aws directory service · conceptos clave ... sso para office 365 y otras aplicaciones en la nube...
TRANSCRIPT
AWS Directory ServiceGuía de administración
Version 1.0
AWS Directory Service Guía de administración
AWS Directory Service: Guía de administraciónCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.
AWS Directory Service Guía de administración
Table of Contents¿Qué es AWS Directory Service? ......................................................................................................... 1
¿Cuál debe elegir? ..................................................................................................................... 1Opciones de AWS Directory Service ............................................................................................. 1Uso de Amazon EC2 .................................................................................................................. 4
Configuración de AWS Directory Service ................................................................................................ 6Inscripción en una cuenta de AWS ............................................................................................... 6Creación de un usuario de IAM .................................................................................................... 6
AWS Managed Microsoft AD ................................................................................................................ 9Introducción ............................................................................................................................. 10
Requisitos previos ............................................................................................................. 10Creación de su directorio ................................................................................................... 11Qué se crea ..................................................................................................................... 13Cuenta de administrador .................................................................................................... 15
Conceptos clave ....................................................................................................................... 15Esquema de Active Directory .............................................................................................. 16Aplicación de parches y mantenimiento ................................................................................ 17Cuentas de servicio administradas por grupos ....................................................................... 17Delegación limitada de Kerberos ......................................................................................... 18
Casos de uso ........................................................................................................................... 18Caso de uso 1: Inicio de sesión en aplicaciones y servicios de AWS con credenciales de AD ......... 20Caso de uso 2: Administración de instancias de Amazon EC2 ................................................. 20Caso de uso 3: Cómo facilitar servicios de directorio a sus cargas de trabajo compatibles con AD ... 20Caso de uso 4: SSO para Office 365 y otras aplicaciones en la nube ........................................ 20Caso de uso 5: Cómo extender su AD local a la nube de AWS ................................................ 21Caso de uso 6: Compartir su directorio para unir sin problemas instancias de Amazon EC2 a undominio a través de cuentas de AWS .................................................................................. 21
Procedimientos... ...................................................................................................................... 21Protección de su directorio ................................................................................................. 22Monitorización de su directorio ............................................................................................ 31Compartir el directorio ....................................................................................................... 35Cómo unir una instancia EC2 al directorio ............................................................................ 42Añadir usuarios y grupos ................................................................................................... 55Conexión a su infraestructura de AD existente ...................................................................... 58Ampliar el esquema .......................................................................................................... 76Mantenimiento de su directorio ........................................................................................... 82Otorgar acceso a recursos de AWS ..................................................................................... 85Cómo habilitar el acceso a los servicios y las aplicaciones de AWS .......................................... 89Cómo habilitar el acceso a la Consola de administración de AWS ............................................ 96Implementar controladores de dominio adicionales ................................................................. 98
Prácticas recomendadas .......................................................................................................... 100Configuración: requisitos previos ....................................................................................... 100Configuración: creación del directorio ................................................................................. 101Uso del directorio ............................................................................................................ 102Gestión de su directorio ................................................................................................... 103Programación de las aplicaciones ...................................................................................... 104
Límites ................................................................................................................................... 104Increase Your Limit ......................................................................................................... 105
Compatibilidad de las aplicaciones ............................................................................................. 105Directrices de compatibilidad ............................................................................................. 106Aplicaciones incompatibles conocidas ................................................................................ 107
Tutoriales de laboratorio de pruebas de AWS Managed Microsoft AD .............................................. 107Tutorial: Configuración de su base de laboratorio de pruebas de AWS Managed Microsoft AD ...... 107Tutorial: creación de una confianza de AWS Managed Microsoft AD para una instalación de ADautoadministrada en EC2 ................................................................................................. 116
Version 1.0iii
AWS Directory Service Guía de administración
Solución de problemas ............................................................................................................. 121Solución de problemas de DNS ........................................................................................ 122Errores de unión de dominio en Linux ................................................................................ 122Errores de ampliación de esquema .................................................................................... 123Motivos de los estados al crear relaciones de confianza ........................................................ 124
Conector de Active Directory ............................................................................................................ 126Introducción ............................................................................................................................ 126
Requisitos previos de AD Connector .................................................................................. 126Creación de un AD Connector .......................................................................................... 135
Procedimientos... ..................................................................................................................... 136Protección de su directorio ............................................................................................... 136Monitorización de su directorio .......................................................................................... 138Cómo unir una instancia EC2 al directorio .......................................................................... 140Mantenimiento de su directorio .......................................................................................... 142Actualización de DNS de su AD Connector ......................................................................... 143
Prácticas recomendadas .......................................................................................................... 143Configuración: requisitos previos ....................................................................................... 143Uso del directorio ............................................................................................................ 144
Límites ................................................................................................................................... 145Increase Your Limit ......................................................................................................... 105
Compatibilidad de las aplicaciones ............................................................................................. 145Solución de problemas ............................................................................................................. 146
Aparece el error "DNS no disponible" cuando intento conectarme a mi directorio on-premise ........ 146Aparece el error "Problemas de conectividad detectados" cuando intento conectarme a midirectorio on-premise ....................................................................................................... 146Aparece el error "Registro SRV" cuando intento conectarme a mi directorio on-premise .............. 147Mi directorio se bloquea en el estado "Solicitado" ................................................................. 147He recibido un error "AZ Constrained" a la hora de crear un directorio ..................................... 147Algunos de mis usuarios no pueden autenticarse con mi directorio .......................................... 147He recibido un error "Invalid Credentials" cuando la cuenta de servicio que utiliza AD Connectorintenta autenticarse ......................................................................................................... 147
Simple Active Directory .................................................................................................................... 148Introducción ............................................................................................................................ 148
Requisitos previos de Simple AD ....................................................................................... 149Creación de un directorio de Simple AD ............................................................................. 150Qué se crea ................................................................................................................... 151Configuración de DNS ..................................................................................................... 151
Procedimientos... ..................................................................................................................... 152Añadir usuarios y grupos .................................................................................................. 152Monitorización de su directorio .......................................................................................... 155Cómo unir una instancia EC2 al directorio .......................................................................... 157Mantenimiento de su directorio .......................................................................................... 170Cómo habilitar el acceso a los servicios y las aplicaciones de AWS ........................................ 173Cómo habilitar el acceso a la Consola de administración de AWS ........................................... 180
Tutorial: Creación de un directorio de Simple AD ......................................................................... 182Requisitos previos ........................................................................................................... 182Paso 1: Crear y configurar la VPC ..................................................................................... 183Paso 2: crear su directorio de Simple AD ........................................................................... 184
Prácticas recomendadas .......................................................................................................... 185Configuración: requisitos previos ....................................................................................... 185Configuración: creación del directorio ................................................................................. 186
Límites ................................................................................................................................... 186Increase Your Limit ......................................................................................................... 105
Compatibilidad de las aplicaciones ............................................................................................. 187Solución de problemas ............................................................................................................. 188
No puedo actualizar el nombre de DNS o la dirección IP de una instancia unida a mi dominio(actualización dinámica de DNS) ....................................................................................... 188
Version 1.0iv
AWS Directory Service Guía de administración
No puedo iniciar sesión en SQL Server con una cuenta de SQL Server ................................... 188Mi directorio se bloquea en el estado "Solicitado" ................................................................. 188He recibido un error "AZ Constrained" a la hora de crear un directorio ..................................... 189Algunos de mis usuarios no pueden autenticarse con mi directorio .......................................... 189Motivos de los estados del directorio ................................................................................. 189
Autenticación y control de acceso de IAM ........................................................................................... 192Autenticación .......................................................................................................................... 192Control de acceso ................................................................................................................... 193Información general sobre la administración de acceso ................................................................. 193
Recursos y operaciones de AWS Directory Service .............................................................. 194Titularidad de los recursos ................................................................................................ 194Administración del acceso a los recursos ............................................................................ 195Especificación de elementos de política: acciones, efectos, recursos y entidades principales ........ 196Especificación de las condiciones de una política ................................................................. 197
Uso de políticas basadas en identidad (políticas de IAM) .............................................................. 197Permisos necesarios para usar la consola de AWS Directory Service ...................................... 198Políticas administradas (predefinidas) por AWS para AWS Directory Service ............................ 199Ejemplos de políticas administradas por el cliente ................................................................ 199
Referencia de permisos de la API de AWS Directory Service ......................................................... 201Temas relacionados ........................................................................................................ 201
Historial de revisión ......................................................................................................................... 202
Version 1.0v
AWS Directory Service Guía de administración¿Cuál debe elegir?
¿Qué es AWS Directory Service?AWS Directory Service ofrece varias formas de utilizar Amazon Cloud Directory y Microsoft Active Directory(AD) con otros servicios de AWS. En los directorios se almacena información sobre usuarios, gruposy dispositivos, y los administradores pueden usarlos para administrar el acceso a la información y losrecursos. AWS Directory Service ofrece varias opciones de directorios para los clientes que quieran utilizaraplicaciones existentes compatibles con Microsoft AD o el protocolo ligero de acceso a directorios (LDAP)en la nube. También ofrece las mismas opciones para los desarrolladores que necesiten un directorio paraadministrar usuarios, grupos, dispositivos y accesos.
¿Cuál debe elegir?Puede elegir servicios de directorio con las características y la escalabilidad que mejor se adapten asus necesidades. Utilice la siguiente tabla para ayudarle a determinar qué opción de directorio de AWSDirectory Service funcionará mejor para su organización.
¿Qué necesita hacer? Opciones recomendadas de AWS Directory Service
Necesito Active Directory o LDAP paramis aplicaciones en la nube
Seleccione AWS Directory Service for Microsoft ActiveDirectory (Standard Edition o Enterprise Edition) si necesitaun Microsoft Active Directory real en la nube de AWS queadmita cargas de trabajo compatibles con Active Directory,aplicaciones y servicios de , como y , o compatibilidad conLDAP para aplicaciones Linux.
Utilice AD Connector si solo necesita permitir a los usuarioslocales iniciar sesión en las aplicaciones y los servicios deAWS con sus credenciales de Active Directory. También puedeutilizar AD Connector para unir instancias Amazon EC2 a sudominio de Active Directory existente.
Utilice Simple AD si necesita un directorio de pequeña escala ybajo costo con compatibilidad básica con Active Directory queadmita aplicaciones compatibles con Samba 4 o si necesitacompatibilidad con LDAP para determinadas aplicaciones.
Desarrollo aplicaciones en la nubeque administran datos jerárquicos conrelaciones complejas
Utilice Amazon Cloud Directory si necesita un directorio aescala de nube para compartir y controlar el acceso a datosjerárquicos entre sus aplicaciones.
Desarrollo aplicaciones SaaS Utilice Amazon Cognito si desarrolla aplicaciones SaaS a granescala y necesita un directorio escalable para administrar yautenticar a sus suscriptores que funcione con identidades deredes sociales.
Opciones de AWS Directory ServiceAWS Directory Service incluye varios tipos de directorios entre los que elegir. Para obtener másinformación, seleccione una de las siguientes pestañas:
AWS Directory Service for Microsoft Active Directory
Version 1.01
AWS Directory Service Guía de administraciónOpciones de AWS Directory Service
También conocido como AWS Managed Microsoft AD, AWS Directory Service for Microsoft ActiveDirectory funciona con un Active Directory (AD) en Microsoft Windows Server real, administrado porAWS en la nube de AWS. Le permite migrar una amplia gama de aplicaciones compatibles con ActiveDirectory a la nube de . funciona con Microsoft SharePoint, grupos de disponibilidad Always On deMicrosoft SQL Server y muchas aplicaciones .NET. También admite aplicaciones administradas porAWS y servicios incluidos Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, AmazonChime, Amazon Connect y Amazon Relational Database Service para Microsoft SQL Server (RDSpara SQL Server).
AWS Managed Microsoft AD está aprobado para aplicaciones en la nube de AWS sujetas alcumplimiento de la Ley de portabilidad y responsabilidad de los seguros médicos de EE. UU. (HIPAA)o del estándar de seguridad de datos del sector de las tarjetas de pago de EE. UU. (PCI DSS) cuandose habilita la conformidad para su directorio.
Todas las aplicaciones compatibles funcionan con credenciales de usuario que almacena en AWSManaged Microsoft AD, o puede conectarse a su infraestructura de AD existente con una confianza yutilizar credenciales desde un Active Directory que se ejecute en las instalaciones o en una instanciaEC2 de Windows. Si une instancias EC2 a su AWS Managed Microsoft AD, los usuarios puedenobtener acceso a cargas de trabajo de Windows en la nube de AWS con la misma experiencia deinicio de sesión único (SSO) de Windows que cuando obtienen acceso a las cargas de trabajo en sured local.
AWS Managed Microsoft AD también admite casos de uso federados utilizando credenciales de ActiveDirectory. Solo, AWS Managed Microsoft AD le permite iniciar sesión en la Consola de administraciónde AWS. Con Inicio de sesión único de AWS, también puede obtener credenciales a corto plazopara su uso con el SDK de AWS y la CLI y utilizar las integraciones de SAML preconfiguradas parainiciar sesión en muchas aplicaciones en la nube. Al añadir Azure AD Connect y, de forma opcional,Servicios de federación de Active Directory (AD FS), puede iniciar sesión en Microsoft Office 365 yotras aplicaciones en la nube con las credenciales almacenadas en AWS Managed Microsoft AD.
El servicio incluye características clave que le permiten ampliar el esquema, administrar políticas decontraseñas y habilitar las comunicaciones de LDAP seguro a través de capa de conexión segura(SSL)/Transport Layer Security (TLS). También puede habilitar la multi-factor authentication (MFA)para AWS Managed Microsoft AD a fin de proporcionar una capa de seguridad adicional cuando losusuarios obtienen acceso a aplicaciones de AWS desde Internet. Dado que Active Directory es undirectorio LDAP, también puede utilizar AWS Managed Microsoft AD para la autenticación en LinuxSecure Shell (SSH) y otras aplicaciones compatibles con LDAP.
ofrece monitoreo, instantáneas diarias y recuperación como parte del servicio: añade usuarios ygrupos a y administra la política de grupo utilizando herramientas conocidas de Active Directory quese ejecutan en un equipo Windows unido al dominio de . También puede escalar el directorio mediantela implementación de controladores de dominio adicionales y ayudar a mejorar el desempeño de lasaplicaciones distribuyendo solicitudes a través de un gran número de controladores de dominio.
AWS Managed Microsoft AD está disponible en dos ediciones: Standard y Enterprise.
• Standard Edition: AWS Managed Microsoft AD (Standard Edition) está optimizado para servir comodirectorio principal para compañías pequeñas y medianas con hasta 5 000 empleados. Le facilitasuficiente capacidad de almacenamiento como para dar cabida a 30 000* objetos de directorio,como usuarios, grupos y equipos.
• Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) está diseñado para su uso engrandes organizaciones y compañías con hasta 500 000* objetos de directorio.
* Los límites superiores son aproximaciones. Su directorio podría admitir más o menos objetos dedirectorio en función del tamaño de los mismos y el comportamiento y las necesidades de desempeñode sus aplicaciones.
Cuándo se debe usar
Version 1.02
AWS Directory Service Guía de administraciónOpciones de AWS Directory Service
AWS Managed Microsoft AD es la mejor opción si necesita características reales de ActiveDirectory para trabajar con aplicaciones de AWS o cargas de trabajo de Windows, incluido AmazonRelational Database Service para Microsoft SQL Server. También es la mejor opción si quiere un ADindependiente en la nube de AWS compatible con Office 365 o si necesita un directorio LDAP paratrabajar con sus aplicaciones Linux. Para obtener más información, consulte AWS Managed MicrosoftAD (p. 9).
AD Connector
AD Connector es un servicio de proxy que proporciona una forma sencilla de conectar aplicaciones deAWS compatibles, como Amazon WorkSpaces, Amazon QuickSight y Amazon EC2 para instanciasde Windows Server, con su Microsoft Active Directory local existente. Con AD Connector, puedesimplemente añadir una cuenta de servicio a su directorio Active Directory. AD Connector tambiénelimina la necesidad de sincronización de directorios y los costos y las dificultades que conlleva alojaruna infraestructura federada.
Al añadir usuarios a aplicaciones de AWS como Amazon QuickSight, AD Connector lee el directorioActive Directory existente para crear listas de usuarios y grupos entre los que seleccionar. Cuando losusuarios inician sesión en las aplicaciones de AWS, AD Connector reenvía las solicitudes de inicio desesión a los controladores del dominio local de Active Directory para su autenticación. AD Connectorfunciona con muchas aplicaciones y servicios de AWS, incluidos Amazon WorkSpaces, AmazonWorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect y Amazon WorkMail. Tambiénpuede unir sus instancias EC2 de Windows a su dominio local de Active Directory existente medianteAD Connector con una unión al dominio fluida. AD Connector también permite a los usuarios obteneracceso a la Consola de administración de AWS y administrar los recursos de AWS iniciando sesióncon las credenciales existentes de Active Directory. AD Connector no es compatible con RDS SQLServer.
También puede utilizar AD Connector para habilitar la multi-factor authentication a los usuarios de suaplicación de AWS conectándolo con su infraestructura de MFA basada en RADIUS existente. Estoproporciona una capa adicional de seguridad cuando los usuarios obtienen acceso a las aplicacionesde AWS.
Con AD Connector podrá seguir administrando su Active Directory como lo hace ahora. Por ejemplo,puede agregar nuevos usuarios y grupos y actualizar contraseñas con las herramientas estándaresde administración de Active Directory en su Active Directory local. Así, podrá aplicar políticas deseguridad que ya existan de forma coherente, como la fecha de vencimiento de la contraseña, elhistorial de contraseñas y los bloqueos de cuentas, tanto si los usuarios obtienen acceso a recursosen su entorno local o en la nube de AWS.
Cuándo se debe usar
AD Connector es su mejor opción si desea utilizar su directorio local existente con los servicios deAWS compatibles. Para obtener más información, consulte Conector de Active Directory (p. 126).
Simple AD
Simple AD es un directorio compatible con Microsoft Active Directory desde AWS Directory Service yestá basado en Samba 4. Simple AD admite características de Active Directory básicas, como cuentasde usuario, pertenencias a grupos, unión a un dominio Linux o a instancias EC2 basadas en Windows,inicio de sesión único (SSO) basado en Kerberos y políticas de grupo. AWS facilita las tareas demonitoreo, instantáneas diarias y recuperación como parte del servicio.
Simple AD es un directorio independiente en la nube que permite crear y administrar identidades deusuarios y administrar el acceso a las aplicaciones. Puede utilizar muchas aplicaciones y herramientashabituales compatibles con Active Directory que requieren las características básicas de ActiveDirectory. es compatible con las siguientes aplicaciones de : https://aws.amazon.com/workspaces/,https://aws.amazon.com/workdocs/, https://aws.amazon.com/quicksight/ y https://aws.amazon.com/
Version 1.03
AWS Directory Service Guía de administraciónUso de Amazon EC2
workmail/. También puede iniciar sesión en la Consola de administración de AWS con cuentas deusuario de Simple AD y administrar recursos de AWS.
Simple AD no es compatible con relaciones de confianza, actualización dinámica de DNS,ampliaciones de esquemas, multi-factor authentication, comunicación a través de LDAPS, cmdletsde PowerShell para AD ni transferencia de funciones FSMO. Simple AD no es compatible con RDSSQL Server. Los clientes que necesiten las características de un Microsoft Active Directory real o quecontemplen el uso de su directorio con RDS SQL Server deben utilizar AWS Managed Microsoft AD.Compruebe que las aplicaciones que necesita sean totalmente compatibles con Samba 4 antes deusar Simple AD. Para obtener más información, visite https://www.samba.org.
Cuándo se debe usar
Puede utilizar Simple AD como un directorio independiente en la nube para las cargas de trabajo deWindows que requieran características básicas de AD, aplicaciones compatibles de AWS o para lascargas de trabajo de Linux que necesiten un servicio LDAP. Para obtener más información, consulteSimple Active Directory (p. 148).
Amazon Cloud Directory
Amazon Cloud Directory es un directorio nativo en la nube que puede almacenar cientos de millonesde objetos específicos de la aplicación con varias relaciones y esquemas. Utilice Amazon CloudDirectory si necesita un almacén de directorios muy escalable para almacenar datos jerárquicos de suaplicación.
Cuándo se debe usar
Amazon Cloud Directory es la opción ideal si necesita crear directorios de aplicaciones, por ejemplo,registros de dispositivos, catálogos, redes sociales, estructuras de la organización y topologías dered. Para obtener más información, consulte ¿Qué es Amazon Cloud Directory? en la Guía paradesarrolladores de Amazon Cloud Directory.
Amazon Cognito
Amazon Cognito es un directorio de usuarios que añade inscripciones e inicios de sesión a suaplicación móvil o aplicación web utilizando grupos de usuarios de Amazon Cognito.
Cuándo se debe usar
También puede utilizar Amazon Cognito si necesita crear campos de registro personalizados yalmacenar los metadatos en su directorio de usuarios. Este servicio totalmente administrado puedeadaptarse para admitir cientos de millones de usuarios. Para obtener más información, consulte Creary administrar grupos de usuarios.
Consulte la documentación de Regiones y puntos de enlace de AWS para ver una lista de los tipos dedirectorio admitidos por región.
Uso de Amazon EC2Un conocimiento básico de Amazon EC2 es esencial para utilizar AWS Directory Service. Lerecomendamos que empiece leyendo los siguientes temas:
• ¿Qué es Amazon EC2? en la Guía del usuario de Amazon EC2 para instancias de Windows.• Lanzamiento de instancias EC2 en la Guía del usuario de Amazon EC2 para instancias de Windows.• Grupos de seguridad en la Guía del usuario de Amazon EC2 para instancias de Windows.
Version 1.04
AWS Directory Service Guía de administraciónUso de Amazon EC2
• ¿Qué es Amazon VPC? en la Guía del usuario de Amazon VPC.• Adición de una gateway privada virtual de hardware a la VPC en la Guía del usuario de Amazon VPC.
Version 1.05
AWS Directory Service Guía de administraciónInscripción en una cuenta de AWS
Configuración de AWS DirectoryService
Para trabajar con AWS Directory Service, debe satisfacer los requisitos previos de AWS DirectoryService for Microsoft Active Directory, AD Connector o Simple AD. Para obtener más información,consulte Requisitos previos de AWS Managed Microsoft AD (p. 10), Requisitos previos de ADConnector (p. 126) o Requisitos previos de Simple AD (p. 149).
Si aún no lo ha hecho, también tendrá que crear una cuenta de AWS y utilizar el servicio AWS Identity andAccess Management para controlar el acceso.
Temas• Inscripción en una cuenta de AWS (p. 6)• Creación de un usuario de IAM (p. 6)
Inscripción en una cuenta de AWSUna cuenta de AWS le ofrece acceso a todos los servicios, pero solo se le cobrará por los recursos queutilice.
Si no dispone de una cuenta de AWS, utilice el siguiente procedimiento para crearla.
Para inscribirse en AWS
1. Abra https://aws.amazon.com/ y elija Create an AWS Account.2. Siga las instrucciones en línea.
Las credenciales de su cuenta raíz le identifican en los servicios de AWS y le conceden el uso ilimitadode sus recursos de AWS, como los WorkSpaces. Para permitir que otros usuarios administren recursosde AWS Directory Service sin necesidad de compartir sus credenciales de seguridad, utilice AWS Identityand Access Management (IAM). Le recomendamos que todo el mundo trabaje como un usuario de IAM,hasta el propietario de la cuenta. Debería crear un usuario de IAM para usted, dar a ese usuario de IAMprivilegios administrativos y utilizarlo para todo su trabajo.
Creación de un usuario de IAMLa Consola de administración de AWS requiere su nombre de usuario y contraseña para que el serviciopueda determinar si tiene permiso para acceder a los recursos. Sin embargo, le recomendamos que eviteel acceso a AWS a través de las credenciales de su cuenta raíz de AWS; en su lugar, le recomendamosque utilice AWS Identity and Access Management (IAM) para crear un usuario de IAM y que añada elusuario de IAM a un grupo de IAM con permisos administrativos. Esto concede al usuario de IAM permisosadministrativos. A continuación, acceda a Consola de administración de AWS utilizando las credencialesdel usuario de IAM.
Si se ha inscrito en AWS, pero no ha creado un usuario de IAM para usted, puede crearlo en la consola deIAM.
Version 1.06
AWS Directory Service Guía de administraciónCreación de un usuario de IAM
Para crear un usuario de IAM para sí mismo y agregarlo a un grupo de administradores
1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesióncomo Usuario de la cuenta raíz de AWS en la consola de IAM en https://console.aws.amazon.com/iam/.
Note
Recomendamos que siga la práctica recomendada de utilizar el usuario Administradorde IAM como se indica a continuación, y que guarde en un lugar seguro las credencialesde usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas deadministración de servicios y de cuentas.
2. En el panel de navegación de la consola, elija Usuarios y, a continuación, elija Añadir usuario.3. En Nombre de usuario, escriba Administrador.4. Active la casilla de verificación situada junto a Consola de administración de AWS access, seleccione
Custom password y escriba la contraseña del nuevo usuario en el cuadro de texto. También puedeseleccionar Require password reset (Obligar a restablecer contraseña) para obligar al usuario a crearuna nueva contraseña la próxima vez que inicie sesión.
5. Elija Next: Permissions.6. En la página Set permissions, elija Add user to group.7. Elija Create group.8. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre de grupo) escriba
Administradores.9. En Filter policies (Políticas de filtro), marque la casilla AWS managed - job function (Función de trabajo
administrado por AWS).10. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elija
Create group.11. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es
necesario para ver el grupo en la lista.12. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario.
Cuando esté listo para continuar, elija Create user.
Puede usar este mismo proceso para crear más grupos y usuarios, y para conceder a los usuarios accesolos recursos de su cuenta de AWS. Para obtener más información sobre cómo usar las políticas pararestringir los permisos de los usuarios a recursos de AWS específicos, vaya a Administración de acceso yPolíticas de ejemplo.
Para iniciar sesión como este nuevo usuario de IAM, cierre la sesión de la Consola de administración deAWS y después utilice la siguiente dirección URL, donde your_aws_account_id es su número de cuenta deAWS sin los guiones (por ejemplo, si su número de cuenta de AWS es 1234-5678-9012, su ID de cuentade AWS será 123456789012):
https://your_aws_account_id.signin.aws.amazon.com/console/
Escriba el nombre y la contraseña del usuario de IAM que acaba de crear. Cuando haya iniciado sesión, enla barra de navegación se mostrará "su_nombre_de_usuario @ su_id_de_cuenta_de_aws".
Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS,puede crear un alias de cuenta. En el panel de IAM, haga clic en Customize (Personalizar) y especifique unalias; por ejemplo, el nombre de su empresa. Para iniciar sesión después de crear un alias de cuenta, usela siguiente dirección URL:
https://your_account_alias.signin.aws.amazon.com/console/
Version 1.07
AWS Directory Service Guía de administraciónCreación de un usuario de IAM
Para obtener más información acerca del uso de políticas de IAM para controlar el acceso a sus recursosde AWS Directory Service, consulte Uso de políticas basadas en identidad (políticas de IAM) para AWSDirectory Service (p. 197).
Version 1.08
AWS Directory Service Guía de administración
AWS Managed Microsoft ADAWS Directory Service le permite ejecutar Microsoft Active Directory (AD) como un servicio administrado.AWS Directory Service for Microsoft Active Directory, también denominado AWS Managed Microsoft AD,dispone de tecnología de Windows Server 2012 R2. Al seleccionar y lanzar este tipo de directorio, secrea como un par de controladores de dominio de alta disponibilidad conectados a su nube privada virtual(VPC). Los controladores de dominio se ejecutan en distintas zonas de disponibilidad en una región desu elección. La supervisión y recuperación de alojamiento, la replicación de datos, las instantáneas y lasactualizaciones de software se configuran y administran automáticamente.
Con AWS Managed Microsoft AD, puede ejecutar cargas de trabajo compatibles con el directorio enla nube de AWS, incluidas aplicaciones de Microsoft SharePoint y aplicaciones .NET y basadas enSQL Server personalizadas. También puede configurar una relación de confianza entre AWS ManagedMicrosoft AD en la nube de AWS y su Microsoft Active Directory local, lo que permite que los usuarios ygrupos con acceso a recursos de cada dominio utilicen el inicio de sesión único (SSO).
AWS Directory Service facilita configurar y ejecutar directorios en la nube de AWS o conectar los recursosde AWS con un Microsoft Active Directory local existente. Una vez creado el directorio, puede usarlo parauna diversas tareas:
• Administrar usuarios y grupos• Proporcionar inicio de sesión único para aplicaciones y servicios• Crear y aplicar políticas de grupo• Conectar de forma segura con instancias de Linux y Windows de Amazon EC2• Simplificar la implementación y la administración de cargas de trabajo de Linux y Microsoft Windows en
la nube• Puede usar AWS Managed Microsoft AD para habilitar la multi-factor authentication integrándola con su
infraestructura MFA basada en RADIUS y proporcionar así una capa de seguridad adicional cuando losusuarios acceden a aplicaciones de AWS.
Lea los temas de esta sección para comenzar a crear un directorio de AWS Managed Microsoft AD, crearuna relación de confianza entre AWS Managed Microsoft AD y sus directorios locales, así como ampliar suesquema de AWS Managed Microsoft AD.
Temas• Introducción a AWS Managed Microsoft AD (p. 10)• Conceptos clave de AWS Managed Microsoft AD (p. 15)• Casos de uso de AWS Managed Microsoft AD (p. 18)• Cómo administrar AWS Managed Microsoft AD (p. 21)• Prácticas recomendadas para AWS Managed Microsoft AD (p. 100)• Límites de AWS Managed Microsoft AD (p. 104)• Política de compatibilidad de las aplicaciones para AWS Managed Microsoft AD (p. 105)• Tutoriales de laboratorio de pruebas de AWS Managed Microsoft AD (p. 107)• Solución de problemas de AWS Managed Microsoft AD (p. 121)
Artículos de blog relacionados con la seguridad en AWS
• How to Delegate Administration of Your AWS Managed Microsoft AD Directory to Your On-PremisesActive Directory Users
• How to Configure Even Stronger Password Policies to Help Meet Your Security Standards by Using AWSDirectory Service for AWS Managed Microsoft AD
Version 1.09
AWS Directory Service Guía de administraciónIntroducción
• How to Increase the Redundancy and Performance of Your AWS Directory Service for AWS ManagedMicrosoft AD by Adding Domain Controllers
• How to Enable the Use of Remote Desktops by Deploying Microsoft Remote Desktop Licensing Manageron AWS Managed Microsoft AD
• How to Access the Consola de administración de AWS Using AWS Managed Microsoft AD and Your On-Premises Credentials
• How to Enable Multi-Factor Authentication for AWS Services by Using AWS Managed Microsoft AD andOn-Premises Credentials
• How to Easily Log On to AWS Services by Using Your On-Premises Active Directory
Introducción a AWS Managed Microsoft ADAWS Managed Microsoft AD crea un Microsoft Active Directory completamente administrado en la nube deAWS, dispone de la tecnología de Windows Server 2012 R2 y opera al nivel funcional 2012 R2. Al crearun directorio con AWS Managed Microsoft AD, AWS Directory Service crea dos controladores de dominioy añade el servicio DNS en su nombre. Los controladores de dominio se crean en subredes diferentes deuna VPC; esta redundancia ayuda a garantizar que el directorio seguirá siendo accesible incluso en casode error. Si necesita más controladores de dominio, puede añadirlos posteriormente. Para obtener másinformación, consulte Implementación de controladores de dominio adicionales (p. 98).
Temas• Requisitos previos de AWS Managed Microsoft AD (p. 10)• Creación de su directorio de AWS Managed Microsoft AD (p. 11)• Qué se crea (p. 13)• Cuenta de administrador (p. 15)
Requisitos previos de AWS Managed Microsoft ADPara crear un directorio de AWS Managed Microsoft AD necesitará una VPC con lo siguiente:
• Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidaddiferente.
• Los siguientes puertos deben estar abiertos entre las dos subredes en las que implemente su directorio.Esto es necesario para que los controladores de dominio que AWS Directory Service cree puedancomunicarse entre sí. Se creará un grupo de seguridad y se asociará a su directorio para habilitar lascomunicaciones entre los controladores de dominio.• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos authentication• UDP 123 - NTP• TCP 135 - RPC• UDP 137-138 - Netlogon• TCP 139 - Netlogon• TCP/UDP 389 - LDAP• TCP/UDP 445 - SMB• TCP 636 - LDAPS (LDAP over TLS/SSL)• TCP 873 - Rsync• TCP 3268 - Global Catalog• TCP/UDP 1024-65535 - Ephemeral ports for RPC
• La VPC debe disponer de tenencia de hardware predeterminada.
Version 1.010
AWS Directory Service Guía de administraciónCreación de su directorio
• No puede crear un AWS Managed Microsoft AD en una VPC con direcciones dentro del espacio dedirecciones 198.19.0.0/16.
• AWS Directory Service no permite usar la traducción de direcciones de red (NAT) con Active Directory.El uso de NAT puede dar lugar a errores de replicación.
Requisitos previos de la autenticación multifactorPara poder utilizar la multi-factor authentication con su directorio de AWS Managed Microsoft AD, debeconfigurar su servidor Remote Authentication Dial-In User Service (RADIUS) local o basado en la nube dela siguiente manera para que pueda aceptar solicitudes de su directorio de AWS Managed Microsoft AD enAWS.
1. En el servidor RADIUS, cree dos clientes RADIUS para representar los dos controladores de dominio(DC) de AWS Managed Microsoft AD en AWS. Debe configurar ambos clientes utilizando los siguientesparámetros comunes (su servidor RADIUS puede variar):• Address (DNS or IP) [Dirección (DNS o IP)]: es la dirección DNS para uno de los controladores de
dominio de AWS Managed Microsoft AD. Ambas direcciones DNS se pueden encontrar en la consolade AWS Directory Service, en la página Detalles del directorio de AWS Managed Microsoft AD en elque tiene previsto utilizar MFA. Las direcciones DNS que aparecen representan las direcciones IP deambos controladores de dominio de AWS Managed Microsoft AD utilizados por AWS.
Note
Si su servidor RADIUS es compatible con direcciones DNS, deberá crear una únicaconfiguración de cliente RADIUS. De lo contrario, deberá crear una configuración de clientede RADIUS para cada controlador de dominio de AWS Managed Microsoft AD.
• Port number: configure el número de puerto donde su servidor RADIUS acepta conexiones de clientesRADIUS. El puerto para RADIUS estándar es 1812.
• Shared secret (Secreto compartido): escriba o genere el secreto compartido que el servidor RADIUSutilizará para conectar con los clientes de RADIUS.
• Protocol (Protocolo): puede que necesite configurar el protocolo de autenticación entre loscontroladores de dominio de AWS Managed Microsoft AD y el servidor RADIUS. Los protocolosadmitidos son PAP, CHAP, MS-CHAPv1 y MS-CHAPv2. Se recomienda utilizar MS-CHAPv2, ya quees el que ofrece la mayor seguridad de las tres opciones.
• Application name: puede ser opcional en algunos servidores RADIUS y normalmente identifica laaplicación en los mensajes o en los informes.
2. Configure la red existente para permitir el tráfico entrante desde los clientes RADIUS (direcciones DNSde los controladores de dominio de AWS Managed Microsoft AD, consulte el paso 1) al puerto delservidor RADIUS.
3. Añada una regla al grupo de seguridad de Amazon EC2 en su dominio de AWS Managed MicrosoftAD que permita el tráfico entrante desde la dirección DNS del servidor RADIUS y el número de puertodefinido anteriormente. Para obtener más información, consulte Adding Rules to a Security Group en laguía del usuario de EC2.
Para obtener más información acerca del uso de AWS Managed Microsoft AD con MFA, consulte Cómohabilitar Multi-Factor Authentication para AWS Managed Microsoft AD (p. 25).
Creación de su directorio de AWS Managed MicrosoftADPara crear un nuevo directorio, siga estos pasos. Antes de comenzar este procedimiento, asegúrese dehaber completado los requisitos previos que se indican en Requisitos previos de AWS Managed MicrosoftAD (p. 10).
Version 1.011
AWS Directory Service Guía de administraciónCreación de su directorio
Para crear un directorio de AWS Managed Microsoft AD
1. En el panel de navegación de AWS Directory Service console, elija Directories (Directorios) y, acontinuación, elija Set up directory (Configurar directorio).
2. En la página Select directory type (Seleccionar tipo de directorio), elija AWS Managed Microsoft AD y,a continuación, elija Next (Siguiente).
3. En la página Enter directory information (Especifique la información del directorio), facilite la siguienteinformación:
Edición
Elija entre la edición Standard o Enterprise de AWS Managed Microsoft AD. Para obtenerinformación acerca de las ediciones, consulte AWS Directory Service for Microsoft ActiveDirectory.
Nombre de DNS del directorio
El nombre completo del directorio, como por ejemplo corp.example.com.Nombre NetBIOS del directorio
El nombre abreviado del directorio, como CORP.Descripción del directorio
Descripción opcional del directorio.Contraseña de administrador
Contraseña del administrador del directorio. Al crear el directorio, se crea también una cuenta deadministrador con el nombre de usuario Admin y esta contraseña.
La contraseña no puede incluir la palabra "admin".
La contraseña del administrador del directorio distingue entre mayúsculas y minúsculas y debetener 8 caracteres como mínimo y 64 como máximo. También debe contener al menos uncarácter de tres de las siguientes categorías:• Letras minúsculas (a-z)• Letras mayúsculas (A-Z)• Números (0-9)• Caracteres no alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirm password
Vuelva a escribir la contraseña de administrador.4. En la página Choose VPC and subnets (Elegir la VPC y las subredes), proporcione la siguiente
información y, a continuación, elija Next (Siguiente).
VPC
VPC del directorio.Subredes
Elija las subredes de los controladores de dominio. Las dos subredes deben estar en diferenteszonas de disponibilidad.
5. En la página Review & create (Revisar y crear), revise la información del directorio y haga los cambiosque sean necesarios. Cuando la información sea correcta, seleccione Create directory (Creardirectorio). Se tarda entre 20 y 40 minutos en crear el directorio. Una vez creado, el valor Statuscambia a Active. Version 1.0
12
AWS Directory Service Guía de administraciónQué se crea
Qué se creaAl crear un directorio con AWS Managed Microsoft AD, AWS Directory Service realiza por usted lassiguientes tareas:
• Configura Active Directory dentro de la VPC que se ejecuta en dos controladores de domino para ofrecertolerancia a errores y alta disponibilidad. Si necesita más controladores de dominio, puede añadirlosposteriormente. Para obtener más información, consulte Implementación de controladores de dominioadicionales (p. 98).
• Crea una unidad organizativa (OU) que contiene todos los objetos del directorio relacionados con AWS.Esta unidad organizativa, que tiene el mismo nombre de NetBIOS que escribió al crear el directorio (porejemplo, Corp), se encuentra en la raíz del dominio. La raíz del dominio es propiedad de AWS, quetambién se encarga de su administración. Esta unidad organizativa contiene dos unidades organizativassecundarias de forma predeterminada: Computers (Equipos) y Users (Usuarios). Por ejemplo:• Corp
• Computers• Usuarios
• Crea una cuenta de administrador para el directorio con el nombre de usuario Admin y la contraseñaespecificada. Esta cuenta se encuentra en la unidad organizativa Users (por ejemplo, Corp > Users).Esta cuenta se utiliza para administrar su directorio en la nube de AWS. Para obtener más informaciónacerca de esta cuenta, consulte Cuenta de administrador (p. 15).
