Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Tutoriels de laboratoire de test Microsoft AD gérés
Cette section propose une série de didacticiels guidés destinés à vous aider à créer un environnement de laboratoire de test dans AWS lequel vous pourrez expérimenter avec AWS Managed Microsoft AD.
**Topics**
+ [
# Tutoriel : Configuration de votre laboratoire de test Microsoft AD AWS géré de base dans AWS
](ms_ad_tutorial_test_lab_base.md)
+ [
# Tutoriel : Création d'une relation de confiance entre AWS Managed Microsoft AD et une installation Active Directory autogérée sur Amazon EC2
](ms_ad_tutorial_test_lab_trust.md)
# Tutoriel : Configuration de votre laboratoire de test Microsoft AD AWS géré de base dans AWS
Ce didacticiel vous explique comment configurer votre AWS environnement pour préparer une nouvelle installation de AWS Managed Microsoft AD qui utilise une nouvelle instance Amazon EC2 exécutant Windows Server 2019. Il vous apprend ensuite à utiliser les outils d'administration Active Directory classiques pour gérer votre environnement Microsoft AD AWS géré à partir de votre instance Windows EC2. À la fin du didacticiel, vous aurez défini les conditions requises pour le réseau et configuré une nouvelle forêt Microsoft AD AWS gérée.
Comme le montre l'illustration suivante, l'atelier que vous créez à partir de ce didacticiel est l'élément de base de l'apprentissage pratique de AWS Managed Microsoft AD. Vous pourrez ensuite ajouter des didacticiels facultatifs pour améliorer votre expérience pratique. Cette série de didacticiels est idéale pour toute personne qui débute avec AWS Managed Microsoft AD et qui souhaite bénéficier d'un environnement de test à des fins d'évaluation. Ce didacticiel vous prendra environ 1 heure.
![\[Schéma illustrant les étapes du didacticiel : 1 configurez votre environnement, 2 créez votre Microsoft AD AWS géré, 3 déployez un Amazon EC2 et 4 testez le laboratoire.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)
**[Étape 1 : Configuration de votre AWS environnement pour AWS Managed Microsoft AD Active Directory](microsoftadbasestep1.md)**
Une fois que vous avez terminé vos tâches prérequises, vous créez et configurez un Amazon VPC dans votre instance EC2.
**[Étape 2 : Création de votre répertoire Microsoft AD Active Directory AWS géré](microsoftadbasestep2.md)**
Au cours de cette étape, vous configurez AWS Managed Microsoft AD AWS pour la première fois.
**[Étape 3 : Déployer une instance Amazon EC2 pour gérer votre annuaire AWS Microsoft AD Active Directory géré](microsoftadbasestep3.md)**
Vous allez ici exécuter les différentes tâches post-déploiement nécessaires pour que les ordinateurs clients puissent se connecter à votre nouveau domaine et configurer un nouveau système Windows Server dans EC2.
**[Étape 4 : vérifier que l'atelier de test de base est opérationnel](microsoftadbasestep4.md)**
Enfin, en tant qu'administrateur, vous devez vérifier que vous pouvez vous identifier et vous connecter à AWS Managed Microsoft AD depuis votre système Windows Server dans EC2. Une fois que vous aurez confirmé que le laboratoire est opérationnel, vous pourrez continuer d'ajouter d'autres modules guides de votre atelier de test.
# Conditions préalables
Si vous prévoyez de suivre uniquement les étapes de l'interface utilisateur décrites dans ce didacticiel pour créer votre atelier de test, vous pouvez ignorer cette section préalable et passer directement à l'étape 1. Toutefois, si vous prévoyez d'utiliser des AWS CLI commandes ou des AWS Tools for Windows PowerShell modules pour créer votre environnement de laboratoire de test, vous devez d'abord configurer les éléments suivants :
+ **Utilisateur IAM avec l'accès et la clé d'accès secrète** — Un utilisateur IAM avec une clé d'accès est requis si vous souhaitez utiliser les modules AWS CLI or AWS Tools for Windows PowerShell . Si vous n'avez pas de clé d'accès, veuillez consulter la section [Creating, modifying, and viewing access keys (AWS Management Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) (français non garanti).
+ **AWS Command Line Interface (facultatif)** — Téléchargez et [installez AWS CLI le sous Windows](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). Une fois installé, ouvrez l'invite de commande ou PowerShell la fenêtre, puis tapez`aws configure`. Notez que vous avez besoin de la clé d'accès et de la clé secrète pour effectuer la configuration. Référez-vous au premier prérequis pour savoir comment procéder. Vous devrez renseigner les informations suivantes :
+ AWS ID de clé d'accès [Aucun] : `AKIAIOSFODNN7EXAMPLE`
+ AWS clé d'accès secrète [Aucune] : `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ Default Region name [None] : `us-west-2`
+ Default output format [None] : `json`
+ **AWS Tools for Windows PowerShell****(facultatif)** — Téléchargez et installez la dernière version AWS Tools for Windows PowerShell du formulaire [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/), puis exécutez la commande suivante. Notez que vous avez besoin de votre clé d'accès et de votre clé secrète pour effectuer la configuration. Référez-vous au premier prérequis pour savoir comment procéder.
`Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`
# Étape 1 : Configuration de votre AWS environnement pour AWS Managed Microsoft AD Active Directory
Avant de créer AWS Managed Microsoft AD dans votre laboratoire de AWS test, vous devez d'abord configurer votre paire de clés Amazon EC2 afin que toutes les données de connexion soient cryptées.
## Création d’une paire de clés
Si vous possédez déjà une paire de clés, vous pouvez ignorer cette étape. Pour plus d'informations sur les paires de clés Amazon EC2, consultez la section [Créer des paires de clés](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).
**Pour créer une paire de clés**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Dans le volet de navigation, sous **Réseau et sécurité**, choisissez **Paires de clés**, puis sélectionnez **Créer une paire de clés**.
1. Pour **Key pair name (Nom de la paire de clés)**, saisissez **AWS-DS-KP**. Pour **Key pair file format (Format de fichier de la paire de clés)**, sélectionnez **pem**, puis choisissez **Create (Créer)**.
1. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier est le nom que vous avez spécifié lorsque vous avez créé votre paire de clés, suivi de l'extension `.pem`. Enregistrez le fichier de clé privée en lieu sûr.
**Important**
C’est votre seule occasion d’enregistrer le fichier de clé privée. Vous devez indiquer le nom de votre paire de clés quand vous lancez une instance, ainsi que la clé privée correspondante chaque fois que vous déchiffrez le mot de passe de l'instance.
## Créez, configurez et associez deux Amazon VPCs
Comme le montre l'illustration suivante, à la fin de ce processus en plusieurs étapes, vous aurez créé et configuré deux sous-réseaux publics VPCs, deux sous-réseaux publics par VPC, une passerelle Internet par VPC et une connexion VPC Peering entre les. VPCs Nous avons choisi d'utiliser des réseaux publics VPCs et des sous-réseaux pour des raisons de simplicité et de coût. Pour les charges de travail de production, nous vous recommandons d'utiliser le mode privé VPCs. Pour de plus amples informations sur l'amélioration de la sécurité VPC, veuillez consulter [Security in Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html) (français non garanti).
