Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Tutorial: Creación de una confianza desde Microsoft AD AWS gestionado a una instalación autogestionada de Active Directory en Amazon EC2
En este tutorial, aprenderá a crear una confianza entre el bosque de AWS Directory Service para Microsoft Active Directory que creó en el [tutorial básico](ms_ad_tutorial_test_lab_base.md). También aprenderá a crear un nuevo bosque de Active Directory nativo en un servidor Windows Server en Amazon EC2. Como se muestra en la siguiente ilustración, el laboratorio que cree a partir de este tutorial es el segundo componente necesario para configurar un laboratorio de pruebas de Microsoft AD AWS administrado completo. Puede usar el laboratorio de pruebas para probar sus soluciones basadas exclusivamente en la nube o en la nube híbrida AWS .
Solo deberá crear este tutorial una vez. A continuación, podrá añadir tutoriales opcionales cuando sea necesario para conseguir más experiencia.
![\[Pasos para crear una relación de confianza desde un Microsoft Active Directory hacia un Active Directory autoadministrado: configure el entorno, cree un Microsoft Active Directory, implemente una instancia de Amazon EC2 y pruebe el laboratorio.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)
**[Paso 1: configuración del entorno para las relaciones de confianza](microsoftadtruststep1.md)**
Antes de poder establecer relaciones de confianza entre un nuevo bosque de Active Directory y el bosque de AWS Managed Microsoft AD que creó en el [Tutorial básico](ms_ad_tutorial_test_lab_base.md), tiene que preparar su entorno de Amazon EC2. Para ello, primero deberá crear un servidor Windows Server 2019, promocionar ese servidor a un controlador de dominio y, a continuación, configurar su VPC en consecuencia.
**[Paso 2: creación de las relaciones de confianza](microsoftadtruststep2.md)**
En este paso, creará una relación de confianza bidireccional entre el bosque de Active Directory recién creado alojado en Amazon EC2 y el bosque AWS gestionado de Microsoft AD en. AWS
**[Paso 3: comprobación de la relación de confianza](microsoftadtruststep3.md)**
Por último, como administrador, utiliza la Directory Service consola para comprobar que las nuevas confianzas están operativas.
# Paso 1: configuración del entorno para las relaciones de confianza
En esta sección, configurará su entorno Amazon EC2, implementará su nuevo bosque y preparará su VPC para las confianzas. AWS
![\[Utilice un entorno de Amazon EC2 con Amazon VPC, subredes y puertas de enlace de Internet para implementar un nuevo bosque y establecer una relación de confianza.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
## Creación de una instancia de EC2 de Windows Server 2019
Siga este procedimiento para crear un servidor miembro de Windows Server 2019 en Amazon EC2.
**Creación de una instancia EC2 de Windows Server 2019**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En la consola de Amazon EC2, elija **Launch Instance**.
1. En la página del **paso 1**, busque **Microsoft Windows Server 2019 Base - ami- *xxxxxxxxxxxxxxxxx*** en la lista. A continuación, elija **Seleccionar**.
1. En la página **Step 2**, seleccione **t2.large** y, a continuación, elija **Next: Configure Instance Details**.
1. En la página **Step 3**, haga lo siguiente:
+ Para **Network**, seleccione **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem - VPC01** (que configuró anteriormente en el [tutorial básico](microsoftadbasestep1.md#createvpc)).
+ Para **Subnet**, seleccione **subnet- *xxxxxxxxxxxxxxxxx* \$1 AWS- - VPC01 -Subnet01 \$1 OnPrem - -**. AWS OnPrem VPC01
+ En la lista **Auto-assign Public IP**, elija **Enable** (si el ajuste de subred no está ajustado en **Enable** de forma predeterminada).
+ No cambie el resto de los valores predeterminados de los demás ajustes.
+ Elija **Siguiente: Añadir almacenamiento**.
1. En la página **Step 4**, deje la configuración predeterminada y, a continuación, elija **Next: Add Tags**.
1. En la página **Step 5**, elija **Add Tag**. En **Key (Clave)**, escriba **example.local-DC01** y, a continuación, elija **Next: Configure Security Group (Siguiente: Configurar grupo de seguridad)**.
