Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 1 : Configuration de votre AWS environnement pour AWS Managed Microsoft AD Active Directory
Avant de créer AWS Managed Microsoft AD dans votre laboratoire de AWS test, vous devez d'abord configurer votre paire de clés Amazon EC2 afin que toutes les données de connexion soient cryptées.
Création d’une paire de clés
Si vous possédez déjà une paire de clés, vous pouvez ignorer cette étape. Pour plus d'informations sur les paires de clés Amazon EC2, consultez la section Créer des paires de clés.
Pour créer une paire de clés
Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/ec2/
-
Dans le volet de navigation, sous Réseau et sécurité, choisissez Paires de clés, puis sélectionnez Créer une paire de clés.
-
Pour Key pair name (Nom de la paire de clés), saisissez
AWS-DS-KP. Pour Key pair file format (Format de fichier de la paire de clés), sélectionnez pem, puis choisissez Create (Créer). -
Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier est le nom que vous avez spécifié lorsque vous avez créé votre paire de clés, suivi de l'extension
.pem. Enregistrez le fichier de clé privée en lieu sûr.Important
C’est votre seule occasion d’enregistrer le fichier de clé privée. Vous devez indiquer le nom de votre paire de clés quand vous lancez une instance, ainsi que la clé privée correspondante chaque fois que vous déchiffrez le mot de passe de l'instance.
Créez, configurez et associez deux Amazon VPCs
Comme le montre l'illustration suivante, à la fin de ce processus en plusieurs étapes, vous aurez créé et configuré deux sous-réseaux publics VPCs, deux sous-réseaux publics par VPC, une passerelle Internet par VPC et une connexion VPC Peering entre les. VPCs Nous avons choisi d'utiliser des réseaux publics VPCs et des sous-réseaux pour des raisons de simplicité et de coût. Pour les charges de travail de production, nous vous recommandons d'utiliser le mode privé VPCs. Pour de plus amples informations sur l'amélioration de la sécurité VPC, veuillez consulter Security in Amazon Virtual Private Cloud (français non garanti).
Tous les AWS CLI PowerShell exemples utilisent les informations VPC ci-dessous et sont intégrés dans us-west-2. Vous pouvez choisir n'importe quelle région prise en charge pour créer votre environnement. Pour de plus amples informations, veuillez consulter What is Amazon VPC? (français non garanti).
Étape 1 : Créez deux VPCs
Au cours de cette étape, vous devez en créer deux VPCs dans le même compte en utilisant les paramètres spécifiés dans le tableau suivant. AWS Managed Microsoft AD prend en charge l'utilisation de comptes distincts avec Partagez votre Microsoft AD AWS géré cette fonctionnalité. Le premier VPC sera utilisé pour Managed AWS Microsoft AD. Le deuxième VPC sera utilisé pour des ressources qui pourront servir plus tard dans Tutoriel : Création d'une relation de confiance entre AWS Managed Microsoft AD et une installation Active Directory autogérée sur Amazon EC2.
|
Informations sur les VPC Active Directory gérés |
Informations sur le VPC sur site |
|---|---|
|
Porte-nom : AWS-DS- VPC01 IPv4 Bloc CIDR : 10.0.0.0/16 IPv6 Bloc CIDR : aucun bloc IPv6 CIDR Location : Par défaut |
Porte-nom : AWS- OnPrem - VPC01 IPv4 Bloc CIDR : 10.100.0.0/16 IPv6 Bloc CIDR : aucun bloc IPv6 CIDR Location : Par défaut |
Pour obtenir des instructions détaillées, veuillez consulter Creating a VPC (français non garanti).
Étape 2 : Créer deux sous-réseaux par VPC
Après avoir créé le, VPCs vous devez créer deux sous-réseaux par VPC en utilisant les paramètres spécifiés dans le tableau suivant. Pour ce laboratoire de test, chaque sous-réseau sera de type /24. Cela permet d'émettre jusqu'à 256 adresses par sous-réseau. Chaque sous-réseau doit être un dans une zone de disponibilité distincte. Mettre chaque sous-réseau dans une zone de disponibilité distincte est un des Conditions préalables à la création d'un Microsoft AWS AD géré.
