Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Tutoriales de laboratorio de pruebas gestionadas de Microsoft AD
<a name="ms_ad_tutorial_test_lab"></a>

En esta sección se proporciona una serie de tutoriales guiados que le ayudarán a establecer un entorno de laboratorio de pruebas AWS en el que pueda experimentar con Microsoft AD AWS administrado.

**Topics**
+ [Tutorial: Configuración de su laboratorio de pruebas base de Microsoft AD AWS administrado en AWS](ms_ad_tutorial_test_lab_base.md)
+ [Tutorial: Creación de una confianza desde Microsoft AD AWS gestionado a una instalación autogestionada de Active Directory en Amazon EC2](ms_ad_tutorial_test_lab_trust.md)

# Tutorial: Configuración de su laboratorio de pruebas base de Microsoft AD AWS administrado en AWS
<a name="ms_ad_tutorial_test_lab_base"></a>

Este tutorial le enseña cómo configurar su AWS entorno para prepararse para una nueva instalación AWS gestionada de Microsoft AD que utilice una nueva instancia de Amazon EC2 que ejecute Windows Server 2019. Luego, le enseña a usar las herramientas de administración típicas de Active Directory para administrar su entorno Microsoft AD AWS administrado desde su instancia EC2 de Windows. Cuando complete el tutorial, habrá establecido los requisitos previos de la red y habrá configurado un nuevo bosque AWS administrado de Microsoft AD. 

Como se muestra en la siguiente ilustración, el laboratorio que cree a partir de este tutorial es el componente fundamental para el aprendizaje práctico sobre AWS Microsoft AD administrado. Posteriormente, podrá agregar tutoriales opcionales para una experiencia más práctica. Esta serie de tutoriales es ideal para cualquiera que se acerque por primera vez a AWS Managed Microsoft AD y quiera contar con un laboratorio de pruebas para evaluación. Para completar este tutorial se necesita aproximadamente 1 hora.

![\[Diagrama que muestra los pasos del tutorial: 1 configurar el entorno, 2 crear su Microsoft AD AWS administrado, 3 implementar un Amazon EC2 y 4 probar el laboratorio.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)


**[Paso 1: Configure su AWS entorno para Microsoft AD Active Directory AWS administrado](microsoftadbasestep1.md)**  
Una vez que haya completado las tareas previas, creará y configurará una Amazon VPC en la instancia de Amazon EC2.

**[Paso 2: Cree su Microsoft AD Active Directory AWS administrado](microsoftadbasestep2.md)**  
En este paso, configuras Microsoft AD AWS administrado AWS por primera vez.

**[Paso 3: Implemente una instancia de Amazon EC2 para gestionar su Active Directory gestionado de AWS Microsoft AD](microsoftadbasestep3.md)**  
A continuación, veremos las distintas tareas posteriores a la implementación necesarias para que los equipos clientes se conecten a su nuevo dominio y para configurar un nuevo sistema de Windows Server en EC2.

**[Paso 4: verificación de que el laboratorio de pruebas base esté operativo](microsoftadbasestep4.md)**  
Por último, como administrador, debe verificar que pueda iniciar sesión y conectarse a AWS Managed Microsoft AD desde su sistema de Windows Server en EC2. Tras haber comprobado satisfactoriamente que el laboratorio es operativo, puede seguir agregando otros módulos guía del laboratorio de pruebas.

# Requisitos previos
<a name="microsoftadbaseprereq"></a>

Si quiere utilizar solamente los pasos de la IU de este tutorial para crear su laboratorio de pruebas, puede omitir esta sección de requisitos previos y pasar al paso 1. Sin embargo, si planea usar AWS CLI comandos o AWS Tools for Windows PowerShell módulos para crear su entorno de laboratorio de pruebas, primero debe configurar lo siguiente:
+ **Usuario de IAM con la clave de acceso y la clave de acceso secreta**: si desea utilizar los módulos AWS CLI o AWS Tools for Windows PowerShell , necesitará un usuario de IAM con una clave de acceso. Si no tiene una clave de acceso, consulte [Creación, modificación y visualización de claves de acceso (Consola de administración de AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey).
+ **AWS Command Line Interface (opcional): descárguelo** [e instálelo AWS CLI en Windows](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). Tras completar la instalación, abra el símbolo del sistema o la ventana de PowerShell. Luego, escriba `aws configure`. Tenga en cuenta que necesita la clave de acceso y la clave secreta para completar la configuración. Consulte el primer requisito previo para ver los pasos que indican cómo hacer esto. Se le solicitará que indique lo siguiente:
  + AWS ID de clave de acceso [Ninguno]: `AKIAIOSFODNN7EXAMPLE`
  + AWS clave de acceso secreta [Ninguna]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
  + Nombre de la región predeterminada [Ninguna]: `us-west-2`
  + Default output format [None]: `json`
+ **AWS Tools for Windows PowerShell****(opcional)**: descargue e instale la última versión AWS Tools for Windows PowerShell del formulario y [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/), a continuación, ejecute el siguiente comando. Tenga en cuenta que necesita su clave de acceso y la clave secreta para completar la configuración. Consulte el primer requisito previo para ver los pasos que indican cómo hacerlo.

  `Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`

# Paso 1: Configure su AWS entorno para Microsoft AD Active Directory AWS administrado
<a name="microsoftadbasestep1"></a>

Antes de poder crear Microsoft AD AWS administrado en su laboratorio de AWS pruebas, primero debe configurar el par de claves de Amazon EC2 para que todos los datos de inicio de sesión estén cifrados.

## Crear un par de claves
<a name="createkeypair2"></a>

Si ya tiene un par de claves, puede omitir este paso. Para obtener más información sobre los pares de claves de Amazon EC2, consulte [Creación de pares de claves](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).

**Creación de un par de claves**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. En el panel de navegación, en **Network & Security**, seleccione **Key Pairs** y después **Create Key Pair**.

1. En **Key pair name (Nombre del par de claves)**, escriba **AWS-DS-KP**. En **Key pair file format (Formato de archivo del par de claves)**, seleccione **pem**, y, a continuación, elija **Create (Crear)**.

1. Su navegador descargará el archivo de clave privada automáticamente. El nombre del archivo es el nombre que indicó cuando creó el par de claves con la extensión `.pem`. Guarde el archivo de clave privada en un lugar seguro.
**importante**  
Esta es la única oportunidad para guardar el archivo de clave privada. Deberá proporcionar el nombre de su par de claves al lanzar una instancia, y la clave privada correspondiente cada vez que descifre la contraseña de la instancia.

## Crea, configura y conecta Amazon VPCs
<a name="createvpc"></a>

Como se muestra en la siguiente ilustración, cuando termine este proceso de varios pasos, habrá creado y configurado dos subredes públicas, dos públicas por VPC VPCs, una conexión de Internet Gateway por VPC y una conexión de peering de VPC entre ellas. VPCs Elegimos usar subredes públicas VPCs y subredes por motivos de simplicidad y costo. Para las cargas de trabajo de producción, le recomendamos que utilice la privada. VPCs Para obtener más información sobre cómo mejorar la seguridad de la VPC, consulte [Seguridad en Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html).