1. En la página **Paso 6**, elija **Seleccionar un grupo de seguridad existente**, seleccione **Grupo de seguridad del laboratorio de pruebas de AWS On-Prem** (que configuró anteriormente en el [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) y, a continuación, elija **Revisar y lanzar** para revisar la instancia.
1. En la página **Step 7**, revise la página y, a continuación, seleccione **Launch**.
1. En el cuadro de diálogo **Select an existing key pair or create a new key pair**, proceda del modo siguiente:
+ Elija **Choose an existing key pair**.
+ En **Seleccionar un par de claves**, elija **AWS-DS-KP** (que configuró anteriormente en el [Tutorial básico](microsoftadbasestep1.md#createkeypair2)).
+ Active la casilla **I acknowledge...**.
+ Elija **Lanzar instancias**.
1. Elija **Ver instancias** para volver a la consola de Amazon EC2 y ver el estado de la implementación.
## Promoción de su servidor a controlador de dominio
Antes de poder crear relaciones de confianza, debe crear e implementar el primer controlador de dominio para un nuevo bosque. Durante este proceso, puede configurar un nuevo bosque de Active Directory, instalar DNS y establecer este servidor para usar el servidor DNS local para la resolución de nombres. Debe reiniciar el servidor al final de este procedimiento.
**nota**
Si desea crear un controlador de dominio que se AWS replique con su red local, primero debe unir manualmente la instancia EC2 a su dominio local. Hecho esto, podrá promocionar el servidor a un controlador de dominio.
**Para promocionar su servidor a un controlador de dominio**
1. En la consola de Amazon EC2, elija **Instancias**, seleccione la instancia que acaba de crear y, a continuación, elija **Conectar**.
1. En el cuadro de diálogo **Connect To Your Instance**, elija **Download Remote Desktop File**.
1. En el cuadro de diálogo **Windows Security (Seguridad de Windows)**, escriba sus credenciales de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo, **administrator**). Si aún no tiene la contraseña de administrador local, vuelva a la consola de Amazon EC2, haga clic con el botón derecho en la instancia y elija **Obtener contraseña de Windows**. Vaya a su archivo `AWS DS KP.pem` o a su clave personal `.pem` y, a continuación, elija **Decrypt Password**.
1. En el menú **Inicio**, elija **Administrador del servidor**.
1. En **Panel**, elija **Agregar roles y características**.
1. En **Asistente para agregar roles y características**, elija **Siguiente**.
1. En la página **Seleccionar tipo de instalación**, elija **Instalación basada en características o en roles** y, a continuación, elija **Siguiente**.
1. En la página **Seleccionar servidor de destino**, asegúrese de que se selecciona el servidor local y, a continuación, elija **Siguiente**.
1. En la página **Seleccionar roles de servidor**, seleccione **Servicios de dominio de Active Directory**. En el cuadro de diálogo **Asistente para agregar roles y características**, compruebe que se activa la casilla **Incluir herramientas de administración (si es aplicable)**. Elija **Agregar características** y, luego, seleccione **Siguiente**.
1. En la página **Seleccionar características**, elija **Siguiente**.
1. En la página **Servicios de dominio de Active Directory**, elija **Siguiente**.
1. En la página **Confirmar selecciones de instalación**, elija **Instalar**.
1. Una vez instalados los binarios de Active Directory, elija **Cerrar**.
1. Al abrirse el administrador del servidor, busque una marca en la parte superior junto a la palabra **Administrar**. Cuando esta marca pase a color amarillo, el servidor estará listo para promocionarse.
1. Elija la marca amarilla y, a continuación, elija **Promover este servidor a controlador de dominio**.
1. En la página **Configuración de implementación**, elija **Agregar un nuevo bosque**. En **Nombre del dominio raíz**, escriba **example.local** y, a continuación, elija **Siguiente**.
1. En la página **Opciones del controlador de dominio**, haga lo siguiente:
+ Tanto en **Nivel funcional de bosque** como en **Nivel funcional del dominio**, elija **Windows Server 2016**.