|
AWS Informations sur le VPC01 sous-réseau -DS- : |
AWS- OnPrem - informations sur le VPC01 sous-réseau |
|---|---|
|
Balise de nom : AWS-DS- -Subnet01 VPC01 VPC : AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zone de disponibilité : us-west-2a IPv4 Bloc CIDR : 10.0.0.0/24 |
Balise de nom : AWS- OnPrem - VPC01 -Subnet01 VPC : AWS vpc-xxxxxxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zone de disponibilité : us-west-2a IPv4 Bloc CIDR : 10.100.0.0/24 |
|
Balise de nom : AWS-DS- -Subnet02 VPC01 VPC : AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zone de disponibilité : us-west-2b IPv4 Bloc CIDR : 10.0.1.0/24 |
Balise de nom : AWS- OnPrem - VPC01 -Subnet02 VPC : AWS vpc-xxxxxxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zone de disponibilité : us-west-2b IPv4 Bloc CIDR : 10.100.1.0/24 |
Pour obtenir des instructions détaillées, veuillez consulter Creating a subnet in your VPC (français non garanti).
Étape 3 : Créez et connectez une passerelle Internet Gateway à votre VPCs
Puisque nous utilisons des VPC publics, vous devrez créer et attacher une passerelle Internet à vos VPC en utilisant les paramètres spécifiés dans le tableau suivant. Cela vous donnera la possibilité de vous connecter à vos instances EC2 et de les gérer.
|
AWS-DS- Informations VPC01 sur Internet Gateway |
AWS- OnPrem - Informations VPC01 sur Internet Gateway |
|---|---|
|
Porte-nom : AWS-DS- -IGW VPC01 VPC : AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 |
Porte-nom : AWS- OnPrem - VPC01 -IGW VPC : AWS vpc-xxxxxxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Pour obtenir des instructions détaillées, veuillez consulter Internet gateways (français non garanti).
Étape 4 : Configuration d'une connexion d'appairage VPC entre AWS-DS- et - - VPC01 AWS OnPrem VPC01
Comme vous en avez déjà créé deux VPCs auparavant, vous devrez les mettre en réseau à l'aide de l'appairage VPC en utilisant les paramètres spécifiés dans le tableau suivant. Bien qu'il existe de nombreuses façons de vous connecter VPCs, ce didacticiel utilisera le peering VPC. AWS Managed Microsoft AD prend en charge de nombreuses solutions pour vous connecter VPCs, notamment le peering VPC, Transit Gateway et VPN.
|
Étiquette nominative de connexion d'appairage : AWS-DS- VPC01 &AWS- - OnPrem -Peer VPC01 VPC (demandeur) : vpc-xxxxxxxxxxxxxxxxx -DS- AWS VPC01 Compte : Mon compte Région : Cette région VPC (Accepter) : vpc-xxxxxxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
Pour obtenir des instructions sur la création d'une connexion d'appairage de VPC avec un autre VPC depuis votre compte, veuillez consulter Creating a VPC peering connection with another VPC in your account (français non garanti).
Étape 5 : ajouter deux routes à la table de routage principale de chaque VPC
Pour que les passerelles Internet et la connexion d'appairage VPC créées au cours des étapes précédentes soient fonctionnelles, vous devez mettre à jour la table de routage principale des VPCs deux à l'aide des paramètres spécifiés dans le tableau suivant. Vous allez ajouter deux routes : 0.0.0.0/0, qui desservira toutes les destinations non explicitement connues de la table de routage et 10.0.0.0/16 ou 10.100.0.0/16, qui desservira chaque VPC via la connexion d'appairage de VPC établie ci-dessus.
Vous pouvez facilement trouver la bonne table de routage pour chaque VPC en filtrant sur le nom du VPC (AWS-DS- ou - -VPC01 ). AWS OnPrem VPC01
|
AWS Informations sur la VPC01 route 1 -DS- |
AWS Informations sur la VPC01 route 2 -DS- |
AWS- OnPrem - Informations sur l'VPC01 itinéraire 1 |
AWS- OnPrem - Informations sur l'VPC01 itinéraire 2 |
|---|---|---|---|
|
Destination : 0.0.0.0/0 Cible : igw-xxxxxxxxxxxxxxxxx -DS- -IGW AWS VPC01 |
Destination : 10.100.0.0/16 Cible : pcx-xxxxxxxxxxxxxxxxx AWS-DS- & - - -Peer VPC01 AWS OnPrem VPC01 |
Destination : 0.0.0.0/0 Cible : AWS igw-xxxxxxxxxxxxxxxxx -Onprem- VPC01 |
Destination : 10.0.0.0/16 Cible : pcx-xxxxxxxxxxxxxxxxx AWS-DS- & - - -Peer VPC01 AWS OnPrem VPC01 |
Pour obtenir des instructions sur l'ajout de routes à une table de routage de VPC, veuillez consulter Adding and removing routes from a route table (français non garanti).
