Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 1 : Configurez votre AWS environnement pour AWS Microsoft AD Active Directory géré
Avant de créer AWS Managed Microsoft AD dans votre laboratoire de AWS test, vous devez d'abord configurer votre paire de clés Amazon EC2 afin que toutes les données de connexion soient cryptées.
Création d’une paire de clés
Si vous possédez déjà une paire de clés, vous pouvez ignorer cette étape. Pour plus d'informations sur les paires de clés Amazon EC2, consultez la section Créer des paires de clés.
Pour créer une paire de clés
Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/
-
Dans le volet de navigation, sous Réseau et sécurité, choisissez Paires de clés, puis sélectionnez Créer une paire de clés.
-
Pour Key pair name (Nom de la paire de clés), saisissez
AWS-DS-KP. Pour Key pair file format (Format de fichier de la paire de clés), sélectionnez pem, puis choisissez Create (Créer). -
Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier est le nom que vous avez spécifié lorsque vous avez créé votre paire de clés, suivi de l'extension
.pem. Enregistrez le fichier de clé privée en lieu sûr.Important
C’est votre seule occasion d’enregistrer le fichier de clé privée. Vous devez indiquer le nom de votre paire de clés quand vous lancez une instance, ainsi que la clé privée correspondante chaque fois que vous déchiffrez le mot de passe de l'instance.
Créez, configurez et associez deux Amazon VPC
Comme le montre l'illustration suivante, ce processus à plusieurs étapes permet de créer et de configurer deux VPC publics, deux sous-réseaux publics par VPC, une passerelle Internet par VPC et une connexion d'appairage de VPC entre les VPC. Nous avons choisi d'utiliser des VPC et des sous-réseaux publics pour des raisons de simplicité et de coût. Pour les charges de travail de production, nous vous recommandons d'utiliser des VPC privés. Pour de plus amples informations sur l'amélioration de la sécurité VPC, veuillez consulter Security in Amazon Virtual Private Cloud (français non garanti).
Tous les AWS CLI PowerShell exemples utilisent les informations VPC ci-dessous et sont intégrés dans us-west-2. Vous pouvez choisir n'importe quelle région prise en charge pour créer votre environnement. Pour de plus amples informations, veuillez consulter What is Amazon VPC? (français non garanti).
Étape 1 : Créer deux VPC
Au cours de cette étape, vous devez créer deux VPC dans le même compte en utilisant les paramètres spécifiés dans le tableau suivant. AWS Managed Microsoft AD prend en charge l'utilisation de comptes distincts avec Partagez votre AWS Microsoft AD géré cette fonctionnalité. Le premier VPC sera utilisé pour Managed AWS Microsoft AD. Le deuxième VPC sera utilisé pour des ressources qui pourront servir plus tard dans Tutoriel : Création d'un trust à partir de AWS Gestion de Microsoft AD vers une installation Active Directory autogérée sur Amazon EC2.
|
Informations sur les VPC Active Directory gérés |
On-premises Informations sur le VPC |
|---|---|
|
Porte-nom : AWS- DS-VPC01 Bloc d'adresse CIDR IPv4 : 10.0.0. 0/16 Bloc d'adresse CIDR IPv6 : Pas de bloc d'adresse CIDR IPv6 Location : Par défaut |
Porte-nom : AWS- OnPrem-VPC01 Bloc d'adresse CIDR IPv4 : 10.100.0. 0/16 Bloc d'adresse CIDR IPv6 : Pas de bloc d'adresse CIDR IPv6 Location : Par défaut |
Pour obtenir des instructions détaillées, veuillez consulter Creating a VPC (français non garanti).
Étape 2 : Créer deux sous-réseaux par VPC
Après avoir créé les VPC, vous devrez créer deux sous-réseaux par VPC en utilisant les paramètres spécifiés dans le tableau suivant. Pour ce laboratoire de test, chaque sous-réseau sera de type /24. Cela permet d'émettre jusqu'à 256 adresses par sous-réseau. Chaque sous-réseau doit être un dans une zone de disponibilité distincte. Mettre chaque sous-réseau dans une zone de disponibilité distincte est un des Conditions préalables à la création d'un AWS Microsoft AD géré.