Important
Asegúrese de guardar esta contraseña. AWS Directory Service no almacena esta contraseña yno se puede recuperar ni restablecer.
• Crea una nueva unidad organizativa AWS Reserved (Reservada de AWS) para almacenar todas lasdemás cuentas específicas de AWS.
• Crea una nueva unidad organizativa AWS Delegated Groups (Grupos delegados de AWS) paraalmacenar todos los grupos que puede utilizar para delegar permisos específicos de AWS a los usuarios.En la siguiente tabla se describen todos los grupos delegados que están almacenados en esta unidadorganizativa.
Nombre de grupo Descripción
AWS Delegated Account Operators (Operadoresdelegados de AWS para cuentas)
Los miembros de este grupo de seguridad tienenuna capacidad de administración de cuentaslimitada, por ejemplo, a restablecer y desbloquearcontraseñas.
AWS Delegated Add Workstations To DomainUsers (Usuarios delegados de AWS para agregarestaciones de trabajo a dominios)
Los miembros de este grupo de seguridad puedeunir 10 equipos a un dominio.
AWS Delegated Administrators (Administradoresdelegados de AWS)
Los miembros de este grupo de seguridadpueden administrar AWS Managed MicrosoftAD, disponer de control total sobre todos losobjetos de la unidad organizativa y administrar losgrupos contenidos en la unidad organizativa AWSDelegated Groups (Grupos delegados de AWS).
AWS Delegated Distributed File SystemAdministrators (Administradores delegados deAWS para el sistema de archivos distribuido)
Los miembros de este grupo de seguridad puedenagregar y eliminar espacios de nombres FRS,DFS-R y DFS.
Version 1.013
AWS Directory Service Guía de administraciónQué se crea
Nombre de grupo Descripción
AWS Delegated Domain Name SystemAdministrators (Administradores delegados deAWS para DNS)
Los miembros de este grupo de seguridad puedenadministrar el DNS integrado de Active Directory.
AWS Delegated Dynamic Host ConfigurationProtocol Administrators (Administradoresdelegados de AWS para DHCP)
Los miembros de este grupo de seguridad puedenautorizar los servidores DHCP de Windows en lacompañía.
AWS Delegated Enterprise Certificate AuthorityAdministrators (Administradores delegados deAWS para la entidad de certificación de empresa)
Los miembros de este grupo de seguridad puedenimplementar y administrar la infraestructura de laentidad de certificación de empresa de Microsoft.
AWS Delegated Fine Grained Password PolicyAdministrators (Administradores delegadosde AWS para directivas de contraseñas muyespecíficas)
Los miembros de este grupo de seguridadpueden modificar las políticas (o directivas, segúnla terminología de MS) de contraseñas muyespecíficas.
AWS Delegated Group Policy Administrators(Administradores de AWS para las directivas degrupo)
Los miembros de este grupo de seguridad puedenrealizar tareas de administración de las políticas(o directivas, según la terminología de MS) degrupo (crear, editar, eliminar, enlazar, etc.).
AWS Delegated Kerberos DelegationAdministrators (Administradores delegados deAWS para la delegación Kerberos)
Los miembros de este grupo de seguridad puedenhabilitar la delegación en los objetos de equipos ycuentas de usuario.
AWS Delegated Managed Service AccountAdministrators (Administradores delegados deAWS para cuentas de servicio administradas)
Los miembros de este grupo de seguridadpueden crear y eliminar cuentas de servicioadministradas.
AWS Delegated Remote Access ServiceAdministrators (Administradores delegados deAWS para Servicio de acceso remoto)
Los miembros de este grupo de seguridad puedenagregar y eliminar servidores RAS del grupo deservidores RAS e IAS.
AWS Delegated Replicate Directory ChangesAdministrators (Administradores delegadosde AWS para replicación de cambios en losdirectorios)
Los miembros de este grupo de seguridad puedensincronizar la información del perfil de ActiveDirectory con SharePoint Server.
AWS Delegated Server Administrators(Administradores delegados de AWS paraservidores)
Los miembros de este grupo de seguridad seincluyen en el grupo de administradores localesen todos los equipos unidos al dominio.
AWS Delegated Sites and Services Administrators(Administradores delegados de AWS para sitios yservicios)
Los miembros de este grupo de seguridad puedencambiar el nombre del objeto Default-First-Site-Name en los sitios y servicios de Active Directory.
AWS Delegated Terminal Server LicensingAdministrators (Administradores delegadosde AWS para Administración de licencias deTerminal Services)
Los miembros de este grupo de seguridad puedenagregar y eliminar servidores de licencias deTerminal Services en el grupo de servidores delicencias de Terminal Services.
AWS Delegated User Principal Name SuffixAdministrators (Administradores delegados deAWS para sufijos de nombre principal de usuario)
Los miembros de este grupo de seguridad puedenagregar y eliminar sufijos de nombre principal deusuario.
Version 1.014
AWS Directory Service Guía de administraciónCuenta de administrador
Cuenta de administradorAl crear un directorio de AWS Directory Service for Microsoft Active Directory, AWS crea una unidadorganizativa (OU) para almacenar todos los grupos y las cuentas relacionados con AWS. Paraobtener más información acerca de esta unidad organizativa, consulte Qué se crea (p. 13). Estoincluye la cuenta Admin. La cuenta Admin tiene permisos para llevar a cabo las siguientes actividadesadministrativas comunes en la unidad organizativa:
• Agregar, actualizar o eliminar usuarios, grupos y equipos. Para obtener más información, consulte Añadirusuarios y grupos a AWS Managed Microsoft AD (p. 55).
• Añadir recursos a su dominio, como servidores de archivos o de impresión y, a continuación, asignarpermisos para esos recursos a usuarios y grupos dentro de la unidad organizativa.
• Crear unidades organizativas y contenedores adicionales.• Delegar autoridad. Para obtener más información, consulte Información general sobre la administración
de los permisos de acceso a los recursos de AWS Directory Service (p. 193).• Crear y enlazar políticas de grupo.• Restaurar objetos eliminados de la papelera de reciclaje de Active Directory.• Ejecutar módulos de Active Directory y DNS de Windows PowerShell en el servicio web de Active
Directory.• Crear y configurar cuentas de servicio administradas por grupos. Para obtener más información, consulte
Cuentas de servicio administradas por grupos (p. 17).• Configurar una delegación limitada por Kerberos. Para obtener más información, consulte Delegación
limitada de Kerberos (p. 18).
La cuenta Admin también tiene derechos para realizar las siguientes actividades en todo el dominio:
• Administrar configuraciones DNS (agregar, quitar o actualizar registros, zonas y programas de envío).• Ver logs de eventos DNS• Ver logs de eventos de seguridad
Solo las acciones que se indican aquí se pueden realizar en la cuenta Admin. La cuenta Admin tambiéncarece de permisos para cualquier acción relacionada con el directorio fuera de su unidad organizativaespecífica, como en la unidad organizativa principal.
Important
Los administradores de dominio de AWS tienen capacidad de acceso administrativo total a todoslos dominios alojados en AWS. Consulte su acuerdo con AWS y las preguntas frecuentes acercade la protección de datos de AWS para obtener más información acerca de cómo AWS gestionael contenido, incluida la información del directorio, la cual almacena en los sistemas de AWS.
Conceptos clave de AWS Managed Microsoft ADSacará el máximo partido de AWS Managed Microsoft AD si se familiariza con los siguientes conceptosclave.
Temas• Esquema de Active Directory (p. 16)• Aplicación de parches y mantenimiento de AWS Managed Microsoft AD (p. 17)• Cuentas de servicio administradas por grupos (p. 17)
Version 1.015
AWS Directory Service Guía de administraciónEsquema de Active Directory
• Delegación limitada de Kerberos (p. 18)
Esquema de Active DirectoryUn esquema es la definición de atributos y clases que forman parte de un directorio distribuido y essimilar a los campos y las tablas de una base de datos. Los esquemas incluyen un conjunto de reglas quedeterminan el tipo y el formato de los datos que se pueden añadir o incluir en la base de datos. La claseUser es un ejemplo de un valor class que se almacena en la base de datos. Algunos ejemplos de atributosde la clase User pueden incluir el nombre, apellidos, número de teléfono, etc.
Elementos de esquemaLos atributos, las clases y los objetos son los elementos básicos utilizados para crear definiciones deobjetos en el esquema. A continuación se ofrece información detallada sobre elementos de esquema quees importante que conozca antes de empezar el proceso de ampliación del esquema de AWS ManagedMicrosoft AD.
Atributos
Cada atributo de esquema, que es similar a un campo en una base de datos, tiene varias propiedadesque definen las características del atributo. Por ejemplo, la propiedad LDAP que utilizan los clientespara leer y escribir el atributo es LDAPDisplayName. La propiedad LDAPDisplayName debeser única en todos los atributos y clases. Para obtener una lista completa de las característicasde atributos, consulte Characteristics of Attributes en el sitio web de MSDN. Si desea obtenerinstrucciones adicionales sobre cómo crear un atributo, consulte Defining a New Attribute en el sitioweb de MSDN.
Clases
Las clases se parecen a las tablas de una base de datos, y también tienen varias propiedades que esnecesario definir. Por ejemplo, objectClassCategory define la categoría de clase. Para obteneruna lista completa de las características de clase, consulte Characteristics of Object Classes en el sitioweb de MSDN. Para obtener más información sobre cómo crear una nueva clase, consulte Defining aNew Class en el sitio web de MSDN.
Identificador de objeto (OID)
Cada clase y atributo deben tener un OID exclusivo para todos los objetos. Los proveedores desoftware deben obtener su propio OID para garantizar la unicidad. La unicidad evita conflictos en elsupuesto de que se utilice el mismo atributo en más de una solicitud para finalidades diferentes. Paragarantizar la originalidad, puede obtener un OID raíz de una autoridad de registro de nombres de ISO.También puede obtener un OID básico de Microsoft. Para obtener más información sobre los OID ycómo obtenerlos, consulte Identificadores de objetos en el sitio web de MSDN.
Atributos vinculados a esquemas
Algunos atributos están vinculados a dos clases, con vínculos de paso y retroceso. Un excelenteejemplo de ello son los grupos. Si mira un grupo, verá los miembros de ese grupo; si echa un vistazoa un usuario, verá a qué grupos pertenece. Cuando añada un usuario a un grupo, Active Directorycreará un vínculo al grupo y después Active Directory añadirá un vínculo para volver del grupo alusuario. Se debe generar un identificador de vínculo único al crear un atributo que se vinculará. Paraobtener más información, consulte Linked Attributes en el sitio web de MSDN.
Temas relacionados
• Cuándo debería ampliar su esquema de AWS Managed Microsoft AD (p. 77)• Tutorial: Ampliación del esquema de AWS Managed Microsoft AD (p. 77)
Version 1.016
AWS Directory Service Guía de administraciónAplicación de parches y mantenimiento
Aplicación de parches y mantenimiento de AWSManaged Microsoft ADAWS Directory Service for Microsoft Active Directory, también conocido como DS de AWS para AWSManaged Microsoft AD, en realidad es Servicios de dominio de Active Directory (AD DS) de Microsoft,entregado como un servicio administrado. El sistema utiliza Microsoft Windows Server 2012 R2 para loscontroladores de dominio (DC) y AWS les añade software para administrar servicios. AWS actualiza (aplicaparches) a los DC para añadir nuevas funcionalidades y mantener el software de Microsoft WindowsServer al día. Durante el proceso de aplicación de parches, el directorio continúa disponible para su uso.
Asegurar la disponibilidadDe forma predeterminada, cada directorio consta de dos DC, cada uno de ellos instalado en una zona dedisponibilidad diferente. Puede agregar más DC para aumentar la disponibilidad. AWS aplica parches a losDC de forma secuencial. Durante el tiempo que dura ese proceso, el DC al que AWS le aplica el parcheno está disponible. En caso de que uno o más de sus DC esté fuera de servicio temporalmente, AWSretrasa la aplicación de parches hasta que haya al menos dos DC operativos en el directorio. Esta funciónle permite utilizar el resto de los DC en funcionamiento durante el proceso de aplicación de parches, quesuele tardar entre 30 y 45 minutos por cada DC, aunque puede variar. Para garantizar que las aplicacionespuedan obtener acceso a un DC en funcionamiento en caso de que uno o varios DC no estén disponiblespor cualquier motivo, incluida la aplicación de parches, estas deberían utilizar el servicio de localización deDC de Windows y no utilizar direcciones de DC estáticas.
Cómo funciona la programación de aplicación de parchesPara mantener el software de Microsoft Windows Server actualizado en los DC, AWS utilizaactualizaciones de Microsoft. Como cada mes Microsoft ofrece paquetes acumulativos de parches paraWindows Server, AWS hace todo lo posible para probar y aplicar dichos paquetes a todos los DC de losclientes en el plazo de tres semanas naturales. Además, AWS revisa las actualizaciones que Microsoftpublica fuera del paquete mensual acumulativo en función de su aplicabilidad a los DC y su urgencia. En elcaso de los parches de seguridad que Microsoft clasifica como críticos o importantes, y que son relevantespara los DC, AWS hace todo lo posible para probarlos e implementarlos en un plazo de cinco días.
Cuentas de servicio administradas por gruposCon Windows Server 2012, Microsoft introdujo un nuevo método que los administradores pueden utilizarpara administrar cuentas de servicio llamado "cuentas de servicio administradas por grupos (gMSA)". Conlas gMSA, los administradores de servicios ya no tienen que administrar manualmente la sincronización decontraseñas entre las instancias de servicio. En cambio, un administrador podría simplemente crear unagMSA en Active Directory y, a continuación, configurar varias instancias de servicio para utilizar esa únicagMSA.
Para conceder permisos de tal forma que los usuarios de AWS Managed Microsoft AD puedancrear una gMSA, debe agregar sus cuentas como miembro del grupo de seguridad AWS DelegatedManaged Service Account Administrators (Administradores delegados de AWS para cuentas de servicioadministradas). De forma predeterminada, la cuenta de administrador es miembro de este grupo. Paraobtener más información sobre las gMSA, consulte Información general de las cuentas de servicioadministradas de grupo en el sitio web TechNet de Microsoft.
Artículo relacionado del blog de AWS sobre seguridad
• Cómo Microsoft AD administrado por AWS contribuye a simplificar la implementación y a mejorar laseguridad de aplicaciones .NET integradas en Active Directory
Version 1.017
AWS Directory Service Guía de administraciónDelegación limitada de Kerberos
Delegación limitada de KerberosLa delegación limitada de Kerberos es una característica de Windows Server. Esta característica otorga alos administradores del servicio la capacidad de especificar y aplicar límites de confianza en una aplicaciónlimitando el alcance hasta el que pueden actuar los servicios de esta última en representación de unusuario. Esto puede resultar útil cuando es preciso configurar qué cuentas del servicio de frontend puedendelegar en sus servicios de backend. La delegación limitada de Kerberos también evita que la gMSAse conecte a cualquier servicio en nombre de sus usuarios de Active Directory, con lo que se evita laposibilidad de abusos por parte de un desarrollador deshonesto.
Por ejemplo, supongamos que el usuario jsmith inicia sesión en una aplicación de recursos humanos.Quiere que SQL Server aplique los permisos de base de datos de jsmith. Sin embargo, de formapredeterminada, SQL Server abre la conexión a la base de datos mediante las credenciales de la cuentadel servicio que aplican los permisos de la aplicación de recursos humanos, en lugar de los permisosconfigurados para jsmith. Debe permitir que la aplicación de pago de nóminas de recursos humanosobtenga acceso a la base de datos de SQL Server con las credenciales de jsmith. Para ello, debe habilitarla delegación limitada de Kerberos en la cuenta de servicio de la aplicación de recursos humanos en sudirectorio de AWS Managed Microsoft AD en AWS. Cuando jsmith inicie sesión, Active Directory facilitaráun ticket de Kerberos que Windows utilizará automáticamente cuando jsmith intente obtener acceso a otrosservicios en la red. La delegación de Kerberos permite a la cuenta de servicio de la aplicación de recursoshumanos volver a utilizar el ticket de Kerberos de jsmith al obtener acceso a la base de datos, aplicandoasí los permisos específicos de jsmith al abrir la conexión a la base de datos.
Para conceder permisos que permitan a los usuarios de AWS Managed Microsoft AD configurar ladelegación limitada de Kerberos, debe agregar sus cuentas como miembro del grupo de seguridad AWSDelegated Kerberos Delegation Administrators (Administradores delegados de AWS para la delegaciónKerberos). De forma predeterminada, la cuenta de administrador es miembro de este grupo. Para obtenermás información sobre la delegación limitada por Kerberos, consulte Introducción a la delegación limitadade Kerberos en el sitio web TechNet de Microsoft.
Casos de uso de AWS Managed Microsoft ADCon AWS Managed Microsoft AD, puede compartir un único directorio para varios casos de uso. Porejemplo, puede compartir un directorio para autenticar y autorizar el acceso de las aplicaciones .NET,Amazon RDS para SQL Server con la autenticación de Windows habilitada y Amazon Chime paramensajería y videoconferencias.
El siguiente diagrama muestra algunos de los casos de uso para su directorio AWS Managed MicrosoftAD. Esto incluye la posibilidad de conceder a sus usuarios acceso a aplicaciones en la nube externa ypermitir a sus usuarios de AD locales administrar y tener acceso a los recursos en la nube de AWS.
Version 1.018
AWS Directory Service Guía de administraciónCasos de uso
Utilice AWS Managed Microsoft AD para cualquiera de los siguientes casos de uso empresarial.
Temas• Caso de uso 1: Inicio de sesión en aplicaciones y servicios de AWS con credenciales de AD (p. 20)• Caso de uso 2: Administración de instancias de Amazon EC2 (p. 20)• Caso de uso 3: Cómo facilitar servicios de directorio a sus cargas de trabajo compatibles con
AD (p. 20)• Caso de uso 4: SSO para Office 365 y otras aplicaciones en la nube (p. 20)• Caso de uso 5: Cómo extender su AD local a la nube de AWS (p. 21)
Version 1.019
AWS Directory Service Guía de administraciónCaso de uso 1: Inicio de sesión en aplicaciones
y servicios de AWS con credenciales de AD
• Caso de uso 6: Compartir su directorio para unir sin problemas instancias de Amazon EC2 a undominio a través de cuentas de AWS (p. 21)
Caso de uso 1: Inicio de sesión en aplicaciones yservicios de AWS con credenciales de ADPuede habilitar varias aplicaciones y servicios de AWS, como la consola de administración de AWS,Amazon WorkSpaces y Amazon RDS for SQL Server para utilizar el directorio de AWS Managed MicrosoftAD. Cuando habilite una aplicación o un servicio de AWS en su directorio, los usuarios podrán obteneracceso a ellos con sus credenciales de AD.
Por ejemplo, puede permitir a sus usuarios iniciar sesión en la Consola de administración de AWS consus credenciales de AD. Para ello, habilite la Consola de administración de AWS como una aplicaciónen su directorio y, a continuación, asigne a sus usuarios y grupos de AD a roles de IAM. Cuando losusuarios inicien sesión en la consola de administración de AWS, asumirán un rol de IAM para administrarlos recursos de AWS. Esto facilita la concesión de acceso a sus usuarios a la Consola de administraciónde AWS sin necesidad de configurar y administrar una infraestructura de SAML independiente.
Caso de uso 2: Administración de instancias deAmazon EC2Mediante el uso de conocidas herramientas administrativas de AD, puede aplicar objetos de política degrupo (GPO) de AD para administrar de forma centralizada las instancias de Amazon EC2 para Windows oLinux uniendo dichas instancias a su dominio de AWS Managed Microsoft AD.
Además, los usuarios pueden iniciar sesión en las instancias con sus credenciales de AD. Esto elimina lanecesidad de utilizar credenciales de instancias individuales o distribuir archivos de clave privada (PEM).De este modo, le resultará más fácil conceder o revocar de forma instantánea el acceso a los usuariosutilizando las herramientas de administración de usuarios de AD que ya usa habitualmente.
Caso de uso 3: Cómo facilitar servicios de directorio asus cargas de trabajo compatibles con ADAWS Managed Microsoft AD es un Microsoft AD real que le permite ejecutar cargas de trabajotradicionales compatibles con AD, tales como Remote Desktop Licensing Manager y Microsoft SharePointy Microsoft SQL Server Always On en la nube de AWS. AWS Managed Microsoft AD también le ayudaa simplificar y mejorar la seguridad de aplicaciones .NET con AD integrado utilizando group ManagedService Accounts (gMSAs) y Kerberos constrained delegation (KCD).
Caso de uso 4: SSO para Office 365 y otrasaplicaciones en la nubePuede utilizar AWS Managed Microsoft AD para proporcionar SSO para las aplicaciones en la nube.Puede utilizar Azure AD Connect para sincronizar sus usuarios con Azure AD y, a continuación, usar ActiveDirectory Federation Services (AD FS) para que los usuarios puedan obtener acceso a Microsoft Office 365y otras aplicaciones en la nube de SAML 2.0 mediante sus credenciales de AD.
Version 1.020
AWS Directory Service Guía de administraciónCaso de uso 5: Cómo extendersu AD local a la nube de AWS
Caso de uso 5: Cómo extender su AD local a la nubede AWSSi ya dispone de una infraestructura de AD y desea utilizarla al migrar las cargas de trabajo compatiblescon AD a la nube de AWS AWS Managed Microsoft AD puede ayudarle. Puede utilizar relacionesde confianza de AD para conectar AWS Managed Microsoft AD a su AD existente. Esto significa quelos usuarios pueden obtener acceso a aplicaciones de AWS y aplicaciones compatibles con AD consus propias credenciales de AD locales, sin necesidad de que usted sincronice usuarios, grupos ocontraseñas.
Por ejemplo, los usuarios pueden iniciar sesión en la Consola de administración de AWS y AmazonWorkSpaces mediante sus nombres de usuario y contraseñas de AD existentes. Además, cuando utiliceaplicaciones compatibles con AD, como SharePoint, con AWS Managed Microsoft AD, los usuarios deWindows que hayan iniciado sesión podrán obtener acceso a estas aplicaciones sin necesidad de volver aintroducir las credenciales.
Caso de uso 6: Compartir su directorio para unir sinproblemas instancias de Amazon EC2 a un dominio através de cuentas de AWSCompartir su directorio con varias cuentas de AWS le permite administrar servicios de AWS tales comoAmazon EC2 de forma sencilla sin necesidad de usar un directorio para cada cuenta y cada VPC. Puedeutilizar su directorio desde cualquier cuenta de AWS y desde cualquier Amazon VPC dentro de una regiónde AWS. Esta capacidad hace que sea más fácil y rentable administrar cargas de trabajo compatibles conel directorio con un único directorio entre cuentas y VPC. Por ejemplo, ahora puede administrar sus cargasde trabajo de Windows implementadas en instancias EC2 en varias cuentas y las VPC fácilmente medianteun único directorio AWS Managed Microsoft AD.
Cuando comparte su directorio AWS Managed Microsoft AD con otra cuenta de AWS, puede usar laconsola de Amazon EC2 o AWS System Manager (SSM) para unir de forma sencilla sus instancias desdecualquier VPC de Amazon en la cuenta y región de AWS. Puede implementar rápidamente las cargasde trabajo compatibles con un directorio en instancias EC2 al eliminar la necesidad de unir manualmentelas instancias a un dominio o de implementar directorios en cada cuenta y VPC. Para obtener másinformación, consulte Compartir el directorio (p. 35).
Cómo administrar AWS Managed Microsoft ADEn esta sección se presentan todos los procedimientos de uso y mantenimiento de un entorno de AWSManaged Microsoft AD.
Temas• Protección de su directorio de AWS Managed Microsoft AD (p. 22)• Monitorización de su AWS Managed Microsoft AD (p. 31)• Compartir el directorio (p. 35)• Unir una instancia EC2 al directorio de AWS Managed Microsoft AD (p. 42)• Añadir usuarios y grupos a AWS Managed Microsoft AD (p. 55)• Conexión a su infraestructura de AD existente (p. 58)• Ampliar el esquema (p. 76)
Version 1.021
AWS Directory Service Guía de administraciónProtección de su directorio
• Mantenimiento de su directorio AWS Managed Microsoft AD (p. 82)• Otorgar acceso a los recursos de AWS a usuarios y grupos (p. 85)• Cómo habilitar el acceso a los servicios y las aplicaciones de AWS (p. 89)• Cómo habilitar el acceso a la Consola de administración de AWS con credenciales de AD (p. 96)• Implementación de controladores de dominio adicionales (p. 98)
Protección de su directorio de AWS ManagedMicrosoft ADEn esta sección se describen las consideraciones para proteger su entorno de AWS Managed MicrosoftAD.
Temas• Administración de las políticas de contraseñas para AWS Managed Microsoft AD (p. 22)• Cómo habilitar Multi-Factor Authentication para AWS Managed Microsoft AD (p. 25)• Cómo habilitar las comunicaciones LDAP seguras en AWS Managed Microsoft AD (p. 27)• Administración de la conformidad en AWS Managed Microsoft AD (p. 30)
Administración de las políticas de contraseñas para AWSManaged Microsoft ADAWS Managed Microsoft AD le permite definir y asignar diferentes políticas de bloqueo de cuentas ycontraseñas muy precisas (también conocidas como "políticas de contraseñas detalladas") para los gruposde usuarios que administra en su dominio de AWS Managed Microsoft AD. Cuando se crea un directoriode AWS Microsoft AD, también se crea una política de dominio predeterminada que se aplica al directorio.Esta política incluye las siguientes opciones:
Auto Scaling Opción
Aplicar el historial de contraseñas Se recuerdan 24 contraseñas
Antigüedad máxima de la contraseña 42 días *
Antigüedad mínima de la contraseña 1 día
Longitud mínima de la contraseña 7 caracteres
La contraseña debe cumplir los requisitos decomplejidad
Habilitada
Almacenamiento de contraseña mediante cifradoreversible
Deshabilitada
* Nota: el valor de 42 días de la antigüedad máxima de la contraseña también se aplica a la contraseña deladministrador.
Por ejemplo, puede asignar una configuración de las políticas menos estricta para aquellos empleados conacceso solo a información de baja confidencialidad. Para los administradores sénior que obtienen accesocon frecuencia a información confidencial, puede aplicar una configuración más estricta.
Version 1.022
AWS Directory Service Guía de administraciónProtección de su directorio
AWS proporciona un conjunto de políticas de contraseñas detalladas en AWS Managed Microsoft AD quepuede configurar y asignar a sus grupos. Para configurar las políticas, puede usar herramientas de políticade Microsoft estándar como Centro de administración de Active Directory (ADAC). Para empezar a utilizarlas herramientas de política de Microsoft, consulte Instalar las herramientas de administración de ActiveDirectory (p. 57).
Temas• Configuración de políticas admitida (p. 23)• Delegar quién puede administrar sus políticas de contraseñas (p. 24)• Asignar políticas de contraseñas a sus usuarios (p. 25)
Artículo relacionado del blog de AWS sobre seguridad
• How to Configure Even Stronger Password Policies to Help Meet Your Security Standards by Using AWSDirectory Service for AWS Managed Microsoft AD
Configuración de políticas admitida
AWS Managed Microsoft AD incluye cinco políticas detalladas con un valor de prioridad no editable. Laspolíticas tienen una serie de propiedades que puede configurar para forzar la seguridad de las contraseñasy acciones de bloqueo de cuentas en caso de producirse errores de inicio de sesión. Puede asignar laspolíticas a cero o más grupos de Active Directory. Si un usuario final es miembro de varios grupos y recibemás de una política de contraseñas, Active Directory fuerza la política con el valor de prioridad más bajo.
Políticas de contraseñas predefinidas de AWS
En la siguiente tabla se muestran las cinco políticas incluidas en su directorio de AWS Managed MicrosoftAD y su valor de prioridad asignado. Para obtener más información, consulte Prioridad (p. 24).
Nombre de la política Prioridad
CustomerPSO-01 10
CustomerPSO-02 20
CustomerPSO-03 30
CustomerPSO-04 40
CustomerPSO-05 50
Propiedades de las políticas de contraseñas
Puede editar las siguientes propiedades en sus políticas de contraseñas para ajustarlas a los estándaresde conformidad que satisfagan las necesidades de su negocio.
• Nombre de la política• Historial de contraseñas• Longitud mínima de la contraseña• Antigüedad mínima de la contraseña• Antigüedad máxima de la contraseña• Almacenamiento de contraseña mediante cifrado reversible
Version 1.023
AWS Directory Service Guía de administraciónProtección de su directorio
• La contraseña debe cumplir los requisitos de complejidad
No puede modificar los valores de prioridad de estas políticas. Para obtener más detalles acerca decómo afecta esta configuración a la aplicación de la contraseña, consulte AD DS: Fine-Grained PasswordPolicies en el sitio web de Microsoft TechNet. Para obtener información general acerca de estas políticas,consulte Password Policy en el sitio web de Microsoft TechNet.
Políticas de bloqueo de cuentas
También puede modificar las siguientes propiedades de sus políticas de contraseñas para especificar siActive Directory debería bloquear una cuenta tras producirse errores de inicio de sesión y cómo hacerlo:
• Número de intentos de inicio de sesión con error permitidos• Duración de bloqueo de cuentas• Restablecimiento de intentos de inicio de sesión con error tras una duración determinada
Para obtener información general acerca de estas políticas, consulte Directiva de bloqueo de cuenta en elsitio web de Microsoft TechNet.
Prioridad
Las políticas con un valor de prioridad más bajo tienen mayor prioridad. Puede asignar políticas decontraseñas a grupos de seguridad de Active Directory. Aunque debe aplicar una sola política a un grupode seguridad, un solo usuario puede recibir más de una política de contraseñas. Por ejemplo, supongamosque jsmith es miembro del grupo HR y también del grupo MANAGERS. Si asigna CustomerPSO-05 (quetiene una prioridad de 50) al grupo HR y CustomerPSO-04 (que tiene una prioridad de 40) a MANAGERS,CustomerPSO-04 tiene la prioridad más alta y Active Directory aplica esa política a jsmith.
Si asigna varias políticas a un usuario o grupo, Active Directory determina la política obtenida del modosiguiente:
1. Se aplica una política que asigna directamente al objeto de usuario.2. Si no se asigna ninguna política directamente al objeto de usuario, se aplica la política con el valor de
prioridad más bajo de todas las políticas recibidas por el usuario como resultado de la pertenencia a ungrupo.
Para obtener detalles adicionales, consulte AD DS: Fine-Grained Password Policies en el sitio web deMicrosoft TechNet.
Delegar quién puede administrar sus políticas de contraseñas
Puede delegar permisos para administrar las políticas (o directivas, según la terminología de Microsoft)de contraseñas en cuentas de usuario específicas que creó en su AWS Managed Microsoft AD; paraello, debe agregar las cuentas al grupo de seguridad AWS Delegated Fine Grained Password PolicyAdministrators (Administradores delegados de AWS para directivas de contraseñas muy específicas).Cuando una cuenta pasa a ser un miembro de este grupo, la cuenta tiene permisos para editar y configurarcualquiera de las políticas de contraseñas indicadas anteriormente (p. 23).
Para delegar quién puede administrar políticas de contraseñas
1. Lance el Centro de administración de Active Directory (ADAC) desde cualquier instancia EC2administrada que haya unido a su dominio de AWS Managed Microsoft AD.
2. Cambie a la vista de árbol y vaya a la unidad organizativa AWS Delegated Groups (Grupos delegadosde AWS). Para obtener más información acerca de esta unidad organizativa, consulte Qué secrea (p. 13).
Version 1.024
AWS Directory Service Guía de administraciónProtección de su directorio
3. Busque el grupo de usuarios AWS Delegated Fine Grained Password Policy Administrators(Administradores delegados de AWS para directivas de contraseñas muy específicas). Añadacualquier usuario o grupo de su dominio a este grupo.
Asignar políticas de contraseñas a sus usuarios
Las cuentas de usuario que son miembros del grupo de seguridad AWS Delegated Fine GrainedPassword Policy Administrators (Administradores delegados de AWS para directivas de contraseñasmuy específicas) pueden utilizar el siguiente procedimiento para asignar políticas a usuarios y grupos deseguridad.
Para asignar políticas de contraseñas a sus usuarios
1. Lance el Centro de administración de Active Directory (ADAC) desde cualquier instancia EC2administrada que haya unido a su dominio de AWS Managed Microsoft AD.
2. Cambie a vista de árbol y vaya a System\Password Settings Container.3. Haga doble clic en la política detallada que desee editar. Haga clic en Add (Agregar) para editar las
propiedades de las políticas y añada usuarios o grupos de seguridad a la política. Para obtener másinformación acerca de las políticas detalladas predeterminadas proporcionadas con AWS ManagedMicrosoft AD, consulte Políticas de contraseñas predefinidas de AWS (p. 23).
Si no configura ninguna de las cinco políticas de contraseñas en su directorio de AWS Managed MicrosoftAD, Active Directory usa la política de grupo de dominio predeterminada. Para obtener detalles adicionalesacerca del uso del contenedor de configuraciones de contraseña, consulte esta entrada de blog deMicrosoft.
Cómo habilitar Multi-Factor Authentication para AWS ManagedMicrosoft ADPuede habilitar la multi-factor authentication (MFA) en su directorio de AWS Managed Microsoft AD paraaumentar la seguridad cuando los usuarios especifiquen sus credenciales de AD para obtener acceso alas Aplicaciones empresariales de Amazon admitidas (p. 27). Cuando se habilita la autenticación MFA,los usuarios deben introducir su nombre de usuario y su contraseña (el primer factor) como de costumbre,pero además deben introducir un código de autenticación (el segundo factor), proporcionado por lasolución de MFA virtual o de hardware. La combinación de estos factores proporciona seguridad adicional,ya que impiden el acceso a las aplicaciones empresariales de Amazon, a menos que se proporcionencredenciales de usuario válidas y un código de MFA válido.
Para habilitar la MFA, debe tener una solución de MFA compuesta por un servidor Remote AuthenticationDial-In User Service (RADIUS), o disponer de un complemento de MFA para un servidor RADIUS que yatenga implementado en su infraestructura local. La solución de MFA debería implementar claves de accesode un solo uso (OTP) que los usuarios obtienen de un dispositivo de hardware o de un software que seejecuta en un dispositivo como un teléfono móvil.
RADIUS es un protocolo cliente/servidor estándar en el sector que proporciona autenticación, autorizacióny gestión de cuentas para que los usuarios puedan conectarse a servicios de red. AWS Managed MicrosoftAD incluye un cliente RADIUS que se conecta al servidor RADIUS sobre el que se ha implementadosu solución de MFA. El servidor RADIUS valida el nombre de usuario y el código de OTP. Si el servidorRADIUS valida correctamente al usuario, AWS Managed Microsoft AD autentica al usuario en AD. Trasla autenticación de correcta en AD, los usuarios pueden obtener acceso a la aplicación de AWS. Lacomunicación entre el cliente RADIUS de AWS Managed Microsoft AD y el servidor RADIUS requiere laconfiguración de grupos de seguridad de AWS que permitan la comunicación a través del puerto 1812.
Puede habilitar la autenticación multifactor para su directorio AWS Managed Microsoft AD con elsiguiente procedimiento. Para obtener más información acerca de cómo configurar su servidor RADIUS
Version 1.025
AWS Directory Service Guía de administraciónProtección de su directorio
para que funcione con AWS Directory Service y MFA, consulte Requisitos previos de la autenticaciónmultifactor (p. 11).
Note
La multi-factor authentication no puede utilizarse con Simple AD. Sin embargo, la MFA se puedehabilitar para su directorio de AD Connector. Para obtener más información, consulte Cómohabilitar Multi-Factor Authentication para AD Connector (p. 137).
Para habilitar multi-factor authentication para AWS Managed Microsoft AD
1. Identifique la dirección IP de su servidor RADIUS de MFA y de su directorio de AWS ManagedMicrosoft AD.
2. Edite sus grupos de seguridad de Virtual Private Cloud (VPC) para habilitar las comunicaciones através del puerto 1812 entre los puntos de enlace IP de AWS Managed Microsoft AD y su servidorRADIUS de MFA.
3. En el panel de navegación de AWS Directory Service console, seleccione Directories (Directorios).4. Elija el enlace del ID de directorio correspondiente a su directorio de AWS Managed Microsoft AD.5. Select the Networking & security tab.6. In the Multi-factor authentication section, choose Actions, and then select Enable.7. On the Enable multi-factor authentication (MFA) page, provide the following values:
Display label
Provide a label name.RADIUS server DNS name or IP addresses
The IP addresses of your RADIUS server endpoints, or the IP address of your RADIUS serverload balancer. You can enter multiple IP addresses by separating them with a comma (e.g.,192.0.0.0,192.0.0.12).
Note
RADIUS MFA is applicable only to authenticate access to the Consola de administraciónde AWS, or to Amazon Enterprise applications and services such as AmazonWorkSpaces, Amazon QuickSight, or Amazon Chime. AWS Directory Service does notsupport RADIUS Challenge/Response authentication. Users must have their MFA code atthe time they enter their username and password. Alternatively, you must use a solutionthat performs MFA out-of-band such as SMS text verification for the user.
Port
The port that your RADIUS server is using for communications. Your on-premises network mustallow inbound traffic over the default RADIUS server port (UDP:1812) from the AWS DirectoryService servers.
Shared secret code
The shared secret code that was specified when your RADIUS endpoints were created.Confirm shared secret code
Confirm the shared secret code for your RADIUS endpoints.Protocol
Select the protocol that was specified when your RADIUS endpoints were created.Server timeout (in seconds)
The amount of time, in seconds, to wait for the RADIUS server to respond. This must be a valuebetween 1 and 50.
Version 1.026
AWS Directory Service Guía de administraciónProtección de su directorio
Max RADIUS request retries
The number of times that communication with the RADIUS server is attempted. This must be avalue between 0 and 10.
Multi-factor authentication is available when the RADIUS Status changes to Enabled.8. Choose Enable.
Aplicaciones empresariales de Amazon admitidas
Todas las aplicaciones de TI empresariales de Amazon, incluidas Amazon WorkSpaces, AmazonWorkDocs, Amazon WorkMail, Amazon QuickSight y el acceso a AWS Single Sign-On y a la Consola deadministración de AWS, pueden utilizarse cuando se usan AWS Managed Microsoft AD y AD Connectorcon MFA.
Para obtener información acerca de cómo configurar el acceso básico de los usuarios a las aplicacionesempresariales de Amazon, a AWS Single Sign-On y a la Consola de administración de AWS medianteAWS Directory Service, consulte Cómo habilitar el acceso a los servicios y las aplicaciones deAWS (p. 89) y Cómo habilitar el acceso a la Consola de administración de AWS con credenciales deAD (p. 96).
Artículo relacionado del blog de AWS sobre seguridad
• How to Enable Multi-Factor Authentication for AWS Services by Using AWS Managed Microsoft AD andOn-Premises Credentials
Cómo habilitar las comunicaciones LDAP seguras en AWSManaged Microsoft ADEl protocolo ligero de acceso a directorios (LDAP) es un protocolo de comunicación estándar que se utilizapara leer y escribir datos en y desde Active Directory. Algunas aplicaciones utilizan LDAP para añadir,quitar o buscar usuarios y grupos de Active Directory o para transportar credenciales para autenticar a losusuarios en Active Directory.
De forma predeterminada, las comunicaciones a través de LDAP no están cifradas. Esto permite a unusuario malintencionado utilizar el software de monitorización de red para ver los paquetes de datos quepasan por la red. Esta es la razón por la que en muchas políticas de seguridad corporativas se requiereque las organizaciones cifren todas las comunicaciones LDAP.
