As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Tutoriais gerenciados do laboratório de testes do Microsoft AD
Esta seção fornece uma série de tutoriais guiados para ajudá-lo a estabelecer um ambiente de laboratório de teste no AWS qual você pode experimentar o Managed AWS Microsoft AD.
**Topics**
+ [
# Tutorial: Configurando seu laboratório de teste básico do AWS Managed Microsoft AD em AWS
](ms_ad_tutorial_test_lab_base.md)
+ [
# Tutorial: Criando uma relação de confiança do Microsoft AD AWS gerenciado para uma instalação autogerenciada do Active Directory no Amazon EC2
](ms_ad_tutorial_test_lab_trust.md)
# Tutorial: Configurando seu laboratório de teste básico do AWS Managed Microsoft AD em AWS
Este tutorial ensina como configurar seu AWS ambiente para se preparar para uma nova instalação AWS gerenciada do Microsoft AD que usa uma nova instância do Amazon EC2 executando o Windows Server 2019. Em seguida, ele ensina você a usar as ferramentas de administração típicas do Active Directory para gerenciar seu ambiente Microsoft AD AWS gerenciado a partir de sua instância do EC2 Windows. Ao concluir o tutorial, você terá configurado os pré-requisitos de rede e configurado uma nova floresta gerenciada AWS do Microsoft AD.
Conforme mostrado na ilustração a seguir, o laboratório que você cria a partir deste tutorial é o componente fundamental para o aprendizado prático sobre o Managed AWS Microsoft AD. Mais adiante, você poderá acrescentar outros tutoriais a fim de ganhar ainda mais experiência prática. Esta série de tutoriais é ideal para qualquer iniciante em AWS Managed Microsoft AD e que deseja ter um laboratório de teste para fins de avaliação. Este tutorial leva aproximadamente 1 hora para ser concluído.
![\[Diagrama mostrando as etapas do tutorial: 1 configure seu ambiente, 2 crie seu Microsoft AD AWS gerenciado, 3 implante um Amazon EC2 e 4 teste o laboratório.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)
**[Etapa 1: Configurar seu AWS ambiente para o Microsoft AD Active Directory AWS gerenciado](microsoftadbasestep1.md)**
Depois de concluir as tarefas de pré-requisito, você criará e configurará uma Amazon VPC na instância do EC2.
**[Etapa 2: Criar seu Microsoft AD Active Directory AWS gerenciado](microsoftadbasestep2.md)**
Nesta etapa, você configura o AWS Managed Microsoft AD in AWS pela primeira vez.
**[Etapa 3: Implantar uma instância do Amazon EC2 para gerenciar seu AWS Microsoft AD Active Directory gerenciado](microsoftadbasestep3.md)**
Aqui, você passará por diversas tarefas pós-implantação necessárias para que os computadores cliente se conectem ao seu novo domínio e configurem um novo sistema do Windows Server no EC2.
**[Etapa 4: verificar se o laboratório de teste básico está operacional](microsoftadbasestep4.md)**
Finalmente, como administrador, você verificará que pode fazer login e se conectar ao AWS Managed Microsoft AD partindo do sistema do Windows Server no EC2. Depois de testar com êxito que o laboratório está operacional, você poderá continuar adicionando outros módulos de guia de laboratório de teste.
# Pré-requisitos
Se você planeja usar somente as etapas da interface de usuário neste tutorial para criar seu laboratório de teste, pule esta seção de pré-requisitos e vá para a Etapa 1. No entanto, se você planeja usar AWS CLI comandos ou AWS Tools for Windows PowerShell módulos para criar seu ambiente de laboratório de teste, primeiro configure o seguinte:
+ **Usuário do IAM com a chave de acesso e acesso secreta** — Um usuário do IAM com uma chave de acesso é necessário se você quiser usar os AWS Tools for Windows PowerShell módulos AWS CLI ou. Se você não tiver uma chave de acesso, consulte [Criar, modificar e visualizar chaves de acesso (Console de gerenciamento da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey).
+ **AWS Command Line Interface (opcional)** — Baixe e [instale o AWS CLI no Windows](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). Depois de instalada, abra o prompt de comando ou a janela do PowerShell e digite `aws configure`. Observe que você precisa da chave de acesso e da chave secreta para concluir a configuração. Veja o primeiro pré-requisito para as etapas sobre como fazer isso. Será solicitado o seguinte:
+ AWS ID da chave de acesso [Nenhum]: `AKIAIOSFODNN7EXAMPLE`
+ AWS chave de acesso secreta [Nenhuma]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ Nome da região padrão [Nenhum]: `us-west-2`
+ Formato de saída padrão [Nenhum]: `json`
+ **AWS Tools for Windows PowerShell****(opcional)** — Baixe e instale a versão mais recente do AWS Tools for Windows PowerShell de e [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/), em seguida, execute o comando a seguir. Observe que você precisa da sua chave de acesso e da chave secreta para concluir a configuração. Veja o primeiro pré-requisito para as etapas sobre como fazer isso.
`Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`
# Etapa 1: Configurar seu AWS ambiente para o Microsoft AD Active Directory AWS gerenciado
Antes de criar o AWS Managed Microsoft AD em seu laboratório de AWS teste, primeiro você precisa configurar seu par de chaves do Amazon EC2 para que todos os dados de login sejam criptografados.
## Criar um par de chaves
Se você já tiver um par de chaves, ignore esta etapa. Para obter mais informações sobre pares de chaves do Amazon EC2, consulte [Criar um par de chaves](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).
**Para criar um par de chaves**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. No painel de navegação, em **Rede e segurança**, escolha **Key Pairs (Pares de chaves)** e **Create Key Pair (Criar par de chaves)**.
1. Em **Key pair name (Nome do par de chaves)**, digite **AWS-DS-KP**. Em **Key pair file format (Formato do arquivo do par de chaves)**, selecione **pem** e **Create (Criar)**.
1. O arquivo de chave privada é baixado automaticamente pelo navegador. O nome de arquivo é o nome que você especificou quando criou seu par de chaves com uma extensão `.pem`. Salve o arquivo de chave privada em um lugar seguro.
**Importante**
Esta é a única chance de você salvar o arquivo de chave privada. Você precisará fornecer o nome do par de chaves ao iniciar uma instância e a chave privada correspondente sempre que descriptografar a senha para a instância.
## Crie, configure e emparelhe duas Amazon VPCs
Conforme mostrado na ilustração a seguir, ao concluir esse processo de várias etapas, você terá criado e configurado duas sub-redes públicas, duas públicas por VPC VPCs, um Gateway de Internet por VPC e uma conexão de emparelhamento de VPC entre o. VPCs Optamos por usar redes públicas VPCs e sub-redes para fins de simplicidade e custo. Para cargas de trabalho de produção, recomendamos que você use private VPCs. Para obter mais informações sobre como melhorar a segurança da VPC, consulte [Segurança na Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html).
