Vinculación de una instancia de Amazon EC2 Windows a Simple Active Directory (Simple AD) - AWS Directory Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Vinculación de una instancia de Amazon EC2 Windows a Simple Active Directory (Simple AD)

Puede iniciar y vincular una EC2 Windows instancia de Amazon a Simple AD. Como alternativa, puede vincular de forma manual una EC2 Windows instancia existente a un Simple AD.

Seamlessly join an EC2 Windows

Para unirse a una EC2 instancia a un dominio de forma fluida, debe completar los siguientes pasos:

Requisitos previos

  • Tenga un Simple AD Para obtener más información, consulteCreación de Simple AD.

  • Necesitarás los siguientes permisos de IAM para unirte a una EC2 Windows instancia sin problemas:

    • Perfil de instancia de IAM con los siguientes permisos de IAM:

      • AmazonSSMManagedInstanceCore

      • AmazonSSMDirectoryServiceAccess

    • El dominio del usuario que se une sin problemas EC2 al Simple AD necesita los siguientes permisos de IAM:

      • AWS Directory Service Permisos:

        • "ds:DescribeDirectories"

        • "ds:CreateComputer"

      • Permisos de Amazon VPC:

        • "ec2:DescribeVpcs"

        • "ec2:DescribeSubnets"

        • "ec2:DescribeNetworkInterfaces"

        • "ec2:CreateNetworkInterface"

        • "ec2:AttachNetworkInterface"

      • EC2 Permisos:

        • "ec2:DescribeInstances"

        • "ec2:DescribeImages"

        • "ec2:DescribeInstanceTypes"

        • "ec2:RunInstances"

        • "ec2:CreateTags"

      • AWS Systems Manager Permisos:

        • "ssm:DescribeInstanceInformation"

        • "ssm:SendCommand"

        • "ssm:GetCommandInvocation"

        • "ssm:CreateBatchAssociation"

Cuando se crea su Simple AD, se crea un grupo de seguridad con reglas de entrada y salida. Para obtener más información acerca de las reglas y los puertos de, consulte¿Qué se crea con su Simple AD?. Para unirse a una EC2 Windows instancia sin problemas a un dominio, la VPC en la que va a lanzar la instancia debe permitir los mismos puertos permitidos en las reglas de entrada y salida de su grupo de seguridad de Simple AD.

  • En función de la configuración de seguridad de la red y del firewall, es posible que tengas que permitir tráfico saliente adicional. Este tráfico se dirigiría a HTTPS (puerto 443) a los siguientes puntos de enlace:

    Punto de conexión Rol

    ec2messages.region.amazonaws.com

    Crea y elimina los canales de sesión con el servicio Session Manager. Para obtener más información, consulte Puntos de conexión y cuotas de AWS Systems Manager.

    ssm.region.amazonaws.com

    Punto final para. AWS Systems Manager Session Manager Para obtener más información, consulte Puntos de conexión y cuotas de AWS Systems Manager.

    ssmmessages.region.amazonaws.com

    Crea y elimina los canales de sesión con el servicio Session Manager. Para obtener más información, consulte Puntos de conexión y cuotas de AWS Systems Manager.

    ds.region.amazonaws.com

    Punto final para. AWS Directory Service Para obtener más información, consulte Disponibilidad regional para AWS Directory Service.

  • Te recomendamos usar un servidor DNS que resuelva tu nombre de dominio Simple AD. Para hacerlo, puede crear un conjunto de opciones de DHCP. Para obtener más información, consulte Creación de un conjunto de opciones de DHCP para Simple AD.

    • Si decide no crear un conjunto de opciones de DHCP, sus servidores DNS serán estáticos y su Simple AD los configurará.

  1. Inicia sesión en la EC2 consola de Amazon AWS Management Console y ábrela en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación, elija la Región de AWS misma que la del directorio existente.

  3. En el EC2 panel de control, en la sección Lanzar instancia, elija Launch instance.

  4. En la página Lanzar una instancia, en la sección Nombre y etiquetas, ingrese el nombre que desee utilizar para la EC2 instancia de Windows.