Para mitigar este tipo de exposición de los datos, AWS Managed Microsoft AD proporciona una opciónpara que pueda habilitar LDAP a través de la capa de conexión segura (SSL) y de Transport LayerSecurity (TLS), también conocida como LDAPS. Gracias a LDAPS, puede mejorar la seguridad en lared y satisfacer los requisitos de conformidad mediante el cifrado de todas las comunicaciones entre lasaplicaciones que tienen habilitado LDAP y el directorio de AWS Managed Microsoft AD.
Habilitar LDAPS
La mayor parte de la configuración se debe realizar desde la instancia de Amazon EC2 que se utiliza paraadministrar los controladores de dominio de AWS Managed Microsoft AD. Los siguientes pasos le guiaránpor el proceso para habilitar LDAPS para su dominio en la nube de AWS.
Temas• Paso 1: Delegar quién puede habilitar LDAPS (p. 28)• Paso 2: Configurar su entidad de certificación (p. 28)
Version 1.027
AWS Directory Service Guía de administraciónProtección de su directorio
• Paso 3: Crear una plantilla de certificado (p. 28)• Paso 4: Añadir reglas de grupos de seguridad (p. 29)
Paso 1: Delegar quién puede habilitar LDAPS
Para habilitar LDAPS debe ser miembro del grupo de administradores o de administradores delegados deAWS para la entidad de certificación de empresa en el directorio de AWS Managed Microsoft AD o bien serel usuario administrativo predeterminado (cuenta Admin). Si prefiere tener un usuario que no sea LDAPSde configuración de la cuenta de administración, añada este usuario al grupo de administradores o deadministradores delegados de AWS para la entidad de certificación de empresa en el directorio de AWSManaged Microsoft AD.
Paso 2: Configurar su entidad de certificación
Para poder habilitar LDAPS debe crear un certificado emitido por el servidor de una entidad de certificación(CA) empresarial de Microsoft unida a su dominio de AWS Managed Microsoft AD. Una vez creado, elcertificado debe instalarse en cada uno de los controladores de dominio de ese dominio. Este certificadopermite que el servicio LDAP de los controladores de dominio reciba y acepte automáticamente lasconexiones SSL de clientes LDAP.
Note
LDAPS con AWS Managed Microsoft AD no admite certificados emitidos por una entidad decertificación independiente.
Dependiendo de sus necesidades empresariales, dispone de las siguientes opciones para configurar oconectarse a una entidad de certificación en su dominio:
• Crear una entidad de certificación empresarial de Microsoft subordinada: (recomendado) esta opciónle permite implementar un servidor de entidad de certificación empresarial de Microsoft en la nubede que utiliza EC2 para que funcione con la entidad de certificación raíz existente de Microsoft. Paraobtener más información acerca de cómo configurar una entidad de certificación empresarial deMicrosoft subordinada, consulte Instalación de una entidad de certificación subordinada en el sitio webde Microsoft TechNet.
• Crear una entidad de certificación empresarial de Microsoft raíz: esta opción le permite crear una entidadde certificación empresarial de Microsoft en la nube de con y unirla a su dominio de . Esta entidadde certificación raíz puede emitir el certificado para los controladores de dominio. Para obtener másinformación acerca de cómo configurar una nueva entidad de certificación raíz, consulte Instalación deuna entidad de certificación raíz en el sitio web de Microsoft TechNet.
Para obtener más información acerca de cómo unir la instancia EC2 al dominio, consulte Unir una instanciaEC2 al directorio de AWS Managed Microsoft AD (p. 42).
Paso 3: Crear una plantilla de certificado
Después de configurar la entidad de certificación empresarial, puede crear una plantilla de certificadoLDAPS personalizada en Active Directory. La plantilla de certificado se debe crear con la autenticación delservidor y la inscripción automática habilitadas. Para obtener más información, consulte Creación de unaplantilla de certificado nueva en el sitio web de Microsoft TechNet.
Para crear una plantilla de certificado
1. Inicie sesión en su entidad de certificación con las credenciales de administrador2. Lance el Administrador del servidor y, a continuación, elija Herramientas, Entidad de certificación.3. En la ventana de entidad de certificación, expanda el árbol de la entidad de certificación en el panel
izquierdo. Haga clic con el botón derecho en las plantillas de certificado y luego elija Administrar.
Version 1.028
AWS Directory Service Guía de administraciónProtección de su directorio
4. En la ventana de la consola de plantillas de certificado, haga clic con el botón derecho en Controladorde dominio y luego elija Plantilla duplicada.
5. En la ventana de propiedades de la nueva plantilla, cambie a la pestaña General y cambie el valor deNombre para mostrar de la plantilla por ServerAuthentication.
6. Cambie a la pestaña Seguridad y elija Controladores de dominio en la sección de nombres deusuarios o grupo. Marque la casilla de verificación de inscripción automática en la sección de permisospara controladores de dominio.
7. Cambie a la pestaña Extensiones, elija Directivas de aplicación en la sección Extensiones incluidas enesta plantilla y luego elija Modificar.
8. En la ventana Editar extensión de directivas de aplicación, elija Autenticación del cliente y elija Quitar.Haga clic en Aceptar para crear la plantilla de certificado ServerAuthentication y luego cierre laventana Consola de plantillas de certificado.
9. En la ventana Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y elijaNuevo, Plantilla de certificado que se va a emitir.
10. En la ventana Habilitar plantillas de certificados, elija ServerAuthentication y luego haga clic enAceptar.
Paso 4: Añadir reglas de grupos de seguridad
En el último paso debe abrir la consola de Amazon EC2 y añadir reglas de grupos de seguridad para quelos controladores de dominio puedan conectarse a la entidad de certificación empresarial para solicitar uncertificado. Para ello, tiene que añadir reglas de entrada para que su entidad de certificación empresarialpuede aceptar el tráfico entrante desde los controladores de dominio. A continuación, añada reglas desalida para permitir el tráfico desde los controladores de dominio a la entidad de certificación empresarial.
Una vez que ambas reglas se han configurado, los controladores de dominio solicitan automáticamente uncertificado de su entidad de certificación empresarial y habilitan LDAPS para su directorio. El servicio deLDAP en los controladores de dominio ya está listo para aceptar conexiones LDAPS.
Para configurar reglas de grupos de seguridad
1. Vaya a la consola de Amazon EC2 en https://console.aws.amazon.com/ec2 e inicie sesión con lascredenciales de administrador.
2. En el panel izquierdo, elija Security Groups en Network & Security.3. En el panel principal, elija el grupo de seguridad de AWS para la entidad de certificación.4. Elija la pestaña Inbound y, a continuación, elija Edit.5. En el cuadro de diálogo Edit inbound rules, haga lo siguiente:
• Seleccione Add Rule.• Elija All traffic en Type y Custom en Source.• Escriba el grupo de seguridad de AWS de la entidad de certificación en la casilla situada junto a
Source (Origen).• Seleccione Save.
6. Ahora elija el grupo de seguridad de AWS de su directorio de AWS Managed Microsoft AD. Elija lapestaña Outbound y, a continuación, elija Edit.
7. En el cuadro de diálogo Edit outbound rules, haga lo siguiente:
• Seleccione Add Rule.• Elija All traffic en Type y Custom en Destination.• Escriba el grupo de seguridad de AWS de la entidad de certificación en la casilla situada junto a
Destination (Destino).• Seleccione Save.
Version 1.029
AWS Directory Service Guía de administraciónProtección de su directorio
Puede probar la conexión LDAPS con el directorio de AWS Managed Microsoft AD mediante laherramienta LDP. La herramienta LDP viene con las herramientas de administración de ActiveDirectory. Para obtener más información, consulte Instalar las herramientas de administración de ActiveDirectory (p. 57).
Note
Antes de probar la conexión LDAPS, debe esperar hasta 180 minutos a que la entidad decertificación subordinada emita un certificado para los controladores de dominio.
Para obtener más información acerca de LDAPS y ver un caso de uso de ejemplo sobre cómo configurarlo,consulte How to Enable LDAPS for Your AWS Managed Microsoft AD Directory en el blog de seguridad deAWS.
Administración de la conformidad en AWS Managed Microsoft ADPuede usar AWS Managed Microsoft AD para utilizar sus aplicaciones compatibles con Active Directoryen la nube de sujetas a los siguientes requisitos de conformidad. Sin embargo, sus aplicaciones no seatendrán a los requisitos de conformidad si utiliza AD sencillo o Conector de AD.
Estándares de conformidad admitidosAWS Managed Microsoft AD ha sido sometido a auditorías para los siguientes estándares y puedeutilizarse en soluciones para las que se exija certificación de conformidad.
AWS Managed Microsoft AD dispone de declaración deconformidad para el estándar de seguridad de datos delsector de tarjetas de pago (PCI DSS) versión 3.2 de nivelde proveedor de servicios 1. Los clientes que utilizan losproductos y servicios de AWS para almacenar, procesar otransmitir datos de titulares de tarjetas pueden utilizar AWSManaged Microsoft AD al administrar su propia certificación deconformidad con PCI DSS.
Para obtener más información acerca de PCI DSS, incluidocómo solicitar una copia del Paquete de conformidad conPCI de AWS, consulte PCI DSS Nivel 1. Nota importante:debe configurar políticas de contraseñas detalladas en AWSManaged Microsoft AD para garantizar la coherencia con losestándares de la versión 3.2 de PCI DSS. Para obtener másinformación sobre las políticas que deben aplicarse, consulteCómo habilitar la conformidad con PCI en su directorio deAWS Managed Microsoft AD (p. 31).
AWS ha ampliado el programa de conformidad con la Ley deportabilidad y responsabilidad de seguros médicos (HIPAA)para incluir a AWS Managed Microsoft AD como serviciocompatible con HIPAA. Si ha formalizado un acuerdo de socioempresarial (BAA) con AWS, puede utilizar AWS ManagedMicrosoft AD para crear aplicaciones compatibles con HIPAA.
AWS ofrece además un documento técnico dedicado aHIPAA para los clientes que deseen informarse acerca decómo pueden aprovechar AWS para procesar y almacenarinformación relacionada con la salud. Para obtener másinformación, consulte Conformidad con HIPAA.
Version 1.030
AWS Directory Service Guía de administraciónMonitorización de su directorio
Responsabilidad compartidaLa seguridad, incluida la conformidad con HIPAA y PCI, es una responsabilidad compartida. Es importantecomprender que el estado de conformidad de AWS Managed Microsoft AD no se aplica automáticamente alas aplicaciones que ejecute en la nube de AWS. Debe asegurarse de que el uso de los servicios de AWScumpla con los estándares.
Cómo habilitar la conformidad con PCI en su directorio de AWS ManagedMicrosoft ADPara habilitar la conformidad con PCI de su directorio de AWS Managed Microsoft AD, debe configurarpolíticas detalladas de contraseñas según lo especificado en la declaración de conformidad (AOC) paraPCI DSS y en un documento de resumen de responsabilidad facilitado por AWS Artifact.
Para obtener más información acerca del uso de políticas de contraseñas detalladas, consulteAdministración de las políticas de contraseñas para AWS Managed Microsoft AD (p. 22).
Monitorización de su AWS Managed Microsoft ADPuede monitorear su directorio de AWS Managed Microsoft AD con los siguientes métodos:
Temas• Descripción de los estados del directorio (p. 31)• Configuración de notificaciones de estado de los directorios (p. 32)• Revisión de los logs del directorio de AWS Managed Microsoft AD (p. 33)
Descripción de los estados del directorioThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 5 to 30 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Impaired
The directory is running in a degraded state. One or more issues have been detected, and not alldirectory operations may be working at full operational capacity. Typically AWS resolves these issues
Version 1.031
AWS Directory Service Guía de administraciónMonitorización de su directorio
within 40 minutes. If your directory is in an Impaired state longer than 40 minutes, we recommend thatyou contact the AWS Support Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see Creación de unainstantánea o restauración del directorio (p. 84).
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Motivos de los estados del directorio de Simple AD (p. 189).
Configuración de notificaciones de estado de los directoriosUsing Amazon Simple Notification Service (Amazon SNS), you can receive email or text (SMS) messageswhen the status of your directory changes. You get notified if your directory goes from an Active status toan Impaired or Inoperable status. You also receive a notification when the directory returns to an Activestatus.
How It Works
Amazon SNS uses “topics” to collect and distribute messages. Each topic has one or more subscriberswho receive the messages that have been published to that topic. Using the steps below you can add AWSDirectory Service as publisher to an Amazon SNS topic. When AWS Directory Service detects a change inyour directory’s status, it publishes a message to that topic, which is then sent to the topic's subscribers.
You can associate multiple directories as publishers to a single topic. You can also add directory statusmessages to topics that you’ve previously created in Amazon SNS. You have detailed control over whocan publish to and subscribe to a topic. For complete information about Amazon SNS, see What is AmazonSNS?.
To enable SNS messaging for your directory
1. Sign in to the Consola de administración de AWS and open the AWS Directory Service console athttps://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, choose Actions, and then select Create notification.5. On the Create notification page, select Choose a notification type, and then choose Create a new
notification. Alternatively, if you already have an existing SNS topic, you can choose Associate existingSNS topic to send status messages from this directory to that topic.
Version 1.032
AWS Directory Service Guía de administraciónMonitorización de su directorio
Note
If you choose Create a new notification but then use the same topic name for an SNStopic that already exists, Amazon SNS does not create a new topic, but just adds the newsubscription information to the existing topic.If you choose Associate existing SNS topic, you will only be able to choose an SNS topic thatis in the same region as the directory.
6. Choose the Recipient type and enter the Recipient contact information. If you enter a phone number forSMS, use numbers only. Do not include dashes, spaces, or parentheses.
7. (Optional) Provide a name for your topic and an SNS display name. The display name is a short nameup to 10 characters that is included in all SMS messages from this topic. When using the SMS option,the display name is required.
Note
If you are logged in using an IAM user or role that has only the DirectoryServiceFullAccessmanaged policy, your topic name must start with “DirectoryMonitoring”. If you’d like to furthercustomize your topic name you’ll need additional privileges for SNS.
8. Choose Create.
If you want to designate additional SNS subscribers, such as an additional email address,Amazon SQS queues or AWS Lambda, you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v2/home.
To remove directory status messages from a topic
1. Sign in to the Consola de administración de AWS and open the AWS Directory Service console athttps://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, select an SNS topic name in the list, choose Actions, and then
select Remove.5. Choose Remove.
This removes your directory as a publisher to the selected SNS topic. If you want to delete the entire topic,you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v2/home.
Note
Before deleting an Amazon SNS topic using the SNS console, you should ensure that a directoryis not sending status messages to that topic.If you delete an Amazon SNS topic using the SNS console, this change will not immediately bereflected within the Directory Services console. You would only be notified the next time a directorypublishes a notification to the deleted topic, in which case you would see an updated status on thedirectory’s Monitoring tab indicating the topic could not be found.Therefore, to avoid missing important directory status messages, before deleting any topic thatreceives messages from AWS Directory Service, associate your directory with a different AmazonSNS topic.
Revisión de los logs del directorio de AWS Managed MicrosoftADLos logs de seguridad de las instancias de controlador de dominios de AWS Managed Microsoft AD searchivan durante un año. En caso de que se produzca una auditoría para investigar un posible caso de
Version 1.033
AWS Directory Service Guía de administraciónMonitorización de su directorio
incumplimiento u otros eventos de seguridad, puede solicitar una copia de sus logs de seguridad si sepone en contacto con AWS Support.
AWS registra los siguientes eventos relacionados con cuestiones de conformidad.
Categoría de monitorización Configuración de la política Estado de la auditoría
Inicio de sesión de la cuenta Auditar validación decredenciales
Correcto o error
Administración de cuentas Auditar administración decuentas de equipo
Correcto o error
Auditar otros eventos deadministración de cuentas
Correcto o error
Auditar administración de gruposde seguridad
Correcto o error
Auditar administración decuentas de usuario
Correcto o error
Seguimiento detallado Auditar creación de procesos Correcto
Acceso DS Auditar el acceso del servicio dedirectorio
Correcto o error
Auditar cambios de servicio dedirectorio
Correcto o error
Inicio/cierre de sesión Auditar éxito en bloqueo decuentas
Correcto o error
Auditar cierre de sesión Correcto
Auditar inicio de sesión Correcto o error
Auditar inicio de sesión especial Correcto
Acceso de objetos Auditar almacenamiento extraíble Correcto o error
Auditar almacenamientoprovisional de directiva deacceso central
Correcto o error
Cambio de políticas Auditar el cambio de políticas Correcto o error
Auditar cambio de política deautenticación
Correcto
Auditar cambio de política deautorización
Correcto o error
Uso de privilegios Auditar uso de privilegiosconfidenciales
Correcto o error
Fallo en Auditoría controlador IPsec Correcto o error
Auditar otros eventos del sistema Correcto o error
Version 1.034
AWS Directory Service Guía de administraciónCompartir el directorio
Categoría de monitorización Configuración de la política Estado de la auditoría
Auditar cambio de estado deseguridad
Correcto o error
Auditar extensión del sistema deseguridad
Correcto o error
Auditar integridad del sistema Correcto o error
Compartir el directorioAWS Managed Microsoft AD se integra sin problemas con AWS Organizations para permitir el usocompartido sencillo de varias cuentas de AWS. Puede compartir un directorio único con otras cuentas deAWS de confianza dentro de la misma organización o compartir el directorio con otras cuentas de AWSque están fuera de su organización. También puede compartir su directorio cuando su cuenta de AWS noes actualmente miembro de una organización.
Note
AWS cobra un cargo adicional por el uso compartido del directorio. Para obtener más información,consulte la página Precios en el sitio web de AWS Directory Service.
El uso compartido de directorio hace que AWS Managed Microsoft AD sea una forma más rentable deintegración con Amazon EC2 en varias cuentas y VPC. El uso compartido de directorios está disponible entodas las regiones de AWS donde se ofrece AWS Managed Microsoft AD.
Note
En la región de AWS China (Ningxia), esta característica solo está disponible cuando se utilizaAWS Systems Manager (SSM) para unir fácilmente sus instancias de Amazon EC2.
Para obtener más información acerca del uso compartido de directorios y cómo ampliar el alcance desu directorio AWS Managed Microsoft AD más allá de los límites de una cuenta de AWS, consulte lossiguientes temas.
Temas• Conceptos clave de uso compartido de directorios (p. 35)• Tutorial: Uso compartido del directorio AWS Managed Microsoft AD para unión de dominio EC2
sencilla (p. 37)
Conceptos clave de uso compartido de directoriosSacará el máximo partido de la característica de uso compartido de directorio si se familiariza con lossiguientes conceptos clave.
Version 1.035
AWS Directory Service Guía de administraciónCompartir el directorio
Cuenta del propietario de directorio
Un propietario de directorio es el titular de la cuenta de AWS que posee el directorio de origen en larelación de directorio compartido. Un administrador de esta cuenta inicia el flujo de trabajo de usocompartido de directorio especificando las cuentas de AWS con las que compartir su directorio. Lospropietarios del directorio pueden ver con quién han compartido un directorio utilizando la pestaña Scale &Share (Escalar y compartir) para un directorio determinado en la consola de AWS Directory Service.
Cuenta del consumidor de directorio
En una relación de directorio compartido, un consumidor de directorio representa la cuenta de AWS conla que el propietario del directorio ha compartido el directorio. En función del método de uso compartidoutilizado, es posible que un administrador de esta cuenta tenga que aceptar la invitación enviada por elpropietario del directorio antes de que pueda comenzar a utilizar el directorio compartido.
El proceso de uso compartido del directorio crea un directorio compartido en la cuenta del consumidorde directorio. Este directorio compartido contiene los metadatos que permiten a la instancia EC2 unirsefácilmente al dominio, que localiza el directorio de origen en la cuenta del propietario del directorio. Cadadirectorio compartido en la cuenta del consumidor de directorio tiene un identificador único (Shareddirectory ID [ID de directorio compartido]).
Métodos de uso compartido
AWS Managed Microsoft AD proporciona los dos métodos de uso compartido de directorio siguientes:
• AWS Organizations: Este método facilita compartir el directorio con su organización, ya que puedeexaminar y validar las cuentas del consumidor de directorio. Para utilizar esta opción, la organizacióndebe tener habilitadaAll features (Todas las características) y el directorio debe estar en la cuentamaestra de la organización. Este método de uso compartido simplifica la configuración, ya que nose requiere que las cuentas de consumidor del directorio acepten su solicitud de uso compartido deldirectorio. En la consola, este método se denomina Share this directory with AWS accounts inside yourorganization (Compartir este directorio con cuentas de dentro de su organización).
• Handshake (Protocolo de enlace): Este método habilita el uso compartido de directorios cuando noutiliza AWS Organizations. El método de protocolo de enlace requiere que la cuenta del consumidor deldirectorio acepte la solicitud de uso compartido del directorio. En la consola, este método se denominaShare this directory with other AWS accounts (Compartir este directorio con otras cuentas de ).
Version 1.036
AWS Directory Service Guía de administraciónCompartir el directorio
Interconexión de VPC
La interconexión con VPC es una conexión de redes realizada entre dos VPC a través de la cual puededirigir tráfico. Se trata de un requisito previo para la configuración de una relación de uso compartido dedirectorios entre cuentas de AWS. Para obtener más información, consulte ¿Qué es una interconexión deVPC?.
Para empezar, consulte Tutorial: Uso compartido del directorio AWS Managed Microsoft AD para unión dedominio EC2 sencilla (p. 37).
Tutorial: Uso compartido del directorio AWS Managed MicrosoftAD para unión de dominio EC2 sencillaEn este tutorial se muestra cómo compartir su directorio AWS Managed Microsoft AD (la cuenta delpropietario de directorio) con otra cuenta de AWS (la cuenta del consumidor de directorio). Una vezcompletados los requisitos previos de red, compartirá un directorio entre dos cuentas de AWS. Acontinuación, aprenderá a unir de forma sencilla una instancia EC2 a un dominio en la cuenta delconsumidor de directorio.
Le recomendamos que revise primero los conceptos clave de uso compartido de directorios y utilice elcontenido de caso de uso antes de comenzar a trabajar con este tutorial. Para obtener más información,consulte Conceptos clave de uso compartido de directorios (p. 35).
El proceso para compartir su directorio varía en función de si desea compartir el directorio con otra cuentade AWS en la misma organización de AWSo con una cuenta que se encuentra fuera de la organizaciónde AWS. Para obtener más información sobre cómo funciona el uso compartido, consulte Métodos de usocompartido (p. 36).
Este flujo de trabajo incluye cuatro pasos básicos.
Paso 1: Configurar el entorno de red (p. 38)
En la cuenta del propietario de directorio, configure todos los requisitos previos de red necesarios parael proceso de uso compartido de directorio.
Paso 2: Compartir el directorio (p. 39)
Cuando haya iniciado sesión con credenciales de administrador de propietario del directorio, abra laconsola de AWS Directory Service y comience el flujo de trabajo de uso compartido de directorio, queenvía una invitación a la cuenta del consumidor de directorio.
Paso 3: Aceptar invitación de directorio compartido (Opcional) (p. 40)
Después de haber iniciado sesión con credenciales de administrador de consumidor de directorio,abra la consola de AWS Directory Service y acepte la invitación de uso compartido de directorio.
Version 1.037
AWS Directory Service Guía de administraciónCompartir el directorio
Paso 4: Probar la unión sencilla de EC2 a un dominio (p. 41)
Por último, como administrador de consumidor de directorio, intente unir una instancia EC2 a sudominio y verifique que funciona.
Recursos adicionales
• Caso de uso: Compartir su directorio para unir sin problemas instancias de Amazon EC2 a un dominio através de cuentas de AWS
• Artículo del blog AWS Security: How to Join Amazon EC2 Instances From Multiple Accounts and VPCsto a Single AWS Managed Microsoft AD Directory
Paso 1: Configurar el entorno de red
Antes de comenzar los pasos de este tutorial, debe hacer lo siguiente:
• Cree dos cuentas de AWS nuevas con fines de prueba en la misma región. Al crear una cuenta de AWS,se crea automáticamente una nube virtual privada (VPC) dedicada en cada cuenta. Tome nota del ID deVPC en cada cuenta. Necesitará este valor más adelante.
• Cree una interconexión con VPC entre las dos VPC en cada cuenta utilizando los procedimientos que seindican en este paso.
Configure una interconexión de VPC entre la cuenta del propietario de directorio y la delconsumidor de directorio
La interconexión de VPC que creará es entre las VPC del consumidor de directorio y del propietario dedirectorio. Siga estos pasos para configurar una interconexión con VPC para conectividad con la cuenta delconsumidor de directorio. Con esta conexión puede dirigir el tráfico entre ambas VPC mediante direccionesIP privadas.
Para crear una interconexión de VPC entre la cuenta del propietario de directorio y la delconsumidor de directorio
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/. Asegúrese de iniciar sesióncomo usuario con credenciales de administrador en la cuenta del propietario de directorio.
2. En el panel de navegación, elija Peering Connections. A continuación, elija Create Peering Connection(Crear interconexión).
3. Configure la información siguiente:
• Peering connection name tag (Etiqueta de nombre de interconexión): Proporcione un nombre queidentifique claramente esta conexión con la VPC en la cuenta del consumidor de directorio.
• VPC (Requester) [VPC (Solicitante)]: Seleccione el ID de VPC para la cuenta del propietario dedirectorio.
• En Select another VPC to peer with (Seleccionar otra VPC para interconexión), asegúrese de queMy account (Mi cuenta) y This region (Esta región) estén seleccionados.
• VPC (Accepter) [VPC (Receptora)]: Seleccione el ID de VPC para la cuenta del consumidor dedirectorio.
4. Elija Create Peering Connection (Crear interconexión). En el cuadro de diálogo de confirmación, elijaOK.
Dado que ambas VPC se encuentran en la misma región, el administrador de la cuenta del propietariode directorio que envió la solicitud de interconexión de VPC también puede aceptar la solicitud deinterconexión en nombre de la cuenta del consumidor de directorio.
Version 1.038
AWS Directory Service Guía de administraciónCompartir el directorio
Para aceptar la solicitud de interconexión en nombre de la cuenta del consumidor de directorio
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Peering Connections.3. Seleccione la interconexión de VPC pendiente. (Su estado es Pendiente de aceptación). Elija Actions
(Acciones), Accept Request (Aceptar solicitud).4. En el cuadro de diálogo de confirmación, elija Yes, Accept. En el siguiente cuadro de diálogo
de confirmación, elija Modify my route tables now (Modificar mis tablas de ruteo ahora) para irdirectamente a la página de tablas de ruteo.
Ahora que su interconexión de VPC está activa, deberá añadir una entrada en la tabla de ruteo de su VPCen la cuenta del propietario de directorio. De esta forma, permite el direccionamiento del tráfico a la VPCen la cuenta del consumidor de directorio.
Para añadir una entrada a la tabla de ruteo de VPC en la cuenta del propietario del directorio
1. Mientras esté en la sección Route Tables (Tablas de ruteo) de la consola de Amazon VPC, seleccionela tabla de ruteo para la VPC de propietario de directorio.
2. Elija la pestaña Routes (Rutas), elija Edit (Editar) y, a continuación, Add another route (Añadir otraruta).
3. En la columna Destination (Destino), escriba el bloque de CIDR de la VPC de consumidor dedirectorio.
4. En la columna Target (Objetivo), escriba el ID de interconexión de VPC (porejemplopcx-123456789abcde000) para la interconexión que creó anteriormente en la cuenta delpropietario de directorio.
5. Seleccione Save.
Para añadir una entrada a la tabla de ruteo de VPC en la cuenta del consumidor de directorio
1. Mientras esté en la sección Route Tables (Tablas de ruteo) de la consola de Amazon VPC, seleccionela tabla de ruteo para la VPC de consumidor de directorio.
2. Elija la pestaña Routes (Rutas), elija Edit (Editar) y, a continuación, Add another route (Añadir otraruta).
3. En la columna Destination (Destino), escriba el bloque de CIDR de la VPC de propietario de directorio.4. En la columna Target (Objetivo), escriba el ID de interconexión de VPC (por
ejemplopcx-123456789abcde001) para la interconexión que creó anteriormente en la cuenta delconsumidor de directorio.
5. Seleccione Save.
Asegúrese de configurar el grupo de seguridad de las VPC de consumidor de directorio para habilitarel tráfico saliente añadiendo los puertos y protocolos de Active Directory a la tabla de reglas salientes.Para obtener más información, consulte Grupos de seguridad para su VPC y Requisitos previos de AWSManaged Microsoft AD.
Paso siguiente
Paso 2: Compartir el directorio (p. 39)
Paso 2: Compartir el directorio
Utilice los siguientes procedimientos para iniciar el flujo de trabajo de uso compartido del directorio desdela cuenta del propietario de directorio.
Version 1.039
AWS Directory Service Guía de administraciónCompartir el directorio
Para compartir su directorio desde la cuenta del propietario de directorio
1. Inicie sesión en la Consola de administración de AWS con credenciales de administradoren la cuenta del propietario de directorio y abra la AWS Directory Service console en https://console.aws.amazon.com/directoryservicev2/.
2. En el panel de navegación, elija Directories (Directorios).3. Elija el ID de directorio del directorio AWS Managed Microsoft AD que desea compartir.4. En la página Directory details (Detalles de directorio), seleccione la pestaña Scale & share (Escalar y
compartir).5. En la sección Shared directories (Directorios compartidos), seleccione Actions (Acciones) y, a
continuación, elija Create new shared directory (Crear nuevo directorio compartido).6. En la página Choose which AWS accounts to share with (Elegir con qué cuentas de AWS se
compartirá), elija uno de los siguientes métodos de uso compartido en función de las necesidadesempresariales:
a. Share this directory with AWS accounts inside your organization (Compartir este directorio con lascuentas de AWS de la organización): Con esta opción, puede seleccionar las cuentas de AWScon las que desea compartir su directorio a partir de una lista que muestra todas las cuentasde AWS dentro de su organización de AWS. Debe habilitar el acceso de confianza con AWSDirectory Service antes de compartir un directorio. Para obtener más información, consulte Cómohabilitar o deshabilitar el acceso de confianza.
i. En AWS accounts in your organization (Cuentas de AWS en la organización), seleccione lascuenta de AWS con las que desea compartir el directorio y haga clic en Add (Añadir).
ii. Revise la información sobre precios y luego seleccione Share (Compartir).iii. Continúe en el Paso 4 (p. 41) de esta guía. Dado que todas las cuentas de AWS se
encuentran en la misma organización, no es necesario que siga el paso 3.b. Share this directory with other AWS accounts (Compartir este directorio con otras cuentas
de AWS): Con esta opción, puede compartir un directorio con cuentas dentro o fuera de suorganización de AWS. También puede utilizar esta opción cuando el directorio no es miembro deuna organización de AWS y desea compartir con otra cuenta de AWS.
i. En AWS account ID(s) [ID de cuentas de ], escriba todos los ID de cuentas de AWS con lasque desea compartir el directorio y, a continuación, haga clic en Add (Añadir).
ii. En Send a note (Enviar una nota), escriba un mensaje al administrador en la otra cuenta deAWS.
iii. Revise la información sobre precios y luego seleccione Share (Compartir).iv. Continúe con el paso 3.
Paso siguiente
Paso 3: Aceptar invitación de directorio compartido (Opcional) (p. 40)
Paso 3: Aceptar invitación de directorio compartido (Opcional)
Si eligió la opción Share this directory with other AWS accounts (Compartir este directorio con otrascuentas de AWS) (método de protocolo de enlace) en el procedimiento anterior, debería utilizar esteprocedimiento para finalizar el flujo de trabajo de directorio compartido. Si eligió la opción Share thisdirectory with AWS accounts inside your organization (Compartir este directorio con las cuentas de AWSde la organización), omita este paso y continúe en el Paso 4.
Version 1.040
AWS Directory Service Guía de administraciónCompartir el directorio
Para aceptar la invitación al directorio compartido
1. Inicie sesión en la Consola de administración de AWS con credenciales de administrador enla cuenta del consumidor de directorio y abra la AWS Directory Service console en https://console.aws.amazon.com/directoryservicev2/.
2. En el panel de navegación, elija Directories shared with me (Directorios compartidos conmigo).3. En la columna Shared directory ID (ID de directorio compartido), elija el ID de directorio que tiene el
estado Pending acceptance (Pendiente de aceptación).4. En la página Shared directory details (Detalles de directorio compartido), elija Review (Revisar).5. En el cuadro de diálogo Pending shared directory invitation (Invitación a directorio compartido
pendiente), revise la nota, detalles de propietario de directorio e información acerca del precio. Si estáde acuerdo, seleccione Accept (Aceptar) para empezar a utilizar el directorio.
Paso siguiente
Paso 4: Probar la unión sencilla de EC2 a un dominio (p. 41)
Paso 4: Probar la unión sencilla de EC2 a un dominio
Utilice este paso en la cuenta del consumidor de directorio. En este ejemplo utilizamos la consola deAmazon EC2, pero también puede utilizar AWS Administrador de sistemas.
This procedure will seamlessly join a Windows EC2 instance to your directory.
To seamlessly join a Windows EC2 instance
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
2. From the region selector in the navigation bar, select the same region as the existing directory.3. From the Amazon EC2 console dashboard, choose Launch Instance.4. On the Step 1 page, select the appropriate AMI.5. On the Step 2 page, select the appropriate instance type, and then choose Next.6. On the Step 3 page, do the following, and then choose Next :
1. For Network, choose the VPC that your directory was created in.2. For Subnet, select one of the public subnets in your VPC. The subnet you select must have all
external traffic routed to an Internet gateway. If this is not the case, you won't be able to connect tothe instance remotely.
3. For Auto-assign Public IP, choose Enable (if the subnet setting is not set to enable by default). Formore information about public and private IP addressing, see Amazon EC2 Instance IP Addressingin the Amazon EC2 User Guide for Linux Instances.
4. For Domain join directory, select your domain from the Domain join directory list. To seamlesslyjoin the instance, you also need an IAM role that has the AmazonEC2RoleforSSM managed policyattached to it. Select the IAM role that has permission from the IAM role list. If you choose thisoption, you will not have to manually join the instance to the domain as that will be done for youwhen the instance is launched.
Note
This option is only available for Windows instances. Linux instances must be manuallyjoined to the directory as explained in Cómo unir manualmente una instancia deLinux (p. 45).
5. For IAM role, optionally choose the Create new IAM role link to create a new IAM role and attach theAmazonEC2RoleforSSM policy, and then on the Roles page, do the following:
Version 1.041
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
a. Select the Create role button.b. Under AWS service, select the EC2 link, and then click Next.c. Under Select your use case, select EC2, and then select Next.d. In the list of polices, select the AmazonEC2RoleforSSM policy, and then select Next.e. In Role name, type a name for your new role (For example, EC2DomainJoin), in Role description
type a description (optional), and then select the Create role button.7. Go back to the Step 3 page, for IAM role, choose the refresh icon next to the IAM role field. Your new
role should be visible in the drop down menu. Select it, and leave the rest of the settings on this pagewith their default values, and then select Next.
8. Continue through the remaining pages in the wizard using your preferred settings.
Note
The security group you select for the instance (on the Step 6 page) must allow remote accessto the instance from your network.
Ahora debe poder unir la instancia EC2 al dominio. Una vez que lo haya hecho, puede iniciar sesión en lainstancia utilizando un cliente de protocolo de escritorio remoto (RDP) con las credenciales de su cuentade usuario AWS Managed Microsoft AD.
Recursos adicionales
• Caso de uso: Compartir su directorio para unir sin problemas instancias de Amazon EC2 a un dominio através de cuentas de AWS
• Artículo del blog de AWS Security: How to Join Amazon EC2 Instances From Multiple Accounts andVPCs to a Single AWS Managed Microsoft AD Directory
Unir una instancia EC2 al directorio de AWS ManagedMicrosoft ADYou can seamlessly join an EC2 instance to your directory domain when the instance is launched using theAmazon EC2 Systems Manager. For more information, see Seamlessly Joining a Windows Instance to anAWS Directory Service Domain in the Guía del usuario de Amazon EC2 para instancias de Windows.
If you need to manually join an EC2 instance to your domain, you must launch the instance in the properregion and security group or subnet, then join the instance to the domain.
To be able to connect remotely to these instances, you must have IP connectivity to the instances from thenetwork you are connecting from. In most cases, this requires that an Internet gateway be attached to yourVPC and that the instance has a public IP address.
Temas• Cómo unir fácilmente una instancia EC2 de Windows (p. 42)• Cómo unir manualmente una instancia de Windows (p. 43)• Cómo unir manualmente una instancia de Linux (p. 45)• Delegación de privilegios de unión a directorios para AWS Managed Microsoft AD (p. 52)• Cree un conjunto de opciones de DHCP (p. 54)
Cómo unir fácilmente una instancia EC2 de WindowsThis procedure will seamlessly join a Windows EC2 instance to your directory.
Version 1.042
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
To seamlessly join a Windows EC2 instance
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
2. From the region selector in the navigation bar, select the same region as the existing directory.3. From the Amazon EC2 console dashboard, choose Launch Instance.4. On the Step 1 page, select the appropriate AMI.5. On the Step 2 page, select the appropriate instance type, and then choose Next.6. On the Step 3 page, do the following, and then choose Next :
1. For Network, choose the VPC that your directory was created in.2. For Subnet, select one of the public subnets in your VPC. The subnet you select must have all
external traffic routed to an Internet gateway. If this is not the case, you won't be able to connect tothe instance remotely.
3. For Auto-assign Public IP, choose Enable (if the subnet setting is not set to enable by default). Formore information about public and private IP addressing, see Amazon EC2 Instance IP Addressingin the Amazon EC2 User Guide for Linux Instances.
4. For Domain join directory, select your domain from the Domain join directory list. To seamlesslyjoin the instance, you also need an IAM role that has the AmazonEC2RoleforSSM managed policyattached to it. Select the IAM role that has permission from the IAM role list. If you choose thisoption, you will not have to manually join the instance to the domain as that will be done for youwhen the instance is launched.
Note
This option is only available for Windows instances. Linux instances must be manuallyjoined to the directory as explained in Cómo unir manualmente una instancia deLinux (p. 45).
5. For IAM role, optionally choose the Create new IAM role link to create a new IAM role and attach theAmazonEC2RoleforSSM policy, and then on the Roles page, do the following:a. Select the Create role button.b. Under AWS service, select the EC2 link, and then click Next.c. Under Select your use case, select EC2, and then select Next.d. In the list of polices, select the AmazonEC2RoleforSSM policy, and then select Next.e. In Role name, type a name for your new role (For example, EC2DomainJoin), in Role description
type a description (optional), and then select the Create role button.7. Go back to the Step 3 page, for IAM role, choose the refresh icon next to the IAM role field. Your new
role should be visible in the drop down menu. Select it, and leave the rest of the settings on this pagewith their default values, and then select Next.
8. Continue through the remaining pages in the wizard using your preferred settings.
Note
The security group you select for the instance (on the Step 6 page) must allow remote accessto the instance from your network.
Cómo unir manualmente una instancia de WindowsTo manually join an existing Amazon EC2 Windows instance to a Simple AD or AWS Directory Service forMicrosoft Active Directory directory, the instance must be launched as specified in Cómo unir fácilmenteuna instancia EC2 de Windows (p. 42).
Version 1.043
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
To join a Windows instance to a Simple AD or AWS Managed Microsoft AD directory
1. Connect to the instance using any Remote Desktop Protocol client.2. Open the TCP/IPv4 properties dialog box on the instance.
a. Open Network Connections.
Tip
You can open Network Connections directly by running the following from a commandprompt on the instance.