![\[Ambiente Amazon VPC com sub-redes e gateways de Internet para criar um AWS Microsoft AD Active Directory gerenciado.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
Todos os AWS CLI PowerShell exemplos usam as informações de VPC abaixo e são criados em us-west-2. Você pode escolher qualquer [região compatível](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) para criar seu ambiente. Para obter informações gerais, consulte [O que é a Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).
**Etapa 1: criar dois VPCs**
Nesta etapa, você precisa criar dois VPCs na mesma conta usando os parâmetros especificados na tabela a seguir. AWS O Microsoft AD gerenciado suporta o uso de contas separadas com o [Compartilhe seu Microsoft AD AWS gerenciado](ms_ad_directory_sharing.md) recurso. A primeira VPC será usada para o AWS Microsoft AD gerenciado. A segunda VPC será usada para recursos que podem ser usados posteriormente em [Tutorial: Criando uma relação de confiança do Microsoft AD AWS gerenciado para uma instalação autogerenciada do Active Directory no Amazon EC2](ms_ad_tutorial_test_lab_trust.md).
****
| Informações da VPC do Managed Active Directory | Informações da VPC on-premises |
| --- | --- |
| Etiqueta de nome: AWS-DS- VPC01 IPv4 Bloco CIDR: 10.0.0.0/16 IPv6 Bloco CIDR: Sem bloco IPv6 CIDR Locação: Padrão | Etiqueta de nome: AWS- OnPrem - VPC01 IPv4 Bloco CIDR: 10.100.0.0/16 IPv6 Bloco CIDR: Sem bloco IPv6 CIDR Locação: Padrão |
Para obter instruções detalhadas, consulte [Criar uma VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC).
**Etapa 2: criar duas sub-redes por VPC**
Depois de criar o, VPCs você precisará criar duas sub-redes por VPC usando os parâmetros especificados na tabela a seguir. Para este laboratório de teste, cada sub-rede será um /24. Isso permitirá que até 256 endereços sejam emitidos por sub-rede. Cada sub-rede deve estar em uma zona de disponibilidade separada. Colocar cada sub-rede em uma zona de disponibilidade separada é um dos [Pré-requisitos para criar um Microsoft AD gerenciado AWS](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).
****
| AWS-DS- Informações da VPC01 sub-rede: | AWS- OnPrem - informações VPC01 da sub-rede |
| --- | --- |
| Etiqueta de nome: AWS-DS- -Subnet01 VPC01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx -DS- AWS VPC01 Zona de disponibilidade: us-west-2a IPv4 Bloco CIDR: 10.0.0.0/24 | Etiqueta de nome: AWS- OnPrem - VPC01 -Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 Zona de disponibilidade: us-west-2a IPv4 Bloco CIDR: 10.100.0.0/24 |
| Etiqueta de nome: AWS-DS- -Subnet02 VPC01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx -DS- AWS VPC01 Zona de disponibilidade: us-west-2b IPv4 Bloco CIDR: 10.0.1.0/24 | Etiqueta de nome: AWS- OnPrem - VPC01 -Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 Zona de disponibilidade: us-west-2b IPv4 Bloco CIDR: 10.100.1.0/24 |
Para obter instruções detalhadas, consulte [Criar uma sub-rede na VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).
**Etapa 3: Crie e conecte um Internet Gateway ao seu VPCs**
Como estamos usando VPCs públicas, será necessário criar e anexar um gateway da Internet às VPCs usando os parâmetros especificados na tabela a seguir. Isso permitirá que você seja capaz de se conectar e gerenciar as instâncias do EC2.
****
| AWS-DS- Informações sobre o VPC01 Internet Gateway | AWS- OnPrem - Informações sobre o VPC01 Internet Gateway |
| --- | --- |
| Etiqueta de nome: AWS-DS- VPC01 -IGW VPC: vpc-xxxxxxxxxxxxxxxxxxxxx -DS- AWS VPC01 | Etiqueta de nome: AWS- OnPrem - VPC01 -IGW VPC: vpc-xxxxxxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
Para obter instruções detalhadas, consulte [Gateways da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
**Etapa 4: configurar uma conexão de emparelhamento de VPC entre AWS-DS- e - - VPC01 AWS OnPrem VPC01**
Como você já criou dois VPCs anteriormente, precisará conectá-los em rede usando o peering de VPC usando os parâmetros especificados na tabela a seguir. Embora existam várias maneiras de conectar seu VPCs, este tutorial usará o VPC Peering. AWS [O Microsoft AD gerenciado oferece suporte a várias soluções para conectar você VPCs, algumas delas incluem [emparelhamento de VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), [Transit](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) Gateway e VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)
****
| |
| --- |
| Etiqueta de nome da conexão de emparelhamento: AWS-DS- VPC01 & -AWS- OnPrem -Peer VPC01 VPC (solicitante): vpc-xxxxxxxxxxxxxxxxxxxxx -DS- AWS VPC01 Conta: minha conta Região: esta região VPC (Aceitante): vpc-xxxxxxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
Para obter instruções sobre como criar uma conexão de emparelhamento de VPC com outra VPC em sua conta, consulte [Criar uma conexão de emparelhamento de VPC com outra VPC em sua conta](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local).
**Etapa 5: adicionar duas rotas à tabela de rotas principal de cada VPC**
Para que os Internet Gateways e a conexão de emparelhamento VPC criados nas etapas anteriores funcionem, você precisará atualizar a tabela de rotas principal de VPCs ambos usando os parâmetros especificados na tabela a seguir. Você adicionará duas rotas: 0.0.0.0/0, que roteará para todos os destinos não explicitamente conhecidos na tabela de rotas e 10.0.0.0/16 ou 10.100.0.0/16, que roteará para cada VPC pela conexão de emparelhamento de VPC estabelecida acima.
Você pode encontrar facilmente a tabela de rotas correta para cada VPC filtrando pela etiqueta de nome da VPC (AWS-DS- ou - -). VPC01 AWS OnPrem VPC01
****
| AWS-DS- informações VPC01 da rota 1 | AWS-DS- informações VPC01 da rota 2 | AWS- OnPrem - Informações sobre a VPC01 rota 1 | AWS- OnPrem - Informações sobre a VPC01 rota 2 |
| --- | --- | --- | --- |
| Destino: 0.0.0.0/0 Alvo: igw-xxxxxxxxxxxxxxxxx -DS- -IGW AWS VPC01 | Destino: 10.100.0.0/16 Alvo: pcx-xxxxxxxxxxxxxxxxx AWS-DS- & - - -Peer VPC01 AWS OnPrem VPC01 | Destino: 0.0.0.0/0 Alvo: igw-xxxxxxxxxxxxxxxxx AWS-Onprem- VPC01 | Destino: 10.0.0.0/16 Alvo: pcx-xxxxxxxxxxxxxxxxx AWS-DS- & - - -Peer VPC01 AWS OnPrem VPC01 |
Para obter instruções sobre como adicionar rotas a uma tabela de rotas da VPC, consulte [Adicionar e remover rotas de uma tabela de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes).
