As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AD Connector
O AD Connector é um gateway de diretório com o qual você pode redirecionar solicitações de diretório para o Microsoft Active Directory on-premises sem armazenar nenhuma informação em cache na nuvem. O AD Connector é fornecido em dois tamanhos, pequeno e grande. Um AD Connetor pequeno é projetado para organizações menores e destina-se a lidar com um número baixo de operações por segundo. Um AD Connector grande é projetado para organizações maiores e destina-se a lidar com um número moderado a alto de operações por segundo. Você pode distribuir cargas de aplicativo entre vários AD Connectors para dimensionar para as suas necessidades de desempenho. Não há limites impostos de conexão ou usuário.
O AD Connector não oferece suporte a relações de confiança transitivas do Active Directory. Os AD Connectors e os domínios do Active Directory on-premises têm uma relação de um para um. Ou seja, para cada domínio on-premises, incluindo domínios filhos em uma floresta do Active Directory na qual você deseja se autenticar, é necessário criar um AD Connector exclusivo.
**nota**
O AD Connector não pode ser compartilhado com outras AWS contas. Se isso for um requisito, considere usar o Microsoft AD AWS gerenciado para[Compartilhe seu Microsoft AD AWS gerenciado](ms_ad_directory_sharing.md). O AD Connector também não reconhece várias VPCs, o que significa que AWS aplicativos como [WorkSpaces](https://aws.amazon.com/workspaces)esse precisam ser provisionados na mesma VPC do AD Connector.
Depois de configurado, o AD Connector oferece os seguintes benefícios:
+ Seus usuários finais e administradores de TI podem usar suas credenciais corporativas existentes para fazer login em AWS aplicativos como WorkSpaces WorkDocs, ou Amazon. WorkMail
+ Você pode gerenciar AWS recursos como EC2 instâncias da Amazon ou buckets do Amazon S3 por meio do acesso baseado em funções do IAM ao. Console de gerenciamento da AWS
+ Você pode aplicar consistentemente as políticas de segurança existentes (como expiração de senha, histórico de senhas e bloqueios de contas), independentemente de usuários ou administradores de TI estarem acessando recursos em sua infraestrutura local ou na nuvem. AWS
+ Você pode usar o AD Connector para habilitar a autenticação multifatorial integrando-se à sua infraestrutura de MFA baseada em RADIUS existente para fornecer uma camada adicional de segurança quando os usuários acessam aplicativos. AWS
Continue a ler os tópicos desta seção para saber como se conectar a um diretório e aproveitar ao máximo os recursos do AD Connector.
**Topics**
+ [Conceitos básicos do AD Connector](ad_connector_getting_started.md)
+ [Práticas recomendadas para o AD Connector](ad_connector_best_practices.md)
+ [Manter seu diretório do AD Connector](ad_connector_maintain.md)
+ [Proteger seu diretório do AD Connector](ad_connector_security.md)
+ [Monitore seu diretório do AD Connector](ad_connector_monitor.md)
+ [Acesso a AWS aplicativos e serviços do AD Connector](ad_connector_manage_apps_services.md)
+ [Maneiras de unir uma EC2 instância da Amazon ao seu Active Directory](ad_connector_join_instance.md)
+ [Cotas do AD Connector](ad_connector_limits.md)
+ [Solução de problemas do AD Connector](ad_connector_troubleshooting.md)
# Conceitos básicos do AD Connector
Com o AD Connector, você pode se conectar Directory Service ao Active Directory de sua empresa existente. Quando conectados ao seu diretório existente, todos os dados do diretório permanecem nos controladores de domínio. O Directory Service não replica nenhum dos dados de diretório.
**Topics**
+ [Pré-requisitos do AD Connector](#prereq_connector)
+ [Criar um AD Connector](#create_ad_connector)
+ [O que é criado com seu AD Connector](create_details_ad_connector.md)
## Pré-requisitos do AD Connector
Para conectar ao seu diretório existente com o AD Connector, você precisa do seguinte:
**Amazon VPC**
Configure uma VPC com o seguinte:
+ Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente e deve ser do mesmo tipo de rede.
Você pode usar IPv6 para sua VPC. Para obter mais informações, consulte o [IPv6 suporte para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) no Guia do *usuário da Amazon Virtual Private Cloud*.
+ A VPC deve estar conectada à sua rede existente por meio de uma conexão de rede privada virtual (VPN) ou Direct Connect.
+ A VPC deve ter uma locação de hardware padrão.
Directory Service usa uma estrutura de duas VPC. As instâncias do EC2 que compõem seu diretório são executadas fora da sua AWS conta e são gerenciadas pela AWS. Elas têm dois adaptadores de rede `ETH0` e `ETH1`. `ETH0` é o adaptador de gerenciamento e existe fora da sua conta. `ETH1` é criado em sua conta.
O intervalo de IP de gerenciamento da `ETH0` rede do seu diretório é escolhido de maneira programática para garantir que não entre em conflito com a VPC em que seu diretório está implantado. Esse intervalo de IP pode estar em qualquer um dos seguintes pares (já que os diretórios são executados em duas sub-redes):
+ 10.0.1.0/24 e 10.0.2.0/24
+ 169.254.0.0/16
+ 192.168.1.0/24 e 192.168.2.0/24
Evitamos conflitos verificando o primeiro octeto do CIDR `ETH1`. Se ele começar com 10, escolheremos uma VPC 192.168.0.0/16 com sub-redes 192.168.1.0/24 e 192.168.2.0/24. Se o primeiro octeto for diferente de 10, escolheremos uma VPC 10.0.0.0/16 com sub-redes 10.0.1.0/24 e 10.0.2.0/24.
O algoritmo de seleção não inclui rotas em sua VPC. Portanto, é possível que um conflito de roteamento IP resulte desse cenário.
Para obter mais informações, consulte um dos tópicos a seguir no *Guia do usuário da Amazon VPC*.
+ [O que é Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)
+ [Sub-redes na sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet)
+ [Adicionar um hardware de gateway privado virtual à VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html)
Para obter mais informações sobre AWS Direct Connect, consulte o [Guia AWS Direct Connect do usuário](https://docs.aws.amazon.com/directconnect/latest/UserGuide/).
**Active Directory existente**
Será necessário se conectar a uma rede existente com um domínio do Active Directory.
O AD Connector não é compatível com [domínios de rótulo único](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
O nível funcional desse domínio do Active Directory deve ser `Windows Server 2003` ou superior. O AD Connector também oferece suporte à conexão a um domínio hospedado em uma instância do Amazon EC2.
O AD Connector não oferece suporte a controladores de domínio somente leitura (RODC) quando usados em combinação com o recurso de associação a domínio do Amazon EC2.
**Conta de serviço**
Você deve ter credenciais para uma conta de serviço no diretório existente delegada com os privilégios a seguir:
+ Ler os usuários e grupos — Obrigatório
+ Associar computadores ao domínio - obrigatório somente ao usar o Seamless Domain Join e WorkSpaces
+ Crie objetos de computador - Obrigatório somente ao usar o Seamless Domain Join e WorkSpaces
+ A senha da conta de serviço deve estar em conformidade com os requisitos de AWS senha. AWS as senhas devem ser:
+ Entre 8 e 128 caracteres.
+ Contém pelo menos um caractere de três das seguintes quatro categorias:
+ Letras minúsculas (a-z)
+ Letras maiúsculas (A-Z)
+ Números (0-9)
+ Caracteres não alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
Para obter mais informações, consulte [Delegar privilégios para sua conta de serviço](#connect_delegate_privileges).
O AD Connector usa Kerberos para autenticação e autorização de aplicações da AWS . O LDAP é usado somente para pesquisas de objetos de usuários e grupos (operações de leitura). Com as transações LDAP, nada é mutável e as credenciais não são passadas em texto não criptografado. A autenticação é feita por um serviço AWS interno, que usa tíquetes Kerberos para realizar operações LDAP como usuário.
**Permissões de usuário**
Todos os usuários do Active Directory devem ter permissões para ler seus próprios atributos. Especificamente os seguintes atributos:
+ GivenName
+ SurName
+ Correio
+ SamAccountName
+ UserPrincipalName
+ UserAccountControl
+ MemberOf
Por padrão, os usuários do Active Directory têm permissão de leitura para esses atributos. No entanto, os administradores podem alterar essas permissões ao longo do tempo, de modo que você pode verificar se seus usuários têm essas permissões de leitura antes de configurar o AD Connector pela primeira vez.
**Endereços IP**
Obtenha os endereços IP de dois servidores DNS ou controladores de domínio no seu diretório existente.
O AD Connector obtém os registros SRV `_ldap._tcp.` e `_kerberos._tcp.` desses servidores ao se conectar ao seu diretório, de forma que esses servidores devem conter esses registros de SRV. O AD Connector tenta encontrar um controlador comum de domínio que fornece serviços de LDAP e Kerberos; portanto, esses registros de SRV devem incluir pelo menos um controlador de domínio em comum. Para obter mais informações sobre registros SRV, acesse [SRV Resource Records](http://technet.microsoft.com/en-us/library/cc961719.aspx) na Microsoft. TechNet
**Portas para sub-redes**
Para que o AD Connector redirecione as solicitações de diretório para seus controladores de domínio do Active Directory existentes, o firewall da sua rede atual deve ter as seguintes portas abertas CIDRs para ambas as sub-redes em sua Amazon VPC.
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - autenticação de Kerberos
+ TCP/UDP 389 - LDAP
Essas são as portas mínimas necessárias para que o AD Connector possa se conectar ao seu diretório. Sua configuração específica pode exigir que portas adicionais sejam abertas.
Se você quiser usar o AD Connector e a Amazon WorkSpaces, o atributo Disable VLVSupport LDAP precisa ser definido como 0 para seus controladores de domínio. Essa é a configuração padrão dos controladores de domínio. O AD Connector não poderá consultar usuários no diretório se o atributo Disable VLVSupport LDAP estiver ativado. Isso impede que o AD Connector funcione com o Amazon WorkSpaces.
Se os servidores DNS ou os servidores do controlador de domínio do seu domínio atual do Active Directory estiverem dentro da VPC, os grupos de segurança associados a esses servidores deverão ter as portas acima abertas para ambas as sub-redes CIDRs na VPC.
Para requisitos adicionais de portas, consulte [AD and AD DS Port Requirements](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)) na documentação da Microsoft.
**Pré-autenticação do Kerberos**
Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Para obter instruções detalhadas sobre como habilitar essa configuração, consulte [Verificar se a pré-autenticação Kerberos está habilitada](ms_ad_tutorial_setup_trust_prepare_onprem.md#tutorial_setup_trust_enable_kerberos). Para obter informações gerais sobre essa configuração, acesse [Pré-autenticação](http://technet.microsoft.com/en-us/library/cc961961.aspx) em Microsoft TechNet.
**Tipos de criptografia**
O AD Connector é compatível com os seguintes tipos de criptografia ao fazer a autenticação via Kerberos em seus controladores de domínio do Active Directory:
+ AES-256-HMAC
+ AES-128-HMAC
+ RC4-HMAC
### Centro de Identidade do AWS IAM pré-requisitos
Se você planeja usar o Centro de Identidade do IAM com o AD Connector, é necessário garantir que o seguinte seja verdadeiro:
+ Seu AD Connector está configurado na conta de gerenciamento da sua AWS organização.
+ Sua instância do Centro de Identidade do IAM está na mesma região em que o AD Connector está configurado.
Para obter mais informações, consulte os [pré-requisitos do IAM Identity Center no Guia](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) do Centro de Identidade do AWS IAM usuário.
### Pré-requisitos da autenticação multifator
Para oferecer suporte à autenticação multifator com o seu diretório do AD Connector, é necessário o seguinte:
+ Um servidor [Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) na sua rede existente que tenha dois endpoints clientes. Os endpoints clientes do RADIUS têm os seguintes requisitos:
+ Para criar os endpoints, são necessários os endereços IP dos servidores do Directory Service . Esses endereços IP podem ser obtidos no campo **Directory IP Address** dos detalhes do seu diretório.
+ Ambos os endpoints do RADIUS devem usar o mesmo código secreto compartilhado.
+ Sua rede existente deve permitir tráfego de entrada pela porta padrão do servidor RADIUS (1812) dos servidores. Directory Service
+ Os nomes de usuário entre o servidor RADIUS e o diretório existente devem ser idênticos.
Para obter mais informações sobre como usar o AD Connector com MFA, consulte [Como habilitar a autenticação multifator para o AD Connector](ad_connector_mfa.md).
### Delegar privilégios para sua conta de serviço
Para se conectar ao seu diretório existente, é necessário ter as credenciais para sua conta de serviço do AD Connector no diretório existente com determinados privilégios delegados a elas. Embora os membros do grupo **Domain Admins (Administradores do domínio)** tenham privilégios suficientes para se conectar ao diretório, como uma melhor prática, use uma conta de serviço que tenha apenas os privilégios mínimos necessários para conectar-se ao diretório. O procedimento a seguir demonstra como criar um novo grupo chamado`Connectors`, delegar os privilégios necessários para se conectar Directory Service a esse grupo e, em seguida, adicionar uma nova conta de serviço a esse grupo.
Este procedimento deve ser executado em uma máquina que esteja integrada ao seu diretório e tenha o snap-in do MMC **Active Directory User and Computers (Usuário e computadores do Active Directory)** instalado. Você também deve estar conectado como administrador de domínio.
**Para delegar privilégios para sua conta de serviço**
1. Abra **Active Directory User and Computers (Usuário e computadores do Active Directory)** e selecione a raiz do domínio na árvore de navegação.
1. Na lista no painel de trabalho à esquerda, clique com o botão direito do mouse sobre **Users**, selecione **New** e selecione **Group**.
1. Na caixa de diálogo **New Object - Group**, digite o que está a seguir e clique em **OK**.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/ad_connector_getting_started.html)
1. Na árvore de navegação **Usuários e Computadores do Active Directory**, selecione identificar a Unidade Organizacional (UO) na qual as contas de computador serão criadas. No menu, selecione **Action** e **Delegate Control**. Você pode selecionar uma OU principal até o domínio à medida que as permissões se propagam para a criança OUs. Se o AD Connector estiver conectado ao AWS Managed Microsoft AD, você não terá acesso para delegar controle no nível raiz do domínio. Nesse caso, para delegar o controle, selecione a UO na UO do diretório em que os objetos do seu computador serão criados.
1. Na página **Delegation of Control Wizard**, clique em **Next** e em **Add**.
1. Na caixa de diálogo **Select Users, Computers, or Groups (Selecionar usuários, computadores ou grupos)**, digite `Connectors` e clique em **OK**. Se mais de um objeto for encontrado, selecione o grupo `Connectors` criado acima. Clique em **Next**.
1. Na página **Tasks to Delegate**, selecione **Create a custom task to delegate** e escolha **Next**.
1. Selecione **Only the following objects in the folder** e selecione **Computer objects** e **User objects**.
1. Selecione **Create selected objects in this folder** e **Delete selected objects in this folder**. Escolha **Próximo**.
![\[Assistente de delegação de controle: somente as seguintes opções de objetos na pasta, objetos de usuário, criar objetos selecionados nessa pasta e excluir objetos selecionados nessa pasta são selecionadas.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)
1. Selecione **Read (Ler)** e depois escolha **Next (Próximo)**.
**nota**
Se você estiver usando o Seamless Domain Join or WorkSpaces, você também deverá habilitar as permissões de **gravação** para que o Active Directory possa criar objetos de computador.