![\[Environnement Amazon VPC avec sous-réseaux et passerelles Internet pour créer un répertoire AWS Microsoft AD Active Directory géré.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
Tous les AWS CLI PowerShell exemples utilisent les informations VPC ci-dessous et sont intégrés dans us-west-2. Vous pouvez choisir n'importe quelle [région prise en charge](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) pour créer votre environnement. Pour de plus amples informations, veuillez consulter [What is Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (français non garanti).
**Étape 1 : Créez deux VPCs**
Au cours de cette étape, vous devez en créer deux VPCs dans le même compte en utilisant les paramètres spécifiés dans le tableau suivant. AWS Managed Microsoft AD prend en charge l'utilisation de comptes distincts avec [Partagez votre Microsoft AD AWS géré](ms_ad_directory_sharing.md) cette fonctionnalité. Le premier VPC sera utilisé pour Managed AWS Microsoft AD. Le deuxième VPC sera utilisé pour des ressources qui pourront servir plus tard dans [Tutoriel : Création d'une relation de confiance entre AWS Managed Microsoft AD et une installation Active Directory autogérée sur Amazon EC2](ms_ad_tutorial_test_lab_trust.md).
****
| Informations sur les VPC Active Directory gérés | Informations sur le VPC sur site |
| --- | --- |
| Porte-nom : AWS-DS- VPC01 IPv4 Bloc CIDR : 10.0.0.0/16 IPv6 Bloc CIDR : aucun bloc IPv6 CIDR Location : Par défaut | Porte-nom : AWS- OnPrem - VPC01 IPv4 Bloc CIDR : 10.100.0.0/16 IPv6 Bloc CIDR : aucun bloc IPv6 CIDR Location : Par défaut |
Pour obtenir des instructions détaillées, veuillez consulter [Creating a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) (français non garanti).
**Étape 2 : Créer deux sous-réseaux par VPC**
Après avoir créé le, VPCs vous devez créer deux sous-réseaux par VPC en utilisant les paramètres spécifiés dans le tableau suivant. Pour ce laboratoire de test, chaque sous-réseau sera de type /24. Cela permet d'émettre jusqu'à 256 adresses par sous-réseau. Chaque sous-réseau doit être un dans une zone de disponibilité distincte. Mettre chaque sous-réseau dans une zone de disponibilité distincte est un des [Conditions préalables à la création d'un Microsoft AWS AD géré](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).
****
| AWS Informations sur le VPC01 sous-réseau -DS- : | AWS- OnPrem - informations sur le VPC01 sous-réseau |
| --- | --- |
| Balise de nom : AWS-DS- -Subnet01 VPC01 VPC : AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zone de disponibilité : us-west-2a IPv4 Bloc CIDR : 10.0.0.0/24 | Balise de nom : AWS- OnPrem - VPC01 -Subnet01 VPC : AWS vpc-xxxxxxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zone de disponibilité : us-west-2a IPv4 Bloc CIDR : 10.100.0.0/24 |
| Balise de nom : AWS-DS- -Subnet02 VPC01 VPC : AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zone de disponibilité : us-west-2b IPv4 Bloc CIDR : 10.0.1.0/24 | Balise de nom : AWS- OnPrem - VPC01 -Subnet02 VPC : AWS vpc-xxxxxxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zone de disponibilité : us-west-2b IPv4 Bloc CIDR : 10.100.1.0/24 |
Pour obtenir des instructions détaillées, veuillez consulter [Creating a subnet in your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet) (français non garanti).
**Étape 3 : Créez et connectez une passerelle Internet Gateway à votre VPCs**
Puisque nous utilisons des VPC publics, vous devrez créer et attacher une passerelle Internet à vos VPC en utilisant les paramètres spécifiés dans le tableau suivant. Cela vous donnera la possibilité de vous connecter à vos instances EC2 et de les gérer.
****
| AWS-DS- Informations VPC01 sur Internet Gateway | AWS- OnPrem - Informations VPC01 sur Internet Gateway |
| --- | --- |
| Porte-nom : AWS-DS- -IGW VPC01 VPC : AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 | Porte-nom : AWS- OnPrem - VPC01 -IGW VPC : AWS vpc-xxxxxxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Pour obtenir des instructions détaillées, veuillez consulter [Internet gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) (français non garanti).
**Étape 4 : Configuration d'une connexion d'appairage VPC entre AWS-DS- et - - VPC01 AWS OnPrem VPC01**
Comme vous en avez déjà créé deux VPCs auparavant, vous devrez les mettre en réseau à l'aide de l'appairage VPC en utilisant les paramètres spécifiés dans le tableau suivant. Bien qu'il existe de nombreuses façons de vous connecter VPCs, ce didacticiel utilisera le peering VPC. AWS [Managed Microsoft AD prend en charge de nombreuses solutions pour vous connecter VPCs, notamment le [peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) et VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)
****
| |
| --- |
| Étiquette nominative de connexion d'appairage : AWS-DS- VPC01 &AWS- - OnPrem -Peer VPC01 VPC (demandeur) : vpc-xxxxxxxxxxxxxxxxx -DS- AWS VPC01 Compte : Mon compte Région : Cette région VPC (Accepter) : vpc-xxxxxxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
Pour obtenir des instructions sur la création d'une connexion d'appairage de VPC avec un autre VPC depuis votre compte, veuillez consulter [Creating a VPC peering connection with another VPC in your account](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local) (français non garanti).
**Étape 5 : ajouter deux routes à la table de routage principale de chaque VPC**
Pour que les passerelles Internet et la connexion d'appairage VPC créées au cours des étapes précédentes soient fonctionnelles, vous devez mettre à jour la table de routage principale des VPCs deux à l'aide des paramètres spécifiés dans le tableau suivant. Vous allez ajouter deux routes : 0.0.0.0/0, qui desservira toutes les destinations non explicitement connues de la table de routage et 10.0.0.0/16 ou 10.100.0.0/16, qui desservira chaque VPC via la connexion d'appairage de VPC établie ci-dessus.
Vous pouvez facilement trouver la bonne table de routage pour chaque VPC en filtrant sur le nom du VPC (AWS-DS- ou - -VPC01 ). AWS OnPrem VPC01
****
| AWS Informations sur la VPC01 route 1 -DS- | AWS Informations sur la VPC01 route 2 -DS- | AWS- OnPrem - Informations sur l'VPC01 itinéraire 1 | AWS- OnPrem - Informations sur l'VPC01 itinéraire 2 |
| --- | --- | --- | --- |
| Destination : 0.0.0.0/0 Cible : igw-xxxxxxxxxxxxxxxxx -DS- -IGW AWS VPC01 | Destination : 10.100.0.0/16 Cible : pcx-xxxxxxxxxxxxxxxxx AWS-DS- & - - -Peer VPC01 AWS OnPrem VPC01 | Destination : 0.0.0.0/0 Cible : AWS igw-xxxxxxxxxxxxxxxxx -Onprem- VPC01 | Destination : 10.0.0.0/16 Cible : pcx-xxxxxxxxxxxxxxxxx AWS-DS- & - - -Peer VPC01 AWS OnPrem VPC01 |
Pour obtenir des instructions sur l'ajout de routes à une table de routage de VPC, veuillez consulter [Adding and removing routes from a route table](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes) (français non garanti).