## Criação de grupos de segurança para instâncias do Amazon EC2
Por padrão, o AWS Managed Microsoft AD cria um grupo de segurança para gerenciar o tráfego entre seus controladores de domínio. Nesta seção, será necessário criar dois grupos de segurança (um para cada VPC) que serão usados para gerenciar o tráfego dentro da VPC para as instâncias do EC2 usando os parâmetros especificados nas tabelas a seguir. Você também adicionará uma regra que permite a entrada de um RDP (3389) de qualquer lugar e a entrada de todos os tipos de tráfego a partir da VPC local. Para obter mais informações, consulte [Grupos de segurança do Amazon EC2 para instâncias do Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html).
****
| AWS-DS- informações do grupo VPC01 de segurança: |
| --- |
| Nome do grupo de segurança: AWS DS Test Lab Security Group Descrição: Grupo de segurança do AWS DS Test Lab VPC: vpc-xxxxxxxxxxxxxxxxxxxxx -DS- AWS VPC01 |
**Regras de entrada de grupos de segurança para AWS-DS- VPC01**
****
| Tipo | Protocolo | Intervalo de portas | Fonte | Tipo de tráfego |
| --- | --- | --- | --- | --- |
| Regra personalizada de TCP | TCP | 3389 | Meu IP | Área de trabalho remota |
| Todo o tráfego | Tudo | Todos | 10.0.0.0/16 | Todo o tráfego de VPC local |
**Regras de saída de grupos de segurança para AWS-DS- VPC01**
****
| Tipo | Protocolo | Intervalo de portas | Destino | Tipo de tráfego |
| --- | --- | --- | --- | --- |
| Todo o tráfego | Tudo | Tudo | 0.0.0.0/0 | Todo o tráfego |
****
| AWS- OnPrem - informações do grupo de VPC01 segurança: |
| --- |
| Nome do grupo de segurança: Grupo de Segurança do AWS OnPrem Test Lab. Descrição: Grupo de Segurança do AWS OnPrem Test Lab. VPC: vpc-xxxxxxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
**Regras de entrada de grupos de segurança para AWS- - OnPrem VPC01**
****
| Tipo | Protocolo | Intervalo de portas | Fonte | Tipo de tráfego |
| --- | --- | --- | --- | --- |
| Regra personalizada de TCP | TCP | 3389 | Meu IP | Área de trabalho remota |
| Regra personalizada de TCP | TCP | 53 | 10.0.0.0/16 | DNS |
| Regra personalizada de TCP | TCP | 88 | 10.0.0.0/16 | Kerberos |
| Regra personalizada de TCP | TCP | 389 | 10.0.0.0/16 | LDAP |
| Regra personalizada de TCP | TCP | 464 | 10.0.0.0/16 | Alterar/definir senha do Kerberos |
| Regra personalizada de TCP | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
| Regra personalizada de TCP | TCP | 135 | 10.0.0.0/16 | Replicação |
| Regra personalizada de TCP | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| Regra personalizada de TCP | TCP | 49152 – 65535 | 10.0.0.0/16 | RPC |
| Regra personalizada de TCP | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC e LDAP GC SSL |
| Regra personalizada de UDP | UDP | 53 | 10.0.0.0/16 | DNS |
| Regra personalizada de UDP | UDP | 88 | 10.0.0.0/16 | Kerberos |
| Regra personalizada de UDP | UDP | 123 | 10.0.0.0/16 | Horário do Windows |
| Regra personalizada de UDP | UDP | 389 | 10.0.0.0/16 | LDAP |
| Regra personalizada de UDP | UDP | 464 | 10.0.0.0/16 | Alterar/definir senha do Kerberos |
| Todo o tráfego | Tudo | Todos | 10.100.0.0/16 | Todo o tráfego de VPC local |
**Regras de saída de grupos de segurança para AWS- - OnPrem VPC01**
****
| Tipo | Protocolo | Intervalo de portas | Destino | Tipo de tráfego |
| --- | --- | --- | --- | --- |
| Todo o tráfego | Tudo | Tudo | 0.0.0.0/0 | Todo o tráfego |
Para obter instruções detalhadas sobre como criar e adicionar regras aos grupos de segurança, consulte [Trabalhar com grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups):
# Etapa 2: Criar seu Microsoft AD Active Directory AWS gerenciado
Você pode usar três métodos diferentes para criar o seu diretório. Você pode usar o Console de gerenciamento da AWS procedimento (recomendado para este tutorial) ou usar os AWS Tools for Windows PowerShell procedimentos AWS CLI ou para criar seu diretório.
**Método 1: Para criar seu diretório AWS gerenciado do Microsoft AD (Console de gerenciamento da AWS)**
1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), escolha **Diretórios** e escolha **Configurar diretório**.
1. Na página **Selecionar tipo do diretório**, escolha **AWS Managed Microsoft AD** e, em seguida, **Próximo**.
1. Na página **Enter directory information (Inserir informações do diretório)**, forneça as informações a seguir e selecione **Next (Próximo)**.
+ Em **Edition (Edição)**, selecione **Standard Edition** ou **Enterprise Edition**. Para obter mais informações sobre edições, consulte [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad).
+ Em **Directory DNS name (Nome do DNS do diretório)**, digite **corp.example.com**.
+ Em **Directory NetBIOS name (Nome NetBIOS do diretório)**, digite **corp**.
+ Em **Directory description (Descrição do diretório)**, digite **AWS DS Managed**.
+ Em **Senha do administrador**, digite a senha que deseja usar para esta conta. Em **Confirmar senha**, digite novamente a senha. Esta conta de **administrador** é criada automaticamente durante o processo de criação do diretório. A senha não pode incluir a palavra *admin*. A senha do administrador do diretório diferencia maiúsculas de minúsculas e deve ter de 8 a 64 caracteres, inclusive. Ela também precisa conter pelo menos um caractere de três das quatro categorias a seguir:
+ Letras minúsculas (a-z)
+ Letras maiúsculas (A-Z)
+ Números (0-9)
+ Caracteres não alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
1. Na página **Choose VPC and subnets (Selecionar VPC e sub-redes)**, forneça as seguintes informações e selecione **Next (Próximo)**.