![\[Assistente de delegação de controle: em Mostrar essas permissões, as opções geral, específica da propriedade e leitura são selecionadas.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)
1. Verifique as informações da página **Completing the Delegation of Control Wizard** e clique em **Finish**.
1. Crie uma conta de usuário com uma senha forte e adicione o usuário ao grupo `Connectors`. Esse usuário será conhecido como sua conta de serviço do AD Connector e, como agora é membro do `Connectors` grupo, agora tem privilégios suficientes para se conectar Directory Service ao diretório.
### Testar o AD Connector
Para que o AD Connector se conecte ao seu diretório existente, o firewall da sua rede existente deve ter certas portas abertas CIDRs para ambas as sub-redes na VPC. Para testar se essas condições são atendidas, execute as etapas a seguir:
**Para testar a conexão com a**
1. Inicie uma instância do Windows na VPC e conecte-se a ela por RDP. A instância deve ser membro do seu domínio existente. As etapas restantes são executadas nesta instância da VPC.
1. Baixe e descompacte o aplicativo [DirectoryServicePortTest](samples/DirectoryServicePortTest.zip)de teste. O código-fonte e os arquivos de projeto do Visual Studio são incluídos para que você possa modificar o aplicativo de teste, se desejar.
**nota**
Este script não tem suporte no Windows Server 2003 nem em um sistemas operacionais mais antigos.
1. Pelo prompt de comando do Windows, execute a aplicativo de teste **DirectoryServicePortTest** com as seguintes opções:
**nota**
O aplicativo DirectoryServicePortTest de teste só pode ser usado quando os níveis funcionais do domínio e da floresta estão definidos para Windows Server 2012 R2 e versões anteriores.
```
DirectoryServicePortTest.exe -d -ip -tcp "53,88,389" -udp "53,88,389"
```
**
O nome de domínio totalmente qualificado. Ele é usado para testar os níveis funcionais de floresta e domínio. Se você excluir o nome do domínio, os níveis funcionais não serão testados.
**
O endereço IP de um controlador de domínio no seu domínio existente. As portas serão testadas com relação a esse endereço IP. Se você excluir o endereço IP, as portas não serão testadas.
Este aplicativo de testes determina se as portas necessárias estão abertas na VPC para seu domínio e também verifica os níveis funcionais mínimos de floresta e domínio.
A saída será semelhante ao seguinte:
```
Testing forest functional level.
Forest Functional Level = Windows2008R2Forest : PASSED
Testing domain functional level.
Domain Functional Level = Windows2008R2Domain : PASSED
Testing required TCP ports to :
Checking TCP port 53: PASSED
Checking TCP port 88: PASSED
Checking TCP port 389: PASSED
Testing required UDP ports to :
Checking UDP port 53: PASSED
Checking UDP port 88: PASSED
Checking UDP port 389: PASSED
```
O seguinte é o código-fonte do aplicativo **DirectoryServicePortTest**.
```
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Net;
using System.Net.Sockets;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices.ActiveDirectory;
using System.Threading;
using System.DirectoryServices.AccountManagement;
using System.DirectoryServices;
using System.Security.Authentication;
using System.Security.AccessControl;
using System.Security.Principal;
namespace DirectoryServicePortTest
{
class Program
{
private static List _tcpPorts;
private static List _udpPorts;
private static string _domain = "";
private static IPAddress _ipAddr = null;
static void Main(string[] args)
{
if (ParseArgs(args))
{
try
{
if (_domain.Length > 0)
{
try
{
TestForestFunctionalLevel();
TestDomainFunctionalLevel();
}
catch (ActiveDirectoryObjectNotFoundException)
{
Console.WriteLine("The domain {0} could not be found.\n", _domain);
}
}
if (null != _ipAddr)
{
if (_tcpPorts.Count > 0)
{
TestTcpPorts(_tcpPorts);
}
if (_udpPorts.Count > 0)
{
TestUdpPorts(_udpPorts);
}
}
}
catch (AuthenticationException ex)
{
Console.WriteLine(ex.Message);
}
}
else
{
PrintUsage();
}
Console.Write("Press to continue.");
Console.ReadLine();
}
static void PrintUsage()
{
string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location);
Console.WriteLine("Usage: {0} \n-d \n-ip \"\" \n[-tcp \",,etc\"] \n[-udp \",,etc\"]", currentApp);
}
static bool ParseArgs(string[] args)
{
bool fReturn = false;
string ipAddress = "";
try
{
_tcpPorts = new List();
_udpPorts = new List();
for (int i = 0; i < args.Length; i++)
{
string arg = args[i];
if ("-tcp" == arg | "/tcp" == arg)
{
i++;
string portList = args[i];
_tcpPorts = ParsePortList(portList);
}
if ("-udp" == arg | "/udp" == arg)
{
i++;
string portList = args[i];
_udpPorts = ParsePortList(portList);
}
if ("-d" == arg | "/d" == arg)
{
i++;
_domain = args[i];
}
if ("-ip" == arg | "/ip" == arg)
{
i++;
ipAddress = args[i];
}
}
}
catch (ArgumentOutOfRangeException)
{
return false;
}
if (_domain.Length > 0 || ipAddress.Length > 0)
{
fReturn = true;
}
if (ipAddress.Length > 0)
{
_ipAddr = IPAddress.Parse(ipAddress);
}
return fReturn;
}
static List ParsePortList(string portList)
{
List ports = new List();
char[] separators = {',', ';', ':'};
string[] portStrings = portList.Split(separators);
foreach (string portString in portStrings)
{
try
{
ports.Add(Convert.ToInt32(portString));
}
catch (FormatException)
{
}
}
return ports;
}
static void TestForestFunctionalLevel()
{
Console.WriteLine("Testing forest functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null);
Forest forestContext = Forest.GetForest(dirContext);
Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);
if (forestContext.ForestMode >= ForestMode.Windows2003Forest)
{
Console.WriteLine("PASSED");
}
else
{
Console.WriteLine("FAILED");
}
Console.WriteLine();
}
static void TestDomainFunctionalLevel()
{
Console.WriteLine("Testing domain functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null);
Domain domainObject = Domain.GetDomain(dirContext);
Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);
if (domainObject.DomainMode >= DomainMode.Windows2003Domain)
{
Console.WriteLine("PASSED");
}
else
{
Console.WriteLine("FAILED");
}
Console.WriteLine();
}
static List TestTcpPorts(List portList)
{
Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());
List failedPorts = new List();
foreach (int port in portList)
{
Console.Write("Checking TCP port {0}: ", port);
TcpClient tcpClient = new TcpClient();
try
{
tcpClient.Connect(_ipAddr, port);
tcpClient.Close();
Console.WriteLine("PASSED");
}
catch (SocketException)
{
failedPorts.Add(port);
Console.WriteLine("FAILED");
}
}
Console.WriteLine();
return failedPorts;
}
static List TestUdpPorts(List portList)
{
Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());
List failedPorts = new List();
foreach (int port in portList)
{
Console.Write("Checking UDP port {0}: ", port);
UdpClient udpClient = new UdpClient();
try
{
udpClient.Connect(_ipAddr, port);
udpClient.Close();
Console.WriteLine("PASSED");
}
catch (SocketException)
{
failedPorts.Add(port);
Console.WriteLine("FAILED");
}
}
Console.WriteLine();
return failedPorts;
}
}
}
```
## Criar um AD Connector
Para se conectar ao seu diretório existente com o AD Connector, siga as etapas a seguir. Antes de iniciar este procedimento, verifique se você concluiu os pré-requisitos identificados em [Pré-requisitos do AD Connector](#prereq_connector).
**nota**
Não é possível criar um AD Connector com um modelo do Cloud Formation.
**Para se conectar com o AD Connector**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), escolha **Diretórios** e escolha **Configurar diretório**.
1. Na página **Selecionar tipo do diretório**, selecione **AD Connector** e, em seguida, selecione **Próximo**.
1. Na página **Enter AD Connector information (Inserir informações do AD Connector)**, forneça as seguintes informações:
**Tamanho do diretório**
Selecione a opção de tamanho **Small (Pequeno)** ou **Large (Grande)**. Para obter mais informações sobre os tamanhos, consulte [AD Connector](directory_ad_connector.md).
**Descrição do diretório**
Uma descrição opcional do diretório.
1. Na página **Choose VPC and subnets (Selecionar VPC e sub-redes)**, forneça as seguintes informações e selecione **Next (Próximo)**.
**VPC**
A VPC do diretório.
**Sub-redes**
Selecione as sub-redes para os controladores de domínio. As duas sub-redes deve estar em diferentes zonas de disponibilidade.
1. Na página **Connect to AD (Conectar ao AD)**, forneça as seguintes informações:
**Nome do DNS do diretório**
O nome completo do seu diretório existente, como `corp.example.com`.
**Nome de NetBIOS do diretório**
O nome curto do seu diretório existente, como `CORP`.
**Endereços IP do DNS**
O endereço IP de pelo menos um servidor DNS em seu diretório existente. Esses servidores devem ser acessados a partir de cada sub-rede especificada na etapa 4. Esses servidores podem estar localizados fora do AWS, desde que haja conectividade de rede entre as sub-redes especificadas e os endereços IP do servidor DNS.
**Nome de usuário da conta de serviço**
O nome de usuário de um usuário no diretório existente. Para obter mais informações sobre esta conta, consulte [Pré-requisitos do AD Connector](#prereq_connector).
**Senha da conta de serviço**
A senha para a conta de usuário existente. Essa senha diferencia maiúsculas de minúsculas e deve ter entre 8 e 128 caracteres, inclusive. Ela também precisa conter pelo menos um caractere de três das quatro categorias a seguir:
+ Letras minúsculas (a-z)
+ Letras maiúsculas (A-Z)
+ Números (0-9)
+ Caracteres não alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**Confirmar senha**
Digite novamente a senha para a conta de usuário existente.
1. Na página **Review & create (Revisar e criar)**, analise as informações do diretório e faça as alterações necessárias. Quando as informações estiverem corretas, escolha **Create directory (Criar diretório)**. A criação do diretório leva vários minutos. Depois de criado, o valor de **Status** é alterado para **Ativo**.
Para obter mais informações sobre o que é criado com o AD Connector, consulte [O que é criado com seu AD Connector](create_details_ad_connector.md).
# O que é criado com seu AD Connector
Quando você cria um AD Connector, cria e associa Directory Service automaticamente uma interface de rede elástica (ENI) a cada uma das suas instâncias do AD Connector. Cada um deles ENIs é essencial para a conectividade entre sua VPC e o Directory Service AD Connector e nunca deve ser excluído. Você pode identificar todas as interfaces de rede reservadas para uso com Directory Service a descrição: "interface de rede AWS criada para *id de diretório*”. Para obter mais informações, consulte [Interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) no Guia do usuário do Amazon EC2.
**nota**
As instância do AD Connector são implantadas em duas zonas de disponibilidade em uma região e conectadas à sua Amazon Virtual Private Cloud (VPC). As instâncias do AD Connector que falham são substituídas automaticamente na mesma zona de disponibilidade usando o mesmo endereço IP.
Quando você entra em qualquer AWS aplicativo ou serviço integrado com um AD Connector (Centro de Identidade do AWS IAM incluído), o aplicativo ou serviço encaminha sua solicitação de autenticação para o AD Connector, que então encaminha a solicitação para um controlador de domínio em seu Active Directory autogerenciado para autenticação. Se você for autenticado com êxito no Active Directory autogerenciado, o AD Connector retornará um token de autenticação para a aplicação ou o serviço (semelhante a um token Kerberos). Nesse ponto, agora você pode acessar o AWS aplicativo ou serviço.
# Práticas recomendadas para o AD Connector
Estas são algumas sugestões e orientações que devem ser consideradas para evitar problemas e aproveitar ao máximo o AD Connector.
## Configuração: pré-requisitos
Considere essas diretrizes antes de criar seu diretório.
### Verifique se você tem o tipo de diretório correto
Directory Service fornece várias maneiras de usar Microsoft Active Directory com outros AWS serviços. Você pode escolher o serviço de diretório com os recursos necessários a um custo que caiba em seu orçamento:
+ AWS O **Directory Service for Microsoft Active Directory** é um serviço gerenciado rico em recursos Microsoft Active Directory hospedado na AWS nuvem. AWS O Microsoft AD gerenciado é sua melhor opção se você tiver mais de 5.000 usuários e precisar de uma relação de confiança configurada entre um diretório AWS hospedado e seus diretórios locais.
+ **O AD Connector** simplesmente conecta seu Active Directory local existente a. AWS O AD Connector é a melhor opção quando você deseja usar seu diretório on-premises existente com os serviços da AWS .
+ O **Simple AD** é um diretório de baixo custo e pequena escala com compatibilidade básica com o Active Directory. Ele oferece suporte a até 5.000 usuários, aplicações compatíveis com Samba 4 e compatibilidade com LDAP para aplicações compatíveis com LDAP.
Para uma comparação mais detalhada das Directory Service opções, consulte[Qual escolher](what_is.md#choosing_an_option).
### Garanta que suas instâncias VPCs e instâncias estejam configuradas corretamente
Para se conectar, gerenciar e usar seus diretórios, você deve configurar adequadamente aqueles aos quais VPCs os diretórios estão associados. Consulte [Pré-requisitos para criar um Microsoft AD gerenciado AWS](ms_ad_getting_started.md#ms_ad_getting_started_prereqs), [Pré-requisitos do AD Connector](ad_connector_getting_started.md#prereq_connector) ou [Pré-requisitos do Simple AD](simple_ad_getting_started.md#prereq_simple) para obter informações sobre os requisitos de segurança e de rede da VPC.
Se estiver adicionando uma instância a seu domínio, verifique se você tem conectividade e acesso remoto à sua instância, conforme descrito em [Maneiras de unir uma instância do Amazon EC2 ao seu AWS Microsoft AD gerenciado](ms_ad_join_instance.md).
### Conhecer seus limites
Saiba mais sobre os vários limites do seu tipo de diretório específico. O armazenamento disponível e o tamanho agregado dos seus objetos são as únicas limitações no número de objetos que você pode armazenar em seu diretório. Consulte [AWS Cotas gerenciadas do Microsoft AD](ms_ad_limits.md), [Cotas do AD Connector](ad_connector_limits.md) ou [Cotas do Simple AD](simple_ad_limits.md) para obter detalhes sobre o diretório escolhido.
### Entenda a configuração e o uso do grupo de AWS segurança do seu diretório
AWS cria um [grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) e o anexa às [interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) do seu diretório, que podem ser acessadas de dentro do seu peering ou redimensionado. [VPCs](https://aws.amazon.com/vpc/) AWS configura o grupo de segurança para bloquear tráfego desnecessário para o diretório e permite o tráfego necessário.
#### Modificar o grupo de segurança do diretório
Para modificar a segurança dos diretórios dos grupos de segurança, você pode fazê-lo. Faça essas alterações apenas se você compreender totalmente como funciona a filtragem do grupo de segurança. Para obter mais informações, consulte [Grupos de segurança do Amazon EC2 para instâncias do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) no *Guia do usuário do Amazon EC2*. Alterações impróprias podem resultar na perda de comunicações com os computadores e instâncias pretendidos. AWS recomenda que você não tente abrir portas adicionais para seu diretório, pois isso diminui a segurança do seu diretório. Reveja cuidadosamente o [Modelo de responsabilidade compartilhada da AWS](https://aws.amazon.com/compliance/shared-responsibility-model/).