%SystemRoot%\system32\control.exe ncpa.cpl
b. Open the context menu (right-click) for any enabled network connection and then chooseProperties.
c. In the connection properties dialog box, open (double-click) Internet Protocol Version 4.3. (Optional) Select Use the following DNS server addresses, change the Preferred DNS server and
Alternate DNS server addresses to the IP addresses of the AWS Directory Service-provided DNSservers, and choose OK.
4. Open the System Properties dialog box for the instance, select the Computer Name tab, and chooseChange.
Tip
You can open the System Properties dialog box directly by running the following from acommand prompt on the instance.
%SystemRoot%\system32\control.exe sysdm.cpl
5. In the Member of field, select Domain, enter the fully-qualified name of your AWS Directory Servicedirectory, and choose OK.
Version 1.044
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
6. When prompted for the name and password for the domain administrator, enter the username andpassword of an account that has domain join privileges. For more information about delegatingthese privileges, see Delegación de privilegios de unión a directorios para AWS Managed MicrosoftAD (p. 52).
Note
You can enter either the fully-qualified name of your domain or the NetBios name, followed bya backslash (\), and then the user name, in this case, Admin. For example, corp.example.com\Admin or corp\Admin.
7. After you receive the message welcoming you to the domain, restart the instance to have the changestake effect.
Now that your instance has been joined to the domain, you can log into that instance remotely and installutilities to manage the directory, such as adding users and groups.
Cómo unir manualmente una instancia de LinuxAdemás de instancias Amazon EC2 de Windows, también puede unir determinadas instancias AmazonEC2 de Linux a su directorio de AWS Directory Service for Microsoft Active Directory. Son compatibles lassiguientes distribuciones y versiones de instancias de Linux:
• Amazon Linux AMI 2015.03• Red Hat Enterprise Linux 7.2• Ubuntu Server 14.04 LTS• CentOS 7
Note
Other Linux distributions and versions may work but have not been tested.
Unir una instancia al directorioBefore you can join either an Amazon Linux, CentOS, Red Hat, or Ubuntu instance to your directory,the instance must first be launched as specified in Cómo unir fácilmente una instancia EC2 deWindows (p. 42).
Important
Some of the following procedures, if not performed correctly, can render your instanceunreachable or unusable. Therefore, we strongly suggest you make a backup or take a snapshotof your instance before performing these procedures.
Para unir una instancia de Linux al directorio
Siga los pasos para su instancia de Linux específica mediante una de las siguientes pestañas:
Amazon Linux
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your Amazon Linux - 64bit instance is up to date.
Version 1.045
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
$ sudo yum -y update
4. Install the required Amazon Linux packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
Amazon Linux 1
$ sudo yum -y install sssd realmd krb5-workstation
Amazon Linux 2
$ sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.
$ sudo realm join -U [email protected] example.com --verbose
An account in the example.com domain that has domain join privileges. Enter the passwordfor the account when prompted. For more information about delegating these privileges, seeDelegación de privilegios de unión a directorios para AWS Managed Microsoft AD (p. 52).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
7. Start the SSSD service.
$ sudo systemctl start sssd.service
Alternatively:
$ sudo service sssd start
8. Restart the instance.9. After the instance has restarted, connect to it with any SSH client and add the AWS Delegated
Administrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
Version 1.046
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
$ sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
CentOS
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your CentOS 7 instance is up to date.
$ sudo yum -y update
4. Install the required CentOS 7 packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
$ sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.
$ sudo realm join -U [email protected] example.com --verbose
An account in the example.com domain that has domain join privileges. Enter the passwordfor the account when prompted. For more information about delegating these privileges, seeDelegación de privilegios de unión a directorios para AWS Managed Microsoft AD (p. 52).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
Version 1.047
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
7. Start the SSSD service.
$ sudo systemctl start sssd.service
Alternatively:
$ sudo service sssd start
8. Restart the instance.9. After the instance has restarted, connect to it with any SSH client and add the AWS Delegated
Administrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
$ sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Red Hat
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure the Red Hat - 64bit instance is up to date.
$ sudo yum -y update
4. Install the required Red Hat packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
$ sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.
$ sudo realm join -U [email protected] example.com --verbose
Version 1.048
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
An account in the example.com domain that has domain join privileges. Enter the passwordfor the account when prompted. For more information about delegating these privileges, seeDelegación de privilegios de unión a directorios para AWS Managed Microsoft AD (p. 52).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
7. Start the SSSD service.
$ sudo systemctl start sssd.service
Alternatively:
$ sudo service sssd start
8. Restart the instance.9. After the instance has restarted, connect to it with any SSH client and add the AWS Delegated
Administrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
$ sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Ubuntu
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
Version 1.049
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
3. Make sure your Ubuntu - 64bit instance is up to date.
$ sudo apt-get update$ sudo apt-get -y upgrade
4. Install the required Ubuntu packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
$ sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
5. Join the instance to the directory with the following command.
$ sudo realm join -U [email protected] example.com --verbose
Note
If you are using Ubuntu 16.04, you must enter the domain name portion of the usernamewith all capital letters. For example, [email protected] example.com --verbose.
An account in the example.com domain that has domain join privileges. Enter the passwordfor the account when prompted. For more information about delegating these privileges, seeDelegación de privilegios de unión a directorios para AWS Managed Microsoft AD (p. 52).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
Note
If you are using Ubuntu 14.04, and encounter the following error:realm: Couldn't join realm: Failed to enroll machine in realm. See diagnostics..Complete the following additional steps, and then attempt a domain join to resolve theissue:
$ killall aptd$ apt-get install packagekit adcli
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
7. Start the SSSD service.Version 1.0
50
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
$ sudo systemctl start sssd.service
Alternatively:
$ sudo service sssd start
8. Restart the instance.9. After the instance has restarted, connect to it with any SSH client and add the AWS Delegated
Administrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
$ sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Restricción de acceso de inicio de sesión de cuenta
Since all accounts are defined in Active Directory, by default, all the users in the directory can log in to theinstance. You can allow only specific users to log in to the instance with ad_access_filter in sssd.conf. Forexample:
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf
Indicates that users should only be allowed access to the instance if they are a member of a specificgroup.
cn
The canonical name of the group that should have access. In this example, the group name is admins.ou
This is the organizational unit in which the above group is located. In this example, the OU is Testou.dc
This is the domain component of your domain. In this example, example.dc
This is an additional domain component. In this example, com.
You must manually add ad_access_filter to your /etc/sssd/sssd.conf. After you do this, your sssd.conf mightlook like this:
domains = example.com
Version 1.051
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
config_file_version = 2 services = nss, pam
[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
In order for the configuration to take affect you need to restart the sssd service:
$ sudo systemctl restart sssd.service
Alternatively, you could use:
$ sudo service sssd start
Cómo conectarse a la instancia
When a user connects to the instance using an SSH client, they are prompted for their username. Theuser can enter the username in either the [email protected] or EXAMPLE\username format. Theresponse will appear similar to the following:
login as: [email protected]@example.com's password:Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
Delegación de privilegios de unión a directorios para AWSManaged Microsoft ADPara unir un equipo al directorio, necesita una cuenta con privilegios para unir equipos al directorio.
Con AWS Directory Service for Microsoft Active Directory, los miembros de los grupos Admins y AWSDelegated Server Administrators tienen estos privilegios.
No obstante, la práctica recomendada es que use una cuenta que tenga solo los privilegios mínimosnecesarios. En el procedimiento siguiente se explica cómo crear un nuevo grupo denominado Joiners ycómo delegar en este grupo los privilegios necesarios para unir equipos al directorio.
Debe llevar a cabo este procedimiento en un equipo que esté unido al directorio y que tenga instalado elcomplemento de MMC Usuarios y equipos de Active Directory. Además, es necesario la sesión se iniciecomo administrador del dominio.
Para delegar privilegios de unión para AWS Managed Microsoft AD
1. Abra Usuarios y equipos de Active Directory y seleccione la unidad organizativa (OU) que tiene sunombre de NetBIOS en el árbol de navegación; a continuación, seleccione la unidad organizativaUsuarios.
Version 1.052
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
Important
Al lanzar un AWS Directory Service for Microsoft Active Directory, AWS crea una unidadorganizativa (OU) que contiene todos los objetos del directorio. Esta unidad organizativa,que tiene el nombre de NetBIOS que escribió al crear el directorio, se encuentra en la raízdel dominio. La raíz del dominio es propiedad de AWS, que también se encarga de suadministración. No puede realizar cambios en el dominio raíz en sí, por lo que deberá crear elgrupo Joiners dentro de la unidad organizativa de su nombre de NetBIOS.
2. Abra el menú contextual (clic con el botón derecho) para Usuarios, seleccione Nuevo y despuésseleccione Grupo.
3. En el cuadro Nuevo objeto - Grupo, escriba lo siguiente y haga clic en Aceptar.
• En Group Name (Nombre de grupo), escriba Joiners.• En Ámbito de grupo, escriba Global.• En Tipo de grupo, seleccione Seguridad.
4. En el árbol de navegación, seleccione el contenedor Equipos bajo su nombre de NetBIOS. En el menúAcción, elija Delegar control.
5. En la página Asistente para delegación de control, elija Siguiente y después seleccione Agregar.6. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, escriba Joiners y haga clic en
Aceptar. Si se encuentran varios objetos, seleccione el grupo Joiners que creó anteriormente.Seleccione Siguiente.
7. En la página Tareas que se delegarán, seleccione Crear una tarea personalizada para delegar y luegoelija Siguiente.
8. Seleccione Sólo los siguientes objetos en la carpeta y, a continuación, seleccione Objetos de equipo.9. Seleccione Crear los objetos seleccionados en esta carpeta y Eliminar los objetos seleccionados en
esta carpeta. A continuación, elija Next.
10. Seleccione Lectura y Escritura y luego elija Siguiente.
Version 1.053
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
11. Compruebe la información en la página Finalización del Asistente para delegación de control yseleccione Finalizar.
12. Cree un usuario con una contraseña segura y añádalo al grupo Joiners. Este usuario debe estaren el contenedor Usuarios que bajo su nombre de NetBIOS. El usuario tendrá entonces privilegiossuficientes para conectar instancias al directorio.
Cree un conjunto de opciones de DHCPAWS recommends that you create a DHCP options set for your AWS Directory Service directory and assignthe DHCP options set to the VPC that your directory is in. This allows any instances in that VPC to point tothe specified domain and DNS servers to resolve their domain names.
For more information about DHCP options sets, see DHCP Options Sets in the Guía del usuario deAmazon VPC.
To create a DHCP options set for your directory
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Choose DHCP Options Sets in the navigation pane, and choose Create DHCP options set.3. In the Create DHCP options set dialog box, enter the following values for your directory:
Name tag
An optional tag for the options set.Domain name
The fully-qualified name of your directory, such as corp.example.com.Domain name servers
The IP addresses of your directory's DNS servers. These are the IP addresses of your AWS-provided directory. You can find these addresses by going to the AWS Directory Service consolenavigation pane, selecting Directories and then choosing the correct directory ID.
NTP servers
Leave this field blank.NetBIOS name servers
Leave this field blank.Version 1.0
54
AWS Directory Service Guía de administraciónAñadir usuarios y grupos
NetBIOS node type
Leave this field blank.4. Choose Yes, Create. The new set of DHCP options appears in your list of DHCP options.5. Make a note of the ID of the new set of DHCP options (dopt-xxxxxxxx). You need it to associate the
new options set with your VPC.
To change the DHCP options set associated with a VPC
After you create a set of DHCP options, you can't modify them. If you want your VPC to use a different setof DHCP options, you must create a new set and associate them with your VPC. You can also set up yourVPC to use no DHCP options at all.
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Choose Your VPCs in the navigation pane.3. Select the VPC, and choose Edit DHCP Options Set from the Actions list.4. In the DHCP Options Set list, select the desired options set from the list, and choose Save.
Añadir usuarios y grupos a AWS Managed MicrosoftADUsers represent individual people or entities that have access to your directory. Groups are very usefulfor giving or denying privileges to groups of users, rather than having to apply those privileges to eachindividual user. If a user moves to a different organization, you move that user to a different group and theyautomatically receive the privileges needed for the new organization.
To create users and groups in an AWS Directory Service directory, you must be connected to a EC2instance that has been joined to your AWS Directory Service directory, and be logged in as a user that hasprivileges to create users and groups. You will also need to install the Active Directory Tools on your EC2instance so you can add your users and groups with the Active Directory Users and Computers snap-in.For more information about how to set up an EC2 instance and install the necessary tools, see Paso 3:implementar una instancia EC2 para administrar AWS Managed Microsoft AD (p. 112).
Note
Your user accounts must have Kerberos preauthentication enabled. This is the default setting fornew user accounts, but it should not be modified. For more information about this setting, go toPreauthentication on Microsoft TechNet.
The following examples demonstrate how to create a user, create a group, and add the user to the group.Note
When using Simple AD, if you create a user account on a Linux instance with the option "Forceuser to change password at first login," that user will not be able to initially change their passwordusing kpasswd. In order to change the password the first time, a domain administrator must updatethe user password using the Active Directory Management Tools.
To create a user
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
Version 1.055
AWS Directory Service Guía de administraciónAñadir usuarios y grupos
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour user (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Qué se crea (p. 13).
3. On the Action menu, click New, and then click User to open the new user wizard.4. In the first page of the new user wizard, enter the following values and click Next.
First name
Mary
Last name
Major
User logon name
marym
5. In the second page of the new user wizard, enter a temporary password for Password and ConfirmPassword. Make sure the User must change password at next logon option is selected. None of theother options should be selected. Click Next.
6. In the third page of the new user wizard, verify that the new user information is correct and click Finish.The new user will appear in the Users folder.
To create a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour group (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Qué se crea (p. 13).
3. On the Action menu, click New, and then click Group to open the new group wizard.4. Enter Division Managers for the Group name, select Global for the Group scope, and select
Security for the Group type. Click OK. The new group, Division Managers, appears in the Users folder.
To add a user to a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
Version 1.056
AWS Directory Service Guía de administraciónAñadir usuarios y grupos
2. In the directory tree, select the OU under your directory's NetBIOS name OU where you stored yourgroup, and select the Division Managers group.
3. On the Action menu, click Properties to open the properties dialog box for the Division Managersgroup.
4. Select the Members tab and click Add....5. For Enter the object names to select, enter marym and click OK. Mary Major is displayed in the
Members list. Click OK again to update the group membership.6. Verify that Mary Major is now a member of the Division Managers group by selecting Mary Major in
the Users folder, click Properties in the Action menu to open the properties dialog box for Mary Major.Select the Member Of tab. Division Managers is in the list of groups that Mary Major belongs to.
Instalar las herramientas de administración de Active DirectoryTo manage your directory from an EC2 Windows instance, you need to install the Active Directory DomainServices and Active Directory Lightweight Directory Services Tools on the instance.
Temas• Install the Active Directory Administration Tools on Windows Server 2008 (p. 57)• Install the Active Directory Administration Tools on Windows Server 2012 (p. 57)• Install the Active Directory Administration Tools on Windows Server 2016 (p. 58)
Install the Active Directory Administration Tools on Windows Server 2008
To install the Active Directory administration tools on Windows Server 2008
1. Open Server Manager by choosing Start, Administrative Tools, Server Manager.2. In the Server Manager tree pane, select Features, and choose Add Features,3. In the Add Features Wizard, open Remote Server Administration Tools, Role Administration Tools,
select AD DS and AD LDS Tools, scroll down and select DNS, then choose Next.4. Review the information and choose Install. The feature installation requires that the instance be
restarted. When the instance has restarted, the Active Directory Domain Services and ActiveDirectory Lightweight Directory Services Tools are available on the Start menu, under All Programs >Administrative Tools.
Install the Active Directory Administration Tools on Windows Server 2012
To install the Active Directory administration tools on Windows Server 2012
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS, then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
Version 1.057
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Install the Active Directory Administration Tools on Windows Server 2016To install the Active Directory administration tools on Windows Server 2016
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS, then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
Conexión a su infraestructura de AD existenteEn esta sección se describe cómo configurar las relaciones de confianza entre AWS Managed MicrosoftAD y su infraestructura de AD existente.
Temas• Cuándo crear una relación de confianza (p. 58)• Tutorial: Creación de una relación de confianza entre su AWS Managed Microsoft AD y su dominio
local (p. 66)
Cuándo crear una relación de confianzaPuede configurar relaciones de confianza unidireccionales y bidireccionales entre bosques entre susdirectorios de AWS Directory Service for Microsoft Active Directory y los directorios locales, así como entrevarios directorios de AWS Managed Microsoft AD en la nube de AWS. AWS Managed Microsoft AD admitelas tres direcciones en la relación de confianza: entrante, saliente y bidireccional.
Note
Al configurar relaciones de confianza, debe asegurarse de que el directorio local sea y sigasiendo compatible con AWS Directory Services. Para obtener más información acerca de susresponsabilidades, consulte nuestro modelo de responsabilidad compartida.
AWS Managed Microsoft AD solo admite relaciones de confianza entre bosques. Las relaciones deconfianza entre dominios externos y el enrutamiento por sufijos de nombres no son compatibles. Paraver un caso de ejemplo donde se muestra cómo crear una confianza, consulte Tutorial: Creación de unarelación de confianza entre su AWS Managed Microsoft AD y su dominio local (p. 66).
Requisitos previosPara crear una relación de confianza solo son necesarios unos pasos, pero primero debe completar otrospasos previos antes de configurarla.
Conéctese a VPC
Si crea una relación de confianza con su directorio local, primero debe conectar la red local a la VPCque contiene su AWS Managed Microsoft AD. El firewall de la red local debe tener los siguientes puertosabiertos para los CIDR de las dos subredes de la VPC.
• TCP/UDP 53: DNS
Version 1.058
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
• TCP/UDP 88: autenticación de Kerberos• TCP/UDP 389: LDAP• TCP 445: SMB
Estos son los puertos mínimos necesarios para poder conectarse al directorio. La configuración específicapodría requerir abrir puertos adicionales.
Configurar la VPC
La VPC que contiene su AWS Managed Microsoft AD debe tener las reglas de salida y entrada adecuadas.
Para configurar las reglas de salida de la VPC
1. En la AWS Directory Service console, en la página Directory Details (Detalles del directorio), anote elID de su directorio de AWS Managed Microsoft AD.
2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.3. Seleccione Security Groups.4. Busque el ID de su directorio de AWS Managed Microsoft AD. En los resultados de búsqueda,
seleccione el elemento con la descripción "AWS created security group for directory ID directorycontrollers".
Note
El grupo de seguridad seleccionado es un grupo de seguridad que se crea automáticamenteen el momento de crearse el directorio.
5. Vaya a la pestaña Outbound Rules de ese grupo de seguridad. Seleccione Edit y después Addanother rule. Para la nueva regla, escriba los siguientes valores:
• Type: All Traffic• Protocol: All• Destination determina el tráfico que puede salir de sus controladores de dominio y a dónde puede
ir. Especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por ejemplo,203.0.113.5/32). También puede especificar el nombre o el ID de otro grupo de seguridad en lamisma región. Para obtener más información, consulte Comprender la configuración y el uso de losgrupos de seguridad de AWS del directorio (p. 101).
6. Seleccione Save.
Para configurar las reglas de entrada de la VPC
1. En la AWS Directory Service console, en la página Directory Details (Detalles del directorio), anote elID de su directorio de AWS Managed Microsoft AD.
2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.3. Seleccione Security Groups.4. Busque el ID de su directorio de AWS Managed Microsoft AD. En los resultados de búsqueda,
seleccione el elemento con la descripción "AWS created security group for directory ID directorycontrollers".
Note
El grupo de seguridad seleccionado es un grupo de seguridad que se crea automáticamenteen el momento de crearse el directorio.
5. Vaya a la pestaña Inbound Rules de ese grupo de seguridad. Seleccione Edit y después Add anotherrule. Para la nueva regla, escriba los siguientes valores:
• Type: Custom UDP Rule
Version 1.059
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
• Protocol: UDP• Port Range: 445• En Source, especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por
ejemplo, 203.0.113.5/32). También puede especificar el nombre o el ID de otro grupo de seguridaden la misma región. Esta configuración determina el tráfico que pueden alcanzar los controladoresde dominio desde su red local. Para obtener más información, consulte Comprender la configuracióny el uso de los grupos de seguridad de AWS del directorio (p. 101).
6. Seleccione Save.7. Repita estos pasos añadiendo cada una de las reglas siguientes:
Tipo Protocol Port Range Fuente
Regla UDP personalizada UDP 88 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla UDP personalizada UDP 123 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla UDP personalizada UDP 138 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla UDP personalizada UDP 389 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla UDP personalizada UDP 464 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 88 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 135 Especifiqueel tráfico
Version 1.060
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Tipo Protocol Port Range FuenteSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 445 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 464 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 636 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 1024 -65535
Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 3268 - 3269 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
DNS (UDP) UDP 53 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
DNS (TCP) TCP 53 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Version 1.061
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Tipo Protocol Port Range Fuente
LDAP TCP 389 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Todos los ICMP Todos N/D Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Todo el tráfico Todo Todos El grupo deseguridadactual (elgrupo deseguridadde sudirectorio).
Estas reglas de seguridad afectan a una interfaz de red interna no expuesta públicamente.
Habilitación de la autenticación previa de Kerberos
Sus cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Para obtener másinformación acerca de esta configuración, revise Preauthentication en Microsoft TechNet.
Configuración de programas de envío condicionales DNS en su dominio local
Debe configurar programas de envío condicionales DNS en su dominio local. Consulte Assign aConditional Forwarder for a Domain Name en Microsoft TechNet para obtener más información acerca delos programas de envío condicionales.
Para realizar los pasos siguientes, debe tener acceso a las herramientas de Windows Server enumeradasa continuación para su dominio local:
• AD DS y AD LDS Tools• DNS
Para configurar programas de envío condicionales en su dominio local
1. Primero debe obtener información acerca de su AWS Managed Microsoft AD. Inicie sesiónen la Consola de administración de AWS y abra la AWS Directory Service console en https://console.aws.amazon.com/directoryservicev2/.
2. En el panel de navegación, seleccione Directories.3. Elija el ID de directorio de su AWS Managed Microsoft AD.4. Tome nota del nombre de dominio completo (FQDN) y las direcciones de DNS de su directorio.5. Ahora, vuelva a su controlador de dominio local. Abra el Administrador del servidor.6. En el menú Herramientas, elija DNS.
Version 1.062
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
7. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando larelación de confianza.
8. En el árbol de la consola, seleccione Reenviadores condicionales.9. En el menú Acción, elija Nuevo reenviador condicional.10. En Dominio DNS, escriba el nombre completo del dominio (FQDN) de su AWS Managed Microsoft AD,
el cual apuntó antes.11. Elija Direcciones IP de los servidores maestros y escriba las direcciones de DNS de su directorio de
AWS Managed Microsoft AD, las cuales apuntó antes.
Después de escribir las direcciones de DNS, es posible que aparezca un error que indique que se haagotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorarestos errores.
12. Active la casilla Almacenar este reenviador condicional en Active Directory y replicarlo como sigue:Todos los servidores DNS en este dominio. Seleccione OK.
Contraseña de relación de confianza
Si crea una relación de confianza con un dominio existente, configure la relación de confianza en esedominio con las herramientas de administración de Windows Server. Al hacerlo, indique su contraseña deconfianza. Deberá usar esta misma contraseña al configurar la relación de confianza en AWS ManagedMicrosoft AD. Para obtener más información, consulte Managing Trusts en Microsoft TechNet.
Ya está listo para crear la relación de confianza en su AWS Managed Microsoft AD.
Crear, verificar o eliminar una relación de confianza
Para crear una relación de confianza con su AWS Managed Microsoft AD
1. Abra AWS Directory Service console.2. En la página Directories (Directorios), elija el ID de su AWS Managed Microsoft AD.3. En la página Directory details (Detalles del directorio), seleccione la pestaña Networking & security
(Redes y seguridad).4. En la sección Trust relationships (Relaciones de confianza), elija Actions (Acciones) y, a continuación,
seleccione Add trust relationship (Añadir relación de confianza).5. En la página Add a trust relationship (Añadir una relación de confianza), proporcione la información
necesaria, incluidos el nombre completo de dominio (FQDN) de su dominio de confianza, lacontraseña de confianza y la dirección de confianza.
6. En el campo Conditional forwarder, escriba la dirección IP del servidor DNS local. Si ha creadoanteriormente programas de envío condicionales, puede escribir el nombre completo de dominio(FQDN) de su dominio local en lugar de una dirección IP de DNS.
7. (Opcional) Elija Add another IP address (Añadir otra dirección IP) y escriba la dirección IP de unservidor DNS local adicional. Puede repetir este paso para cada dirección de servidor DNS aplicable,con un máximo de cuatro direcciones.
8. Elija Add.9. Si el servidor DNS o la red de su dominio local usa un espacio de direcciones IP público (no RFC
1918), vaya a la sección IP routing (Direccionamiento IP), elija Actions (Acciones) y, a continuación,elija Add route (Añadir ruta). Escriba el bloque de direcciones IP del servidor DNS o su red local enformato CIDR, por ejemplo 203.0.113.0/24. Este paso no es necesario si su servidor DNS y su redlocal están utilizando espacios de direcciones IP RFC 1918.
Note
Cuando se utiliza un espacio de direcciones IP públicas, asegúrese de no utilizar ninguno delos rangos de direcciones IP de AWS dado que no se pueden utilizar.
Version 1.063
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
10. (Opcional) Le recomendamos que mientras se encuentra en la página Add routes (Añadir rutas)también seleccione Add routes to the security group for this directory's VPC (Añadir rutas al grupo deseguridad de la VPC de este directorio). De este modo se configurarán los grupos de seguridad segúnse detalla anteriormente, en "Configuración de la VPC". Estas reglas de seguridad afectan a unainterfaz de red interna no expuesta públicamente. Si esta opción no está disponible, verá un mensajeen su lugar en el que se indica que ya ha personalizado sus grupos de seguridad.
Debe configurar la relación de confianza en ambos dominios. Las relaciones deben ser complementarias.Por ejemplo, si crea una relación de confianza saliente en un dominio, debe crear una relación deconfianza entrante en el otro.
Si crea una relación de confianza con un dominio existente, configure la relación de confianza en esedominio con las herramientas de administración de Windows Server.
Puede crear varias relaciones de confianza entre su AWS Managed Microsoft AD y varios dominios deActive Directory. No obstante, solo puede existir una relación de confianza por par a la vez. Por ejemplo, siexiste una relación de confianza unidireccional en la "dirección entrante" y desea configurar otra relaciónde confianza en la "dirección saliente", deberá eliminar la relación de confianza existente y crear una nuevarelación de confianza bidireccional.
Para verificar una relación de confianza saliente
1. Abra AWS Directory Service console.2. En la página Directories (Directorios), elija el ID de su AWS Managed Microsoft AD.3. En la página Directory details (Detalles del directorio), seleccione la pestaña Networking & security
(Redes y seguridad).4. En la sección Trust relationships (Relaciones de confianza), seleccione la confianza que desea
verificar, elija Actions (Acciones) y, a continuación, seleccione Verify trust relationship (Verificarrelación de confianza).
Este proceso verifica solo la dirección saliente de una relación de confianza bidireccional. AWS no permiteverificar las relaciones de confianza entrantes. Para obtener más información acerca de cómo verificaruna relación de confianza hacia o desde su servidor de Active Directory local, consulte Verify a Trust enMicrosoft Technet.
Para eliminar una relación de confianza existente
1. Abra AWS Directory Service console.2. En la página Directories (Directorios), elija el ID de su AWS Managed Microsoft AD.3. En la página Directory details (Detalles del directorio), seleccione la pestaña Networking & security
(Redes y seguridad).4. En la sección Trust relationships (Relaciones de confianza), seleccione la confianza que desea
eliminar, elija Actions (Acciones) y, a continuación, seleccione Delete trust relationship (Eliminarrelación de confianza).
5. Elija Eliminar.
Añadir rutas IP al utilizar direcciones IP públicas
Puede utilizar AWS Directory Service for Microsoft Active Directory para aprovechar muchas característicaseficaces de Active Directory, incluido el establecimiento de confianzas con otros directorios. Sin embargo,si los servidores DNS para las redes de los demás directorios utilizan direcciones IP públicas (no RFC1918), debe especificar dichas direcciones IP como parte de la configuración de la confianza. Lasinstrucciones para hacerlo pueden encontrarse en Cuándo crear una relación de confianza (p. 58).
Version 1.064
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Del mismo modo, también debe escribir la información de la dirección IP cuando dirija el tráfico desde suAWS Managed Microsoft AD en AWS a una VPC par de AWS, si la VPC utiliza rangos de IP públicas.
Al añadir las direcciones IP tal y como se describe en Cuándo crear una relación de confianza (p. 58),tiene la opción de seleccionar Add routes to the security group for this directory's VPC. Esta opción sedebe seleccionar a menos que haya personalizado anteriormente el grupo de seguridad para permitirel tráfico necesario, tal y como se muestra a continuación. Para obtener más información, consulteComprender la configuración y el uso de los grupos de seguridad de AWS del directorio (p. 101).
Esta opción configura los grupos de seguridad del VPC de su directorio de la siguiente manera:
Reglas de entrada
Tipo Protocol Port Range Fuente
Regla UDP personalizada UDP 88 0.0.0.0/0
Regla UDP personalizada UDP 123 0.0.0.0/0
Regla UDP personalizada UDP 138 0.0.0.0/0
Regla UDP personalizada UDP 389 0.0.0.0/0
Regla UDP personalizada UDP 445 0.0.0.0/0
Regla UDP personalizada UDP 464 0.0.0.0/0
Regla TCP personalizada TCP 88 0.0.0.0/0
Regla TCP personalizada TCP 135 0.0.0.0/0
Regla TCP personalizada TCP 445 0.0.0.0/0
Regla TCP personalizada TCP 464 0.0.0.0/0
Regla TCP personalizada TCP 636 0.0.0.0/0
Regla TCP personalizada TCP 1024 -65535
0.0.0.0/0
Regla TCP personalizada TCP 3268 - 3269 0.0.0.0/0
DNS (UDP) UDP 53 0.0.0.0/0
DNS (TCP) TCP 53 0.0.0.0/0
LDAP TCP 389 0.0.0.0/0
Todos los ICMP Todos N/D 0.0.0.0/0
Reglas de salida
Tipo Protocol Port Range Destino
Todo el tráfico Todo Todos 0.0.0.0/0
Estas reglas de seguridad afectan a una interfaz de red interna no expuesta públicamente.
Version 1.065
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Tutorial: Creación de una relación de confianza entre su AWSManaged Microsoft AD y su dominio localEn este tutorial se explican todos los pasos necesarios para configurar una relación de confianza entreAWS Directory Service for Microsoft Active Directory y su directorio local de Microsoft Active Directory.Crear la relación de confianza solo requiere unos cuantos pasos, pero antes se deben haber satisfecho losrequisitos previos siguientes.
Temas• Requisitos previos (p. 66)• Paso 1: Preparar el dominio local (p. 67)• Paso 2: prepare su AWS Managed Microsoft AD (p. 69)• Paso 3: Crear la relación de confianza (p. 75)
Véase también
Cuándo crear una relación de confianza (p. 58)
Requisitos previos
Este tutorial parte de la base de que ya se dispone de lo siguiente:
• Un AWS Managed Microsoft AD creado en AWS. Si necesita ayuda para hacerlo, consulte Introduccióna AWS Managed Microsoft AD (p. 10).
• Añadir una instancia EC2 que ejecute Windows a ese AWS Managed Microsoft AD. Si necesita ayudapara hacerlo, consulte Cómo unir manualmente una instancia de Windows (p. 43).
Important
La cuenta de administrador de su AWS Managed Microsoft AD debe tener accesoadministrativo a esa instancia.
• Las siguientes herramientas de Windows Server instaladas en la instancia:• AD DS y AD LDS Tools• DNS
Si necesita ayuda para hacerlo, consulte Instalar las herramientas de administración de ActiveDirectory (p. 57).
• Un directorio local de Microsoft Active Directory
Debe disponer de acceso administrativo a ese directorio. Las herramientas de Windows Server antesindicadas también deben estar disponibles para este directorio.
• Una conexión activa entre la red local y la VPC que contenga su AWS Managed Microsoft AD. Sinecesita ayudar a hacerlo, consulte Opciones de conectividad de la nube virtual privada.
Configuración del tutorial
En este tutorial, ya hemos creado un AWS Managed Microsoft AD y un dominio local. La red local estáconectada a la VPC de AWS Managed Microsoft AD. Estas son las propiedades de ambos directorios:
AWS Managed Microsoft AD que se ejecuta en AWS
• Nombre de dominio (FQDN): MyManagedAD.example.comVersion 1.0
66
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
• Nombre NetBIOS: MyManagedAD• Direcciones de DNS: 10.0.10.246, 10.0.20.121• CIDR de VPC: 10.0.0.0/16
AWS Managed Microsoft AD reside en el ID de VPC: vpc-12345678.
Dominio local
• Nombre de dominio (FQDN): corp.example.com• Nombre NetBIOS: CORP• Direcciones de DNS: 172.16.10.153• CIDR local: 172.16.0.0/16
Paso siguiente
Paso 1: Preparar el dominio local (p. 67)
Paso 1: Preparar el dominio local
En primer lugar, es necesario completar varios pasos previos obligatorios en su dominio local.
Configure el firewall local
Debe configurar su firewall local de modo que los siguientes puertos queden abiertos a los bloques CIDRen todas las subredes que utilice la VPC que contenga su AWS Managed Microsoft AD. En este tutorial,permitimos el tráfico entrante y saliente de 10.0.0.0/16 (el bloque de CIDR de nuestra VPC con AWSManaged Microsoft AD) en los siguientes puertos:
• TCP/UDP 53: DNS• TCP/UDP 88: autenticación de Kerberos• TCP/UDP 389: LDAP• TCP 445: SMB
Note
Estos son los puertos mínimos necesarios para conectar la VPC al directorio local. Laconfiguración específica podría requerir abrir puertos adicionales.
Asegúrese de que la autenticación previa de Kerberos esté habilitada
Las cuentas de usuario en ambos directorios deben tener habilitada la autenticación previa de Kerberos.Esta es la configuración predeterminada, pero vamos a comprobar que no haya cambiado nada.
Para ver la configuración de Kerberos del usuario
1. En el controlador de dominio local, abra el Administrador del servidor.2. En el menú Herramientas, elija Usuarios y equipos de Active Directory.3. Seleccione la carpeta Usuarios y abra el menú contextual (botón derecho del ratón) de una de las
cuentas de usuario en el panel de la derecha. Seleccione Properties.4. Elija la pestaña Cuenta. En la lista Opciones de cuenta, desplácese hacia abajo y asegúrese de que
No pedir la autenticación Kerberos previa no esté seleccionado.
Version 1.067
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Configure programas de envío condicionales DNS para su dominio local
Debe configurar programas de envío condicionales DNS en cada dominio. Antes de hacerlo en su dominiolocal, primero deberá obtener cierta información sobre su AWS Managed Microsoft AD.
Para configurar programas de envío condicionales en su dominio local
1. Inicie sesión en la Consola de administración de AWS y abra la AWS Directory Service console enhttps://console.aws.amazon.com/directoryservicev2/.
2. En el panel de navegación, seleccione Directories.3. Elija el ID de directorio de su AWS Managed Microsoft AD.4. En la página Details (Detalles), anote los valores de Directory name (Nombre de directorio) y DNS
address (Dirección DNS) del directorio.5. Ahora, vuelva a su controlador de dominio local. Abra el Administrador del servidor.6. En el menú Herramientas, elija DNS.7. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la
relación de confianza. Nuestro servidor es WIN-5V70CN7VJ0.corp.example.com.8. En el árbol de la consola, seleccione Reenviadores condicionales.9. En el menú Acción, elija Nuevo reenviador condicional.10. En Dominio DNS, escriba el nombre completo del dominio (FQDN) de su AWS Managed Microsoft AD,
el cual apuntó antes. En este ejemplo, el nombre FQDN es MyManagedAD.example.com.11. Elija Direcciones IP de los servidores maestros y escriba las direcciones de DNS de su directorio de
AWS Managed Microsoft AD, las cuales apuntó antes. En este ejemplo son: 10.0.10.246 y 10.0.20.121
Version 1.068
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Después de escribir las direcciones de DNS, es posible que aparezca un error que indique que se haagotado el tiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorarestos errores.
12. Active la casilla Almacenar este reenviador condicional en Active Directory y replicarlo como sigue.13. Seleccione Todos los servidores DNS en este dominio y después haga clic en Aceptar.
Paso siguiente
Paso 2: prepare su AWS Managed Microsoft AD (p. 69)
Paso 2: prepare su AWS Managed Microsoft AD
Ahora vamos a preparar su AWS Managed Microsoft AD para la relación de confianza. Muchos de lospasos siguientes son casi idénticos a los que acaba de completar para su dominio local. Esta vez, sinembargo, está trabajando con su AWS Managed Microsoft AD.
Configure las subredes de VPC y los grupos de seguridad
Debe permitir el tráfico desde su red local a la VPC que contenga su AWS Managed Microsoft AD. Paraello, configure la lista de control de acceso (ACL) de la VPC para permitir el tráfico entrante y salientedesde su directorio local para los siguientes puertos:
• TCP/UDP 53: DNS• TCP/UDP 88: autenticación de Kerberos• TCP/UDP 389: LDAP
Version 1.069
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
• TCP 445: SMB
Note
Estos son los puertos mínimos necesarios para poder conectar la VPC y el directorio local. Laconfiguración específica podría requerir abrir puertos adicionales. En este tutorial, hemos abiertotodos los puertos a nuestro dominio local:
Version 1.070
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Del mismo modo, el controlador de dominio de AWS Managed Microsoft AD debe tener las reglas de saliday de entrada adecuadas.
Para configurar las reglas de entrada y de salida de su controlador de dominio de AWS ManagedMicrosoft AD
1. Vuelva a AWS Directory Service console. En la lista de directorios, anote el ID del directorio de AWSManaged Microsoft AD.
2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.3. En el panel de navegación, elija Security Groups.4. Utilice el cuadro de búsqueda para buscar el ID de su directorio de AWS Managed Microsoft AD. En
los resultados de búsqueda, seleccione el elemento que tiene la descripción AWS created securitygroup for <suIDdirectorio> directory controllers.
5. Vaya a la pestaña Outbound Rules en ese grupo de seguridad. Elija Edit y después Add another rule.Para la nueva regla, escriba los siguientes valores:
• Type: ALL Traffic• Protocol: ALL• Destination determina el tráfico que puede salir de sus controladores de dominio y a dónde puede
ir. Especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por ejemplo,203.0.113.5/32). También puede especificar el nombre o el ID de otro grupo de seguridad en lamisma región. Para obtener más información, consulte Comprender la configuración y el uso de losgrupos de seguridad de AWS del directorio (p. 101).
6. Seleccione Save.
7. Vaya a la pestaña Inbound Rules para ese mismo grupo de seguridad. Elija Edit y después Addanother rule. Para la nueva regla, escriba los siguientes valores:
Version 1.071
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
• Type: Custom UDP Rule• Protocol: UDP• Port Range: 445• En Source, especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por
ejemplo, 203.0.113.5/32). También puede especificar el nombre o el ID de otro grupo de seguridaden la misma región. Esta configuración determina el tráfico que puede llegar a sus controladoresde dominio. Para obtener más información, consulte Comprender la configuración y el uso de losgrupos de seguridad de AWS del directorio (p. 101).