Création de groupes de sécurité pour les instances Amazon EC2
Par défaut, AWS Managed Microsoft AD crée un groupe de sécurité pour gérer le trafic entre ses contrôleurs de domaine. Dans cette section, vous devrez créer 2 groupes de sécurité (un pour chaque VPC) qui seront utilisés pour gérer le trafic dans votre VPC pour vos instances EC2 à l'aide des paramètres spécifiés dans les tableaux suivants. Vous allez également ajouter une règle qui autorise le trafic entrant RDP (3389) entrant depuis n'importe où et pour tous les types de trafic entrant depuis le VPC local. Pour en savoir plus, veuillez consulter la section Amazon EC2 security groups for Windows instances (français non garanti).
|
AWS Informations sur le groupe de VPC01 sécurité -DS- : |
|---|
|
Nom du groupe de sécurité : AWS DS Test Lab Security Group Description : Groupe de sécurité AWS DS Test Lab VPC : AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 |
Règles entrantes des groupes de sécurité pour AWS-DS- VPC01
| Type | Protocole | Plage de ports | Source | Type de trafic |
|---|---|---|---|---|
| Destination | TCP | 3389 | Mon IP | Bureau à distance |
| Tout le trafic | Tous | Tous | 10.0.0.0/16 | Tout le trafic du VPC local |
Règles de sortie du groupe de sécurité pour AWS-DS- VPC01
| Type | Protocole | Plage de ports | Destination | Type de trafic |
|---|---|---|---|---|
| Tout le trafic | Tous | Tous | 0.0.0.0/0 | Tout le trafic |
| AWS- OnPrem - informations sur le groupe de VPC01 sécurité : |
|---|
|
Nom du groupe de sécurité : AWS OnPrem Test Lab Security Group. Description : Groupe de sécurité du laboratoire de AWS OnPrem test. VPC : AWS vpc-xxxxxxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Règles de trafic entrant des groupes de sécurité pour AWS- - OnPrem VPC01
| Type | Protocole | Plage de ports | Source | Type de trafic |
|---|---|---|---|---|
| Destination | TCP | 3389 | Mon IP | Bureau à distance |
| Destination | TCP | 53 | 10.0.0.0/16 | DNS |
| Destination | TCP | 88 | 10.0.0.0/16 | Kerberos |
| Destination | TCP | 389 | 10.0.0.0/16 | LDAP |
| Destination | TCP | 464 | 10.0.0.0/16 | Mot de passe Kerberos (modification/définition) |
| Destination | TCP | 445 | 10.0.0.0/16 | SMB / CIFS |
| Destination | TCP | 135 | 10.0.0.0/16 | Réplication |
| Destination | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| Destination | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| Destination | TCP | 3268 ‑ 3269 | 10.0.0.0/16 | LDAP GC & LDAP GC SSL |
| Règle UDP personnalisée | UDP | 53 | 10.0.0.0/16 | DNS |
| Règle UDP personnalisée | UDP | 88 | 10.0.0.0/16 | Kerberos |
| Règle UDP personnalisée | UDP | 123 | 10.0.0.0/16 | Heure Windows |
| Règle UDP personnalisée | UDP | 389 | 10.0.0.0/16 | LDAP |
| Règle UDP personnalisée | UDP | 464 | 10.0.0.0/16 | Mot de passe Kerberos (modification/définition) |
| Tout le trafic | Tous | Tous | 10.100.0.0/16 | Tout le trafic du VPC local |
Règles de sortie des groupes de sécurité pour AWS- - OnPrem VPC01
| Type | Protocole | Plage de ports | Destination | Type de trafic |
|---|---|---|---|---|
| Tout le trafic | Tous | Tous | 0.0.0.0/0 | Tout le trafic |
Pour obtenir des instructions détaillées sur la création et l'ajout de règles à vos groupes de sécurité, veuillez consulter Working with security groups (français non garanti).