+ Para **VPC**, escolha a opção que começa com **AWS-DS- VPC01** e termina com **(**10.0.0.0/16).
+ Em **Subnets (Sub-redes)**, escolha as sub-redes públicas **10.0.0.0/24** e **10.0.1.0/24**.
1. Na página **Review & create (Revisar e criar)**, analise as informações do diretório e faça as alterações necessárias. Quando as informações estiverem corretas, escolha **Create directory (Criar diretório)**. A criação do diretório leva de 20 a 40 minutos. Depois de criado, o valor de **Status** é alterado para **Ativo**.
**Método 2: Para criar seu Microsoft AD AWS gerenciado (PowerShell) (opcional)**
1. Abra o PowerShell.
1. Digite o seguinte comando. Certifique-se de usar os valores fornecidos na Etapa 4 do Console de gerenciamento da AWS procedimento anterior.
```
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
```
**Método 3: Para criar seu Microsoft AD AWS gerenciado (AWS CLI) (opcional)**
1. Abra AWS CLI o.
1. Digite o seguinte comando. Certifique-se de usar os valores fornecidos na Etapa 4 do Console de gerenciamento da AWS procedimento anterior.
```
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
```
# Etapa 3: Implantar uma instância do Amazon EC2 para gerenciar seu AWS Microsoft AD Active Directory gerenciado
Para este laboratório, usaremos instâncias do Amazon EC2 que têm endereços IP públicos a fim de facilitar o acesso da instância de gerenciamento de qualquer lugar. Em um cenário de produção, você pode usar instâncias em uma VPC privada que estão acessíveis somente por uma VPN ou pelo link do Direct Connect . Não é necessário que a instância tenha um endereço IP público.
Nesta seção você passará por diversas tarefas pós-implantação necessárias para que os computadores cliente se conectem ao seu domínio usando o Windows Server na nova instância do EC2. Você usará o Windows Server na próxima etapa para verificar se o laboratório está operacional.
## Opcional: crie um conjunto de opções de DHCP em AWS-DS- VPC01 para seu diretório
Neste procedimento opcional, você configura um escopo de opção DHCP para que as instâncias do EC2 em sua VPC usem automaticamente seu AWS Microsoft AD gerenciado para resolução de DNS. Para obter mais informações, consulte [Conjuntos de opções de DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).
**Para criar um conjunto de opções de DHCP para o seu diretório**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Conjuntos de opções DHCP** e, então, selecione **Criar conjuntos de opções DHCP**.
1. Na página **Create DHCP options set (Criar conjunto de opções DHCP)**, forneça os seguintes valores para o seu diretório:
+ Para **Name** (Nome), digite **AWS DS DHCP**.
+ Em **Domain name (Nome do domínio)**, digite **corp.example.com**.
+ Em **Servidores de nomes de domínio**, digite os endereços IP dos servidores DNS do diretório da AWS fornecido.
**nota**
Para encontrar esses endereços, acesse a página Directory Service **Diretórios** e escolha a ID do diretório aplicável. Na página **Detalhes**, identifique e use os IPs que são exibidos no **endereço DNS**.
Opcionalmente, para encontrar esses endereços, acesse a página **Diretórios** do Directory Service e escolha o ID do diretório aplicável. Em seguida, escolha **Escalar e compartilhar**. Em **Controladores de domínio**, identifique e use os IPs que são exibidos no **endereço IP**.
+ Deixe em branco as configurações dos campos **Servidores NTP**, **Servidores de nomes NetBIOS** e **Tipo de nó NetBIOS**.
1. Selecione **Create DHCP options set (Criar conjunto de opções DHCP)** e selecione **Close (Fechar)**. O novo conjunto de opções de DHCP é exibido na sua lista de opções de DHCP.
1. Anote o ID do novo conjunto de opções de DHCP (**dopt- *xxxxxxxx***). Você usará esse ID no final deste procedimento quando associar o novo conjunto de opções à sua VPC.
**nota**
A associação direta a domínios funciona sem que seja necessário configurar um conjunto de opções de DHCP.
1. No painel de navegação, escolha **Seu VPCs**.
1. Na lista de VPCs, selecione **AWS DS VPC**, escolha **Ações** e, em seguida, escolha **Editar conjunto de opções DHCP**.
1. Na página **Edit DHCP options set (Editar o conjunto de opções DHCP)**, selecione o conjunto de opções que você gravou na etapa 5 e selecione **Save (Salvar)**.
## Crie uma função para unir instâncias do Windows ao seu domínio AWS gerenciado do Microsoft AD
Use este procedimento para configurar um perfil que associe uma instância do Amazon EC2 para Windows a um domínio. Para obter mais informações, consulte [Unindo uma instância Windows do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado](launching_instance.md).
**Para configurar o EC2 para ingressar instâncias do Windows em seu domínio**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.
1. Em **Select type of trusted entity (Selecionar o tipo de entidade confiável)**, escolha **AWS service (serviço)**.
1. Imediatamente em **Choose the service that will use this role (Escolher o serviço que usará essa função)**, selecione **EC2** e **Next: Permissions (Próximo: permissões)**.
1. Na página **Attached permissions policy (Política de permissões anexada)**, faça o seguinte:
+ Selecione a caixa ao lado da política SSMManaged InstanceCore gerenciada **da Amazon**. Essa política fornece as permissões mínimas necessárias para usar o serviço Systems Manager.
+ Selecione a caixa ao lado da política SSMDirectory ServiceAccess gerenciada da **Amazon**. A política fornece as permissões para ingressar instâncias em um Active Directory gerenciado pelo Directory Service.
Para obter informações sobre essas políticas gerenciadas e outras políticas que podem ser anexadas a um perfil de instância do IAM para o Systems Manager, consulte [Criar um perfil de instância do IAM para o Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) no *Guia do usuário do AWS Systems Manager *. Para obter mais informações sobre políticas gerenciadas, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)no *Guia do usuário do IAM*.
1. Escolha **Next: Tags (Próximo: tags)**.
1. (Opcional) Adicione um ou mais pares de chave-valor de tag para organizar, rastrear ou controlar o acesso para esta função e selecione **Next: Review (Próximo: revisar)**.
1. Em **Nome da função**, insira um nome para a função que descreva que ela é usada para unir instâncias a um domínio, como **EC2DomainJoin**.
1. (Opcional ) Em **Descrição da função**, insira uma descrição.
1. Selecione **Create role** (Criar função). O sistema faz com que você retorne para a página **Roles**.
## Criação de uma instância do Amazon EC2 e associação automática do diretório
Neste procedimento você configurará um sistema do Windows Server em uma instância do EC2 que poderá ser usado posteriormente para administrar usuários, grupos e políticas no Active Directory.