8. Seleccione Save.9. Repita estos pasos añadiendo cada una de las reglas siguientes:
Tipo Protocol Port Range Fuente
Regla UDP personalizada UDP 88 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla UDP personalizada UDP 123 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla UDP personalizada UDP 138 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla UDP personalizada UDP 389 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla UDP personalizada UDP 464 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 88 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Version 1.072
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Tipo Protocol Port Range Fuente
Regla TCP personalizada TCP 135 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 445 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 464 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 636 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 1024 -65535
Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Regla TCP personalizada TCP 3268 - 3269 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
DNS (UDP) UDP 53 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
DNS (TCP) TCP 53 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Version 1.073
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
Tipo Protocol Port Range Fuente
LDAP TCP 389 Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Todos los ICMP Todos N/D Especifiqueel tráficoSourceutilizadoen el pasoanterior.
Todo el tráfico Todo Todos El grupo deseguridadactual (elgrupo deseguridadde sudirectorio).
Asegúrese de que la autenticación previa de Kerberos esté habilitada
Ahora desea confirmar que los usuarios de su AWS Managed Microsoft AD también tienen habilitada laautenticación previa de Kerberos. Este es el mismo proceso que ha completado para su directorio local.Esta es la configuración predeterminada, pero vamos a comprobar que no haya cambiado nada.
Para ver la configuración de Kerberos del usuario
1. Inicie sesión en una instancia que sea miembro de su AWS Managed Microsoft AD usando bienla Cuenta de administrador (p. 15) o una cuenta a la que se le hayan delegado permisos deadministrador.
2. Si no están instaladas todavía, instale la herramienta Usuarios y equipos de Active Directory y laherramienta de DNS. Obtenga información sobre cómo instalar estas herramientas en Instalar lasherramientas de administración de Active Directory (p. 57).
3. Abra el Administrador del servidor. En el menú Herramientas, elija Usuarios y equipos de ActiveDirectory.
4. Seleccione la carpeta Usuarios en su dominio. Tenga en cuenta que esta es la carpeta Users(Usuarios) situada bajo el nombre de NetBIOS, no la carpeta Users (Usuarios) situada bajo el nombrede dominio completo (FQDN).
Version 1.074
AWS Directory Service Guía de administraciónConexión a su infraestructura de AD existente
5. En la lista de usuarios, haga clic con el botón derecho en un usuario y seleccione Properties(Propiedades).
6. Elija la pestaña Cuenta. En la lista Opciones de cuenta, desplácese hacia abajo y asegúrese de queNo pedir la autenticación Kerberos previa no esté activado.
Paso siguiente
Paso 3: Crear la relación de confianza (p. 75)
Paso 3: Crear la relación de confianza
Ahora que ha finalizado el trabajo de preparación, los pasos finales se centran en crear las relaciones deconfianza. Primero deberá crear la relación de confianza en el dominio local y después, por último, en suAWS Managed Microsoft AD. Si se presenta algún problema durante el proceso de creación de relacionesde confianza, consulte Motivos de los estados al crear relaciones de confianza (p. 124) para obtenerayuda.
Configuración de la relación de confianza local
En este tutorial va a configurar una relación de confianza bidireccional. No obstante, si crea una relación deconfianza unidireccional, tenga en cuenta que la dirección de la relación de confianza en cada uno de susdominios debe ser complementaria. Por ejemplo, si creó una relación de confianza unidireccional salienteen su dominio local, debe crear una relación de confianza unidireccional entrante en su AWS ManagedMicrosoft AD.
Para configurar una relación de confianza local
1. Abra el Administrador del servidor y, en el menú Herramientas, elija Dominios y confianzas de ActiveDirectory.
2. Abra el menú contextual (con el botón derecho) de su dominio y elija Propiedades.3. Elija la pestaña Confianzas y luego Nueva confianza. Escriba el nombre de su AWS Managed
Microsoft AD y elija Next (Siguiente).
Version 1.075
AWS Directory Service Guía de administraciónAmpliar el esquema
4. Elija Confianza de bosque. Elija Siguiente.5. Elija Bidireccional. Elija Siguiente.6. Elija Solo este dominio. Elija Siguiente.7. Elija Autenticación en todo el bosque. Elija Siguiente.8. Escriba un valor en Contraseña de la confianza. Asegúrese de que podrá recordar esta contraseña, ya
que la necesitará al configurar la relación de confianza para su AWS Managed Microsoft AD.9. En el siguiente cuadro de diálogo, confirme la configuración y elija Siguiente. Confirme que la
confianza se haya creado correctamente y vuelva a seleccionar Siguiente.10. Elija No, no confirmar la confianza saliente. Elija Siguiente.11. Elija No, no confirmar la confianza entrante. Elija Siguiente.
Configuración de la relación de confianza de su AWS Managed Microsoft AD
Por último, tendrá que configurar la relación de confianza para su AWS Managed Microsoft AD. Como hacreado una relación de confianza bidireccional en el dominio local, también tendrá que crear una relaciónde confianza bidireccional en su AWS Managed Microsoft AD.
Para configurar una relación de confianza para su AWS Managed Microsoft AD
1. Vuelva a AWS Directory Service console.2. En la página Directories (Directorios), elija el ID de su AWS Managed Microsoft AD.3. En la página Directory details (Detalles del directorio), seleccione la pestaña Networking & security
(Redes y seguridad).4. En la sección Trust relationships (Relaciones de confianza), elija Actions (Acciones) y, a continuación,
seleccione Add trust relationship (Añadir relación de confianza).5. En la página Add a trust relationship (Añadir una relación de confianza), escriba el FQDN de su
dominio local (en este tutorial, es corp.example.com). Escriba la misma contraseña de confianzaque usó al crear la relación de confianza en su dominio local. Especifique la dirección. En este caso,elegimos Two-way.
6. En el campo Conditional forwarder, escriba la dirección IP del servidor DNS local. En este ejemplo,escriba 172.16.10.153.
7. (Opcional) Elija Add another IP address (Añadir otra dirección IP) y escriba una segunda dirección IPpara el servidor DNS local. Puede especificar hasta un total de cuatro servidores DNS.
8. Elija Add.
Enhorabuena. Ahora tiene una relación de confianza entre su dominio local (corp.example.com) y su AWSManaged Microsoft AD (MyManagedAD.example.com). Solo se puede configurar una relación entre estosdos dominios. Si, por ejemplo, desea cambiar la dirección de confianza por una unidireccional, primerotendría que eliminar esta relación de confianza y crear una nueva.
Para obtener más información, incluidas instrucciones acerca de cómo verificar o eliminar relaciones deconfianza, consulte Cuándo crear una relación de confianza (p. 58).
Ampliar el esquemaAWS Managed Microsoft AD utiliza esquemas para organizar y forzar el modo de almacenamiento de losdatos del directorio. El proceso para añadir definiciones al esquema se denomina "ampliar el esquema".Las ampliaciones de los esquemas le permiten modificar el esquema de su directorio de AWS ManagedMicrosoft AD utilizando un archivo LDAP Data Interchange Format (LDIF) válido. Para obtener másinformación acerca de los esquemas de AD y cómo ampliar su esquema, consulte los temas que seindican a continuación.
Version 1.076
AWS Directory Service Guía de administraciónAmpliar el esquema
Temas• Cuándo debería ampliar su esquema de AWS Managed Microsoft AD (p. 77)• Tutorial: Ampliación del esquema de AWS Managed Microsoft AD (p. 77)
Cuándo debería ampliar su esquema de AWS Managed MicrosoftADPuede ampliar el esquema de AWS Managed Microsoft AD añadiendo más clases de objetos y atributos.Podría hacerlo, por ejemplo, si tuviera una aplicación que requiriera cambios en el esquema para permitirel inicio de sesión único.
También puede utilizar las extensiones de esquema para habilitar aplicaciones que dependen de clases deobjetos y atributos específicos de Active Directory. Esto puede ser especialmente útil si tiene que migrar ala nube de AWS aplicaciones de empresa que dependen de AWS Managed Microsoft AD.
Cada atributo o clase que se añada a un esquema de Active Directory debe estar definido por unidentificador único. De esta forma, cuando las empresas añadan extensiones al esquema, tendrán lacerteza de que son únicas y no entran en conflicto con otras. Estos identificadores reciben el nombre deidentificadores de objetos de AD (OID) y se almacenan en AWS Managed Microsoft AD.
Para empezar, consulte Tutorial: Ampliación del esquema de AWS Managed Microsoft AD (p. 77).
Temas relacionados
• Ampliar el esquema (p. 76)• Elementos de esquema (p. 16)
Tutorial: Ampliación del esquema de AWS Managed Microsoft ADEn este tutorial, aprenderá a ampliar el esquema de su directorio de AWS Directory Service for MicrosoftActive Directory, también conocido como AWS Managed Microsoft AD, añadiendo atributos únicos y clasesacordes con sus requisitos específicos. Las ampliaciones del esquema de AWS Managed Microsoft ADsolo se pueden cargar y aplicar con un archivo de script LDIF (formato ligero de intercambio de directorios)válido.
Los atributos (attributeSchema) definen los campos de la base de datos, mientras que las clases(classSchema) definen las tablas de la base de datos. Por ejemplo, todos los objetos de usuario de ActiveDirectory se definen mediante la clase de esquema User, mientras que las propiedades individuales deun usuario, como, por ejemplo, su dirección de correo electrónico o un número de teléfono, se definenmediante un atributo.
Si desea añadir una propiedad nueva, como Shoe-Size, deberá definir un nuevo atributo, de tipointeger. También puede definir límites inferior y superior, como de 1 a 20. Una vez creado el objetoattributeSchema Shoe-Size (talla de zapato), a continuación, tendrá que modificar el objeto classSchemaUser de modo que contenga dicho atributo. los atributos Se pueden enlazar con varias clases. Tambiénpodría añadir Shoe-Size a la clase Contacto, por ejemplo. Para obtener más información acerca de losesquemas de Active Directory, consulte Cuándo debería ampliar su esquema de AWS Managed MicrosoftAD (p. 77).
Este flujo de trabajo incluye tres pasos básicos.
Version 1.077
AWS Directory Service Guía de administraciónAmpliar el esquema
Paso 1: Crear el archivo LDIF (p. 78)
En primer lugar, se crea un archivo LDIF y se definen los nuevos atributos y cualquier clase a la quelos atributos deban añadirse. Puede utilizar este archivo para la siguiente fase del flujo de trabajo.
Paso 2: Importar el archivo LDIF (p. 79)
En este paso, utilice la consola de AWS Directory Service para importar el archivo LDIF a su entornode Microsoft AD.
Paso 3: Comprobar si la ampliación del esquema ha funcionado (p. 80)
Por último, como administrador, utilizará una instancia EC2 para comprobar si las nuevas extensionesaparecen en el complemento de esquemas de Active Directory.
Paso 1: Crear el archivo LDIF
Los archivos LDIF son archivos estándar con formato de intercambio de datos sencillo que representancontenido de directorios LDAP (protocolo ligero de acceso a directorios) y solicitudes de actualización.LDIF transmite el contenido de directorio como un conjunto de registros, un registro por cada objeto (oentrada). También representa las solicitudes de actualización, como adición, modificación, eliminación ycambio de nombre, como un conjunto de registros, un registro por cada solicitud de actualización.
AWS Directory Service importa el archivo LDIF con los cambios de esquema ejecutando la aplicaciónldifde.exe en su directorio de AWS Managed Microsoft AD. Por lo tanto, le resultará útil paracomprender la sintaxis del script LDIF. Para obtener más información, consulte LDIF Scripts.
Hay varias herramientas LDIF de terceros para extraer, limpiar y actualizar las actualizaciones de losesquemas. Independientemente de la herramienta que utilice, es importante comprender que todos losidentificadores utilizados en su archivo LDIF deben ser únicos.
Se recomienda encarecidamente leer los siguientes conceptos y consejos antes de crear el archivo LDIF.
• Elementos de los esquemas: obtenga información acerca de los elementos de los esquemas, comoatributos, clases, ID de objetos y atributos vinculados. Para obtener más información, consulteElementos de esquema (p. 16).
• Secuencia de los elementos: asegúrese de que el orden en que se disponen los elementos dentro delarchivo LDIF siga el diseño de árbol de información de directorios (DIT) de arriba abajo. Estas son lasnormas generales de orden de secuencia en los archivos LDIF:
Version 1.078
AWS Directory Service Guía de administraciónAmpliar el esquema
• Separar los elementos con una línea en blanco.• Enumerar los elementos secundarios después de sus primarios.• Asegurarse de que existan en el esquema elementos como atributos o clases de objetos. En caso de
no estar presentes, deberá añadirlos al esquema para poder usarlos. Por ejemplo, para poder asignarun atributo a una clase, debe crearse el atributo.
• Formato del nombre distintivo: para cada nueva instrucción dentro del archivo LDIF, defina elnombre distintivo (DN) como la primera línea de la instrucción. El DN identifica un objeto de ActiveDirectory dentro del árbol del objeto de Active Directory, y debe contener los componentes dedominio de su directorio. Por ejemplo, los componentes de dominio del directorio en este tutorial sonDC=example,DC=com.
El DN también debe contener el nombre común (CN) del objeto de Active Directory. La primera entradaCN es el nombre de clase o el atributo. A continuación, debe utilizar CN=Schema,CN=Configuration.Este CN le garantiza que puede ampliar el esquema de Active Directory. Como ya se mencionó antes,no se puede añadir ni modificar el contenido de los objetos de Active Directory. Este es el formatogeneral de un DN.
dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]
En este tutorial, el DN del nuevo atributo Shoe-Size sería así:
dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
• Advertencias: lea las siguientes advertencias antes de ampliar su esquema.• Antes de ampliar el esquema de Active Directory, es importante leer las advertencias que hace
Microsoft sobre las repercusiones de esta operación. Para obtener más información, consulte WhatYou Must Know Before Extending the Schema.
• No se pueden eliminar las clases o los atributos de esquema. Por lo tanto, si comete un error y nodesea restaurar a partir de una copia de seguridad, solo podrá deshabilitar el objeto. Para obtener másinformación, consulte Disabling Existing Classes and Attributes.
Para obtener más información acerca de cómo se crean los archivos LDIF y ver un archivo LDIF demuestra que se puede usar para probar las ampliaciones de esquema de AWS Managed Microsoft AD,consulte el artículo How to Extend your AWS Managed Microsoft AD directory Schema en el blog sobrecuestiones de seguridad de AWS.
Paso siguiente
Paso 2: Importar el archivo LDIF (p. 79)
Paso 2: Importar el archivo LDIF
Puede ampliar el esquema importando un archivo LDIF desde la consola de AWS Directory Service omediante la API. Para obtener más información acerca de cómo hacerlo con las acciones de API deampliación de esquemas, consulte la AWS Directory Service API Reference. En este momento, AWS nopermite utilizar aplicaciones externas, como Microsoft Exchange, para actualizar esquemas directamente.
Important
Cuando actualiza el esquema de su directorio de AWS Managed Microsoft AD, la operación nose puede deshacer. En otras palabras, cuando crea una clase nueva o un atributo nuevo, ActiveDirectory no le permite eliminarlo. No obstante, sí puede deshabilitarlo.Si debe eliminar los cambios aplicados en un esquema, una opción es restaurar el directorio apartir de una instantánea anterior. Restaurar una instantánea devuelve tanto el esquema como losdatos del directorio a un punto anterior, no solo el esquema.
Version 1.079
AWS Directory Service Guía de administraciónAmpliar el esquema
Antes de iniciar el proceso de actualización, AWS Managed Microsoft AD realiza una instantánea paraconservar el estado del directorio en ese momento.
Para importar el archivo LDIF
1. En el panel de navegación de AWS Directory Service console, seleccione Directories (Directorios).2. En la página Directories (Directorios), elija el ID del directorio.3. En la página Directory details (Detalles del directorio), seleccione la pestaña Maintenance
(Mantenimiento).4. En la sección Schema extensions (Ampliaciones del esquema), elija Actions (Acciones) y, a
continuación, seleccione Upload and update schema (Cargar y actualizar el esquema).5. En el cuadro de diálogo, haga clic en Browse, seleccione un archivo LDIF válido, escriba una
descripción y, a continuación, elija Update Schema.
Important
Ampliar el esquema es una operación fundamental. No actualice ningún esquema en elentorno de producción sin antes probar la actualización con su aplicación en un entorno dedesarrollo o de prueba.
¿Cómo se aplica el archivo LDIF?
Una vez cargado el archivo LDIF, AWS Managed Microsoft AD sigue determinados pasos para proteger sudirectorio frente a errores al aplicar los cambios, los cuales se suceden en el siguiente orden.
1. Se valida el archivo LDIF. Puesto que los scripts LDIF pueden manipular cualquier objeto del dominio,AWS Managed Microsoft AD va haciendo comprobaciones justo después de cargar el archivo paragarantizar que no se produzca un error en la operación de importación. Estas comprobaciones sirvenpara garantizar lo siguiente:• Que los objetos que se van a actualizar solo estén en el contenedor de esquemas.• Que la parte de DC (controladores de dominio) coincida con el nombre del dominio en el que se esté
ejecutando el script LDIF.2. Se toma una instantánea del directorio. Puede utilizar esta instantánea para restaurar su directorio en
caso de tener algún problema con la aplicación después de actualizar el esquema.3. Se aplican los cambios a un solo DC. AWS Managed Microsoft AD aísla uno de sus controladores de
dominio y aplica las actualizaciones del archivo LDIF al controlador de dominio aislado. A continuación,selecciona uno de sus DC para que sea el esquema principal, elimina dicho controlador de la replicaciónde directorios y aplica el archivo LDIF con Ldifde.exe.
4. Se replica en todos los DC. AWS Managed Microsoft AD vuelve a añadir el DC aislado a la replicaciónpara completar la actualización. Mientras sucede todo esto, el directorio sigue suministrando sininterrupción el servicio de Active Directory a sus aplicaciones.
Paso siguiente
Paso 3: Comprobar si la ampliación del esquema ha funcionado (p. 80)
Paso 3: Comprobar si la ampliación del esquema ha funcionado
Tras terminar el proceso de importación, es importante comprobar si se aplicaron las actualizaciones deesquema al directorio. Esto es especialmente clave antes de migrar o actualizar cualquier aplicación quese base en la actualización del esquema. Puede hacerlo usando varias herramientas LDAP diferentes oescribiendo una herramienta de pruebas que ejecute los comandos LDAP adecuados.
Este procedimiento utiliza el complemento de esquema de Active Directory o PowerShell para comprobarsi se aplicaron las actualizaciones de esquema. Debe ejecutar estas herramientas desde un equipo unido
Version 1.080
AWS Directory Service Guía de administraciónAmpliar el esquema
por dominio a su AWS Managed Microsoft AD. Puede ser un servidor de Windows que se ejecute en la redlocal con acceso a la nube virtual privada (VPC) o a través de una conexión de red privada virtual (VPN).También puede ejecutar estas herramientas en una instancia Amazon EC2 de Windows (consulte How tolaunch a new EC2 instance with Seamless Domain Join).
Para hacer la verificación con el complemento de esquema de Active Directory
1. Instale el complemento de esquema de Active Directory mediante las instrucciones del sitio webTechNet.
2. Abra Microsoft Management Console (MMC) y amplíe el árbol AD Schema correspondiente a sudirectorio.
3. Recorra las carpetas Classes y Attributes hasta encontrar los cambios de esquema que efectuó antes.
Para verificar con PowerShell
1. Abra una ventana de PowerShell.2. Utilice el cmdlet Get-ADObject tal y como se muestra a continuación para verificar el cambio del
esquema. Por ejemplo:
get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *
Paso opcional
(Opcional) Añadir un valor al nuevo atributo (p. 81)
(Opcional) Añadir un valor al nuevo atributoUtilice este paso opcional cuando haya creado un atributo nuevo y desee añadirle un nuevo valor en sudirectorio de AWS Managed Microsoft AD.
Para añadir un valor a un atributo
1. Abra la utilidad de línea de comandos de Windows PowerShell y defina el nuevo atributo con elsiguiente comando. En este ejemplo, añadiremos un nuevo valor EC2InstanceID al atributo para unequipo específico.
PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID= 'EC2 instance ID'}
2. Puede validar que se haya agregado el valor EC2InstanceID al objeto del equipo ejecutando elsiguiente comando:
PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID
Recursos relacionadosEn el sitio web de Microsoft encontrará los siguientes enlaces a recursos, con información relacionada.
• Extending the Schema (Windows)• Active Directory Schema (Windows)• Active Directory Schema• Windows Administration: Extending the Active Directory Schema• Restrictions on Schema Extension (Windows)• Ldifde
Version 1.081
AWS Directory Service Guía de administraciónMantenimiento de su directorio
Mantenimiento de su directorio AWS ManagedMicrosoft ADEn esta sección se describe cómo realizar las tareas administrativas comunes para su entorno de AWSManaged Microsoft AD.
Temas• Adición de sufijos UPN alternativos (p. 82)• Eliminar su directorio (p. 82)• Cambio del nombre del sitio de su directorio (p. 83)• Creación de una instantánea o restauración del directorio (p. 84)• Ver información del directorio (p. 85)
Adición de sufijos UPN alternativosPuede simplificar la administración de los nombres de inicio de sesión de Active Directory (AD) y mejorarla experiencia de inicio de sesión de los usuarios mediante la adición de sufijos de nombre principal deusuario (UPN) alternativos a su directorio de AWS Managed Microsoft AD. Para ello, debe haber iniciadosesión en la cuenta Admin o en una cuenta que pertenezca al grupo AWS Delegated User Principal NameSuffix Administrators (Administradores delegados de AWS para sufijos de nombre principal de usuario).Para obtener más información sobre este grupo, consulte Qué se crea (p. 13).
Para añadir sufijos UPN alternativos
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Localice una instancia Amazon EC2 que se haya unido a su directorio de AWS Managed Microsoft
AD. Seleccione la instancia y, a continuación, elija Connect (Conectar).3. En la ventana Administrador del servidor, elija Herramientas. A continuación, elija Dominios y
confianzas de Active Directory.4. En el panel izquierdo, haga clic con el botón derecho en Dominios y confianzas de Active Directory y,
a continuación, elija Propiedades .5. En la pestaña Sufijos UPN, escriba un sufijo UPN alternativo (como, por ejemplo,
sales.example.com). Elija Agregar y, a continuación, elija Aplicar.6. Si necesita añadir sufijos UPN alternativos adicionales, repita el paso 5 hasta que tenga los sufijos
UPN que necesite.
Eliminar su directorioWhen a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
Version 1.082
AWS Directory Service Guía de administraciónMantenimiento de su directorio
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Guía de administraciónAmazon WorkDocs.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable Consola de administración de AWS access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in the Guíadel usuario de Amazon RDS.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
Cambio del nombre del sitio de su directorioPuede cambiar el nombre del sitio predeterminado de su directorio de AWS Managed Microsoft AD paraque coincida con los nombres de sitio de Microsoft Active Directory (AD) existentes. De este modo, AWSManaged Microsoft AD podrá buscar y autenticar más rápidamente a los usuarios de AD existentes en sudirectorio local. El resultado es una mejor experiencia cuando los usuarios inician sesión en recursos deAWS como las instancias de Amazon EC2 y Amazon RDS para SQL Server que ha unido a su directoriode AWS Managed Microsoft AD.
Para ello, debe haber iniciado sesión en la cuenta Admin o en una cuenta que pertenezca al grupo AWSDelegated Sites and Services Administrators (Administradores delegados de AWS para sitios y servicios).Para obtener más información sobre este grupo, consulte Qué se crea (p. 13).
Para cambiar el nombre del sitio de AWS Managed Microsoft AD
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
Version 1.083
AWS Directory Service Guía de administraciónMantenimiento de su directorio
2. Localice una instancia Amazon EC2 que se haya unido a su directorio de AWS Managed MicrosoftAD. Seleccione la instancia y, a continuación, elija Connect (Conectar).
3. En la ventana Administrador del servidor, elija Herramientas. A continuación, elija Sitios y servicios deActive Directory.
4. En el panel izquierdo, expanda la carpeta Sitios, haga clic con el botón derecho del ratón en el nombredel sitio (el nombre predeterminado es Default-Site-Name) y, a continuación, elija Cambiar nombre.
5. Escribe el nuevo nombre del sitio y pulse Intro.
Creación de una instantánea o restauración del directorioAWS Directory Service provides the ability to take manual snapshots of data for a Simple AD or AWSDirectory Service for Microsoft Active Directory directory. These snapshots can be used to perform a point-in-time restore for your directory.
Note
You cannot take snapshots of AD Connector directories.
Temas• Creating a Snapshot of Your Directory (p. 84)• Restoring Your Directory from a Snapshot (p. 84)• Deleting a Snapshot (p. 85)
Creating a Snapshot of Your DirectoryA snapshot can be used to restore your directory to what it was at the point in time that the snapshot wastaken. To create a manual snapshot of your directory, perform the following steps.
Note
You are limited to 5 manual snapshots for each directory. If you have already reached this limit,you must delete one of your existing manual snapshots before you can create another.
To create a manual snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Create snapshot.5. In the Create directory snapshot dialog box, provide a name for the snapshot, if desired. When ready,
choose Create.
Depending on the size of your directory, it may take several minutes to create the snapshot. When thesnapshot is ready, the Status value changes to Completed.
Restoring Your Directory from a SnapshotRestoring a directory from a snapshot is equivalent to moving the directory back in time.
Warning
We recommend that you contact the AWS Support Center before any snapshot restore; we maybe able to help you avoid the need to do a snapshot restore. Any restore from snapshot can resultin data loss as they are a point in time. It is important you understand that all of the DCs and DNSservers associated with the directory will be offline until the restore operation has been completed.
Version 1.084
AWS Directory Service Guía de administraciónOtorgar acceso a recursos de AWS
To restore your directory from a snapshot, perform the following steps.
To restore a directory from a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, select a snapshot in the list, choose Actions, and then select Restore
snapshot.5. Review the information in the Restore directory snapshot dialog box, and choose Restore.
For a Simple AD directory, it may take several minutes for the directory to be restored. For a AWSManaged Microsoft AD directory, it can take from two to three hours. When it has been successfullyrestored, the Status value of the directory changes to Active. Any changes made to the directory after thesnapshot date are overwritten.
Deleting a Snapshot
To delete a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Delete snapshot.5. Verify that you want to delete the snapshot, and then choose Delete.
Ver información del directorioYou can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see Descripción de los estados del directorio (p. 31).
Otorgar acceso a los recursos de AWS a usuarios ygruposAWS Directory Service permite dar acceso a los usuarios y los grupos de los directorios a servicios yrecursos de AWS. Por ejemplo, acceso a la consola de Amazon EC2. Al igual que para otorgar a losusuarios de IAM acceso para administrar directorios, tal y como se describe en Políticas basadas enidentidad (políticas de IAM) (p. 195), para que los usuarios de su directorio puedan obtener acceso aotros recursos de AWS, como Amazon EC2, deberá asignar funciones y políticas de IAM a dichos usuariosy grupos. Para obtener más información, consulte Funciones de IAM en la Guía del usuario de IAM.
Para obtener información acerca de cómo otorgar a los usuarios acceso a la Consola de administraciónde AWS, consulte Cómo habilitar el acceso a la Consola de administración de AWS con credenciales deAD (p. 96).
Version 1.085
AWS Directory Service Guía de administraciónOtorgar acceso a recursos de AWS
Temas• Edición de la relación de confianza para una función existente (p. 86)• Creación de una función nueva (p. 86)• Asignación de usuarios o grupos a una función existente (p. 87)• Visualización de los usuarios y los grupos asignados a una función (p. 87)• Eliminación de un usuario o un grupo de una función (p. 88)• Uso de políticas administradas de AWS con AWS Directory Service (p. 88)
Edición de la relación de confianza para una función existentePuede asignar funciones de IAM que ya existan a usuarios y grupos de AWS Directory Service. Para ello,no obstante, la función debe tener una relación de confianza con AWS Directory Service. Esta relaciónde confianza se ajusta automáticamente cuando se utiliza AWS Directory Service para crear una funciónsiguiendo el procedimiento que se describe en Creación de una función nueva (p. 86). Solo tieneque establecer esta relación de confianza para las funciones de IAM que no haya creado AWS DirectoryService.
Para establecer una relación de confianza para una función existente para AWS Directory Service
1. En el panel de navegación de la consola de IAM, elija Roles (Funciones).
La consola muestra las funciones asociadas a su cuenta.2. Elija el nombre del rol que desea modificar y seleccione la pestaña Trust relationships en la página de
detalles.3. Seleccione Edit trust relationship.4. En Policy Document, pegue lo siguiente y, a continuación, seleccione Update Trust Policy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}
Creación de una función nuevaSi necesita crear una función de IAM nueva para usarla con AWS Directory Service, debe crearla mediantela consola de IAM. Para obtener más información, consulte Creación de un rol (consola de administraciónde AWS) en la Guía del usuario de IAM. Una vez haya creado la función, debe configurar una relaciónde confianza con ella para poder verla en la consola de AWS Directory Service. Para obtener másinformación, consulte Edición de la relación de confianza para una función existente (p. 86).
Note
El usuario que realice esta tarea debe tener permiso para ejecutar las siguientes accionesde IAM. Para obtener más información, consulte Políticas basadas en identidad (políticas deIAM) (p. 195).
Version 1.086
AWS Directory Service Guía de administraciónOtorgar acceso a recursos de AWS
• iam:PassRole• iam:GetRole• iam:CreateRole• iam:PutRolePolicy
Asignación de usuarios o grupos a una función existentePuede asignar una función de IAM a un usuario o un grupo de AWS Directory Service. La función debetener una relación de confianza con AWS Directory Service. Para obtener más información, consulteEdición de la relación de confianza para una función existente (p. 86).
Para asignar usuarios o grupos a una función existente de IAM
1. En el panel de navegación de AWS Directory Service console, elija Directories (Directorios).2. En la página Directories (Directorios), elija el ID del directorio.3. En la página Directory details (Detalles del directorio), seleccione la pestaña Application management
(Administración de aplicaciones).4. En la sección AWS apps & services (Aplicaciones y servicios de AWS), elija AWS Management
Console (Consola de administración de AWS).5. En el cuadro de diálogo Manage access to AWS Resources, seleccione Continue.6. En la página Assign users and groups to IAM roles, seleccione click here para crear nuevos roles
de IAM. Si ya existe una función de IAM con una relación de confianza definida en el documento depolíticas, proceda con el siguiente paso.
7. En Add Users and Groups to Roles, haga clic en el enlace del rol de IAM existente al que quieraasignar a los usuarios.
8. En la página Role Detail, seleccione Add.9. En la página Add Users and Groups to Role (Añadir usuarios y grupos a función), junto a Select Forest
(Seleccionar bosque), elija el bosque de AWS Managed Microsoft AD (este bosque) o el bosque local(bosque de confianza), el que contenga la ubicación de las cuentas que necesitan obtener accesoa la Consola de administración de AWS. Para obtener más información sobre cómo configurar unbosque de confianza, consulte Tutorial: Creación de una relación de confianza entre su AWS ManagedMicrosoft AD y su dominio local (p. 66).
10. Junto a Search for, seleccione User o Group y, a continuación, escriba el nombre del usuario o grupo.En la lista de posibles coincidencias, elija el usuario o el grupo que desee añadir.
11. Seleccione Add para terminar de asignar usuarios y grupos al rol.
Visualización de los usuarios y los grupos asignados a unafunciónPara ver los usuarios y grupos asignados a una función, siga estos pasos.
Para ver los usuarios y grupos asignados a una función
1. En el panel de navegación de AWS Directory Service console, elija Directories (Directorios).2. En la página Directories (Directorios), elija el ID del directorio.3. En la página Directory details (Detalles del directorio), seleccione la pestaña Application management
(Administración de aplicaciones).4. En la sección AWS apps & services (Aplicaciones y servicios de AWS), elija AWS Management
Console (Consola de administración de AWS).
Version 1.087
AWS Directory Service Guía de administraciónOtorgar acceso a recursos de AWS
5. En el cuadro de diálogo Manage access to AWS Resources, seleccione Continue.6. Bajo Add Users and Groups to Roles, seleccione el rol. En la página Role Detail puede ver los
usuarios y los grupos asignados al rol.
Eliminación de un usuario o un grupo de una funciónPara eliminar un usuario o un grupo de una función, siga estos pasos.
Para eliminar un usuario o un grupo de una función
1. Consulte los detalles de la función que vaya eliminar tal y como se explica en Visualización de losusuarios y los grupos asignados a una función (p. 87).
2. En la página Role Detail, bajo Assigned Users and Groups, seleccione los usuarios o grupos de losque quiera quitar el rol y seleccione Remove.
3. En el cuadro de diálogo Remove Role Access, confirme que desea eliminar el rol de los usuarioso los grupos seleccionados y elija Remove. La función se elimina de los usuarios y los gruposespecificados, pero no de su cuenta.
Uso de políticas administradas de AWS con AWS DirectoryServiceAWS Directory Service ofrece las siguientes políticas administradas de AWS para dar acceso a losusuarios y los grupos a servicios y recursos de AWS. Por ejemplo, acceso a la consola de Amazon EC2.Debe iniciar sesión en la Consola de administración de AWS para poder ver estas políticas.
• Acceso de solo lectura• Acceso de usuario avanzado• Acceso completo a AWS Directory Service• Acceso de solo lectura a AWS Directory Service• Acceso completo a Amazon Cloud Directory• Acceso de solo lectura a Amazon Cloud Directory• Acceso completo a Amazon EC2• Acceso de solo lectura a Amazon EC2• Acceso completo a Amazon VPC• Acceso de solo lectura a Amazon VPC• Acceso completo a Amazon RDS• Acceso de solo lectura a Amazon RDS• Acceso completo a Amazon DynamoDB• Acceso de solo lectura a Amazon DynamoDB• Acceso completo a Amazon S3• Acceso de solo lectura a Amazon S3• Acceso completo a AWS CloudTrail• Acceso de solo lectura a AWS CloudTrail• Acceso completo a Amazon CloudWatch• Acceso de solo lectura a Amazon CloudWatch• Acceso completo a Amazon CloudWatch Logs• Acceso de solo lectura a Amazon CloudWatch Logs
Version 1.088
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
Para obtener más información acerca de cómo crear sus propias políticas, consulte Ejemplos de políticaspara administrar recursos de AWS en la Guía del usuario de IAM.
Cómo habilitar el acceso a los servicios y lasaplicaciones de AWSAWS Directory Service can give other AWS applications and services, such as Amazon WorkSpaces,access to your directory users. The following AWS applications and services can be enabled or disabled towork with AWS Directory Service:
Amazon WorkSpaces
You can create a Simple AD, AWS Managed Microsoft AD, or AD Connector directly from AmazonWorkSpaces. Simply launch Advanced Setup when creating your Workspace.
For more information, see the Amazon WorkSpaces Administration Guide.Amazon WorkSpaces Application Manager
For more information, see the Amazon WAM Administration Guide.Amazon WorkDocs
For more information, see the Guía de administración Amazon WorkDocs.Amazon WorkMail
For more information, see the Amazon WorkMail Administrator Guide.Amazon Relational Database Service
For more information, see the Guía del usuario de Amazon RDS.Consola de administración de AWS
For more information, see Cómo habilitar el acceso a la Consola de administración de AWS concredenciales de AD (p. 96).
Once enabled, you manage access to your directories in the console of the application or service that youwant to give access to your directory. To find the AWS applications and services links described above inthe AWS Directory Service console, perform the following steps.
To display the applications and services for a directory
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Review the list under the AWS apps & services section.
Temas• Creación de una URL de acceso (p. 89)• Inicio de sesión único (p. 90)
Creación de una URL de accesoAn Access URL is used with AWS applications and services, such as Amazon WorkSpaces, to reach alogin page that is associated with your directory. The URL must be unique globally. You can create anaccess URL for your directory by performing the following steps.
Version 1.089
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
Warning
After an access URL is created, it cannot be used by others. If you delete your directory, theaccess URL is also deleted and can then be used by any other account.
To create an access URL
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, if an access URL has not been assigned to the directory, the
Create button is displayed. Enter a directory alias and choose Create. If an Entity Already Exists erroris returned, the specified directory alias has already been allocated. Choose another alias and repeatthis procedure.
Your directory URL is changed to <alias>.awsapps.com.
Inicio de sesión únicoAWS Directory Service provides the ability to allow your users to access Amazon WorkDocs from acomputer joined to the directory without having to enter their credentials separately.
Before you enable single sign-on, you need to take additional steps to enable your users web browsers tosupport single sign-on. Users may need to modify their web browser settings to enable single sign-on.
Note
Single sign-on only works when used on a computer that is joined to the AWS Directory Servicedirectory. It cannot be used on computers that are not joined to the directory.
To enable or disable single sign-on with Amazon WorkDocs
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, choose Enable to enable single sign-on for Amazon WorkDocs.
If you do not see the Enable button, you may need to first create an Access URL before this option willbe displayed. For more information about how to create an access URL, see Creación de una URL deacceso (p. 89).
5. In the Enable Single Sign-On for this directory dialog box, choose Enable. Single sign-on is enabled forthe directory.
If the directory is an AD Connector directory and the AD Connector service account does not havepermission to add a service principal name, you are prompted for the username and password for adirectory user that has this permission. These credentials are only used to enable single sign-on andare not stored by the service. The AD Connector service account is not changed.
6. If you later want to disable single sign-on with Amazon WorkDocs, choose Disable, and then in theDisable Single Sign-On for this directory dialog box, choose Disable again.
If the directory is an AD Connector directory and the AD Connector service account does not havepermission to remove a service principal name, you are prompted for the username and password fora directory user that has this permission. These credentials are only used to disable single sign-on andare not stored by the service. The AD Connector service account is not changed.
Version 1.090
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
Temas• Single Sign-On for IE and Chrome (p. 91)• Single Sign-On for Firefox (p. 95)
Single Sign-On for IE and Chrome
To allow Microsoft Internet Explorer (IE) and Google Chrome browsers to support single sign-on, thefollowing tasks must be performed on the client computer:
• Add your access URL (e.g., https://<alias>.awsapps.com) to the list of approved sites for single sign-on.
• Enable active scripting (JavaScript).• Allow automatic logon.• Enable integrated authentication.
You or your users can perform these tasks manually, or you can change these settings using Group Policysettings.
Temas• Manual Update for Single Sign-On on Windows (p. 91)• Manual Update for Single Sign-On on OS X (p. 93)• Group Policy Settings for Single Sign-On (p. 93)
Manual Update for Single Sign-On on Windows
To manually enable single sign-on on a Windows computer, perform the following steps on the clientcomputer. Some of these settings may already be set correctly.
To manually enable single sign-on for Internet Explorer and Chrome on Windows
1. To open the Internet Properties dialog box, choose the Start menu, type Internet Options in thesearch box, and choose Internet Options.
2. Add your access URL to the list of approved sites for single sign-on by performing the following steps:
a. In the Internet Properties dialog box, select the Security tab.b. Select Local intranet and choose Sites.c. In the Local intranet dialog box, choose Advanced.d. Add your access URL to the list of websites and choose Close.e. In the Local intranet dialog box, choose OK.
3. To enable active scripting, perform the following steps:
a. In the Security tab of the Internet Properties dialog box, choose Custom level.b. In the Security Settings - Local Intranet Zone dialog box, scroll down to Scripting and select
Enable under Active scripting.
Version 1.091
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
c. In the Security Settings - Local Intranet Zone dialog box, choose OK.4. To enable automatic logon, perform the following steps:
a. In the Security tab of the Internet Properties dialog box, choose Custom level.b. In the Security Settings - Local Intranet Zone dialog box, scroll down to User Authentication and
select Automatic logon only in Intranet zone under Logon.
c. In the Security Settings - Local Intranet Zone dialog box, choose OK.d. In the Security Settings - Local Intranet Zone dialog box, choose OK.
