As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Tutorial: Criando uma relação de confiança do Microsoft AD AWS gerenciado para uma instalação autogerenciada do Active Directory no Amazon EC2
Neste tutorial, você aprende como criar uma relação de confiança entre a floresta do AWS Directory Service for Microsoft Active Directory que você criou no [tutorial do Base](ms_ad_tutorial_test_lab_base.md). Você também aprenderá a criar uma nova floresta nativa do Active Directory em um Windows Server no Amazon EC2. Conforme mostrado na ilustração a seguir, o laboratório que você cria a partir deste tutorial é o segundo alicerce necessário ao configurar um laboratório de teste completo do Microsoft AD AWS gerenciado. Você pode usar o laboratório de testes para testar suas soluções baseadas AWS em nuvem pura ou híbrida.
Você só precisará criar este tutorial uma vez. Depois disso, você poderá adicionar tutoriais opcionais quando necessário para obter mais experiência.
![\[Etapas para criar uma relação de confiança de um Microsoft Active Directory para um Active Directory autogerenciado: configurar o ambiente, criar o Microsoft Active Directory, implantar uma instância do Amazon EC2 e testar o laboratório.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)
**[Etapa 1: configurar o ambiente para relações de confiança](microsoftadtruststep1.md)**
Antes de estabelecer relações de confiança entre uma nova floresta do Active Directory e a floresta do AWS Managed Microsoft AD criada no [Tutorial básico](ms_ad_tutorial_test_lab_base.md), será necessário preparar o ambiente do Amazon EC2. Para fazer isso, primeiro crie um servidor do Windows Server 2019, promova esse servidor a um controlador de domínio e configure a VPC adequadamente.
**[Etapa 2: criar as relações de confiança](microsoftadtruststep2.md)**
Nesta etapa, você cria uma relação de confiança florestal bidirecional entre sua floresta recém-criada do Active Directory hospedada no Amazon EC2 e sua floresta AWS gerenciada do Microsoft AD no. AWS
**[Etapa 3: verificar a confiança](microsoftadtruststep3.md)**
Finalmente, como administrador, você usa o Directory Service console para verificar se as novas relações de confiança estão operacionais.
# Etapa 1: configurar o ambiente para relações de confiança
Nesta seção, você configura seu ambiente Amazon EC2, implanta sua nova floresta e prepara sua VPC para relações de confiança. AWS
![\[Ambiente do Amazon EC2 com a Amazon VPC, as sub-redes e os gateways da Internet para implantar uma nova floresta e estabelecer uma relação de confiança.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
## Criar uma instância do EC2 do Windows Server 2019
Siga o procedimento a seguir para criar um servidor membro do Windows Server 2019 no Amazon EC2.
**Como criar uma instância do EC2 do Windows Server 2019**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No console do Amazon EC2, escolha **Iniciar instância**.
1. Na página **Etapa 1**, localize **Microsoft Windows Server 2019 Base - ami- *xxxxxxxxxxxxxxxxx*** na lista. Em seguida, escolha **Selecionar**.
1. Na página **Etapa 2**, selecione **t2.large** e escolha **Próximo: configurar os detalhes da instância**.
1. Na página **Etapa 3**, faça o seguinte:
+ Em **Rede**, selecione **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem - VPC01** (que você configurou anteriormente no [tutorial do Base](microsoftadbasestep1.md#createvpc)).
+ Em **Sub-rede**, selecione **sub-rede- *xxxxxxxxxxxxxxxxx* \$1 AWS- - VPC01 -Subnet01 \$1 OnPrem - -**. AWS OnPrem VPC01
+ Para a lista **Atribuir IP público automaticamente**, escolha **Habilitar** (se a configuração de sub-rede não estiver definida como **Habilitar** por padrão).
+ Deixe as demais configurações com os valores padrão.
+ Escolha **Next: Add Storage** (Próximo: adicionar armazenamento).