![\[Entorno de Amazon VPC con subredes y pasarelas de Internet para crear un Active Directory administrado de AWS Microsoft AD.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


Todos los PowerShell ejemplos utilizan AWS CLI la información de VPC que se muestra a continuación y están integrados en us-west-2. Puede elegir cualquier [región admitida](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) para crear su entorno. Para obtener más información, consulte [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).

**Paso 1: Crea dos VPCs**

En este paso, debe crear dos VPCs en la misma cuenta utilizando los parámetros especificados en la siguiente tabla. AWS Microsoft AD administrado admite el uso de cuentas independientes con [Comparta su Microsoft AD AWS gestionado](ms_ad_directory_sharing.md) esta función. La primera VPC se utilizará para Managed AWS Microsoft AD. La segunda VPC se utilizará para los recursos que se pueden utilizar más adelante en [Tutorial: Creación de una confianza desde Microsoft AD AWS gestionado a una instalación autogestionada de Active Directory en Amazon EC2](ms_ad_tutorial_test_lab_trust.md).


****  

|  Información sobre VPC del Active Directory administrado  |  Información de la VPC en las instalaciones  | 
| --- | --- | 
|  Etiqueta de nombre: AWS-DS- VPC01 IPv4 Bloque CIDR: 10.0.0.0/16 IPv6 Bloque CIDR: sin bloque CIDR IPv6  Tenencia: predeterminada  |  Etiqueta de nombre: - - AWS OnPrem VPC01 IPv4 Bloque CIDR: 10.100.0.0/16 IPv6 Bloque CIDR: sin bloque CIDR IPv6  Tenencia: predeterminada  | 

Para obtener instrucciones detalladas, consulte [Crear una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC).

**Paso 2: Crear dos subredes por VPC**

Una vez creada la, VPCs tendrá que crear dos subredes por VPC mediante los parámetros especificados en la tabla siguiente. En este laboratorio de pruebas cada subred será /24. Esto permitirá emitir hasta 256 direcciones por subred. Cada subred debe estar en una zona de disponibilidad distinta. Poner cada subred en una zona de disponibilidad distinta es uno de los [Requisitos previos para crear un Microsoft AWS AD administrado](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).


****  

|  AWS Información de la subred -DS-: VPC01   |  AWS- OnPrem - VPC01 información de subred  | 
| --- | --- | 
|  Etiqueta de nombre: AWS-DS- -Subnet01 VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona de disponibilidad: us-west-2a IPv4 Bloque CIDR: 10.0.0.0/24  |  Etiqueta de nombre: - - -Subnet01 AWS OnPrem VPC01  VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona de disponibilidad: us-west-2a IPv4 Bloque CIDR: 10.100.0.0/24  | 
|  Etiqueta de nombre: -DS- -Subnet02 AWS VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona de disponibilidad: us-west-2b IPv4 Bloque CIDR: 10.0.1.0/24  |  Etiqueta de nombre: - - -Subnet02 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona de disponibilidad: us-west-2b IPv4 Bloque CIDR: 10.100.1.0/24  | 

Para obtener instrucciones detalladas, consulte [Crear una subred en la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).

**Paso 3: Cree y conecte un Internet Gateway a su VPCs**

Dado que estamos utilizando VPC públicas, tendrá que crear y asociar una puerta de enlace de Internet a las VPC utilizando los parámetros especificados en la siguiente tabla. Esto le permitirá conectarse y administrar sus instancias EC2.


****  

|  AWS-DS- Información sobre VPC01 Internet Gateway  |  AWS- OnPrem - Información sobre VPC01 Internet Gateway  | 
| --- | --- | 
|  Etiqueta de nombre: AWS-DS- -IGW VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01  |  Etiqueta de nombre: - - AWS-IGW OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

Para obtener instrucciones detalladas, consulte [Gateways de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).

**Paso 4: Configurar una conexión de emparejamiento de VPC entre AWS-DS- y - - VPC01 AWS OnPrem VPC01**

Como ya creó dos VPCs anteriormente, necesitará conectarlos en red mediante el emparejamiento de VPC mediante los parámetros especificados en la siguiente tabla. Si bien hay muchas formas de conectarlo VPCs, en este tutorial se utilizará el peering de VPC. AWS [Microsoft AD administrado admite muchas soluciones para conectarlo VPCs, algunas de ellas incluyen la interconexión de [VPC, Transit](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)[Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) y VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html) 


****  

|  | 
| --- |
|  Etiqueta de nombre de la conexión entre pares: AWS-DS- VPC01 & - - -Peer AWS OnPrem VPC01 VPC (solicitante): vpc-xxxxxxxxxxxxxxxxx -DS- AWS VPC01 Cuenta: Mi Cuenta Región: Esta región VPC (Aceptador): vpc-xxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01  | 

Para obtener instrucciones sobre cómo crear una interconexión de VPC con otra VPC desde su cuenta, consulte [Crear una interconexión de VPC con otra VPC de su cuenta](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local).

**Paso 5: Agregar dos rutas a la tabla de enrutamiento principal de cada VPC**

Para que las pasarelas de Internet y la conexión de emparejamiento de VPC creadas en los pasos anteriores funcionen, tendrá que actualizar la tabla de enrutamiento principal de VPCs ambas mediante los parámetros especificados en la siguiente tabla. Agregará dos rutas: 0.0.0.0/0 que enrutará a todos los destinos no conocidos explícitamente en la tabla de enrutamiento y 10.0.0.0/16 o 10.100.0.0/16 que enrutará a cada VPC a través de la interconexión de VPC establecida anteriormente. 

Puede encontrar fácilmente la tabla de enrutamiento correcta para cada VPC filtrando la etiqueta de nombre de la VPC (AWS-DS- VPC01 o - -). AWS OnPrem VPC01


****  

|  AWS-DS- información sobre la ruta 1 VPC01   |  AWS-DS- información sobre la VPC01 ruta 2  |  AWS- OnPrem - Información de VPC01 la ruta 1  |  AWS- OnPrem - Información de VPC01 la ruta 2  | 
| --- | --- | --- | --- | 
|  Destino: 0.0.0.0/0 Objetivo: igw-xxxxxxxxxxxxxxxxx -DS- -IGW AWS VPC01  |  Destino: 10.100.0.0/16 Objetivo: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01  |  Destino: 0.0.0.0/0 Objetivo: igw-xxxxxxxxxxxxxxxxx AWS-Onprem- VPC01  |  Destino: 10.0.0.0/16 Objetivo: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01  | 

Para obtener instrucciones sobre cómo agregar rutas a una tabla de enrutamiento de VPC, consulte [Agregar y quitar rutas de una tabla de enrutamiento](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes).