5. To enable integrated authentication, perform the following steps:
a. In the Internet Properties dialog box, select the Advanced tab.b. Scroll down to Security and select Enable Integrated Windows Authentication.
Version 1.092
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
c. In the Internet Properties dialog box, choose OK.6. Close and re-open your browser to have these changes take effect.
Manual Update for Single Sign-On on OS X
To manually enable single sign-on for Chrome on OS X, perform the following steps on the client computer.You will need administrator rights on your computer to complete these steps.
To manually enable single sign-on for Chrome on OS X
1. Add your access URL to the AuthServerWhitelist policy by running the following command:
defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"
2. Open System Preferences, go to the Profiles panel, and delete the Chrome KerberosConfiguration profile.
3. Restart Chrome and open chrome://policy in Chrome to confirm that the new settings are in place.
Group Policy Settings for Single Sign-On
The domain administrator can implement Group Policy settings to make the single sign-on changes onclient computers that are joined to the domain.
Note
If you manage the Chrome web browsers on the computers in your domain with Chrome policies,you must add your access URL to the AuthServerWhitelist policy. For more information aboutsetting Chrome policies, go to Policy Settings in Chrome.
To enable single sign-on for Internet Explorer and Chrome using Group Policy settings
1. Create a new Group Policy object by performing the following steps:
a. Open the Group Policy Management tool, navigate to your domain and select Group PolicyObjects.
Version 1.093
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
b. From the main menu, choose Action and select New.c. In the New GPO dialog box, enter a descriptive name for the Group Policy object, such as SSO
Policy, and leave Source Starter GPO set to (none). Click OK.2. Add the access URL to the list of approved sites for single sign-on by performing the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to User Configuration > Preferences > Windows Settings.c. In the Windows Settings list, open the context (right-click) menu for Registry and choose New
registry item.d. In the New Registry Properties dialog box, enter the following settings and choose OK:
Action
Update
Hive
HKEY_CURRENT_USER
Path
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>
The value for <alias> is derived from your access URL. If your access URL is https://examplecorp.awsapps.com, the alias is examplecorp, and the registry key will beSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.
Value name
https
Value type
REG_DWORD
Value data
1
3. To enable active scripting, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to Computer Configuration > Policies > Administrative Templates >Windows Components > Internet Explorer > Internet Control Panel > Security Page > IntranetZone.
c. In the Intranet Zone list, open the context (right-click) menu for Allow active scripting and chooseEdit.
d. In the Allow active scripting dialog box, enter the following settings and choose OK:
• Select the Enabled radio button.• Under Options set Allow active scripting to Enable.
4. To enable automatic logon, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
Version 1.094
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
b. In the policy tree, navigate to Computer Configuration > Policies > Administrative Templates >Windows Components > Internet Explorer > Internet Control Panel > Security Page > IntranetZone.
c. In the Intranet Zone list, open the context (right-click) menu for Logon options and choose Edit.d. In the Logon options dialog box, enter the following settings and choose OK:
• Select the Enabled radio button.• Under Options set Logon options to Automatic logon only in Intranet zone.
5. To enable integrated authentication, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to User Configuration > Preferences > Windows Settings.c. In the Windows Settings list, open the context (right-click) menu for Registry and choose New
registry item.d. In the New Registry Properties dialog box, enter the following settings and choose OK:
Action
Update
Hive
HKEY_CURRENT_USER
Path
Software\Microsoft\Windows\CurrentVersion\Internet Settings
Value name
EnableNegotiate
Value type
REG_DWORD
Value data
1
6. Close the Group Policy Management Editor window if it is still open.7. Assign the new policy to your domain by following these steps:
a. In the Group Policy Management tree, open the context (right-click) menu for your domain andchoose Link an Existing GPO.
b. In the Group Policy Objects list, select your SSO policy and choose OK.
These changes will take effect after the next Group Policy update on the client, or the next time the userlogs in.
Single Sign-On for Firefox
To allow Mozilla Firefox browser to support single sign-on, add your access URL (e.g.,https://<alias>.awsapps.com) to the list of approved sites for single sign-on. This can be done manually,or automated with a script.
Temas• Manual Update for Single Sign-On (p. 96)• Automatic Update for Single Sign-On (p. 96)
Version 1.095
AWS Directory Service Guía de administraciónCómo habilitar el acceso a la
Consola de administración de AWS
Manual Update for Single Sign-On
To manually add your access URL to the list of approved sites in Firefox, perform the following steps on theclient computer.
To manually add your access URL to the list of approved sites in Firefox
1. Open Firefox and open the about:config page.2. Open the network.negotiate-auth.trusted-uris preference and add your access URL to the
list of sites. Use a comma (,) to separate multiple entries.
Automatic Update for Single Sign-On
As a domain administrator, you can use a script to add your access URL to the Firefoxnetwork.negotiate-auth.trusted-uris user preference on all computers on your network. Formore information, go to https://support.mozilla.org/en-US/questions/939037.
Cómo habilitar el acceso a la Consola deadministración de AWS con credenciales de ADAWS Directory Service allows you to grant members of your directory access to the Consola deadministración de AWS. By default, your directory members do not have access to any AWS resources.You assign IAM roles to your directory members to give them access to the various AWS services andresources. The IAM role defines the services, resources, and level of access that your directory membershave.
Version 1.096
AWS Directory Service Guía de administraciónCómo habilitar el acceso a la
Consola de administración de AWS
Before you can grant console access to your directory members, your directory must have an access URL.For more information about how to view directory details and get your access URL, see Ver información deldirectorio (p. 85). For more information about how to create an access URL, see Creación de una URLde acceso (p. 89).
For more information about how to create and assign IAM roles to your directory members, see Otorgaracceso a los recursos de AWS a usuarios y grupos (p. 85).
Temas• Enable Consola de administración de AWS Access (p. 97)• Disable Consola de administración de AWS Access (p. 97)• Set Login Session Length (p. 98)
Related AWS Security Blog Article
• How to Access the Consola de administración de AWS Using AWS Managed Microsoft AD and Your On-Premises Credentials
Enable Consola de administración de AWS AccessBy default, console access is not enabled for any directory. To enable console access for your directoryusers and groups, perform the following steps:
To enable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the AWS apps & services section, choose Consola de administración de AWS.5. In the Enable AWS Management Console dialog box, choose Enable Access. Console access is now
enabled for your directory.6. Before users can sign-in to the console with your access URL, you must add a New Role and add
only those users who you want to have access. For more information about assigning users to IAMroles, see Creación de una función nueva (p. 86) or Asignación de usuarios o grupos a una funciónexistente (p. 87).
After the IAM roles have been assigned, users can then access the console using your access URL.For example, if your directory access URL is example-corp.awsapps.com, the URL to access theconsole is https://example-corp.awsapps.com/console/.
Note
Access for users in nested groups within your directory are not supported. Members of the parentgroup have console access, but members of child groups do not.
Disable Consola de administración de AWS AccessTo disable console access for your directory users and groups, perform the following steps:
To disable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.
Version 1.097
AWS Directory Service Guía de administraciónImplementar controladores de dominio adicionales
3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose Consola de administración de AWS.5. If any IAM roles have been assigned to users or groups in the directory, the Disable Access button
in the Manage access to AWS Resources dialog box is unavailable. In this case, you must chooseContinue and remove all IAM role assignments for the directory before proceeding, includingassignments for users or groups in your directory that have been deleted, which will show as DeletedUser or Deleted Group.
After all IAM role assignments have been removed, repeat the steps above. When the Manage accessto AWS Resources dialog box is displayed, choose Disable Access.
Set Login Session LengthBy default, users have 1 hour to use their session after successfully signing in to the console before theyare logged out. After that, users must sign in again to start the next 1 hour session before being logged offagain. You can use the following procedure to change the length of time to up to 12 hours per session.
To set login session length
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose AWS Management Console.5. In the Manage Access to AWS Resource dialog box, choose Continue.6. In the Assign users and groups to IAM roles page, under Set login session length, edit the numbered
value, and then choose Save.
Implementación de controladores de dominioadicionalesLa implementación de controladores de dominios adicionales aumenta la redundancia, lo que mejora aúnmás la resistencia y la disponibilidad. Esto también mejora el desempeño del directorio al poder utilizarun mayor número de solicitudes de Active Directory. Por ejemplo, ahora puede utilizar AWS ManagedMicrosoft AD para poder admitir varias aplicaciones .NET implementadas en grandes flotas de AmazonEC2 y Amazon RDS para instancias de SQL Server.
Al crear por primera vez el directorio, AWS Managed Microsoft AD implementa dos controladores dedominio en varias zonas de disponibilidad, lo que es necesario para lograr una alta disponibilidad.Posteriormente, puede implementar fácilmente controladores de dominio adicionales a través de la consolade AWS Directory Service con tan solo especificar el número total de controladores de dominio quedesea. AWS Managed Microsoft AD distribuye los controladores de dominio adicionales a las zonas dedisponibilidad y subredes de la VPC en la que se ejecuta el directorio.
Por ejemplo, en la siguiente ilustración, DC-1 y DC-2 representan los dos controladores de dominioque se crearon originalmente con su directorio. La consola de AWS Directory Service considera estoscontroladores de dominio predeterminados como Required. AWS Managed Microsoft AD localizadeliberadamente cada uno de estos controladores de dominio en zonas de disponibilidad distintas duranteel proceso de creación del directorio. Luego podrá optar por añadir dos controladores de dominio más paraayudar a distribuir la carga de autenticación en las horas pico de inicio de sesión. DC-3 y DC-4 representanlos nuevos controladores de dominio, a los que ahora la consola considera Additional. Como antes,AWS Managed Microsoft AD coloca de nuevo automáticamente los nuevos controladores de dominio endiferentes zonas de disponibilidad para garantizar una alta disponibilidad del dominio.
Version 1.098
AWS Directory Service Guía de administraciónImplementar controladores de dominio adicionales
Este proceso evita tener que configurar manualmente la replicación de datos del directorio, lasinstantáneas diarias automatizadas o la monitorización de los controladores de dominio adicionales.También es más fácil migrar y ejecutar cargas de trabajo críticas integradas en Active Directory en la nubede sin tener que implementar y mantener su propia infraestructura de Active Directory. También puedeimplementar o quitar controladores de dominio adicionales para AWS Managed Microsoft AD utilizando laAPI UpdateNumberOfDomainControllers.
Añadir o quitar controladores de dominio adicionalesUtilice el siguiente procedimiento para implementar o quitar controladores de dominio adicionales en sudirectorio de AWS Managed Microsoft AD.
Note
Si ha configurado AWS Managed Microsoft AD para habilitar LDAPS, los controladores dedominio adicionales que añada también tendrán habilitado automáticamente LDAPS. Para obtenermás información, consulte Cómo habilitar las comunicaciones LDAP seguras en AWS ManagedMicrosoft AD (p. 27).
Para añadir o quitar controladores de dominio adicionales
1. En el panel de navegación de AWS Directory Service console, elija Directories (Directorios).2. En la página Directories (Directorios), elija el ID del directorio.3. En la página Directory details (Detalles del directorio), seleccione la pestaña Scale (Escala).4. En la sección Domain controllers (Controladores de dominio), elija Edit (Editar).
Version 1.099
AWS Directory Service Guía de administraciónPrácticas recomendadas
5. Especifique el número de controladores de dominio que va a añadir o quitar del directorio y, acontinuación, elija Modify (Modificar).
6. Cuando finalice el proceso de implementación de AWS Managed Microsoft AD, todos loscontroladores de dominio tendrán el estado Active y aparecerán la zona de disponibilidad asignada ylas subredes de VPC. Los nuevos controladores de dominio se distribuyen de manera equitativa entrelas zonas de disponibilidad y subredes en las que el directorio ya está implementado.
Note
Después de la implementación de controladores de dominio adicionales, puede reducir el númerode controladores de dominio a dos, que es el mínimo necesario para lograr tolerancia a errores yuna alta disponibilidad.
Artículo relacionado del blog de AWS sobre seguridad
• How to Increase the Redundancy and Performance of Your AWS Directory Service for AWS ManagedMicrosoft AD by Adding Domain Controllers
Prácticas recomendadas para AWS ManagedMicrosoft AD
A continuación se indican algunas sugerencias y directrices que hay que tener en cuenta para evitarproblemas y sacar el máximo provecho de AWS Managed Microsoft AD.
Configuración: requisitos previosPlantéese estas directrices antes de crear el directorio.
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
For a more detailed comparison of AWS Directory Service options, see ¿Cuál debe elegir? (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs that thedirectories are associated with. See either Requisitos previos de AWS Managed Microsoft AD (p. 10),Requisitos previos de AD Connector (p. 126), or Requisitos previos de Simple AD (p. 149) forinformation about the VPC security and networking requirements.
Version 1.0100
AWS Directory Service Guía de administraciónConfiguración: creación del directorio
If you are adding an instance to your domain, ensure that you have connectivity and remote access to yourinstance as described in Unir una instancia EC2 al directorio de AWS Managed Microsoft AD (p. 42).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregatesize of your objects are the only limitations on the number of objects you may store in your directory. Seeeither Límites de AWS Managed Microsoft AD (p. 104), Límites de AD Connector (p. 145), or Límites deSimple AD (p. 186) for details about your chosen directory.
Comprender la configuración y el uso de los grupos de seguridadde AWS del directorioAWS crea un grupo de seguridad y lo adjunta a las interfaces de red elásticas del controlador de dominiodel directorio. Este grupo de seguridad bloquea el tráfico que no es necesario al controlador del dominioy permite el tráfico necesario para las comunicaciones de Active Directory. AWS configura el grupo deseguridad para abrir solo los puertos que son necesarios para las comunicaciones de Active Directory. Enla configuración predeterminada, el grupo de seguridad acepta el tráfico a estos puertos desde cualquierdirección IP. AWS asocia el grupo de seguridad a las interfaces de los controladores de dominio a las quese puede obtener acceso desde las VPC, interconectadas o con cambio de tamaño. A estas interfaces nose puede acceder desde Internet aunque modifique las tablas de enrutamiento, cambie las conexiones dered a la VPC y configure el servicio NAT Gateway. Como tal, solo las instancias y los equipos que tenganuna ruta de red en la VPC pueden acceder al directorio. Esto simplifica la configuración, eliminando elrequisito de configurar rangos de direcciones específicos. En su lugar, se configuran rutas y grupos deseguridad en la VPC que permiten el tráfico únicamente a partir de instancias y equipos de confianza.
Modificación del grupo de seguridad del directorio
Si desea aumentar la seguridad de los grupos de seguridad de sus directorios, puede modificarlospara que acepten tráfico de una lista más restrictiva de direcciones IP. Por ejemplo, puede cambiar lasdirecciones aceptadas desde 0.0.0.0/0 hasta un rango de CIDR que sea específico de una sola subredo un solo equipo. De forma similar, podría optar por restringir las direcciones de destino con las quepuedan comunicarse sus controladores de dominio. Realice esos cambios únicamente si comprendecompletamente cómo funcionan los filtros de los grupos de seguridad. Para obtener más información,consulte Grupos de seguridad de Amazon EC2 para instancias Linux en la Guía del usuario de AmazonEC2. Los cambios incorrectos pueden producir pérdida de comunicaciones a las instancias y a los equiposprevistos. AWS recomienda que no intente abrir puertos adicionales al controlador de dominio, ya que sereduce la seguridad del directorio. Lea detenidamente el Modelo de responsabilidad compartida de AWS.
Warning
Técnicamente, puede asociar los grupos de seguridad que utiliza el directorio a otras instanciasEC2 que cree. Sin embargo, AWS no recomienda esta práctica. AWS puede tener razones paramodificar el grupo de seguridad sin previo aviso para responder a necesidades de seguridado funcionales del directorio administrado. Estos cambios afectan a cualquier instancia a laque asocie el grupo de seguridad del directorio. Además, al asociar el grupo de seguridad deldirectorio a sus instancias EC2 se crea un posible riesgo de seguridad para sus instancias EC2.El grupo de seguridad del directorio acepta tráfico en los puertos necesarios de Active Directorydesde cualquier dirección IP. Si asocia este grupo de seguridad a una instancia EC2 con unadirección IP pública conectada a Internet, cualquier equipo en Internet puede comunicarse con suinstancia EC2 en los puertos abiertos.
Configuración: creación del directorioA continuación se indican algunas sugerencias que debe tener en cuenta en el momento de crear sudirectorio.
Version 1.0101
AWS Directory Service Guía de administraciónUso del directorio
Recuerde su ID de administrador y su contraseñaCuando se configura el directorio, se proporciona la contraseña de la cuenta de administrador. El ID de esacuenta es Admin para AWS Managed Microsoft AD. Recuerde la contraseña que cree para esta cuenta; delo contrario, no podrá añadir objetos a su directorio.
Cree un conjunto de opciones de DHCPLe recomendamos crear un conjunto de opciones de DHCP para su directorio de AWS Directory Service,así como asignar el conjunto de opciones de DHCP a la VPC donde se encuentre el directorio. De estaforma, las instancias de la VPC pueden apuntar al dominio especificado y los servidores DNS puedenresolver sus nombres de dominio.
Para obtener más información sobre las opciones de DHCP, consulte Cree un conjunto de opciones deDHCP (p. 54).
Comprender restricciones de nombre de usuario paraaplicaciones de AWSAWS Directory Service permite la mayoría de formatos de caracteres que se pueden utilizar en la creaciónde nombres de usuario. No obstante, existen restricciones de caracteres que se imponen en los nombresde usuario que se utilizarán para iniciar sesión en las aplicaciones de AWS como, por ejemplo AmazonWorkSpaces, Amazon WorkDocs, Amazon WorkMail o Amazon QuickSight. Estas restricciones requierenque no se utilicen los siguientes caracteres:
• Espacios• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
El símbolo @ se permite siempre que preceda a un sufijo UPN.
Uso del directorioEstas son algunas sugerencias que tener en cuenta al utilizar su directorio.
No modificar los usuarios, los grupos, ni las unidadesorganizativas predefinidosAl utilizar AWS Directory Service para lanzar un directorio, AWS crea una unidad organizativa (OU) quecontiene todos los objetos de su directorio. Esta unidad organizativa, que tiene el nombre de NetBIOSque escribió al crear el directorio, se encuentra en la raíz del dominio. La raíz del dominio es propiedadde AWS, que también se encarga de su administración. También se crean varios grupos y un usuarioadministrativo.
No mueva, elimine ni modifique de ningún otro modo estos objetos predefinidos. Si lo hace, puede impedirel acceso al directorio tanto por su parte como por parte de AWS. Para obtener más información, consulteQué se crea (p. 13).
Unirse a dominios de manera automáticaAl lanzar una instancia de Windows que va a formar parte de un dominio de AWS Directory Service,suele ser más fácil unirse al dominio dentro del proceso de creación de instancias, en lugar de añadir
Version 1.0102
AWS Directory Service Guía de administraciónGestión de su directorio
manualmente la instancia más adelante. Para unirse automáticamente a un dominio, solo tiene queseleccionar el directorio correcto para Domain join directory al lanzar una nueva instancia. Puede encontrardetalles en Cómo unir fácilmente una instancia EC2 de Windows (p. 42).
Configurar relaciones de confianza correctamenteCuando configure la relación de confianza entre su directorio de AWS Managed Microsoft AD y otrodirectorio, tenga en cuenta estas directrices:
• Ambas deben ser relaciones de confianzas entre bosques.• Ambos nombres de dominio completo (FQDN) deben ser únicos.• Si añade un nombre NetBIOS, también debe ser único.
Para más información e instrucciones específicas sobre cómo configurar una relación de confianza,consulte Cuándo crear una relación de confianza (p. 58).
Gestión de su directorioTenga en cuenta estas sugerencias para gestionar su directorio.
Planifique cuidadosamente las extensiones del esquemaDebe aplicar cuidadosamente las extensiones del esquema para indexar el directorio para las consultasimportantes y frecuentes. Tenga cuidado de no sobreindexar el directorio, ya que los índices consumenespacio en el directorio y los valores indexados que cambian rápidamente pueden provocar problemasde desempeño. Para añadir índices, debe crear un archivo de formato ligero de intercambio de directorios(LDIF) del protocolo ligero de acceso a directorios (LDAP) y extender el cambio de esquema. Para obtenermás información, consulte Ampliar el esquema (p. 76).
Acerca de los balanceadores de cargaNo utilice un balanceador de carga delante de los puntos de enlace de AWS Managed Microsoft AD.Microsoft diseñó Active Directory (AD) para su uso con un algoritmo de detección de controladoresde dominio (DC) que encuentra el DC operativo con mayor capacidad de respuesta sin balanceo decarga externo. Los balanceadores de carga de red externos detectan incorrectamente los DC activosy pueden hacer que la aplicación se envíe a un DC que se está iniciando, pero que no está listo parasu uso. Para obtener más información, consulte Load balancers and Active Directory en MicrosoftTechNet, que recomienda corregir las aplicaciones para utilizar AD correctamente en lugar de implementarbalanceadores de carga externos.
Haga una copia de seguridad de la instanciaSi decide añadir manualmente una instancia a un dominio existente de AWS Directory Service, hagaprimero un backup o una instantánea de la instancia. Esto es especialmente importante a la hora de unirsea una instancia de Linux. Algunos de los procedimientos utilizados para agregar una instancia, si no serealizan correctamente, pueden hacer que la instancia resulte inaccesible o inservible. Para obtener másinformación, consulte Creación de una instantánea o restauración del directorio (p. 84).
Configuración de la mensajería SNSCon Amazon Simple Notification Service (Amazon SNS), puede recibir correo electrónico o mensajes detexto (SMS) cuando el estado de su directorio cambie. Se le notificará si el directorio pasa de un estadoActivo a Deteriorado o Inoperable. También recibirá una notificación cuando el directorio vuelva a estar enestado activo.
Version 1.0103
AWS Directory Service Guía de administraciónProgramación de las aplicaciones
Recuerde también que si tiene un tema de SNS que recibe mensajes de AWS Directory Service, antesde eliminarlo desde la consola de Amazon SNS, debe asociar su directorio a otro tema de SNS. En casocontrario, se arriesga a perder importantes mensajes de estado del directorio. Para obtener informaciónacerca de cómo configurar Amazon SNS, consulte Configuración de notificaciones de estado de losdirectorios (p. 32).
Elimine las aplicaciones empresariales de Amazon antes deeliminar un directorioAntes de eliminar un directorio asociado a una o varias aplicaciones empresariales de Amazon, comoAmazon WorkSpaces, Amazon WorkSpaces Application Manager, Amazon WorkDocs, Amazon WorkMail,Consola de administración de AWS o Amazon Relational Database Service (Amazon RDS), debe eliminarprimero cada aplicación. Para obtener más información sobre cómo eliminar estas aplicaciones, consulteEliminar su directorio (p. 82).
Programación de las aplicacionesAntes de programar sus aplicaciones, tenga en cuenta lo siguiente:
Utilice el servicio de localización de DC de WindowsCuando desarrolle aplicaciones, utilice el servicio de localización de DC de Windows o utilice el serviciode DNS dinámico (DDNS) de su AWS Managed Microsoft AD para localizar los controladores de dominio(DC). No incluya la dirección de un DC en el código de las aplicaciones. El servicio de localización de DCayuda a garantizar la distribución de la carga de directorios y le permite aprovechar el escalado horizontalañadiendo controladores de dominio a su implementación. Si vincula la aplicación a un DC fijo y se sometea una operación de aplicación de parches o de recuperación a dicho DC, la aplicación perderá el accesoal DC en lugar de utilizar uno de los DC restantes. Además, la inclusión de un DC en el código de laaplicación puede provocar que dicho DC se sobrecargue. En casos graves, esto puede hacer que el DCdeje de responder. En estos casos, también es posible que la automatización de directorios de AWSmarque el directorio como deteriorado y que se activen procesos de recuperación que sustituyan el DC queno responde.
Realice pruebas de carga antes de la puesta en producciónAsegúrese de hacer pruebas de laboratorio con objetos y solicitudes que sean representativos de su cargade trabajo de producción para confirmar que el directorio puede adaptarse a la carga de su aplicación.Si necesita capacidad adicional, pruebe con DC adicionales para que las solicitudes se distribuyan entrelos DC disponibles. Para obtener más información, consulte Implementación de controladores de dominioadicionales (p. 98).
Utilice consultas LDAP eficientesLas consultas amplias de LDAP a un controlador de dominio con decenas de miles de objetos puedenconsumir un número importante de ciclos de CPU en un único DC, lo que se traduce en una sobrecarga.Esto podría afectar a las aplicaciones que comparten el mismo DC durante la consulta.
Límites de AWS Managed Microsoft ADLos siguientes son los límites predeterminados para AWS Managed Microsoft AD. A menos que se indiquelo contrario, cada límite corresponde a una región.
Version 1.0104
AWS Directory Service Guía de administraciónIncrease Your Limit
Límites de AWS Managed Microsoft AD
Recurso Límite predeterminado
Directorios de AWS Managed Microsoft AD 10
Instantáneas manuales * 5 por AWS Managed Microsoft AD
Número máximo de controladores de dominio pordirectorio
20
* El límite de instantáneas manuales no se puede cambiar.
Para obtener más información sobre el diseño de aplicaciones y la distribución de la carga, consulteProgramación de las aplicaciones (p. 104).
Para obtener información sobre los límites de objetos y de almacenamiento, consulte la tabla comparativaen la página Precios de AWS Directory Service.
Increase Your LimitPerform the following steps to increase your limit for a region.
To request a limit increase for a region
1. Go to the AWS Support Center page, sign in, if necessary, and click Open a new case.2. Under Regarding, select Service Limit Increase.3. Under Limit Type, select AWS Directory Service.4. Fill in all of the necessary fields in the form and click the button at the bottom of the page for your
desired method of contact.
Política de compatibilidad de las aplicaciones paraAWS Managed Microsoft AD
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) es compatible convarios servicios de AWS y aplicaciones de terceros.
A continuación se muestra una lista de aplicaciones y servicios de AWS compatibles:
• Amazon Chime: para obtener instrucciones detalladas, consulte Conexión con Active Directory.• Amazon Connect: para obtener más información, consulte Cómo funciona Amazon Connect.• Amazon EC2: para obtener más información, consulte Unir una instancia EC2 al directorio de AWS
Managed Microsoft AD (p. 42).• Consola de administración de AWS: para obtener más información, consulte Cómo habilitar el acceso a
la Consola de administración de AWS con credenciales de AD (p. 96).• Amazon QuickSight: para obtener más información, consulte Administración de cuentas de usuario en
Amazon QuickSight Enterprise Edition.• Amazon RDS para SQL Server: para obtener más información, consulte Uso de la autenticación de
Windows con una instancia de base de datos de Microsoft SQL Server.• AWS Single Sign-On: para obtener instrucciones detalladas, consulte Conectar AWS SSO a un Active
Directory local.
Version 1.0105
AWS Directory Service Guía de administraciónDirectrices de compatibilidad
• Amazon WorkDocs: para obtener instrucciones detalladas, consulte Conexión con el directorio localmediante AWS Managed Microsoft AD.
• Amazon WorkMail: para obtener instrucciones detalladas, consulte Integrar Amazon WorkMail en undirectorio existente (instalación estándar).
• Amazon WorkSpaces: para obtener instrucciones detalladas, consulte Lanzamiento de un WorkSpacecon AWS Managed Microsoft AD.
Dada la enorme cantidad de aplicaciones personalizadas y comerciales disponibles en el mercadoque utilizan Active Directory, AWS no realiza y no puede realizar una verificación formal ni amplia de lacompatibilidad de las aplicaciones de terceros con AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD). Aunque AWS trabaja con los clientes para intentar superar cualquierposible desafío que puedan encontrar durante la instalación de las aplicaciones, no podemos garantizarque ninguna aplicación sea ni continúe siendo compatible con AWS Managed Microsoft AD.
Las siguientes aplicaciones de terceros son compatibles con AWS Managed Microsoft AD:
• Active Directory Federation Services (AD FS)• Application Server (.NET)• Azure Active Directory (AD) Connect• Enterprise Certificate Authority• Remote Desktop Licensing Manager• SharePoint Server• SQL Server (incluye los grupos de disponibilidad Always On)
Tenga en cuenta que es posible que no todas las configuraciones de estas aplicaciones sean compatibles.
Directrices de compatibilidadAunque las aplicaciones pueden tener configuraciones que sean incompatibles, las configuraciones deimplementación de las aplicaciones a menudo pueden superar la incompatibilidad. A continuación sedescriben los motivos más comunes para incompatibilidad de las aplicaciones. Los clientes pueden usaresta información para investigar las características de compatibilidad de una aplicación determinada eidentificar los posibles cambios de implementación.
• Administrador del dominio u otros permisos privilegiados: algunas aplicaciones requieren su instalacióncomo administrador del dominio. Debido a que AWS debe conservar el control exclusivo de este nivelde permiso para ofrecer Active Directory como un servicio administrado, no es posible actuar comoadministrador del dominio para instalar este tipo de aplicaciones. Sin embargo, a menudo podrá instalareste tipo de aplicaciones delegando permisos con menos privilegios admitidos por AWS en la personaque realiza la instalación. Para obtener más información sobre los permisos exactos que necesita laaplicación, pregunte al proveedor de la aplicación. Para obtener más información acerca de los permisosque AWS le permite delegar, consulte Qué se crea (p. 13).
• Acceso a los contenedores privilegiados de Active Directory: dentro del directorio, AWS ManagedMicrosoft AD proporciona una unidad organizativa (OU) sobre la que usted tiene control administrativocompleto. No tiene permisos de creación o de escritura, y puede que tenga permisos de lectura limitadosa los contenedores situados en posiciones más elevadas en el árbol de Active Directory que la OU. Lasaplicaciones que crean o tienen acceso a los contenedores para los que usted no tiene permisos podríanno funcionar. Sin embargo, este tipo de aplicaciones a menudo ofrecen la posibilidad alternativa de usarun contenedor que se crea dentro de su OU. Póngase en contacto con el proveedor de su aplicaciónpara encontrar la forma de crear y utilizar un contenedor de su OU como alternativa. Para obtenermás información sobre cómo administrar su OU, consulte Cómo administrar AWS Managed MicrosoftAD (p. 21).
Version 1.0106
AWS Directory Service Guía de administraciónAplicaciones incompatibles conocidas
• Cambios de esquema durante el flujo de trabajo de instalación: algunas aplicaciones de Active Directorynecesitan cambios en el esquema predeterminado de Active Directory, y es posible que intenten instalaresos cambios como parte del flujo de trabajo de instalación de la aplicación. Debido a la naturalezaprivilegiada de las ampliaciones de esquema, AWS hace que esto sea posible mediante la importaciónde archivos de formato ligero de intercambio de directorios (LDIF) únicamente a través de la consolade AWS Directory Service, la CLI o el SDK. Dichas aplicaciones a menudo vienen con un archivo LDIFque se puede aplicar al directorio a través del proceso de actualización del esquema de AWS DirectoryService. Para obtener más información sobre cómo funciona el proceso de importación de archivosLDIF, consulte Tutorial: Ampliación del esquema de AWS Managed Microsoft AD (p. 77). Puedeinstalar la aplicación de forma que omita la instalación del esquema durante el proceso de instalación.
Aplicaciones incompatibles conocidasA continuación se enumeran las aplicaciones comerciales solicitadas con frecuencia para las queno hemos encontrado ninguna configuración que funcione con AWS Managed Microsoft AD. AWSactualiza esta lista periódicamente, de manera discrecional, como cortesía para ayudarle a evitaresfuerzos improductivos.AWS proporciona esta información sin garantía ni compromiso con respecto a lacompatibilidad actual o futura.
• Microsoft Exchange
Tutoriales de laboratorio de pruebas de AWSManaged Microsoft AD
En esta sección se proporciona una serie de tutoriales guiados para ayudarle a establecer un entorno delaboratorio de pruebas en AWS donde pueda experimentar con AWS Managed Microsoft AD.
Temas• Tutorial: Configuración de su base de laboratorio de pruebas de AWS Managed Microsoft AD en
AWS (p. 107)• Tutorial: creación de una confianza de AWS Managed Microsoft AD para una instalación de Active
Directory autoadministrada en Amazon EC2 (p. 116)
Tutorial: Configuración de su base de laboratorio depruebas de AWS Managed Microsoft AD en AWSEste tutorial le enseñará a configurar su entorno de AWS a fin de prepararse para una nueva instalaciónde AWS Managed Microsoft AD que utilice una nueva instancia EC2 que ejecute Windows Server2016. A continuación le enseña a utilizar las herramientas típicas de administración de Active Directorypara administrar su entorno de AWS Managed Microsoft AD desde su sistema Windows. Cuando hayacompletado el tutorial, habrá configurado los requisitos previos de la red y habrá configurado un nuevobosque de AWS Managed Microsoft AD.
Tal y como se muestra en la siguiente ilustración, el laboratorio que cree en este tutorial es la piedraangular para el aprendizaje práctico sobre AWS Managed Microsoft AD. Posteriormente, podrá agregartutoriales opcionales para una experiencia más práctica. Esta serie de tutoriales es ideal para cualquieraque se acerque por primera vez a AWS Managed Microsoft AD y quiera contar con un entorno de pruebaspara evaluación. Para completar este tutorial se necesita aproximadamente 1 hora.
Version 1.0107
AWS Directory Service Guía de administraciónTutorial: Configuración de su base de laboratorio
de pruebas de AWS Managed Microsoft AD
Paso 1: Configurar el entorno de AWS para AWS Managed Microsoft AD (p. 109)
Tras haber completado las tareas previas, podrá crear y configurar una VPC en su instancia EC2.Paso 2: crear su directorio de AWS Managed Microsoft AD en AWS (p. 111)
En este paso configurará AWS Managed Microsoft AD en AWS por primera vez.Paso 3: implementar una instancia EC2 para administrar AWS Managed Microsoft AD (p. 112)
A continuación, veremos las distintas tareas posteriores a la implementación necesarias para que losequipos clientes se conecten a su nuevo dominio y para configurar un nuevo sistema de WindowsServer en EC2.
Paso 4: Verificar que la base de laboratorio de pruebas esté operativa (p. 115)
Por último, como administrador, debe verificar que pueda iniciar sesión y conectarse a AWSManaged Microsoft AD desde su sistema de Windows Server en EC2. Tras haber comprobadosatisfactoriamente que el laboratorio es operativo, puede seguir agregando otros módulos guía dellaboratorio de pruebas.
Requisitos previosSi quiere utilizar solamente los pasos de la IU de este tutorial para crear su laboratorio de pruebas, puedeomitir esta sección de requisitos previos y pasar al paso 1. No obstante, si tiene previsto utilizar comandosde la AWS CLI o módulos de Herramientas de AWS para Windows PowerShell para crear su entorno delaboratorio de pruebas, primero debe configurar lo siguiente:
Version 1.0108
AWS Directory Service Guía de administraciónTutorial: Configuración de su base de laboratorio
de pruebas de AWS Managed Microsoft AD
• Usuario de IAM con clave de acceso y clave de acceso secreta: se precisa un usuario de IAM con unaclave de acceso si quiere utilizar módulos de la o . Si no tiene una clave de acceso, consulte Creación,modificación y visualización de claves de acceso (consola de administración de AWS).
• AWS Command Line Interface (opcional): descargue e instale la versión más reciente de la CLI de AWSpara Windows en 32 bits o 64 bits. Una vez instalada, abra un símbolo del sistema o una ventana deWindows PowerShell y, a continuación, escriba aws configure. Tenga en cuenta que necesita laclave de acceso y la clave secreta para completar la configuración. Consulte el primer requisito previopara ver los pasos que indican cómo hacer esto. Se le solicitará que indique lo siguiente:• AWS access key ID [None]: AKIAIOSFODNN7EXAMPLE• AWS secret access key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY• Default region name [None]: us-west-2• Default output format [None]: json
• Herramientas de AWS para Windows PowerShell (opcional): descargue e instale la versión más recientede desde https://aws.amazon.com/powershell/ y ejecute el siguiente comando. Tenga en cuenta quenecesita su clave de acceso y la clave secreta para completar la configuración. Consulte el primerrequisito previo para ver los pasos que indican cómo hacerlo.
Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey{wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}
Paso 1: Configurar el entorno de AWS para AWS ManagedMicrosoft ADAntes de poder crear AWS Managed Microsoft AD en su laboratorio de pruebas de AWS, primero debeconfigurar su par de claves de Amazon EC2 de modo que todos los datos de inicio de sesión esténcifrados.
Creación de un par de clavesSi ya tiene un par de claves, puede omitir este paso. Para obtener más información acerca de los paresde claves de Amazon EC2, consulte http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html.
Para crear un par de claves
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
2. En el panel de navegación, en Network & Security, seleccione Key Pairs y después Create Key Pair.3. En Key pair name (Nombre del par de claves), escriba AWS-DS-KP y, a continuación, elija Create
(Crear).4. Su navegador descargará el archivo de clave privada automáticamente. El nombre del archivo es el
nombre que indicó cuando creó el par de claves con la extensión .pem. Guarde el archivo de claveprivada en un lugar seguro.
Important
Esta es la única oportunidad para guardar el archivo de clave privada. Deberá proporcionar elnombre de su par de claves al lanzar una instancia, y la clave privada correspondiente cadavez que descifre la contraseña de la instancia.
Creación de una VPCEn este procedimiento utilizará una plantilla de AWS CloudFormation para crear su red VPC. Para obtenermás información acerca de cómo funciona esta plantilla, consulte la guía de inicio rápido de Amazon VPC.
Version 1.0109
AWS Directory Service Guía de administraciónTutorial: Configuración de su base de laboratorio
de pruebas de AWS Managed Microsoft AD
En este tutorial vamos a configurar una VPC pública. No obstante, podrá convertir su VPC en una VPCprivada siempre y cuando cree una ruta de red a su VPC con Amazon Direct Connect o con una conexiónde red privada virtual (VPN).
Si desea utilizar la VPC predeterminada (172.31.0.0/16), puede pasar a la siguiente sección. Todos losejemplos de la AWS CLI y PowerShell utilizan la información de la VPC personalizada. Para obtener másinformación, consulte Amazon Virtual Private Cloud (Amazon VPC).
Para crear una VPC
1. Lance la plantilla de AWS CloudFormation en su cuenta de AWS. Haga clic aquí cuando haya iniciadosesión en su cuenta.
La plantilla se lanza en la Región EE.UU. Oeste (Oregón) de forma predeterminada. Para cambiar laregión, utilice el selector de regiones en la barra de navegación. Esta pila tarda unos cinco minutos encrearse.
2. En la página Select Template (Seleccionar plantilla), mantenga el valor predeterminado para la URLde la plantilla de Amazon S3 y, a continuación, elija Next (Siguiente).
3. En la página Specify Details escriba lo siguiente en el nombre de la pila: AWS-DS-VPC. Acontinuación, proceda del modo siguiente:
• Bajo Availability Zone Configuration, seleccione dos zonas de su área. A continuación, para Numberof Availability Zones, seleccione 2.
• Bajo Network Configuration, configure Create private subnets como false. Posteriormente, en Createadditional private subnets with dedicated network ACLs, seleccione false.
• En Amazon EC2 Configuration (Configuración de Amazon EC2), establezca Key pair name (Nombredel par de claves) en AWS-DS-KP o utilice un par de claves existente.
4. Revise la información de la función y, a continuación, seleccione Next.5. En la página Options, seleccione Next.6. En la página Review, elija Create.