+ En **Especificar capacidades del controlador de dominio**, verifique que tanto el **Servidor DNS** como el **Catálogo global (GC)** estén seleccionados.
+ Escriba y, a continuación, confirme una contraseña de Directory Services Restore Mode (DSRM). A continuación, elija **Siguiente**.
1. En la página **Opciones de DNS**, ignore la advertencia sobre delegación y elija **Siguiente**.
1. **En la página de **opciones adicionales**, asegúrese de que EXAMPLE aparezca como nombre de dominio.** NetBios
1. En la página **Rutas**, deje los valores predeterminados y seleccione **Siguiente**.
1. En la página **Revisar opciones**, seleccione **Siguiente**. El servidor realiza ahora comprobaciones para asegurarse de que se cumplen todos los requisitos previos para el controlador de dominio. Si bien pueden aparecer algunas advertencias, puede ignorarlas de forma segura.
1. Elija **Instalar**. Una vez realizada la instalación, el servidor se reinicia y, a continuación, pasa a ser un controlador de dominio funcional.
## Configure la VPC
Los tres procedimientos siguientes le guían a través de los pasos para configurar su VPC a fin de establecer conectividad con AWS.
**Configuración de las reglas de salida de la VPC**
1. [En la [AWS Directory Service consola](https://console.aws.amazon.com/directoryservicev2/), anote el ID del directorio AWS administrado de Microsoft AD para corp.example.com que creó anteriormente en el tutorial básico.](microsoftadbasestep2.md)
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Busca tu ID de directorio AWS administrado de Microsoft AD. En los resultados de la búsqueda, seleccione el elemento con la descripción: **grupo de seguridad AWS creado para los controladores de *xxxxxx* directorio d-**.
**nota**
Este grupo de seguridad se creó automáticamente en el momento de crearse su directorio.
1. Elija la pestaña **Outbound Rules** en ese grupo de seguridad. Elija **Edit** y **Add another rule** y, a continuación, añada los siguientes valores:
+ En **Type**, seleccione **All Traffic**.
+ En **Destination**, escriba **0.0.0.0/0**.
+ No cambie el resto de los valores predeterminados de los demás ajustes.
+ Seleccione **Guardar**.
**Para comprobar que la autenticación previa de Kerberos está habilitada**
1. En el controlador de dominio **example.local**, abra **Administrador del servidor**.
1. En el menú **Herramientas**, elija **Usuarios y equipos de Active Directory**.
1. Vaya al directorio **Usuarios**, haga clic con el botón derecho en cualquier usuario y seleccione **Propiedades** y, a continuación, elija la pestaña **Cuenta**. En la lista **Opciones de la cuenta**, desplácese hacia abajo y asegúrese de que **No pedir la autenticación Kerberos previa** **no** esté seleccionado.
1. Siga los mismos pasos para el dominio **corp.example.com** en la instancia de **corp.example.com-mgmt **.
**Configuración de programas de envío condicionales DNS**
**nota**
Un reenviador condicional es un servidor DNS en una red que se utiliza para reenviar consultas DNS según el nombre de dominio DNS de la consulta. Por ejemplo, un servidor DNS puede configurarse para reenviar todas las consultas que recibe para los nombres que terminan con widgets.example.com a la dirección IP de un servidor DNS específico o a las direcciones IP de varios servidores DNS.
1. Abra la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. En el panel de navegación, elija **Directories (Directorios)**.
1. Seleccione el **ID de directorio** de su Microsoft AD AWS administrado.
1. Tome nota del nombre de dominio completo (FQDN), **corp.example.com**, y las direcciones DNS de su directorio.
1. Ahora, vuelva a su controlador de dominio **example.local** y, a continuación, abra **Administrador del servidor**.
1. En el menú **Herramientas**, elija **DNS**.
1. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la confianza y vaya a **Reenviadores condicionales**.
1. Haga clic con el botón derecho en **Reenviadores condicionales** y, a continuación, elija **Nuevo reenviador condicional**.