**Para criar uma instância do EC2 e ingressar automaticamente no diretório**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Escolha **Executar instância**.
1. Na página **Etapa 1**, ao lado de **Microsoft Windows Server 2019 Base - ami-**, *xxxxxxxxxxxxxxxxx* escolha **Selecionar**.
1. Na página **Step 2 (Etapa 2)**, selecione **t3.micro** (observe que você pode escolher um tipo de instância maior) e selecione **Next: Configure Instance Details (Próximo: configurar os detalhes da instância)**.
1. Na página **Etapa 3**, faça o seguinte:
+ Em **Rede**, escolha a VPC que termina com **AWS-DS- VPC01 (por exemplo, vpc- *xxxxxxxxxxxxxxxxx*** **\$1 AWS-DS-**). VPC01
+ Em **Sub-rede**, escolha **Sub-rede pública 1**, que deve ser pré-configurada para sua zona de disponibilidade preferida (por exemplo, **sub-rede- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS- -Subnet01 \$1**). VPC01 *us-west-2a*
+ Em **Atribuir IP público automaticamente**, escolha **Habilitar** (se a configuração de sub-rede não estiver definida por padrão).
+ Em **Diretório de associação de domínio**, escolha **corp.example.com (**d-). *xxxxxxxxxx*
+ Para a **função do IAM**, escolha o nome em que você atribuiu à função da instância[Crie uma função para unir instâncias do Windows ao seu domínio AWS gerenciado do Microsoft AD](#configureec2), como **EC2DomainJoin**.
+ Deixe as demais configurações com os valores padrão.
+ Escolha **Next: Add Storage** (Próximo: adicionar armazenamento).
1. Na página **Etapa 4**, mantenha as configurações padrão e escolha **Próximo: adicionar tags**.
1. Na página **Etapa 5**, selecione **Adicionar tag**. Em **Chave**, digite **corp.example.com-mgmt** e escolha **Próximo: configurar grupo de segurança**.
1. Na página **Etapa 6**, escolha **Selecionar um grupo de segurança existente**, selecione **Grupo de segurança do laboratório de teste do AWS DS)** (que você configurou anteriormente no [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) e escolha **Revisar e iniciar** para revisar a instância.
1. Na página **Etapa 7**, examine a página e escolha **Iniciar**.
1. Na caixa de diálogo **Selecionar um par de chaves existente ou criar um novo par de chaves**, faça o seguinte:
+ Escolha **Selecionar um par de chaves existente**.
+ Em **Selecionar um par de chaves**, escolha **AWS-DS-KP**.
+ Marque a caixa de seleção **Eu reconheço...**.
+ Selecione **Launch Instances**.
1. Escolha **Visualizar instâncias** para retornar ao console do Amazon EC2 e visualizar o status da implantação.
## Instalar as ferramentas do Active Directory na instância do EC2
Há dois métodos para instalar as ferramentas de gerenciamento de domínio do Active Directory em sua instância do EC2. Você pode usar a interface de usuário do gerenciador de servidores (opção recomendada para este tutorial) ou o PowerShell.
**Para instalar as ferramentas do Active Directory na instância do EC2 (Gerenciador de servidores)**
1. No console do Amazon EC2, escolha **Instâncias**, selecione a instância que você acabou de criar e escolha **Conectar**.
1. Na caixa de diálogo **Conectar-se à sua instância**, selecione **Obter senha** para recuperar sua senha, se ainda não tiver feito isso, e selecione **Fazer download do arquivo da Área de Trabalho Remota**.
1. Na caixa de diálogo **Segurança do Windows**, digite suas credenciais de administrador local para o computador do Windows Server fazer login (por exemplo, **administrator**).
1. No menu **Iniciar**, escolha **Gerenciador de servidores**.
1. No **Painel**, escolha **Adicionar funções e recursos**.
1. No **Assistente de adição de funções e recursos**, selecione **Próximo**.
1. Na página **Selecionar tipo de instalação**, escolha **Instalação baseada em função ou recurso** e **Próximo**.
1. Na página **Select destination server (Selecionar servidor de destino)**, verifique se o servidor local está selecionado e escolha **Next (Próximo)**.
1. Na página **Selecionar funções de servidor**, escolha **Próximo**.
1. Na página **Selecionar recursos**, faça o seguinte:
+ Marque a caixa de seleção **Gerenciamento de políticas de grupo**.
+ Expanda **Ferramentas de administração de servidores remotos** e **Ferramentas de administração de funções**.
+ Marque a caixa de seleção **Ferramentas AD DS e AD LDS**.
+ Marque a caixa de seleção **Ferramentas do servidor DNS**.
+ Escolha **Próximo**.
1. Na página **Confirmar seleções de instalação**, reveja informações e escolha **Instalar**. Quando a instalação do recurso for concluída, as novas ferramentas ou snap-ins a seguir estarão disponíveis na pasta de ferramentas administrativas do Windows no menu Iniciar.
+ Central Administrativa do Active Directory
+ Domínios e confianças do Ative Directory
+ Módulo Active Directory para PowerShell
+ Sites e serviços do Active Directory
+ Usuários e computadores do Active Directory
+ ADSI Edit
+ DNS
+ Gerenciamento de políticas de grupo
**Para instalar as ferramentas do Active Directory na instância do EC2 (PowerShell) (Opcional)**
1. Inicie PowerShell.
1. Digite o seguinte comando.
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```
# Etapa 4: verificar se o laboratório de teste básico está operacional
Use o procedimento a seguir para verificar o laboratório de teste foi configurado com êxito antes de acrescentar módulos guia de laboratórios de teste adicionais. Esse procedimento verifica se o Windows Server está configurado adequadamente, pode se conectar ao domínio corp.example.com e ser usado para administrar sua floresta gerenciada do Microsoft AD. AWS
**Para verificar se o laboratório de teste está operacional**
1. Saia da instância do EC2 em que você estava registrado como o administrador local.
1. De volta ao console do Amazon EC2, escolha **Instâncias** no painel de navegação. Depois, selecione a instância que você criou. Selecione **Conectar**.
1. Na caixa de diálogo **Conectar à sua instância**, escolha **Fazer download do Remote Desktop File**.
1. Na caixa de diálogo **Segurança do Windows**, digite suas credenciais de administrador para o domínio CORP fazer login (por exemplo, **corp\$1admin**).
1. Assim que tiver feito log in, no menu **Start (Iniciar)**, em **Windows Administrative Tools (Ferramentas administrativas do Windows)**, escolha **Active Directory Users and Computers (Usuários e computadores do Active Directory)**.
1. Você deve ver **corp.example.com** exibido com todas as contas padrão OUs e associadas a um novo domínio. Em **Controladores de domínio**, observe os nomes dos controladores de domínio que foram criados automaticamente quando você criou seu AWS Microsoft AD gerenciado na Etapa 2 deste tutorial.
