Requisitos de domínio do Microsoft Active Directory Serviços do Active Directory exigidos Kerberos Tipos de criptografia compatíveis Portas Permissões Amazon VPC Grupo de segurança Limites de avaliação

Pré-requisitos do diretório híbrido

O diretório híbrido estende o Active Directory autogerenciado para a Nuvem AWS. Antes de criar um diretório híbrido, certifique-se de que o ambiente atenda aos seguintes requisitos:

Requisitos de domínio do Microsoft Active Directory

Antes de criar um diretório híbrido, verifique se o ambiente AD autogerenciado e a infraestrutura atendem aos requisitos a seguir e reúna as informações necessárias.

Requisitos de domínio

O ambiente do AD autogerenciado deve atender aos seguintes requisitos:

Usa um nível funcional do Windows Server 2012 R2 ou 2016.
Usa controladores de domínio padrão a serem avaliados para a criação do diretório híbrido. Controladores de domínio somente para leitura (RODC) não podem ser usados para a criação de diretórios híbridos.
Tem dois controladores de domínio com todos os serviços do Active Directory em execução.
O Controlador de Domínio Primário (PDC) deve ser roteável por todo o tempo.

Especificamente, o emulador PDC e o RID Master IPs do seu AD autogerenciado devem estar em uma das seguintes categorias:
- Parte dos intervalos de endereços IP RFC1918 privados (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16)
- Dentro do intervalo faixa de CIDR de VPC
- Combine o DNS IPs de suas instâncias autogerenciadas com o diretório
Você pode adicionar outras rotas IP ao diretório após a criação do diretório híbrido.

Informações necessárias

Reúna as seguintes informações sobre o AD autogerenciado:

Nome do DNS do diretório
Diretório DNS IPs
Credenciais da conta de serviço com permissões de Administrador para o AD autogerenciado
AWSARN secreto para armazenar as credenciais da sua conta de serviço (consulte) AWSARN secreto para diretório híbrido

AWSARN secreto para diretório híbrido

Para configurar um diretório híbrido com seu AD autogerenciado, você precisa criar uma chave KMS para criptografar seu AWS segredo e, em seguida, criar o segredo em si. Ambos os recursos devem ser criados no mesmo Conta da AWS que contém o diretório híbrido.

Criar uma chave do KMS

A chave KMS é usada para criptografar seu AWS segredo.

Importante

Em Chave de criptografia, não use a chave do KMS padrão da AWS. Certifique-se de criar a chave AWS KMS na mesma Conta da AWS que contém o diretório híbrido que você deseja criar para se juntar ao seu AD autogerenciado.

Para criar uma chave AWS KMS

No AWS KMS console, escolha Criar chave.
Em Tipo de chave, escolha Simétrica.
Em Uso da chave, escolha Criptografar e descriptografar.
Em Advanced options (Opções avançadas):
1. Em Origem do material de chaves, escolha Externa.
2. Em Regionalidade, escolha Chave de região única e escolha Próximo.
Em Alias, forneça um nome para a chave do KMS.
(Opcional) Em Descrição, forneça uma descrição da chave do KMS.
(Opcional) Em Tags, adicione tags para a chave KMS e escolha Próximo.
Em Administradores de chaves, selecione um usuário do IAM.
Em Exclusão de chave, mantenha a seleção padrão da caixa Permitir que administradores de chaves excluam esta chave e escolha Próximo.
Em Usuários de chaves, informe o mesmo usuário do IAM da etapa anterior e escolha Próximo.
Revise a configuração.
Em Política de chave, inclua a seguinte instrução à política:
Escolha Terminar.

Crie um AWS segredo

Crie um segredo no Secrets Manager para armazenar as credenciais da conta de usuário do AD autogerenciado.

Importante

Crie o segredo no mesmo Conta da AWS que contém o diretório híbrido que você deseja associar ao seu AD autogerenciado.

Como criar um segredo

No Secrets Manager, escolha Armazenar um novo segredo.
Em Tipo de segredo, escolha Outro tipo de segredo.
Em Pares de chave/valor, adicione suas duas chaves:

Adicione a chave do nome de usuário
1. Para a primeira chave, insira customerAdAdminDomainUsername.
2. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD. Não inclua o nome do domínio, pois isso faz com que a criação da instância falhe.
Adicione a chave de senha
1. Para a segunda chave, insira customerAdAdminDomainPassword.
2. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.

Conclua a configuração do segredo

Em Chave de criptografia, escolha a chave de KMS que você criou em Criar uma chave do KMS e escolha Próximo.
Em Nome do segredo, insira uma descrição para o segredo.
(Opcional) Em Descrição, insira uma descrição para o segredo.
Escolha Próximo.
Em Definir configurações de rotação, mantenha os valores padrão e escolha Próximo.
Consulte as configurações do segredo e escolha Armazenar.
Escolha o segredo que você criou e copie o valor do ARN do segredo. Você usará este ARN na próxima etapa para configurar o Active Directory autogerenciado.

Requisitos de infraestrutura

Prepare os seguintes componentes da infraestrutura:

Dois AWS Systems Manager nós com privilégios de administrador para agentes SSM
- Se o Active Directory for autogerenciado fora da Nuvem AWS, você precisará de dois nós do Systems Manager para um ambiente híbrido e multinuvem. Para obter mais informações sobre como provisionar esses nós, consulte Como configurar o Systems Manager para ambientes híbridos e multinuvem.
- Se o Active Directory for autogerenciado no Nuvem AWS, você precisará de duas EC2 instâncias gerenciadas do Systems Manager. Para obter mais informações sobre como provisionar essas instâncias, consulte Gerenciando EC2 instâncias com Systems Manager.

