una vez que un directorio entra en este estado, la operación de eliminación no se puede cancelar y el directorio no se puede recuperar. 

**Con error**  
No se pudo crear el directorio. Elimine este directorio. Si este problema sigue sin resolverse, contacte con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).

**Deteriorado**  
El directorio se está ejecutando en estado degradado. Se han detectado uno o varios problemas y no todas las operaciones de directorios pueden funcionar con plena capacidad operativa. Hay muchas razones posibles para que el directorio se encuentre en este estado. Estas incluyen las actividades normales de mantenimiento operativo, como la aplicación de parches o la rotación de EC2 instancias, la detección temporal de puntos calientes por parte de una aplicación en uno de sus controladores de dominio o los cambios que haya realizado en la red que interrumpan inadvertidamente las comunicaciones del directorio. Para obtener más información, consulte [Solución de problemas de Microsoft AD AWS administrado](ms_ad_troubleshooting.md), [Solución de problemas de Conector AD](ad_connector_troubleshooting.md) y [Solución de problemas de Simple AD](simple_ad_troubleshooting.md). En el caso de problemas normales relacionados con el mantenimiento, los AWS resuelve en 40 minutos. Si después de revisar el tema de solución de problemas, su directorio sigue dañado durante más de 40 minutos, le recomendamos que contacte con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).  
No restaure una instantánea mientras el directorio esté deteriorado. Es poco frecuente que la restauración de las instantáneas sea necesaria para resolver los problemas. Para obtener más información, consulte [Restauración de su Microsoft AD AWS administrado con instantáneas](ms_ad_snapshots.md).

**Inoperable**  
El directorio no es funcional. Todos los puntos de enlace del directorio han informado de la existencia de problemas. 

**Solicitada**  
Actualmente hay pendiente una solicitud para crear su directorio. 

# Activación de las notificaciones de estado del directorio del Conector AD con Amazon SNS
<a name="ad_connector_enable_notifications"></a>

Mediante Amazon Simple Notification Service (Amazon SNS), puede recibir mensajes de correo electrónico o de texto (SMS) cuando cambie el estado del directorio. Puede recibir notificaciones si el directorio pasa de un estado Activo a un estado [Deteriorado o Inoperativo](ad_connector_directory_status.md). También recibirá una notificación cuando el directorio vuelva a estar en estado activo.

## Funcionamiento
<a name="ds_sns_overview"></a>

Amazon SNS utiliza “temas” para recopilar y distribuir mensajes. Cada tema cuenta con uno o varios suscriptores que reciben los mensajes que se han publicado en dicho tema. Si sigue los pasos que se indican a continuación, puede añadir Directory Service un editor a un tema de Amazon SNS. Cuando Directory Service detecta un cambio en el estado de su directorio, publica un mensaje sobre ese tema, que luego se envía a los suscriptores del tema. 

Puede asociar varios directorios como publicadores a un único tema. También puede agregar mensajes de estado del directorio a los temas que ha creado anteriormente en Amazon SNS. Tiene un control detallado sobre quién puede publicar un tema y suscribirse a él. Para obtener información completa sobre Amazon SNS, consulte [¿Qué es Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html).

**Habilitación de la mensajería SNS para su directorio**

1. Inicia sesión en la [Directory Service consola Consola de administración de AWS](https://console.aws.amazon.com/directoryservicev2/) y ábrela.

1.  En la página **Directorios**, elija el ID del directorio.

1. Seleccione la pestaña **Mantenimiento**.

1. En la sección **Supervisión de directorios**, elija **Acciones** y, a continuación, seleccione **Crear notificación**.

1. En la página **Crear notificación**, seleccione **Elegir un tipo de notificación** y, a continuación, **Crear una nueva notificación**. También, si ya dispone de un tema de SNS, puede seleccionar **Asociar un tema de SNS existente** para enviar mensajes de estado desde este directorio a ese tema.
**nota**  
Si elige **Crear una nueva notificación**, pero, a continuación, utiliza el mismo nombre para un tema de SNS que ya existe, Amazon SNS no creará un nuevo tema, sino que tan solo agregará la información de la nueva suscripción al existente.  
Si selecciona **Asociar tema de SNS existentes**, solo podrá elegir un tema de SNS que se encuentre en la misma región que el directorio.

1. Elija una opción en **Tipo de destinatario** e ingrese la información del contacto en **Destinatario**. Si escribe un número de teléfono para SMS, utilice solo números. No incluya guiones, espacios o paréntesis.

1. (Opcional) Proporcione un nombre para su tema y un nombre de visualización de SNS. El nombre de visualización es una abreviatura de hasta 10 caracteres que se incluye en todos los mensajes SMS de este tema. Cuando se utiliza la opción de SMS, es necesario el nombre de visualización. 
**nota**  
Si ha iniciado sesión con un usuario o rol de IAM que solo tiene la política [DirectoryServiceFullAccess](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/role_ds_full_access.html)administrada, el nombre del tema debe empezar por «DirectoryMonitoring». Si desea personalizar aún más su nombre de tema necesitará privilegios adicionales de SNS.

1. Seleccione **Crear**.

Si desea designar suscriptores de SNS adicionales, como una dirección de correo electrónico adicional, colas de Amazon SQS, AWS Lambda o puede hacerlo desde la consola de Amazon [SNS](https://console.aws.amazon.com//sns/v3/home.).

**Habilitación de mensajes de estado del directorio de un tema**

1. [Inicie sesión en la consola Consola de administración de AWS y ábrala.Directory Service](https://console.aws.amazon.com/directoryservicev2/)

1.  En la página **Directorios**, elija el ID del directorio.

1. Seleccione la pestaña **Mantenimiento**.

1. En la sección **Supervisión de directorios**, seleccione un nombre de tema de SNS de la lista, elija **Acciones** y, a continuación, seleccione **Eliminar**.