1. Na página **Etapa 4**, mantenha as configurações padrão e escolha **Próximo: adicionar tags**.
1. Na página **Etapa 5**, selecione **Adicionar tag**. Em **Chave**, digite **example.local-DC01** e escolha **Próximo: configurar grupo de segurança**.
1. Na página **Etapa 6**, escolha **Selecionar um grupo de segurança existente**, selecione **Grupo de segurança do laboratório de teste do AWS on premises)** (que você configurou anteriormente no [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) e escolha **Revisar e iniciar** para revisar sua instância.
1. Na página **Etapa 7**, examine a página e escolha **Iniciar**.
1. Na caixa de diálogo **Selecionar um par de chaves existente ou criar um novo par de chaves**, faça o seguinte:
+ Escolha **Selecionar um par de chaves existente**.
+ Em **Selecionar um par de chaves**, escolha **AWS-DS-KP** (que você configurou anteriormente no [Tutorial básico](microsoftadbasestep1.md#createkeypair2)).
+ Marque a caixa de seleção **Eu reconheço...**.
+ Selecione **Launch Instances**.
1. Escolha **Visualizar instâncias** para retornar ao console do Amazon EC2 e visualizar o status da implantação.
## Promover seu servidor a um controlador de domínio
Antes de criar confianças, você deve criar e implantar o primeiro controlador de domínio para uma nova floresta. Durante esse processo, configure uma nova floresta do Active Directory, instale o DNS e defina esse servidor para usar o servidor DNS local para resolução de nome. Você deve reiniciar o servidor no final deste procedimento.
**nota**
Se você quiser criar um controlador de domínio AWS que se replique com sua rede local, primeiro você deve unir manualmente a instância do EC2 ao seu domínio local. Depois disso, você pode promover o servidor a um controlador de domínio.
**Para promover seu servidor a um controlador de domínio**
1. No console do Amazon EC2, escolha **Instâncias**, selecione a instância que você acabou de criar e escolha **Conectar**.
1. Na caixa de diálogo **Conectar à sua instância**, escolha **Fazer download do Remote Desktop File**.
1. Na caixa de diálogo **Segurança do Windows**, digite suas credenciais de administrador local para o computador do Windows Server fazer login (por exemplo, **administrator**). Se você ainda não tem a senha de administrador local, volte ao console do Amazon EC2, clique com o botão direito na instância e escolha **Obter senha do Windows**. Navegue até seu `AWS DS KP.pem` arquivo ou sua chave pessoal `.pem` e escolha **Descriptografar senha**.
1. No menu **Iniciar**, escolha **Gerenciador de servidores**.
1. No **Painel**, escolha **Adicionar funções e recursos**.
1. No **Assistente de adição de funções e recursos**, selecione **Próximo**.
1. Na página **Selecionar tipo de instalação**, escolha **Instalação baseada em função ou recurso** e **Próximo**.
1. Na página **Select destination server (Selecionar servidor de destino)**, verifique se o servidor local está selecionado e escolha **Next (Próximo)**.
1. Na página **Selecionar funções do servidor**, selecione **Serviços de domínio do Active Directory**. Na caixa de diálogo **Assistente de adição de funções e recursos**, verifique se a caixa de seleção **Incluir ferramentas de gerenciamento (se aplicável)** está marcada. Escolha **Adicionar recursos** e **Próximo**.
1. Na página **Select features** (Selecionar recursos), escolha **Next** (Próximo).
1. Na página **Serviços do domínio do Active Directory**, escolha **Próximo**.
1. Na página **Confirmar seleções de instalação**, escolha **Instalar**.
1. Depois que os binários do Active Directory estiverem instalados, escolha **Fechar**.
1. Quando o Gerenciador de Servidores for aberto, procure um sinalizador na parte superior, ao lado da palavra **Gerenciar**. Quando o sinalizador ficar amarelo, o servidor estará pronto para ser promovido.
1. Escolha o sinalizador amarelo e **Promover este servidor a um controlador de domínio**.
1. Na página **Configuração de implantação**, escolha **Adicionar uma nova floresta**. Em **Nome do domínio raiz**, digite **example.local** e escolha **Próximo**.