  5. (Opcional) Elija Agregar etiquetas adicionales para agregar uno o varios pares clave-valor de etiqueta para organizar o controlar el acceso a esta EC2 instancia o hacer su seguimiento.

  6. En la sección Imagen de aplicación y sistema operativo (Imagen de máquina de Amazon), elija Windows en el panel Inicio rápido. Puede cambiar la imagen de máquina de Amazon (AMI) de Windows desde la lista desplegable Imagen de máquina de Amazon (AMI).

  7. En la sección Tipo de instancia, elija el tipo de instancia que desee usar en la lista desplegable Tipo de instancia.

  8. En la sección Key pair (login), puede elegir entre crear un nuevo par de claves, utilizar un par de claves existente o continuar sin un par de claves.

  9. En la página Lanzar una instancia, en la sección Configuración de red, elija Editar. Elija la VPC en la que se creó el directorio en la lista desplegable VPC: obligatoria.

  10. Elija una de las subredes públicas de su VPC en la lista desplegable Subred. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.

    Para obtener más información sobre cómo conectar una puerta de enlace de Internet, consulte Conexión a Internet mediante una puerta de enlace de Internet en la Guía del usuario de Amazon VPC.

  11. En Autoasignar IP pública, elija Habilitar.

    Para obtener más información sobre las direcciones IP públicas y privadas, consulte Direcciones IP de EC2 instancias de Amazon en la Guía del EC2 usuario de Amazon.

  12. En la configuración Firewall (grupos de seguridad), puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades.

  13. En la configuración Configurar almacenamiento, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.

  14. Seleccione la sección Detalles avanzados y elija su dominio en el menú desplegable Directorio de vinculación de dominios.

    nota

    Tras elegir el directorio de vinculación de dominios, es posible que vea lo siguiente:

    Aparece un mensaje de error al seleccionar el directorio de vinculación de dominios. Hay un error en el documento SSM existente.

    Este error se produce si el asistente de EC2 inicialización identifica un documento SSM existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:

    • Si ya ha editado el documento SSM y las propiedades son las esperadas, seleccione cerrar y proceda a inicializar la EC2 instancia sin cambios.

    • Seleccione el enlace a continuación para eliminar el documento SSM existente. Esto permitirá crear un documento SSM con las propiedades correctas. El documento SSM se creará de forma automática cuando inicialice la EC2 instancia.

  15. En Perfil de instancia de IAM, puede seleccionar un perfil de instancia de IAM existente o crear uno nuevo. Seleccione un perfil de instancia de IAM que tenga SSMDirectory ServiceAccess adjuntas las políticas AWS gestionadas Amazon SSMManaged InstanceCore y Amazon en la lista desplegable de perfiles de instancias de IAM. Para crear uno nuevo, elija el enlace Crear un nuevo perfil de IAM y, a continuación, haga lo siguiente:

    1. Seleccione Crear rol.

    2. En Seleccionar tipo de entidad de confianza, elija Servicio de AWS .

    3. En Use case (Caso de uso), elija EC2.

    4. En Añadir permisos, en la lista de políticas, selecciona las SSMDirectory ServiceAccess políticas de Amazon SSMManaged InstanceCore y Amazon. Para filtrar la lista, escriba SSM en el cuadro de búsqueda. Elija Siguiente.

      nota

      Amazon SSMDirectory ServiceAccess proporciona los permisos para unir instancias a una instancia Active Directory gestionada por AWS Directory Service. Amazon SSMManaged InstanceCore proporciona los permisos mínimos necesarios para usar el AWS Systems Manager servicio. Para obtener más información sobre la creación de un rol con estos permisos y para obtener información sobre otros permisos y políticas que puede asignar a su rol de IAM, consulte Creación de un perfil de instancia de IAM para Systems Manager en la Guía del usuario de AWS Systems Manager .

    5. En la página Asignar un nombre, revisar, crear, ingrese un Nombre de rol. Necesitará este nombre de rol para asociarlo a la EC2 instancia.

