Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Tutoriel : Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre domaine Active Directory autogéré Ce didacticiel explique toutes les étapes nécessaires à la mise en place d'une relation de confiance entre AWS Directory Service for Microsoft Active Directory et votre Microsoft Active Directory autogéré (sur site). Même si la création de la relation d'approbation ne requiert que quelques étapes, vous devez d'abord effectuer les étapes préalables suivantes. **Topics** + [ # Conditions préalables ](before_you_start.md) + [ # Étape 1 : préparer votre domaine AD autogéré ](ms_ad_tutorial_setup_trust_prepare_onprem.md) + [ # Étape 2 : Préparation de votre Microsoft AD AWS géré ](ms_ad_tutorial_setup_trust_prepare_mad.md) + [ # Étape 3 : créer la relation d'approbation ](ms_ad_tutorial_setup_trust_create.md) **Voir aussi** [Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md) # Conditions préalables Le didacticiel présume que vous avez déjà effectué les étapes suivantes : **Note** AWS Managed Microsoft AD ne prend pas en charge la confiance avec les [domaines à étiquette unique](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains). + Un répertoire Microsoft AD AWS géré créé le AWS. Si vous avez besoin d'aide pour effectuer l'opération, veuillez consulter [Commencer à utiliser AWS Managed Microsoft AD](ms_ad_getting_started.md). + Une instance EC2 en cours d'exécution Windows a été ajoutée à cette instance Microsoft AD AWS gérée. Si vous avez besoin d'aide pour effectuer l'opération, veuillez consulter [Joindre une instance Windows Amazon EC2 à votre répertoire AWS Microsoft AD Active Directory géré](launching_instance.md). **Important** Le compte administrateur de votre AWS Managed Microsoft AD doit disposer d'un accès administratif à cette instance. + Les outils de Windows serveur suivants sont installés sur cette instance : + Outils AD DS et AD LDS + DNS Si vous avez besoin d'aide pour effectuer l'opération, veuillez consulter [Installation des outils d'administration Active Directory pour Microsoft AD AWS géré](ms_ad_install_ad_tools.md). + Annuaire Microsoft Active Directory (sur site) autogéré Vous devez disposer d'un accès administratif à cet annuaire. Les mêmes outils de Windows serveur que ceux répertoriés ci-dessus doivent également être disponibles pour ce répertoire. + Une connexion active entre votre réseau autogéré et le VPC contenant votre Microsoft AD AWS géré. Si vous avez besoin d'aide pour effectuer l'opération, veuillez consulter la section [Amazon Virtual Private Cloud Connectivity Options](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf) (français non garanti). + Une politique de sécurité locale définie correctement. Vérifiez `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` et assurez-vous que ce paramètre contient au moins les trois canaux nommés suivants : + netlogon + samr + lsarpc + Les noms de domaine et NetBIOS doivent être uniques et ne peuvent pas être identiques pour établir une relation de confiance. Pour plus d'informations sur les prérequis relatifs à la création d'une relation de confiance, veuillez consulter [Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md). ## Configuration du didacticiel Pour ce didacticiel, nous avons déjà créé un domaine Microsoft AD AWS géré et un domaine autogéré. Le réseau autogéré est connecté au VPC de AWS Managed Microsoft AD. Voici les propriétés des deux annuaires : ### AWS Microsoft AD géré s'exécutant sur AWS + Nom de domaine (FQDN) : MyManaged AD.Example.com + Nom NetBIOS : AD MyManaged + Adresses DNS : 10.0.10.246, 10.0.20.121 + CIDR VPC : 10.0.0.0/16 Le Microsoft AD AWS géré réside dans l'ID VPC : vpc-12345678. ### Domaine Microsoft AD AWS autogéré ou géré + Nom de domaine (FQDN) : corp.example.com + Nom NetBIOS : CORP + Adresses DNS : 172.16.10.153 + CIDR autogéré : 