Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Conditions préalables requises pour un annuaire hybride
L'annuaire hybride étend votre Active Directory autogéré au AWS Cloud. Avant de créer un annuaire hybride, assurez-vous que votre environnement répond aux exigences suivantes :
## Microsoft Active Directoryexigences relatives au domaine
Avant de créer un annuaire hybride, assurez-vous que votre environnement et votre infrastructure AD autogérés répondent aux exigences suivantes et collectez les informations nécessaires.
### Exigences relatives au domaine
Votre environnement AD autogéré doit répondre aux exigences suivantes :
+ Utilise un Windows Server 2012 R2 ou un niveau 2016 fonctionnel.
+ Utilise des contrôleurs de domaine standard à évaluer pour la création d'annuaires hybrides. Les contrôleurs de domaine en lecture seule (RODC) ne peuvent pas être utilisés pour la création d'annuaires hybrides.
+ Dispose de deux contrôleurs de domaine avec tous les services Active Directory en cours d'exécution.
+ Le contrôleur de domaine principal (PDC) doit être routable à tout moment.
Plus précisément, l'émulateur PDC et le maître RID IPs de votre AD autogéré doivent appartenir à l'une des catégories suivantes :
+ Partie des plages d'adresses IP RFC1918 privées (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16)
+ Dans le cadre de votre gamme VPC CIDR
+ Associez le DNS IPs de vos instances autogérées à l'annuaire
Vous pouvez ajouter des routes IP supplémentaires pour le répertoire après la création de l'annuaire hybride.
### Informations obligatoires
Rassemblez les informations suivantes sur votre AD autogéré :
+ Nom de DNS de l’annuaire
+ Répertoire DNS IPs
+ Informations d'identification du compte de service avec autorisations d'administrateur pour votre AD autogéré
+ AWS ARN secret pour stocker les informations d'identification de votre compte de service (voir[AWS ARN secret pour annuaire hybride](#aws_secret_arn_for_hybrid))
### AWS ARN secret pour annuaire hybride
Pour configurer un annuaire hybride avec votre AD autogéré, vous devez créer une clé KMS pour chiffrer votre AWS secret, puis créer le secret lui-même. Les deux ressources doivent être créées dans le même répertoire Compte AWS que celui qui contient le répertoire hybride.
#### Création d'une clé KMS
La clé KMS est utilisée pour chiffrer votre AWS secret.
**Important**
Pour **Clé de chiffrement**, n'utilisez pas la clé KMS par défaut AWS . Assurez-vous de créer la clé AWS KMS dans le même répertoire Compte AWS qui contient le répertoire hybride que vous souhaitez créer pour le joindre à votre AD autogéré.
**Pour créer une clé AWS KMS**
1. Dans la AWS KMS console, choisissez **Create key**.
1. Pour **Type de clé**, choisissez **Symétrique**.
1. Pour **Utilisation de la clé**, choisissez **Chiffrer et déchiffrer**.
1. Pour **Options avancées** :
1. Pour **Origine des clés**, choisissez **KMS**.
1. **Pour **Régionalité**, choisissez la **clé à région unique**, puis cliquez sur Suivant.**
1. Pour **Alias**, attribuez un nom à la clé KMS.
1. (Facultatif) Pour **Description**, fournissez une description de la clé KMS.
1. (Facultatif) Pour **Tags**, ajoutez des tags pour la clé KMS et choisissez **Next**.
1. Pour les **administrateurs clés**, sélectionnez un utilisateur IAM.
1. Pour la **suppression de clés**, conservez la sélection par défaut pour **Autoriser les administrateurs de clés à supprimer cette clé** et choisissez **Suivant**.
1. Pour **les utilisateurs clés**, sélectionnez le même utilisateur IAM à l'étape précédente et choisissez **Next**.
1. Passez en revue la configuration.
1. Pour **la politique clé**, ajoutez la déclaration suivante à la stratégie :
1. Choisissez **Finish** (Terminer).
#### Créez un AWS secret
Créez un secret dans Secrets Manager pour stocker les informations d'identification de votre compte utilisateur AD autogéré.
**Important**
Créez le secret dans celui-ci Compte AWS qui contient le répertoire hybride que vous souhaitez joindre à votre AD autogéré.