## Creación de grupos de seguridad para instancias de Amazon EC2
<a name="createsecuritygroup"></a>

De forma predeterminada, AWS Managed Microsoft AD crea un grupo de seguridad para administrar el tráfico entre sus controladores de dominio. En esta sección, deberá crear dos grupos de seguridad (uno para cada VPC) que se utilizarán para administrar el tráfico dentro de su VPC para las instancias EC2 mediante los parámetros especificados en las tablas siguientes. También agregará una regla que permite la entrada RDP (3389) desde cualquier lugar y para todos los tipos de tráfico entrante desde la VPC local. Para obtener más información, consulte [Grupos de seguridad de Amazon EC2 para instancias de Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html).


****  

|  AWS Información del grupo de VPC01 seguridad -DS-:  | 
| --- | 
|  Nombre del grupo de seguridad: AWS DS Test Lab Security Group Descripción: Grupo de seguridad AWS DS Test Lab VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01  | 

**Reglas de entrada de grupos de seguridad para -DS- AWS VPC01**


****  

| Tipo | Protocolo | Intervalo de puertos | origen | Tipo de tráfico | 
| --- | --- | --- | --- | --- | 
| Regla TCP personalizada  | TCP | 3389 | Mi dirección IP | Escritorio remoto | 
| All Traffic | Todos | Todos | 10.0.0.0/16 | Todo el tráfico local de VPC | 

**Reglas de salida del grupo de seguridad para -DS- AWS VPC01**


****  

| Tipo | Protocolo | Rango de puerto | Destino | Tipo de tráfico | 
| --- | --- | --- | --- | --- | 
| All Traffic | Todos | Todos | 0.0.0.0/0 | Todo el tráfico | 


****  

| AWS- OnPrem - información del grupo VPC01 de seguridad: | 
| --- | 
|  Nombre del grupo de seguridad: AWS OnPrem Test Lab Security Group. Descripción: Grupo de seguridad de AWS OnPrem Test Lab. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

**Reglas de entrada de grupos de seguridad para - - AWS OnPrem VPC01**


****  

| Tipo | Protocolo | Intervalo de puertos | origen | Tipo de tráfico | 
| --- | --- | --- | --- | --- | 
| Regla TCP personalizada  | TCP | 3389 | Mi dirección IP | Escritorio remoto | 
| Regla TCP personalizada  | TCP | 53 | 10.0.0.0/16 | DNS | 
| Regla TCP personalizada  | TCP  | 88 | 10.0.0.0/16 | Kerberos | 
| Regla TCP personalizada  | TCP  | 389 | 10.0.0.0/16 | LDAP | 
| Regla TCP personalizada  | TCP | 464 | 10.0.0.0/16 | Cambiar/establecer contraseña de Kerberos | 
| Regla TCP personalizada  | TCP | 445 | 10.0.0.0/16 | SMB/CIFS | 
| Regla TCP personalizada  | TCP | 135 | 10.0.0.0/16 | Replicación | 
| Regla TCP personalizada  | TCP | 636 | 10.0.0.0/16 | LDAP SSL | 
| Regla TCP personalizada  | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC | 
| Regla TCP personalizada  | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC y LDAP GC SSL | 
| Regla UDP personalizada  | UDP | 53 | 10.0.0.0/16 | DNS | 
| Regla UDP personalizada  | UDP | 88 | 10.0.0.0/16 | Kerberos | 
| Regla UDP personalizada  | UDP | 123 | 10.0.0.0/16 | Hora de Windows | 
| Regla UDP personalizada  | UDP | 389 | 10.0.0.0/16 | LDAP | 
| Regla UDP personalizada  | UDP | 464 | 10.0.0.0/16 | Cambiar/establecer contraseña de Kerberos | 
| All Traffic | Todos | Todos | 10.100.0.0/16 | Todo el tráfico local de VPC | 

**Reglas de salida de grupos de seguridad para - - AWS OnPrem VPC01**


****  

| Tipo | Protocolo | Rango de puerto | Destino | Tipo de tráfico | 
| --- | --- | --- | --- | --- | 
| All Traffic | Todos | Todos | 0.0.0.0/0 | Todo el tráfico | 

Para obtener instrucciones detalladas sobre cómo crear y agregar reglas a los grupos de seguridad, consulte [Trabajar con grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups).

# Paso 2: Cree su Microsoft AD Active Directory AWS administrado
<a name="microsoftadbasestep2"></a>

Puede utilizar tres métodos diferentes para crear su directorio. Puede usar el Consola de administración de AWS procedimiento (recomendado para este tutorial) o puede usar los AWS Tools for Windows PowerShell procedimientos AWS CLI o para crear su directorio.

**Método 1: para crear el directorio AWS administrado de Microsoft AD (Consola de administración de AWS)**

1. En el [panel de navegación de la consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), elija **Directorios** y, a continuación, elija **Configurar directorio**.

1. En la página **Seleccionar tipo de directorio**, elija **AWS Managed Microsoft AD** y, a continuación, elija **Siguiente**.

1. En la página **Enter directory information (Especifique la información del directorio)**, proporcione la información siguiente y, a continuación, elija **Next (Siguiente)**.
   + En **Edition (Edición)**, seleccione la edición **Standard Edition** o **Enterprise Edition**. Para obtener más información acerca de las ediciones, consulte [AWS Directory Service para Microsoft Active Directory](what_is.md#microsoftad). 
   + En **Directory DNS name (Nombre de DNS del directorio)**, escriba **corp.example.com**.
   + En **Directory NetBIOS name (Nombre NetBIOS del directorio)**, escriba **corp**.
   + En **Directory description (Descripción del directorio)**, escriba **AWS DS Managed**.
   + En **Admin password**, escriba la contraseña que quiera usar para esta cuenta y escriba de nuevo la contraseña en **Confirm password**. Esta cuenta de **Admin** se crea automáticamente durante el proceso de creación del directorio. La contraseña no puede incluir la palabra *admin*. La contraseña del administrador del directorio distingue entre mayúsculas y minúsculas y debe tener 8 caracteres como mínimo y 64 como máximo. También debe contener al menos un carácter de tres de las siguientes categorías:
     + Letras minúsculas (a-z)
     + Letras mayúsculas (A-Z)
     + Números (0-9)
     + Caracteres no alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

1. En la página **Choose VPC and subnets (Elegir la VPC y las subredes)**, proporcione la siguiente información y, a continuación, elija **Next (Siguiente)**.
   + Para **VPC**, elija la opción que comience por **AWS-DS- VPC01** y termine por **(**10.0.0.0/16).
   + En **Subnets (Subredes)**, elija las subredes públicas **10.0.0.0/24** y **10.0.1.0/24**.

1. En la página **Review & create (Revisar y crear)**, revise la información del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, seleccione **Create directory (Crear directorio)**. Se tarda entre 20 y 40 minutos en crear el directorio. Una vez creado, el valor **Status** cambia a **Active**.