1. Na página **Opções do controlador de domínio**, faça o seguinte:
+ Em **Nível funcional da floresta** e **Nível funcional do domínio**, escolha **Windows Server 2016**.
+ Em **Especificar recursos do controlador de domínio**, verifique se o **Servidor DNS** e o **Catálogo global (GC)** estão selecionados.
+ Digite e confirme uma senha do Directory Services Restore Mode (DSRM). Escolha **Próximo**.
1. Na página **Opções de DNS**, ignore o aviso sobre a delegação e escolha **Próximo**.
1. Na página **Opções adicionais**, verifique se **EXAMPLE** está listado como nome de NetBios domínio.
1. Na página **Caminhos**, mantenha os padrões e escolha **Próximo**.
1. Na página **Opções de análise**, escolha **Próximo**. Agora o servidor verifica se todos os pré-requisitos do controlador de domínio foram atendidos. Alguns avisos podem ser exibidos, mas você pode ignorá-los.
1. Escolha **Instalar**. Após a conclusão da instalação, o servidor é reiniciado e se transforma em um controlador de domínio funcional.
## Configurar a VPC
Os três procedimentos a seguir orientam sobre as etapas para configurar sua VPC para conectividade com a AWS.
**Para configurar as regras de saída da VPC**
1. [No [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), anote o ID do diretório AWS gerenciado do Microsoft AD para corp.example.com que você criou anteriormente no tutorial do Base.](microsoftadbasestep2.md)
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Security Groups (Grupos de segurança)**.
1. Pesquise seu ID de diretório AWS gerenciado do Microsoft AD. Nos resultados da pesquisa, selecione o item com a descrição do **grupo de segurança AWS criado para controladores de *xxxxxx* diretório d.**
**nota**
Esse grupo de segurança foi criado automaticamente quando você criou seu diretório.
1. Escolha a guia **Outbond Rules (Regras de saída)** daquele grupo de segurança. Escolha **Editar**, **Adicionar outra regra** e adicione os seguintes valores:
+ Em **Tipo**, escolha **Todo o tráfego**.
+ Em **Destination**, digite **0.0.0.0/0**.
+ Deixe as demais configurações com os valores padrão.
+ Selecione **Salvar**.
**Para verificar se a pré-autenticação Kerberos está habilitada**
1. No controlador de domínio **example.local**, abra o **Gerenciador de Servidores**.
1. No menu **Tools**, escolha **Active Directory Users and Computers (Usuários e computadores do Active Directory)**.
1. Navegue até o diretório **Users (Usuários)**, clique com o botão direito do mouse em qualquer usuário e selecione **Properties (Propriedades)** e escolha a guia **Account (Conta)**. Na lista **Account options (Opções de conta)**, role para baixo e confirme se a opção **Do not require Kerberos preauthentication (Não exige pré-autenticação do Kerberos)** **não** está selecionada.
1. Siga as mesmas etapas para o domínio **corp.example.com** da instância **corp.example.com-mgmt**.
**Para configurar encaminhadores condicionais de DNS**
**nota**
Um encaminhador condicional é um servidor DNS em uma rede que é usado para encaminhar consultas DNS de acordo com o nome de domínio DNS na consulta. Por exemplo, um servidor DNS pode ser configurado para encaminhar todas as consultas recebidas para nomes terminados com widgets.example.com para o endereço IP de um servidor DNS específico ou para os endereços IP de vários servidores DNS.
1. Abra o [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. No painel de navegação, selecionar **Diretórios**.
1. Selecione o **ID do diretório** do seu Microsoft AD AWS gerenciado.
1. Anote o nome completo do domínio (FQDN), **corp.example.com** e os endereços DNS do seu diretório.
1. Agora, retorne ao controlador de domínio **example.local** e abra o **Gerenciador de Servidores**.
1. No menu **Ferramentas**, escolha **DNS**.
1. Na árvore do console, expanda o servidor DNS do domínio para o qual você está configurando a confiança e navegue até **Encaminhadores condicionais**.