1. Elija **Eliminar **.

Así eliminará su directorio como publicador en el tema de SNS seleccionado. Si desea eliminar todo el tema, puede hacerlo desde la [consola de Amazon SNS](https://console.aws.amazon.com/sns/v3/home.).

**nota**  
Antes de eliminar un tema de Amazon SNS mediante la consola de SNS, debe asegurarse de que un directorio no está enviando mensajes de estado a dicho tema.   
Si elimina un tema de Amazon SNS mediante la consola de SNS, este cambio no se reflejará inmediatamente en la consola de Directory Services. Solo se le informaría la próxima vez que un directorio publique una notificación en el tema eliminado, en cuyo caso vería un estado actualizado en la pestaña **Monitoring** del directorio que indica que no se ha encontrado el tema.  
Por lo tanto, para evitar perder mensajes importantes sobre el estado del directorio, antes de eliminar cualquier tema del que reciba mensajes Directory Service, asocie su directorio a un tema diferente de Amazon SNS. 

# Acceso a AWS aplicaciones y servicios desde AD Connector
<a name="ad_connector_manage_apps_services"></a>

Puede permitir que su AD Connector acceda a AWS las aplicaciones y los servicios de su Active Directory conectado. Algunas de las AWS aplicaciones y servicios compatibles incluyen:
+ Amazon Chime
+ Amazon WorkSpaces
+ IAM Identity Center
+ Consola de administración de AWS

No hay ninguna aplicación de terceros que funcione con Conector AD.

**Topics**
+ [Política de compatibilidad de las aplicaciones para AD Connector](ad_connector_app_compatibility.md)
+ [Habilitar el acceso a AWS aplicaciones y servicios desde AD Connector](ad_connector_enable_apps_services.md)

# Política de compatibilidad de las aplicaciones para AD Connector
<a name="ad_connector_app_compatibility"></a>

Como alternativa a AWS Directory Service para Microsoft Active Directory ([AWS Microsoft AD gestionado](directory_microsoft_ad.md)), AD Connector es un proxy de Active Directory solo para aplicaciones y servicios AWS creados. Se debe configurar el proxy para que utilice un dominio determinado de Active Directory. Cuando la aplicación debe buscar un usuario o un grupo en Active Directory, Conector AD envía la solicitud al directorio. Del mismo modo, cuando un usuario inicia sesión en la aplicación, Conector AD envía la solicitud de autenticación al directorio. No hay ninguna aplicación de terceros que funcione con Conector AD.

La siguiente es una lista de AWS aplicaciones y servicios compatibles:
+ Amazon Chime: para obtener instrucciones detalladas, consulte [Conexión con Active Directory](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html).
+ Amazon Connect: para obtener más información, consulte [Cómo funciona Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html#amazon-connect-fundamentals).
+ Amazon EC2 para Windows o Linux: puede utilizar la característica de vinculación fluida a dominios de Amazon EC2 de Windows o Linux con objeto de vincular la instancia al Active Directory autoadministrado (en las instalaciones). Una vez unida, la instancia se comunica directamente con su Active Directory sin pasar por Conector AD. Para obtener más información, consulte [Formas de unir una EC2 instancia de Amazon a Active Directory](ad_connector_join_instance.md).
+ Consola de administración de AWS — Puede usar AD Connector para autenticar a Consola de administración de AWS los usuarios con sus credenciales de Active Directory sin configurar la infraestructura SAML. Para obtener más información, consulte [Habilitar el Consola de administración de AWS acceso con credenciales AWS administradas de Microsoft AD](ms_ad_management_console_access.md).
+ Rápido: para obtener más información, consulte [Administración de cuentas de usuario en Quick Enterprise Edition](https://docs.aws.amazon.com/quicksight/latest/user/managing-users-enterprise.html).
+ AWS IAM Identity Center - Para obtener instrucciones detalladas, consulte [Conectar el centro de identidad de IAM a un Active Directory local](https://docs.aws.amazon.com/singlesignon/latest/userguide/connectawsad.html).
+ AWS Transfer Family - Para obtener instrucciones detalladas, consulte [Trabajar con Directory Service Microsoft Active Directory](https://docs.aws.amazon.com/transfer/latest/userguide/directory-services-users.html).
+ AWS Client VPN: para obtener instrucciones detalladas, consulte [Autenticación y autorización de clientes](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/authentication-authorization.html).
+ WorkDocs - Para obtener instrucciones detalladas, consulte [Conectarse al directorio local con AD Connector](https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_connector.html).
+ Amazon WorkMail : para obtener instrucciones detalladas, consulte [Integrar Amazon WorkMail con un directorio existente (configuración estándar)](https://docs.aws.amazon.com/workmail/latest/adminguide/premises_directory.html).
+ WorkSpaces - Para obtener instrucciones detalladas, consulte [Iniciar un conector WorkSpace con AD Connector](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspace-ad-connector.html). 

**nota**  
Amazon RDS solo es compatible con Microsoft AD AWS administrado y no es compatible con AD Connector. Para obtener más información, consulte la sección Microsoft AD AWS administrado de la [Directory Service FAQs](https://aws.amazon.com/directoryservice/faqs/#microsoft-ad)página.