**Método 2: Para crear su Microsoft AD AWS administrado (PowerShell) (opcional)**

1. Abra PowerShell.

1. Escriba el siguiente comando. Asegúrese de utilizar los valores proporcionados en el paso 4 del Consola de administración de AWS procedimiento anterior.

   ```
   New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

**Método 3: Para crear su Microsoft AD AWS administrado (AWS CLI) (opcional)**

1. Abre el AWS CLI.

1. Escriba el siguiente comando. Asegúrese de utilizar los valores proporcionados en el paso 4 del Consola de administración de AWS procedimiento anterior.

   ```
   aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

# Paso 3: Implemente una instancia de Amazon EC2 para gestionar su Active Directory gestionado de AWS Microsoft AD
<a name="microsoftadbasestep3"></a>

Para este laboratorio, utilizamos instancias de Amazon EC2 que tienen direcciones IP públicas para facilitar el acceso a la instancia de administración desde cualquier lugar. En un entorno de producción, puede utilizar instancias que se encuentren en una VPC privada, accesibles únicamente a través de una VPN o un enlace de Direct Connect . No es necesario que la instancia tenga una dirección IP pública.

En esta sección, veremos las distintas tareas posteriores a la implementación necesarias para que los equipos clientes se conecten a su dominio con el servidor Windows Server de su nueva instancia EC2. Puede utilizar el servidor Windows Server en el siguiente paso para verificar que el laboratorio funcione.

## Opcional: cree un conjunto de opciones de DHCP en AWS-DS- VPC01 para su directorio
<a name="createdhcpoptionsset"></a>

En este procedimiento opcional, debe configurar un ámbito de opciones de DHCP para que las instancias EC2 de su VPC utilicen automáticamente su AWS Microsoft AD administrado para la resolución de DNS. Para obtener más información, consulte [Conjuntos de opciones de DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).

**Creación de un conjunto de opciones de DHCP para un directorio**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **DHCP Options Sets** y, a continuación, elija **Create DHCP options set**.

1. En la página **Create DHCP options set (Crear conjunto de opciones de DHCP)**, facilite los siguientes valores para el directorio:
   + En **Name (Nombre)**, escriba **AWS DS DHCP**.
   + En **Domain name (Nombre del dominio)**, escriba **corp.example.com**.
   + En **Domain name servers (Servidores de nombres de dominio)**, introduzca las direcciones IP de los servidores DNS de su directorio de AWS proporcionado. 
**nota**  
Para buscar estas direcciones, vaya a la página de Directory Service **directorios** y, a continuación, elija el ID de directorio correspondiente. En la página de **detalles**, identifique y utilice las IPs que aparecen en la **dirección DNS**.  
Como alternativa, para buscar estas direcciones, vaya a la página **Directorios** de Directory Service y, a continuación, elija el identificador de directorio correspondiente. A continuación, seleccione **Escalar y compartir**. En **Controladores de dominio**, identifique y utilice los IPs que aparecen en la **dirección IP**.
   + Deje las opciones en blanco para **NTP servers**, **NetBIOS name servers** y **NetBIOS node type**.

1. Seleccione **Create DHCP options set (Crear conjunto de opciones de DHCP)** y, a continuación, elija **Close (Cerrar)**. El nuevo conjunto de opciones de DHCP aparecerá en la lista de opciones de DHCP.

1. Anote el ID del nuevo conjunto de opciones de DHCP (**dopt- *xxxxxxxx***). Debe usarlo al final de este procedimiento para asociar el nuevo conjunto de opciones a su VPC.
**nota**  
La integración sencilla en un dominio funciona sin tener que configurar un conjunto de opciones DHCP. 

1. **En el panel de navegación, elija Su. VPCs**

1. En la lista de VPCs, seleccione **AWS DS VPC**, elija **Acciones** y, a continuación, elija **Editar conjunto de opciones de DHCP**.

1. En la página **Edit DHCP options set (Editar conjunto de opciones de DHCP)**, seleccione el conjunto de opciones registrado en el paso 5 y, a continuación, seleccione **Save (Guardar)**.

## Cree un rol para unir las instancias de Windows a su dominio de Microsoft AD AWS administrado
<a name="configureec2"></a>

Utilice este procedimiento para configurar un rol que vincula una instancia de Amazon EC2 en Windows a un dominio. Para obtener más información, consulte [Cómo unir una instancia Windows de Amazon EC2 a su Active Directory AWS administrado de Microsoft AD](launching_instance.md).

**Configuración de EC2 para unir instancias de Windows a su dominio**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. En **Seleccionar tipo de entidad de confianza**, seleccione **Servicio de AWS **.

1. Justo debajo de **Choose the service that will use this role (Elegir el servicio que utilizará este rol)**, elija **EC2** y, a continuación, elija **Next: Permissions (Siguiente: Permisos)**.

1. En la página **Attached permissions policy (Asociar política de permisos)**, haga lo siguiente:
   + Selecciona la casilla situada junto a la política SSMManaged InstanceCore gestionada por **Amazon**. Esta política proporciona los permisos mínimos necesarios para utilizar el servicio de Systems Manager.
   + Selecciona la casilla situada junto a Política SSMDirectory ServiceAccess gestionada por **Amazon**. La política proporciona los permisos para unir instancias a un Active Directory administrado por Directory Service.

   Para obtener información acerca de estas políticas administradas y otras políticas que puede asociar a un perfil de instancia de IAM de Systems Manager, consulte [Creación de un perfil de instancia de IAM para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) en la *Guía del usuario de AWS Systems Manager *. Para obtener más información sobre las políticas administradas, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

1. Elija **Next: Tags (Siguiente: Etiquetas)**.

1. (Opcional) Añada uno o varios pares clave-valor de etiqueta para organizar, realizar un seguimiento o controlar el acceso a este rol y, a continuación, elija **Next: Review (Siguiente: Revisar)**. 

1. En **Nombre del rol**, introduce un nombre para el rol que describa que se usa para unir instancias a un dominio, por ejemplo **EC2DomainJoin**.

1. (Opcional) En **Role description (Descripción del rol)**, escriba una descripción.

1. Elija **Create role**. El sistema le devuelve a la página **Roles**.

## Creación de una instancia de Amazon EC2 y vinculación automática al directorio
<a name="deployec2instance"></a>

En este procedimiento, configura un sistema Windows Server en una instancia de EC2 que se podrá utilizar posteriormente para administrar usuarios, grupos y políticas en el Active Directory. 

**Creación de una instancia EC2 y unión automática al directorio**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Elija **Iniciar instancia**.

1. En la página del **paso 1**, junto a **Microsoft Windows Server 2019 Base (ami), *xxxxxxxxxxxxxxxxx*** elija **Seleccionar**.

1. En la página **Step 2 (Paso 2)**, seleccione **t3.micro** (tenga en cuenta que puede elegir un tipo de instancia más grande) y después elija **Next: Configure Instance Details (Siguiente: Configurar detalles de instancia)**.