**Atenção**
Tecnicamente, é possível associar os grupos de segurança do diretório a outras instâncias do EC2 que você criar. No entanto, não AWS recomenda essa prática. AWS pode ter motivos para modificar o grupo de segurança sem aviso prévio para atender às necessidades funcionais ou de segurança do diretório gerenciado. Essas alterações afetam as instâncias às quais você associa o grupo de segurança do diretório e podem interromper a operação das instâncias associadas. Além disso, a associação do grupo de segurança do diretório às suas instâncias do EC2 cria um possível risco de segurança para essas instâncias do EC2.
### Configurar corretamente os sites e sub-redes on-premises ao usar o AD Connector
Se sua rede on-premises tiver sites do Active Directory definidos, você deverá verificar se as sub-redes da VPC em que o AD Connector reside estão definidas em um site do Active Directory e se não existem conflitos entre as sub-redes da VPC e as sub-redes dos outros sites.
Para descobrir controladores de domínio, o AD Connector usa o site do Active Directory cujos intervalos de endereços IP de sub-rede estão próximos dos da VPC que contém o AD Connector. Se você tiver um site cujas sub-redes têm os mesmos intervalos de endereços IP que os de sua VPC, o AD Connector descobrirá os controladores de domínio nesse site, o qual pode não estar fisicamente próximo de sua região.
### Entenda as restrições de nome de usuário para AWS aplicativos
Directory Service fornece suporte para a maioria dos formatos de caracteres que podem ser usados na construção de nomes de usuário. No entanto, existem restrições de caracteres impostas aos nomes de usuário que serão usados para fazer login em AWS aplicativos, como WorkSpaces WorkMail, WorkDocs Amazon ou Quick. Essas restrições exigem que os seguintes caracteres não sejam usados:
+ Espaços
+ Caracteres multibyte
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1
**nota**
O símbolo@é permitido, desde que ele preceda um sufixo UPN.
## Programar suas aplicações
Antes de programar seus aplicativos, considere o seguinte:
### Faça um teste de carga antes de implantar no ambiente de produção
Faça testes laboratoriais com aplicativos e solicitações que representem sua workload de produção para confirmar se o diretório é dimensionado de acordo com a carga da aplicação. Se precisar de capacidade adicional, distribua suas cargas em vários diretórios do AD Connector.
## Usar o diretório
Estas são algumas sugestões a serem lembradas ao usar o diretório.
### Alterne as credenciais de administrador regularmente
Altere sua senha de administrador da conta de serviço do AD Connector regularmente e certifique-se de que a senha seja consistente com as políticas de senha do Active Directory existentes. Para obter instruções sobre como alterar a senha da conta de serviço, consulte [Atualizando as credenciais da conta de serviço do AD Connector no Console de gerenciamento da AWS](ad_connector_update_creds.md).
### Use AD Connectors exclusivos para cada domínio
Os AD Connectors e seus domínios do AD on-premises têm uma relação de um para um. Ou seja, para cada domínio on-premises, incluindo domínios filhos em uma floresta do AD na qual você deseja se autenticar, é necessário criar um AD Connector exclusivo. Cada AD Connector que você criar deverá usar uma conta de serviço diferente, mesmo se estiver conectado ao mesmo diretório.
### Verifique a compatibilidade
Ao usar o AD Connector, você deve garantir que seu diretório local seja e permaneça compatível com o. Directory Service Para obter mais informações sobre suas responsabilidades, consulte nosso [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model).
# Manter seu diretório do AD Connector
Você pode usar o Console de gerenciamento da AWS para manter seu AD Connector e concluir tarefas day-to-day administrativas. As formas de manter o diretório incluem:
+ [Veja detalhes sobre o AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_view_directory_info.html).
+ [Atualize o endereço de DNS para o qual o AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html) aponta.
+ [Exclua o AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_delete.html) quando ele não for mais necessário.
# Visualizar informações do diretório do AD Connector
**Para visualizar informações detalhadas do diretório**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), em **Active Directory**, selecione **Diretórios**.
1. Escolha o link do ID de seu diretório. As informações sobre o diretório são exibidas na página **Detalhes do diretório**.
Para obter mais informações sobre o campo **Status**, consulte [Noções básicas sobre o status do diretório](ad_connector_directory_status.md).
# Como atualizar o tipo de rede do diretório
Você pode atualizar o tipo de rede do seu Directory Service diretório de IPv4 para Dual-stack (IPv4 e). IPv6 Atualizar o tipo de rede para incluir endereços IPv6 IP fornece um espaço de endereço maior do que IPv4. IPv4 e IPv6 a comunicação é independente uma da outra.
Para obter detalhes, consulte [ IPv4 Compare e IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) no *Guia do usuário da Amazon Virtual Private Cloud*.
**Importante**
Essa é uma operação unidirecional que não pode ser revertida. Teste primeiro em um ambiente que não seja de produção.
## Pré-requisitos
Antes de atualizar o tipo de rede do diretório, verifique se os seguintes requisitos foram atendidos:
+ Sua VPC deve ser configurada com intervalos IPv6 CIDR. Para obter detalhes, consulte o [IPv6 suporte para sua VPC no Guia](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) do *usuário da Amazon Virtual Private Cloud*.
+ Você tem acesso administrativo ao Console de gerenciamento da AWS.
+ O diretório deve estar no estado Ativo.
+ Você tem as permissões apropriadas do IAM para modificar Directory Service as configurações.
## Para atualizar o tipo de rede do diretório
**Para atualizar o diretório para uma rede de pilha dupla**
**nota**
Se o diretório for replicado em várias regiões, execute essa atualização em cada região.
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), escolha **Diretórios**.
1. Selecione o diretório de destino.
1. Acesse a guia **Rede e segurança**.
1. Escolha **Adicionar IPv6 suporte**. Essa opção está disponível somente para diretórios IPv4 -only.
1. Consulte as informações da atualização e os detalhes de preços.
1. Escolha **Adicionar** para confirmar a atualização.
Depois de iniciar a atualização, o status do diretório muda para **Atualizando** durante o processo de atualização. A atualização normalmente leva de 15 a 30 minutos para ser concluída. Depois de concluída, o status do diretório retorna para **Ativo**.
# Atualização do endereço de DNS para o AD Connector
Use as etapas a seguir para atualizar os endereços de DNS para os quais o seu AD Connector está apontando.
**nota**
Se você tiver uma atualização em andamento, aguarde até que ela seja concluída antes de enviar outra atualização.
Se você estiver usando WorkSpaces com seu AD Connector, certifique-se de que os endereços DNS do seu também WorkSpace estejam atualizados. Para obter mais informações, consulte [Atualizar servidores DNS para WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/update-dns-server.html).
**Para atualizar as configurações de DNS do AD Connector**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), em **Active Directory**, escolha **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Detalhes do diretório**, escolha a guia **Redes e segurança**.
1. Role para a seção **Configurações de DNS existentes** e escolha **Atualizar**.
1. Na caixa de diálogo **Update existing DNS addresses (Atualizar endereços DNS existentes)**, digite os endereços IP atualizados do DNS e escolha **Update (Atualizar)**.
Para obter mais informações sobre a solução de problemas do AD Connector, consulte [Solução de problemas do AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_troubleshooting.html).
# Exclusão do AD Connector
Quando um diretório do AD Connector é excluído, seu diretório on-premises permanece intacto. Todas as instâncias agregadas ao diretório também continuam intactas e permanecem agregadas ao diretório on-premises. Você ainda pode usar as credenciais do diretório para fazer login nessas instâncias.
**Para excluir o AD Connector**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**. Verifique se você está no Região da AWS local onde seu AD Connector está implantado. Para obter mais informações, consulte [Choosing a Region](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/select-region.html).
1. Certifique-se de que nenhum AWS aplicativo esteja habilitado para o AD Connector que você pretende excluir. AWS Os aplicativos habilitados impedirão que você exclua seu AD Connector.
1. Na página **Directories (Diretórios)**, escolha o ID do diretório.
1. Na página **Directory details (Detalhes do diretório)**, selecione a guia **Application management (Gerenciamento de aplicativos)**. Na seção de **AWS aplicativos e serviços**, você vê quais AWS aplicativos estão habilitados para o seu AD Connector.
+ Desative Console de gerenciamento da AWS o acesso. Para obter mais informações, consulte [Desabilitando o acesso Console de gerenciamento da AWS](ms_ad_management_console_access.md#console_disable).
+ Para desativar a Amazon WorkSpaces, você deve cancelar o registro do serviço no diretório no WorkSpaces console. Para obter mais informações, consulte [Excluir um diretório](https://docs.aws.amazon.com/workspaces/latest/adminguide/delete-workspaces-directory.html) no *Amazon WorkSpaces Administration Guide*.
+ Para desativar WorkDocs, você deve excluir o WorkDocs site no WorkDocs console. Para obter mais informações, consulte [Excluir um site](https://docs.aws.amazon.com/workdocs/latest/adminguide/delete_site.html) no *Guia de WorkDocs Administração da Amazon*.
+ Para desativar a Amazon WorkMail, você deve remover a WorkMail organização da Amazon no WorkMail console da Amazon. Para obter mais informações, consulte [Remover uma organização](https://docs.aws.amazon.com/workmail/latest/adminguide/remove_organization.html) no *Amazon WorkMail Administrator Guide*.
+ Para desativar o Amazon FSx para Windows File Server, você deve remover o sistema de FSx arquivos da Amazon do domínio. Para obter mais informações, consulte [Trabalhando com o Active Directory no FSx Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) no *Guia do usuário do Amazon FSx para Windows File Server*.
+ Para desabilitar o Amazon Relational Database Service, é necessário remover a instância do Amazon RDS do domínio. Para obter mais informações, consulte [Gerenciar uma instância de banco de dados em um domínio](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) no *Guia do usuário do Amazon RDS*.
+ Para desativar o AWS Client VPN serviço, você deve remover o serviço de diretório do Client VPN Endpoint. Para obter mais informações, consulte [Work with Client VPN](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/cvpn-working.html) no *Guia do administrador da AWS Client VPN *.
+ Para desabilitar o Amazon Connect, exclua a instância do Amazon Connect. Para obter mais informações, consulte [Delete your Amazon Connect instance](https://docs.aws.amazon.com/connect/latest/adminguide/delete-connect-instance.html) no *Guia de administração do Amazon Connect*.
+ Para desativar o Amazon Quick, você deve cancelar a assinatura do Amazon Quick. Para obter mais informações, consulte [Fechar sua Amazon Quick conta](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html) no *Amazon Quick User Guide*.
**nota**
Se você o estiver usando Centro de Identidade do AWS IAM e já o tiver conectado ao diretório AWS gerenciado do Microsoft AD que planeja excluir, primeiro altere a fonte de identidade antes de excluí-la. Para obter mais informações, consulte [Alterar sua fonte de identidade](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-change.html) no *Guia do usuário do Centro de Identidade do IAM*.
1. No painel de navegação, selecionar **Diretórios**.
1. Selecione somente o AD Connector a ser excluído e clique em **Excluir**. A exclusão do AD Connector pode demorar alguns minutos. Quando o AD Connector tiver sido excluído, ele será removido da sua lista de diretórios.
# Proteger seu diretório do AD Connector
Você pode usar recursos como a autenticação multifator (MFA), o Lightweight Directory Access Protocol do lado do cliente via Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) e proteger seu AD Connector. Autoridade de Certificação Privada da AWS As formas de proteger o AD Connector incluem:
+ Ative a MFA, o que aumenta a segurança do AD Connector.
+ Habilitar o Lightweight Directory Access Protocol over Secure Socket Layer (SSL)/Transport Layer Security (TLS) (LDAPS) no lado do cliente para que as comunicações sobre LDAP sejam criptografadas e melhorem a segurança.
+ Habilitar a autenticação mútua de Transport Layer Security (mTLS) baseada em certificado com cartões inteligentes, permitindo que os usuários se autentiquem no Amazon Web Services por meio do Active Directory e do AD Connector.
+ Atualizar suas credenciais da conta de serviço do AD Connector.
+ Configure o CA Privada da AWS Connector for AD para que você possa emitir e gerenciar certificados para seu AD Connector.
**Topics**
+ [Como habilitar a autenticação multifator para o AD Connector](ad_connector_mfa.md)
+ [Como habilitar o LDAPS no lado do cliente usando o AD Connector](ad_connector_ldap_client_side.md)
+ [Como habilitar a autenticação mTLS no AD Connector para usar com cartões inteligentes](ad_connector_clientauth.md)
+ [Atualizando as credenciais da conta de serviço do AD Connector no Console de gerenciamento da AWS](ad_connector_update_creds.md)
+ [Configurar o CA Privada da AWS conector para AD](ad_connector_pca_connector.md)
# Como habilitar a autenticação multifator para o AD Connector
Você poderá habilitar a autenticação multifator para o AD Connector quando o Active Directory estiver em execução on-premises ou em instâncias do Amazon EC2. Para obter mais informações sobre como usar a autenticação multifator com Directory Service, consulte[Pré-requisitos do AD Connector](ad_connector_getting_started.md#prereq_connector).
**nota**
A autenticação multifator não está disponível para o Simple AD. No entanto, o MFA pode ser habilitado para seu diretório gerenciado AWS do Microsoft AD. Para obter mais informações, consulte [Habilitando a autenticação multifator para o AWS Managed Microsoft AD](ms_ad_mfa.md).
**Para habilitar a autenticação multifator para o AD Connector**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link de ID do diretório do AD Connector.
1. Na página **Directory details (Detalhes do diretório)**, selecione a guia **Networking & security (Redes e segurança)**.
1. Na seção **Multi-factor authentication (Autenticação multifator)**, escolha **Actions (Ações)** e **Enable (Habilitar)**.
1. Na página **Habilitar a autenticação multifator (MFA**), forneça os seguintes valores:
**Rótulo de exibição**
Forneça um nome de rótulo.
**Nome de DNS ou endereços IP do servidor RADIUS**
O load balancer dos endpoints do servidor RADIUS ou do endereço IP do servidor RADIUS. Você pode inserir vários endereços IP separados por vírgulas (por exemplo, `192.0.0.0,192.0.0.12`).
O RADIUS MFA é aplicável somente para autenticar Console de gerenciamento da AWS o acesso aos aplicativos e serviços da Amazon Enterprise WorkSpaces, como Amazon Quick ou Amazon Chime. Ele não fornece MFA para cargas de trabalho do Windows em execução em instâncias do EC2 nem para login em uma instância do EC2. Directory Service não oferece suporte à Challenge/Response autenticação RADIUS.
Os usuários devem ter o código de MFA no momento em que inserem o nome de usuário e a senha. Como alternativa, você deve usar uma solução que realize MFA, out-of-band como verificação de texto por SMS para o usuário. Nas soluções de out-of-band MFA, você deve se certificar de definir o valor de tempo limite do RADIUS de forma adequada para sua solução. Ao usar uma solução de out-of-band MFA, a página de login solicitará ao usuário um código de MFA. Nesse caso, a prática recomendada é que os usuários insiram a senha no campo de senha e no campo de MFA.
**Porta**
A porta que o servidor RADIUS está usando para comunicações. Sua rede local deve permitir tráfego de entrada pela porta padrão do servidor RADIUS (UDP: 1812) dos servidores. Directory Service
**Shared secret code (Código secreto compartilhado)**
O código secreto compartilhado que foi especificado quando os endpoints do RADIUS foram criados.
**Confirm shared secret code** (Confirmar código secreto compartilhado)
Confirme o código secreto compartilhado para os endpoints do RADIUS.
**Protocolo**
Selecione o protocolo que foi especificado quando os endpoints do RADIUS foram criados.