# Habilitar el acceso a AWS aplicaciones y servicios desde AD Connector
<a name="ad_connector_enable_apps_services"></a>

Los usuarios pueden autorizar a AD Connector para que AWS las aplicaciones y los servicios, como Amazon WorkSpaces, accedan a su Active Directory. Las siguientes AWS aplicaciones y servicios se pueden activar o desactivar para que funcionen con AD Connector.


| AWS aplicación/servicio | Más información… | 
| --- | --- | 
| Amazon Chime | Para obtener más información, consulte [Conexión con Active Directory](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html). | 
| Amazon Connect | Para obtener más información, consulte la [Guía de administración de Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html). | 
| Amazon WorkDocs | Para obtener más información, consulta la [sección Cómo empezar con Amazon WorkDocs](https://docs.aws.amazon.com/workdocs/latest/adminguide/getting_started.html). | 
| Amazon WorkMail |  Para obtener más información, consulte [Creación de una organización](https://docs.aws.amazon.com/workmail/latest/adminguide/add_new_organization.html).  | 
| Amazon WorkSpaces |  Puede crear un AD Simple, un AD AWS administrado de Microsoft o un AD Connector directamente desde WorkSpaces. Solo tiene que lanzar **Advanced Setup** al crear su espacio de Workspace. Para obtener más información, consulta la [Guía de WorkSpaces administración de Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/).  | 
| AWS Client VPN | Para obtener más información, consulte la [Guía del usuario de AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/). | 
| AWS IAM Identity Center | Para obtener más información, consulte la [Guía del usuario de AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/). | 
| Consola de administración de AWS | Para obtener más información, consulte [Habilitar el Consola de administración de AWS acceso con credenciales AWS administradas de Microsoft AD](ms_ad_management_console_access.md). | 
| AWS Transfer Family | Para obtener más información, consulte la [Guía del usuario de AWS Transfer Family](https://docs.aws.amazon.com/transfer/latest/userguide/what-is-aws-transfer-family.html). | 

Una vez habilitado, el acceso a los directorios se gestiona en la consola de la aplicación o del servicio al que desea otorgar acceso a su directorio. Para encontrar los enlaces de AWS aplicaciones y servicios descritos anteriormente en la Directory Service consola, lleve a cabo los siguientes pasos.

**Para mostrar las aplicaciones y los servicios para un directorio**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), elija **Directorios**.

1. En la página **Directorios**, elija el ID del directorio.

1. En la página **Directory details (Detalles del directorio)**, seleccione la pestaña **Application management (Administración de aplicaciones)**.

1. Consulte la lista en la sección de **Aplicaciones y servicios de AWS **.

Para obtener más información sobre cómo autorizar o desautorizar el uso de AWS aplicaciones y servicios Directory Service, consulte[Autorización para AWS aplicaciones y servicios mediante Directory Service](ad_manage_apps_services_authorization.md).

# Formas de unir una EC2 instancia de Amazon a Active Directory
<a name="ad_connector_join_instance"></a>

Conector AD es una puerta de enlace de directorio con la que puede redirigir solicitudes del directorio a Microsoft Active Directory en las instalaciones sin almacenar en caché la información que hay en la nube. Aquí encontrarás más información sobre cómo unir un Amazon EC2 a un dominio de Active Directory:
+ Puede unir sin problemas una EC2 instancia de Amazon a su dominio de Active Directory cuando se lance la instancia. Para obtener más información sobre cómo unir una instancia de EC2 Windows a un Microsoft AD AWS administrado, consulte[Cómo unir una instancia Windows de Amazon EC2 a su Active Directory AWS administrado de Microsoft AD](launching_instance.md).
+ Si necesita unir manualmente una EC2 instancia a su dominio de Active Directory, debe lanzar la instancia en el grupo o subred de seguridad adecuado Región de AWS y, a continuación, unir la instancia al dominio de Active Directory.
+ Para poder conectarse de forma remota a estas instancias, debe disponer de conectividad IP a las instancias desde la red en la que se está conectando. En la mayoría de los casos, esto requiere conectar una puerta de enlace de Internet a su Amazon VPC y que la instancia tenga una dirección IP pública. Para obtener más información sobre las puertas de enlace de Internet, consulte [Conectar subredes a Internet por medio de una puerta de enlace de Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) en la Guía del usuario de Amazon VPC.

**nota**  
Una vez que une una instancia a Active Directory (en las instalaciones) autoadministrado, la instancia se comunica directamente con Active Directory y omite Conector AD.

# Cuotas de Conector AD
<a name="ad_connector_limits"></a>

A continuación se indican los límites predeterminados para Conector AD. A menos que se indique lo contrario, cada cuota es por cada región.


**Cuotas de Conector AD**  

| Recurso | Cuota predeterminada | 
| --- | --- | 
| Directorios del Conector AD | 10 | 
| Número máximo de certificados de entidad de certificación (CA) registrados por directorio | 5 | 

# Solución de problemas de Conector AD
<a name="ad_connector_troubleshooting"></a>

La siguiente información puede ayudarlo a solucionar algunos problemas comunes que podría encontrar a la hora de crear o utilizar el Conector AD.

**Topics**
+ [Problemas en la creación](#ad_connector_creation_issues)
+ [Problemas de conectividad](#ad_connector_connectivity_issues)
+ [Problemas de autenticación](#ad_connector_auth_issues)
+ [Problemas de mantenimiento](#ad_connector_maintenance_issues)
+ [No puedo eliminar mi Conector AD](#delete_ad_connector)
+ [Herramientas generales para investigar a los emisores de Conector AD](#ad_connector_troubleshooting_tools)

## Problemas en la creación
<a name="ad_connector_creation_issues"></a>

**Los siguientes son problemas de creación comunes del Conector AD:**
+ [He recibido un error “AZ Constrained” a la hora de crear un directorio](#contrained_az2)
+ [Aparece el error de «Problemas de conectividad detectados» cuando intento crear un Conector AD](#ad_creation_connectivity_issues)

### He recibido un error “AZ Constrained” a la hora de crear un directorio
<a name="contrained_az2"></a>

Es posible que algunas AWS cuentas creadas antes de 2012 tengan acceso a zonas de disponibilidad en las regiones EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Norte de California) o Asia Pacífico (Tokio) que no admiten Directory Service directorios. Si recibe un error como este al crear un Active Directory, seleccione una subred en una zona de disponibilidad diferente e intente crear el directorio de nuevo.