1. En la página **Step 3**, haga lo siguiente:
   + En **Red**, elija la VPC que termina en **AWS-DS- VPC01 (por ejemplo, vpc- *xxxxxxxxxxxxxxxxx*** **\$1 AWS-DS-)**. VPC01
   + En **Subred**, elija la **subred pública 1**, que debe estar preconfigurada para la zona de disponibilidad que prefiera (por ejemplo, **subnet** - \$1 -DS- -Subnet01 \$1). *xxxxxxxxxxxxxxxxx* AWS VPC01 *us-west-2a* 
   + Para **Auto-assign Public IP**, elija **Enable** (si el ajuste de subred no está establecido como habilitado de forma predeterminada).
   + **En el **directorio de unión de dominios**, elija corp.example.com (d-). *xxxxxxxxxx***
   + Para el **rol de IAM**, elige el nombre con el que le diste al rol de la instancia, por ejemplo. [Cree un rol para unir las instancias de Windows a su dominio de Microsoft AD AWS administrado](#configureec2) **EC2DomainJoin**
   + No cambie el resto de los valores predeterminados de los demás ajustes.
   + Elija **Siguiente: Añadir almacenamiento**.

1. En la página **Step 4**, deje la configuración predeterminada y, a continuación, elija **Next: Add Tags**.

1. En la página **Step 5**, elija **Add Tag**. En **Key (Clave)**, escriba **corp.example.com-mgmt** y, a continuación, elija **Next: Configure Security Group (Siguiente: Configurar grupo de seguridad)**.

1. En la página **Paso 6**, elija **Seleccionar un grupo de seguridad existente**, seleccione **Grupo de seguridad del laboratorio de pruebas de AWS DS** (que configuró anteriormente en el [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) y, a continuación, elija **Revisar y lanzar** para revisar la instancia.

1. En la página **Step 7**, revise la página y, a continuación, seleccione **Launch**.

1. En el cuadro de diálogo **Select an existing key pair or create a new key pair**, proceda del modo siguiente:
   + Elija **Choose an existing key pair**.
   + En **Seleccionar un par de claves**, elija **AWS-DS-KP**.
   + Active la casilla **I acknowledge...**.
   + Elija **Lanzar instancias**.

1. Elija **Ver instancias** para volver a la consola de Amazon EC2 y ver el estado de la implementación.

## Instalación de las herramientas de Active Directory en su instancia de EC2
<a name="installadtools"></a>

Puede elegir entre dos métodos para instalar las herramientas de administración del dominio de Active Directory en su instancia EC2. Puede utilizar la interfaz de usuario de Server Manager (recomendada para este tutorial) o PowerShell.

**Para instalar las herramientas de Active Directory en su instancia de EC2 (Server Manager)**

1. En la consola de Amazon EC2, elija **Instancias**, seleccione la instancia que acaba de crear y, a continuación, elija **Conectar**. 

1. En el cuadro de diálogo **Conectar s su instancia**, elija **Obtener contraseña** para recuperar la contraseña si no lo ha hecho aún y, a continuación, elija **Descargar archivo de escritorio remoto**. 

1. En el cuadro de diálogo **Windows Security (Seguridad de Windows)**, escriba sus credenciales de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo, **administrator**).

1. En el menú **Inicio**, elija **Administrador del servidor**.

1. En **Panel**, elija **Agregar roles y características**.

1. En **Asistente para agregar roles y características**, elija **Siguiente**. 

1. En la página **Seleccionar tipo de instalación**, elija **Instalación basada en características o en roles** y, a continuación, elija **Siguiente**.

1. En la página **Seleccionar servidor de destino**, asegúrese de que se selecciona el servidor local y, a continuación, elija **Siguiente**.

1. En la página **\$1Seleccionar roles de servidor**, elija **Siguiente**. 

1. En la página **Seleccionar características**, haga lo siguiente:
   + Active la casilla de verificación **Administración de directivas de grupo**.
   + Amplíe **Herramientas de administración remota del servidor** y, a continuación, expanda **Herramientas de administración de roles**.
   + Active la casilla de verificación **Herramientas de AD DS y AD LDS**.
   + Active la casilla de verificación de **herramientas de servidor DNS**.
   + Elija **Siguiente**.

1. En la página de **Confirmar selecciones de instalación**, revise la información y seleccione **Instalar**. Cuando haya terminado la instalación de la característica, las siguientes herramientas o complementos estarán disponibles en la carpeta Herramientas administrativas de Windows en el menú Inicio. 
   + Centro de administración de Active Directory
   + Dominios y relaciones de confianza de Active Directory
   + Módulo del Active Directory para PowerShell
   + Sitios y servicios de Active Directory
   + Usuarios y equipos de Active Directory
   + Edición ADSI
   + DNS
   + Administración de políticas de grupo

**Instalación de las herramientas del Active Directory en su instancia de EC2 (PowerShell) (opcional)**

1. Inicie PowerShell.

1. Escriba el siguiente comando. 

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```

# Paso 4: verificación de que el laboratorio de pruebas base esté operativo
<a name="microsoftadbasestep4"></a>

Utilice el siguiente procedimiento para verificar que el laboratorio de pruebas se ha configurado correctamente antes de agregar módulos de guía adicionales del laboratorio de pruebas. Este procedimiento comprueba que Windows Server esté configurado correctamente, que se pueda conectar al dominio corp.example.com y que se utilice para administrar el bosque administrado de AWS Microsoft AD. 

**Verificación de que el laboratorio de pruebas esté operativo**

1. Cierre sesión en la instancia EC2 en la que hubiera iniciado sesión como administrador local. 

1. En la consola de Amazon EC2, elija **Instancias** en el panel de navegación. A continuación, seleccione la instancia que creó. Elija **Conectar**. 

1. En el cuadro de diálogo **Connect To Your Instance**, elija **Download Remote Desktop File**. 

1. En el cuadro de diálogo **Windows Security (Seguridad de Windows)**, escriba sus credenciales de administrador para el dominio CORP para iniciar sesión (por ejemplo, **corp\$1admin**).

1. Una vez que haya iniciado sesión, en el menú **Inicio**, bajo **Herramientas administrativas de Windows**, seleccione **Usuarios y equipos de Active Directory**. 

1. Debería aparecer **corp.example.com** con todas las cuentas predeterminadas OUs y asociadas a un nuevo dominio. En **Controladores de dominio**, observe los nombres de los controladores de dominio que se crearon automáticamente al crear su Microsoft AD AWS administrado en el paso 2 de este tutorial. 

¡Enhorabuena\$1 Ya se ha configurado su entorno de laboratorio de pruebas base AWS administrado de Microsoft AD. Está preparado para empezar a agregar el siguiente laboratorio de pruebas de la serie.

