As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Pré-requisitos do diretório híbrido
<a name="create_hybrid_directory_prereqs"></a>

O diretório híbrido estende o Active Directory autogerenciado para a Nuvem AWS. Antes de criar um diretório híbrido, certifique-se de que o ambiente atenda aos seguintes requisitos:

## Requisitos de domínio do Microsoft Active Directory
<a name="create_hybrid_directory_prereqs-ad-domain"></a>

Antes de criar um diretório híbrido, verifique se o ambiente AD autogerenciado e a infraestrutura atendem aos requisitos a seguir e reúna as informações necessárias.

### Requisitos de domínio
<a name="domain_requirements"></a>

O ambiente do AD autogerenciado deve atender aos seguintes requisitos:
+ Usa um nível funcional do Windows Server 2012 R2 ou 2016.
+ Usa controladores de domínio padrão a serem avaliados para a criação do diretório híbrido. Controladores de domínio somente para leitura (RODC) não podem ser usados para a criação de diretórios híbridos.
+ Tem dois controladores de domínio com todos os serviços do Active Directory em execução.
+ O Controlador de Domínio Primário (PDC) deve ser roteável por todo o tempo.

  Especificamente, o emulador PDC e o RID Master IPs do seu AD autogerenciado devem estar em uma das seguintes categorias:
  + Parte dos intervalos de endereços IP RFC1918 privados (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16)
  + Dentro do intervalo faixa de CIDR de VPC
  + Combine o DNS IPs de suas instâncias autogerenciadas com o diretório

  Você pode adicionar outras rotas IP ao diretório após a criação do diretório híbrido.

### Informações necessárias
<a name="required_information"></a>

Reúna as seguintes informações sobre o AD autogerenciado:
+ Nome do DNS do diretório
+ Diretório DNS IPs
+ Credenciais da conta de serviço com permissões de Administrador para o AD autogerenciado
+ AWS ARN secreto para armazenar as credenciais da sua conta de serviço (consulte) [AWS ARN secreto para diretório híbrido](#aws_secret_arn_for_hybrid)

### AWS ARN secreto para diretório híbrido
<a name="aws_secret_arn_for_hybrid"></a>

Para configurar um diretório híbrido com seu AD autogerenciado, você precisa criar uma chave KMS para criptografar seu AWS segredo e, em seguida, criar o segredo em si. Ambos os recursos devem ser criados no mesmo Conta da AWS que contém o diretório híbrido.

#### Criar uma chave do KMS
<a name="create_kms_key_for_hybrid"></a>

A chave KMS é usada para criptografar seu AWS segredo.

**Importante**  
Em **Chave de criptografia**, não use a chave do KMS padrão da  AWS . Certifique-se de criar a chave AWS KMS na mesma Conta da AWS que contém o diretório híbrido que você deseja criar para se juntar ao seu AD autogerenciado.

**Para criar uma chave AWS KMS**

1. No AWS KMS console, escolha **Criar chave**.

1. Em **Tipo de chave**, escolha **Simétrica**.

1. Em **Uso da chave**, escolha **Criptografar e descriptografar**.

1. Em **Advanced options (Opções avançadas)**:

   1. Em **Origem do material de chaves**, escolha **Externa**.

   1. Em **Regionalidade**, escolha **Chave de região única** e escolha **Próximo**.

1. Em **Alias**, forneça um nome para a chave do KMS.

1. (Opcional) Em **Descrição**, forneça uma descrição da chave do KMS.

1. (Opcional) Em **Tags**, adicione tags para a chave KMS e escolha **Próximo**.

1. Em **Administradores de chaves**, selecione um usuário do IAM.

1. Em **Exclusão de chave**, mantenha a seleção padrão da caixa **Permitir que administradores de chaves excluam esta chave** e escolha **Próximo**.

1. Em **Usuários de chaves**, informe o mesmo usuário do IAM da etapa anterior e escolha **Próximo**.

1. Revise a configuração.

1. Em **Política de chave**, inclua a seguinte instrução à política:

1. Escolha **Terminar**.

#### Crie um AWS segredo
<a name="create_aws_secret_for_hybrid"></a>

Crie um segredo no Secrets Manager para armazenar as credenciais da conta de usuário do AD autogerenciado.

**Importante**  
Crie o segredo no mesmo Conta da AWS que contém o diretório híbrido que você deseja associar ao seu AD autogerenciado.