Crear un grupo de seguridad para instancias EC2De forma predeterminada, AWS Managed Microsoft AD crea un grupo de seguridad para administrar eltráfico entre sus controladores de dominio. En este procedimiento, creará un grupo de seguridad queadministra el tráfico dentro de la VPC para sus instancias EC2. También agregará una regla que permitela entrada RDP (3389) desde cualquier lugar y para todos los tipos de tráfico entrante desde la VPClocal. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias deWindows.
Para crear un grupo de seguridad para instancias EC2
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En Security, seleccione Security Groups.3. Elija Create Security Group.4. En el cuadro de diálogo Create Security Group, introduzca los siguientes valores:
• En Name tag (Etiqueta de nombre), escriba AWS DS RDP Security Group.• En Group Name (Nombre de grupo), escriba AWS DS RDP Security Group.• En Description (Descripción), escriba AWS DS RDP Security Group.• Para VPC, seleccione la VPC que termina con AWS-DS-VPC.
5. Elija Yes, Create.6. Seleccione AWS DS RDP Security Group.7. Seleccione Inbound Rules bajo la lista de grupos de seguridad.
Version 1.0110
AWS Directory Service Guía de administraciónTutorial: Configuración de su base de laboratorio
de pruebas de AWS Managed Microsoft AD
8. Elija Edit y después Add another rule.9. En la tabla, agregue los siguientes valores:
• En Type, seleccione RDP (3389).• Para Protocol, verifique que se muestre TCP (6).• Para Port Range, verifique que se muestre 3389.• En Source, especifique una única dirección IP o un rango de direcciones IP en notación CIDR (por
ejemplo, 203.0.113.5/32). También puede especificar el nombre o el ID de otro grupo de seguridaden la misma región. Esta configuración determina el tráfico que puede llegar a sus instancias EC2.Para obtener más información, consulte Comprender la configuración y el uso de los grupos deseguridad de AWS del directorio (p. 101).
10. Seleccione Add another rule, e introduzca los siguientes valores:
• En Type, seleccione All Traffic.• Para Protocol, verifique que se muestre All.• Para Port Range, verifique que se muestre All.• En Source, escriba 10.0.0.0/16.
11. Seleccione Save.
Paso 2: crear su directorio de AWS Managed Microsoft AD enAWSPuede utilizar tres métodos diferentes para crear su directorio. Puede utilizar el procedimiento de laConsola de administración de AWS (recomendado para este tutorial) o puede utilizar los procedimientos dela AWS CLI o de Herramientas de AWS para Windows PowerShell para crear su directorio.
Método 1: para crear su directorio de AWS Managed Microsoft AD (Consola de administración deAWS)
1. En el panel de navegación de AWS Directory Service console, elija Directories (Directorios) y, acontinuación, elija Set up directory (Configurar directorio).
2. En la página Select directory type (Seleccionar tipo de directorio), elija AWS Managed Microsoft AD y,a continuación, elija Next (Siguiente).
3. En la página Enter directory information (Especifique la información del directorio), proporcione lainformación siguiente y, a continuación, elija Next (Siguiente).
• En Edition (Edición), seleccione la edición Standard Edition o Enterprise Edition. Para obtenerinformación acerca de las ediciones, consulte AWS Directory Service for Microsoft Active Directory.
• En Directory DNS name (Nombre de DNS del directorio), escriba corp.example.com.• En Directory NetBIOS name (Nombre NetBIOS del directorio), escriba corp.• En Directory description (Descripción del directorio), escriba AWS DS Managed.• En Admin password, escriba la contraseña que quiera usar para esta cuenta y escriba de nuevo
la contraseña en Confirm password. Esta cuenta de Admin se crea automáticamente durante elproceso de creación del directorio. La contraseña no puede incluir la palabra admin. La contraseñadel administrador del directorio distingue entre mayúsculas y minúsculas y debe tener 8 caracterescomo mínimo y 64 como máximo. También debe contener al menos un carácter de tres de lassiguientes categorías:• Letras minúsculas (a-z)• Letras mayúsculas (A-Z)• Números (0-9)• Caracteres no alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Version 1.0111
AWS Directory Service Guía de administraciónTutorial: Configuración de su base de laboratorio
de pruebas de AWS Managed Microsoft AD
4. En la página Choose VPC and subnets (Elegir la VPC y las subredes), proporcione la siguienteinformación y, a continuación, elija Next (Siguiente).
• En VPC, seleccione la opción que comienza por AWS-DS-VPC y acaba con (10.0.0.0/16).• En Subnets, seleccione las subredes públicas 10.0.128.0/20 y 10.0.144.0/20.
5. En la página Review & create (Revisar y crear), revise la información del directorio y haga los cambiosque sean necesarios. Cuando la información sea correcta, seleccione Create directory (Creardirectorio). Se tarda entre 20 y 40 minutos en crear el directorio. Una vez creado, el valor Statuscambia a Active.
Método 2: para crear su AWS Managed Microsoft AD (Windows PowerShell) (opcional)
1. Abra Windows PowerShell.2. Escriba el siguiente comando. Asegúrese de utilizar los valores proporcionados en el paso 4 del
procedimiento de la Consola de administración de AWS explicado anteriormente.
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –PasswordP@ssw0rd –Description “AWS DS Managed” - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
Método 3: para crear su AWS Managed Microsoft AD (AWS CLI) (opcional)
1. Abra AWS CLI.2. Escriba el siguiente comando. Asegúrese de utilizar los valores proporcionados en el paso 4 del
procedimiento de la Consola de administración de AWS explicado anteriormente.
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
Paso 3: implementar una instancia EC2 para administrar AWSManaged Microsoft ADPara este laboratorio, utilizamos instancias EC2 que tienen direcciones IP públicas que facilitan el acceso ala instancia de administración desde cualquier lugar. En un entorno de producción, puede utilizar instanciasque se encuentran en una VPC privada y que solo sean accesibles a través de una VPN o un enlace deAmazon Direct Connect. No es necesario que la instancia tenga una dirección IP pública.
En esta sección, veremos las distintas tareas posteriores a la implementación necesarias para que losequipos clientes se conecten a su dominio con el servidor Windows Server de su nueva instancia EC2.Puede utilizar el servidor Windows Server en el siguiente paso para verificar que el laboratorio funcione.
Crear un conjunto de opciones de DHCP para su directorioEn este procedimiento configurará una gama de opciones de DHCP para que las instancias EC2 de suVPC usen automáticamente su AWS Managed Microsoft AD para la resolución de DNS. Para obtener másinformación, consulte Conjuntos de opciones de DHCP.
Para crear un conjunto de opciones de DHCP para un directorio
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Seleccione DHCP Options Sets en el panel de navegación. A continuación, seleccione, Create DHCP
options set.3. En el cuadro de diálogo Create DHCP options set, facilite los siguientes valores para el directorio:
Version 1.0112
AWS Directory Service Guía de administraciónTutorial: Configuración de su base de laboratorio
de pruebas de AWS Managed Microsoft AD
• En Name tag (Etiqueta de nombre), escriba AWS DS DHCP.• En Domain name (Nombre del dominio), escriba corp.example.com.• En Domain name servers (Servidores de nombres de dominio), introduzca las direcciones IP de los
servidores DNS de su directorio de AWS proporcionado. Para encontrar estas direcciones, vaya alpanel de navegación de la consola de AWS Directory Service, elija Directories (Directorios), elija elID de directorio aplicable, y en la página Details (Detalles), utilice las direcciones IP que se muestranen DNS address (Dirección DNS).
• Deje las opciones en blanco para NTP servers, NetBIOS name servers y NetBIOS node type.4. Elija Yes, Create. El nuevo conjunto de opciones de DHCP aparecerá en la lista de opciones de
DHCP.5. Anote el ID del nuevo conjunto de opciones de DHCP (dopt-xxxxxxxx). Lo necesitará al final de este
procedimiento para asociar el nuevo conjunto de opciones a su VPC.6. Elija Your VPCs en el panel de navegación.7. Seleccione AWS DS VPC, elija Actions y, a continuación, elija Edit DHCP Options Set.8. En el cuadro de diálogo Edit DHCP Options Set dialog box, seleccione el conjunto de opciones que
grabó en el paso 5. A continuación, elija Save.
Creación de un rol para unir instancias de Windows a su dominio de AWSManaged Microsoft ADUtilice este procedimiento para configurar un rol que pueda unir una instancia EC2 de Windows a undominio. Para obtener más información, consulte Unir una instancia de Windows a un dominio de AWSDirectory Service.
Para configurar EC2 para unir instancias de Windows a su dominio
1. Abra la consola de IAM, en https://console.aws.amazon.com/iam/.2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, seleccione
Create role.3. En AWS service (Servicio de AWS), seleccione el enlace EC2 y, a continuación, haga clic en Next
(Siguiente).4. En Select your use case (Seleccione su caso de uso), seleccione EC2 y, a continuación, seleccione
Next (Siguiente).5. En la lista de políticas, seleccione la política AmazonEC2RoleforSSM y, a continuación, seleccione
Next (Siguiente).6. En Role name, escriba un nombre para el rol que describa que se utiliza para la unión de dominios. En
este caso, utilice EC2DomainJoin y, a continuación, haga clic en el botón Create role.
Crear una instancia EC2 y unirse al directorio automáticamenteEn este procedimiento, configurará un sistema de Windows Server en Amazon EC2 que podrá utilizarseposteriormente para administrar usuarios, grupos y políticas en Active Directory.
Para crear una instancia EC2 y unirse automáticamente al directorio
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance.3. En la página Step 1, junto a Microsoft Windows Server 2016 Base - ami-xxxxxxxx, seleccione Select.4. En la página Step 2, seleccione t2.micro (tenga en cuenta que puede elegir un tipo de instancia más
grande) y después seleccione Next: Configure Instance Details.5. En la página Step 3, haga lo siguiente:
Version 1.0113
AWS Directory Service Guía de administraciónTutorial: Configuración de su base de laboratorio
de pruebas de AWS Managed Microsoft AD
• Para Network, seleccione la VPC que finaliza con AWS-DS-VPC (por ejemplo, vpc-xxxxxxxx |AWS-DS-VPC).
• Para Subnet, seleccione Public subnet 1, que debería estar preconfigurada para su zona dedisponibilidad preferida (por ejemplo, subnet-xxxxxxxx | Public subnet1 | us-west-2a).
• Para Auto-assign Public IP, elija Enable (si el ajuste de subred no está establecido como habilitadode forma predeterminada).
• Para Domain join directory, seleccione corp.example.com (d-xxxxxxxxxx).• Para IAM role, seleccione EC2DomainJoin.• No cambie el resto de los valores predeterminados de los demás ajustes.• Elija Next: Add Storage.
6. En la página Step 4, deje la configuración predeterminada y, a continuación, elija Next: Add Tags.7. En la página Step 5, elija Add Tag. En Key (Clave), escriba corp.example.com-mgmt y, a
continuación, elija Next: Configure Security Group (Siguiente: Configurar grupo de seguridad).8. En la página Step 6, seleccione Select an existing security group, después AWS DS RDP Security
Group y, por último, Review and Launch para revisar su instancia.9. En la página Step 7, revise la página y, a continuación, seleccione Launch.10. En el cuadro de diálogo Select an existing key pair or create a new key pair, proceda del modo
siguiente:
• Elija Choose an existing key pair.
• Bajo Select a key pair, seleccione AWS-DS-KP.• Active la casilla I acknowledge....• Elija Launch Instances.
11. Elija View Instances (Ver instancias) para volver a la consola de Amazon EC2 y ver el estado de laimplementación.
Instale las herramientas de Active Directory en su instancia EC2Puede elegir entre dos métodos para instalar las herramientas de administración del dominio de ActiveDirectory en su instancia EC2. Puede utilizar la interfaz de usuario de Server Manager (recomendado paraeste tutorial) o Windows PowerShell.
Para instalar las herramientas de Active Directory en su instancia EC2 (Server Manager)
1. En la consola de Amazon EC2, seleccione Instances, después elija la instancia que acaba de crear y,a continuación, haga clic en Connect.
2. En el cuadro de diálogo Connect To Your Instance, elija Download Remote Desktop File.3. En el cuadro de diálogo Windows Security (Seguridad de Windows), escriba sus credenciales
de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo,administrator).
4. En el menú Inicio, elija Administrador del servidor.5. En Panel, elija Agregar roles y características.6. En Asistente para agregar roles y características, elija Siguiente.7. En la página Seleccionar tipo de instalación, elija Instalación basada en características o en roles y, a
continuación, elija Siguiente.8. En la página Seleccionar servidor de destino, asegúrese de que se selecciona el servidor local y, a
continuación, elija Siguiente.9. En la página }Seleccionar roles de servidor, elija Siguiente.10. En la página Seleccionar características, haga lo siguiente:
Version 1.0114
AWS Directory Service Guía de administraciónTutorial: Configuración de su base de laboratorio
de pruebas de AWS Managed Microsoft AD
• Active la casilla de verificación Administración de directivas de grupo.• Amplíe Herramientas de administración remota del servidor y, a continuación, expanda
Herramientas de administración de roles.• Active la casilla de verificación Herramientas de AD DS y AD LDS.• Active la casilla de verificación de herramientas de servidor DNS.• Elija Siguiente.
11. En la página de Confirmar selecciones de instalación, revise la información y seleccioneInstalar. Cuando haya terminado la instalación de la característica, las siguientes herramientas ocomplementos estarán disponibles en la carpeta Herramientas administrativas de Windows en el menúInicio.
• Centro de administración de Active Directory• Dominios y relaciones de confianza de Active Directory• Módulo de Active Directory para Windows PowerShell• Sitios y servicios de Active Directory• Usuarios y equipos de Active Directory• Edición ADSI• DNS• Administración de políticas de grupo
Para instalar las herramientas de Active Directory en su instancia EC2 (Windows PowerShell)(Opcional)
1. Inicie Windows PowerShell.2. Escriba el siguiente comando.
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
Paso 4: Verificar que la base de laboratorio de pruebas estéoperativaUtilice el siguiente procedimiento para verificar que el laboratorio de pruebas se ha configuradocorrectamente antes de agregar módulos de guía adicionales del laboratorio de pruebas. Esteprocedimiento verifica que el servidor Windows Server esté configurado correctamente, pueda conectarseal dominio corp.example.com y se pueda utilizar para administrar su bosque de AWS Managed MicrosoftAD.
Para verificar que el laboratorio de pruebas esté operativo
1. Cierre sesión en la instancia EC2 en la que hubiera iniciado sesión como administrador local.2. En la consola de Amazon EC2, elija Instances (Instancias) en el panel de navegación. A continuación,
seleccione la instancia que creó. Elija Connect.3. En el cuadro de diálogo Connect To Your Instance, elija Download Remote Desktop File.4. En el cuadro de diálogo Windows Security (Seguridad de Windows), escriba sus credenciales de
administrador para el dominio CORP para iniciar sesión (por ejemplo, corp\admin).5. Una vez que haya iniciado sesión, en el menú Inicio, bajo Herramientas administrativas de Windows,
seleccione Usuarios y equipos de Active Directory.6. Debería poder ver corp.example.com con todas las unidades organizativas y cuentas predeterminadas
asociadas a un nuevo dominio. En Domain Controllers (Controladores de dominio), podrá ver los
Version 1.0115
AWS Directory Service Guía de administraciónTutorial: creación de una confianza deAWS Managed Microsoft AD para una
instalación de AD autoadministrada en EC2nombres de los controladores de dominio creados automáticamente al crear su AWS ManagedMicrosoft AD en el paso 2 de este tutorial.
¡Enhorabuena! Su entorno de base de laboratorio de pruebas de AWS Managed Microsoft AD ya estáconfigurado. Está preparado para empezar a agregar el siguiente laboratorio de pruebas de la serie.
Siguiente tutorial: Tutorial: creación de una confianza de AWS Managed Microsoft AD para una instalaciónde Active Directory autoadministrada en Amazon EC2 (p. 116)
Tutorial: creación de una confianza de AWS ManagedMicrosoft AD para una instalación de Active Directoryautoadministrada en Amazon EC2En este tutorial aprenderá a crear una confianza entre el bosque de AWS Directory Service for MicrosoftActive Directory que creó en el Tutorial básico (p. 107). También aprenderá cómo crear un nuevo bosquede Active Directory nativo en un servidor Windows Server en Amazon EC2. Como se muestra en lasiguiente ilustración, el laboratorio que se crea desde este tutorial es el segundo componente necesario alconfigurar un laboratorio de pruebas de AWS Managed Microsoft AD completo. Puede usar el laboratoriode pruebas para probar sus soluciones de AWS basadas en la nube pura o en una nube híbrida.
Solo deberá crear este tutorial una vez. A continuación, podrá añadir tutoriales opcionales cuando seanecesario para conseguir más experiencia.
Paso 1: Configurar el entorno para las relaciones de confianza (p. 117)
Antes de poder establecer confianzas entre un nuevo bosque de Active Directory y el bosque de AWSManaged Microsoft AD que creó en el Tutorial básico (p. 107), tiene que preparar su entorno de
Version 1.0116
AWS Directory Service Guía de administraciónTutorial: creación de una confianza deAWS Managed Microsoft AD para una
instalación de AD autoadministrada en EC2Amazon EC2. Para ello, primero deberá crear un servidor Windows Server 2016, promocionar eseservidor a un controlador de dominio y, a continuación, configurar su VPC en consecuencia.
Paso 2: Crear las relaciones de confianza (p. 120)
En este paso, creará una relación de confianza bidireccional entre su bosque de Active Directoryrecién creado hospedado en Amazon EC2 y su bosque de AWS Managed Microsoft AD en AWS.
Paso 3: Comprobar la confianza (p. 121)
Por último, como administrador, usará la consola de AWS Directory Service para verificar que lasnuevas confianzas funcionan.
Paso 1: Configurar el entorno para las relaciones de confianzaEn esta sección configurará su entorno de Amazon EC2, implementará su nuevo bosque y preparará suVPC para establecer relaciones de confianza con AWS.
Cree una instancia de Windows Server 2016 EC2Siga este procedimiento para crear un servidor miembro de Windows Server 2016 en Amazon EC2.
Para crear una instancia de Windows Server 2016 EC2
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En la consola de Amazon EC2, elija Launch Instance (Lanzar instancia).3. En la página Step 1, busque Microsoft Windows Server 2016 Base - ami-xxxxxxxx en la lista. A
continuación, elija Select.4. En la página Step 2, seleccione t2.large y, a continuación, elija Next: Configure Instance Details.5. En la página Step 3 haga lo siguiente:
• Para Network, seleccione vpc-xxxxxxxx AWS-DS-VPC (que configuró anteriormente en el Tutorialbásico (p. 109)).
• Para Subnet, seleccione subnet-xxxxxxxx | Public subnet2 | (YourAZ).• En la lista Auto-assign Public IP, elija Enable (si el ajuste de subred no está ajustado en Enable de
forma predeterminada).• No cambie el resto de los valores predeterminados de los demás ajustes.• Elija Next: Add Storage.
6. En la página Step 4, deje la configuración predeterminada y, a continuación, elija Next: Add Tags.7. En la página Step 5, elija Add Tag. En Key (Clave), escriba example.local-DC01 y, a continuación,
elija Next: Configure Security Group (Siguiente: Configurar grupo de seguridad).8. En la página Step 6, elija Select an existing security group, seleccione AWS DS RDP Security Group
(que configuró anteriormente en el Tutorial básico (p. 110)) y, a continuación, elija Review andLaunch para revisar su instancia.
9. En la página Step 7, revise la página y, a continuación, seleccione Launch.10. En el cuadro de diálogo Select an existing key pair or create a new key pair, proceda del modo
siguiente:
• Elija Choose an existing key pair.• En Select a key pair, elija AWS-DS-KP (que configuró anteriormente en el Tutorial
básico (p. 109)).• Active la casilla I acknowledge....• Elija Launch Instances.
11. Elija View Instances (Ver instancias) para volver a la consola de Amazon EC2 y ver el estado de laimplementación.
Version 1.0117
AWS Directory Service Guía de administraciónTutorial: creación de una confianza deAWS Managed Microsoft AD para una
instalación de AD autoadministrada en EC2Promocionar su servidor a controlador de dominio
Antes de poder crear relaciones de confianza, debe crear e implementar el primer controlador de dominiopara un nuevo bosque. Durante este proceso, puede configurar un nuevo bosque de Active Directory,instalar DNS y establecer este servidor para usar el servidor DNS local para la resolución de nombres.Debe reiniciar el servidor al final de este procedimiento.
Note
Si desea crear un controlador de dominio en AWS que se replique con su red local, primero habríaque incorporar manualmente la instancia EC2 a su dominio local. Hecho esto, podrá promocionarel servidor a un controlador de dominio.
Para promocionar su servidor a un controlador de dominio
1. En la consola de Amazon EC2, elija Instances (Instancias), seleccione la instancia recién creada y, acontinuación, elija Connect (Conectar).
2. En el cuadro de diálogo Connect To Your Instance, elija Download Remote Desktop File.3. En el cuadro de diálogo Windows Security (Seguridad de Windows), escriba sus credenciales
de administrador local para que el equipo con Windows Server inicie sesión (por ejemplo,administrator). Si aún no tiene la contraseña de administrador local, vuelva a la consola deAmazon EC2, haga clic con el botón derecho en la instancia y elija Get Windows Password (Obtenercontraseña de Windows). Vaya a su archivo AWS DS KP.pem o a su clave personal .pem y, acontinuación, elija Decrypt Password.
4. En el menú Inicio, elija Administrador del servidor.5. En Panel, elija Agregar roles y características.6. En Asistente para agregar roles y características, elija Siguiente.7. En la página Seleccionar tipo de instalación, elija Instalación basada en características o en roles y, a
continuación, elija Siguiente.8. En la página Seleccionar servidor de destino, asegúrese de que se selecciona el servidor local y, a
continuación, elija Siguiente.9. En la página Seleccionar roles de servidor, seleccione Servicios de dominio de Active Directory.
En el cuadro de diálogo Asistente para agregar roles y características, compruebe que se activa lacasilla Incluir herramientas de administración (si es aplicable). Elija Agregar características y, luego,seleccione Siguiente.
10. En la página Seleccionar características, elija Siguiente.11. En la página Servicios de dominio de Active Directory, elija Siguiente.12. En la página Confirmar selecciones de instalación, elija Instalar.13. Una vez instalados los binarios de Active Directory, elija Cerrar.14. Al abrirse el administrador del servidor, busque una marca en la parte superior junto a la palabra
Administrar. Cuando esta marca pase a color amarillo, el servidor estará listo para promocionarse.15. Elija la marca amarilla y, a continuación, elija Promover este servidor a controlador de dominio.16. En la página Configuración de implementación, elija Agregar un nuevo bosque. En Nombre del
dominio raíz, escriba example.local y, a continuación, elija Siguiente.17. En la página Opciones del controlador de dominio, haga lo siguiente:
• Tanto en Nivel funcional de bosque como en Nivel funcional del dominio, elija Windows Server 2016.• En Especificar capacidades del controlador de dominio, compruebe que se seleccionan tanto
Servidor de Sistema de nombres de dominio (DNS) como Catálogo global (GC).• Escriba y, a continuación, confirme una contraseña de Directory Services Restore Mode (DSRM). A
continuación, elija Next.18. En la página Opciones de DNS, ignore la advertencia sobre delegación y elija Siguiente.
Version 1.0118
AWS Directory Service Guía de administraciónTutorial: creación de una confianza deAWS Managed Microsoft AD para una
instalación de AD autoadministrada en EC219. En la página Opciones adicionales, asegúrese de que EXAMPLE1 aparece como nombre NetBIOS del
dominio.20. En la página Rutas, deje los valores predeterminados y seleccione Siguiente.21. En la página Revisar opciones, seleccione Siguiente. El servidor realiza ahora comprobaciones para
asegurarse de que se cumplen todos los requisitos previos para el controlador de dominio. Si bienpueden aparecer algunas advertencias, puede ignorarlas de forma segura.
22. Elija Instalar. Una vez realizada la instalación, el servidor se reinicia y, a continuación, pasa a ser uncontrolador de dominio funcional.
Configurar la VPC
Los tres procedimientos siguientes le guían a través de los pasos para configurar su VPC a fin deestablecer conectividad con AWS.
Para configurar las reglas de salida de la VPC
1. En la consola de AWS Directory Service, anote el ID de directorio de AWS Managed Microsoft ADpara corp.example.com que creó previamente en el Tutorial básico (p. 111).
2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.3. En el panel de navegación, elija Security Groups.4. Busque el ID de su directorio de AWS Managed Microsoft AD. En los resultados de búsqueda,
seleccione el elemento que tiene la descripción AWS created security group for d-xxxxxx directorycontrollers.
Note
Este grupo de seguridad se creó automáticamente en el momento de crearse su directorio.5. Elija la pestaña Outbound Rules en ese grupo de seguridad. Elija Edit y Add another rule y, a
continuación, añada los siguientes valores:
• En Type, seleccione All Traffic.• En Destination, escriba 0.0.0.0/0.• No cambie el resto de los valores predeterminados de los demás ajustes.• Seleccione Save.
Para comprobar que la autenticación previa de Kerberos está habilitada
1. En el controlador de dominio example.local, abra Administrador del servidor.2. En el menú Herramientas, elija Usuarios y equipos de Active Directory.3. Vaya al directorio Usuarios, haga clic con el botón derecho en cualquier cuenta de usuario que
aparezca en el panel derecho y, a continuación, elija la pestaña Cuenta. En la lista Opciones de lacuenta, desplácese hacia abajo y asegúrese de que No pedir la autenticación Kerberos previa no estéseleccionado.
4. Siga los mismos pasos para el dominio corp.example.com en la instancia de corp.example.com-mgmt.
Para configurar programas de envío condicionales DNS
1. Primero debe obtener información acerca de su AWS Managed Microsoft AD.
Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Directory Service enhttps://console.aws.amazon.com/directoryservicev2/.
2. En el panel de navegación, elija Directories (Directorios).
Version 1.0119
AWS Directory Service Guía de administraciónTutorial: creación de una confianza deAWS Managed Microsoft AD para una
instalación de AD autoadministrada en EC23. Seleccione el ID de directorio de su AWS Managed Microsoft AD.4. Tome nota del nombre de dominio completo (FQDN), corp.example.com, y las direcciones DNS de su
directorio.5. Ahora, vuelva a su controlador de dominio example.local y, a continuación, abra Administrador del
servidor.6. En el menú Herramientas, elija DNS.7. En el árbol de la consola, amplíe el servidor DNS del dominio para el cual esté configurando la
confianza y vaya a Reenviadores condicionales.8. Haga clic con el botón derecho en Reenviadores condicionales y, a continuación, elija Nuevo
reenviador condicional.9. En Dominio DNS, escriba corp.example.com.10. En Direcciones IP de los servidores maestros, elija <Haga clic para agregar ...>, escriba la primera
dirección DNS de su directorio de AWS Managed Microsoft AD (que anotó en el procedimientoanterior) y, a continuación, pulse Intro. Haga lo mismo para la segunda dirección DNS. Después deescribir las direcciones DNS, es posible que aparezca un error que indique que se ha agotado eltiempo de espera o que no se pudo resolver la operación. Por lo general, puede ignorar estos errores.
11. Active la casilla Almacenar este reenviador condicional en Active Directory y replicarlo como sigue. Enel menú desplegable, elija Todos los servidores DNS en este bosque y, a continuación, elija Aceptar.
Paso 2: Crear las relaciones de confianzaEn esta sección creará dos relaciones de confianza entre bosques independientes. Una confianza se creaa partir del dominio de Active Directory en su instancia EC2 y la otra a partir de su AWS Managed MicrosoftAD en AWS.
Note
Actualmente, AWS Directory Service solo admite relaciones de confianza entre bosques.
Para crear la relación de confianza a partir de su dominio EC2 para su AWS Managed MicrosoftAD en AWS
1. Inicie sesión en example.local.2. Abra Administrador del servidor y, en el árbol de la consola, elija DNS. Anote la dirección IPv4 que
aparece para el servidor. La necesitará en el siguiente procedimiento cuando cree un programa deenvío condicional a partir de corp.example.com para el directorio example.local.
3. En el menú Herramientas, elija Dominios y confianzas de Active Directory.4. En el árbol de la consola, haga clic con el botón derecho en example.local y, a continuación, elija
Propiedades.5. En la pestaña Confianzas, elija Nueva confianza y, a continuación, elija Siguiente.6. En la página Nombre de confianza, escriba corp.example.com y, a continuación, elija Siguiente.7. En la página Tipo de confianza, elija Confianza de bosque y, a continuación, elija Siguiente.8. En la página Dirección de confianza, elija Bidireccional y, a continuación, elija Siguiente.9. En la página Partes de la relación de confianza, elija Solo este dominio y, a continuación, elija
Siguiente.10. En la página Nivel de autenticación de confianza saliente, elija autenticación en todo el bosque y, a
continuación, elija Siguiente.11. En la página Contraseña de la confianza, escriba la contraseña de confianza dos veces y, a
continuación, elija Siguiente. Usará esta misma contraseña en el siguiente procedimiento.12. En la página Se ha completado la selección de confianzas, revise los resultados y, a continuación, elija
Siguiente.
Version 1.0120
AWS Directory Service Guía de administraciónSolución de problemas
13. En la página Se ha completado la creación de confianzas, revise los resultados y, a continuación, elijaSiguiente.
14. En la página Confirmar confianza saliente, elija No, no confirmar la confianza saliente. A continuación,elija Siguiente
15. En la página Confirmar confianza entrante, elija No, no confirmar la confianza entrante. Acontinuación, elija Siguiente
16. En la página Finalización del Asistente para nueva confianza, elija Finalizar.
Para crear la relación de confianza a partir de su AWS Managed Microsoft AD en AWS para sudominio EC2
1. Abra la consola de AWS Directory Service.2. Elija el directorio corp.example.com.3. En la página Details, elija la pestaña Trust relationships.4. Elija Add trust relationship.5. En el cuadro de diálogo Add a trust relationship, haga lo siguiente:
• En Remote domain name, escriba example.local.• En Trust password, escriba la misma contraseña que proporcionó en el procedimiento anterior.• En Trust direction, seleccione Two-way.• En Conditional forwarder, escriba la dirección IP de su servidor DNS en el bosque example.local
(que anotó en el procedimiento anterior).6. Elija Add.
Paso 3: Comprobar la confianzaEn esta sección probará si las confianzas se configuraron correctamente entre AWS y Active Directory enAmazon EC2.
Para verificar la confianza
1. Abra la consola de AWS Directory Service.2. Elija el directorio corp.example.com.3. En la página Details, elija la pestaña Trust relationships.4. Seleccione la relación de confianza que acaba de crear.5. Elija Actions y, a continuación, elija Verify trust relationship.
Una vez completada la verificación, debería ver Verified bajo la columna Status.
¡Enhorabuena por completar este tutorial! Ahora tiene un entorno de Active Directory de bosques múltiplestotalmente funcional a partir del cual puede empezar a probar diversos escenarios. Están previstostutoriales del laboratorio de prueba adicionales en 2018, de modo que consulte de vez en cuando para verlas novedades.
Solución de problemas de AWS Managed MicrosoftAD
Los temas siguientes pueden ayudarle a solucionar algunos problemas comunes que podría encontrar a lahora de crear o utilizar el directorio.
Version 1.0121
AWS Directory Service Guía de administraciónSolución de problemas de DNS
Temas• Solución de problemas de DNS (p. 122)• Errores de unión de dominio en Linux (p. 122)• Errores de ampliación de esquema (p. 123)• Motivos de los estados al crear relaciones de confianza (p. 124)
Solución de problemas de DNSPuede auditar los eventos de DNS de su AWS Managed Microsoft AD, facilitando así la identificación ysolución de problemas de DNS. Por ejemplo, si falta un registro de DNS, puede utilizar el log de eventos deauditoría de DNS para ayudar a identificar la causa raíz y solucionar el problema. También puede utilizarlos logs de eventos de auditoría de DNS para mejorar la seguridad mediante la detección y el bloqueo desolicitudes procedentes de direcciones IP sospechosas.
Para ello, debe haber iniciado sesión en la cuenta Admin o en una cuenta que pertenezca al grupo AWSDomain Name System Administrators (Administradores delegados de AWS para DNS). Para obtener másinformación sobre este grupo, consulte Qué se crea (p. 13).
Para solucionar problemas de DNS de AWS Managed Microsoft AD
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación izquierdo, elija Instances.3. Localice una instancia Amazon EC2 que se haya unido a su directorio de AWS Managed Microsoft
AD. Seleccione la instancia y, a continuación, elija Connect (Conectar).4. Abra el Visor de eventos ubicado en la carpeta Herramientas administrativas.5. En la ventana Visor de eventos, elija Acción y, a continuación, elija Conectarse a otro equipo.6. Seleccione Otro equipo, escriba el nombre o la dirección IP de uno de sus servidores DNS de AWS
Managed Microsoft AD DNS y, a continuación, elija Aceptar.7. En el panel izquierdo, vaya a Registros de aplicaciones y servicios>Microsoft>Windows>Servidor DNS
y, a continuación, seleccione Auditar.
Errores de unión de dominio en LinuxEsto puede ayudarle a solucionar algunos mensajes de error que pueden aparecer al unir una instanciaLinux EC2 a su directorio de AWS Managed Microsoft AD.
Instancias de Linux que no pueden unirse a dominio o autenticarError
. No se puede autenticar en el directorio activo: SASL(-1): error genérico: Error de GSSAPI: Seha proporcionado un nombre no válido (Correcto) adcli: no se ha podido conectar con el dominiomsft.dan-rg.com: No se puede autenticar en el directorio activo: SASL(-1): error genérico: Error deGSSAPI: Se ha proporcionado un nombre no válido (Correcto) Permisos insuficientes para unirse alámbito de dominio: No se puede unir al ámbito: Permisos insuficientes para unir al dominio
Solución de problemas
Edite el archivo sssd.conf (/etc/sssd/sssd.conf) y modifique las siguientes dos secciones de modo queaparezcan tal y como se muestra a continuación:
[sssd] domains = example.com
Version 1.0122
AWS Directory Service Guía de administraciónErrores de ampliación de esquema
config_file_version = 2 services = nss, pam [libdefaults]default_realm = EXAMPLE.COMrdns = false
Errores de ampliación de esquemaEsto puede ayudarle a solucionar algunos mensajes de error que pueden aparecer al ampliar el esquemade su directorio de AWS Managed Microsoft AD.
ReferenciaError
Agregue el error en la entrada que empieza en la línea 1: Referencia El error del servidor es:0x202b El servidor ha devuelto una referencia. El error del servidor ampliado es: 0000202B: RefErr:DSID-0310082F, datos 0, 1 punto de acceso \tref 1: ‘ejemplo.com’ Número de objetos modificados: 0
Solución de problemas
Asegúrese de que todos los campos de nombre distinguido tengan el nombre de dominio correcto. Enel ejemplo anterior, DC=example,dc=com debe sustituirse por el DistinguishedName que muestrael cmdlet Get-ADDomain.
No se puede leer el archivo de importaciónError
No se puede leer el archivo de importación. Número de objetos modificados: 0Solución de problemas
El archivo LDIF importado está vacío (0 bytes). Asegúrese de que se ha cargado el archivo correcto.
Error de sintaxisError
Hay un error de sintaxis en el archivo de entrada Error en la línea 21. El último token empieza por "q".Número de objetos modificados: 0
Solución de problemas
El texto de la línea 21 no tiene el formato correcto. La primera letra del texto no válido A. Actualice lalínea 21 con una sintaxis de LDIF válida. Para obtener más información acerca de cómo dar formato alarchivo LDIF, consulte Paso 1: Crear el archivo LDIF (p. 78).
Existe el atributo o valorError
Agregue el error en la entrada que empieza en la línea 1: Existe el atributo o valor El error del servidores: 0x2083 El valor especificado ya existe. El error del servidor ampliado es: 00002083: AtrErr:
Version 1.0123
AWS Directory Service Guía de administraciónMotivos de los estados al crear relaciones de confianza
DSID-03151830, # 1:\t0:00002083: DSID-03151830, problema 1006 (ATT_OR_VALUE_EXISTS),datos 0, Att 20019 (mayContain):len 4 Número de objetos modificados: 0
Solución de problemas
El cambio de esquema ya se ha aplicado.
No existe ese atributoError
Agregue el error en la entrada que empieza en la línea 1: No existe ese atributo El error del servidores: 0x2085 El valor del atributo no se puede eliminar, ya que no está presente en el objeto. El errordel servidor ampliado es: 00002085: AtrErr: DSID-03152367, #1: \t0: 00002085: DSID-03152367,problema 1001 (NO_ATTRIBUTE_OR_VAL), datos 0, Att 20019 (mayContain):len 4 Número de objetosmodificados: 0
Solución de problemas
El archivo LDIF está intentando eliminar un atributo de una clase, pero dicho atributo no está adjunto ala clase. Es probable que ya se aplicara el cambio de esquema.
Error
Agregue el error en la entrada que empieza en la línea 41: No existe ese atributo 0x57 El parámetroes incorrecto. El error del servidor ampliado es: 0x208d No se ha encontrado el objeto del directorio. Elerror del servidor ampliado es: "00000057: LdapErr: DSID-0C090D8A, comentario: Error de operaciónde conversión de atributos, datos 0, v2580" Número de objetos modificados: 0
Solución de problemas
El atributo que aparece en la línea 41 es incorrecto. Vuelva a comprobar la ortografía.
No existe ese objetoError
Agregue el error en la entrada que empieza en la línea 1: No existe ese objeto El error del servidores: error 0x208d No se ha encontrado el objeto del directorio. El error del servidor ampliado es:0000208D: NameErr: DSID-03100238, problema 2001 (NO_OBJECT), datos 0, la mejor coincidenciade: 'CN=Schema,CN=Configuration,DC=example,DC=com’ Número de objetos modificados: 0
Solución de problemas
El objeto al que hace referencia el nombre distinguido (DN) no existe.
Motivos de los estados al crear relaciones deconfianzaCuando falle la creación de una relación de confianza, el mensaje de estado contendrá informaciónadicional. A continuación le ayudamos a comprender lo que significan esos mensajes.
Acceso denegadoSe ha rechazado el acceso al intentar crear la relación de confianza. O la contraseña de confianza esincorrecta o bien la configuración de seguridad del dominio remoto no permite configurar una relación deconfianza. Para resolver este problema, pruebe lo siguiente:
Version 1.0124
AWS Directory Service Guía de administraciónMotivos de los estados al crear relaciones de confianza
• Compruebe que está utilizando la misma contraseña de confianza que utilizó al crear la relación deconfianza correspondiente en el dominio remoto.
• Compruebe también que la configuración de seguridad de su dominio permite crear relaciones deconfianza.
• Compruebe que la política de seguridad local está configurada correctamente. Compruebeespecíficamente Local Security Policy > Local Policies > Security Options >Network access: Named Pipes that can be accessed anonymously y asegúrese de quecontiene al menos las siguientes tres canalizaciones mencionadas a continuación:• netlogon• samr• Isarpc
Note
Network access: Named Pipes that can be accessed anonymously no estáconfigurado de forma predeterminada y se mostrará Not Defined. Esto es normal, ya que laconfiguración predeterminada efectiva del controlador de dominio de Network access: NamedPipes that can be accessed anonymously es netlogon, samr, lsarpc.
El nombre de dominio especificado no existe o no se pudocontactar con élPara solucionar este problema, asegúrese de que la configuración de grupo de seguridad para su dominioy la lista de control de acceso (ACL) para la VPC son correctos y que ha introducido correctamente lainformación del programa de envío condicional. Para obtener más información sobre los requisitos deseguridad, consulte Cuándo crear una relación de confianza (p. 58).