## Création de groupes de sécurité pour les instances Amazon EC2
Par défaut, AWS Managed Microsoft AD crée un groupe de sécurité pour gérer le trafic entre ses contrôleurs de domaine. Dans cette section, vous devrez créer 2 groupes de sécurité (un pour chaque VPC) qui seront utilisés pour gérer le trafic dans votre VPC pour vos instances EC2 à l'aide des paramètres spécifiés dans les tableaux suivants. Vous allez également ajouter une règle qui autorise le trafic entrant RDP (3389) entrant depuis n'importe où et pour tous les types de trafic entrant depuis le VPC local. Pour en savoir plus, veuillez consulter la section [Amazon EC2 security groups for Windows instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html) (français non garanti).
****
| AWS Informations sur le groupe de VPC01 sécurité -DS- : |
| --- |
| Nom du groupe de sécurité : AWS DS Test Lab Security Group Description : Groupe de sécurité AWS DS Test Lab VPC : AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 |
**Règles entrantes des groupes de sécurité pour AWS-DS- VPC01**
****
| Type | Protocole | Plage de ports | Source | Type de trafic |
| --- | --- | --- | --- | --- |
| Destination | TCP | 3389 | Mon IP | Bureau à distance |
| Tout le trafic | Tous | Tous | 10.0.0.0/16 | Tout le trafic du VPC local |
**Règles de sortie du groupe de sécurité pour AWS-DS- VPC01**
****
| Type | Protocole | Plage de ports | Destination | Type de trafic |
| --- | --- | --- | --- | --- |
| Tout le trafic | Tous | Tous | 0.0.0.0/0 | Tout le trafic |
****
| AWS- OnPrem - informations sur le groupe de VPC01 sécurité : |
| --- |
| Nom du groupe de sécurité : AWS OnPrem Test Lab Security Group. Description : Groupe de sécurité du laboratoire de AWS OnPrem test. VPC : AWS vpc-xxxxxxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
**Règles de trafic entrant des groupes de sécurité pour AWS- - OnPrem VPC01**
****
| Type | Protocole | Plage de ports | Source | Type de trafic |
| --- | --- | --- | --- | --- |
| Destination | TCP | 3389 | Mon IP | Bureau à distance |
| Destination | TCP | 53 | 10.0.0.0/16 | DNS |
| Destination | TCP | 88 | 10.0.0.0/16 | Kerberos |
| Destination | TCP | 389 | 10.0.0.0/16 | LDAP |
| Destination | TCP | 464 | 10.0.0.0/16 | Mot de passe Kerberos (modification/définition) |
| Destination | TCP | 445 | 10.0.0.0/16 | SMB / CIFS |
| Destination | TCP | 135 | 10.0.0.0/16 | Réplication |
| Destination | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| Destination | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| Destination | TCP | 3268 ‑ 3269 | 10.0.0.0/16 | LDAP GC & LDAP GC SSL |
| Règle UDP personnalisée | UDP | 53 | 10.0.0.0/16 | DNS |
| Règle UDP personnalisée | UDP | 88 | 10.0.0.0/16 | Kerberos |
| Règle UDP personnalisée | UDP | 123 | 10.0.0.0/16 | Heure Windows |
| Règle UDP personnalisée | UDP | 389 | 10.0.0.0/16 | LDAP |
| Règle UDP personnalisée | UDP | 464 | 10.0.0.0/16 | Mot de passe Kerberos (modification/définition) |
| Tout le trafic | Tous | Tous | 10.100.0.0/16 | Tout le trafic du VPC local |
**Règles de sortie des groupes de sécurité pour AWS- - OnPrem VPC01**
****
| Type | Protocole | Plage de ports | Destination | Type de trafic |
| --- | --- | --- | --- | --- |
| Tout le trafic | Tous | Tous | 0.0.0.0/0 | Tout le trafic |
Pour obtenir des instructions détaillées sur la création et l'ajout de règles à vos groupes de sécurité, veuillez consulter [Working with security groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) (français non garanti).
# Étape 2 : Création de votre répertoire Microsoft AD Active Directory AWS géré
Vous pouvez créer votre annuaire selon trois méthodes différentes. Vous pouvez utiliser la AWS Management Console procédure (recommandée pour ce didacticiel) ou vous pouvez utiliser les AWS Tools for Windows PowerShell procédures AWS CLI ou pour créer votre répertoire.
**Méthode 1 : pour créer votre répertoire Microsoft AD AWS géré (AWS Management Console)**
1. Dans le panneau de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**, puis **Configurer un annuaire**.
1. Sur la page **Sélectionner un type d'annuaire**, choisissez **AWS Managed Microsoft AD**, puis **Suivant**.
1. Sur la page **Enter directory information (Saisir les détails de l'annuaire)**, indiquez les informations suivantes, puis choisissez **Next (Suivant)**.
+ Pour **Edition (Édition)**, choisissez **Standard Edition (Édition standard)** ou **Enterprise Edition (Édition d'entreprise)**. Pour plus d'informations sur les éditions, veuillez consulter [AWS Directory Service for Microsoft Active Directory Service](what_is.md#microsoftad) (français non garanti).
+ Pour **Directory DNS name (Nom DNS de l'annuaire)**, tapez **corp.example.com**.
+ Pour **Directory NetBIOS name (Nom NetBIOS de l'annuaire)**, saisissez **corp**.
+ Pour **Directory description (Description de l'annuaire)**, saisissez **AWS DS Managed**.
+ Pour **Mot de passe administrateur**, saisissez le mot de passe que vous souhaitez utiliser pour ce compte, puis saisissez de nouveau le mot de passe dans le champ **Confirmer le mot de passe**. Ce compte **Admin** est automatiquement créé pendant le processus de création de l'annuaire. Le mot de passe ne peut pas contenir le terme *admin*. Le mot de passe de l'administrateur de l'annuaire est sensible à la casse et doit comporter entre 8 et 64 caractères (inclus). Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :
+ Lettres minuscules (a-z)
+ Lettres majuscules (A-Z)
+ Chiffres (0-9)
+ Caractères non alphanumériques (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
1. Sur la page **Choose VPC and subnets (Choisir un VPC et des sous-réseaux)**, indiquez les informations suivantes, puis choisissez **Next (Suivant)**.
+ Pour le **VPC**, choisissez l'option qui commence par **AWS-DS- VPC01** et se termine par **(**10.0.0.0/16).
+ Pour **Subnets (Sous-réseaux)**, sélectionnez les sous-réseaux publics **10.0.0.0/24** et **10.0.1.0/24**.
1. Sur la page **Review & create (Vérifier et créer)**, vérifiez les informations concernant l'annuaire et effectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez **Create directory** (Créer l'annuaire). La création de l'annuaire prend entre 20 et 40 minutes. Une fois l'annuaire créé, le champ **Statut** prend la valeur **Actif**.
**Méthode 2 : pour créer votre Microsoft AD AWS géré (PowerShell) (facultatif)**
1. Ouvrir PowerShell.
1. Saisissez la commande suivante. Assurez-vous d'utiliser les valeurs fournies à l'étape 4 de la AWS Management Console procédure précédente.