### Aparece el error de «Problemas de conectividad detectados» cuando intento crear un Conector AD
<a name="ad_creation_connectivity_issues"></a>

Si recibe el error «Se ha detectado un problema de conectividad» al intentar crear un Conector AD, el error podría deberse a la disponibilidad de puertos o a la complejidad de la contraseña de Conector AD. Puede probar la conexión del Conector AD para comprobar si los siguientes puertos están disponibles:
+ 53 (DNS)
+ 88 (Kerberos)
+ 389 (LDAP)

 Para probar la conexión, consulte [Probar el conector de AD](ad_connector_getting_started.md#connect_verification). La prueba de conexión se debe realizar en la instancia vinculada a las dos subredes a las que están asociadas las direcciones IP del Conector AD.

Si la prueba de conexión se realiza correctamente y la instancia se une al dominio, entonces compruebe la contraseña del Conector AD. AD Connector debe cumplir con los requisitos de complejidad de las AWS contraseñas. Para obtener más información, consulte Cuenta de servicio de [Requisitos previos de Conector AD](ad_connector_getting_started.md#prereq_connector).

Si su Conector AD no cumple estos requisitos, vuelva a crearlo con una contraseña que sí lo haga.

### Aparece el mensaje “Se ha detectado un error de servicio interno al conectar el directorio. Vuelva a intentar la operación.” error durante la creación de un Conector AD
<a name="internal_svc_error"></a>

Este error suele producirse cuando el Conector AD no se crea y no se puede conectar a un controlador de dominio válido para el dominio autoadministrado de Active Directory. 

**nota**  
Como [práctica recomendada](ad_connector_best_practices.md#ad_connector_config_onprem), si su red autoadministrada tiene sitios de Active Directory definidos, debe asegurarse de lo siguiente:  
Las subredes de VPC en las que reside el Conector AD se definen en un sitio de Active Directory.
No hay conflictos entre las subredes de la VPC y las subredes de los demás sitios.

El Conector AD utiliza el sitio de Active Directory cuyos rangos de direcciones IP de subred que sean próximos a los de la VPC que contienen el Conector AD para detectar los controladores del dominio de AD. Si hay un sitio cuyas subredes tienen los mismos rangos de direcciones IP que los de su VPC, el Conector AD detectará los controladores de dominio en ese sitio. Es posible que el controlador de dominio no esté físicamente cerca de la región en la que reside su Conector AD. 
+ Incoherencias en los registros SRV de DNS (estos registros utilizan la siguiente sintaxis: `_ldap._tcp.<DnsDomainName>` y `_kerberos._tcp.<DnsDomainName>`) creados en un dominio de Active Directory administrado por el cliente. Esto puede ocurrir cuando el Conector AD no pudo encontrar ni conectarse a un controlador de dominio válido basado en estos registros SRV. 
+ Problemas de red entre el Conector AD y el AD administrado por el cliente, como los dispositivos de firewall. 

Se puede usar la [captura de paquetes de red](https://techcommunity.microsoft.com/blog/iis-support-blog/capture-a-network-trace-without-installing-anything--capture-a-network-trace-of-/376503) en sus controladores de dominio, servidores DNS y registros de flujo de VPC de las interfaces de red de directorios para investigar este problema. Para obtener más ayuda, contacte con [AWS Support](https://docs.aws.amazon.com//awssupport/latest/user/case-management.html). 

## Problemas de conectividad
<a name="ad_connector_connectivity_issues"></a>

**Los siguientes son problemas de conectividad comunes del Conector AD**
+ [Aparece el error “Problemas de conectividad detectados” cuando intento conectarme a mi directorio en las instalaciones](#connectivity_issues_detected)
+ [Aparece el error «DNS no disponible» cuando intento conectarme a mi directorio en las instalaciones](#dns_unavailable)
+ [Aparece el error “Registro SRV” cuando intento conectarme a mi directorio en las instalaciones](#srv_record_not_found)

### Aparece el error “Problemas de conectividad detectados” cuando intento conectarme a mi directorio en las instalaciones
<a name="connectivity_issues_detected"></a>

Al conectarse a su directorio local, recibe un mensaje de error similar al siguiente: Se han detectado problemas de conectividad: LDAP no disponible (puerto TCP 389) para IP: *<IP address>* Kerberos/authentication no disponible (puerto TCP 88) para IP: *<IP address>* asegúrese de que los puertos de la lista estén disponibles y vuelva a intentar la operación.

Es necesario que Conector AD pueda comunicarse con los controladores de dominio en las instalaciones a través de TCP y UDP en los siguientes puertos. Asegúrese de que los grupos de seguridad y los firewall en las instalaciones permiten la comunicación TCP y UDP a través de dichos puertos. Para obtener más información, consulte [Requisitos previos de Conector AD](ad_connector_getting_started.md#prereq_connector).
+ 88 (Kerberos)
+ 389 (LDAP)

Es posible que necesite TCP/UDP puertos adicionales en función de sus necesidades. Consulte la siguiente lista para ver algunos de estos puertos. Para obtener más información sobre los puertos que utiliza Active Directory, consulte [How to configure a firewall for Active Directory domains and trusts](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts) en la documentación de Microsoft.
+ 135 (RPC Endpoint Mapper)
+ 646 (LDAP SSL)
+ 3268 (LDAP GC)
+ 3269 (LDAP GC SSL)

### Aparece el error «DNS no disponible» cuando intento conectarme a mi directorio en las instalaciones
<a name="dns_unavailable"></a>

Cuando se conecta al directorio en las instalaciones, aparece un error similar al siguiente:

```
DNS unavailable (TCP port 53) for IP: <DNS IP address>
```

Es necesario que Conector AD pueda comunicarse con los servidores DNS en las instalaciones a través de TCP y UDP en el puerto 53. Asegúrese de que los grupos de seguridad y los firewalls en las instalaciones permiten la comunicación TCP y UDP a través de dicho puerto. Para obtener más información, consulte [Requisitos previos de Conector AD](ad_connector_getting_started.md#prereq_connector).

