Paso 3: implementación de una instancia de Amazon EC2 para administrar el Active Directory de AWS Managed Microsoft AD - AWS Directory Service
Opcional: Crear un conjunto de opciones de DHCP en AWS-DS-VPC01 para su directorioCreación de un rol para unir instancias de Windows a su dominio AWS Managed Microsoft ADCreación de una instancia de Amazon EC2 y vinculación automática al directorioInstalación de las herramientas de Active Directory en su instancia de EC2

Paso 3: implementación de una instancia de Amazon EC2 para administrar el Active Directory de AWS Managed Microsoft AD

Para este laboratorio, utilizamos instancias de Amazon EC2 que tienen direcciones IP públicas para facilitar el acceso a la instancia de administración desde cualquier lugar. En un entorno de producción, puede utilizar instancias que se encuentren en una VPC privada, accesibles únicamente a través de una VPN o un enlace de Direct Connect. No es necesario que la instancia tenga una dirección IP pública.

En esta sección, veremos las distintas tareas posteriores a la implementación necesarias para que los equipos clientes se conecten a su dominio con el servidor Windows Server de su nueva instancia EC2. Puede utilizar el servidor Windows Server en el siguiente paso para verificar que el laboratorio funcione.

Opcional: Crear un conjunto de opciones de DHCP en AWS-DS-VPC01 para su directorio

En este procedimiento opcional, configurará un grupo de opciones de DHCP para que las instancias de EC2 de su VPC usen automáticamente AWS Managed Microsoft AD para la resolución de DNS. Para obtener más información, consulte Conjuntos de opciones de DHCP.

Creación de un conjunto de opciones de DHCP para un directorio

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija DHCP Options Sets y, a continuación, elija Create DHCP options set.

  3. En la página Create DHCP options set (Crear conjunto de opciones de DHCP), facilite los siguientes valores para el directorio:

    • En Name (Nombre), escriba AWS DS DHCP.

    • En Domain name (Nombre del dominio), escriba corp.example.com.

    • En Domain name servers (Servidores de nombres de dominio), introduzca las direcciones IP de los servidores DNS de su directorio de AWS proporcionado.

      nota

      Para buscar estas direcciones, vaya a la página Directorios de Directory Service y, a continuación, elija el identificador de directorio correspondiente. En la página Detalles, identifique y utilice las IP que aparecen en la dirección DNS.

      Como alternativa, para buscar estas direcciones, vaya a la página Directorios de Directory Service y, a continuación, elija el identificador de directorio correspondiente. A continuación, seleccione Escalar y compartir. En Controladores de dominio, identifique y use las IP que aparecen en Dirección IP.

    • Deje las opciones en blanco para NTP servers, NetBIOS name servers y NetBIOS node type.

  4. Seleccione Create DHCP options set (Crear conjunto de opciones de DHCP) y, a continuación, elija Close (Cerrar). El nuevo conjunto de opciones de DHCP aparecerá en la lista de opciones de DHCP.

  5. Anote el ID del nuevo conjunto de opciones de DHCP (dopt-xxxxxxxx). Debe usarlo al final de este procedimiento para asociar el nuevo conjunto de opciones a su VPC.

    nota

    La integración sencilla en un dominio funciona sin tener que configurar un conjunto de opciones DHCP.

  6. En el panel de navegación, elija Your VPCs (Sus VPC).

  7. En la lista de VPC, seleccione AWS DS VPC, elija Acciones y, a continuación, elija Editar conjunto de opciones de DHCP.

  8. En la página Edit DHCP options set (Editar conjunto de opciones de DHCP), seleccione el conjunto de opciones registrado en el paso 5 y, a continuación, seleccione Save (Guardar).

Creación de un rol para unir instancias de Windows a su dominio AWS Managed Microsoft AD

Utilice este procedimiento para configurar un rol que vincula una instancia de Amazon EC2 en Windows a un dominio. Para obtener más información, consulte Vinculación de una instancia de Amazon EC2 de Windows a su AWS Managed Microsoft AD Active Directory.

Configuración de EC2 para unir instancias de Windows a su dominio

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, elija Crear rol.

  3. En Seleccionar tipo de entidad de confianza, seleccione Servicio de AWS.

  4. Justo debajo de Choose the service that will use this role (Elegir el servicio que utilizará este rol), elija EC2 y, a continuación, elija Next: Permissions (Siguiente: Permisos).

  5. En la página Attached permissions policy (Asociar política de permisos), haga lo siguiente:

    • Seleccione la casilla situada junto a la política administrada AmazonSSMManagedInstanceCore política. Esta política proporciona los permisos mínimos necesarios para utilizar el servicio de Systems Manager.

    • Seleccione la casilla situada junto a la política administrada AmazonSSMDirectoryServiceAccess. La política proporciona los permisos para unir instancias a un Active Directory administrado por Directory Service.

    Para obtener información acerca de estas políticas administradas y otras políticas que puede asociar a un perfil de instancia de IAM de Systems Manager, consulte Creación de un perfil de instancia de IAM para Systems Manager en la Guía del usuario de AWS Systems Manager. Para obtener más información sobre las políticas administradas, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

  6. Elija Next: Tags (Siguiente: Etiquetas).

  7. (Opcional) Añada uno o varios pares clave-valor de etiqueta para organizar, realizar un seguimiento o controlar el acceso a este rol y, a continuación, elija Next: Review (Siguiente: Revisar).