```
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
```
**Méthode 3 : pour créer votre Microsoft AD AWS géré (AWS CLI) (facultatif)**
1. Ouvrez le AWS CLI.
1. Saisissez la commande suivante. Assurez-vous d'utiliser les valeurs fournies à l'étape 4 de la AWS Management Console procédure précédente.
```
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
```
# Étape 3 : Déployer une instance Amazon EC2 pour gérer votre annuaire AWS Microsoft AD Active Directory géré
Pour cet atelier, nous utilisons des instances Amazon EC2 dotées d'adresses IP publiques afin de faciliter l'accès à l'instance de gestion où que vous soyez. Dans un environnement de production, vous pouvez utiliser des instances situées dans un VPC privé qui ne sont accessibles que via un VPN ou Direct Connect un lien. Il n'est pas nécessaire que l'instance possède une adresse IP publique.
Dans cette section, vous allez exécuter les différentes tâches post-déploiement nécessaires pour que les ordinateurs clients puissent se connecter à votre domaine à l'aide de Windows Server sur votre nouvelle instance EC2. Vous allez utiliser Windows Server dans l'étape suivante pour vérifier que votre atelier de test est opérationnel.
## Facultatif : créez un ensemble d'options DHCP dans AWS-DS- VPC01 pour votre répertoire
Dans cette procédure facultative, vous configurez une étendue d'options DHCP afin que les instances EC2 de votre VPC utilisent automatiquement votre AWS Microsoft AD géré pour la résolution DNS. Pour plus d'informations, veuillez consulter [DHCP options sets](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html) (français non garanti).
**Pour créer un jeu d'options DHCP défini pour votre annuaire**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **DHCP Options Sets**, puis sélectionnez **Create DHCP options set**.
1. Dans la page **Créer un jeu d'options DHCP**, entrez les valeurs suivantes pour votre annuaire :
+ Pour **Name (Nom)**, tapez **AWS DS DHCP**.
+ Pour **Domain name (Nom de domaine)**, tapez **corp.example.com**.
+ Pour **Domain name servers (Serveurs de noms de domaine)**, tapez les adresses IP des serveurs DNS de votre annuaire fourni par AWS .
**Note**
Pour trouver ces adresses, rendez-vous sur la page Directory Service **Répertoires**, puis choisissez l'ID de répertoire applicable. Sur la page **Détails**, identifiez et utilisez IPs les informations affichées dans l'**adresse DNS**.
Pour trouver ces adresses, rendez-vous sur la page Directory Service **Annuaires**, puis choisissez l'ID de répertoire applicable. Choisissez ensuite **Mettre à l'échelle et partager**. Sous **Contrôleurs de domaine**, identifiez et utilisez IPs ceux qui sont affichés dans l'**adresse IP**.
+ Ne renseignez aucune valeur dans les champs **Serveurs NTP**, **Serveurs de noms NetBIOS** et **Type de nœud NetBIOS**.
1. Choisissez **Créer un jeu d'options DHCP**, puis choisissez **Fermer**. Le nouveau jeu d'options DHCP apparaît dans votre liste d'options DHCP.
1. Notez l'ID du nouveau jeu d'options DHCP (**dopt- *xxxxxxxx***). Vous en aurez besoin à la fin de cette procédure lorsque vous associerez le nouveau jeu d'options à votre VPC.
**Note**
La jonction transparente de domaines fonctionne sans qu'il soit nécessaire de configurer un jeu d'options DHCP.
1. Dans le volet de navigation, sélectionnez **Votre VPCs**.
1. Dans la liste de VPCs, sélectionnez **AWS DS VPC**, choisissez **Actions**, puis choisissez **Modifier le jeu d'options DHCP**.
1. Sur la page **Modifier le jeu d'options DHCP**, sélectionnez les options que vous avez enregistrées à l'étape 5, puis choisissez **Enregistrer**.
## Créez un rôle pour joindre des instances Windows à votre domaine Microsoft AD AWS géré
Utilisez cette procédure pour configurer un rôle qui joint une instance Windows Amazon EC2 à un domaine. Pour de plus amples informations, veuillez consulter [Joindre une instance Windows Amazon EC2 à votre répertoire AWS Microsoft AD Active Directory géré](launching_instance.md).
**Pour configurer EC2 afin de relier les instances Windows à votre domaine**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).
1. Sous **Select type of trusted entity** (Sélectionner le type d'entité approuvée), choisissez ** service AWS **.
1. Immédiatement sous **Choisir le service qui utilisera ce rôle**, choisissez **EC2**, puis **Next: Permissions (Suivant : Autorisations)**.
1. Sur la page **Stratégie d'autorisations attachée**, procédez comme suit :
+ Cochez la case à côté de la politique SSMManaged InstanceCore gérée par **Amazon**. Cette stratégie fournit les autorisations minimales nécessaires pour pouvoir utiliser le service Systems Manager.
+ Cochez la case à côté de la politique SSMDirectory ServiceAccess gérée par **Amazon**. La stratégie fournit les autorisations nécessaires pour joindre des instances à un domaine Active Directory géré par Directory Service.
Pour plus d'informations sur ces politiques gérées et sur les autres politiques que vous pouvez attacher à un profil d'instance IAM pour Systems Manager consultez [Création d'un profil d'instance IAM pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) dans le *Guide de l'utilisateur AWS Systems Manager *. Pour plus d'informations sur les politiques gérées, veuillez consulter [AWS Managed policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) (français non garanti) dans le *Guide de l'utilisateur IAM*.
1. Sélectionnez **Suivant : Étiquettes**.
1. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis sélectionnez **Suivant : Vérifier.**
1. Dans **Nom du rôle**, entrez un nom pour le rôle qui décrit qu'il est utilisé pour joindre des instances à un domaine, tel que **EC2DomainJoin**.
1. (Facultatif) Pour **Role description (Description du rôle)**, entrez une description.
1. Sélectionnez **Créer un rôle**. Le système vous renvoie à la page **Rôles**.
## Créez une instance Amazon EC2 et rejoignez automatiquement le répertoire
Dans cette procédure, vous configurez un système Windows Server dans une instance EC2 qui pourra être utilisée ultérieurement pour administrer les utilisateurs, les groupes et les politiques dans Active Directory.
**Pour créer une instance EC2 et rejoindre automatiquement l'annuaire**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Choisissez **Launch Instances** (Lancer les instances).
1. Sur la page **Étape 1**, à côté de **Microsoft Windows Server 2019 Base - ami-**, *xxxxxxxxxxxxxxxxx* choisissez **Sélectionner**.
1. Sur la page **Step 2 (Étape 2)**, sélectionnez **t3.micro** (notez que vous pouvez choisir un type d'instance plus volumineux), puis cliquez sur **Next: Configure Instance Details (Suivant : Configurer les détails de l'instance)**.
1. Sur la page **Étape 3**, procédez comme suit :
+ Pour **Réseau**, choisissez le VPC qui se termine par **AWS-DS- VPC01** (par exemple, **vpc- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS-**). VPC01
+ Pour **Sous-réseau**, choisissez le **sous-réseau public 1**, qui doit être préconfiguré pour votre zone de disponibilité préférée (par exemple, **sous-réseau- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS- -Subnet01 \$1**). VPC01 *us-west-2a*
+ Pour **Attribuer automatiquement l'adresse IP publique**, choisissez **Activer** (si le sous-réseau n'est pas défini sur Activer par défaut).