### Aparece el error “Registro SRV” cuando intento conectarme a mi directorio en las instalaciones
<a name="srv_record_not_found"></a>

Al conectarse al directorio en las instalaciones, puede aparecer un error similar a los siguientes:

```
SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>
```

Cuando Conector AD se conecta al directorio, necesita obtener los registros SRV `_ldap._tcp.<DnsDomainName>` y `_kerberos._tcp.<DnsDomainName>`. Este error aparecerá si el servicio no puede obtener estos registros de los servidores DNS que especificó al conectarse a su directorio. Para obtener más información acerca de estos registros SRV, consulte [SRV record requirements](ad_connector_getting_started.md#srv_records).

## Problemas de autenticación
<a name="ad_connector_auth_issues"></a>

**A continuación se muestran algunos problemas de autenticación comunes de Conector AD:**
+ [Recibo el mensaje de error «No se pudo validar el certificado» cuando intento iniciar sesión Amazon WorkSpaces con una tarjeta inteligente](#cert_validation_failure)
+ [He recibido un error “Credenciales no válidas” cuando la cuenta de servicio que utiliza Conector AD intenta autenticarse](#invalid_creds)
+ [Aparece el mensaje de error «No se puede autenticar» cuando utilizo AWS aplicaciones para buscar usuarios o grupos](#fails_when_searching)
+ [Recepción de un error sobre las credenciales de mi directorio cuando intento actualizar la cuenta de servicio de Conector AD](#error_with_ad_creds)
+ [Algunos de mis usuarios no pueden autenticarse con mi directorio](#kerberos_preauth2)

### Recibo el mensaje de error «No se pudo validar el certificado» cuando intento iniciar sesión Amazon WorkSpaces con una tarjeta inteligente
<a name="cert_validation_failure"></a>

Al intentar iniciar sesión en su cuenta WorkSpaces con una tarjeta inteligente, recibe un mensaje de error similar al siguiente: **ERROR**: no se pudo validar el certificado. Vuelva a intentarlo mediante el reinicio del navegador o de la aplicación y asegúrese de seleccionar el certificado correcto. El error se produce si el certificado de la tarjeta inteligente no está almacenado de manera correcta en el cliente que usa los certificados. Para obtener más información sobre los requisitos de Conector AD y las tarjetas inteligentes, consulte [Requisitos previos](ad_connector_clientauth.md#prereqs-clientauth).

**Uso de los siguientes procedimientos para solucionar problemas relacionados con la capacidad de la tarjeta inteligente para almacenar certificados en el almacén de certificados del usuario:**

1. En el dispositivo que tiene problemas para acceder a los certificados, acceda a la Microsoft Management Console (MMC).
**importante**  
Antes de continuar, cree una copia del certificado de la tarjeta inteligente.

1. Navegue hasta el almacén de certificados de la MMC. Elimine el certificado de tarjeta inteligente del usuario del almacén de certificados. Para obtener más información sobre cómo ver el almacén de certificados en la MMC, consulte [How to: View certificates with the MMC snap-in](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in) en la documentación de Microsoft.

1. Extraiga la tarjeta inteligente.

1. Reinserte la tarjeta inteligente para que pueda volver a rellenar el certificado de la tarjeta inteligente en el almacén de certificados del usuario.
**aviso**  
Si la tarjeta inteligente no rellena el certificado en el almacén de usuarios, no se puede utilizar para la autenticación con tarjeta WorkSpaces inteligente.

La cuenta de servicio de Conector AD debe tener lo siguiente:
+ `my/spn` agregado al nombre principal del servicio
+ Delegado para el servicio LDAP

Una vez que se haya rellenado el certificado en la tarjeta inteligente, se debe comprobar el controlador de dominio en las instalaciones para determinar si se ha bloqueado la asignación del nombre principal de usuario (UPN) al nombre alternativo del sujeto. Para obtener más información sobre este cambio, consulte [How to disable the Subject Alternative Name for UPN mapping](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-subject-alternative-name-upn-mapping) en la documentación de Microsoft.

**Uso del siguiente procedimiento para comprobar la clave del registro del controlador de dominio:**
+ En el **Editor del registro**, navegue hasta el siguiente grupo de claves:

  **HKEY\$1LOCAL\$1MACHINE\$1 SYSTEM\$1\$1 Services\$1 Kdc\$1 CurrentControlSet UseSubjectAltName**

  1. Inspeccione el UseSubjectAltName valor de:

    1. Si el valor se establece en **0**, la asignación del **nombre alternativo en el asunto** está **deshabilitada** y se debe asignar de manera explícita un certificado determinado a un solo usuario. Si un certificado está asignado a varios usuarios y este valor es 0, no se podrá iniciar sesión con dicho certificado.

    1. Si el valor **no está establecido o está establecido en 1**, se debe asignar explícitamente un certificado determinado a un solo usuario o usar el campo **Nombre alternativo en el asunto** para iniciar sesión.

       1. Si el campo **Nombre alternativo en el asunto** existe en el certificado, se le dará prioridad.

       1. Si el campo **Nombre alternativo en el asunto** no existe en el certificado y este está asignado explícitamente a más de un usuario, no se podrá iniciar sesión con dicho certificado.

**nota**  
Si la clave de registro está configurada en los controladores de dominio en las instalaciones, el Conector AD no podrá localizar a los usuarios en Active Directory y generará el mensaje de error anterior.

Los certificados de entidades de certificación (CA) se deben cargar en el certificado de la tarjeta inteligente de Conector AD. El certificado debe contener información sobre el OCSP. A continuación se enumeran los requisitos adicionales para las CA: 
+ El certificado debe estar en la autoridad raíz de confianza del controlador de dominio, el servidor de la autoridad de certificación y el WorkSpaces.
+ Los certificados de CA raíz y fuera de línea no contendrán la información de OSCP. Estos certificados contienen información sobre su revocación.
+ Si utiliza un certificado de CA de terceros para la autenticación con tarjeta inteligente, la CA y los certificados intermedios deben publicarse en el NTAuth almacén de Active Directory. Deben estar instalados en la entidad raíz de confianza para todos los controladores de dominio, los servidores de la entidad de certificación y WorkSpaces.
  + Puede usar el siguiente comando para publicar los certificados en el NTAuth almacén de Active Directory:

    

    ```
    certutil -dspublish -f Third_Party_CA.cer NTAuthCA
    ```

Para obtener más información sobre la publicación de certificados [en la NTAuth tienda, consulte Importación del certificado de CA emisor a la NTAuth tienda empresarial](https://docs.aws.amazon.com//whitepapers/latest/access-workspaces-with-access-cards/import-the-issuing-ca-certificate-into-the-enterprise-ntauth-store.html) en la *Guía de instalación de Access Amazon WorkSpaces with Common Access Cards*.