  8. En Role name (Nombre de rol), escriba un nombre para el rol que describa que se utiliza para unir instancias a un dominio, como EC2DomainJoin.

  9. (Opcional) En Role description (Descripción del rol), escriba una descripción.

  10. Elija Create role. El sistema le devuelve a la página Roles.

Creación de una instancia de Amazon EC2 y vinculación automática al directorio

En este procedimiento, configura un sistema Windows Server en una instancia de EC2 que se podrá utilizar posteriormente para administrar usuarios, grupos y políticas en el Active Directory.

Creación de una instancia EC2 y unión automática al directorio

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. Elija Iniciar instancia.

  3. En la página Step 1 (Paso 1), junto a Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx elija Select (Seleccionar).

  4. En la página Step 2 (Paso 2), seleccione t3.micro (tenga en cuenta que puede elegir un tipo de instancia más grande) y después elija Next: Configure Instance Details (Siguiente: Configurar detalles de instancia).

  5. En la página Step 3, haga lo siguiente:

    • En Red, elija la VPC que termina con AWS-DS-VPC01 (por ejemplo, vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01).

    • En Subred elija Subred pública 1, que debería estar preconfigurada para su zona de disponibilidad preferida (por ejemplo, subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a).

    • Para Auto-assign Public IP, elija Enable (si el ajuste de subred no está establecido como habilitado de forma predeterminada).

    • Para Domain join directory, seleccione corp.example.com (d-xxxxxxxxxx).

    • En IAM role (Rol de IAM) seleccione el nombre asignado al rol de instancia en Creación de un rol para unir instancias de Windows a su dominio AWS Managed Microsoft AD, como EC2DomainJoin.

    • No cambie el resto de los valores predeterminados de los demás ajustes.

    • Elija Siguiente: Añadir almacenamiento.

  6. En la página Step 4, deje la configuración predeterminada y, a continuación, elija Next: Add Tags.

  7. En la página Step 5, elija Add Tag. En Key (Clave), escriba corp.example.com-mgmt y, a continuación, elija Next: Configure Security Group (Siguiente: Configurar grupo de seguridad).

  8. En la página Paso 6, elija Seleccionar un grupo de seguridad existente, seleccione Grupo de seguridad del laboratorio de pruebas de AWS DS (que configuró anteriormente en el Tutorial básico) y, a continuación, elija Revisar y lanzar para revisar la instancia.

  9. En la página Step 7, revise la página y, a continuación, seleccione Launch.

  10. En el cuadro de diálogo Select an existing key pair or create a new key pair, proceda del modo siguiente:

    • Elija Choose an existing key pair.

    • En Seleccionar un par de claves, elija AWS-DS-KP.

    • Active la casilla I acknowledge....

    • Elija Iniciar instancias.

  11. Elija Ver instancias para volver a la consola de Amazon EC2 y ver el estado de la implementación.

Instalación de las herramientas de Active Directory en su instancia de EC2

Puede elegir entre dos métodos para instalar las herramientas de administración del dominio de Active Directory en su instancia EC2. Puede utilizar la interfaz de usuario de Server Manager (recomendada para este tutorial) o PowerShell.

Para instalar las herramientas de Active Directory en su instancia de EC2 (Server Manager)

  1. En la consola de Amazon EC2, elija Instancias, seleccione la instancia que acaba de crear y, a continuación, elija Conectar.

  2. En el cuadro de diálogo Conectar s su instancia, elija Obtener contraseña para recuperar la contraseña si no lo ha hecho aún y, a continuación, elija Descargar archivo de escritorio remoto.

  3. En el cuadro de diálogo Windows Security (Seguridad de Windows), escriba sus credenciales de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo, administrator).

  4. En el menú Inicio, elija Administrador del servidor.

  5. En Panel, elija Agregar roles y características.

  6. En Asistente para agregar roles y características, elija Siguiente.

  7. En la página Seleccionar tipo de instalación, elija Instalación basada en características o en roles y, a continuación, elija Siguiente.

  8. En la página Seleccionar servidor de destino, asegúrese de que se selecciona el servidor local y, a continuación, elija Siguiente.

  9. En la página }Seleccionar roles de servidor, elija Siguiente.

  10. En la página Seleccionar características, haga lo siguiente:

    • Active la casilla de verificación Administración de directivas de grupo.

    • Amplíe Herramientas de administración remota del servidor y, a continuación, expanda Herramientas de administración de roles.

    • Active la casilla de verificación Herramientas de AD DS y AD LDS.

    • Active la casilla de verificación de herramientas de servidor DNS.

    • Elija Siguiente.

  11. En la página de Confirmar selecciones de instalación, revise la información y seleccione Instalar. Cuando haya terminado la instalación de la característica, las siguientes herramientas o complementos estarán disponibles en la carpeta Herramientas administrativas de Windows en el menú Inicio.

    • Centro de administración de Active Directory

    • Dominios y relaciones de confianza de Active Directory

    • Módulo del Active Directory para PowerShell

    • Sitios y servicios de Active Directory

    • Usuarios y equipos de Active Directory

    • Edición ADSI

    • DNS

    • Administración de políticas de grupo

Instalación de las herramientas del Active Directory en su instancia de EC2 (PowerShell) (opcional)

  1. Se inicia PowerShell.

  2. Escriba el siguiente comando. 

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server