+ Pour le **répertoire de jointure de domaines**, choisissez **corp.example.com (d-). *xxxxxxxxxx***
+ Pour le **rôle IAM**, choisissez le nom dans lequel vous avez attribué votre rôle d'instance[Créez un rôle pour joindre des instances Windows à votre domaine Microsoft AD AWS géré](#configureec2), par exemple. **EC2DomainJoin**
+ Conservez les valeurs par défaut des autres paramètres.
+ Choisissez **Next: Add Storage** (Suivant : Ajouter le stockage).
1. Sur la page **Étape 4**, conservez les paramètres par défaut, puis choisissez **Next: Add Tags**.
1. Sur la page **Étape 5**, choisissez **Add Tag**. Sous **Key (Clé)**, saisissez **corp.example.com-mgmt**, puis choisissez **Next: Configure Security Group (Suivant : Configurer le groupe de sécurité)**.
1. Sur la page **Étape 6**, choisissez **Sélectionner un groupe de sécurité existant**, sélectionnez **AWS DS Test Lab Security Group** (que vous avez précédemment défini dans le [didacticiel de base](microsoftadbasestep1.md#createsecuritygroup)), puis choisissez **Vérifier et lancer** pour vérifier votre instance.
1. Sur la page **Étape 7**, vérifiez la page, puis choisissez **Lancer**.
1. Dans la boîte de dialogue **Sélectionner une paire de clés existante ou créer une nouvelle paire de clés**, procédez comme suit :
+ Choisissez **Choisir une paire de clés existante**.
+ Sous **Sélectionner une paire de clés**, choisissez **AWS-DS-KP**.
+ Cochez la case **I acknowledge...**.
+ Choisissez **Launch Instances** (Démarrer les instances).
1. Sélectionnez **Afficher les instances** pour revenir à la console Amazon EC2 et consulter l'état du déploiement.
## Installation des outils Active Directory sur votre instance EC2
Vous avez le choix entre deux méthodes pour installer les outils de gestion de domaines Active Directory sur votre instance EC2. Vous pouvez utiliser l'interface utilisateur du gestionnaire de serveur (recommandée pour ce didacticiel) ouPowerShell.
**Pour installer les outils Active Directory sur votre instance EC2 (avec Server Manager)**
1. Dans la console Amazon EC2, choisissez **Instances**, sélectionnez l'instance que vous venez de créer, puis sélectionnez **Connecter**.
1. Dans la boîte de dialogue **Connect To Your Instance**, choisissez **Obtenir le mot de passe** pour récupérer votre mot de passe si ce n'est pas déjà fait, puis choisissez **Télécharger le fichier Remote Desktop**.
1. Dans la boîte de dialogue **Windows Security (Sécurité Windows)** saisissez vos informations d'identification d'administrateur local pour que l'ordinateur Windows Server puisse se connecter (par exemple : **administrator**).
1. Dans le menu **Démarrer**, choisissez **Server Manager**.
1. Dans le **Tableau de bord**, choisissez **Ajouter des rôles et des fonctionnalités**.
1. Dans l'**Assistant Ajouter des rôles et des fonctionnalités**, choisissez **Suivant**.
1. Sur la page **Sélectionner le type d'installation**, choisissez **Installation basée sur un rôle ou une fonctionnalité**, puis choisissez **Suivant**.
1. Sur la page **Sélectionner le serveur de destination**, assurez-vous que le serveur local est sélectionné, puis choisissez **Suivant**.
1. Sur la page **Sélectionner des rôles de serveur**, cliquez sur **Suivant**.
1. Sur la page **Sélectionner les fonctionnalités**, procédez comme suit :
+ Cochez la case **Gestion des stratégies de groupe**.
+ Développez **Outils d'administration de serveur distant**, puis **Outils d'administration de rôles**.
+ Cochez la case **Outils AD DS et AD LDS**.
+ Cochez la case **DNS Server Tools**.
+ Choisissez **Suivant**.
1. Sur la page **Confirmer les sélections d'installation**, vérifiez les informations, puis cliquez sur **Installer**. Une fois l'installation des fonctionnalités terminée, les nouveaux outils ou composants suivants seront disponibles dans le dossier Outils d'administration Windows, via le menu Démarrer.
+ Centre d'administration Active Directory
+ Domaines et approbations Active Directory
+ Module Active Directory pour PowerShell
+ Sites et services Active Directory
+ Utilisateurs et ordinateurs Active Directory
+ ADSI Edit
+ DNS
+ Gestion des stratégies de groupe
**Pour installer les outils Active Directory sur votre instance EC2 (PowerShell) (facultatif)**
1. Démarrer PowerShell.
1. Saisissez la commande suivante.
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```
# Étape 4 : vérifier que l'atelier de test de base est opérationnel
Utilisez la procédure suivante pour vérifier que l'atelier de test a bien été configuré avant d'ajouter d'autres modules de guide pour votre atelier de test. Cette procédure permet de vérifier que votre serveur Windows est correctement configuré, qu'il peut se connecter au domaine corp.example.com et qu'il est utilisé pour administrer votre forêt AWS Microsoft AD gérée.
**Pour vérifier que l'atelier de test est opérationnel**
1. Déconnectez-vous de l'instance EC2 à laquelle vous vous êtes connecté en tant qu'administrateur local.
1. Revenez dans le volet de navigation de la console Amazon EC2 et sélectionnez **Instances**. Sélectionnez ensuite l'instance que vous avez créée. Choisissez **Se connecter**.
1. Dans la boîte de dialogue **Connectez-vous à votre instance**, choisissez **Télécharger le fichier Bureau à distance**.
1. Dans la boîte de dialogue **Windows Security (Sécurité Windows)**, saisissez vos informations d'identification d'administrateur local pour que le domaine CORP puisse se connecter (par exemple, **corp\$1admin**).
1. Une fois connecté, dans le menu **Démarrer**, sous **Outils d'administration Windows**, choisissez **Utilisateurs et ordinateurs Active Directory**.
1. **corp.example.com** devrait s'afficher avec tous les comptes par défaut OUs et associés à un nouveau domaine. Sous **Contrôleurs de domaine**, notez les noms des contrôleurs de domaine qui ont été automatiquement créés lorsque vous avez créé votre AWS Managed Microsoft AD à l'étape 2 de ce didacticiel.
Félicitations \$1 Votre environnement de laboratoire de test de base Microsoft AD AWS géré est maintenant configuré. Vous pouvez commencer à ajouter le prochain atelier de test de la série.
Didacticiel suivant : [Tutoriel : Création d'une relation de confiance entre AWS Managed Microsoft AD et une installation Active Directory autogérée sur Amazon EC2](ms_ad_tutorial_test_lab_trust.md)
# Tutoriel : Création d'une relation de confiance entre AWS Managed Microsoft AD et une installation Active Directory autogérée sur Amazon EC2
Dans ce didacticiel, vous apprendrez à créer une relation de confiance entre la forêt AWS Directory Service for Microsoft Active Directory que vous avez créée dans le [didacticiel de base](ms_ad_tutorial_test_lab_base.md). Vous apprendrez également à créer une nouvelle forêt Active Directory native sur un serveur Windows dans Amazon EC2. Comme le montre l'illustration suivante, le laboratoire que vous créez à partir de ce didacticiel est le deuxième élément de base nécessaire pour configurer un laboratoire de test Microsoft AD AWS géré complet. Vous pouvez utiliser le laboratoire de test pour tester vos solutions basées sur AWS le cloud pur ou hybride.
