Etapa 2: preparar o AWS Managed Microsoft AD - AWS Directory Service
Configurar as sub-redes e os grupos de segurança da VPCVerificar se a pré-autenticação Kerberos está habilitada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 2: preparar o AWS Managed Microsoft AD

Agora, vamos deixar o AWS Managed Microsoft AD pronto para a relação de confiança. Muitas das etapas a seguir são quase idênticas ao que você acabou de concluir para seu domínio autogerenciado. No entanto, desta vez, você está trabalhando com o AWS Managed Microsoft AD.

Configurar as sub-redes e os grupos de segurança da VPC

Você deve permitir o tráfego da sua rede autogerenciada para a VPC que contém seu AWS Managed Microsoft AD. Para isso, você precisará garantir que as ACLs associadas às sub-redes usadas para implantar seu AWS Managed Microsoft AD e as regras do grupo de segurança configuradas em seus controladores de domínio permitam que o tráfego necessário ofereça suporte a confianças.

Os requisitos de porta variam de acordo com a versão do Windows Server usada pelos seus controladores de domínio e pelos serviços ou aplicativos que utilizarão a confiança. Para fins deste tutorial, você precisará abrir as seguintes portas:

Entrada

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - autenticação de Kerberos

  • UDP 123 - NTP

  • TCP 135 - RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

  • TCP/UDP 464 - autenticação do Kerberos

  • TCP 636 - LDAPS (LDAP por TLS/SSL)

  • TCP 3268-3269 - catálogo global

  • TCP/UDP 49152-65535 - portas efêmeras para RPC

nota

SMBv1 não é mais compatível.

Saída

  • ALL

nota

Essas são as portas mínimas necessárias para poder conectar a VPC e o diretório autogerenciado. Sua configuração específica pode exigir que portas adicionais sejam abertas.

Para configurar regras de saída e de entrada para o controlador de domínio do AWS Managed Microsoft AD

  1. Retorne para o console doAWS Directory Service. Na lista de diretórios, anote o ID de diretório do seu diretório do AWS Managed Microsoft AD.

  2. Abra o console da Amazon VPC, em https://console.aws.amazon.com/vpc/.

  3. No painel de navegação, selecione Grupos de segurança.

  4. Use a caixa de pesquisa para pesquisar o ID do diretório AWS Managed Microsoft AD. Nos resultados da pesquisa, selecione o grupo de segurança com a descrição AWS created security group for yourdirectoryID directory controllers.

    No console da Amazon VPC, os resultados da pesquisa do grupo de segurança dos controladores de diretório estão destacados.

  5. Vá para a guia Outbound Rules desse grupo de segurança. Selecione Editar regras de saída e Adicionar regra. Insira os seguintes valores para a nova regra:

    • Type: Todo o tráfego

    • Protocol (Protocolo): TODOS

    • Destination determina o tráfego que pode sair dos controladores de domínio e para onde ele pode ir. Especifique um único endereço IP ou intervalo de endereços IP em notação CIDR (por exemplo, 203.0.113.5/32). Você também pode especificar o nome ou o ID de outro grupo de segurança na mesma região. Para obter mais informações, consulte Entenda a configuração e o uso do grupo de AWS segurança do seu diretório.

  6. Selecione Salvar regra.

    No console do Amazon VPC, edite as regras de saída dos grupos de segurança do controlador do diretório.

Verificar se a pré-autenticação Kerberos está habilitada

Agora você deseja confirmar que os usuários no AWS Managed Microsoft AD também têm a pré-autenticação Kerberos habilitada. Este é o mesmo processo que você concluiu para o diretório autogerenciado. Este é o padrão, mas vamos verificar para ter certeza de que nada foi alterado.

Para visualizar as configurações de Kerberos do usuário

  1. Faça login em uma instância que seja membro do diretório do AWS Managed Microsoft AD usando o Permissões da conta de administrador e de grupo do AWS Managed Microsoft AD para o domínio ou uma conta que tenha recebido permissões para gerenciar usuários no domínio.

  2. Se ainda não estiverem instaladas, instale a ferramenta Usuários de computadores do Active Directory e a ferramenta do DNS. Saiba como instalar essas ferramentas em Instalação das ferramentas administrativas do Active Directory para o AWS Managed Microsoft AD.

  3. Abra o Gerenciador de Servidores. No menu Tools, escolha Active Directory Users and Computers (Usuários e computadores do Active Directory).

  4. Escolha a pasta Users em seu domínio. Observe que essa é a pasta Users (Usuários) sob seu nome NetBIOS, e não a pasta Users (Usuários) sob o nome do domínio totalmente qualificado (FQDN).

    Na caixa de diálogo Usuários e computadores do Active Directory, a pasta Usuários está destacada.

  5. Na lista de usuários, clique com o botão direito do mouse em um usuário e selecione Properties (Propriedades).

  6. Selecione a guia Account (Conta). Na lista Account options, confirme se Do not require Kerberos preauthentication não está marcada.

Próxima etapa

Etapa 3: criar a relação de confiança