Siguiente tutorial: [Tutorial: Creación de una confianza desde Microsoft AD AWS gestionado a una instalación autogestionada de Active Directory en Amazon EC2](ms_ad_tutorial_test_lab_trust.md)

# Tutorial: Creación de una confianza desde Microsoft AD AWS gestionado a una instalación autogestionada de Active Directory en Amazon EC2
<a name="ms_ad_tutorial_test_lab_trust"></a>

En este tutorial, aprenderá a crear una confianza entre el bosque de AWS Directory Service para Microsoft Active Directory que creó en el [tutorial básico](ms_ad_tutorial_test_lab_base.md). También aprenderá a crear un nuevo bosque de Active Directory nativo en un servidor Windows Server en Amazon EC2. Como se muestra en la siguiente ilustración, el laboratorio que cree a partir de este tutorial es el segundo componente necesario para configurar un laboratorio de pruebas de Microsoft AD AWS administrado completo. Puede usar el laboratorio de pruebas para probar sus soluciones basadas exclusivamente en la nube o en la nube híbrida AWS . 

Solo deberá crear este tutorial una vez. A continuación, podrá añadir tutoriales opcionales cuando sea necesario para conseguir más experiencia.

![\[Pasos para crear una relación de confianza desde un Microsoft Active Directory hacia un Active Directory autoadministrado: configure el entorno, cree un Microsoft Active Directory, implemente una instancia de Amazon EC2 y pruebe el laboratorio.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)


**[Paso 1: configuración del entorno para las relaciones de confianza](microsoftadtruststep1.md)**  
Antes de poder establecer relaciones de confianza entre un nuevo bosque de Active Directory y el bosque de AWS Managed Microsoft AD que creó en el [Tutorial básico](ms_ad_tutorial_test_lab_base.md), tiene que preparar su entorno de Amazon EC2. Para ello, primero deberá crear un servidor Windows Server 2019, promocionar ese servidor a un controlador de dominio y, a continuación, configurar su VPC en consecuencia.

**[Paso 2: creación de las relaciones de confianza](microsoftadtruststep2.md)**  
En este paso, creará una relación de confianza bidireccional entre el bosque de Active Directory recién creado alojado en Amazon EC2 y el bosque AWS gestionado de Microsoft AD en. AWS

**[Paso 3: comprobación de la relación de confianza](microsoftadtruststep3.md)**  
Por último, como administrador, utiliza la Directory Service consola para comprobar que las nuevas confianzas están operativas.

# Paso 1: configuración del entorno para las relaciones de confianza
<a name="microsoftadtruststep1"></a>

En esta sección, configurará su entorno Amazon EC2, implementará su nuevo bosque y preparará su VPC para las confianzas. AWS

![\[Utilice un entorno de Amazon EC2 con Amazon VPC, subredes y puertas de enlace de Internet para implementar un nuevo bosque y establecer una relación de confianza.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


## Creación de una instancia de EC2 de Windows Server 2019
<a name="createkeypair1"></a>

Siga este procedimiento para crear un servidor miembro de Windows Server 2019 en Amazon EC2. 

**Creación de una instancia EC2 de Windows Server 2019**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En la consola de Amazon EC2, elija **Launch Instance**.

1. En la página del **paso 1**, busque **Microsoft Windows Server 2019 Base - ami- *xxxxxxxxxxxxxxxxx*** en la lista. A continuación, elija **Seleccionar**.

1. En la página **Step 2**, seleccione **t2.large** y, a continuación, elija **Next: Configure Instance Details**.

1. En la página **Step 3**, haga lo siguiente:
   + Para **Network**, seleccione **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem - VPC01** (que configuró anteriormente en el [tutorial básico](microsoftadbasestep1.md#createvpc)).
   + Para **Subnet**, seleccione **subnet- *xxxxxxxxxxxxxxxxx* \$1 AWS- - VPC01 -Subnet01 \$1 OnPrem - -**. AWS OnPrem VPC01
   + En la lista **Auto-assign Public IP**, elija **Enable** (si el ajuste de subred no está ajustado en **Enable** de forma predeterminada).
   + No cambie el resto de los valores predeterminados de los demás ajustes.
   + Elija **Siguiente: Añadir almacenamiento**.

1. En la página **Step 4**, deje la configuración predeterminada y, a continuación, elija **Next: Add Tags**.

1. En la página **Step 5**, elija **Add Tag**. En **Key (Clave)**, escriba **example.local-DC01** y, a continuación, elija **Next: Configure Security Group (Siguiente: Configurar grupo de seguridad)**.

1. En la página **Paso 6**, elija **Seleccionar un grupo de seguridad existente**, seleccione **Grupo de seguridad del laboratorio de pruebas de AWS On-Prem** (que configuró anteriormente en el [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) y, a continuación, elija **Revisar y lanzar** para revisar la instancia.

1. En la página **Step 7**, revise la página y, a continuación, seleccione **Launch**.

1. En el cuadro de diálogo **Select an existing key pair or create a new key pair**, proceda del modo siguiente:
   + Elija **Choose an existing key pair**.
   + En **Seleccionar un par de claves**, elija **AWS-DS-KP** (que configuró anteriormente en el [Tutorial básico](microsoftadbasestep1.md#createkeypair2)).
   + Active la casilla **I acknowledge...**.
   + Elija **Lanzar instancias**.

1. Elija **Ver instancias** para volver a la consola de Amazon EC2 y ver el estado de la implementación.

## Promoción de su servidor a controlador de dominio
<a name="promoteserver"></a>

Antes de poder crear relaciones de confianza, debe crear e implementar el primer controlador de dominio para un nuevo bosque. Durante este proceso, puede configurar un nuevo bosque de Active Directory, instalar DNS y establecer este servidor para usar el servidor DNS local para la resolución de nombres. Debe reiniciar el servidor al final de este procedimiento.

**nota**  
Si desea crear un controlador de dominio que se AWS replique con su red local, primero debe unir manualmente la instancia EC2 a su dominio local. Hecho esto, podrá promocionar el servidor a un controlador de dominio.

**Para promocionar su servidor a un controlador de dominio**

1. En la consola de Amazon EC2, elija **Instancias**, seleccione la instancia que acaba de crear y, a continuación, elija **Conectar**. 

1. En el cuadro de diálogo **Connect To Your Instance**, elija **Download Remote Desktop File**. 

1. En el cuadro de diálogo **Windows Security (Seguridad de Windows)**, escriba sus credenciales de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo, **administrator**). Si aún no tiene la contraseña de administrador local, vuelva a la consola de Amazon EC2, haga clic con el botón derecho en la instancia y elija **Obtener contraseña de Windows**. Vaya a su archivo `AWS DS KP.pem` o a su clave personal `.pem` y, a continuación, elija **Decrypt Password**.

1. En el menú **Inicio**, elija **Administrador del servidor**.

1. En **Panel**, elija **Agregar roles y características**.

1. En **Asistente para agregar roles y características**, elija **Siguiente**. 

1. En la página **Seleccionar tipo de instalación**, elija **Instalación basada en características o en roles** y, a continuación, elija **Siguiente**.