**Tempo limite do servidor (em segundos)**
O tempo de espera, em segundos, para o servidor RADIUS responder. Esse valor deve estar entre 1 e 50.
**Máximo de novas tentativas de solicitação RADIUS**
O número de tentativas de comunicação com o servidor RADIUS. Esse valor deve estar entre 0 e 10.
A autenticação multifator está disponível quando o **Status RADIUS** muda para **Habilitado**.
1. Escolha **Habilitar**.
# Como habilitar o LDAPS no lado do cliente usando o AD Connector
O suporte a LDAPS do lado do cliente no AD Connector criptografa as comunicações entre o Microsoft Active Directory (AD) e os aplicativos. AWS Exemplos desses aplicativos incluem WorkSpaces Centro de Identidade do AWS IAM, Quick e Amazon Chime. Essa criptografia ajuda você a proteger melhor os dados de identidade da organização e atender aos requisitos de segurança.
Você também pode cancelar o registro e desabilitar o LDAPS no lado do cliente.
**Topics**
+ [Pré-requisitos](#prereqs-ldap-client-side)
+ [Como habilitar o LDAPS no lado do cliente](#enable-ldap-client-side)
+ [Gerenciamento do LDAPS no lado do cliente](manage-ldap-client-side.md)
## Pré-requisitos
Antes de habilitar o LDAPS no lado do cliente, você precisa atender aos requisitos a seguir.
**Topics**
+ [Implantar certificados de servidor no Active Directory](#deploy_server_certs_ldap_client_side)
+ [Requisitos de certificado de CA](#cert_requirements_ldap_client_side)
+ [Requisitos de rede](#networking_requirements_ldap_client_side)
### Implantar certificados de servidor no Active Directory
Para habilitar o LDAPS no lado do cliente, é necessário obter e instalar certificados de servidor para cada controlador de domínio no Active Directory. Esses certificados serão usados pelo serviço LDAP para escutar e aceitar automaticamente as conexões SSL de clientes LDAP. Você pode usar os certificados SSL emitidos por uma implantação interna do Active Directory Certificate Services (ADCS) ou comprados de um emissor comercial. Para obter mais informações sobre os requisitos de certificado de servidor do Active Directory, consulte [LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) no site da Microsoft.
### Requisitos de certificado de CA
Um certificado de autoridade de certificação (CA), que representa o emissor dos certificados de servidor, é necessário para a operação LDAPS no lado do cliente. Os certificados CA são combinados com os certificados de servidor apresentados pelos controladores de domínio do Active Directory para criptografar as comunicações de LDAP. Observe os seguintes requisitos de certificado CA:
+ Para registrar um certificado, ele deve estar a mais de 90 dias da expiração.
+ Os certificados devem estar no formato PEM (Privacy Enhanced Mail). Se exportar certificados CA de dentro do Active Directory, escolha X.509 (.CER) codificado em base64 como o formato de arquivo de exportação.
+ No máximo, cinco (5) certificados de CA podem ser armazenados por diretório do AD Connector.
+ Não há suporte para certificados que usam o algoritmo de assinatura RSASSA-PSS.
### Requisitos de rede
AWS o tráfego LDAP do aplicativo será executado exclusivamente na porta TCP 636, sem retorno para a porta LDAP 389. Porém, as comunicações LDAP do Windows que oferecem suporte a replicação, relações de confiança e muito mais continuarão a usar a porta LDAP 389 com segurança nativa do Windows. Configure grupos AWS de segurança e firewalls de rede para permitir comunicações TCP na porta 636 no AD Connector (saída) e no Active Directory autogerenciado (entrada).
## Como habilitar o LDAPS no lado do cliente
Para habilitar o LDAPS no lado do cliente, importe seu certificado de autoridade de certificação (CA) para o AD Connector e habilite o LDAPS no seu diretório. Após a ativação, todo o tráfego LDAP entre os AWS aplicativos e seu Active Directory autogerenciado fluirá com a criptografia de canal Secure Sockets Layer (SSL).
É possível usar dois métodos diferentes para habilitar o LDAPS do lado do cliente para seu diretório. Você pode usar o Console de gerenciamento da AWS método ou o AWS CLI método.
### Registrando o certificado em Directory Service
Use um dos métodos a seguir para registrar um certificado no Directory Service.
**Método 1: Para registrar seu certificado em Directory Service (Console de gerenciamento da AWS)**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Directory details (Detalhes do diretório)**, escolha a guia **Networking & security (Redes e segurança)**.
1. Na seção **Client-side LDAPS (LDAPS do lado do cliente)**, selecione o menu **Actions (Ações)** e escolha **Register certificate (Registrar certificado)**.
1. Na caixa de diálogo **Register a CA certificate (Registrar um certificado CA)**, selecione **Browse (Procurar)**, escolha o certificado e selecione **Open (Abrir)**.
1. Escolha **Register certificate (Registrar certificado)**.
**Método 2: Para registrar seu certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Para os dados do certificado, aponte para o local do arquivo de certificado CA. Um ID de certificado será fornecido na resposta.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### Verificar o status do registro
Para ver o status de um registro de certificado ou uma lista de certificados registrados, use um dos comandos a seguir.
**Método 1: Para verificar o status do registro do certificado em Directory Service (Console de gerenciamento da AWS)**
1. Vá para a seção **Client-side LDAPS (LDAPS do lado do cliente)** na página **Directory details (Detalhes do diretório)**.
1. Revise o estado de registro de certificado atual exibido na coluna **Registration status (Status do registro)**. Quando o valor do status do registro for alterado para **Registered (Registrado)**, seu certificado foi registrado com êxito.
**Método 2: Para verificar o status do registro do certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Se o valor de status retornar `Registered`, seu certificado foi registrado com êxito.
```
aws ds list-certificates --directory-id your_directory_id
```
### Como habilitar o LDAPS no lado do cliente
Use um dos métodos a seguir para habilitar o LDAPS do lado do cliente em. Directory Service
**nota**
É necessário ter registrado com êxito pelo menos um certificado para habilitar o LDAPS do lado do cliente.
**Método 1: Para habilitar o LDAPS do lado do cliente em () Directory Service Console de gerenciamento da AWS**
1. Vá para a seção **Client-side LDAPS (LDAPS do lado do cliente)** na página **Directory details (Detalhes do diretório)**.
1. Escolha **Habilitar**. Se essa opção não estiver disponível, verifique se um certificado válido foi registrado com êxito e tente novamente.
1. Na caixa de diálogo **Enable client-side LDAPS (Habilitar LDAPS do lado do cliente)**, escolha **Enable (Habilitar)**.
**Método 2: Para habilitar o LDAPS do lado do cliente em () Directory Service AWS CLI**
+ Execute o comando a seguir.
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### Verificação do status do LDAPS
Use um dos métodos a seguir para verificar o status do LDAPS em Directory Service.
**Método 1: Para verificar o status do LDAPS em Directory Service ()Console de gerenciamento da AWS**
1. Vá para a seção **Client-side LDAPS (LDAPS do lado do cliente)** na página **Directory details (Detalhes do diretório)**.
1. Se o valor de status for exibido como **Enabled (Habilitado)**, o LDAPS foi configurado com êxito.
**Método 2: Para verificar o status do LDAPS em Directory Service ()AWS CLI**
+ Execute o comando a seguir. Se o valor de status retornar `Enabled`, o LDAPS foi configurado com êxito.
```
aws ds describe-ldaps-settings –directory-id your_directory_id
```
Para obter mais informações sobre como visualizar o certificado LDAPS no lado do cliente, cancelar o registro ou desabilitar o certificado LDAPS, consulte [Gerenciamento do LDAPS no lado do cliente](manage-ldap-client-side.md).
# Gerenciamento do LDAPS no lado do cliente
Use estes comandos para gerenciar sua configuração LDAPS.
É possível usar dois métodos diferentes para gerenciar configurações do LDAPS do lado do cliente. Você pode usar o Console de gerenciamento da AWS método ou o AWS CLI método.
## Visualizar detalhes do certificado
Use um dos seguintes métodos para ver quando um certificado está definido para expirar.
**Método 1: Para ver os detalhes do certificado em Directory Service (Console de gerenciamento da AWS)**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Directory details (Detalhes do diretório)**, escolha a guia **Networking & security (Redes e segurança)**.
1. Na seção **Client-side LDAPS (LDAPS do lado do cliente)** em **CA certificates (Certificados CA)**, serão exibidas informações sobre o certificado.
**Método 2: Para ver os detalhes do certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Para o ID do certificado, use o identificador retornado por `register-certificate` ou `list-certificates`.
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## Cancelar o registro de um certificado
Use um dos seguintes métodos para cancelar o registro de um certificado.
**nota**
Se apenas um certificado estiver registrado, será necessário primeiro desabilitar o LDAPS para cancelar o registro do certificado.
**Método 1: Para cancelar o registro de um certificado em Directory Service ()Console de gerenciamento da AWS**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Directory details (Detalhes do diretório)**, escolha a guia **Networking & security (Redes e segurança)**.
1. Na seção **Client-side LDAPS (LDAPS do lado do cliente)**, escolha **Actions (Ações)** e selecione **Deregister certificate (Cancelar registro do certificado)**.
1. Na caixa de diálogo **Deregister a CA certificate (Cancelar registro de certificado CA)**, escolha **Deregister (Cancelar registro)**.
**Método 2: Para cancelar o registro de um certificado em Directory Service ()AWS CLI**
+ Execute o comando a seguir. Para o ID do certificado, use o identificador retornado por `register-certificate` ou `list-certificates`.
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## Desabilitar o LDAPS no lado do cliente
Use um dos seguintes métodos para desabilitar o LDAPS do lado do cliente.
**Método 1: Para desativar o LDAPS do lado do cliente em () Directory Service Console de gerenciamento da AWS**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Directory details (Detalhes do diretório)**, escolha a guia **Networking & security (Redes e segurança)**.
1. Na seção **Client-side LDAPS (LDAPS do cliente)**, escolha **Disable (Desabilitar)**.
1. Na caixa de diálogo **Disable client-side LDAPS (Desabilitar LDAPS do lado do cliente)**, escolha **Disable (Desabilitar)**.
**Método 2: Para desativar o LDAPS do lado do cliente em () Directory Service AWS CLI**
+ Execute o comando a seguir.
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
# Como habilitar a autenticação mTLS no AD Connector para usar com cartões inteligentes
Você pode usar a autenticação mútua de Transport Layer Security (mTLS) baseada em certificado com cartões inteligentes para autenticar usuários na WorkSpaces Amazon por meio do Active Directory (AD) e do AD Connector autogerenciados. Quando ativado, os usuários selecionam seu cartão inteligente na tela de WorkSpaces login e inserem um PIN para autenticar, em vez de usar um nome de usuário e senha. Assim, a área de trabalho virtual do Windows ou Linux usa o cartão inteligente para se autenticar no AD desde o sistema operacional nativo para desktop.
**nota**
A autenticação por cartão inteligente no AD Connector está disponível somente nas seguintes opções Regiões da AWS e somente com WorkSpaces. Outros AWS aplicativos não são suportados no momento.
Leste dos EUA (N. da Virgínia)
Oeste dos EUA (Oregon)
Ásia-Pacífico (Sydney)
Ásia-Pacífico (Tóquio)
Europa (Irlanda)
AWS GovCloud (Oeste dos EUA)
AWS GovCloud (Leste dos EUA)
Você também pode cancelar o registro e desabilitar os certificados.
**Topics**
+ [Pré-requisitos](#prereqs-clientauth)
+ [Como habilitar a autenticação por cartão inteligente](#enable-clientauth)
+ [Gerenciamento das configurações de autenticação por cartão inteligente](manage-clientauth.md)
## Pré-requisitos
Para habilitar a autenticação mútua de Transport Layer Security (mTLS) baseada em certificado usando cartões inteligentes para o WorkSpaces cliente Amazon, você precisa de uma infraestrutura operacional de cartões inteligentes integrada ao seu Active Directory autogerenciado. Para obter mais informações sobre como configurar a autenticação por cartão inteligente com a Amazon WorkSpaces e o Active Directory, consulte o [Guia de WorkSpaces Administração da Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html).
Antes de habilitar a autenticação por cartão inteligente para WorkSpaces, revise os seguintes pré-requisitos:
+ [Requisitos de certificado de CA](#ca-cert)
+ [Requisitos de certificado de TLS](#user-cert)
+ [Processo de verificação da revogação do certificado](#ocsp)
+ [Considerações](#other)
### Requisitos de certificado de CA
O AD Connector exige um certificado de autoridade de certificação (CA), o qual representa o emissor dos seus certificados de usuário, para autenticação por cartão inteligente. O AD Connector combina os certificados de CA com os certificados apresentados pelos usuários com seus cartões inteligentes. Observe os seguintes requisitos de certificado CA:
+ Para registrar um certificado de CA, ele deve estar a mais de 90 dias da expiração.
+ Os certificados de CA devem estar no formato PEM (Privacy Enhanced Mail). Se você exportar certificados de CA de dentro do Active Directory, escolha Base64-encoded X.509 (.CER) como o formato do arquivo de exportação.
+ Todos os certificados de CA raiz e intermediários encadeados de uma CA emissora a certificados de usuário devem ser carregados para que a autenticação por cartão inteligente seja bem-sucedida.
+ No máximo, 100 certificados de CA podem ser armazenados por diretório do AD Connector
+ O AD Connector não oferece suporte ao algoritmo de assinatura RSASSA-PSS para certificados de CA.
+ Verifique se o Serviço de Propagação de Certificados está definido como Automático e em execução.
### Requisitos de certificado de TLS
Veja abaixo alguns dos requisitos para o certificado de usuário:
+ O certificado de cartão inteligente do usuário tem um nome alternativo de assunto (SAN) do usuário userPrincipalName (UPN).
+ O certificado de cartão inteligente do usuário tem uso aprimorado de chaves como login do cartão inteligente (1.3.6.1.4.1.311.20.2.2) Autenticação do cliente (1.3.6.1.5.5.7.3.2).
+ As informações do Online Certificate Status Protocol (OCSP) do certificado de cartão inteligente do usuário devem ser Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) no Authority Information Access.
Para obter mais informações sobre os requisitos de autenticação do AD Connector e do cartão inteligente, consulte [Requisitos](https://docs.aws.amazon.com//workspaces/latest/adminguide/smart-cards.html#smart-cards-requirements) no *Guia de WorkSpaces Administração da Amazon*. Para obter ajuda na solução de WorkSpaces problemas da Amazon, como fazer login WorkSpaces, redefinir a senha ou conectar-se a WorkSpaces, consulte [Solucionar problemas WorkSpaces do cliente](https://docs.aws.amazon.com//workspaces/latest/userguide/client_troubleshooting.html) no Guia * WorkSpaces do usuário da Amazon*.
### Processo de verificação da revogação do certificado
Para realizar a autenticação por cartão inteligente, o AD Connector deve verificar o status de revogação dos certificados do usuário usando o Online Certificate Status Protocol (OCSP). Para realizar a verificação da revogação do certificado, o URL de um respondente OCSP deve ser acessível via Internet. Se estiver usando um nome de DNS, o URL de um respondente OCSP deverá usar um domínio de nível superior encontrado no [banco de dados da zona raiz da Internet Assigned Numbers Authority (IANA)](https://www.iana.org/domains/root/db).