Pour créer un secret
+ Dans Secrets Manager, choisissez **Enregistrer un nouveau secret**
+ Pour **Type de secret**, choisissez **Autre type de secret**
+ Pour **Paires clé/valeur**, ajoutez vos deux clés :
1. Ajoutez la clé du nom d'utilisateur
1. Pour la première clé, entrez `customerAdAdminDomainUsername`.
1. Pour la valeur de la première clé, saisissez uniquement le nom utilisateur (sans le préfixe de domaine) de l’utilisateur AD. N’incluez pas le nom de domaine, car cela entraîne l’échec de la création de l’instance.
1. Ajoutez la clé du mot de passe
1. Pour la deuxième clé, entrez `customerAdAdminDomainPassword`.
1. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.
##### Terminez la configuration secrète
1. Pour **Clé de chiffrement**, sélectionnez la clé KMS que vous avez créée [Création d'une clé KMS](#create_kms_key_for_hybrid) et choisissez **Next**.
1. Dans **Nom du secret**, entrez une description du secret.
1. (Facultatif) **Dans Description**, entrez une description pour le secret.
1. Choisissez **Suivant**.
1. Pour **Configurer les paramètres de rotation**, conservez les valeurs par défaut et choisissez **Suivant**.
1. Vérifiez les paramètres du secret et choisissez **Store**.
1. Choisissez le secret que vous avez créé et copiez la valeur de l'**ARN du secret**. Vous utiliserez cet ARN à l'étape suivante pour configurer votre Active Directory autogéré.
### Exigences en matière d'infrastructure
Préparez les composants d'infrastructure suivants :
+ Deux AWS Systems Manager nœuds dotés de privilèges d'administrateur pour les agents SSM
+ Si votre Active Directory est **autogéré en dehors de AWS Cloud**, vous aurez besoin de deux nœuds Systems Manager pour un environnement hybride et multicloud. Pour plus d'informations sur le provisionnement de ces nœuds, consultez la section [Configuration de Systems Manager pour les environnements hybrides et multicloud.](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)
+ Si votre Active Directory est **autogéré au sein du AWS Cloud**, vous aurez besoin de deux instances EC2 gérées par Systems Manager. Pour plus d'informations sur le provisionnement de ces instances, consultez [Managing EC2 instances with Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).
## Services Active Directory requis
Assurez-vous que les services suivants sont exécutés sur votre AD autogéré :
+ Services de domaine Active Directory (AD DS)
+ Service Web Active Directory (ADWS)
+ Système d'événements COM\$1
+ Réplication de systèmes de fichiers distribués (DFSR)
+ Système de nom de domaine (DNS)
+ Serveur DNS
+ Client de stratégie de groupe
+ Messagerie intersites
+ Appel de procédure à distance (RPC)
+ Responsable des comptes de sécurité
+ Serveur Windows Time
**Note**
Le répertoire hybride nécessite que le port UDP 123 soit ouvert et que le serveur Windows Time soit activé et fonctionnel. Nous synchronisons l'heure avec votre contrôleur de domaine pour garantir le bon fonctionnement de la réplication d'annuaires hybride.
## Exigences d'authentification Kerberos
Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Pour obtenir des instructions détaillées sur la façon d'activer ce paramètre, voir Vérifier [que la pré-authentification Kerberos est activée](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos). Pour obtenir des informations générales sur ce paramètre, consultez la section [Préauthentification activée](http://technet.microsoft.com/en-us/library/cc961961.aspx) Microsoft TechNet.
## Types de chiffrement pris en charge
Un annuaire hybride prend en charge les types de chiffrement suivants lors de l'authentification via Kerberos auprès de vos contrôleurs de domaine Active Directory :
+ AES-256-HMAC
## Exigences relatives aux ports réseau
AWS Pour étendre vos contrôleurs de domaine Active Directory autogérés, le pare-feu de votre réseau existant doit disposer des ports suivants ouverts vers les deux sous-réseaux CIDRs de votre Amazon VPC :
+ TCP/UDP 53 ‑ DNS
+ TCP/UDP 88 ‑ Authentification Kerberos
+ UDP 123 - Serveur de temps
+ TCP 135 - Appel de procédure à distance
+ TCP/UDP 389 ‑ LDAP
+ TCP 445 : SMB
+ TCP 636 : uniquement nécessaire pour les environnements dotés du protocole LDAPS (Lightweight Directory Access Protocol Secure)
+ TCP 49152-65535 - Ports TCP élevés alloués aléatoirement par RPC
+ TCP 3268 et 3269 - Catalogue mondial
+ Services Web Active Directory TCP 9389 (ADWS)
Il s'agit des ports minimaux nécessaires pour créer un répertoire hybride. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires.