172.16.0.0/16 **Étape suivante** [Étape 1 : préparer votre domaine AD autogéré](ms_ad_tutorial_setup_trust_prepare_onprem.md) # Étape 1 : préparer votre domaine AD autogéré Tout d'abord, vous devez suivre plusieurs étapes préalables sur votre domaine (sur site) autogéré. ## Configurer votre pare-feu autogéré Vous devez configurer votre pare-feu autogéré de manière à ce que les ports suivants soient ouverts à tous CIDRs les sous-réseaux utilisés par le VPC qui contient votre Microsoft AD géré AWS . Dans ce didacticiel, nous autorisons le trafic entrant et sortant depuis la version 10.0.0.0/16 (le bloc CIDR du VPC de notre Managed AWS Microsoft AD) sur les ports suivants : + TCP/UDP 53 ‑ DNS + TCP/UDP 88 ‑ Authentification Kerberos + TCP/UDP 389 - Protocole LDAP (Lightweight Directory Access Protocol) + TCP 445 - Bloc de messages du serveur (SMB) + TCP 9389 - Active Directory Web Services (ADWS) (*facultatif* - Ce port doit être ouvert si vous souhaitez utiliser votre nom NetBIOS au lieu de votre nom de domaine complet pour vous authentifier auprès d'applications telles qu'Amazon ou AWS WorkDocs Amazon Quick.) **Note** SMBv1 n'est plus pris en charge. Il s'agit des ports minimum nécessaires pour connecter le VPC à l'annuaire autogéré. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires. ## Vérification de l'activation de l'authentification préalable Kerberos Les comptes d'utilisateur dans les deux annuaires doivent avoir une pré-authentification Kerberos activée. Il s'agit de la configuration par défaut, mais vérifiez les propriétés d'un utilisateur choisi de manière aléatoire afin de vous assurer que rien n'a changé. **Pour afficher les paramètres Kerberos de l'utilisateur** 1. Sur votre contrôleur de domaine autogéré, ouvrez le Gestionnaire de serveur. 1. Dans le menu **Tools**, choisissez **Active Directory Users and Computers**. 1. Choisissez le dossier **Utilisateurs** et ouvrez le menu contextuel (clic droit). Sélectionnez un compte utilisateur de manière aléatoire parmi ceux répertoriés dans le volet droit. Choisissez **Propriétés**. 1. Choisissez l'onglet **Account**. Parcourez la liste **Account options** vers le bas pour vérifier que l'option **Do not require Kerberos preauthentication** n'est *pas* cochée. ![\[La boîte de dialogue Corp User Properties avec l'option de compte ne nécessite pas que la préauthentification Kerberos soit mise en évidence.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/kerberos_enabled.png) ## Configuration des redirecteurs conditionnels DNS pour votre domaine autogéré Vous devez configurer des redirecteurs conditionnels DNS sur chaque domaine. Avant de procéder à cette opération sur votre domaine autogéré, vous allez d'abord obtenir des informations sur votre AWS Managed Microsoft AD. **Pour configurer les redirecteurs conditionnels sur votre domaine autogéré** 1. Connectez-vous à la [AWS Directory Service console AWS Management Console et ouvrez-la](https://console.aws.amazon.com/directoryservicev2/). 1. Dans le volet de navigation, sélectionnez **Directories**. 1. Choisissez l'ID de répertoire de votre AWS Managed Microsoft AD. 1. Sur la page **Details (Détails)**, notez les valeurs des zones **Directory name (Nom de l'annuaire)** et **DNS address (Adresse DNS)** de votre annuaire. 1. Retournez maintenant à votre contrôleur de domaine autogéré. Ouvrez le Gestionnaire de serveur. 1. Dans le menu **Tools**, choisissez **DNS**. 1. Dans l'arborescence de la console, développez le serveur DNS du domaine pour lequel vous configurez la relation d'approbation. Notre serveur est CN7 VJ0 WIN-5V70 .corp.example.com. 1. Dans l'arborescence de la console, sélectionnez **Conditional Forwarders**. 1. Dans le menu **Action**, choisissez **New conditional forwarder**. 