    6. (Opcional) Puede proporcionar una descripción del perfil de instancia de IAM en el campo Descripción.

    7. Seleccione Crear rol.

    8. Vuelva a la página Lanzar una instancia y elija el icono de actualización situado junto al perfil de instancia de IAM. El nuevo perfil de instancia de IAM debería estar visible en la lista desplegable Perfil de instancia de IAM. Elija el nuevo perfil y deje el resto de la configuración con sus valores predeterminados.

  16. Seleccione Iniciar instancia.

Manually join an EC2 Windows

Para vincular de forma manual una instancia de Amazon EC2 Windows existente a un Simple Active Directory (Simple AD), la instancia se debe lanzar tal y como se especifica enVinculación de una instancia de Amazon EC2 Windows a Simple Active Directory (Simple AD).

Necesitará las direcciones IP de los servidores DNS de Simple AD. Puede encontrar esta información en las secciones Servicios de directorio > Directorios > el enlace del ID de directorio de su directorio > Detalles del directorio y Redes y seguridad.

En la AWS Directory Service consola de, en la página de detalles del directorio, aparecen resaltadas las direcciones IP de los servidores DNS AWS Directory Service proporcionados por.
Cómo vincular una instancia de Windows a un Simple Active Directory (Simple AD)

  1. Conéctese a la instancia mediante un cliente de Protocolo de escritorio remoto.

  2. Abra el cuadro de diálogo de IPv4 propiedades TCP/ de la instancia.

    1. Abra Conexiones de red.

      sugerencia

      Puede abrir Conexiones de red directamente ejecutando lo siguiente en un símbolo del sistema en la instancia.

      %SystemRoot%\system32\control.exe ncpa.cpl

    2. Abra el menú contextual (haga clic con el botón) de cualquier conexión de red habilitada y elija Propiedades.

    3. En el cuadro de diálogo de propiedades de conexión, abra (doble clic) Protocolo de Internet versión 4.

  3. Seleccione Usar las siguientes direcciones de servidor DNS, cambie las direcciones de Servidor DNS preferido y Servidor DNS alternativo por las direcciones IP de sus servidores DNS proporcionados por Simple AD y seleccione Aceptar.

    Cuadro de diálogo de Propiedades del Protocolo de Internet versión 4 (TCP/IPv4) con los campos del servidor DNS preferido y del servidor DNS alternativo resaltados.

  4. Abra el cuadro de diálogo Propiedades del sistema de la instancia, seleccione la pestaña Nombre de equipo y elija Cambiar.

    sugerencia

    Puede abrir el cuadro de diálogo Propiedades del sistema directamente en un símbolo del sistema en la instancia.

    %SystemRoot%\system32\control.exe sysdm.cpl

  5. En el campo Miembro de, seleccione Dominio, ingrese el nombre completo del Simple Active Directory (Simple AD) y seleccione Aceptar.

  6. Cuando se le solicite el nombre y la contraseña de administrador de dominio, introduzca el nombre de usuario y la contraseña de una cuenta que tenga privilegios para vincularse al dominio. Para obtener más información sobre cómo delegar estos privilegios, consulte Delegación de privilegios de vinculación a directorios para Simple AD.

    nota

    Puede escribir el nombre completo de su dominio o el nombre NetBIOS, seguido de una barra inversa (\) y, a continuación, el nombre de usuario. El nombre de usuario sería Administrador. Por ejemplo, corp.example.com\administrator o corp\administrator.

  7. Cuando reciba el mensaje de bienvenida al dominio, reinicie la instancia para que se apliquen los cambios.

Ahora que su instancia se ha vinculado al dominio de Simple Active Directory (Simple AD), puede iniciar sesión en esa instancia de forma remota e instalar utilidades para administrar el directorio, como agregar usuarios y grupos. Las herramientas de administración de Active Directory se pueden utilizar para crear usuarios y grupos. Para obtener más información, consulte Instalación de las herramientas de administración de Active Directory para Simple AD.