|
AWS- Informations sur le DS-VPC01 sous-réseau : |
AWS- informations sur OnPrem-VPC01 les sous-réseaux |
|---|---|
|
Porte-nom : AWS- DS-VPC01-Subnet01 VPC : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS DS-VPC01 Zone de disponibilité : us-west-2a Bloc d'adresse CIDR IPv4 : 10.0.0. 0/24 |
Porte-nom : AWS- OnPrem-VPC01-Subnet01 VPC : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS OnPrem-VPC01 Zone de disponibilité : us-west-2a Bloc d'adresse CIDR IPv4 : 10.100.0. 0/24 |
|
Porte-nom : AWS- DS-VPC01-Subnet02 VPC : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS DS-VPC01 Zone de disponibilité : us-west-2b Bloc d'adresse CIDR IPv4 : 10.0.1. 0/24 |
Porte-nom : AWS- OnPrem-VPC01-Subnet02 VPC : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS OnPrem-VPC01 Zone de disponibilité : us-west-2b Bloc d'adresse CIDR IPv4 : 10.100.1. 0/24 |
Pour obtenir des instructions détaillées, veuillez consulter Creating a subnet in your VPC (français non garanti).
Étape 3 : Créer et attacher une passerelle Internet à vos VPC
Puisque nous utilisons des VPC publics, vous devrez créer et attacher une passerelle Internet à vos VPC en utilisant les paramètres spécifiés dans le tableau suivant. Cela vous donnera la possibilité de vous connecter à vos instances EC2 et de les gérer.
|
AWS- Informations DS-VPC01 sur Internet Gateway |
AWS- Informations OnPrem-VPC01 sur Internet Gateway |
|---|---|
|
Porte-nom : AWS- DS-VPC01-IGW VPC : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS DS-VPC01 |
Porte-nom : AWS- OnPrem-VPC01-IGW VPC : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS OnPrem-VPC01 |
Pour obtenir des instructions détaillées, veuillez consulter Internet gateways (français non garanti).
Étape 4 : Configuration d'une connexion d'appairage VPC entre - et - AWS DS-VPC01 AWS OnPrem-VPC01
Étant donné que vous avez déjà créé deux VPC précédemment, vous devrez les mettre en réseau à l'aide de l'appairage de VPC en utilisant les paramètres spécifiés dans le tableau suivant. Bien qu'il existe de nombreuses manières de connecter vos VPC, ce didacticiel utilisera le peering VPC. AWS Managed Microsoft AD prend en charge de nombreuses solutions pour connecter vos VPC, notamment le peering VPC, Transit Gateway et VPN.
|
Etiquette nominative de connexion peering : AWS- DS-VPC01 &AWS- OnPrem-VPC01-Peer VPC (demandeur) : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS DS-VPC01 Compte : Mon compte Région : Cette région VPC (Accepter) : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS OnPrem-VPC01 |
Pour obtenir des instructions sur la création d'une connexion d'appairage de VPC avec un autre VPC depuis votre compte, veuillez consulter Creating a VPC peering connection with another VPC in your account (français non garanti).
Étape 5 : ajouter deux routes à la table de routage principale de chaque VPC
Pour que les passerelles Internet et la connexion d'appairage de VPC créées au cours des étapes précédentes soient fonctionnelles, vous devez mettre à jour la table de routage principale des deux VPC en utilisant les paramètres spécifiés dans le tableau suivant. Vous allez ajouter deux itinéraires : 0.0.0. 0/0 qui acheminera vers toutes les destinations non explicitement connues de la table de routage et de la version 10.0.0. 0/16 ou 10.100.0. 0/16 qui sera acheminé vers chaque VPC via la connexion d'appairage VPC établie ci-dessus.
Vous pouvez facilement trouver la bonne table de routage pour chaque VPC en filtrant sur le nom du VPC (AWS- ou -DS-VPC01 ). AWS OnPrem-VPC01
|
AWS- informations sur l'DS-VPC01 itinéraire 1 |
AWS- informations sur l'DS-VPC01 itinéraire 2 |
AWS- Informations sur l'OnPrem-VPC01 itinéraire 1 |
AWS- Informations sur l'OnPrem-VPC01 itinéraire 2 |
|---|---|---|---|
|
Destination : 0,0.0. 0/0 Cible : AWS igw-xxxxxxxxxxxxxxxxx - DS-VPC01-IGW |
Destination : 10,10.0. 0/16 Cible : pcx-xxxxxxxxxxxxxxxxx - & - AWS DS-VPC01 AWS OnPrem-VPC01-Peer |
Destination : 0,0.0. 0/0 Cible : AWS igw-xxxxxxxxxxxxxxxxx - Onprem-VPC01 |
Destination : 10,0.0. 0/16 Cible : pcx-xxxxxxxxxxxxxxxxx - & - AWS DS-VPC01 AWS OnPrem-VPC01-Peer |
Pour obtenir des instructions sur l'ajout de routes à une table de routage de VPC, veuillez consulter Adding and removing routes from a route table (français non garanti).