1. Clique com o botão direito em **Encaminhadores condicionais** e escolha **Novo encaminhador condicional**.
1. No domínio DNS, digite **corp.example.com**.
1. Em **Endereços IP dos servidores primários**, escolha **, digite o primeiro endereço DNS do seu diretório AWS gerenciado do Microsoft AD (que você anotou no procedimento anterior) e pressione **Enter**. Faça o mesmo para o segundo endereço DNS. Depois de digitar os endereços DNS, você poderá ver um erro como "tempo limite" ou "não foi possível resolver". Em geral, você pode ignorar esses erros.
1. Marque a caixa de seleção **Store this conditional forwarder in Active Directory, and replicate it as follows**. No menu suspenso, escolha **Todos os servidores DNS nesta floresta** e **OK**.
# Etapa 2: criar as relações de confiança
Nesta seção, você cria duas confianças separadas para a floresta. Uma relação de confiança é criada a partir do domínio do Active Directory na sua instância do EC2 e a outra a partir do seu Microsoft AD AWS gerenciado em AWS.
![\[Confiança bidirecional entre corp.example.com e example.local\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)
**Para criar a confiança do seu domínio EC2 em seu Microsoft AD AWS gerenciado**
1. Faça login em **example.local**.
1. Abra o **Gerenciador de Servidores** e, na árvore do console, escolha **DNS**. Anote o IPv4 endereço listado para o servidor. Você precisará dele no próximo procedimento, quando criar um encaminhador condicional de **corp.example.com** para o diretório **example.local**.
1. No menu **Ferramentas**, escolha **Domínios e confianças do Ative Directory**.
1. Na árvore do console, clique com o botão direito em **example.local** e escolha **Propriedades**.
1. Na guia **Confianças**, escolha **Nova confiança** e escolha **Próximo**.
1. Na página **Nome da confiança**, digite **corp.example.com** e escolha **Próximo**.
1. Na página **Tipo de confiança**, escolha **Confiança da floresta** e **Próximo**.
**nota**
AWS O Microsoft AD gerenciado também oferece suporte a relações de confiança externas. Contudo, para os propósitos deste tutorial, você criará uma confiança de floresta bidirecional.
1. Na página **Direção da confiança**, escolha **Bidirecional** e **Próximo**.
**nota**
Se você decidir tentar isso posteriormente com uma confiança unidirecional, as direções de confiança deverão estar configuradas corretamente (Saída em domínio confiável, Entrada em domínio confiável). Para obter informações gerais, consulte [Entender a direção da relação de confiança](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) no site da Microsoft.
1. Na página **Lados da confiança**, escolha **Apenas este domínio** e **Próximo**.
1. Na página **Nível de autenticação de confiança de saída**, escolha **Autenticação em toda a floresta** e, depois, **Próximo**.
**nota**
Embora a **Selective authentication (Autenticação seletiva)** seja uma opção, para a simplicidade deste tutorial, recomendamos que você não a habilite aqui. Quando configurada, ela restringe o acesso por uma confiança externa ou de floresta apenas aos usuários em um domínio ou uma floresta confiável que receberam explicitamente permissões de autenticação a objetos de computador (computadores de recurso) residentes no domínio ou na floresta confiável. Para obter mais informações, consulte [Configurar autenticação seletiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
1. Na página **Senha da confiança**, digite a senha da confiança duas vezes e escolha **Próximo**. Você usará essa mesma senha no próximo procedimento.