**nota**
Os diretórios criados após 7 de outubro de 2025 exigem que os servidores OCSP usados para validação de SmartCard certificados sejam roteáveis por meio da configuração de rede da sua VPC. Se o servidor OCSP não estiver acessível por meio das tabelas de roteamento, dos grupos de segurança e da rede da VPC, a SmartCard autenticação falhará durante as ACLs verificações de revogação do certificado. Para resolver esse problema, certifique-se de que:
Roteamento de rede: suas tabelas de rotas de VPC permitem que o tráfego chegue ao seu servidor OCSP a partir das sub-redes em que suas instâncias de diretório do AD Connector estão implantadas.
Grupos de segurança: os grupos de segurança associados às interfaces de rede do seu diretório permitem tráfego de saída para o servidor OCSP na porta 80 (HTTP).
Rede ACLs: Sua rede de sub-rede ACLs permite tráfego bidirecional em to/from seu servidor OCSP.
Gateway de Internet/NAT: se seu servidor OCSP estiver voltado para a Internet, certifique-se de que sua VPC tenha a configuração apropriada de gateway de Internet ou gateway NAT para as sub-redes do diretório. Se o seu tipo de rede for IPv4, você precisará ter o NAT e o gateway de internet configurados com sua VPC.
A verificação de revogação de certificados do AD Connector usa o seguinte processo:
+ O AD Connector deve verificar a extensão Authority Information Access (AIA) no certificado do usuário para ver se há algum URL de respondente OCSP e, em seguida, o AD Connector usa o URL para verificar a revogação.
+ Se o AD Connector não conseguir resolver o URL encontrado na extensão AIA do certificado do usuário ou encontrar um URL de respondente OCSP no certificado do usuário, o AD Connector usará o URL do OCSP opcional fornecido durante o registro do certificado de CA raiz.
Se o URL na extensão AIA do certificado do usuário for resolvido, mas não responder, a autenticação do usuário falhará.
+ Se o URL do respondente OCSP fornecido durante o registro do certificado CA raiz não puder ser resolvido, não estiver respondendo ou se nenhum URL do respondente OCSP tiver sido fornecido, a autenticação do usuário falhará.
+ O servidor OCSP deve estar em conformidade com a [RFC 6960](https://datatracker.ietf.org/doc/html/rfc6960). Além disso, o servidor OCSP deve oferecer suporte a solicitações usando o método GET para solicitações menores ou iguais a 255 bytes no total.
**nota**
O AD Connector exige um URL **HTTP** para o URL do respondente OCSP.
### Considerações
Antes de habilitar a autenticação por cartão inteligente no AD Connector, considere os seguintes itens:
+ O AD Connector usa autenticação mútua de Transport Layer Security (TLS) baseada em certificado para autenticar usuários no Active Directory usando certificados de cartão inteligente baseados em hardware ou software. No momento, somente cartões de acesso comuns (CAC) e cartões de verificação de identidade pessoal (PIV) podem ser usados. Outros tipos de cartões inteligentes baseados em hardware ou software podem funcionar, mas não foram testados para uso com o protocolo de WorkSpaces streaming.
+ A autenticação por cartão inteligente substitui a autenticação por nome de usuário e senha por WorkSpaces.
Se você tiver outros AWS aplicativos configurados no diretório do AD Connector com a autenticação por cartão inteligente ativada, esses aplicativos ainda apresentarão a tela de entrada de nome de usuário e senha.
+ A habilitação da autenticação por cartão inteligente limita a duração da sessão do usuário à vida útil máxima dos tíquetes de serviço Kerberos. Você pode definir essa configuração usando uma política de grupo, e a duração é definida como 10 horas por padrão. Para obter mais informações sobre configurações e opções, consulte a [documentação da Microsoft](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket).
+ O tipo de criptografia Kerberos compatível com a conta de serviço do AD Connector deve corresponder a cada tipo de criptografia Kerberos compatível com o controlador de domínio.
## Como habilitar a autenticação por cartão inteligente
Para habilitar a autenticação por cartão inteligente WorkSpaces em seu AD Connector, primeiro você precisa importar seus certificados de autoridade de certificação (CA) para o AD Connector. Você pode importar seus certificados CA para o AD Connector usando AWS Directory Service console, [API](https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html) ou [CLI](https://docs.aws.amazon.com/cli/latest/reference/ds/index.html). Use as etapas a seguir para importar seus certificados de CA e, posteriormente, habilitar a autenticação por cartão inteligente.
**Topics**
+ [Como habilitar a delegação restrita de Kerberos para a conta de serviço do AD Connector](#step1)
+ [Registro do certificado de CA no AD Connector](#step2)
+ [Habilitando a autenticação por cartão inteligente para AWS aplicativos e serviços compatíveis](#step3)
### Como habilitar a delegação restrita de Kerberos para a conta de serviço do AD Connector
Para usar a autenticação por cartão inteligente com o AD Connector, é necessário habilitar a **Delegação restrita de Kerberos (KCD)** da conta do AD Connector Service para o serviço LDAP no diretório autogerenciado do AD.
A delegação restrita de Kerberos é um recurso do Windows Server. Esse atributo permite aos administradores especificar e impor limites de confiança de aplicações reduzindo o escopo em que os serviços da aplicação podem atuar em nome de um usuário. Para ter mais informações, consulte [Delegação restrita de Kerberos](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html).
**nota**
A **Delegação Restrita Kerberos (KCD)** exige que a parte do nome de usuário da conta de serviço do AD Connector corresponda ao AMAccount nome s do mesmo usuário. O AMAccount nome s é restrito a 20 caracteres. s AMAccount Name é um atributo do Microsoft Active Directory usado como nome de login para versões anteriores de clientes e servidores Windows.
1. Use o comando `SetSpn` para definir um nome de entidade principal de serviço (SPN) para a conta de serviço do AD Connector no AD autogerenciado. Isso habilita a conta de serviço para configuração de delegação.
O SPN pode ser qualquer combinação de serviço ou nome, mas não uma duplicata de um SPN existente. A opção `-s` verifica duplicatas.
```
setspn -s my/spn service_account
```
1. Em **Usuários e computadores do AD**, abra o menu de contexto (clique com o botão direito), escolha a conta de serviço do AD Connector e escolha **Propriedades**.
1. Escolha a guia **Delegação**.
1. Escolha as opções **Confiar neste usuário para delegação somente ao serviço especificado** e **Usar qualquer protocolo de autenticação**.
1. Escolha **Adicionar** e, em seguida, **Usuários ou computadores** para localizar o controlador de domínio.
1. Escolha **OK** para exibir uma lista dos serviços disponíveis usados para delegação.
1. Escolha o tipo de serviço **ldap** e escolha **OK.**
1. Escolha **OK** novamente para salvar a nova configuração.
1. Repita esse processo para outros controladores de domínio no Active Directory. Como alternativa, você pode automatizar o processo usando o. PowerShell
### Registro do certificado de CA no AD Connector
Use um dos métodos a seguir para registrar um certificado de CA para o diretório do AD Connector.
**Método 1: para registrar seu certificado de CA no AD Connector (Console de gerenciamento da AWS)**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Directory details (Detalhes do diretório)**, escolha a guia **Networking & security (Redes e segurança)**.
1. Na seção **Autenticação por cartão inteligente**, escolha **Ações** e, em seguida, escolha **Registrar certificado**.
1. Na caixa de diálogo **Registrar um certificado de CA**, selecione **Escolher arquivo** e escolha o certificado e selecione **Abrir**. Opcionalmente, é possível realizar a verificação de revogação desse certificado fornecendo um URL de resposta do Online Certificate Status Protocol (OCSP). Para ter mais informações sobre o OCSP, consulte [Processo de verificação da revogação do certificado](#ocsp).
1. Escolha **Register certificate (Registrar certificado)**. Quando o status do certificado mudar para **Registrado**, o processo de registro foi concluído com êxito.
**Método 2: para registrar seu certificado de CA no AD Connector (AWS CLI)**
+ Execute o comando a seguir. Para os dados do certificado, aponte para o local do arquivo de certificado CA. Para fornecer um endereço de respondente OCSP secundário, use o objeto `ClientCertAuthSettings` opcional.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address
```
Se for bem-sucedida, a resposta fornecerá um ID de certificado. Você também pode verificar se seu certificado de CA foi registrado com êxito executando o seguinte comando da CLI:
```
aws ds list-certificates --directory-id your_directory_id
```
Se o valor de status retornar `Registered`, seu certificado foi registrado com êxito.
### Habilitando a autenticação por cartão inteligente para AWS aplicativos e serviços compatíveis
Use um dos métodos a seguir para registrar um certificado de CA para o diretório do AD Connector.
**Método 1: para habilitar a autenticação por cartão inteligente no AD Connector (Console de gerenciamento da AWS)**
1. Navegue até a seção **Autenticação por cartão inteligente** na página **Detalhes do diretório** e escolha **Habilitar**. Se essa opção não estiver disponível, verifique se um certificado válido foi registrado com êxito e tente novamente.
1. Na caixa de diálogo **Habilitar autenticação por cartão inteligente**, selecione **Habilitar**.
**Método 2: para habilitar a autenticação por cartão inteligente no AD Connector (AWS CLI)**
+ Execute o comando a seguir.
```
aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard
```
Se for bem-sucedido, o AD Connector retornará uma resposta `HTTP 200` com um corpo HTTP vazio.
Para obter mais informações sobre como visualizar seu certificado, cancelar seu registro ou desabilitar seu certificado, consulte [Gerenciamento das configurações de autenticação por cartão inteligente](manage-clientauth.md).
# Gerenciamento das configurações de autenticação por cartão inteligente
É possível usar dois métodos diferentes para gerenciar configurações de cartão inteligente. Você pode usar o Console de gerenciamento da AWS método ou o AWS CLI método.
**Topics**
+ [Visualizar detalhes do certificado](#describe-a-certificate-clientauth)
+ [Cancelar o registro de um certificado](#dergister-a-certificate-clientauth)
+ [Desabilitar a autenticação por cartão inteligente](#disable-smart-card-clientauth)
## Visualizar detalhes do certificado
Use um dos seguintes métodos para ver quando um certificado está definido para expirar.
**Método 1: Para ver os detalhes do certificado em Directory Service (Console de gerenciamento da AWS)**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link de ID do diretório do AD Connector.
1. Na página **Directory details (Detalhes do diretório)**, escolha a guia **Networking & security (Redes e segurança)**.
1. Na seção **Autenticação por cartão inteligente**, em **Certificados de CA**, escolha o ID do certificado para exibir detalhes sobre esse certificado.
**Método 2: Para ver os detalhes do certificado em Directory Service (AWS CLI)**
+ Execute o comando a seguir. Para o ID do certificado, use o identificador retornado por `register-certificate` ou `list-certificates`.
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## Cancelar o registro de um certificado
Use um dos seguintes métodos para cancelar o registro de um certificado.
**nota**
Se apenas um certificado estiver registrado, será necessário primeiro desabilitar o cartão inteligente para cancelar o registro do certificado.
**Método 1: Para cancelar o registro de um certificado em Directory Service ()Console de gerenciamento da AWS**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link de ID do diretório do AD Connector.
1. Na página **Directory details (Detalhes do diretório)**, escolha a guia **Networking & security (Redes e segurança)**.
1. Na seção **Autenticação por cartão inteligente**, em **Certificados de CA**, selecione o certificado cujo registro você deseja cancelar, escolha **Ações** e, em seguida, escolha **Cancelar registro do certificado**.
**Importante**
Verifique se o certificado cujo registro está prestes a cancelar não está ativo ou está sendo usado como parte de uma cadeia de certificados de CA para autenticação por cartão inteligente.
1. Na caixa de diálogo **Deregister a CA certificate (Cancelar registro de certificado CA)**, escolha **Deregister (Cancelar registro)**.
**Método 2: Para cancelar o registro de um certificado em Directory Service ()AWS CLI**
+ Execute o comando a seguir. Para o ID do certificado, use o identificador retornado por `register-certificate` ou `list-certificates`.
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## Desabilitar a autenticação por cartão inteligente
Use um dos métodos a seguir para desabilitar a autenticação por cartão inteligente.
**Método 1: Para desativar a autenticação por cartão inteligente em Directory Service (Console de gerenciamento da AWS)**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.
1. Escolha o link de ID do diretório do AD Connector.
1. Na página **Directory details (Detalhes do diretório)**, escolha a guia **Networking & security (Redes e segurança)**.
1. Na seção **Autenticação por cartão inteligente**, escolha **Desabilitar**.
1. Na seção **Desabilitar autenticação por cartão inteligente**, escolha **Desabilitar**.
**Método 2: Para desativar a autenticação por cartão inteligente em Directory Service (AWS CLI)**
+ Execute o comando a seguir.
```
aws ds disable-client-authentication --directory-id your_directory_id --type SmartCard
```
# Atualizando as credenciais da conta de serviço do AD Connector no Console de gerenciamento da AWS
As credenciais do AD Connector que você fornece Directory Service representam a conta de serviço usada para acessar seu diretório local existente. Você pode modificar as credenciais da conta de serviço Directory Service executando as etapas a seguir.
**nota**
Se Centro de Identidade do AWS IAM estiver habilitado para o diretório, Directory Service deverá transferir o nome principal do serviço (SPN) da conta de serviço atual para a nova conta de serviço. Se a conta de serviço atual não tiver permissão para excluir o SPN ou se a nova conta de serviço não tiver permissão para adicionar o SPN, serão solicitadas as credenciais de uma conta do diretório que tenha permissão para executar as duas ações. Essas credenciais são usadas apenas para transferir o SPN e não são armazenadas pelo serviço.
**Para atualizar as credenciais da conta de serviço do AD Connector no Directory Service**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), em **Active Directory**, escolha **Diretórios**.
1. Escolha o link do ID de seu diretório.
1. Na página **Detalhes do diretório**, role para baixo até a seção **Credenciais da conta de serviço**.
1. Na seção **Credenciais da conta de serviço**, escolha **Atualizar**.
1. Na caixa de diálogo **Atualizar credenciais da conta de serviço**, digite o nome de usuário e a senha da conta de serviço. Digite novamente a senha para confirmá-la e escolha **Atualizar**.
# Configurar o CA Privada da AWS conector para AD
Você pode integrar seu Active Directory autogerenciado com Autoridade de Certificação Privada da AWS o uso do AD Connector para emitir e gerenciar certificados para seus usuários, grupos e máquinas associados ao domínio AD. CA Privada da AWS O Connector for AD fornece um substituto totalmente gerenciado CA Privada da AWS como substituto imediato para sua empresa autogerenciada, CAs sem exigir que você implante, corrija ou atualize agentes locais ou servidores proxy.
Você pode configurar essa integração por meio do Directory Service console, do console do CA Privada da AWS Connector for AD ou chamando a [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html)API. Para usar o console do CA Privada da AWS Conector para Active Directory, consulte [CA Privada da AWS Conector para Active Directory](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html). As seções a seguir descrevem como configurar essa integração usando o console do Directory Service .
## Pré-requisitos
Para obter instruções de configuração, consulte [Configurar o conector para AD](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad-getting-started-prerequisites.html) no Guia do usuário do CA Privada da AWS conector para AD.
## Configurando o CA Privada da AWS conector para AD
**Para criar um conector do Private CA para o Active Directory**
1. Faça login no Console de gerenciamento da AWS e abra o Directory Service console em[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Na página **Directories (Diretórios)**, escolha o ID do diretório.
1. Na guia **Gerenciamento de aplicações** e na seção **Aplicativos e serviços da AWS **, escolha **CA Privada da AWS Conector para AD**.
1. Na página **Criar um certificado de CA privada para o Active Directory**, conclua as etapas para criar a CA privada para o Active Directory Connector.