1. En la página **Seleccionar servidor de destino**, asegúrese de que se selecciona el servidor local y, a continuación, elija **Siguiente**.

1. En la página **Seleccionar roles de servidor**, seleccione **Servicios de dominio de Active Directory**. En el cuadro de diálogo **Asistente para agregar roles y características**, compruebe que se activa la casilla **Incluir herramientas de administración (si es aplicable)**. Elija **Agregar características** y, luego, seleccione **Siguiente**.

1. En la página **Seleccionar características**, elija **Siguiente**. 

1. En la página **Servicios de dominio de Active Directory**, elija **Siguiente**.

1. En la página **Confirmar selecciones de instalación**, elija **Instalar**.

1. Una vez instalados los binarios de Active Directory, elija **Cerrar**.

1. Al abrirse el administrador del servidor, busque una marca en la parte superior junto a la palabra **Administrar**. Cuando esta marca pase a color amarillo, el servidor estará listo para promocionarse. 

1. Elija la marca amarilla y, a continuación, elija **Promover este servidor a controlador de dominio**.

1. En la página **Configuración de implementación**, elija **Agregar un nuevo bosque**. En **Nombre del dominio raíz**, escriba **example.local** y, a continuación, elija **Siguiente**.

1. En la página **Opciones del controlador de dominio**, haga lo siguiente:
   + Tanto en **Nivel funcional de bosque** como en **Nivel funcional del dominio**, elija **Windows Server 2016**.
   + En **Especificar capacidades del controlador de dominio**, verifique que tanto el **Servidor DNS** como el **Catálogo global (GC)** estén seleccionados.
   + Escriba y, a continuación, confirme una contraseña de Directory Services Restore Mode (DSRM). A continuación, elija **Siguiente**.

1. En la página **Opciones de DNS**, ignore la advertencia sobre delegación y elija **Siguiente**.

1. **En la página de **opciones adicionales**, asegúrese de que EXAMPLE aparezca como nombre de dominio.** NetBios 

1. En la página **Rutas**, deje los valores predeterminados y seleccione **Siguiente**.

1. En la página **Revisar opciones**, seleccione **Siguiente**. El servidor realiza ahora comprobaciones para asegurarse de que se cumplen todos los requisitos previos para el controlador de dominio. Si bien pueden aparecer algunas advertencias, puede ignorarlas de forma segura. 

1. Elija **Instalar**. Una vez realizada la instalación, el servidor se reinicia y, a continuación, pasa a ser un controlador de dominio funcional.

## Configure la VPC
<a name="configurevpc1"></a>

Los tres procedimientos siguientes le guían a través de los pasos para configurar su VPC a fin de establecer conectividad con AWS.

**Configuración de las reglas de salida de la VPC**

1. [En la [AWS Directory Service consola](https://console.aws.amazon.com/directoryservicev2/), anote el ID del directorio AWS administrado de Microsoft AD para corp.example.com que creó anteriormente en el tutorial básico.](microsoftadbasestep2.md)

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Grupos de seguridad**.

1. Busca tu ID de directorio AWS administrado de Microsoft AD. En los resultados de la búsqueda, seleccione el elemento con la descripción: **grupo de seguridad AWS creado para los controladores de *xxxxxx* directorio d-**.
**nota**  
Este grupo de seguridad se creó automáticamente en el momento de crearse su directorio.

1. Elija la pestaña **Outbound Rules** en ese grupo de seguridad. Elija **Edit** y **Add another rule** y, a continuación, añada los siguientes valores:
   + En **Type**, seleccione **All Traffic**.
   + En **Destination**, escriba **0.0.0.0/0**.
   + No cambie el resto de los valores predeterminados de los demás ajustes.
   + Seleccione **Guardar**.

**Para comprobar que la autenticación previa de Kerberos está habilitada**

1. En el controlador de dominio **example.local**, abra **Administrador del servidor**.

1. En el menú **Herramientas**, elija **Usuarios y equipos de Active Directory**.

1. Vaya al directorio **Usuarios**, haga clic con el botón derecho en cualquier usuario y seleccione **Propiedades** y, a continuación, elija la pestaña **Cuenta**. En la lista **Opciones de la cuenta**, desplácese hacia abajo y asegúrese de que **No pedir la autenticación Kerberos previa** **no** esté seleccionado.

1. Siga los mismos pasos para el dominio **corp.example.com** en la instancia de **corp.example.com-mgmt **.

**Configuración de programas de envío condicionales DNS**
**nota**  
Un reenviador condicional es un servidor DNS en una red que se utiliza para reenviar consultas DNS según el nombre de dominio DNS de la consulta. Por ejemplo, un servidor DNS puede configurarse para reenviar todas las consultas que recibe para los nombres que terminan con widgets.example.com a la dirección IP de un servidor DNS específico o a las direcciones IP de varios servidores DNS.

1. Abra la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).

1. En el panel de navegación, elija **Directories (Directorios)**.

1. Seleccione el **ID de directorio** de su Microsoft AD AWS administrado.

1. Tome nota del nombre de dominio completo (FQDN), **corp.example.com**, y las direcciones DNS de su directorio.

1. Ahora, vuelva a su controlador de dominio **example.local** y, a continuación, abra **Administrador del servidor**.

1. En el menú **Herramientas**, elija **DNS**.

1. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la confianza y vaya a **Reenviadores condicionales**.

1. Haga clic con el botón derecho en **Reenviadores condicionales** y, a continuación, elija **Nuevo reenviador condicional**.

1. En Dominio DNS, escriba **corp.example.com**.

1. En **Direcciones IP de los servidores principales**, seleccione **<Haga clic aquí para añadir... **>, escriba la primera dirección DNS del directorio AWS administrado de Microsoft AD (que anotó en el procedimiento anterior) y, a continuación, presione **Entrar**. Haga lo mismo para la segunda dirección DNS. Después de escribir las direcciones DNS, es posible que aparezca un error que indique que se ha agotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.

1. Active la casilla **Almacenar este reenviador condicional en Active Directory y replicarlo como sigue**. En el menú desplegable, elija **Todos los servidores DNS en este bosque** y, a continuación, elija **Aceptar**.

# Paso 2: creación de las relaciones de confianza
<a name="microsoftadtruststep2"></a>

En esta sección creará dos relaciones de confianza entre bosques independientes. Una confianza se crea a partir del dominio de Active Directory de la instancia EC2 y la otra a partir de su Microsoft AD AWS administrado en AWS.

![\[Relación de confianza bidireccional entre corp.example.com y example.local\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)


**Para crear la confianza de su dominio EC2 a su Microsoft AWS AD administrado**

1. Inicie sesión en **example.local**.

1. Abra **Administrador del servidor** y, en el árbol de la consola, elija **DNS**. Tome nota de la IPv4 dirección que aparece para el servidor. La necesitará en el siguiente procedimiento cuando cree un programa de envío condicional a partir de **corp.example.com** para el directorio **example.local**.