Vous ne devez créer ce didacticiel qu'une seule fois. Après cela, vous pourrez ajouter des didacticiels facultatifs, si nécessaire, pour acquérir davantage d'expérience.
![\[Étapes pour créer une relation de confiance entre un Microsoft Active Directory et un Active Directory autogéré : configurez votre environnement, créez votre Microsoft Active Directory, déployez une instance Amazon EC2 et testez le laboratoire.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)
**[Étape 1 : configurer votre environnement pour les approbations](microsoftadtruststep1.md)**
Avant de pouvoir établir des approbations entre une nouvelle forêt Active Directory et la forêt AWS Managed Microsoft AD que vous avez créée dans le [Didacticiel de base](ms_ad_tutorial_test_lab_base.md), vous devez préparer votre environnement Amazon EC2. Pour ce faire, vous devez d'abord créer un serveur Windows Server 2019, promouvoir ce serveur en contrôleur de domaine, puis configurer votre VPC en conséquence.
**[Étape 2 : création des approbations](microsoftadtruststep2.md)**
Au cours de cette étape, vous créez une relation d'approbation forestière bidirectionnelle entre votre forêt Active Directory nouvellement créée hébergée dans Amazon EC2 et votre forêt Microsoft AD AWS gérée dans. AWS
**[Étape 3 : vérification de l'approbation](microsoftadtruststep3.md)**
Enfin, en tant qu'administrateur, vous utilisez la Directory Service console pour vérifier que les nouvelles approbations sont opérationnelles.
# Étape 1 : configurer votre environnement pour les approbations
Dans cette section, vous allez configurer votre environnement Amazon EC2, déployer votre nouvelle forêt et préparer votre VPC pour les approbations avec. AWS
![\[Environnement Amazon EC2 avec Amazon VPC, sous-réseaux et passerelles Internet pour déployer une nouvelle forêt et établir une relation de confiance.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
## Créer une instance EC2 Windows Server 2019
Utilisez la procédure suivante pour créer un serveur membre Windows Server 2019 dans Amazon EC2.
**Pour créer une instance EC2 Windows Server 2019**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans la console Amazon EC2, choisissez **Lancer une instance**.
1. Sur la page **Étape 1**, recherchez **Microsoft Windows Server 2019 Base - ami- *xxxxxxxxxxxxxxxxx*** dans la liste. Puis choisissez **Sélectionner**.
1. Sur la page **Étape 2**, sélectionnez **t2.large**, puis choisissez **Suivant : Configurer les détails de l'instance**.
1. Sur la page **Étape 3**, procédez comme suit :
+ Pour **Réseau**, sélectionnez **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem - VPC01** (que vous avez précédemment configuré dans le [didacticiel de base](microsoftadbasestep1.md#createvpc)).
+ Pour **Sous-réseau**, sélectionnez **subnet- *xxxxxxxxxxxxxxxxx* \$1 AWS- - VPC01 -Subnet01 \$1 OnPrem - -**. AWS OnPrem VPC01
+ Dans la liste **Attribuer automatiquement l'adresse IP publique**, choisissez **Activer** (si le sous-réseau n'est pas défini sur **Activer** par défaut).
+ Conservez les valeurs par défaut des autres paramètres.
+ Choisissez **Next: Add Storage** (Suivant : Ajouter le stockage).
1. Sur la page **Étape 4**, conservez les paramètres par défaut, puis choisissez **Next: Add Tags**.
1. Sur la page **Étape 5**, choisissez **Add Tag**. SousUnder **Key (Clé)**, saisissez **example.local-DC01**, puis choisissez **Next: Configure Security Group (Suivant : Configurer le groupe de sécurité)**.
1. Sur la page **Étape 6**, choisissez **Sélectionner un groupe de sécurité existant**, sélectionnez **AWS On-Prem Test Lab Security Group** (que vous avez précédemment défini dans le [didacticiel de base](microsoftadbasestep1.md#createsecuritygroup)), puis choisissez **Vérifier et lancer** pour vérifier votre instance.
1. Sur la page **Étape 7**, vérifiez la page, puis choisissez **Lancer**.
1. Dans la boîte de dialogue **Sélectionner une paire de clés existante ou créer une nouvelle paire de clés**, procédez comme suit :
+ Choisissez **Choisir une paire de clés existante**.
+ Sous **Sélectionner une paire de clés**, choisissez **AWS-DS-KP** (que vous avez précédemment défini dans le [didacticiel de base](microsoftadbasestep1.md#createkeypair2)).
+ Cochez la case **I acknowledge...**.
+ Choisissez **Launch Instances** (Démarrer les instances).
1. Sélectionnez **Afficher les instances** pour revenir à la console Amazon EC2 et consulter l'état du déploiement.
## Promouvoir votre serveur en contrôleur de domaine
Avant de pouvoir créer des approbations, vous devez générer et déployer le premier contrôleur de domaine pour une nouvelle forêt. Au cours de ce processus, vous configurez une nouvelle forêt Active Directory, installez DNS et définissez ce serveur afin qu'il utilise le serveur DNS local pour la résolution des noms. Vous devez redémarrer le serveur à la fin de cette procédure.
**Note**
Si vous souhaitez créer un contrôleur de domaine AWS qui se réplique avec votre réseau local, vous devez d'abord joindre manuellement l'instance EC2 à votre domaine sur site. Après cela, vous pourrez promouvoir le serveur en contrôleur de domaine.
**Pour promouvoir votre serveur en contrôleur de domaine**
1. Dans la console Amazon EC2, choisissez **Instances**, sélectionnez l'instance que vous venez de créer, puis sélectionnez **Connecter**.
1. Dans la boîte de dialogue **Connectez-vous à votre instance**, choisissez **Télécharger le fichier Bureau à distance**.
1. Dans la boîte de dialogue **Windows Security (Sécurity Windows)** saisissez vos informations d'identification d'administrateur local pour que l'ordinateur Windows Server puisse se connecter (par exemple : **administrator**). Si vous ne possédez pas encore le mot de passe d'administrateur local, revenez à la console Amazon EC2, cliquez avec le bouton droit de la souris sur l'instance et choisissez **Obtenir le mot de passe de Windows**. Accédez à votre fichier `AWS DS KP.pem` ou votre clé `.pem` personnelle, puis choisissez **Déchiffrer le mot de passe**.
1. Dans le menu **Démarrer**, choisissez **Server Manager**.
1. Dans le **Tableau de bord**, choisissez **Ajouter des rôles et des fonctionnalités**.
1. Dans l'**Assistant Ajouter des rôles et des fonctionnalités**, choisissez **Suivant**.
1. Sur la page **Sélectionner le type d'installation**, choisissez **Installation basée sur un rôle ou une fonctionnalité**, puis choisissez **Suivant**.
1. Sur la page **Sélectionner le serveur de destination**, assurez-vous que le serveur local est sélectionné, puis choisissez **Suivant**.