Para obter mais informações, consulte [Criar um conector](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html).
## Veja seu CA Privada da AWS conector para AD
**Para visualizar os detalhes do conector do Private CA**
1. Faça login no Console de gerenciamento da AWS e abra o Directory Service console em[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Na página **Directories (Diretórios)**, escolha o ID do diretório.
1. Na guia **Gerenciamento de aplicações** e na seção **Aplicativos e serviços da AWS **, visualize os conectores do Private CA e o Private CA associado. Os seguintes campos são exibidos:
1. **CA Privada da AWS ID do conector** — O identificador exclusivo de um CA Privada da AWS conector. Selecione-o para visualizar a página de detalhes.
1. **CA Privada da AWS assunto** — Informações sobre o nome distinto da CA. Selecione-o para visualizar a página de detalhes.
1. **Status** — Resultados da verificação de status do CA Privada da AWS conector e CA Privada da AWS:
+ **Ativo** — Ambas as verificações foram aprovadas
+ **1/2 verificação falhou** — Uma verificação falhou
+ **Falhou** — Ambas as verificações falharam
Para obter mais informações sobre um status de falha, passe o mouse sobre o hiperlink para saber qual verificação falhou.
1. **Status de inscrição de certificados DC** — Verificação do status do certificado do controlador de domínio:
+ **Habilitado** — A inscrição do certificado está habilitada
+ **Desabilitado** — A inscrição do certificado está desabilitada
1. **Data de criação** — Quando o CA Privada da AWS conector foi criado.
Para obter mais informações, consulte [Visualizar detalhes do conector](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html).
## Verifique a emissão do certificado para usuários do AD
Conclua as etapas a seguir para confirmar que CA Privada da AWS está emitindo certificados para seu Active Directory autogerenciado:
+ Reinicie os controladores de domínio on-premises.
+ Veja seus certificados com o Microsoft Management Console. Para obter mais informações, consulte a [Documentação do Microsoft](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in).
# Monitore seu diretório do AD Connector
Você pode aproveitar ao máximo seu AD Connector aprendendo mais sobre os diferentes status do AD Connector e o que eles significam para o AD Connector. Você também pode usar o Amazon Simple Notification Service para receber notificações sobre o status do AD Connector.
**Topics**
+ [Noções básicas sobre o status do diretório](ad_connector_directory_status.md)
+ [Como habilitar notificações de status do diretório AD Connector com o Amazon SNS](ad_connector_enable_notifications.md)
# Noções básicas sobre o status do diretório
Os seguintes são os vários status de um diretório.
**Ativo**
O diretório está funcionando normalmente. Nenhum problema foi detectado pelo Directory Service em seu diretório.
**Criando**
O diretório está sendo criado no momento. A criação do diretório geralmente leva de 20 a 45 minutos, mas pode variar de acordo com a carga do sistema.
**Excluído**
O diretório foi excluído. Todos os recursos do diretório foram liberados. Depois que um diretório entra nesse estado, ele não pode ser recuperado.
**Deleting**
O diretório está sendo excluído no momento. O diretório permanecerá nesse estado até que seja completamente excluído. Depois que um diretório entra nesse estado, a operação de exclusão não pode ser cancelada, e o diretório não pode ser recuperado.
**Com falha**
O diretório não pôde ser criado. Exclua esse diretório. Se o problema persistir, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/).
**Impaired (Degradado)**
O diretório está em execução em um estado degradado. Um ou mais problemas foram detectados, e talvez algumas operações do diretório não estejam funcionando com capacidade operacional total. Há muitas razões possíveis para o diretório estar nesse estado. Isso inclui atividades normais de manutenção operacional, como aplicação de patches ou rotação de EC2 instâncias, hotspotting temporário por um aplicativo em um de seus controladores de domínio ou alterações feitas na rede que inadvertidamente interrompem as comunicações do diretório. Para obter mais informações, consulte [Solução de problemas do Microsoft AD AWS gerenciado](ms_ad_troubleshooting.md), [Solução de problemas do AD Connector](ad_connector_troubleshooting.md), [Solução de problemas do Simple AD](simple_ad_troubleshooting.md). Para problemas normais relacionados à manutenção, AWS resolva esses problemas em 40 minutos. Se, após a análise do tópico sobre solução de problemas, seu diretório permanecer em um estado Comprometido por mais de 40 minutos, recomendamos entrar em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/).
Não restaure um snapshot enquanto um diretório estiver em um estado degradado. A restauração de snapshot raramente é necessária para solucionar esses problemas. Para obter mais informações, consulte [Restaurando seu Microsoft AD AWS gerenciado com instantâneos](ms_ad_snapshots.md).
**Inoperable (Inoperável)**
O diretório não está funcional. Todos os endpoints do diretório relataram problemas.
**Requested (Solicitado)**
Uma solicitação para criar seu diretório está pendente no momento.
# Como habilitar notificações de status do diretório AD Connector com o Amazon SNS
Com o Amazon Simple Notification Service (Amazon SNS), é possível receber mensagens de e-mail ou de texto (SMS) quando o status de seu diretório é alterado. Você receberá uma notificação se o status do diretório for alterado de um status Ativo para um status [Degradado ou Inoperável](ad_connector_directory_status.md). Você também recebe uma notificação quando o diretório retorna para um status Active.
## Como funciona
O Amazon SNS usa “tópicos” para coletar e distribuir mensagens. Cada tópico tem um ou mais assinantes que recebem as mensagens que foram publicadas para aquele tópico. Usando as etapas abaixo, você pode adicionar Directory Service como editor a um tópico do Amazon SNS. Quando Directory Service detecta uma alteração no status do seu diretório, ele publica uma mensagem nesse tópico, que é então enviada aos assinantes do tópico.
É possível associar vários diretórios como publicadores a um único tópico. Também é possível adicionar mensagens de status de diretório a tópicos criados anteriormente no Amazon SNS. Você pode controlar em detalhes quem pode publicar e ser assinante de um tópico. Para obter mais informações sobre o Amazon SNS, consulte [O que é o Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html).
**Para habilitar a troca de mensagens do SNS para o seu diretório**
1. Faça login no Console de gerenciamento da AWS e abra o [Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Na página **Directories (Diretórios)**, escolha o ID do diretório.
1. Selecione a guia **Manutenção**.
1. Na seção **Monitoramento de diretórios**, escolha **Ações** e, em seguida, selecione **Criar notificação**.
1. Na página **Criar notificação**, selecione **Escolher um tipo de notificação** e, em seguida, escolha **Criar uma notificação**. Como opção, se você já tem um tópico do SNS, escolha **Associar a tópico do SNS existente** para enviar mensagens de status deste diretório para o tópico existente.
**nota**
Se você escolher **Criar uma notificação**, mas então usar o mesmo nome de um tópico do SNS que já existe, o Amazon SNS não criará um novo tópico, mas apenas adicionará as informações da nova assinatura ao tópico existente.
Se você escolher **Associar a tópico do SNS existente**, somente poderá escolher um tópico do SNS que esteja na mesma região que o diretório.
1. Escolha o **Tipo de destinatário** e insira as informações de contato do **Destinatário**. Se você inserir um número de telefone para SMS, use somente números. Não inclua traços, espaços ou parênteses.
1. (Opcional) Forneça um nome para seu tópico e um nome para exibição do SNS. O nome para exibição é um nome curto com até 10 caracteres que é incluído em todas as mensagens de SMS deste tópico. Quando a opção de SMS é usada, o nome de exibição é obrigatório.
**nota**
Se você estiver logado usando um usuário ou uma função do IAM que tenha somente a política [DirectoryServiceFullAccess](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/role_ds_full_access.html)gerenciada, o nome do tópico deve começar com “DirectoryMonitoring”. Caso queira personalizar ainda mais o nome do tópico, precisará de privilégios adicionais no SNS.
1. Escolha **Criar**.
[Se você quiser designar assinantes adicionais do SNS, como um endereço de e-mail adicional, filas do Amazon SQS AWS Lambda ou, você pode fazer isso no console do Amazon SNS.](https://console.aws.amazon.com//sns/v3/home.)
**Para remover as mensagens de status do diretório de um tópico**
1. Faça login no Console de gerenciamento da AWS e abra o [Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Na página **Directories (Diretórios)**, escolha o ID do diretório.
1. Selecione a guia **Manutenção**.
1. Na seção **Monitoramento de diretórios**, selecione um nome de tópico do SNS na lista, escolha **Ações** e selecione **Remover**.
1. Escolha **Remover**.
Isso remove o seu diretório enquanto publicador do tópico do SNS selecionado. Se você deseja excluir o tópico inteiro, pode fazer isso no [console do Amazon SNS](https://console.aws.amazon.com/sns/v3/home.).
**nota**
Antes de excluir um tópico do Amazon SNS usando o console do SNS, certifique-se de que o diretório não esteja enviando mensagens de status para aquele tópico.
Se você excluir um tópico do Amazon SNS usando o console do SNS, essa alteração não será refletida imediatamente no console do Directory Services. Você será notificado somente na próxima vez que um diretório publicar uma notificação para o tópico excluído, quando verá o status atualizado na guia **Monitoring** do diretório indicando que o tópico não foi encontrado.
Portanto, para evitar a perda de mensagens importantes de status do diretório, antes de excluir qualquer tópico do qual receba mensagens Directory Service, associe seu diretório a um tópico diferente do Amazon SNS.
# Acesso a AWS aplicativos e serviços do AD Connector
Você pode permitir que seu AD Connector acesse AWS aplicativos e serviços para o Active Directory conectado. Alguns dos AWS aplicativos e serviços compatíveis incluem:
+ Amazon Chime
+ Amazon WorkSpaces
+ Centro de Identidade do IAM
+ Console de gerenciamento da AWS
Não existem aplicações de terceiros que funcionem com o AD Connector.
**Topics**
+ [Política de compatibilidade de aplicações do AD Connector](ad_connector_app_compatibility.md)
+ [Habilitando o acesso a AWS aplicativos e serviços do AD Connector](ad_connector_enable_apps_services.md)
# Política de compatibilidade de aplicações do AD Connector
Como alternativa ao AWS Directory Service for Microsoft Active Directory ([AWS Microsoft AD gerenciado](directory_microsoft_ad.md)), o AD Connector é um proxy do Active Directory somente para aplicativos e serviços AWS criados. Você configura o proxy para usar determinado domínio do Active Directory. Quando a aplicação precisa procurar um usuário ou grupo no Active Directory, o AD Connector retransmite a solicitação para o diretório. Da mesma forma, quando um usuário faz login no aplicativo, o AD Connector retransmite a solicitação de autenticação para o diretório. Não existem aplicações de terceiros que funcionem com o AD Connector.
Veja a seguir uma lista de AWS aplicativos e serviços compatíveis:
+ Amazon Chime: para obter instruções detalhadas, consulte [Conectar ao Active Directory](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html).
+ Amazon Connect: para obter mais informações, consulte [Como o Amazon Connect funciona](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html#amazon-connect-fundamentals).
+ Amazon EC2 para Windows ou Linux: você pode usar o recurso de associação direta de domínio com o Active Directory do Amazon EC2 para Windows ou Linux e associar sua instância ao Active Directory autogerenciado (on-premises). Uma vez associada, a instância se comunica diretamente com o Active Directory e ignora o AD Connector. Para obter mais informações, consulte [Maneiras de unir uma EC2 instância da Amazon ao seu Active Directory](ad_connector_join_instance.md).
+ Console de gerenciamento da AWS — Você pode usar o AD Connector para autenticar Console de gerenciamento da AWS usuários com suas credenciais do Active Directory sem configurar a infraestrutura SAML. Para obter mais informações, consulte [Habilitando Console de gerenciamento da AWS o acesso com credenciais AWS gerenciadas do Microsoft AD](ms_ad_management_console_access.md).
+ Rápido - Para obter mais informações, consulte [Gerenciamento de contas de usuário no Quick Enterprise Edition](https://docs.aws.amazon.com/quicksight/latest/user/managing-users-enterprise.html).
+ Centro de Identidade do AWS IAM - Para obter instruções detalhadas, consulte [Connect IAM Identity Center a um Active Directory local](https://docs.aws.amazon.com/singlesignon/latest/userguide/connectawsad.html).
+ AWS Transfer Family - Para obter instruções detalhadas, consulte [Trabalhando com Directory Service o Microsoft Active Directory](https://docs.aws.amazon.com/transfer/latest/userguide/directory-services-users.html).
+ AWS Client VPN - Para obter instruções detalhadas, consulte [Autenticação e autorização do cliente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/authentication-authorization.html).
+ WorkDocs - Para obter instruções detalhadas, consulte [Conectando-se ao seu diretório local com o AD Connector](https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_connector.html).
+ Amazon WorkMail — Para obter instruções detalhadas, consulte [Integrar a Amazon WorkMail com um diretório existente (configuração padrão)](https://docs.aws.amazon.com/workmail/latest/adminguide/premises_directory.html).
+ WorkSpaces - Para obter instruções detalhadas, consulte [Iniciar um WorkSpace usando o AD Connector](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspace-ad-connector.html).
**nota**
O Amazon RDS é compatível somente com o AWS Managed Microsoft AD e não é compatível com o AD Connector. Para obter mais informações, consulte a seção AWS Managed Microsoft AD na [Directory Service FAQs](https://aws.amazon.com/directoryservice/faqs/#microsoft-ad)página.
# Habilitando o acesso a AWS aplicativos e serviços do AD Connector
Os usuários podem autorizar o AD Connector a dar acesso ao seu Active Directory a AWS aplicativos e serviços WorkSpaces, como a Amazon. Os AWS aplicativos e serviços a seguir podem ser ativados ou desativados para funcionar com o AD Connector.
| AWS aplicativo/serviço | Mais informações... |
| --- | --- |
| Amazon Chime | Para obter mais informações, consulte [Como conectar ao Active Directory](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html). |
| Amazon Connect | Para obter mais informações, consulte o [Guia de administração do Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html). |
| Amazon WorkDocs | Para obter mais informações, consulte o [Guia de introdução à Amazon WorkDocs](https://docs.aws.amazon.com/workdocs/latest/adminguide/getting_started.html). |
| Amazon WorkMail | Para obter mais informações, consulte [Creating an organization](https://docs.aws.amazon.com/workmail/latest/adminguide/add_new_organization.html). |
| Amazon WorkSpaces | Você pode criar um Simple AD, AWS Managed Microsoft AD ou AD Connector diretamente do WorkSpaces. Basta iniciar o **Advanced Setup** ao criar seu Workspace. Para obter mais informações, consulte o [Guia de WorkSpaces administração da Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/). |
| AWS Client VPN | Para obter mais informações, consulte o [Guia do usuário do AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/). |
| Centro de Identidade do AWS IAM | Para obter mais informações, consulte o [Guia do usuário do Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/). |
| Console de gerenciamento da AWS | Para obter mais informações, consulte [Habilitando Console de gerenciamento da AWS o acesso com credenciais AWS gerenciadas do Microsoft AD](ms_ad_management_console_access.md). |
| AWS Transfer Family | Para obter mais informações, consulte o [Guia do usuário do AWS Transfer Family](https://docs.aws.amazon.com/transfer/latest/userguide/what-is-aws-transfer-family.html). |
Após habilitado, você controla o acesso aos diretórios no console da aplicação ou do serviço ao qual deseja fornecer acesso ao diretório. Para encontrar os links de AWS aplicativos e serviços descritos acima no Directory Service console, execute as etapas a seguir.