**Note**
Les ports DNS IPs fournis à vos contrôleurs de domaine et aux détenteurs de rôles FSMO doivent être ouverts aux deux sous-réseaux CIDRs de l'Amazon VPC.
**Note**
Le répertoire hybride nécessite que le port UDP 123 soit ouvert et que le serveur Windows Time soit activé et fonctionnel. Nous synchronisons l'heure avec votre contrôleur de domaine pour garantir le bon fonctionnement de la réplication d'annuaires hybride.
## Compte AWS autorisations
Vous aurez besoin d'autorisations pour effectuer les actions suivantes dans votre Compte AWS :
+ EC2 : AuthorizeSecurityGroupEgress
+ EC2 : AuthorizeSecurityGroupIngress
+ EC2 : CreateNetworkInterface
+ EC2 : CreateSecurityGroup
+ EC2 : DescribeNetworkInterfaces
+ EC2 : DescribeSubnets
+ EC2 : DescribeVpcs
+ EC2 : CreateTags
+ EC2 : CreateNetworkInterfacePermission
+ SMS : ListCommands
+ SMS : GetCommandInvocation
+ SMS : GetConnectionStatus
+ SMS : SendCommand
+ responsable des secrets : DescribeSecret
+ responsable des secrets : GetSecretValue
+ iam : GetRole
+ iam : CreateServiceLinkedRole
## Exigences relatives au réseau Amazon VPC
Un VPC présentant les caractéristiques suivantes :
+ Au moins deux sous-réseaux. Chacun des sous-réseaux doit se trouver dans une zone de disponibilité différente
+ Le VPC doit avoir une location par défaut
Vous ne pouvez pas créer de répertoire hybride dans un VPC en utilisant les adresses de l'espace d'adressage 198.18.0.0/15.
Directory Service utilise une structure à deux VPC. Les instances EC2 qui constituent votre répertoire s'exécutent en dehors de votre Compte AWS répertoire et sont gérées par AWS. Elles ont deux cartes réseau, `ETH0` et `ETH1`. `ETH0` est la carte de gestion et existe en dehors de votre compte. `ETH1` est créé au sein de votre compte.
La plage d'adresses IP de gestion du ETH0 réseau pour votre annuaire est`198.18.0.0/15`.
Pour plus d'informations, veuillez consulter les rubriques suivantes dans le *Amazon VPC Guide de l'utilisateur* :
+ [Qu’est-ce qu’Amazon VPC ?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [Qu’est-ce qu’Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs et sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [Présentation de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)
Pour plus d'informations AWS Direct Connect, consultez la section [Qu'est-ce que c'est AWS Direct Connect ?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
## AWS configuration du groupe de sécurité
Par défaut, AWS attache un groupe de sécurité pour autoriser l'accès réseau aux nœuds AWS Systems Manager gérés de votre VPC. Vous pouvez éventuellement fournir votre propre groupe de sécurité qui autorise le trafic réseau à destination et en provenance de vos contrôleurs de domaine autogérés en dehors de votre VPC.
Vous pouvez éventuellement fournir votre propre groupe de sécurité qui autorise le trafic réseau à destination et en provenance de vos contrôleurs de domaine autogérés en dehors de votre VPC. Si vous fournissez votre propre groupe de sécurité, vous devez :
+ Autorisez la mise en liste de vos VPC CIDR plages et de vos plages autogérées.
+ Assurez-vous que ces plages ne se chevauchent pas avec les [plages d'adresses IP AWS réservées](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)
## Considérations relatives aux évaluations de répertoires
Les points suivants doivent être pris en compte lors de la création d'évaluations d'annuaires et du nombre d'évaluations que vous pouvez avoir dans votre répertoire Compte AWS :
+ Une évaluation d'annuaire est automatiquement créée lorsque vous créez un annuaire hybride. Il existe deux types d'évaluations : `CUSTOMER` et`SYSTEM`. Vous Compte AWS avez une limite de 100 évaluations d'`CUSTOMER`annuaire.
+ Si vous tentez de créer un annuaire hybride et que vous avez déjà effectué 100 évaluations d'`CUSTOMER`annuaires, vous allez rencontrer une erreur. Supprimez les évaluations pour libérer de la capacité avant de réessayer.
+ Vous pouvez demander une augmentation de votre quota d'évaluation du `CUSTOMER` répertoire en contactant Support ou en supprimant les évaluations du répertoire CLIENTS existantes afin de libérer de la capacité.