Parabéns\$1 Seu ambiente de laboratório de teste base do Microsoft AD AWS gerenciado agora foi configurado. Você está pronto para começar a adicionar o próximo laboratório de teste na série.
Próximo tutorial: [Tutorial: Criando uma relação de confiança do Microsoft AD AWS gerenciado para uma instalação autogerenciada do Active Directory no Amazon EC2](ms_ad_tutorial_test_lab_trust.md)
# Tutorial: Criando uma relação de confiança do Microsoft AD AWS gerenciado para uma instalação autogerenciada do Active Directory no Amazon EC2
Neste tutorial, você aprende como criar uma relação de confiança entre a floresta do AWS Directory Service for Microsoft Active Directory que você criou no [tutorial do Base](ms_ad_tutorial_test_lab_base.md). Você também aprenderá a criar uma nova floresta nativa do Active Directory em um Windows Server no Amazon EC2. Conforme mostrado na ilustração a seguir, o laboratório que você cria a partir deste tutorial é o segundo alicerce necessário ao configurar um laboratório de teste completo do Microsoft AD AWS gerenciado. Você pode usar o laboratório de testes para testar suas soluções baseadas AWS em nuvem pura ou híbrida.
Você só precisará criar este tutorial uma vez. Depois disso, você poderá adicionar tutoriais opcionais quando necessário para obter mais experiência.
![\[Etapas para criar uma relação de confiança de um Microsoft Active Directory para um Active Directory autogerenciado: configurar o ambiente, criar o Microsoft Active Directory, implantar uma instância do Amazon EC2 e testar o laboratório.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)
**[Etapa 1: configurar o ambiente para relações de confiança](microsoftadtruststep1.md)**
Antes de estabelecer relações de confiança entre uma nova floresta do Active Directory e a floresta do AWS Managed Microsoft AD criada no [Tutorial básico](ms_ad_tutorial_test_lab_base.md), será necessário preparar o ambiente do Amazon EC2. Para fazer isso, primeiro crie um servidor do Windows Server 2019, promova esse servidor a um controlador de domínio e configure a VPC adequadamente.
**[Etapa 2: criar as relações de confiança](microsoftadtruststep2.md)**
Nesta etapa, você cria uma relação de confiança florestal bidirecional entre sua floresta recém-criada do Active Directory hospedada no Amazon EC2 e sua floresta AWS gerenciada do Microsoft AD no. AWS
**[Etapa 3: verificar a confiança](microsoftadtruststep3.md)**
Finalmente, como administrador, você usa o Directory Service console para verificar se as novas relações de confiança estão operacionais.
# Etapa 1: configurar o ambiente para relações de confiança
Nesta seção, você configura seu ambiente Amazon EC2, implanta sua nova floresta e prepara sua VPC para relações de confiança. AWS
![\[Ambiente do Amazon EC2 com a Amazon VPC, as sub-redes e os gateways da Internet para implantar uma nova floresta e estabelecer uma relação de confiança.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
## Criar uma instância do EC2 do Windows Server 2019
Siga o procedimento a seguir para criar um servidor membro do Windows Server 2019 no Amazon EC2.
**Como criar uma instância do EC2 do Windows Server 2019**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No console do Amazon EC2, escolha **Iniciar instância**.
1. Na página **Etapa 1**, localize **Microsoft Windows Server 2019 Base - ami- *xxxxxxxxxxxxxxxxx*** na lista. Em seguida, escolha **Selecionar**.
1. Na página **Etapa 2**, selecione **t2.large** e escolha **Próximo: configurar os detalhes da instância**.
1. Na página **Etapa 3**, faça o seguinte:
+ Em **Rede**, selecione **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem - VPC01** (que você configurou anteriormente no [tutorial do Base](microsoftadbasestep1.md#createvpc)).
+ Em **Sub-rede**, selecione **sub-rede- *xxxxxxxxxxxxxxxxx* \$1 AWS- - VPC01 -Subnet01 \$1 OnPrem - -**. AWS OnPrem VPC01
+ Para a lista **Atribuir IP público automaticamente**, escolha **Habilitar** (se a configuração de sub-rede não estiver definida como **Habilitar** por padrão).
+ Deixe as demais configurações com os valores padrão.
+ Escolha **Next: Add Storage** (Próximo: adicionar armazenamento).
1. Na página **Etapa 4**, mantenha as configurações padrão e escolha **Próximo: adicionar tags**.
1. Na página **Etapa 5**, selecione **Adicionar tag**. Em **Chave**, digite **example.local-DC01** e escolha **Próximo: configurar grupo de segurança**.
1. Na página **Etapa 6**, escolha **Selecionar um grupo de segurança existente**, selecione **Grupo de segurança do laboratório de teste do AWS on premises)** (que você configurou anteriormente no [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) e escolha **Revisar e iniciar** para revisar sua instância.
1. Na página **Etapa 7**, examine a página e escolha **Iniciar**.
1. Na caixa de diálogo **Selecionar um par de chaves existente ou criar um novo par de chaves**, faça o seguinte:
+ Escolha **Selecionar um par de chaves existente**.
+ Em **Selecionar um par de chaves**, escolha **AWS-DS-KP** (que você configurou anteriormente no [Tutorial básico](microsoftadbasestep1.md#createkeypair2)).
+ Marque a caixa de seleção **Eu reconheço...**.
+ Selecione **Launch Instances**.
1. Escolha **Visualizar instâncias** para retornar ao console do Amazon EC2 e visualizar o status da implantação.
## Promover seu servidor a um controlador de domínio
Antes de criar confianças, você deve criar e implantar o primeiro controlador de domínio para uma nova floresta. Durante esse processo, configure uma nova floresta do Active Directory, instale o DNS e defina esse servidor para usar o servidor DNS local para resolução de nome. Você deve reiniciar o servidor no final deste procedimento.
**nota**
Se você quiser criar um controlador de domínio AWS que se replique com sua rede local, primeiro você deve unir manualmente a instância do EC2 ao seu domínio local. Depois disso, você pode promover o servidor a um controlador de domínio.
**Para promover seu servidor a um controlador de domínio**
1. No console do Amazon EC2, escolha **Instâncias**, selecione a instância que você acabou de criar e escolha **Conectar**.
1. Na caixa de diálogo **Conectar à sua instância**, escolha **Fazer download do Remote Desktop File**.
1. Na caixa de diálogo **Segurança do Windows**, digite suas credenciais de administrador local para o computador do Windows Server fazer login (por exemplo, **administrator**). Se você ainda não tem a senha de administrador local, volte ao console do Amazon EC2, clique com o botão direito na instância e escolha **Obter senha do Windows**. Navegue até seu `AWS DS KP.pem` arquivo ou sua chave pessoal `.pem` e escolha **Descriptografar senha**.