1. Dans le **domaine DNS**, tapez le nom de domaine complet (FQDN) de votre AWS Managed Microsoft AD, comme vous l'avez indiqué précédemment. Dans cet exemple, le FQDN est MyManaged AD.Example.com. 1. Choisissez **les adresses IP des serveurs principaux** et saisissez les adresses DNS de votre annuaire Microsoft AD AWS géré, comme vous l'avez indiqué précédemment. Dans cet exemple, il s'agit de : 10.0.10.246, 10.0.20.121 Après avoir saisi les adresses DNS, il se peut que l'erreur « timeout » ou « Impossible à résoudre » s'affiche. Vous pouvez généralement ignorer ces erreurs. ![\[Nouvelle boîte de dialogue du redirecteur conditionnel avec les adresses IP des serveurs DNS surlignées.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png) 1. Sélectionnez **Store this conditional forwarder in Active Directory, and replicate it as follows**. 1. Sélectionnez **All DNS servers in this domain**, puis cliquez sur **OK**. **Étape suivante** [Étape 2 : Préparation de votre Microsoft AD AWS géré](ms_ad_tutorial_setup_trust_prepare_mad.md) # Étape 2 : Préparation de votre Microsoft AD AWS géré Préparons maintenant votre Microsoft AD AWS géré pour la relation de confiance. Une grande partie des étapes suivantes est quasi-identique aux opérations que vous venez d'effectuer pour votre domaine autogéré. Toutefois, cette fois, vous travaillez avec votre AWS Managed Microsoft AD. ## Configuration de vos groupes de sécurité et sous-réseaux VPC Vous devez autoriser le trafic de votre réseau autogéré vers le VPC contenant votre Microsoft AD AWS géré. Pour ce faire, vous devez vous assurer que les règles ACLs associées aux sous-réseaux utilisés pour déployer votre AWS Managed Microsoft AD et les règles de groupe de sécurité configurées sur vos contrôleurs de domaine autorisent toutes deux le trafic requis pour soutenir les approbations. Les exigences relatives aux ports varient en fonction de la version de Windows Server utilisée par vos contrôleurs de domaine et les services ou applications qui utiliseront l'approbation. Dans le cadre de ce didacticiel, vous devez ouvrir les ports suivants : **Entrant** + TCP/UDP 53 ‑ DNS + TCP/UDP 88 ‑ Authentification Kerberos + UDP 123 - NTP + TCP 135 - RPC + TCP/UDP 389 ‑ LDAP + TCP/UDP 445 - SMB + TCP/UDP 464 ‑ Authentification Kerberos + TCP 636 - LDAPS (LDAP sur TLS/SSL) + TCP 3268-3269 - Catalogue global + TCP/UDP 49152-65535 - Ports éphémères pour RPC **Note** SMBv1 n'est plus pris en charge. **Sortant** + ALL **Note** Il s'agit des ports minimum nécessaires pour connecter le VPC et l'annuaire autogéré. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires. **Pour configurer les règles sortantes et entrantes de votre contrôleur de domaine Microsoft AD AWS géré** 1. Revenez à la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). Dans la liste des annuaires, notez l'ID du répertoire de votre annuaire Microsoft AD AWS géré. 1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). 1. Dans le panneau de navigation, choisissez **Groupes de sécurité**. 1. Utilisez le champ de recherche pour rechercher votre ID d'annuaire Microsoft AD AWS géré. Dans les résultats de recherche, sélectionnez le groupe de sécurité avec la description**AWS created security group for *yourdirectoryID* directory controllers**. ![\[Dans la console Amazon VPC, les résultats de recherche relatifs au groupe de sécurité pour les contrôleurs d'annuaire sont mis en évidence.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/security-group-search.png) 1. Accédez à l'onglet **Outbound Rules** de ce groupe de sécurité. Choisissez **Modifier les règles sortantes**, puis **Ajouter une règle**. Pour la nouvelle règle, saisissez les valeurs suivantes : + **Type** : ALL Traffic + **Protocole** : ALL + La **Destination** détermine le trafic qui peut quitter vos contrôleurs de domaine et où il peut aller. Indiquez une adresse IP unique ou une plage d'adresses IP dans une notation CIDR (par exemple, 203.0.113.5/32). Vous pouvez également indiquer le nom ou l'ID d'un autre groupe de sécurité dans la même région. Pour de plus amples informations, veuillez consulter [Comprenez la configuration et l'utilisation AWS des groupes de sécurité de votre annuaire](ms_ad_best_practices.md#understandsecuritygroup). 