1. Na página **Seleções de confiança concluídas**, revise os resultados e escolha **Próximo**.
1. Na página **Criação da confiança concluída**, revise os resultados e escolha **Próximo**.
1. Na página **Confirmar confiança de saída**, escolha **Não confirmar a confiança de saída**. Em seguida, escolha **Próximo**
1. Na página **Confirmar confiança de entrada**, escolha **Não confirmar a confiança de entrada**. Em seguida, escolha **Próximo**
1. Na página **Assistente de conclusão da nova confiança**, escolha **Concluir**.
**nota**
Relações de confiança são um recurso global do AWS Managed Microsoft AD. Se você estiver usando o [Configurar a replicação multirregional para o AWS Microsoft AD gerenciado](ms_ad_configure_multi_region_replication.md), os procedimentos a seguir deverão ser executados no [Região principal](multi-region-global-primary-additional.md#multi-region-primary). As alterações serão aplicadas automaticamente em todas as regiões replicadas. Para obter mais informações, consulte [Recursos globais versus regionais](multi-region-global-region-features.md).
**Para criar a confiança do seu Microsoft AD AWS gerenciado em seu domínio EC2**
1. Abra o [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Escolha o diretório **corp.example.com**.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região principal e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Trust relationships (Relações de confiança)**, selecione **Action (Ação)** e selecione **Add trust relationship (Adicionar relação de confiança)**.
1. Na caixa de diálogo **Adicionar uma relação de confiança**, faça o seguinte:
+ Em **Trust type (Tipo de confiança)**, selecione **Forest trust (Confiança de floresta)**.
**nota**
Certifique-se de que o **tipo de confiança** escolhido aqui corresponda ao mesmo tipo de confiança configurado no procedimento anterior (Para criar a confiança do seu domínio EC2 para o Microsoft AD AWS gerenciado).
+ Em **Existing or new remote domain name (Nome de domínio remoto existente ou novo)**, digite **example.local**.
+ Em **Senha da confiança**, digite a mesma senha que você forneceu no procedimento anterior.
+ Em **Trust direction (Direção da confiança)**, selecione **Two-Way (Bidirecional)**.
**nota**
Se você decidir tentar isso posteriormente com uma confiança unidirecional, as direções de confiança deverão estar configuradas corretamente (Saída em domínio confiável, Entrada em domínio confiável). Para obter informações gerais, consulte [Entender a direção da relação de confiança](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) no site da Microsoft.
Embora a **Selective authentication (Autenticação seletiva)** seja uma opção, para a simplicidade deste tutorial, recomendamos que você não a habilite aqui. Quando configurada, ela restringe o acesso por uma confiança externa ou de floresta apenas aos usuários em um domínio ou uma floresta confiável que receberam explicitamente permissões de autenticação a objetos de computador (computadores de recurso) residentes no domínio ou na floresta confiável. Para obter mais informações, consulte [Configurar autenticação seletiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
+ Em **Conditional forwarder (Encaminhador condicional)**, digite o endereço IP do servidor DNS na floresta **example.local** (que você anotou no procedimento anterior).
**nota**
Um encaminhador condicional é um servidor DNS em uma rede que é usado para encaminhar consultas DNS de acordo com o nome de domínio DNS na consulta. Por exemplo, um servidor DNS pode ser configurado para encaminhar todas as consultas recebidas para nomes terminados com widgets.example.com para o endereço IP de um servidor DNS específico ou para os endereços IP de vários servidores DNS.
1. Escolha **Adicionar**.
# Etapa 3: verificar a confiança
Nesta seção, você testará se as relações de confiança foram configuradas com êxito entre a AWS e o Active Directory no Amazon EC2.
**Para verificar a confiança**
1. Abra o [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Escolha o diretório **corp.example.com**.
1. Na página **Detalhes do diretório**, siga um destes procedimentos:
+ Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região principal e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
+ Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.
1. Na seção **Trust relationships** (Relações de confiança), selecione a relação de confiança que você acabou de criar.
1. Escolha **Ações** e **Verificar relação de confiança**.
Após a conclusão da verificação, você deverá ver **Verificada** na coluna **Status**.
Parabéns por concluir este tutorial\$1 Agora você tem um ambiente do Active Directory multifloresta funcional a partir do qual você pode começar a testar vários cenários. Outros tutoriais de laboratório de teste estão planejados para 2018. Portanto, fique atento às novidades.