**Para exibir os aplicativos e serviços para um diretório**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), escolha **Diretórios**.
1. Na página **Directories (Diretórios)**, escolha o ID do diretório.
1. Na página **Directory details (Detalhes do diretório)**, selecione a guia **Application management (Gerenciamento de aplicativos)**.
1. Revise a lista na seção de **Aplicações e serviços da AWS **.
Para obter mais informações sobre como autorizar ou desautorizar o uso Directory Service de AWS aplicativos e serviços, consulte. [Autorização para AWS aplicativos e serviços usando Directory Service](ad_manage_apps_services_authorization.md)
# Maneiras de unir uma EC2 instância da Amazon ao seu Active Directory
O AD Connector é um gateway de diretório com o qual você pode redirecionar solicitações de diretório para o Microsoft Active Directory on-premises sem armazenar nenhuma informação em cache na nuvem. Aqui estão mais informações sobre como você pode associar uma Amazon EC2 a um domínio do Active Directory:
+ Você pode unir facilmente uma EC2 instância da Amazon ao seu domínio do Active Directory quando a instância for iniciada. Para obter mais informações sobre como unir uma instância EC2 do Windows a um Microsoft AD AWS gerenciado, consulte[Unindo uma instância Windows do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado](launching_instance.md).
+ Se precisar unir manualmente uma EC2 instância ao seu domínio do Active Directory, inicie a instância no grupo ou sub-rede de segurança adequado Região da AWS e, em seguida, associe a instância ao domínio do Active Directory.
+ Para se conectar de modo remoto a essas instâncias, você deve ter conectividade IP com as instâncias da rede da qual está se conectando. Na maioria dos casos, é necessário que um gateway da Internet esteja conectado à sua Amazon VPC e que a instância tenha um endereço IP público. Para obter mais informações sobre como conectar à Internet usando um gateway da Internet, consulte [Conectar com a Internet usando um gateway da Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) no Guia do usuário da Amazon VPC.
**nota**
Depois que uma instância for associada ao seu Active Directory autogerenciado (on-premises), a instância se comunicará diretamente com o Active Directory e ignorará o AD Connector.
# Cotas do AD Connector
A seguir estão os limites padrão para o AD Connector. A menos que especificado de outra forma, cada cota é aplicada por região.
**Cotas do AD Connector**
| Recurso | Cota padrão |
| --- | --- |
| Diretórios do AD Connector | 10 |
| Número máximo de certificados de autoridade de certificação (CA) registrados por diretório | 5 |
# Solução de problemas do AD Connector
Os tópicos a seguir podem ajudar a solucionar alguns problemas comuns que podem ser encontrados ao criar ou usar o AD Connector.
**Topics**
+ [Problemas de criação](#ad_connector_creation_issues)
+ [Problemas de conectividade](#ad_connector_connectivity_issues)
+ [Problemas de autenticação](#ad_connector_auth_issues)
+ [Problemas de manutenção](#ad_connector_maintenance_issues)
+ [Não consigo excluir meu AD Connector](#delete_ad_connector)
+ [Ferramentas gerais para investigar os emissores do AD Connector](#ad_connector_troubleshooting_tools)
## Problemas de criação
**A seguir estão os problemas comuns de criação do AD Connector**
+ [Recebo um erro de "AZ Constrained" quando crio um diretório](#contrained_az2)
+ [Eu recebo um erro “Problemas de conectividade detectados” quando tento criar um AD Connector](#ad_creation_connectivity_issues)
### Recebo um erro de "AZ Constrained" quando crio um diretório
Algumas AWS contas criadas antes de 2012 podem ter acesso às zonas de disponibilidade nas regiões Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Norte da Califórnia) ou Ásia-Pacífico (Tóquio) que não oferecem suporte a Directory Service diretórios. Se você receber um erro como esse ao criar um Active Directory, escolha uma sub-rede em outra zona de disponibilidade e tente criar o diretório novamente.
### Eu recebo um erro “Problemas de conectividade detectados” quando tento criar um AD Connector
Se você receber o erro "Problema de conectividade detectado" ao tentar criar um AD Connector, o erro pode ser devido à disponibilidade da porta ou à complexidade da senha do AD Connector. Você pode testar a conexão do AD Connector para ver se as seguintes portas estão disponíveis:
+ 53 (DNS)
+ 88 (Kerberos)
+ 389 (LDAP)
Para testar sua conexão, consulte [Testar o AD Connector](ad_connector_getting_started.md#connect_verification). O teste de conexão deve ser realizado na instância associada às duas sub-redes às quais os endereços IP do AD Connector estão associados.
Se o teste de conexão tiver sucesso e a instância for associada ao domínio, verifique a senha do AD Connector. O AD Connector deve atender aos requisitos de complexidade da AWS senha. Para obter mais informações, consulte Contas de serviço em [Pré-requisitos do AD Connector](ad_connector_getting_started.md#prereq_connector).
Se o AD Connector não atender a esses requisitos, recrie o AD Connector com uma senha que esteja em conformidade com esses requisitos.
### Eu recebo o erro “Foi encontrado um erro interno de serviço ao conectar o diretório. Tente a operação novamente.” ao criar um AD Connector
Esse erro geralmente ocorre quando a criação do AD Connector falha e ele não consegue se conectar a um controlador de domínio válido para o domínio autogerenciado do Active Directory.
**nota**
Como [prática recomendada](ad_connector_best_practices.md#ad_connector_config_onprem), se a rede autogerenciada tiver sites do Active Directory definidos, você deverá garantir o seguinte:
As sub-redes VPC em que o AD Connector reside estejam definidas em um site do Active Directory.
Não haja conflitos entre as sub-redes VPC e as sub-redes nos outros sites.
O AD Connector usa o site do Active Directory cujos intervalos de endereços IP de sub-rede estão próximos dos da VPC que contém o AD Connector, a fim de descobrir controladores de domínio do AD. Se você tiver um site cujas sub-redes têm os mesmos intervalos de endereços IP que os da VPC, o AD Connector descobrirá os controladores de domínio nesse site. O controlador de domínio pode não estar fisicamente próximo da região em que o AD Connector reside.
+ Inconsistências nos registros SRV do DNS (esses registros usam a seguinte sintaxe: `_ldap._tcp.` e `_kerberos._tcp.`) criados no domínio do Active Directory gerenciado pelo cliente. Isso pode ocorrer quando o AD Connector não consegue encontrar e se conectar a um controlador de domínio válido com base nesses registros SRV.
+ Problemas de rede entre o AD Connector e o AD gerenciado pelo cliente, como dispositivos de firewall.
Você pode usar a [captura de pacotes de rede](https://techcommunity.microsoft.com/blog/iis-support-blog/capture-a-network-trace-without-installing-anything--capture-a-network-trace-of-/376503) nos controladores de domínio, servidores DNS e logs de fluxo VPC de interfaces de rede de diretórios para investigar esse problema. Entre em contato com o [AWS Support](https://docs.aws.amazon.com//awssupport/latest/user/case-management.html) se precisar de assistência adicional.
## Problemas de conectividade
**A seguir estão os problemas comuns de conectividade do AD Connector**
+ [Eu recebo um erro "Problemas de conectividade detectados" quando tento me conectar ao meu diretório on-premises](#connectivity_issues_detected)
+ [Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório on-premises](#dns_unavailable)
+ [Eu recebo um erro "Registro SRV" quando tento me conectar ao meu diretório on-premises](#srv_record_not_found)
### Eu recebo um erro "Problemas de conectividade detectados" quando tento me conectar ao meu diretório on-premises
Você recebe uma mensagem de erro semelhante à seguinte ao se conectar ao seu diretório local: Problemas de conectividade detectados: LDAP indisponível (porta TCP 389) para IP: ** Kerberos/authentication indisponível (porta TCP 88) para IP: ** verifique se as portas listadas estão disponíveis e repita a operação.
O AD Connector deve ser capaz de se comunicar com seus controladores de domínio on-premises via TCP e UDP nas portas a seguir. Verifique se seus grupos de segurança e firewalls on-premises permitem a comunicação de TCP e UDP por estas portas. Para obter mais informações, consulte [Pré-requisitos do AD Connector](ad_connector_getting_started.md#prereq_connector).
+ 88 (Kerberos)
+ 389 (LDAP)
Você pode precisar de TCP/UDP portas adicionais, dependendo de suas necessidades. Consulte a lista a seguir para ver algumas dessas portas. Para obter mais informações sobre portas usadas pelo Active Directory, consulte [Como configurar um firewall para domínios e relações de confiança do Active Directory](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts) na documentação da Microsoft.
+ 135 (RPC Endpoint Mapper)
+ 646 (LDAP SSL)
+ 3268 (LDAP GC)
+ 3269 (LDAP GC SSL)
### Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório on-premises
Você recebe uma mensagem de erro semelhante à seguinte quando se conecta ao seu diretório on-premises:
```
DNS unavailable (TCP port 53) for IP:
```
O AD Connector deve ser capaz de se comunicar com seus servidores de DNS on-premises via TCP e UDP na porta 53. Verifique se seus grupos de segurança e firewalls on-premises permitem a comunicação de TCP e UDP por essa porta. Para obter mais informações, consulte [Pré-requisitos do AD Connector](ad_connector_getting_started.md#prereq_connector).
### Eu recebo um erro "Registro SRV" quando tento me conectar ao meu diretório on-premises
Você recebe uma mensagem de erro semelhante a uma ou mais das seguintes quando se conecta ao seu diretório on-premises:
```
SRV record for LDAP does not exist for IP: SRV record for Kerberos does not exist for IP:
```
O AD Connector precisa obter os registros de SRV `_ldap._tcp.` e `_kerberos._tcp.` ao se conectar ao seu diretório. Você receberá esse erro se o serviço não conseguir obter esses registros dos servidores DNS que você especificou ao se conectar ao seu diretório. Para obter mais informações sobre esses registros SRV, consulte [SRV record requirements](ad_connector_getting_started.md#srv_records).
## Problemas de autenticação
**Estes estão alguns problemas de autenticação comuns com o AD Connector:**
+ [Eu recebo o erro “Falha na validação do certificado” quando tento entrar Amazon WorkSpaces com um cartão inteligente](#cert_validation_failure)
+ [Recebo um erro "Credenciais inválidas" quando a conta de serviço usada pelo AD Connector tenta se autenticar](#invalid_creds)
+ [Eu recebo o erro “Não é possível autenticar” ao usar AWS aplicativos para pesquisar usuários ou grupos](#fails_when_searching)
+ [Eu recebo um erro sobre minhas credenciais de diretório quando tento atualizar a conta de serviço do AD Connector](#error_with_ad_creds)
+ [Alguns dos meus usuários não podem se autenticar com meu diretório](#kerberos_preauth2)
### Eu recebo o erro “Falha na validação do certificado” quando tento entrar Amazon WorkSpaces com um cartão inteligente
Você recebe uma mensagem de erro semelhante à seguinte ao tentar entrar no seu WorkSpaces com um cartão inteligente: **ERRO**: Falha na validação do certificado. Tente novamente reiniciando o navegador ou aplicação e certifique-se de selecionar o certificado correto. O erro ocorre se o certificado do cartão inteligente não estiver armazenado adequadamente no cliente que usa os certificados. Para obter mais informações sobre os requisitos do AD Connector e do cartão inteligente, consulte [Pré-requisitos](ad_connector_clientauth.md#prereqs-clientauth).
**Use os seguinte procedimentos para solucionar problemas na capacidade do cartão inteligente de armazenar certificados no repositório de certificados do usuário:**
1. No dispositivo que está tendo problemas para acessar os certificados, acesse o Microsoft Management Console (MMC).
**Importante**
Antes de prosseguir, crie uma cópia do certificado do cartão inteligente.
1. Navegue até o repositório de certificados no MMC. Exclua o certificado de cartão inteligente do usuário do repositório de certificados. Para obter mais informações sobre como exibir o repositório de certificados no MMC, consulte [How to: View certificates with the MMC snap-in](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in) na documentação da Microsoft.
1. Remova o cartão inteligente.
1. Reinsira o cartão inteligente para que ele possa preencher novamente o certificado do cartão inteligente no armazenamento de certificados do usuário.
**Atenção**
Se o cartão inteligente não estiver preenchendo novamente o certificado no armazenamento do usuário, ele não poderá ser usado para autenticação do cartão WorkSpaces inteligente.
A conta de serviço do AD Connector deve ter o seguinte:
+ `my/spn` adicionado ao nome do princípio de serviço
+ Delegado para o serviço LDAP
Depois que o certificado for preenchido novamente no cartão inteligente, o controlador de domínio local deverá ser verificado para determinar se ele está bloqueado do mapeamento do nome principal do usuário (UPN) para o nome alternativo do assunto. Para obter mais informações sobre essa alteração, consulte [How to disable the Subject Alternative Name for UPN mapping](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-subject-alternative-name-upn-mapping) na documentação da Microsoft.
**Use o seguinte procedimento para verificar a chave de Registro do seu controlador de domínio:**
+ No **Editor de Registros**, navegue para a seguinte chave de registro:
**HKEY\$1LOCAL\$1MACHINE\$1 SYSTEM\$1\$1 Serviços\$1 Kdc\$1 CurrentControlSet UseSubjectAltName**
1. Inspecione o valor de UseSubjectAltName:
1. Se o valor estiver definido como **0**, o mapeamento do **Nome alternativo do assunto** será **desabilitado** e você deverá mapear explicitamente um determinado certificado para apenas um usuário. Se um certificado for mapeado para vários usuários e esse valor for 0, o login com esse certificado falhará.
1. Se o valor for **não definido ou definido como 1**, você deverá mapear explicitamente um determinado certificado para somente um usuário ou usar o campo **Nome alternativo do assunto** para o login.
1. Se o campo **Nome alternativo do assunto** existir no certificado, será priorizado.
1. Se o campo **Nome alternativo do assunto** não existir no certificado e o certificado estiver explicitamente mapeado para mais de um usuário, o login com esse certificado falhará.
**nota**
Se a chave do registro estiver definida nos controladores de domínio locais, o AD Connector não conseguirá localizar os usuários no Active Directory e resultará na mensagem de erro acima.
Os certificados da autoridade de certificação (CA) devem ser enviados para o certificado de cartão inteligente do AD Connector. O certificado deve conter informações do OCSP. A seguir, listamos os requisitos adicionais para a CA:
+ O certificado deve estar na Autoridade Raiz Confiável do Controlador de Domínio, do Servidor da Autoridade de Certificação e do WorkSpaces.
+ Os certificados off-line e de CA raiz não conterão as informações do OSCP. Esses certificados contêm informações sobre sua revogação.
+ Se você estiver usando um certificado de CA de terceiros para autenticação por cartão inteligente, a CA e os certificados intermediários precisarão ser publicados no NTAuth repositório do Active Directory. Eles devem ser instalados na autoridade raiz confiável de todos os controladores de domínio, servidores de autoridade de certificação e. WorkSpaces
+ Você pode usar o comando a seguir para publicar certificados no NTAuth repositório do Active Directory:
```
certutil -dspublish -f Third_Party_CA.cer NTAuthCA
```
Para obter mais informações sobre a publicação de certificados na NTAuth loja, consulte [Importar o certificado CA emissor para a NTAuth loja Enterprise no](https://docs.aws.amazon.com//whitepapers/latest/access-workspaces-with-access-cards/import-the-issuing-ca-certificate-into-the-enterprise-ntauth-store.html) *Access Amazon WorkSpaces with Common Access Cards Installation Guide*.