1. Sélectionnez **Enregistrer la règle**. ![\[Dans la console Amazon VPC, modifiez les règles sortantes pour les groupes de sécurité des contrôleurs d'annuaire.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png) ## Vérification de l'activation de l'authentification préalable Kerberos Vous voulez maintenant vérifier que la pré-authentification Kerberos est également activée pour les utilisateurs de votre Microsoft AD AWS géré. Il s'agit du même processus que celui que vous venez d'effectuer pour votre annuaire autogéré. Il s'agit de la valeur par défaut, mais nous allons vérifier que rien n'a changé. **Pour afficher les paramètres Kerberos utilisateur** 1. Connectez-vous à une instance membre de votre annuaire Microsoft AD AWS géré en utilisant soit le compte correspondant au [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md) domaine, soit un compte auquel des autorisations ont été déléguées pour gérer les utilisateurs du domaine. 1. Si ce n'est pas encore fait, installez les outils Utilisateurs et ordinateurs Active Directory et DNS. Découvrez comment installer ces outils dans [Installation des outils d'administration Active Directory pour Microsoft AD AWS géré](ms_ad_install_ad_tools.md). 1. Ouvrez le Gestionnaire de serveur. Dans le menu **Tools**, choisissez **Active Directory Users and Computers**. 1. Choisissez le dossier **Users** dans votre domaine. Notez qu'il s'agit du dossier **Users** sous votre nom NetBIOS, et non du dossier **Users ** sous le nom de domaine complet (FQDN). ![\[Dans la boîte de dialogue Utilisateurs et ordinateurs Active Directory, le dossier Utilisateurs est surligné.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/correct_users_folder.png) 1. Dans la liste des utilisateurs, cliquez avec le bouton droit sur un utilisateur, puis choisissez **Properties (Propriétés)**. 1. Choisissez l'onglet **Account**. Dans la liste **Account options**, vérifiez que l'option **Do not require Kerberos preauthentication** n'est *pas* cochée. **Étape suivante** [Étape 3 : créer la relation d'approbation](ms_ad_tutorial_setup_trust_create.md) # Étape 3 : créer la relation d'approbation Maintenant que le travail de préparation est terminé, les étapes finales consistent à créer les approbations. Vous créez d'abord la confiance sur votre domaine autogéré, puis enfin sur votre AWS Managed Microsoft AD. Si vous avez des problèmes lors du processus de création de la relation d'approbation, veuillez consulter [Raisons liées aux statuts de création d'une relation d'approbation](ms_ad_troubleshooting_trusts.md) pour obtenir de l'aide. ## Configurer l'approbation dans votre annuaire Active Directory autogéré Dans ce didacticiel, configurez une relation d'approbation de forêt bidirectionnelle. Toutefois, si vous créez une relation d'approbation de forêt unidirectionnelle, sachez que les directions d'approbation sur chacun de vos domaines doivent être complémentaires. Par exemple, si vous créez une approbation unidirectionnelle sortante sur votre domaine autogéré, vous devez créer une approbation unidirectionnelle entrante sur votre AWS Microsoft AD géré. **Note** AWS Managed Microsoft AD prend également en charge les approbations externes. Toutefois, dans le cadre de ce didacticiel, vous allez créer une approbation de forêt birectionnelle. **Pour configurer la confiance dans votre Active Directory autogéré** 1. Ouvrez le Gestionnaire de serveur, puis dans le menu **Tools**, choisissez **Active Directory Domains and Trusts**. 1. Ouvrez le menu contextuel (clic droit) de votre domaine, puis choisissez **Properties**. 