Como criar um segredo
+ No Secrets Manager, escolha **Armazenar um novo segredo**.
+ Em **Tipo de segredo**, escolha **Outro tipo de segredo**.
+ Em **Pares de chave/valor**, adicione suas duas chaves:

1. <a name="add_username_key"></a>Adicione a chave do nome de usuário

   1. Para a primeira chave, insira `customerAdAdminDomainUsername`.

   1. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD. Não inclua o nome do domínio, pois isso faz com que a criação da instância falhe.

1. <a name="add_password_key"></a>Adicione a chave de senha

   1. Para a segunda chave, insira `customerAdAdminDomainPassword`.

   1. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.

##### Conclua a configuração do segredo
<a name="complete_secret_configuration"></a>

1. Em **Chave de criptografia**, escolha a chave de KMS que você criou em [Criar uma chave do KMS](#create_kms_key_for_hybrid) e escolha **Próximo**.

1. Em **Nome do segredo**, insira uma descrição para o segredo.

1. (Opcional) Em **Descrição**, insira uma descrição para o segredo.

1. Escolha **Próximo**.

1. Em **Definir configurações de rotação**, mantenha os valores padrão e escolha **Próximo**.

1. Consulte as configurações do segredo e escolha **Armazenar**.

1. Escolha o segredo que você criou e copie o valor do **ARN do segredo**. Você usará este ARN na próxima etapa para configurar o Active Directory autogerenciado.

### Requisitos de infraestrutura
<a name="infrastructure_requirements"></a>

Prepare os seguintes componentes da infraestrutura:
+ Dois AWS Systems Manager nós com privilégios de administrador para agentes SSM
  + Se o Active Directory for **autogerenciado fora da Nuvem AWS**, você precisará de dois nós do Systems Manager para um ambiente híbrido e multinuvem. Para obter mais informações sobre como provisionar esses nós, consulte [Como configurar o Systems Manager para ambientes híbridos e multinuvem](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
  + Se o Active Directory for **autogerenciado no Nuvem AWS**, você precisará de duas instâncias EC2 gerenciadas pelo Systems Manager. Para obter mais informações sobre como provisionar essas instâncias, consulte [Como gerenciar instâncias do EC2 com Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

## Serviços do Active Directory exigidos
<a name="create_hybrid_directory_prereqs-ad-services"></a>

Verifique se os seguintes serviços estão sendo executados no AD autogerenciado:
+ Serviços de Domínio do Active Directory
+ Serviço Web do Active Directory (ADWS)
+ Sistema de eventos COM\$1
+ DFSR (Distributed File System Replication, Replicação do sistema de arquivos distribuídos)
+ Domain Name System (DNS)
+ Servidor DNS
+ Cliente de Política de Grupo
+ Mensagem entre sites
+ Chamada de procedimento remoto (RPC)
+ Gerente de contas de segurança
+ Windows Time Server
**nota**  
O diretório híbrido exige que a porta UDP 123 esteja aberta e que o Windows Time Server esteja habilitado e funcional. Sincronizamos o horário com o controlador de domínio para garantir que a replicação de diretórios híbridos funcione corretamente.

## Requisitos da autenticação Kerberos
<a name="create_hybrid_directory_prereqs-ad-kerberos"></a>

Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Para obter instruções detalhadas sobre como habilitar essa configuração, consulte [Garantir que a pré-autenticação Kerberos esteja habilitada](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos). Para obter informações gerais sobre essa configuração, acesse [Pré-autenticação](http://technet.microsoft.com/en-us/library/cc961961.aspx) em Microsoft TechNet.

## Tipos de criptografia compatíveis
<a name="create_hybrid_directory_prereqs-encryption"></a>

O diretório híbrido aceita os seguintes tipos de criptografia ao fazer a autenticação via Kerberos nos controladores de domínio do Active Directory:
+ AES-256-HMAC

## Requisitos de porta de rede
<a name="create_hybrid_directory_prereqs-ports"></a>

 AWS Para estender seus controladores de domínio autogerenciados do Active Directory, o firewall da sua rede existente deve ter as seguintes portas abertas CIDRs para ambas as sub-redes em sua Amazon VPC:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - autenticação de Kerberos
+ UDP 123 — Servidor de horário
+ TCP 135 — Chamada de procedimento remoto
+ TCP/UDP 389 - LDAP
+ TCP 445: SMB
+ TCP 636 — Necessário somente para ambientes com LDAPS (Lightweight Directory Access Protocol Secure)
+ TCP 49152-65535 -— Portas TCP altas alocadas aleatoriamente pelo RPC
+ TCP 3268 e 3269 — Catálogo global
+ TCP 9389 Serviços Web do Active Directory (ADWS)

Essas são as portas mínimas necessárias para criar um diretório híbrido. Sua configuração específica pode exigir que portas adicionais sejam abertas.