1. En Dominio DNS, escriba **corp.example.com**.
1. En **Direcciones IP de los servidores principales**, seleccione **, escriba la primera dirección DNS del directorio AWS administrado de Microsoft AD (que anotó en el procedimiento anterior) y, a continuación, presione **Entrar**. Haga lo mismo para la segunda dirección DNS. Después de escribir las direcciones DNS, es posible que aparezca un error que indique que se ha agotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.
1. Active la casilla **Almacenar este reenviador condicional en Active Directory y replicarlo como sigue**. En el menú desplegable, elija **Todos los servidores DNS en este bosque** y, a continuación, elija **Aceptar**.
# Paso 2: creación de las relaciones de confianza
En esta sección creará dos relaciones de confianza entre bosques independientes. Una confianza se crea a partir del dominio de Active Directory de la instancia EC2 y la otra a partir de su Microsoft AD AWS administrado en AWS.
![\[Relación de confianza bidireccional entre corp.example.com y example.local\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)
**Para crear la confianza de su dominio EC2 a su Microsoft AWS AD administrado**
1. Inicie sesión en **example.local**.
1. Abra **Administrador del servidor** y, en el árbol de la consola, elija **DNS**. Tome nota de la IPv4 dirección que aparece para el servidor. La necesitará en el siguiente procedimiento cuando cree un programa de envío condicional a partir de **corp.example.com** para el directorio **example.local**.
1. En el menú **Herramientas**, elija **Dominios y confianzas de Active Directory**.
1. En el árbol de la consola, haga clic con el botón derecho en **example.local** y, a continuación, elija **Propiedades**.
1. En la pestaña **Confianzas**, elija **Nueva confianza** y, a continuación, elija **Siguiente**.
1. En la página **Nombre de confianza**, escriba **corp.example.com** y, a continuación, elija **Siguiente**.
1. En la página **Tipo de confianza**, elija **Confianza de bosque** y, a continuación, elija **Siguiente**.
**nota**
AWS Managed Microsoft AD también admite confianzas externas. Sin embargo, para este tutorial, creará una relación de confianza bidireccional entre bosques.
1. En la página **Dirección de confianza**, elija **Bidireccional** y, a continuación, elija **Siguiente**.
**nota**
Si decide más adelante probar esto con una relación de confianza unidireccional en su lugar, asegúrese de que las direcciones de la relación de confianza estén configuradas correctamente (salientes en el dominio origen de la confianza, entrantes en el dominio destino de la confianza). Para obtener información general, consulte [Descripción de la dirección de la relación de confianza](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) en el sitio web de Microsoft.
1. En la página **Partes de la relación de confianza**, elija **Solo este dominio** y, a continuación, elija **Siguiente**.
1. En la página **Nivel de autenticación de confianza saliente**, elija **autenticación en todo el bosque** y, a continuación, elija **Siguiente**.
**nota**
Aunque encuentre **Selective authentication (Autenticación selectiva)** como opción, por motivos de simplicidad, le recomendamos que no la habilite en este momento. Cuando se configura, restringe el acceso a través de una relación de confianza externa o de bosque solo a los usuarios de un dominio o bosque de confianza a los que se hayan concedido explícitamente permisos de autenticación a objetos de equipo (equipos de recursos) que residen en el dominio o bosque de confianza. Para obtener más información, consulte [Configurar la autenticación selectiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
1. En la página **Contraseña de la confianza**, escriba la contraseña de confianza dos veces y, a continuación, elija **Siguiente**. Usará esta misma contraseña en el siguiente procedimiento.
1. En la página **Se ha completado la selección de confianzas**, revise los resultados y, a continuación, elija **Siguiente**.
1. En la página **Se ha completado la creación de confianzas**, revise los resultados y, a continuación, elija **Siguiente**.
1. En la página **Confirmar confianza saliente**, elija **No, no confirmar la confianza saliente**. A continuación, elija **Siguiente**.
1. En la página **Confirmar confianza entrante**, elija **No, no confirmar la confianza entrante**. A continuación, elija **Siguiente**.