1. Sur la page **Sélectionner des rôles de serveurs**, sélectionnez **Services de domaine Active Directory**. Dans la boîte de dialogue **Assistant Ajouter des rôles et des fonctionnalités**, vérifiez que la case **Inclure les outils de gestion (le cas échéant)** est cochée. Cliquez sur **Ajouter des fonctionnalités**, puis sur **Suivant**.
1. Sur la page **Sélectionner les fonctionnalités**, choisissez **Suivant**.
1. Sur la page **Services de domaine Active Directory**, choisissez **Suivant**.
1. Sur la page **Confirmer les sélections d'installation**, choisissez **Installer**.
1. Une fois les fichiers binaires Active Directory installés, choisissez **Fermer**.
1. Lorsque le Gestionnaire de serveurs s'ouvre, recherchez un indicateur en haut de la page en regard de la mention **Gérer**. Lorsque cet indicateur devient jaune, le serveur est prêt à être promu.
1. Choisissez l'indicateur jaune, puis choisissez **Promouvoir ce serveur en contrôleur de domaine**.
1. Sur la page **Configuration de déploiement**, choisissez **Ajouter une nouvelle forêt**. Dans **Root domain nam (Nom de domaine racine)**, saisissez **example.local**, puis choisissez **Next (Suivant)**.
1. Sur la page **Options du contrôleur de domaine**, procédez comme suit :
+ Dans **Niveau fonctionnel de la forêt** et **Niveau fonctionnel du domaine**, choisissez **Windows Server 2016**.
+ Sous **Spécifier les capacités du contrôleur de domaine**, vérifiez que le **serveur DNS** et le **catalogue global (GC)** sont sélectionnés.
+ Saisissez et confirmez un mot de passe pour le mode de restauration des services d'annuaire (DSRM). Ensuite, sélectionnez **Suivant**.
1. Sur la page **Options DNS**, ignorez l'avertissement sur la délégation et choisissez **Suivant**.
1. Sur la page **Options supplémentaires**, assurez-vous que **EXAMPLE** est répertorié comme nom de NetBios domaine.
1. Sur la page **Chemins**, conservez les valeurs par défaut, puis choisissez **Suivant**.
1. Sur la page **Vérifier les options**, choisissez **Suivant**. Le serveur vérifie maintenant que toutes les conditions préalables requises pour le contrôleur de domaine sont remplies. Certains avertissements peuvent s'afficher, mais vous pouvez les ignorer sans risque.
1. Choisissez **Installer**. Une fois l'installation terminée, le serveur redémarre puis devient un contrôleur de domaine fonctionnel.
## Configuration de votre VPC
Les trois procédures suivantes vous guident à travers les étapes de configuration de votre VPC pour établir une connectivité avec AWS.
**Pour configurer vos règles sortantes VPC**
1. [Dans la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), notez l'ID de répertoire Microsoft AD AWS géré pour corp.example.com que vous avez créé précédemment dans le didacticiel de base.](microsoftadbasestep2.md)
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Recherchez votre ID d'annuaire Microsoft AD AWS géré. Dans les résultats de recherche, sélectionnez l'élément avec la description du **groupe de sécuritéAWS créé pour les contrôleurs d'*xxxxxx*annuaire D.**
**Note**
Ce groupe de sécurité a été automatiquement créé lorsque vous avez créé votre annuaire.
1. Choisissez l'onglet **Règles sortantes** de ce groupe de sécurité. Choisissez **Modifier**, **Ajouter une autre règle**, puis ajoutez les valeurs suivantes :
+ Pour **Type**, sélectionnez **Tout le trafic**.
+ Pour **Destination**, tapez **0.0.0.0/0**.
+ Conservez les valeurs par défaut des autres paramètres.
+ Cliquez sur **Enregistrer**.
**Pour vérifier que l'authentification préalable Kerberos est activée**
1. Sur le contrôleur de domaine **example.local**, ouvrez le **Gestionnaire de serveurs**.
1. Dans le menu **Tools**, choisissez **Active Directory Users and Computers**.
1. Accédez à l'annuaire **Utilisateurs**, cliquez avec le bouton droit sur n'importe quel utilisateur et sélectionnez **Propriétés**, puis choisissez l'onglet **Compte**. Faites défiler la liste **Options de compte** vers le bas pour vérifier que l'option **La pré-authentification Kerberos n'est pas nécessaire** n'est **pas** cochée.
1. Effectuez les mêmes étapes pour le domaine **corp.example.com** de l'instance **corp.example.com-mgmt**.
**Pour configurer des redirecteurs conditionnels DNS**
**Note**
Un redirecteur conditionnel est un serveur DNS sur un réseau qui est utilisé pour transférer des requêtes DNS en fonction du nom de domaine DNS dans la requête. Par exemple, un serveur DNS peut être configuré pour transférer toutes les requêtes qu'il reçoit pour des noms se terminant par widgets.example.com à l'adresse IP d'un serveur DNS spécifique ou aux adresses IP de plusieurs serveurs DNS.
1. Ouvrez la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Dans le volet de navigation, choisissez **Directories (Annuaires)**.
1. Sélectionnez l'**ID de répertoire** de votre AWS Managed Microsoft AD.
1. Prenez note du nom de domaine complet (FQDN), **corp.example.com**, et des adresses DNS de votre annuaire.
1. À présent, retournez sur votre contrôleur de domaine **example.local**, puis ouvrez le **Gestionnaire de serveurs**.
1. Dans le menu **Tools**, choisissez **DNS**.
1. Dans l'arborescence de la console, développez le serveur DNS du domaine pour lequel vous configurez l'approbation et accédez à **Redirecteurs conditionnels**.
1. Cliquez avec le bouton droit de la souris sur **Redirecteurs conditionnels**, puis choisissez **Nouveau redirecteur conditionnel**.
1. Pour le domaine DNS, saisissez **corp.example.com**.
1. Sous **Adresses IP des serveurs principaux**, choisissez **, tapez la première adresse DNS de votre annuaire Microsoft AD AWS géré (dont vous avez pris note dans la procédure précédente), puis appuyez sur **Entrée**. Répétez l'opération pour la seconde adresse DNS. Après avoir saisi les adresses DNS, il est possible que l'erreur « timeout » ou « Impossible à résoudre » s'affiche. Vous pouvez généralement ignorer ces erreurs.
1. Cochez la case **Stocker ce redirecteur conditionnel dans Active Directory, et le répliquer comme suit**. Dans le menu déroulant, choisissez **Tous les serveurs DNS de cette forêt**, puis cliquez sur **OK**.
# Étape 2 : création des approbations
Dans cette section, vous créez deux approbations de forêts. Une approbation est créée à partir du domaine Active Directory de votre instance EC2 et l'autre à partir de votre AWS Managed Microsoft AD in AWS.
![\[Confiance bidirectionnelle entre corp.example.com et example.local\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)
**Pour créer un lien de confiance entre votre domaine EC2 et votre AWS Managed Microsoft AD**
1. Connectez-vous à **example.local**.
1. Ouvrez le **Gestionnaire de serveurs** et choisissez **DNS** dans l'arborescence de la console. Prenez note de l' IPv4 adresse indiquée pour le serveur. Vous en aurez besoin au cours de la procédure suivante lors de la création d'un redirecteur conditionnel depuis **corp.example.com** vers l'annuaire **example.local**.