**nota**  
O DNS IPs fornecido para seus controladores de domínio e detentores de funções FSMO deve ter as portas acima abertas CIDRs para ambas as sub-redes na Amazon VPC.

**nota**  
O diretório híbrido exige que a porta UDP 123 esteja aberta e que o Windows Time Server esteja habilitado e funcional. Sincronizamos o horário com o controlador de domínio para garantir que a replicação de diretórios híbridos funcione corretamente.

## Conta da AWS permissões
<a name="hybrid-dir-prereq-perms"></a>

Você precisará de permissões para as seguintes ações em seu Conta da AWS:
+ ec2: AuthorizeSecurityGroupEgress
+ ec2: AuthorizeSecurityGroupIngress
+ ec2: CreateNetworkInterface
+ ec2: CreateSecurityGroup
+ ec2: DescribeNetworkInterfaces
+ ec2: DescribeSubnets
+ ec2: DescribeVpcs
+ ec2: CreateTags
+ ec2: CreateNetworkInterfacePermission
+ sms: ListCommands
+ sms: GetCommandInvocation
+ sms: GetConnectionStatus
+ sms: SendCommand
+ gerente de segredos: DescribeSecret
+ gerente de segredos: GetSecretValue
+ objetivo: GetRole
+ objetivo: CreateServiceLinkedRole

## Requisitos de rede da Amazon VPC
<a name="hybrid-dir-prereqs-vpc"></a>

Uma VPC com o seguinte:
+ Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente.
+ A VPC deve ter uma locação padrão.

Você não pode criar um diretório híbrido em uma VPC usando endereços no espaço de endereço 198.18.0.0/15.

Directory Service usa uma estrutura de duas VPC. As instâncias do EC2 que compõem seu diretório são executadas fora do seu Conta da AWS e são gerenciadas pelo AWS. Elas têm dois adaptadores de rede `ETH0` e `ETH1`. `ETH0` é o adaptador de gerenciamento e existe fora da sua conta. `ETH1` é criado em sua conta.

O intervalo de IP de gerenciamento da ETH0 rede para seu diretório é`198.18.0.0/15`.

Para obter mais informações, consulte um dos tópicos a seguir no *Guia do usuário da Amazon VPC*.
+ [O que é Amazon VPC?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [O que é Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs e sub-redes](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [O que é AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)

Para obter mais informações sobre AWS Direct Connect, consulte o [O que é AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

## AWS configuração do grupo de segurança
<a name="hybrid-dir-prereqs-security-group"></a>

Por padrão, AWS anexa um grupo de segurança para permitir o acesso à rede aos nós AWS Systems Manager gerenciados em sua VPC. Opcionalmente, você pode fornecer um grupo de segurança próprio que permita o tráfego de rede de e para os controladores de domínio autogerenciados fora da VPC.

Opcionalmente, você pode fornecer um grupo de segurança próprio que permita o tráfego de rede de e para os controladores de domínio autogerenciados fora da VPC. Se você fornecer o próprio grupo de segurança, precisará:
+ Listar os intervalos de VPC CIDR e intervalos autogerenciados.
+ Certifique-se de que esses intervalos não se sobreponham aos intervalos de [IP reservados da AWS](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) 

## Considerações sobre avaliações de diretório
<a name="hybrid-dir-prereqs-assessments"></a>

A seguir estão algumas considerações ao criar avaliações de diretório e o número de avaliações que você pode ter na Conta da AWS:
+ Uma avaliação de diretório é criada automaticamente quando você cria um diretório híbrido. Existem dois tipos de avaliações: `CUSTOMER` e `SYSTEM`. A Conta da AWS tem um limite de 100 avaliações de diretório `CUSTOMER`.
+ Se você tentar criar um diretório híbrido e já tiver 100 avaliações de diretório `CUSTOMER`, encontrará um erro. Exclua as avaliações para liberar capacidade antes de tentar novamente.
+ Você pode solicitar um aumento em sua cota de avaliação de `CUSTOMER` diretório entrando em contato Suporte ou excluindo as avaliações existentes do diretório CUSTOMER para liberar capacidade.