1. No menu **Iniciar**, escolha **Gerenciador de servidores**.
1. No **Painel**, escolha **Adicionar funções e recursos**.
1. No **Assistente de adição de funções e recursos**, selecione **Próximo**.
1. Na página **Selecionar tipo de instalação**, escolha **Instalação baseada em função ou recurso** e **Próximo**.
1. Na página **Select destination server (Selecionar servidor de destino)**, verifique se o servidor local está selecionado e escolha **Next (Próximo)**.
1. Na página **Selecionar funções do servidor**, selecione **Serviços de domínio do Active Directory**. Na caixa de diálogo **Assistente de adição de funções e recursos**, verifique se a caixa de seleção **Incluir ferramentas de gerenciamento (se aplicável)** está marcada. Escolha **Adicionar recursos** e **Próximo**.
1. Na página **Select features** (Selecionar recursos), escolha **Next** (Próximo).
1. Na página **Serviços do domínio do Active Directory**, escolha **Próximo**.
1. Na página **Confirmar seleções de instalação**, escolha **Instalar**.
1. Depois que os binários do Active Directory estiverem instalados, escolha **Fechar**.
1. Quando o Gerenciador de Servidores for aberto, procure um sinalizador na parte superior, ao lado da palavra **Gerenciar**. Quando o sinalizador ficar amarelo, o servidor estará pronto para ser promovido.
1. Escolha o sinalizador amarelo e **Promover este servidor a um controlador de domínio**.
1. Na página **Configuração de implantação**, escolha **Adicionar uma nova floresta**. Em **Nome do domínio raiz**, digite **example.local** e escolha **Próximo**.
1. Na página **Opções do controlador de domínio**, faça o seguinte:
+ Em **Nível funcional da floresta** e **Nível funcional do domínio**, escolha **Windows Server 2016**.
+ Em **Especificar recursos do controlador de domínio**, verifique se o **Servidor DNS** e o **Catálogo global (GC)** estão selecionados.
+ Digite e confirme uma senha do Directory Services Restore Mode (DSRM). Escolha **Próximo**.
1. Na página **Opções de DNS**, ignore o aviso sobre a delegação e escolha **Próximo**.
1. Na página **Opções adicionais**, verifique se **EXAMPLE** está listado como nome de NetBios domínio.
1. Na página **Caminhos**, mantenha os padrões e escolha **Próximo**.
1. Na página **Opções de análise**, escolha **Próximo**. Agora o servidor verifica se todos os pré-requisitos do controlador de domínio foram atendidos. Alguns avisos podem ser exibidos, mas você pode ignorá-los.
1. Escolha **Instalar**. Após a conclusão da instalação, o servidor é reiniciado e se transforma em um controlador de domínio funcional.
## Configurar a VPC
Os três procedimentos a seguir orientam sobre as etapas para configurar sua VPC para conectividade com a AWS.
**Para configurar as regras de saída da VPC**
1. [No [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), anote o ID do diretório AWS gerenciado do Microsoft AD para corp.example.com que você criou anteriormente no tutorial do Base.](microsoftadbasestep2.md)
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Security Groups (Grupos de segurança)**.
1. Pesquise seu ID de diretório AWS gerenciado do Microsoft AD. Nos resultados da pesquisa, selecione o item com a descrição do **grupo de segurança AWS criado para controladores de *xxxxxx* diretório d.**
**nota**
Esse grupo de segurança foi criado automaticamente quando você criou seu diretório.
1. Escolha a guia **Outbond Rules (Regras de saída)** daquele grupo de segurança. Escolha **Editar**, **Adicionar outra regra** e adicione os seguintes valores:
+ Em **Tipo**, escolha **Todo o tráfego**.
+ Em **Destination**, digite **0.0.0.0/0**.
+ Deixe as demais configurações com os valores padrão.
+ Selecione **Salvar**.
**Para verificar se a pré-autenticação Kerberos está habilitada**
1. No controlador de domínio **example.local**, abra o **Gerenciador de Servidores**.
1. No menu **Tools**, escolha **Active Directory Users and Computers (Usuários e computadores do Active Directory)**.
1. Navegue até o diretório **Users (Usuários)**, clique com o botão direito do mouse em qualquer usuário e selecione **Properties (Propriedades)** e escolha a guia **Account (Conta)**. Na lista **Account options (Opções de conta)**, role para baixo e confirme se a opção **Do not require Kerberos preauthentication (Não exige pré-autenticação do Kerberos)** **não** está selecionada.
1. Siga as mesmas etapas para o domínio **corp.example.com** da instância **corp.example.com-mgmt**.
**Para configurar encaminhadores condicionais de DNS**
**nota**
Um encaminhador condicional é um servidor DNS em uma rede que é usado para encaminhar consultas DNS de acordo com o nome de domínio DNS na consulta. Por exemplo, um servidor DNS pode ser configurado para encaminhar todas as consultas recebidas para nomes terminados com widgets.example.com para o endereço IP de um servidor DNS específico ou para os endereços IP de vários servidores DNS.
1. Abra o [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. No painel de navegação, selecionar **Diretórios**.
1. Selecione o **ID do diretório** do seu Microsoft AD AWS gerenciado.
1. Anote o nome completo do domínio (FQDN), **corp.example.com** e os endereços DNS do seu diretório.
1. Agora, retorne ao controlador de domínio **example.local** e abra o **Gerenciador de Servidores**.
1. No menu **Ferramentas**, escolha **DNS**.
1. Na árvore do console, expanda o servidor DNS do domínio para o qual você está configurando a confiança e navegue até **Encaminhadores condicionais**.
1. Clique com o botão direito em **Encaminhadores condicionais** e escolha **Novo encaminhador condicional**.
1. No domínio DNS, digite **corp.example.com**.
1. Em **Endereços IP dos servidores primários**, escolha **, digite o primeiro endereço DNS do seu diretório AWS gerenciado do Microsoft AD (que você anotou no procedimento anterior) e pressione **Enter**. Faça o mesmo para o segundo endereço DNS. Depois de digitar os endereços DNS, você poderá ver um erro como "tempo limite" ou "não foi possível resolver". Em geral, você pode ignorar esses erros.
1. Marque a caixa de seleção **Store this conditional forwarder in Active Directory, and replicate it as follows**. No menu suspenso, escolha **Todos os servidores DNS nesta floresta** e **OK**.
# Etapa 2: criar as relações de confiança
Nesta seção, você cria duas confianças separadas para a floresta. Uma relação de confiança é criada a partir do domínio do Active Directory na sua instância do EC2 e a outra a partir do seu Microsoft AD AWS gerenciado em AWS.