**Você pode verificar se o certificado do usuário ou os certificados da cadeia de CA são verificados pelo OCSP seguindo este procedimento:**
1. Exporte o certificado do cartão inteligente para uma localização na máquina local, como a unidade C:.
1. Abra um prompt de linha de comando e navegue até o local em que o certificado de cartão inteligente exportado está armazenado.
1. Digite o comando:
```
certutil -URL Certficate_name.cer
```
1. Uma janela pop-up deve aparecer após o comando. Selecione a **opção OCSP** no canto direito e selecione **Recuperar**. O status deve retornar conforme verificado.
Para obter mais informações sobre o comando certutil, consulte [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) na documentação da Microsoft
### Recebo um erro "Credenciais inválidas" quando a conta de serviço usada pelo AD Connector tenta se autenticar
Isso pode ocorrer se o disco rígido no controlador de domínio ficar sem espaço. Verifique se os discos rígidos do controlador de domínio não estão cheios.
### Eu recebo a mensagem “Ocorreu um erro” ou “Erro inesperado” quando tento atualizar a conta de serviço do AD Connector
Os seguintes erros ou sintomas ocorrem ao pesquisar usuários em aplicativos AWS corporativos, como o [Amazon WorkSpaces Console Launch Wizard](https://docs.aws.amazon.com//workspaces/latest/adminguide/launch-workspace-ad-connector.html#create-workspace-ad-connector):
+ Ocorreu um erro. Se você continuar enfrentando problemas, entre em contato com a AWS Support equipe nos fóruns da comunidade e por meio do AWS Premium Support.
+ Ocorreu um erro. O diretório precisa de uma atualização de credencial. Atualize as credenciais do diretório.
Se você tentar atualizar as credenciais da conta de serviço do AD Connector no AD Connector, poderá receber as seguintes mensagens de erro:
+ Erro inesperado. Ocorreu um erro inesperado.
+ Ocorreu um erro. Houve um erro na account/password combinação de serviços. Por favor, tente novamente.
A conta de serviço do diretório AD Connector reside no Active Directory gerenciado pelo cliente. A conta é usada como uma identidade para realizar consultas e operações no domínio do Active Directory gerenciado pelo cliente por meio do AD Connector em nome das Aplicações Empresariais da AWS . O AD Connector usa Kerberos e LDAP para realizar essas operações.
**A lista a seguir explica o que essas mensagens de erro significam:**
+ Pode haver um problema com a sincronização de horário e o Kerberos. O AD Connector envia solicitações de autenticação Kerberos para o Active Directory. Essas solicitações são urgentes e, se atrasarem, falharão. Certifique-se de que não haja problemas de sincronização de horário entre nenhum dos controladores de domínio gerenciados pelo cliente. Para resolver esse problema, consulte [Recomendação — Configure o PDC raiz com uma fonte de tempo autorizada e evite uma distorção de tempo generalizada](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew) na documentação da Microsoft. Para obter mais informações sobre o serviço de tempo e a sincronização, consulte abaixo:
+ [Como funciona o serviço de horário do Windows](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [Tolerância máxima para sincronização do relógio do computador](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Ferramentas e configurações do serviço de horário do Windows](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
+ Um dispositivo de rede intermediário com uma restrição de [MTU](https://support.microsoft.com/en-us/topic/the-default-mtu-sizes-for-different-network-topologies-b25262c5-d90f-456d-7647-e09192eeeef4) de rede, como configurações de hardware de firewall ou VPN, entre o AD Connector e os controladores de domínio gerenciados pelo cliente pode causar esse erro devido à [fragmentação da rede](https://en.wikipedia.org/wiki/IP_fragmentation).
+ Para verificar a restrição de MTU, você pode realizar um [teste de ping](https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/mtu-size-matters/1025286) entre o controlador de domínio gerenciado pelo cliente e uma instância do Amazon EC2 que é iniciada em uma das sub-redes do diretório conectada via AD Connector. O tamanho do frame não deve ser maior que o tamanho padrão de 1500 bytes.
+ O teste de ping ajudará você a entender se o tamanho do frame é maior que 1500 bytes (também conhecido como frames Jumbo) e se eles são capazes de alcançar a VPC e a sub-rede do AD Connector sem a necessidade de fragmentação. Verifique os detalhes com throughput equipe de rede e garanta que os frames Jumbo sejam permitidos nos dispositivos de rede intermediários.
+ Você poderá enfrentar esse problema se o [LDAPS do lado do cliente](ad_connector_ldap_client_side.md) estiver habilitado no AD Connector e os certificados estiverem expirados. Certifique-se de que o certificado do lado do servidor e o certificado CA sejam válidos, não tenham expirado e atendam aos requisitos de acordo com a [LDAPsdocumentação](ad_connector_ldap_client_side.md#prereqs-ldap-client-side).
+ Se o [Suporte ao Virtual List View](https://learn.microsoft.com/en-us/windows/win32/controls/use-virtual-list-view-controls) estiver desativado no domínio do Active Directory gerenciado pelo cliente, os AWS Aplicativos não poderão pesquisar usuários porque o AD Connector usa a pesquisa VLV em consultas LDAP. O Virtual List View Support é desativado quando a opção Desativar VLVSupport é definida como um valor diferente de zero. Verifique se o [Suporte à Visualização de lista virtual (VLV)](https://learn.microsoft.com/en-us/previous-versions/office/exchange-server-analyzer/cc540446(v=exchg.80)?redirectedfrom=MSDN) está habilitado no Active Directory usando as seguintes etapas:
1. Faça login no Controlador de Domínio como proprietário do perfil de mestre do esquema usando uma conta com credenciais de Administrador do esquema.
1. Selecione **Iniciar** e, em seguida, **Executar** e insira **Adsiedit.msc**.
1. Na ferramenta ADSI Edit, conecte-se à **partição de configuração** e expanda o nó **Configuração [DomainController]**.
1. Expanda o **contêiner CN=Configuration, DomainName DC=**.
1. Expanda o objeto **CN=services**.
1. Expanda o objeto **CN=Windows NT**.
1. Selecione o objeto **CN=Directory Service**. Selecione **Properties (Propriedades)**.
1. Na lista Atributos, selecione **msds-Other-Settings**. Selecione **Editar**.
1. Na lista Valores, selecione qualquer instância de **Desativar VLVSupport =x** em que x não seja igual a **0** e selecione **Remover**.
1. Depois de remover, insira **DisableVLVSupport=0**. Selecione **Adicionar**.
1. Selecione **OK**. Você pode fechar a janela ADSI Edit. A imagem a seguir mostra a caixa de diálogo Editor de string multivalor na janela ADSI Edit:
![\[Caixa de diálogo ADSI Edit com editor de strings de vários valores e Disable VLVSupport =0 destacados.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/DisableVLVSupport.png)
**nota**
Em uma infraestrutura de grande porte do Active Directory com mais de 100.000 usuários, talvez você só consiga pesquisar usuários específicos. No entanto, se você tentar listar todos os usuários (por exemplo, **Mostrar todos os usuários no WorkSpaces Launch Wizard**) de uma só vez, isso pode resultar no mesmo erro, mesmo se o VLV Support estiver ativado. O AD Connector exige que os resultados sejam classificados pelo atributo “CN” usando o Índice de subárvore. O Índice de subárvore é o tipo de índice que prepara os controladores de domínio para realizar uma operação de pesquisa LDAP (Visualização de lista virtual) que permite ao AD Connector concluir uma pesquisa ordenada. Esse índice melhora a pesquisa do VLV e impede o uso da tabela de banco de dados temporária chamada [MaxTempTableSize](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-set-ldap-policy-using-ntdsutil). O tamanho dessa tabela pode variar, mas, por padrão, o número máximo de entradas é 10000 (a MaxTempTableSize configuração da Política de Consulta Padrão). Aumentar o MaxTempTableSize é menos eficiente do que usar a indexação de subárvores. Para evitar esses erros em ambientes de grande porte do AD, é recomendável usar a Indexação de subárvore.
Você pode habilitar o índice da subárvore modificando o atributo [searchflags](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867) na definição do atributo, no esquema do Active Directory, com um valor de 65 (0x41), usando ADSEdit as seguintes etapas:
1. Faça login no Controlador de Domínio como proprietário do perfil de mestre do esquema usando uma conta com credenciais de Administrador do esquema.
1. Selecione **Iniciar** e **Executar**, insira **Adsiedit.msc**.
1. Na ferramenta ADSI Edit, conecte-se à **Partição do esquema**.
1. Expanda o **contêiner CN=Schema, CN=Configuration, DC=**. DomainName
1. Localize o atributo "**Common-Name**, clique com o botão direito e selecione **Propriedades**.
1. Localize o atributo **searchFlags** e altere seu valor **65 (0x41)** para ativar a SubTree indexação junto com o índice normal.
A imagem a seguir mostra a caixa de diálogo de propriedades CN=Common-Name na janela ADSI Edit:
![\[A caixa de diálogo ADSI Edit é aberta com o atributo searchFlags realçado.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/SUBTREE_INDEX.png)
1. Selecione **OK**. Você pode fechar a janela ADSI Edit.
1. Para a confirmação, você deve conseguir ver uma ID de evento 1137 (Fonte: Active Directory\$1DomainServices), que indica que o AD criou com êxito o novo índice para o atributo especificado.
Para obter mais informações, consulte a [documentação da Microsoft](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867).
### Eu recebo o erro “Não é possível autenticar” ao usar AWS aplicativos para pesquisar usuários ou grupos
Você pode encontrar erros ao pesquisar usuários ou fazer login em AWS aplicativos, como WorkSpaces o Quick, mesmo quando o status do AD Connector estava ativo. Se a senha da conta de serviço do AD Connector tiver sido alterada ou expirada, o AD Connector não poderá mais consultar o domínio do Active Directory. Entre em contato com o administrador do AD e verifique o seguinte:
+ Verifique se a senha da conta de serviço do AD Connector não expirou
+ Verifique se a conta de serviço do AD Connector não está com a opção **O usuário deve alterar a senha no próximo login** habilitada.
+ Verifique se a conta de serviço do AD Connector não está bloqueada.
+ Se você não tiver certeza se a senha expirou ou foi alterada, você pode redefinir a senha da conta de serviço e também [atualizar](ad_connector_update_creds.md) a mesma senha no AD Connector.
### Eu recebo um erro sobre minhas credenciais de diretório quando tento atualizar a conta de serviço do AD Connector
Você recebe uma mensagem de erro semelhante a uma ou mais das seguintes quando tenta atualizar a conta de serviço do AD Connector:
Mensagem: ocorreu um erro O diretório precisa de uma atualização de credencial. Atualize as credenciais do diretório. Ocorreu um erro O diretório precisa de uma atualização de credencial. Atualize as credenciais do diretório após a mensagem Atualizar credenciais da conta de serviço do AD Connector: Ocorreu um erro A solicitação tem um problema. Consulte os detalhes a seguir. Houve um erro na combinação de conta/senha de serviço
Pode haver um problema com a sincronização de horário e o Kerberos. O AD Connector envia solicitações de autenticação Kerberos para o Active Directory. Essas solicitações são urgentes e, se atrasarem, falharão. Para resolver esse problema, consulte [Recommendation - Configure the Root PDC with an Authoritative Time Source and Avoid Widespread Time Skew](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew) na documentação da Microsoft. Para obter mais informações sobre o serviço de horário e sincronização, consulte abaixo:
+ [Como funciona o serviço de horário do Windows](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [Tolerância máxima para sincronização do relógio do computador](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Ferramentas e configurações do serviço de horário do Windows](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
### Alguns dos meus usuários não podem se autenticar com meu diretório
Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Essa é a configuração padrão para contas de usuário novas, mas ela não deve ser modificada. Para obter mais informações sobre essa configuração, acesse [Pré-autenticação](http://technet.microsoft.com/en-us/library/cc961961.aspx) em Microsoft TechNet.
## Problemas de manutenção
**A seguir estão os problemas comuns de manutenção do AD Connector**
+ Meu diretório está travado no estado "Requested"
+ A associação direta ao domínio para instâncias do Amazon EC2 parou de funcionar
### Meu diretório está travado no estado "Requested"
Se você tiver um diretório que está no estado “solicitado” por mais de cinco minutos, tente excluir o diretório e recriá-lo. Se esse problema continuar, entre em contato com o [AWS Support](https://aws.amazon.com/contact-us/).
### A associação direta ao domínio para instâncias do Amazon EC2 parou de funcionar
Se a associação direta a domínios para instâncias do EC2 estava funcionando e foi interrompida enquanto o AD Connector estava ativo, as credenciais para sua conta de serviço do AD Connector podem ter expirado. Credenciais expiradas podem impedir que o AD Connector crie objetos de computador em seu Active Directory.
**Para resolver esse problema, atualize as senhas da conta de serviço na seguinte ordem para que as senhas correspondam:**
1. Atualize a senha da conta de serviço no Active Directory.
1. Atualize a senha da conta de serviço no AD Connector no Directory Service. Para obter mais informações, consulte [Atualizando as credenciais da conta de serviço do AD Connector no Console de gerenciamento da AWS](ad_connector_update_creds.md).
**Importante**
Atualizar a senha somente em Directory Service não envia a alteração da senha para o Active Directory local existente, portanto, é importante fazer isso na ordem mostrada no procedimento anterior.
## Não consigo excluir meu AD Connector
Se o AD Connector mudar para um estado inoperável, você não terá mais acesso aos seus controladores de domínio. Bloqueamos a exclusão de um AD Connector quando ainda há aplicações vinculadas a ele porque uma dessas aplicações ainda pode estar usando o diretório. Para obter uma lista das aplicações que você precisa desabilitar para excluir seu AD Connector, consulte [Exclusão do AD Connector](ad_connector_delete.md). Se ainda não conseguir excluir o AD Connector, você pode solicitar ajuda por meio do [AWS Support](https://aws.amazon.com/contact-us/).
## Ferramentas gerais para investigar os emissores do AD Connector
As ferramentas a seguir podem ser usadas para solucionar vários problemas do AD Connector relacionados à criação, autenticação e conectividade:
**DirectoryServicePortTest ferramenta**
A ferramenta [DirectoryServicePortTest](samples/DirectoryServicePortTest.zip)de teste pode ser útil na solução de problemas de conectividade entre o AD Connector e servidores Active Directory ou DNS gerenciados pelo cliente. Para obter informações sobre como usar a ferramenta, consulte [Testar o AD Connector](ad_connector_getting_started.md#connect_verification).
**Ferramenta de captura de pacotes**
Você pode usar o utilitário de captura de pacotes Windows incorporado ([netsh](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129382(v=ws.11))) para investigar e solucionar problemas potenciais de rede ou de comunicação do Active Directory (ldap e kerberos). Para obter mais informações, consulte [Capturar um trace de rede sem instalar nada](https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503).
**Logs de fluxo da VPC**
Para entender melhor quais solicitações estão sendo recebidas e enviadas do AD Connector, você pode configurar os [logs de fluxo de VPC](https://docs.aws.amazon.com//vpc/latest/userguide/working-with-flow-logs.html) para as interfaces de rede do diretório. Você pode identificar todas as interfaces de rede reservadas para uso com Directory Service a descrição:`AWS created network interface for directory your-directory-id`.
Um caso de uso simples é durante a criação do AD Connector com um domínio do Active Directory gerenciado pelo cliente com um grande número de controladores de domínio. Você pode usar os logs de fluxo de VPC e filtrar pela porta Kerberos (88) para descobrir quais controladores de domínio no Active Directory gerenciado pelo cliente estão sendo contatados para autenticação.