**Cómo comprobar si el OCSP verifica el certificado de usuario o los certificados en cadena de CA, siga este procedimiento:**

1. Exporte el certificado de la tarjeta inteligente a una ubicación de la máquina local, como la unidad C:.

1. Abra una petición de línea de comandos y navegue hasta la ubicación en la que está almacenado el certificado de tarjeta inteligente exportado.

1. Introduzca el siguiente comando:

   ```
   certutil -URL Certficate_name.cer
   ```

1. Aparecerá una ventana emergente después del comando. Seleccione la **opción OCSP** en la esquina derecha y elija **Recuperar**. El estado debería volver como verificado.

Para obtener más información acerca del comando certutil, consulte [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) en la documentación de Microsoft.

### He recibido un error “Credenciales no válidas” cuando la cuenta de servicio que utiliza Conector AD intenta autenticarse
<a name="invalid_creds"></a>

Esto puede ocurrir si el disco duro del controlador de dominio se queda sin espacio. Asegúrese de que los discos duros del controlador de dominio no estén llenos.

### Aparece el mensaje “Se ha producido un error” o “Ha habido un error inesperado” cuando intento actualizar la cuenta de servicio del Conector AD
<a name="error_unexpected_error"></a>

 Los siguientes errores o síntomas se producen al buscar usuarios en aplicaciones AWS empresariales como [Amazon WorkSpaces Console Launch Wizard](https://docs.aws.amazon.com//workspaces/latest/adminguide/launch-workspace-ad-connector.html#create-workspace-ad-connector):
+ Se ha producido un error. Si sigues teniendo problemas, ponte en contacto con el AWS Support equipo en los foros de la comunidad y a través de AWS Premium Support.
+ Se ha producido un error. El directorio necesita una actualización de credenciales. Actualice las credenciales del directorio.

 Si intenta actualizar las credenciales de la cuenta de servicio de Conector AD en Conector AD, es posible que reciba los siguientes mensajes de error:
+ Error inesperado. Se ha producido un error inesperado.
+ Se ha producido un error. Se ha producido un error con la account/password combinación de servicios. Vuelva a intentarlo.

La cuenta de servicio del directorio de Conector AD reside en el Active Directory administrado por el cliente. La cuenta se utiliza como identidad para realizar consultas y operaciones en el dominio de Active Directory administrado por el cliente a través de Conector AD en nombre de las aplicaciones empresariales de AWS . Conector AD utiliza Kerberos y LDAP para realizar estas operaciones.

**En la siguiente lista se explica el significado de estos mensajes de error:**
+ Es posible que haya un problema con la sincronización horaria y Kerberos. Conector AD envía las solicitudes de autenticación de Kerberos a Active Directory. Estas solicitudes tienen plazos acotados y, si se retrasan, fallarán. Asegúrese de que no haya problemas de sincronización horaria entre ninguno de los controladores de dominio administrados por el cliente. Para resolver este problema, consulte [Recommendation - Configure the Root PDC with an Authoritative Time Source and Avoid Widespread Time Skew](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew) en la documentación de Microsoft. Para obtener más información sobre el servicio temporal y la sincronización, consulte lo siguiente:
  +  [Cómo funciona el servicio horario de Windows](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
  + [Tolerancia máxima para la sincronización del reloj del equipo](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
  + [Herramientas y ajustes del servicio horario de Windows](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
+ Un dispositivo de red intermedio, con una restricción de [MTU](https://support.microsoft.com/en-us/topic/the-default-mtu-sizes-for-different-network-topologies-b25262c5-d90f-456d-7647-e09192eeeef4) de red, como configuraciones de hardware de firewall o VPN, entre Conector AD y los controladores de dominio administrados por el cliente, puede provocar este error debido a la [fragmentación de la red](https://en.wikipedia.org/wiki/IP_fragmentation).
  + Para verificar la restricción de MTU, puede realizar una [prueba de ping](https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/mtu-size-matters/1025286) entre el controlador de dominio administrado por el cliente y una instancia de Amazon EC2 que se lance en una de las subredes del directorio que esté conectada a través de Conector AD. El tamaño del marco no debe ser superior al tamaño predeterminado de 1500 bytes
  + La prueba de ping le ayudará a determinar si el tamaño del marco es superior a 1500 bytes (también conocidos como marcos Jumbo) y si pueden llegar a la VPC y a la subred de Conector AD sin necesidad de fragmentación. Verifique más exhaustivamente con el equipo de red y asegúrese de que los marcos Jumbo estén permitidos en los dispositivos de red intermedios. 
+ Es posible que se produzca este problema si los [LDAP del lado del cliente](ad_connector_ldap_client_side.md) está habilitado en Conector AD y los certificados han caducado. Asegúrese de que tanto el certificado del servidor como el certificado de CA sean válidos, no hayan caducado y cumplan los requisitos de la [LDAPsdocumentación](ad_connector_ldap_client_side.md#prereqs-ldap-client-side).
+ Si [Virtual List View Support](https://learn.microsoft.com/en-us/windows/win32/controls/use-virtual-list-view-controls) está deshabilitado en el dominio de Active Directory administrado por el cliente, AWS las aplicaciones no podrán buscar usuarios porque AD Connector utiliza la búsqueda VLV en las consultas de LDAP. Virtual List View Support se desactiva cuando la opción Disable VLVSupport se establece en un valor distinto de cero. Asegúrese de que la compatibilidad con [Virtual List View (VLV)](https://learn.microsoft.com/en-us/previous-versions/office/exchange-server-analyzer/cc540446(v=exchg.80)?redirectedfrom=MSDN) esté habilitado en Active Directory mediante los siguientes pasos:

  1.  Inicie sesión en el controlador de dominio como propietario del rol de maestro del esquema con una cuenta con credenciales de administrador del esquema.