![\[Confiança bidirecional entre corp.example.com e example.local\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)
**Para criar a confiança do seu domínio EC2 em seu Microsoft AD AWS gerenciado**
1. Faça login em **example.local**.
1. Abra o **Gerenciador de Servidores** e, na árvore do console, escolha **DNS**. Anote o IPv4 endereço listado para o servidor. Você precisará dele no próximo procedimento, quando criar um encaminhador condicional de **corp.example.com** para o diretório **example.local**.
1. No menu **Ferramentas**, escolha **Domínios e confianças do Ative Directory**.
1. Na árvore do console, clique com o botão direito em **example.local** e escolha **Propriedades**.
1. Na guia **Confianças**, escolha **Nova confiança** e escolha **Próximo**.
1. Na página **Nome da confiança**, digite **corp.example.com** e escolha **Próximo**.
1. Na página **Tipo de confiança**, escolha **Confiança da floresta** e **Próximo**.
**nota**
AWS O Microsoft AD gerenciado também oferece suporte a relações de confiança externas. Contudo, para os propósitos deste tutorial, você criará uma confiança de floresta bidirecional.
1. Na página **Direção da confiança**, escolha **Bidirecional** e **Próximo**.
**nota**
Se você decidir tentar isso posteriormente com uma confiança unidirecional, as direções de confiança deverão estar configuradas corretamente (Saída em domínio confiável, Entrada em domínio confiável). Para obter informações gerais, consulte [Entender a direção da relação de confiança](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) no site da Microsoft.
1. Na página **Lados da confiança**, escolha **Apenas este domínio** e **Próximo**.
1. Na página **Nível de autenticação de confiança de saída**, escolha **Autenticação em toda a floresta** e, depois, **Próximo**.
**nota**
Embora a **Selective authentication (Autenticação seletiva)** seja uma opção, para a simplicidade deste tutorial, recomendamos que você não a habilite aqui. Quando configurada, ela restringe o acesso por uma confiança externa ou de floresta apenas aos usuários em um domínio ou uma floresta confiável que receberam explicitamente permissões de autenticação a objetos de computador (computadores de recurso) residentes no domínio ou na floresta confiável. Para obter mais informações, consulte [Configurar autenticação seletiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
1. Na página **Senha da confiança**, digite a senha da confiança duas vezes e escolha **Próximo**. Você usará essa mesma senha no próximo procedimento.
1. Na página **Seleções de confiança concluídas**, revise os resultados e escolha **Próximo**.
1. Na página **Criação da confiança concluída**, revise os resultados e escolha **Próximo**.
1. Na página **Confirmar confiança de saída**, escolha **Não confirmar a confiança de saída**. Em seguida, escolha **Próximo**
1. Na página **Confirmar confiança de entrada**, escolha **Não confirmar a confiança de entrada**. Em seguida, escolha **Próximo**
1. Na página **Assistente de conclusão da nova confiança**, escolha **Concluir**.
**nota**
Relações de confiança são um recurso global do AWS Managed Microsoft AD. Se você estiver usando o [Configurar a replicação multirregional para o AWS Microsoft AD gerenciado](ms_ad_configure_multi_region_replication.md), os procedimentos a seguir deverão ser executados no [Região principal](multi-region-global-primary-additional.md#multi-region-primary). As alterações serão aplicadas automaticamente em todas as regiões replicadas. Para obter mais informações, consulte [Recursos globais versus regionais](multi-region-global-region-features.md).
**Para criar a confiança do seu Microsoft AD AWS gerenciado em seu domínio EC2**
1. Abra o [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Escolha o diretório **corp.example.com**.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região principal e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Trust relationships (Relações de confiança)**, selecione **Action (Ação)** e selecione **Add trust relationship (Adicionar relação de confiança)**.
1. Na caixa de diálogo **Adicionar uma relação de confiança**, faça o seguinte:
+ Em **Trust type (Tipo de confiança)**, selecione **Forest trust (Confiança de floresta)**.
**nota**
Certifique-se de que o **tipo de confiança** escolhido aqui corresponda ao mesmo tipo de confiança configurado no procedimento anterior (Para criar a confiança do seu domínio EC2 para o Microsoft AD AWS gerenciado).
+ Em **Existing or new remote domain name (Nome de domínio remoto existente ou novo)**, digite **example.local**.
+ Em **Senha da confiança**, digite a mesma senha que você forneceu no procedimento anterior.
+ Em **Trust direction (Direção da confiança)**, selecione **Two-Way (Bidirecional)**.
**nota**
Se você decidir tentar isso posteriormente com uma confiança unidirecional, as direções de confiança deverão estar configuradas corretamente (Saída em domínio confiável, Entrada em domínio confiável). Para obter informações gerais, consulte [Entender a direção da relação de confiança](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) no site da Microsoft.
Embora a **Selective authentication (Autenticação seletiva)** seja uma opção, para a simplicidade deste tutorial, recomendamos que você não a habilite aqui. Quando configurada, ela restringe o acesso por uma confiança externa ou de floresta apenas aos usuários em um domínio ou uma floresta confiável que receberam explicitamente permissões de autenticação a objetos de computador (computadores de recurso) residentes no domínio ou na floresta confiável. Para obter mais informações, consulte [Configurar autenticação seletiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
+ Em **Conditional forwarder (Encaminhador condicional)**, digite o endereço IP do servidor DNS na floresta **example.local** (que você anotou no procedimento anterior).
**nota**
Um encaminhador condicional é um servidor DNS em uma rede que é usado para encaminhar consultas DNS de acordo com o nome de domínio DNS na consulta. Por exemplo, um servidor DNS pode ser configurado para encaminhar todas as consultas recebidas para nomes terminados com widgets.example.com para o endereço IP de um servidor DNS específico ou para os endereços IP de vários servidores DNS.
1. Escolha **Adicionar**.
# Etapa 3: verificar a confiança
Nesta seção, você testará se as relações de confiança foram configuradas com êxito entre a AWS e o Active Directory no Amazon EC2.
**Para verificar a confiança**
1. Abra o [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Escolha o diretório **corp.example.com**.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região principal e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Trust relationships** (Relações de confiança), selecione a relação de confiança que você acabou de criar.
1. Escolha **Ações** e **Verificar relação de confiança**.
Após a conclusão da verificação, você deverá ver **Verificada** na coluna **Status**.
Parabéns por concluir este tutorial\$1 Agora você tem um ambiente do Active Directory multifloresta funcional a partir do qual você pode começar a testar vários cenários. Outros tutoriais de laboratório de teste estão planejados para 2018. Portanto, fique atento às novidades.