Serviços do Active Directory exigidos

Verifique se os seguintes serviços estão sendo executados no AD autogerenciado:

Serviços de Domínio do Active Directory
Serviço Web do Active Directory (ADWS)
Sistema de eventos COM+
DFSR (Distributed File System Replication, Replicação do sistema de arquivos distribuídos)
Domain Name System (DNS)
Servidor DNS
Cliente de Política de Grupo
Mensagem entre sites
Chamada de procedimento remoto (RPC)
Gerente de contas de segurança
Windows Time Server

nota
O diretório híbrido exige que a porta UDP 123 esteja aberta e que o Windows Time Server esteja habilitado e funcional. Sincronizamos o horário com o controlador de domínio para garantir que a replicação de diretórios híbridos funcione corretamente.

Requisitos da autenticação Kerberos

Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Para obter instruções detalhadas sobre como habilitar essa configuração, consulte Garantir que a pré-autenticação Kerberos esteja habilitada. Para obter informações gerais sobre essa configuração, acesse Pré-autenticação em Microsoft TechNet.

Tipos de criptografia compatíveis

O diretório híbrido aceita os seguintes tipos de criptografia ao fazer a autenticação via Kerberos nos controladores de domínio do Active Directory:

AES-256-HMAC

Requisitos de porta de rede

AWSPara estender seus controladores de domínio autogerenciados do Active Directory, o firewall da sua rede existente deve ter as seguintes portas abertas CIDRs para ambas as sub-redes em sua Amazon VPC:

TCP/UDP 53 - DNS
TCP/UDP 88 - autenticação de Kerberos
UDP 123 — Servidor de horário
TCP 135 — Chamada de procedimento remoto
TCP/UDP 389 - LDAP
TCP 445: SMB
TCP 636 — Necessário somente para ambientes com LDAPS (Lightweight Directory Access Protocol Secure)
TCP 49152-65535 -— Portas TCP altas alocadas aleatoriamente pelo RPC
TCP 3268 e 3269 — Catálogo global
TCP 9389 Serviços Web do Active Directory (ADWS)

Essas são as portas mínimas necessárias para criar um diretório híbrido. Sua configuração específica pode exigir que portas adicionais sejam abertas.

nota

O DNS IPs fornecido para seus controladores de domínio e detentores de funções FSMO deve ter as portas acima abertas CIDRs para ambas as sub-redes na Amazon VPC.

nota

O diretório híbrido exige que a porta UDP 123 esteja aberta e que o Windows Time Server esteja habilitado e funcional. Sincronizamos o horário com o controlador de domínio para garantir que a replicação de diretórios híbridos funcione corretamente.

Conta da AWSpermissões

Você precisará de permissões para as seguintes ações em seuConta da AWS:

ec2: AuthorizeSecurityGroupEgress
ec2: AuthorizeSecurityGroupIngress
ec2: CreateNetworkInterface
ec2: CreateSecurityGroup
ec2: DescribeNetworkInterfaces
ec2: DescribeSubnets
ec2: DescribeVpcs
ec2: CreateTags
ec2: CreateNetworkInterfacePermission
sms: ListCommands
sms: GetCommandInvocation
sms: GetConnectionStatus
sms: SendCommand
gerente de segredos: DescribeSecret
gerente de segredos: GetSecretValue
objetivo: GetRole
objetivo: CreateServiceLinkedRole

Requisitos de rede da Amazon VPC

Uma VPC com o seguinte:

Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente.
A VPC deve ter uma locação padrão.

Você não pode criar um diretório híbrido em uma VPC usando endereços no espaço de endereço 198.18.0.0/15.

Directory Serviceusa uma estrutura de duas VPC. As EC2 instâncias que compõem seu diretório são executadas fora do seu Conta da AWS e são gerenciadas peloAWS. Elas têm dois adaptadores de rede ETH0 e ETH1. ETH0 é o adaptador de gerenciamento e existe fora da sua conta. ETH1 é criado em sua conta.

O intervalo IP de gerenciamento da rede ETH0 do diretório é 198.18.0.0/15.

Para obter mais informações, consulte um dos tópicos a seguir no Guia do usuário da Amazon VPC.

Para obter mais informações sobreAWS Direct Connect, consulte o O que éAWS Direct Connect?

AWSconfiguração do grupo de segurança

Por padrão, AWS anexa um grupo de segurança para permitir o acesso à rede aos nós AWS Systems Manager gerenciados em sua VPC. Opcionalmente, você pode fornecer um grupo de segurança próprio que permita o tráfego de rede de e para os controladores de domínio autogerenciados fora da VPC.

Opcionalmente, você pode fornecer um grupo de segurança próprio que permita o tráfego de rede de e para os controladores de domínio autogerenciados fora da VPC. Se você fornecer o próprio grupo de segurança, precisará:

Listar os intervalos de VPC CIDR e intervalos autogerenciados.
Certifique-se de que esses intervalos não se sobreponham aos intervalos de IP reservados da AWS

Considerações sobre avaliações de diretório

A seguir estão algumas considerações ao criar avaliações de diretório e o número de avaliações que você pode ter na Conta da AWS:

Uma avaliação de diretório é criada automaticamente quando você cria um diretório híbrido. Existem dois tipos de avaliações: CUSTOMER e SYSTEM. A Conta da AWS tem um limite de 100 avaliações de diretório CUSTOMER.
Se você tentar criar um diretório híbrido e já tiver 100 avaliações de diretório CUSTOMER, encontrará um erro. Exclua as avaliações para liberar capacidade antes de tentar novamente.
Você pode solicitar um aumento em sua cota de avaliação de CUSTOMER diretório entrando em contato Suporte ou excluindo as avaliações existentes do diretório CUSTOMER para liberar capacidade.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWSMicrosoft AD gerenciado (edição híbrida)

Como criar um diretório híbrido