1. Choisissez l'onglet **Trusts**, puis choisissez **New trust**. Tapez le nom de votre Microsoft AD AWS géré et choisissez **Next**. 1. Choisissez **Forest trust**. Choisissez **Suivant**. 1. Choisissez **Two-way**. Choisissez **Suivant**. 1. Choisissez **This domain only**. Choisissez **Suivant**. 1. Choisissez **Forest-wide authentication**. Choisissez **Suivant**. 1. Saisissez un **mot de passe d'approbation**. N'oubliez pas ce mot de passe, car vous en aurez besoin lors de la configuration de l'approbation pour votre AWS Managed Microsoft AD. 1. Dans la boîte de dialogue suivante, confirmez vos paramètres et choisissez **Next**. Confirmez que la relation d'approbation a été créée avec succès, puis choisissez à nouveau **Next**. 1. Choisissez **No, do not confirm the outgoing trust**. Choisissez **Suivant**. 1. Choisissez **No, do not confirm the incoming trust**. Choisissez **Suivant**. ## Configurez la confiance dans votre annuaire Microsoft AD AWS géré Enfin, vous configurez la relation d'approbation de la forêt avec votre répertoire Microsoft AD AWS géré. Comme vous avez créé une approbation forestière bidirectionnelle sur le domaine autogéré, vous créez également une approbation bidirectionnelle à l'aide de votre répertoire AWS Microsoft AD géré. **Note** Les relations de confiance sont une fonctionnalité globale de AWS Managed Microsoft AD. Si vous utilisez [Configuration de la réplication multirégionale pour AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md), les procédures suivantes doivent être effectuées dans [Région principale](multi-region-global-primary-additional.md#multi-region-primary). Les modifications seront appliquées automatiquement à toutes les régions répliquées. Pour de plus amples informations, veuillez consulter [Caractéristiques mondiales et régionales](multi-region-global-region-features.md). **Pour configurer la confiance dans votre annuaire Microsoft AD AWS géré** 1. Revenez à la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). 1. Sur la page **Répertoires**, choisissez votre identifiant Microsoft AD AWS géré. 1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes : + Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md). + Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Réseau et sécurité**. 1. Dans la section **Trust relationships (Relations d'approbation)**, choisissez **Actions**, puis sélectionnez **Add trust relationship (Ajouter une relation d'approbation)**. 1. Sur la page **Ajouter une relation d'approbation**, spécifiez le type de confiance. Dans ce cas, nous avons choisi **Approbation de forêt**. Entrez le nom de domaine complet de votre domaine autogéré (dans ce didacticiel **corp.example.com**). Tapez le même mot de passe de relation d'approbation que vous avez utilisé lors de la création de la relation d'approbation sur votre domaine autogéré. Spécifiez la direction. Dans ce cas, nous choisissons **Bidirectionnelle**. 1. Dans le champ **Redirecteur conditionnel**, entrez l'adresse IP de votre serveur DNS autogéré. Pour cet exemple, entrez 172.16.10.153. 1. (Facultatif) Choisissez **Ajouter une autre adresse IP**, puis entrez une deuxième adresse IP pour votre serveur DNS sur site. Vous pouvez spécifier un maximum de quatre serveurs DNS. 1. Choisissez **Ajouter**. Félicitations \$1 Vous disposez désormais d'une relation de confiance entre votre domaine autogéré (corp.example.com) et votre AWS Microsoft AD géré (AD.example.com). MyManaged Une seule relation peut être configurée entre ces deux domaines. Si vous souhaitez par exemple passer à une direction d'approbation unidirectionnelle, vous devrez tout d'abord supprimer cette relation d'approbation existante, puis en créer une autre. Pour plus d'informations, notamment pour obtenir les instructions de vérification ou de suppression d'une approbation, veuillez consulter [Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md).