Création de groupes de sécurité pour les instances Amazon EC2
Par défaut, AWS Managed Microsoft AD crée un groupe de sécurité pour gérer le trafic entre ses contrôleurs de domaine. Dans cette section, vous devrez créer 2 groupes de sécurité (un pour chaque VPC) qui seront utilisés pour gérer le trafic dans votre VPC pour vos instances EC2 à l'aide des paramètres spécifiés dans les tableaux suivants. Vous allez également ajouter une règle qui autorise le trafic entrant RDP (3389) entrant depuis n'importe où et pour tous les types de trafic entrant depuis le VPC local. Pour en savoir plus, veuillez consulter la section Amazon EC2 security groups for Windows instances (français non garanti).
|
AWS- informations sur le groupe de DS-VPC01 sécurité : |
|---|
|
Nom du groupe de sécurité : AWS DS Test Lab Security Group Description : Groupe de sécurité AWS DS Test Lab VPC : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS DS-VPC01 |
Règles entrantes des groupes de sécurité pour - AWS DS-VPC01
| Type | Protocole | Plage de ports | Source | Type de trafic |
|---|---|---|---|---|
| Destination | TCP | 3389 | Mon IP | Bureau à distance |
| Tout le trafic | Tous | Tous | 10,0.0. 0/16 | Tout le trafic du VPC local |
Règles sortantes du groupe de sécurité pour - AWS DS-VPC01
| Type | Protocole | Plage de ports | Destination | Type de trafic |
|---|---|---|---|---|
| Tout le trafic | Tous | Tous | 0,0.0. 0/0 | Tout le trafic |
| AWS- informations sur le groupe de OnPrem-VPC01 sécurité : |
|---|
|
Nom du groupe de sécurité : AWS OnPrem Test Lab Security Group. Description : Groupe de sécurité du laboratoire de AWS OnPrem test. VPC : vpc-xxxxxxxxxxxxxxxxxxxxx - AWS OnPrem-VPC01 |
Règles entrantes des groupes de sécurité pour - AWS OnPrem-VPC01
| Type | Protocole | Plage de ports | Source | Type de trafic |
|---|---|---|---|---|
| Destination | TCP | 3389 | Mon IP | Bureau à distance |
| Destination | TCP | 53 | 10,0.0. 0/16 | DNS |
| Destination | TCP | 88 | 10,0.0. 0/16 | Kerberos |
| Destination | TCP | 389 | 10,0.0. 0/16 | LDAP |
| Destination | TCP | 464 | 10,0.0. 0/16 | Mot de passe Kerberos (modification/définition) |
| Destination | TCP | 445 | 10,0.0. 0/16 | SMB / CIFS |
| Destination | TCP | 135 | 10,0.0. 0/16 | Réplication |
| Destination | TCP | 636 | 10,0.0. 0/16 | LDAP SSL |
| Destination | TCP | 49152 - 65535 | 10,0.0. 0/16 | RPC |
| Destination | TCP | 3268 ‑ 3269 | 10,0.0. 0/16 | LDAP GC et LDAP GC SSL |
| Règle UDP personnalisée | UDP | 53 | 10,0.0. 0/16 | DNS |
| Règle UDP personnalisée | UDP | 88 | 10,0.0. 0/16 | Kerberos |
| Règle UDP personnalisée | UDP | 123 | 10,0.0. 0/16 | Heure Windows |
| Règle UDP personnalisée | UDP | 389 | 10,0.0. 0/16 | LDAP |
| Règle UDP personnalisée | UDP | 464 | 10,0.0. 0/16 | Mot de passe Kerberos (modification/définition) |
| Tout le trafic | Tous | Tous | 10100,0. 0/16 | Tout le trafic du VPC local |
Règles sortantes du groupe de sécurité pour - AWS OnPrem-VPC01
| Type | Protocole | Plage de ports | Destination | Type de trafic |
|---|---|---|---|---|
| Tout le trafic | Tous | Tous | 0,0.0. 0/0 | Tout le trafic |
Pour obtenir des instructions détaillées sur la création et l'ajout de règles à vos groupes de sécurité, veuillez consulter Working with security groups (français non garanti).