1. En la página **Finalización del Asistente para nueva confianza**, elija **Finalizar**.
**nota**
Las relaciones de confianza son una característica global de AWS Managed Microsoft AD. Si está utilizando [Configurar la replicación multirregional para Microsoft AWS AD administrado](ms_ad_configure_multi_region_replication.md), se deben seguir estos procedimientos en [Región principal](multi-region-global-primary-additional.md#multi-region-primary). Los cambios se aplicarán automáticamente en todas las regiones replicadas. Para obtener más información, consulte [Características globales frente a las regionales](multi-region-global-region-features.md).
**Para crear la confianza de su Microsoft AD AWS administrado a su dominio EC2**
1. Abra la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Elija el directorio **corp.example.com**.
1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
+ Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región principal y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
+ Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.
1. En la sección **Trust relationships (Relaciones de confianza)**, elija **Actions (Acciones)** y, a continuación, seleccione **Add trust relationship (Añadir relación de confianza)**.
1. En el cuadro de diálogo **Add a trust relationship**, haga lo siguiente:
+ En **Trust type (Tipo de relación de confianza)** seleccione **Forest trust (Confianza de bosque)**.
**nota**
Asegúrese de que el **tipo de confianza** que elija aquí coincida con el mismo tipo de confianza configurado en el procedimiento anterior (para crear la confianza de su dominio EC2 en su Microsoft AD AWS administrado).
+ En **Existing or new remote domain name (Nombre de dominio remoto existente o nuevo)**, escriba **example.local**.
+ En **Trust password**, escriba la misma contraseña que proporcionó en el procedimiento anterior.
+ En **Trust direction (Dirección de confianza)**, seleccione **Two-way (Bidireccional)**.
**nota**
Si decide más adelante probar esto con una relación de confianza unidireccional en su lugar, asegúrese de que las direcciones de la relación de confianza estén configuradas correctamente (salientes en el dominio origen de la confianza, entrantes en el dominio destino de la confianza). Para obtener información general, consulte [Descripción de la dirección de la relación de confianza](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) en el sitio web de Microsoft.
Aunque encuentre **Selective authentication (Autenticación selectiva)** como opción, por motivos de simplicidad, le recomendamos que no la habilite en este momento. Cuando se configura, restringe el acceso a través de una relación de confianza externa o de bosque solo a los usuarios de un dominio o bosque de confianza a los que se hayan concedido explícitamente permisos de autenticación a objetos de equipo (equipos de recursos) que residen en el dominio o bosque de confianza. Para obtener más información, consulte [Configurar la autenticación selectiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
+ En **Conditional forwarder (Reenviador condicional)**, escriba la dirección IP de su servidor DNS en el bosque **example.local** (que anotó en el procedimiento anterior).
**nota**
Un reenviador condicional es un servidor DNS en una red que se utiliza para reenviar consultas DNS según el nombre de dominio DNS de la consulta. Por ejemplo, un servidor DNS puede configurarse para reenviar todas las consultas que recibe para los nombres que terminan con widgets.example.com a la dirección IP de un servidor DNS específico o a las direcciones IP de varios servidores DNS.
1. Elija **Añadir**.
# Paso 3: comprobación de la relación de confianza
En esta sección probará si las relaciones de confianza se configuraron correctamente entre AWS y Active Directory en Amazon EC2.
**Verificación de la confianza**
1. Abra la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Elija el directorio **corp.example.com**.
1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
+ Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región principal y, a continuación, elija la pestaña **Redes y seguridad**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
+ Si no aparece ninguna región en la sección **Replicación multirregional**, seleccione la pestaña **Redes y seguridad**.
1. En la sección **Trust relationships (Relaciones de confianza)**, seleccione la relación de confianza que acaba de crear.
1. Elija **Actions** y, a continuación, elija **Verify trust relationship**.
Una vez completada la verificación, debería ver **Verified** bajo la columna **Status**.
¡Enhorabuena por completar este tutorial\$1 Ahora tiene un entorno de Active Directory de bosques múltiples totalmente funcional a partir del cual puede empezar a probar diversos escenarios. Están previstos tutoriales del laboratorio de prueba adicionales en 2018, de modo que consulte de vez en cuando para ver las novedades.