  1. Seleccione **Inicio** y, a continuación, **Ejecutar** e introduzca **Adsiedit.msc**.

  1.  En la herramienta de edición ADSI, conecte a la **partición de configuración** y expanda el nodo **Configuration [DomainController]**.

  1. Expanda el contenedor **CN=Configuration, DC=**. DomainName 

  1.  Amplíe el objeto **CN=Services**.

  1.  Amplíe el objeto **CN=Windows NT**.

  1. Seleccione el objeto **CN=Directory Service.** Seleccione **Properties**.

  1. En la lista de atributos, seleccione **msds-Other-Settings**. Seleccione **Editar**.

  1.  **En la lista de valores, seleccione cualquier instancia de **Disable VLVSupport =x** en la que x no sea igual a **0** y seleccione Eliminar.**

  1.  Después de eliminarlo, introduzca **DisableVLVSupport=0**. Seleccione **Añadir**.

  1. Seleccione **OK (Aceptar)**. Puede cerrar la herramienta de edición de ADSI. En la siguiente imagen se muestra el cuadro de diálogo del editor de cadenas con varios valores en la ventana de edición de ADSI:  
![\[Cuadro de diálogo de edición ADSI con el editor de cadenas con varios valores y la opción VLVSupport Disable =0 resaltada.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/DisableVLVSupport.png)
**nota**  
En una infraestructura grande de Active Directory con más de 100 000 usuarios, es posible que solo se puedan buscar usuarios específicos. Sin embargo, si intenta enumerar todos los usuarios (por ejemplo, **Mostrar todos los usuarios en WorkSpaces Launch Wizard**) a la vez, podría producirse el mismo error incluso si VLV Support está activado. Conector AD requiere que los resultados se ordenen según el atributo “CN” mediante el índice de subárbol. El índice de subárbol es el tipo de índice que prepara a los controladores de dominio para realizar una operación de búsqueda en la vista de lista virtual (LDAP) que permite a Conector AD completar una búsqueda ordenada. Este índice mejora la búsqueda de VLV e impide el uso de la tabla de base de datos temporal denominada. [MaxTempTableSize](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-set-ldap-policy-using-ntdsutil) El tamaño de esta tabla puede variar, pero de forma predeterminada el número máximo de entradas es 10000 (la MaxTempTableSize configuración de la política de consultas predeterminada). Aumentar el MaxTempTableSize es menos eficaz que utilizar la indexación de subárboles. Para evitar estos errores en entornos de AD de gran tamaño, se recomienda utilizar la indexación de subárboles. 

Para habilitar el índice del subárbol, modifique el atributo [searchflags](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867) de la definición del atributo, en el esquema de Active Directory, con un valor de 65 (0x41), siguiendo ADSEdit los siguientes pasos:

1. Inicie sesión en el controlador de dominio como propietario del rol de maestro del esquema con una cuenta con credenciales de administrador del esquema. 

1.  Seleccione **Iniciar** y **Ejecutar** y, a continuación, introduzca**Adsiedit.msc**.

1. En la herramienta de edición de ADSI, conéctese a **Schema Partition**. 

1. Expanda el contenedor **CN=Schema, CN=Configuration** y DC=. DomainName

1. Localice el atributo “**Nombre común**”, haga clic con el botón derecho del mouse y seleccione **Propiedades**.

1. Localice el atributo **searchFlags** y cambie su valor a **65 (0x41)** para habilitar SubTree la indexación junto con el índice normal.

   La imagen siguiente muestra el cuadro de diálogo de propiedades CN=Common-Name en la ventana de edición de ADSI:  
![\[Se abre el cuadro de diálogo de edición de ADSI con el atributo SearchFlags resaltado.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/SUBTREE_INDEX.png)

1. Seleccione **OK (Aceptar)**. Puede cerrar la herramienta de edición de ADSI.

1. Para confirmarlo, deberías poder ver el identificador de evento 1137 (fuente: Active Directory\$1DomainServices), que indica que el AD ha creado correctamente el nuevo índice para el atributo especificado.

Para obtener más información, consulte [Documentación de Microsoft](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867). 

### Aparece el mensaje de error «No se puede autenticar» cuando utilizo AWS aplicaciones para buscar usuarios o grupos
<a name="fails_when_searching"></a>

Es posible que se produzcan errores al buscar usuarios o al iniciar sesión en AWS aplicaciones, como WorkSpaces Quick, incluso cuando el estado del AD Connector esté activo. Si la contraseña de la cuenta de servicio de Conector AD se ha cambiado o ha caducado, Conector AD ya no podrá consultar el dominio de Active Directory. Póngase en contacto con el administrador de AD y verifique lo siguiente: 
+ Compruebe que la contraseña de la cuenta de servicio de Conector AD no haya caducado
+ Compruebe que la cuenta de servicio de Conector AD no tenga habilitada la opción **El usuario debe cambiar la contraseña la próxima vez que inicie sesión**. 
+ Compruebe que la cuenta del servicio de Conector AD no está bloqueada.
+ Si no está seguro de si la contraseña ha caducado o si ha cambiado, se puede restablecer la contraseña de la cuenta de servicio y también [actualizar](ad_connector_update_creds.md) la misma contraseña en Conector AD.