1. En el menú **Herramientas**, elija **Dominios y confianzas de Active Directory**.

1. En el árbol de la consola, haga clic con el botón derecho en **example.local** y, a continuación, elija **Propiedades**.

1. En la pestaña **Confianzas**, elija **Nueva confianza** y, a continuación, elija **Siguiente**.

1. En la página **Nombre de confianza**, escriba **corp.example.com** y, a continuación, elija **Siguiente**.

1. En la página **Tipo de confianza**, elija **Confianza de bosque** y, a continuación, elija **Siguiente**.
**nota**  
AWS Managed Microsoft AD también admite confianzas externas. Sin embargo, para este tutorial, creará una relación de confianza bidireccional entre bosques.

1. En la página **Dirección de confianza**, elija **Bidireccional** y, a continuación, elija **Siguiente**.
**nota**  
Si decide más adelante probar esto con una relación de confianza unidireccional en su lugar, asegúrese de que las direcciones de la relación de confianza estén configuradas correctamente (salientes en el dominio origen de la confianza, entrantes en el dominio destino de la confianza). Para obtener información general, consulte [Descripción de la dirección de la relación de confianza](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) en el sitio web de Microsoft.

1. En la página **Partes de la relación de confianza**, elija **Solo este dominio** y, a continuación, elija **Siguiente**.

1. En la página **Nivel de autenticación de confianza saliente**, elija **autenticación en todo el bosque** y, a continuación, elija **Siguiente**.
**nota**  
Aunque encuentre **Selective authentication (Autenticación selectiva)** como opción, por motivos de simplicidad, le recomendamos que no la habilite en este momento. Cuando se configura, restringe el acceso a través de una relación de confianza externa o de bosque solo a los usuarios de un dominio o bosque de confianza a los que se hayan concedido explícitamente permisos de autenticación a objetos de equipo (equipos de recursos) que residen en el dominio o bosque de confianza. Para obtener más información, consulte [Configurar la autenticación selectiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).

1. En la página **Contraseña de la confianza**, escriba la contraseña de confianza dos veces y, a continuación, elija **Siguiente**. Usará esta misma contraseña en el siguiente procedimiento.

1. En la página **Se ha completado la selección de confianzas**, revise los resultados y, a continuación, elija **Siguiente**.

1. En la página **Se ha completado la creación de confianzas**, revise los resultados y, a continuación, elija **Siguiente**.

1. En la página **Confirmar confianza saliente**, elija **No, no confirmar la confianza saliente**. A continuación, elija **Siguiente**.

1. En la página **Confirmar confianza entrante**, elija **No, no confirmar la confianza entrante**. A continuación, elija **Siguiente**.

1. En la página **Finalización del Asistente para nueva confianza**, elija **Finalizar**.

**nota**  
Las relaciones de confianza son una característica global de AWS Managed Microsoft AD. Si está utilizando [Configurar la replicación multirregional para Microsoft AWS AD administrado](ms_ad_configure_multi_region_replication.md), se deben seguir estos procedimientos en [Región principal](multi-region-global-primary-additional.md#multi-region-primary). Los cambios se aplicarán automáticamente en todas las regiones replicadas. Para obtener más información, consulte [Características globales frente a las regionales](multi-region-global-region-features.md).

**Para crear la confianza de su Microsoft AD AWS administrado a su dominio EC2**

1. Abra la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).

1. Elija el directorio **corp.example.com**.

1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
   + Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región principal y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
   + Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.

1. En la sección **Trust relationships (Relaciones de confianza)**, elija **Actions (Acciones)** y, a continuación, seleccione **Add trust relationship (Añadir relación de confianza)**.

1. En el cuadro de diálogo **Add a trust relationship**, haga lo siguiente:
   + En **Trust type (Tipo de relación de confianza)** seleccione **Forest trust (Confianza de bosque)**.
**nota**  
Asegúrese de que el **tipo de confianza** que elija aquí coincida con el mismo tipo de confianza configurado en el procedimiento anterior (para crear la confianza de su dominio EC2 en su Microsoft AD AWS administrado).
   + En **Existing or new remote domain name (Nombre de dominio remoto existente o nuevo)**, escriba **example.local**.
   + En **Trust password**, escriba la misma contraseña que proporcionó en el procedimiento anterior.
   + En **Trust direction (Dirección de confianza)**, seleccione **Two-way (Bidireccional)**.
**nota**  
Si decide más adelante probar esto con una relación de confianza unidireccional en su lugar, asegúrese de que las direcciones de la relación de confianza estén configuradas correctamente (salientes en el dominio origen de la confianza, entrantes en el dominio destino de la confianza). Para obtener información general, consulte [Descripción de la dirección de la relación de confianza](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) en el sitio web de Microsoft.
Aunque encuentre **Selective authentication (Autenticación selectiva)** como opción, por motivos de simplicidad, le recomendamos que no la habilite en este momento. Cuando se configura, restringe el acceso a través de una relación de confianza externa o de bosque solo a los usuarios de un dominio o bosque de confianza a los que se hayan concedido explícitamente permisos de autenticación a objetos de equipo (equipos de recursos) que residen en el dominio o bosque de confianza. Para obtener más información, consulte [Configurar la autenticación selectiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
   + En **Conditional forwarder (Reenviador condicional)**, escriba la dirección IP de su servidor DNS en el bosque **example.local** (que anotó en el procedimiento anterior). 
**nota**  
Un reenviador condicional es un servidor DNS en una red que se utiliza para reenviar consultas DNS según el nombre de dominio DNS de la consulta. Por ejemplo, un servidor DNS puede configurarse para reenviar todas las consultas que recibe para los nombres que terminan con widgets.example.com a la dirección IP de un servidor DNS específico o a las direcciones IP de varios servidores DNS.

1. Elija **Añadir**. 

# Paso 3: comprobación de la relación de confianza
<a name="microsoftadtruststep3"></a>

En esta sección probará si las relaciones de confianza se configuraron correctamente entre AWS y Active Directory en Amazon EC2.

**Verificación de la confianza**

1. Abra la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).

1. Elija el directorio **corp.example.com**.

1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
   + Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región principal y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
   + Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.

1. En la sección **Trust relationships (Relaciones de confianza)**, seleccione la relación de confianza que acaba de crear.

1. Elija **Actions** y, a continuación, elija **Verify trust relationship**.

Una vez completada la verificación, debería ver **Verified** bajo la columna **Status**. 

¡Enhorabuena por completar este tutorial\$1 Ahora tiene un entorno de Active Directory de bosques múltiples totalmente funcional a partir del cual puede empezar a probar diversos escenarios. Están previstos tutoriales del laboratorio de prueba adicionales en 2018, de modo que consulte de vez en cuando para ver las novedades.