1. Dans le menu **Outils**, choisissez **Domaines et approbations Active Directory**.
1. Dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur **example.local**, puis choisissez **Propriétés**.
1. Dans l'onglet **Approbations**, choisissez **Nouvelle approbation**, puis **Suivant**.
1. Sur la page **Trust Name (Nom d'approbation)**, saisissez **corp.example.com**, puis choisissez **Next (Suivant)**.
1. Sur la page **Type d'approbation**, choisissez **Approbation de forêt**, puis **Suivant**.
**Note**
AWS Managed Microsoft AD prend également en charge les approbations externes. Toutefois, dans le cadre de ce didacticiel, vous allez créer une approbation de forêt birectionnelle.
1. Sur la page **Direction d'approbation**, choisissez **Bidirectionnelle**, puis **Suivant**.
**Note**
Si vous décidez ultérieurement d'utiliser une approbation unidirectionnelle à la place, assurez-vous que les directions d'approbation sont correctement configurées (sortant sur le domaine d'approbation, entrant sur le domaine approuvé). Pour de plus amples informations générales, veuillez consulter [Understanding trust direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) (français non garanti) sur le site web de Microsoft.
1. Sur la page **Sens d'approbation**, choisissez **Ce domaine uniquement**, puis **Suivant**.
1. Sur la page **Niveau d'authentification d'approbations sortantes**, choisissez **Authentification pour toutes les ressources de la forêt**, puis **Suivant**.
**Note**
Bien que **Selective authentication (Authentification sélective)** soit une option, pour la simplicité de ce didacticiel, nous vous recommandons de ne pas l'activer ici. Lorsqu'elle est configurée, elle restreint l'accès sur une approbation externe ou de forêt aux seuls utilisateurs d'un domaine ou d'une forêt approuvé ayant reçu explicitement des autorisations d'authentification sur des objets informatiques (ordinateurs de ressources) résidant dans le domaine ou la forêt d'approbation. Pour de plus amples informations, veuillez consulter [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)) (français non garanti).
1. Sur la page **Mot de passe d'approbation**, saisissez le mot de passe d'approbation deux fois, puis choisissez **Suivant**. Vous utiliserez ce mot de passe au cours de la procédure suivante.
1. Sur la page **Fin de la sélection des approbations**, passez en revue les résultats, puis choisissez **Suivant**.
1. Sur la page **Fin de la création des approbations**, passez en revue les résultats, puis choisissez **Suivant**.
1. Sur la page **Confirmer l'approbation sortante**, choisissez **Non, ne pas confirmer l'approbation sortante**. Ensuite, sélectionnez **Next**
1. Sur la page**Confirmer l'approbation entrante**, choisissez **Non, ne pas confirmer l'approbation entrante**. Ensuite, sélectionnez **Next**
1. Sur la page **Fin de l'Assistant Nouvelle approbation**, choisissez **Terminer**.
**Note**
Les relations de confiance sont une fonctionnalité globale de AWS Managed Microsoft AD. Si vous utilisez [Configuration de la réplication multirégionale pour AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md), les procédures suivantes doivent être effectuées dans [Région principale](multi-region-global-primary-additional.md#multi-region-primary). Les modifications seront appliquées automatiquement à toutes les régions répliquées. Pour de plus amples informations, veuillez consulter [Caractéristiques mondiales et régionales](multi-region-global-region-features.md).
**Pour créer un lien de confiance entre votre AWS Managed Microsoft AD et votre domaine EC2**
1. Ouvrez la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Choisissez l'annuaire **corp.example.com**.
1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes :
+ Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Réseau et sécurité**.
1. Dans la section **Trust relationships (Relations d'approbation)**, choisissez **Actions**, puis sélectionnez **Add trust relationship (Ajouter une relation d'approbation)**.
1. Dans la boîte de dialogue **Ajouter une relation d'approbation**, procédez comme suit :
+ Sous **Trust type (Type d'approbation)** sélectionnez **Forest trust (Approbation de forêt**.
**Note**
Assurez-vous que le **type d'approbation** que vous choisissez ici correspond au même type d'approbation configuré dans la procédure précédente (pour créer l'approbation de votre domaine EC2 vers votre Microsoft AD AWS géré).
+ Pour **Existing or new remote domain name (Nom de domaine distant existant ou nouveau)**, tapez **exemple.local**.
+ Pour **Mot de passe d'approbation**, saisissez le même mot de passe que vous avez fourni au cours de la procédure précédente.
+ Dans **Trust direction (Direction d'approbation)**, sélectionnez **Two-Way (Bidirectionnelle)**.
**Note**
Si vous décidez ultérieurement d'utiliser une approbation unidirectionnelle à la place, assurez-vous que les directions d'approbation sont correctement configurées (sortant sur le domaine d'approbation, entrant sur le domaine approuvé). Pour de plus amples informations générales, veuillez consulter [Understanding trust direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) (français non garanti) sur le site web de Microsoft.
Bien que **Selective authentication (Authentification sélective)** soit une option, pour la simplicité de ce didacticiel, nous vous recommandons de ne pas l'activer ici. Lorsqu'elle est configurée, elle restreint l'accès sur une approbation externe ou de forêt aux seuls utilisateurs d'un domaine ou d'une forêt approuvé ayant reçu explicitement des autorisations d'authentification sur des objets informatiques (ordinateurs de ressources) résidant dans le domaine ou la forêt d'approbation. Pour de plus amples informations, veuillez consulter [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)) (français non garanti).
+ Dans **Conditional forwarder (Redirecteur conditionnel)**, saisissez l'adresse IP de votre serveur DNS dans la forêt **example.local** (dont vous avez pris note au cours de la procédure précédente).
**Note**
Un redirecteur conditionnel est un serveur DNS sur un réseau qui est utilisé pour transférer des requêtes DNS en fonction du nom de domaine DNS dans la requête. Par exemple, un serveur DNS peut être configuré pour transférer toutes les requêtes qu'il reçoit pour des noms se terminant par widgets.example.com à l'adresse IP d'un serveur DNS spécifique ou aux adresses IP de plusieurs serveurs DNS.
1. Choisissez **Ajouter**.
# Étape 3 : vérification de l'approbation
Dans cette section, vous allez tester si les approbations ont été configurées avec succès entre AWS et Active Directory sur Amazon EC2.
**Pour vérifier l'approbation**
1. Ouvrez la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Choisissez l'annuaire **corp.example.com**.
1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes :
+ Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Réseau et sécurité**.
1. Dans la section **Relations d'approbation**, sélectionnez la relation d'approbation que vous venez de créer.
1. Choisissez **Actions**, puis **Vérifier la relation d'approbation**.
Une fois la vérification terminée, la mention **Vérifié** devrait s'afficher dans la colonne **Statut**.
Félicitations, vous avez terminé ce didacticiel \$1 Vous disposez à présent d'un environnement Active Directory multi-forêts entièrement fonctionnel à partir duquel vous pouvez commencer à tester différents scénarios. Des didacticiels d'atelier de test supplémentaires sont planifiés en 2018. Revenez sur cette page occasionnellement pour découvrir les nouveautés.