### Recepción de un error sobre las credenciales de mi directorio cuando intento actualizar la cuenta de servicio de Conector AD
<a name="error_with_ad_creds"></a>

Al intentar actualizar la cuenta de servicio de Conector AD, aparece un mensaje de error similar a uno o varios de los siguientes:

Mensaje: Se ha producido un error Su directorio necesita una actualización de credenciales. Actualice las credenciales del directorio. Mensaje: Se ha producido un error Su directorio necesita una actualización de credenciales. Actualice las credenciales del directorio después de Actualización de las credenciales de la cuenta de servicio de Conector AD Mensaje: Se ha producido un error Su solicitud tiene un problema. Consulte los siguientes detalles. Se ha producido un error con la combinación de la cuenta de servicio y la contraseña

Es posible que haya un problema con la sincronización horaria y Kerberos. Conector AD envía las solicitudes de autenticación de Kerberos a Active Directory. Estas solicitudes tienen plazos acotados y, si se retrasan, fallarán. Para resolver este problema, consulte [Recommendation - Configure the Root PDC with an Authoritative Time Source and Avoid Widespread Time Skew](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew) en la documentación de Microsoft. Para obtener más información sobre el servicio temporal y la sincronización, consulte lo siguiente:
+ [Cómo funciona el servicio horario de Windows](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [Tolerancia máxima para la sincronización del reloj del equipo](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Herramientas y ajustes del servicio horario de Windows](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)

### Algunos de mis usuarios no pueden autenticarse con mi directorio
<a name="kerberos_preauth2"></a>

Las cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Es la configuración predeterminada para cuentas de usuario nuevas y no debe modificarse. Para obtener más información sobre esta configuración, consulta la sección [Autenticación previa activada](http://technet.microsoft.com/en-us/library/cc961961.aspx) Microsoft TechNet.

## Problemas de mantenimiento
<a name="ad_connector_maintenance_issues"></a>

**Los siguientes son problemas de mantenimiento comunes del conector AD:**
+ Mi directorio se bloquea en el estado “Solicitado”
+ Vinculación fluida a dominios para instancias de Amazon EC2 que han dejado de funcionar

### Mi directorio se bloquea en el estado “Solicitado”
<a name="troubleshoot_stuck_in_requested"></a>

Si tiene un directorio que haya estado en estado “Solicitado” durante más de cinco minutos, pruebe a eliminar el directorio y vuelva a crearlo. Si este problema sigue sin resolverse, póngase en contacto con [AWS Support](https://aws.amazon.com/contact-us/).

### Vinculación fluida a dominios para instancias de Amazon EC2 que han dejado de funcionar
<a name="seamless_stops"></a>

La unión a dominios sencilla para instancias de EC2 estaba funcionando y, a continuación, se detuvo mientras Conector AD estaba activo, es posible que las credenciales de la cuenta de servicio de Conector AD hayan caducado. Las credenciales caducadas pueden impedir que Conector AD cree objetos del equipo en Active Directory. 

**Para resolver este problema, actualice las contraseñas de la cuenta de servicio en el orden que se indica a continuación, de modo que las contraseñas coincidan:**

1. Actualice la contraseña de la cuenta de servicio de su Active Directory

1. Actualice la contraseña de la cuenta de servicio del conector AD en Directory Service. Para obtener más información, consulte [Actualización de las credenciales de la cuenta de servicio de AD Connector en Consola de administración de AWS](ad_connector_update_creds.md).

**importante**  
Si se actualiza la contraseña solo en, el cambio de contraseña Directory Service no se transfiere al Active Directory local existente, por lo que es importante hacerlo en el orden indicado en el procedimiento anterior.

## No puedo eliminar mi Conector AD
<a name="delete_ad_connector"></a>

Si Conector AD pasa a un estado inoperativo, ya no tendrá acceso a los controladores de dominio. Bloqueamos la eliminación de un Conector AD cuando todavía hay aplicaciones vinculadas a él porque es posible que una de esas aplicaciones siga utilizando el directorio. Para obtener una lista de las aplicaciones que debe deshabilitar para eliminar el conector AD, consulte [Eliminación del Conector AD](ad_connector_delete.md). Si aún no puede eliminar el Conector AD, puede solicitar ayuda a través de [AWS Support](https://aws.amazon.com/contact-us/).

## Herramientas generales para investigar a los emisores de Conector AD
<a name="ad_connector_troubleshooting_tools"></a>

Las siguientes herramientas se pueden utilizar para solucionar varios problemas de Conector AD relacionados con la creación, la autenticación y la conectividad:

**DirectoryServicePortTest herramienta**  
La herramienta de [DirectoryServicePortTest](samples/DirectoryServicePortTest.zip)pruebas puede resultar útil para solucionar problemas de conectividad entre AD Connector y los servidores Active Directory o DNS administrados por el cliente. Para obtener más información sobre cómo utilizar la herramienta, consulte [Probar el conector de AD](ad_connector_getting_started.md#connect_verification).

**Herramienta de captura de paquetes**  
Se puede usar la utilidad de captura de paquetes de Windows integrada ([netsh](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129382(v=ws.11))) para investigar y solucionar posibles problemas de comunicación en la red o en Active Directory (ldap y kerberos). Para obtener más información, consulte [Capture a Network Trace without installing anything](https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503).

**Registros de flujo de VPC**  
Para comprender mejor qué solicitudes se reciben y envían desde Conector AD, se pueden configurar los [registros de flujo de VPC](https://docs.aws.amazon.com//vpc/latest/userguide/working-with-flow-logs.html) para las interfaces de red de directorios. Puede identificar todas las interfaces de red reservadas para su uso Directory Service mediante la descripción:`AWS created network interface for directory your-directory-id`.   
Un caso de uso sencillo es durante la creación de Conector AD con un dominio de Active Directory administrado por el cliente que contiene una gran cantidad de controladores de dominio. Se pueden usar los registros de flujo de la VPC y filtrar por el puerto Kerberos (88) para determinar qué controladores de dominio del Active Directory administrado por el cliente se contactan para la autenticación.