Si esto no resuelve el problema, es posible que se almacenara en caché la información de un programade envío condicional creado anteriormente que esté impidiendo crear una nueva relación de confianza.Espere unos minutos y, a continuación, vuelva a crear la relación de confianza y el programa de envíocondicional.
Herramienta general de comprobación de confianzaLa herramienta de pruebas DirectoryServicePortTest puede resultar útil a la hora de solucionar problemasde creación de relaciones de confianza entre AWS Managed Microsoft AD y una instancia de ActiveDirectory local. Para ver un ejemplo de cómo se puede utilizar la herramienta, consulte Probar el conectorde AD (p. 130).
Version 1.0125
AWS Directory Service Guía de administraciónIntroducción
Conector de Active DirectoryAD Connector es una puerta de enlace de directorio con la que puede redirigir solicitudes del directorio aMicrosoft Active Directory local sin almacenar en caché la información que hay en la nube. AD Connectorestá disponible en dos tamaños: pequeño y grande. La versión pequeña de AD Connector está diseñadapara las organizaciones de menor tamaño de hasta 500 usuarios. La versión grande de AD Connectorpuede utilizarse en organizaciones de mayor tamaño, de hasta 5 000 usuarios.
Una vez configurado, AD Connector ofrece los siguientes beneficios:
• Sus usuarios finales y administradores de TI podrán usar las credenciales corporativas de las queya disponen para iniciar sesión en las aplicaciones de AWS, como Amazon WorkSpaces, AmazonWorkDocs o Amazon WorkMail.
• Podrá administrar recursos de AWS, como instancias Amazon EC2 o buckets de Amazon S3, a travésde un sistema de acceso a la basado en funciones de IAM.
• Podrá aplicar de forma coherente políticas de seguridad que ya existan (como la fecha de vencimientode la contraseña, el historial de contraseñas y los bloqueos de cuentas) tanto si los usuarios o losadministradores de TI obtienen acceso a recursos en su infraestructura local o en la nube de AWS.
• Puede usar AD Connector para habilitar la multi-factor authentication integrándola con su infraestructuraMFA basada en RADIUS y proporcionar así una capa de seguridad adicional cuando los usuariosacceden a aplicaciones de AWS.
Siga leyendo los temas de esta sección para obtener información acerca de cómo conectarse a undirectorio y sacar el máximo partido a las características de AD Connector.
Temas• Introducción a AD Connector (p. 126)• Cómo administrar AD Connector (p. 136)• Prácticas recomendadas para AD Connector (p. 143)• Límites de AD Connector (p. 145)• Política de compatibilidad de las aplicaciones para AD Connector (p. 145)• Solución de problemas de AD Connector (p. 146)
Introducción a AD ConnectorCon AD Connector puede conectar AWS Directory Service a su directorio empresarial existente. Cuandose conecte a su directorio local, todos los datos del directorio permanecerán en los controladores dedominio. AWS Directory Service no replica ninguno de los datos de su directorio.
Temas• Requisitos previos de AD Connector (p. 126)• Creación de un AD Connector (p. 135)
Requisitos previos de AD ConnectorPara conectarse a su directorio local con AD Connector, necesita lo siguiente:
Version 1.0126
AWS Directory Service Guía de administraciónRequisitos previos de AD Connector
VPC
Configurar una VPC con lo siguiente:• Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad
diferente.• La VPC debe estar conectada a la red local a través de una conexión de red privada virtual (VPN) o
de AWS Direct Connect.• La VPC debe disponer de tenencia de hardware predeterminada.
Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon VPC.• ¿Qué es Amazon VPC?• Subredes de la VPC• Adición de una gateway privada virtual de hardware a la VPC
Para obtener más información acerca de AWS Direct Connect, consulte la Guía del usuario de AWSDirect Connect.
Red on-premise
Necesitará una red on-premise con un dominio de Active Directory. El nivel funcional de este dominiodebe ser Windows Server 2003 o superior. AD Connector también admite la conexión a un dominiohospedado en una instancia Amazon EC2.
Note
AD Connector no admite controladores de dominio de solo lectura (RODC) cuando se utilizajunto con la característica de unión de dominios de Amazon EC2.
Cuenta de servicio
Debe disponer de las credenciales de una cuenta de servicio en el directorio local con los siguientesprivilegios delegados:• Leer usuarios y grupos• Crear objetos de equipo• Unir equipos al dominio
Para obtener más información, consulte Privilegios delegados a su cuenta de servicio (p. 128).Direcciones IP
Conseguir las direcciones IP de dos servidores DNS o controladores de dominio de su directorio on-premise.
AD Connector obtiene los registros SRV _ldap._tcp.<DnsDomainName> y_kerberos._tcp.<DnsDomainName> de estos servidores al conectar a su directorio, por lo queestos servidores deben contener dichos registros SRV. AD Connector intenta encontrar un controladorde dominio común que proporcionará ambos servicios LDAP y Kerberos, por lo que estos registrosSRV deben incluir al menos un controlador de dominio común. Para obtener más información sobrelos registros SRV, consulte SRV Resource Records en Microsoft TechNet.
Puertos para subredes
Para que AWS Directory Service pueda comunicarse con el directorio local, el firewall de la red localdebe tener los siguientes puertos abiertos para los CIDR de las dos subredes de la VPC.• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos authentication• TCP/UDP 389 - LDAP
Version 1.0127
AWS Directory Service Guía de administraciónRequisitos previos de AD Connector
Estos son los puertos mínimos necesarios para poder conectarse al directorio. La configuraciónespecífica podría requerir abrir puertos adicionales.
Autenticación previa de Kerberos
Las cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Para obtenerinstrucciones detalladas sobre cómo habilitar este ajuste, consulte Asegúrese de que la autenticaciónprevia de Kerberos esté habilitada (p. 67). Para obtener información general sobre este ajuste, vaya aPreauthentication en Microsoft TechNet.
Tipos de cifrado
AD Connector admite los siguientes tipos de cifrado para la autenticación de los controladores dedominio de Active Directory:• AES-256-HMAC• AES-128-HMAC• RC4-HMAC
Requisitos previos de la autenticación multifactorPara admitir la multi-factor authentication con su directorio de AD Connector, necesita lo siguiente:
• Un servidor Remote Authentication Dial In User Service (RADIUS) en la red on-premise que tengados puntos de enlace de cliente. Los puntos de enlace de cliente de RADIUS tienen que cumplir lossiguientes requisitos:• Para crear los puntos de enlace, necesita las direcciones IP de los servidores de AWS Directory
Service. Estas direcciones IP se pueden obtener en el campo Directory IP Address de los detalles deldirectorio.
• Los dos puntos de enlace de RADIUS tienen que utilizar el mismo código secreto compartido.• La red local debe permitir el tráfico entrante procedente del puerto de servidor RADIUS (1812)
predeterminado desde los servidores AWS Directory Service.• Los nombres de usuario deben ser idénticos en el servidor RADIUS y en el directorio on-premise.
Para obtener más información acerca del uso de AD Connector con MFA, consulte Cómo habilitar Multi-Factor Authentication para AD Connector (p. 137).
Privilegios delegados a su cuenta de servicioPara poder conectarse al directorio local, debe disponer de las credenciales de su cuenta de servicio deAD Connector en el directorio local que tiene determinados privilegios delegados. Aunque los miembrosdel grupo Domain Admins (Administradores del dominio) tengan suficientes privilegios para conectarse aldirectorio, es recomendable utilizar una cuenta de servicio que tenga únicamente los privilegios mínimosnecesarios para conectarse al directorio. En el procedimiento siguiente, se explica cómo crear un nuevogrupo denominado Connectors, cómo delegar los privilegios necesarios para conectar AWS DirectoryService a este grupo y cómo añadir después una nueva cuenta de servicio a este grupo.
Este procedimiento debe realizarse en un equipo que esté unido al directorio y que tenga instalado elcomplemento de MMC Usuarios y equipos de Active Directory. Además, es necesario la sesión se iniciecomo administrador del dominio.
Para delegar privilegios a su cuenta de servicio
1. Abra Usuarios y equipos de Active Directory y seleccione la raíz del dominio en el árbol denavegación.
2. En la lista del panel izquierdo, haga clic con el botón derecho en Usuarios, seleccione Nuevo y, acontinuación, seleccione Grupo.
Version 1.0128
AWS Directory Service Guía de administraciónRequisitos previos de AD Connector
3. En el cuadro Nuevo objeto - Grupo, escriba lo siguiente y haga clic en Aceptar.
Campo Valor/Selección
Group name Connectors
Ámbito del grupo Global
Tipo de grupo Seguridad
4. En el árbol de navegación Usuarios y equipos de Active Directory, seleccione la raíz del dominio. En elmenú, seleccione Acción y luego Delegar control.
5. En la página Asistente para delegación de control, haga clic en Siguiente y luego en Agregar.6. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, escriba Connectors y haga clic en
Aceptar. Si se encuentran varios objetos, seleccione el grupo Connectors que creó anteriormente.Haga clic en Siguiente.
7. En la página Tareas que se delegarán, seleccione Crear una tarea personalizada para delegar y luegoelija Siguiente.
8. Seleccione Sólo los siguientes objetos en la carpeta y, a continuación, seleccione Objetos de equipo yObjetos de usuario.
9. Seleccione Crear los objetos seleccionados en esta carpeta y Eliminar los objetos seleccionados enesta carpeta. A continuación, elija Next.
10. Seleccione Lectura y Escritura y luego elija Siguiente.
Version 1.0129
AWS Directory Service Guía de administraciónRequisitos previos de AD Connector
11. Compruebe la información en la página Finalización del Asistente para delegación de control y hagaclic en Finalizar.
12. Cree una cuenta de usuario con una contraseña segura y añada ese usuario al grupo Connectors.Este usuario se designará como su cuenta de servicio de AD Connector y, dado que ahora esmiembro del grupo Connectors, tendrá privilegios suficientes para conectar AWS Directory Service aldirectorio.
Probar el conector de ADPara que AD Connector pueda conectarse al directorio local, el firewall de la red local debe tener ciertospuertos abiertos para los CIDR de las dos subredes de la VPC. Para probar si estas condiciones secumplen, siga estos pasos:
Para comprobar la conexión a
1. Ejecute una instancia de Windows en la VPC y conéctese a ella a través de RDP. La instancia debeser miembro de su dominio on-premise. El resto de los pasos deben realizarse en esta instancia deVPC.
2. Descargue y descomprima la aplicación de prueba DirectoryServicePortTest. La aplicación de pruebacontiene el código fuente y los archivos del proyecto de Visual Studio para que, si lo desea, puedamodificarla.
Note
Este script no es compatible con Windows Server 2003 o sistemas operativos antiguos.3. Desde un símbolo del sistema de Windows, ejecute la aplicación de prueba DirectoryServicePortTest
con las siguientes opciones:
DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,135,389,445,3268,5722,9389" -udp "53,88,123,138,389,445"
<domain_name>
Nombre completo del dominio. Se utiliza para comprobar los niveles funcionales del bosque y eldominio. Si no incluye el nombre del dominio, no se comprobarán los niveles funcionales.
<server_IP_address>
Dirección IP de un controlador del dominio on-premise. Los puertos se comprobarán utilizandoesta dirección IP. Si no incluye la dirección IP, no se comprobarán los puertos.
Esta aplicación de prueba determina si están abiertos los puertos necesarios desde la VPC a sudominio y también verifica los niveles funcionales mínimos del bosque y el dominio.
El resultado será similar al siguiente:
Testing forest functional level.Forest Functional Level = Windows2008R2Forest : PASSED
Testing domain functional level.Domain Functional Level = Windows2008R2Domain : PASSED
Testing required TCP ports to <server_IP_address>:Checking TCP port 53: PASSEDChecking TCP port 88: PASSEDChecking TCP port 389: PASSED
Version 1.0130
AWS Directory Service Guía de administraciónRequisitos previos de AD Connector
Testing required UDP ports to <server_IP_address>:Checking UDP port 53: PASSEDChecking UDP port 88: PASSEDChecking UDP port 389: PASSED
A continuación se muestra el código fuente de la aplicación DirectoryServicePortTest.
using System;using System.Collections.Generic;using System.IO;using System.Linq;using System.Net;using System.Net.Sockets;using System.Text;using System.Threading.Tasks;using System.DirectoryServices.ActiveDirectory;using System.Threading;using System.DirectoryServices.AccountManagement;using System.DirectoryServices;using System.Security.Authentication;using System.Security.AccessControl;using System.Security.Principal;
namespace DirectoryServicePortTest{ class Program { private static List<int> _tcpPorts; private static List<int> _udpPorts;
private static string _domain = ""; private static IPAddress _ipAddr = null;
static void Main(string[] args) { if (ParseArgs(args)) { try { if (_domain.Length > 0) { try { TestForestFunctionalLevel();
TestDomainFunctionalLevel(); } catch (ActiveDirectoryObjectNotFoundException) { Console.WriteLine("The domain {0} could not be found.\n", _domain); } }
if (null != _ipAddr) { if (_tcpPorts.Count > 0) { TestTcpPorts(_tcpPorts); }
if (_udpPorts.Count > 0) {
Version 1.0131
AWS Directory Service Guía de administraciónRequisitos previos de AD Connector
TestUdpPorts(_udpPorts); } } } catch (AuthenticationException ex) { Console.WriteLine(ex.Message); } } else { PrintUsage(); }
Console.Write("Press <enter> to continue."); Console.ReadLine(); }
static void PrintUsage() { string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location); Console.WriteLine("Usage: {0} \n-d <domain> \n-ip \"<server IP address>\" \n[-tcp \"<tcp_port1>,<tcp_port2>,etc\"] \n[-udp \"<udp_port1>,<udp_port2>,etc\"]", currentApp); }
static bool ParseArgs(string[] args) { bool fReturn = false; string ipAddress = "";
try { _tcpPorts = new List<int>(); _udpPorts = new List<int>();
for (int i = 0; i < args.Length; i++) { string arg = args[i];
if ("-tcp" == arg | "/tcp" == arg) { i++; string portList = args[i]; _tcpPorts = ParsePortList(portList); }
if ("-udp" == arg | "/udp" == arg) { i++; string portList = args[i]; _udpPorts = ParsePortList(portList); }
if ("-d" == arg | "/d" == arg) { i++; _domain = args[i]; }
if ("-ip" == arg | "/ip" == arg) { i++; ipAddress = args[i]; }
Version 1.0132
AWS Directory Service Guía de administraciónRequisitos previos de AD Connector
} } catch (ArgumentOutOfRangeException) { return false; }
if (_domain.Length > 0 || ipAddress.Length > 0) { fReturn = true; }
if (ipAddress.Length > 0) { _ipAddr = IPAddress.Parse(ipAddress); } return fReturn; }
static List<int> ParsePortList(string portList) { List<int> ports = new List<int>();
char[] separators = {',', ';', ':'};
string[] portStrings = portList.Split(separators); foreach (string portString in portStrings) { try { ports.Add(Convert.ToInt32(portString)); } catch (FormatException) { } }
return ports; }
static void TestForestFunctionalLevel() { Console.WriteLine("Testing forest functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null); Forest forestContext = Forest.GetForest(dirContext);
Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);
if (forestContext.ForestMode >= ForestMode.Windows2003Forest) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); }
Console.WriteLine(); }
static void TestDomainFunctionalLevel() { Console.WriteLine("Testing domain functional level.");
Version 1.0133
AWS Directory Service Guía de administraciónRequisitos previos de AD Connector
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null); Domain domainObject = Domain.GetDomain(dirContext);
Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);
if (domainObject.DomainMode >= DomainMode.Windows2003Domain) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); }
Console.WriteLine(); }
static List<int> TestTcpPorts(List<int> portList) { Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());
List<int> failedPorts = new List<int>();
foreach (int port in portList) { Console.Write("Checking TCP port {0}: ", port);
TcpClient tcpClient = new TcpClient();
try { tcpClient.Connect(_ipAddr, port);
tcpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }
Console.WriteLine();
return failedPorts; }
static List<int> TestUdpPorts(List<int> portList) { Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());
List<int> failedPorts = new List<int>();
foreach (int port in portList) { Console.Write("Checking UDP port {0}: ", port);
UdpClient udpClient = new UdpClient();
try { udpClient.Connect(_ipAddr, port); udpClient.Close();
Version 1.0134
AWS Directory Service Guía de administraciónCreación de un AD Connector
Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }
Console.WriteLine();
return failedPorts; } }}
Creación de un AD ConnectorPara conectarse con su directorio local con AD Connector, siga estos pasos. Antes de comenzar esteprocedimiento, asegúrese de haber completado los requisitos previos que se indican en Requisitos previosde AD Connector (p. 126).
Para conectar con AD Connector
1. En el panel de navegación de AWS Directory Service console, elija Directories (Directorios) y, acontinuación, elija Set up directory (Configurar directorio).
2. En la página Select directory type (Seleccionar tipo de directorio), elija AD Connector y, acontinuación, elija Next (Siguiente).
3. En la página Enter AD Connector information (Especifique la información de AD Connector), facilite lasiguiente información:
Tamaño del directorio
Elija entre la opción de tamaño Small (Pequeño) o Large (Grande). Para obtener más informaciónacerca de los tamaños, consulte Conector de Active Directory (p. 126).
Descripción del directorio
Descripción opcional del directorio.4. En la página Choose VPC and subnets (Elegir la VPC y las subredes), proporcione la siguiente
información y, a continuación, elija Next (Siguiente).
VPC
VPC del directorio.Subredes
Elija las subredes de los controladores de dominio. Las dos subredes deben estar en diferenteszonas de disponibilidad.
5. En la página Connect to AD (Conectar a AD), proporcione la siguiente información:
Nombre de DNS del directorio
El nombre completo del directorio on-premise, por ejemplo corp.example.com.Nombre NetBIOS del directorio
El nombre corto del directorio on-premise, por ejemplo CORP.
Version 1.0135
AWS Directory Service Guía de administraciónProcedimientos...
Direcciones IP de DNS
La dirección IP de al menos un servidor DNS de su directorio on-premise. Estos servidores debenser accesibles desde cada subred especificada en la siguiente sección.
Nombre de usuario de la cuenta de servicio
El nombre de usuario de un usuario del directorio on-premise. Para obtener más informaciónacerca de esta cuenta, consulte Requisitos previos de AD Connector (p. 126).
Contraseña de la cuenta de servicio
La contraseña de la cuenta de usuario on-premise.Confirm password
Vuelva a escribir la contraseña de la cuenta de usuario on-premise.6. En la página Review & create (Revisar y crear), revise la información del directorio y haga los cambios
que sean necesarios. Cuando la información sea correcta, seleccione Create directory (Creardirectorio). La creación del directorio tarda varios minutos. Una vez creado, el valor Status cambia aActive.
Cómo administrar AD ConnectorEn esta sección se presentan todos los procedimientos de uso y mantenimiento de un entorno de ADConnector.
Temas• Protección de su directorio de AD Connector (p. 136)• Monitoreo de su directorio de AD Connector (p. 138)• Unir una instancia EC2 al directorio de AD Connector (p. 140)• Mantenimiento de su directorio AD Connector (p. 142)• Actualización de la dirección de DNS de AD Connector (p. 143)
Protección de su directorio de AD ConnectorEn esta sección se describen las consideraciones para proteger su entorno de AD Connector.
Temas• Actualización de las credenciales de directorio de su AD Connector (p. 136)• Cómo habilitar Multi-Factor Authentication para AD Connector (p. 137)
Actualización de las credenciales de directorio de su ADConnectorLas credenciales de directorio de AD Connector son la cuenta que se utiliza para obtener acceso a sudirectorio local. Puede modificar estas credenciales de cuenta siguiendo estos pasos.
Note
Si el inicio de sesión único está habilitado para el directorio, AWS Directory Service debe transferirel nombre principal del servicio (service principal name, SPN) de la cuenta de servicio actual a lanueva cuenta de servicio. Si la cuenta de servicio actual no tiene permiso para eliminar el SPN o
Version 1.0136
AWS Directory Service Guía de administraciónProtección de su directorio
la nueva cuenta de servicio no tiene permiso para añadir el SPN, se le solicitarán las credencialesde una cuenta de directorio que tenga permiso para realizar ambas acciones. Estas credencialessolo se usarán para transferir el SPN. El servicio no las almacenará.
Para modificar las credenciales de su cuenta de AD Connector
1. En el panel de navegación de AWS Directory Service console, seleccione Directories (Directorios).2. Haga clic en el enlace del identificador de directorio correspondiente al directorio.3. Seleccione la pestaña Connector Account.4. Escriba el nuevo nombre de usuario y la nueva contraseña y haga clic en Update Directory.
Cómo habilitar Multi-Factor Authentication para AD ConnectorPuede habilitar la autenticación multifactor para su directorio AD Connector con el siguiente procedimiento.Para obtener más información acerca de cómo usar la multi-factor authentication con AWS DirectoryService, consulte Requisitos previos de AD Connector (p. 126).
Note
La multi-factor authentication no puede utilizarse con Simple AD. Sin embargo, la MFA se puedehabilitar para su directorio de AWS Managed Microsoft AD. Para obtener más información,consulte Cómo habilitar Multi-Factor Authentication para AWS Managed Microsoft AD (p. 25).
Para habilitar multi-factor authentication para AD Connector
1. En el panel de navegación de AWS Directory Service console, seleccione Directories (Directorios).2. Elija el enlace del ID de directorio correspondiente a su directorio de AD Connector.3. Select the Networking & security tab.4. In the Multi-factor authentication section, choose Actions, and then select Enable.5. On the Enable multi-factor authentication (MFA) page, provide the following values:
Display label
Provide a label name.RADIUS server DNS name or IP addresses
The IP addresses of your RADIUS server endpoints, or the IP address of your RADIUS serverload balancer. You can enter multiple IP addresses by separating them with a comma (e.g.,192.0.0.0,192.0.0.12).
Note
RADIUS MFA is applicable only to authenticate access to the Consola de administraciónde AWS, or to Amazon Enterprise applications and services such as AmazonWorkSpaces, Amazon QuickSight, or Amazon Chime. AWS Directory Service does notsupport RADIUS Challenge/Response authentication. Users must have their MFA code atthe time they enter their username and password. Alternatively, you must use a solutionthat performs MFA out-of-band such as SMS text verification for the user.
Port
The port that your RADIUS server is using for communications. Your on-premises network mustallow inbound traffic over the default RADIUS server port (UDP:1812) from the AWS DirectoryService servers.
Shared secret code
The shared secret code that was specified when your RADIUS endpoints were created.
Version 1.0137
AWS Directory Service Guía de administraciónMonitorización de su directorio
Confirm shared secret code
Confirm the shared secret code for your RADIUS endpoints.Protocol
Select the protocol that was specified when your RADIUS endpoints were created.Server timeout (in seconds)
The amount of time, in seconds, to wait for the RADIUS server to respond. This must be a valuebetween 1 and 50.
Max RADIUS request retries
The number of times that communication with the RADIUS server is attempted. This must be avalue between 0 and 10.
Multi-factor authentication is available when the RADIUS Status changes to Enabled.6. Choose Enable.
Monitoreo de su directorio de AD ConnectorPuede monitorear su directorio de AD Connector con los siguientes métodos:
Temas• Descripción de los estados del directorio (p. 138)• Configuración de notificaciones de estado de los directorios (p. 139)
Descripción de los estados del directorioThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 5 to 30 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Version 1.0138
AWS Directory Service Guía de administraciónMonitorización de su directorio
Impaired
The directory is running in a degraded state. One or more issues have been detected, and not alldirectory operations may be working at full operational capacity. Typically AWS resolves these issueswithin 40 minutes. If your directory is in an Impaired state longer than 40 minutes, we recommend thatyou contact the AWS Support Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see Creación de unainstantánea o restauración del directorio (p. 84).
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Motivos de los estados del directorio de Simple AD (p. 189).
Configuración de notificaciones de estado de los directoriosUsing Amazon Simple Notification Service (Amazon SNS), you can receive email or text (SMS) messageswhen the status of your directory changes. You get notified if your directory goes from an Active status toan Impaired or Inoperable status. You also receive a notification when the directory returns to an Activestatus.
How It WorksAmazon SNS uses “topics” to collect and distribute messages. Each topic has one or more subscriberswho receive the messages that have been published to that topic. Using the steps below you can add AWSDirectory Service as publisher to an Amazon SNS topic. When AWS Directory Service detects a change inyour directory’s status, it publishes a message to that topic, which is then sent to the topic's subscribers.
You can associate multiple directories as publishers to a single topic. You can also add directory statusmessages to topics that you’ve previously created in Amazon SNS. You have detailed control over whocan publish to and subscribe to a topic. For complete information about Amazon SNS, see What is AmazonSNS?.
To enable SNS messaging for your directory
1. Sign in to the Consola de administración de AWS and open the AWS Directory Service console athttps://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, choose Actions, and then select Create notification.5. On the Create notification page, select Choose a notification type, and then choose Create a new
notification. Alternatively, if you already have an existing SNS topic, you can choose Associate existingSNS topic to send status messages from this directory to that topic.
Version 1.0139
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
Note
If you choose Create a new notification but then use the same topic name for an SNStopic that already exists, Amazon SNS does not create a new topic, but just adds the newsubscription information to the existing topic.If you choose Associate existing SNS topic, you will only be able to choose an SNS topic thatis in the same region as the directory.
6. Choose the Recipient type and enter the Recipient contact information. If you enter a phone number forSMS, use numbers only. Do not include dashes, spaces, or parentheses.
7. (Optional) Provide a name for your topic and an SNS display name. The display name is a short nameup to 10 characters that is included in all SMS messages from this topic. When using the SMS option,the display name is required.
Note
If you are logged in using an IAM user or role that has only the DirectoryServiceFullAccessmanaged policy, your topic name must start with “DirectoryMonitoring”. If you’d like to furthercustomize your topic name you’ll need additional privileges for SNS.
8. Choose Create.
If you want to designate additional SNS subscribers, such as an additional email address,Amazon SQS queues or AWS Lambda, you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v2/home.
To remove directory status messages from a topic
1. Sign in to the Consola de administración de AWS and open the AWS Directory Service console athttps://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, select an SNS topic name in the list, choose Actions, and then
select Remove.5. Choose Remove.
This removes your directory as a publisher to the selected SNS topic. If you want to delete the entire topic,you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v2/home.
Note
Before deleting an Amazon SNS topic using the SNS console, you should ensure that a directoryis not sending status messages to that topic.If you delete an Amazon SNS topic using the SNS console, this change will not immediately bereflected within the Directory Services console. You would only be notified the next time a directorypublishes a notification to the deleted topic, in which case you would see an updated status on thedirectory’s Monitoring tab indicating the topic could not be found.Therefore, to avoid missing important directory status messages, before deleting any topic thatreceives messages from AWS Directory Service, associate your directory with a different AmazonSNS topic.
Unir una instancia EC2 al directorio de AD ConnectorYou can seamlessly join an EC2 instance to your directory domain when the instance is launched using theAmazon EC2 Systems Manager. For more information, see Seamlessly Joining a Windows Instance to anAWS Directory Service Domain in the Guía del usuario de Amazon EC2 para instancias de Windows.
Version 1.0140
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
If you need to manually join an EC2 instance to your domain, you must launch the instance in the properregion and security group or subnet, then join the instance to the domain.
To be able to connect remotely to these instances, you must have IP connectivity to the instances from thenetwork you are connecting from. In most cases, this requires that an Internet gateway be attached to yourVPC and that the instance has a public IP address.
Temas• Cómo unir fácilmente una instancia EC2 de Windows (p. 141)
Cómo unir fácilmente una instancia EC2 de WindowsThis procedure will seamlessly join a Windows EC2 instance to your directory.
To seamlessly join a Windows EC2 instance
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
2. From the region selector in the navigation bar, select the same region as the existing directory.3. From the Amazon EC2 console dashboard, choose Launch Instance.4. On the Step 1 page, select the appropriate AMI.5. On the Step 2 page, select the appropriate instance type, and then choose Next.6. On the Step 3 page, do the following, and then choose Next :
1. For Network, choose the VPC that your directory was created in.2. For Subnet, select one of the public subnets in your VPC. The subnet you select must have all
external traffic routed to an Internet gateway. If this is not the case, you won't be able to connect tothe instance remotely.
3. For Auto-assign Public IP, choose Enable (if the subnet setting is not set to enable by default). Formore information about public and private IP addressing, see Amazon EC2 Instance IP Addressingin the Amazon EC2 User Guide for Linux Instances.
4. For Domain join directory, select your domain from the Domain join directory list. To seamlesslyjoin the instance, you also need an IAM role that has the AmazonEC2RoleforSSM managed policyattached to it. Select the IAM role that has permission from the IAM role list. If you choose thisoption, you will not have to manually join the instance to the domain as that will be done for youwhen the instance is launched.
Note
This option is only available for Windows instances. Linux instances must be manuallyjoined to the directory as explained in Cómo unir manualmente una instancia deLinux (p. 45).
5. For IAM role, optionally choose the Create new IAM role link to create a new IAM role and attach theAmazonEC2RoleforSSM policy, and then on the Roles page, do the following:a. Select the Create role button.b. Under AWS service, select the EC2 link, and then click Next.c. Under Select your use case, select EC2, and then select Next.d. In the list of polices, select the AmazonEC2RoleforSSM policy, and then select Next.e. In Role name, type a name for your new role (For example, EC2DomainJoin), in Role description
type a description (optional), and then select the Create role button.7. Go back to the Step 3 page, for IAM role, choose the refresh icon next to the IAM role field. Your new
role should be visible in the drop down menu. Select it, and leave the rest of the settings on this pagewith their default values, and then select Next.
Version 1.0141
AWS Directory Service Guía de administraciónMantenimiento de su directorio
8. Continue through the remaining pages in the wizard using your preferred settings.
Note
The security group you select for the instance (on the Step 6 page) must allow remote accessto the instance from your network.
Mantenimiento de su directorio AD ConnectorEn esta sección se describe cómo realizar las tareas administrativas comunes para su entorno de ADConnector.
Temas• Eliminar su directorio (p. 142)• Ver información del directorio (p. 143)
Eliminar su directorioWhen a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Guía de administraciónAmazon WorkDocs.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable Consola de administración de AWS access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in the Guíadel usuario de Amazon RDS.
Version 1.0142
AWS Directory Service Guía de administraciónActualización de DNS de su AD Connector
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
Ver información del directorioYou can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see Descripción de los estados del directorio (p. 31).
Actualización de la dirección de DNS de AD ConnectorSiga estos pasos para actualizar las direcciones de DNS a las que apunta su AD Connector.
Note
Si tiene una actualización en curso, espere hasta que se haya completado antes de iniciar otra.
Para actualizar la configuración de DNS para AD Connector
1. En el panel de navegación de AWS Directory Service console, elija Directories (Directorios).2. Elija el nombre del directorio que quiera actualizar.3. Seleccione la pestaña DNS settings.4. Escriba las direcciones IP de DNS actualizadas y seleccione Update directory.
Prácticas recomendadas para AD ConnectorA continuación se indican algunas sugerencias y directrices que hay que tener en cuenta para evitarproblemas y sacar el máximo provecho de AD Connector.
Configuración: requisitos previosPlantéese estas directrices antes de crear el directorio.
Version 1.0143
AWS Directory Service Guía de administraciónUso del directorio
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
For a more detailed comparison of AWS Directory Service options, see ¿Cuál debe elegir? (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs that thedirectories are associated with. See either Requisitos previos de AWS Managed Microsoft AD (p. 10),Requisitos previos de AD Connector (p. 126), or Requisitos previos de Simple AD (p. 149) forinformation about the VPC security and networking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access to yourinstance as described in Unir una instancia EC2 al directorio de AWS Managed Microsoft AD (p. 42).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregate sizeof your objects are the only limitations on the number of objects you may store in your directory. See eitherLímites de AWS Managed Microsoft AD (p. 104), Límites de AD Connector (p. 145), or Límites de SimpleAD (p. 186) for details about your chosen directory.
Configure sitios y subredes locales correctamente al usar ADConnectorSi la red local tiene definidos sitios de Active Directory, debe asegurarse de que las subredes de la VPC enla que reside su AD Connector estén definidas en un sitio de Active Directory y que no existen conflictosentre las subredes de la VPC y las subredes de sus otros sitios.
Para detectar los controladores de dominio, AD Connector utiliza el sitio de Active Directory cuyos rangosde direcciones IP de subred sean próximos a los de la VPC que contienen AD Connector. Si hay un sitiocuyas subredes tienen los mismos rangos de direcciones IP que los de su VPC, AD Connector detectarálos controladores de dominio en ese sitio, que puede no estar físicamente cerca de su región.
Uso del directorioEstas son algunas sugerencias que tener en cuenta al utilizar su directorio.
Utilice AD Connector únicos para cada dominioLos AD Connector y sus dominios locales deben tener una relación de confianza unívoca. Es decir, paracada dominio local en el que se quiera autenticar, debe crear un único AD Connector. Cada AD Connectorque cree deberá utilizar una cuenta de servicio diferente, incluso si está conectado al mismo directorio.
Version 1.0144
AWS Directory Service Guía de administraciónLímites
Compruebe si hay compatibilidadCuando utilice AD Connector, debe asegurarse de que el directorio local es y sigue siendo compatible conAWS Directory Services. Para obtener más información acerca de sus responsabilidades, consulte nuestromodelo de responsabilidad compartida.
Límites de AD ConnectorLos siguientes son los límites predeterminados para AD Connector. A menos que se indique lo contrario,cada límite corresponde a una región.
Límites de AD Connector
Recurso Límite predeterminado
Directorios de AD Connector 10
Increase Your LimitPerform the following steps to increase your limit for a region.
To request a limit increase for a region
1. Go to the AWS Support Center page, sign in, if necessary, and click Open a new case.2. Under Regarding, select Service Limit Increase.3. Under Limit Type, select AWS Directory Service.4. Fill in all of the necessary fields in the form and click the button at the bottom of the page for your
desired method of contact.
Política de compatibilidad de las aplicaciones paraAD Connector
Como alternativa a AWS Directory Service for Microsoft Active Directory (AWS Managed MicrosoftAD (p. 9)), AD Connector es un proxy de Active Directory exclusivo para las aplicaciones y los servicioscreados con AWS. Se debe configurar el proxy para que utilice un dominio determinado de ActiveDirectory. Cuando la aplicación debe buscar un usuario o un grupo en Active Directory, AD Connectorenvía la solicitud al directorio. Del mismo modo, cuando un usuario inicia sesión en la aplicación, ADConnector envía la solicitud de autenticación al directorio. No hay ninguna aplicación de terceros quefuncione con AD Connector.
A continuación se muestra una lista de aplicaciones y servicios de AWS compatibles:
• Amazon Chime: para obtener instrucciones detalladas, consulte Conexión con Active Directory.• Amazon Connect: para obtener más información, consulte Cómo funciona Amazon Connect.• Amazon EC2 para Windows: puede utilizar la característica de unión de dominios fluida de Amazon EC2
para Windows con objeto de unir la instancia a su Active Directory autoadministrado (local). Una vezunida, la instancia se comunica directamente con su Active Directory sin pasar por AD Connector. Paraobtener más información, consulte Cómo unir fácilmente una instancia EC2 de Windows (p. 42).
• Consola de administración de AWS: también puede utilizar AD Connector para autenticar usuarios deConsola de administración de AWS con sus credenciales de Active Directory sin necesidad de configurar
Version 1.0145
AWS Directory Service Guía de administraciónSolución de problemas
una infraestructura de SAML. Para obtener más información, consulte Cómo habilitar el acceso a laConsola de administración de AWS con credenciales de AD (p. 96).
• Amazon QuickSight: para obtener más información, consulte Administración de cuentas de usuario enAmazon QuickSight Enterprise Edition.
• AWS Single Sign-On: para obtener instrucciones detalladas, consulte Conectar AWS SSO a un ActiveDirectory local.
• Amazon WorkDocs: para obtener instrucciones detalladas, consulte Conexión con el directorio localmediante AD Connector.
• Amazon WorkMail: para obtener instrucciones detalladas, consulte Integrar Amazon WorkMail en undirectorio existente (instalación estándar).
• Amazon WorkSpaces: para obtener instrucciones detalladas, consulte Lanzamiento de un WorkSpacecon AD Connector.
Note
Amazon RDS para SQL Server únicamente es compatible con AWS Managed Microsoft AD y noes compatible con AD Connector. Para obtener más información, consulte la sección sobre AWSMicrosoft AD en la página Preguntas frecuentes de AWS Directory Service.
Solución de problemas de AD ConnectorLa siguiente información puede ayudarle a solucionar algunos problemas comunes que podría encontrar ala hora de crear o utilizar el directorio.
A continuación se muestran algunos problemas comunes con AD Connector.
Aparece el error "DNS no disponible" cuando intentoconectarme a mi directorio on-premiseCuando se conecta al directorio on-premise, aparece un error similar al siguiente:
DNS unavailable (TCP port 53) for IP: <DNS IP address>
AD Connector debe poder comunicarse con los servidores DNS locales a través de TCP y UDP en elpuerto 53. Asegúrese de que los grupos de seguridad y los firewalls on-premise permiten la comunicaciónTCP y UDP a través de dicho puerto. Para obtener más información, consulte Requisitos previos de ADConnector (p. 126).
Aparece el error "Problemas de conectividaddetectados" cuando intento conectarme a mi directorioon-premiseCuando se conecta al directorio on-premise, aparece un error similar al siguiente:
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address>Kerberos/authentication unavailable (TCP port 88) for IP: <IP address>Please ensure that the listed ports are available and retry the operation.
AD Connector debe poder comunicarse con los controladores de dominio locales a través de TCP y UDPen los siguientes puertos. Asegúrese de que los grupos de seguridad y los firewall on-premise permiten la
Version 1.0146
AWS Directory Service Guía de administraciónAparece el error "Registro SRV" cuando
intento conectarme a mi directorio on-premise
comunicación TCP y UDP a través de dichos puertos. Para obtener más información, consulte Requisitosprevios de AD Connector (p. 126).
• 88 (Kerberos)• 389 (LDAP)
Aparece el error "Registro SRV" cuando intentoconectarme a mi directorio on-premiseAl conectarse al directorio on-premise, puede aparecer un error similar a los siguientes:
SRV record for LDAP does not exist for IP: <DNS IP address>
SRV record for Kerberos does not exist for IP: <DNS IP address>
AD Connector debe obtener los registros SRV _ldap._tcp.<DnsDomainName> y_kerberos._tcp.<DnsDomainName> al conectarse al directorio. Este error aparecerá si el serviciono puede obtener estos registros de los servidores DNS que especificó al conectarse a su directorio.Para obtener más información acerca de estos registros SRV, consulte Requisitos de los registrosSRV (p. 127).
Mi directorio se bloquea en el estado "Solicitado"Si tiene un directorio que haya estado en estado "Solicitado" durante más de cinco minutos, pruebe aeliminar el directorio y vuelva a crearlo. Si este problema sigue sin resolverse, póngase en contacto conAWS Support Center.
He recibido un error "AZ Constrained" a la hora decrear un directorioAlgunas cuentas de AWS creadas antes de 2012 podrían tener acceso a zonas de disponibilidad en laregión US East (N. Virginia), EE.UU. Oeste (Norte de California) o Asia Pacífico (Tokio) que no admitendirectorios de AWS Directory Service. Si recibe un error como este al crear un directorio, seleccione unasubred en una zona de disponibilidad diferente e intente crear el directorio de nuevo.
Algunos de mis usuarios no pueden autenticarse conmi directorioLas cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Es la configuraciónpredeterminada para cuentas de usuario nuevas y no debe modificarse. Para obtener más informaciónacerca de esta configuración, vaya a Preauthentication en Microsoft TechNet.
He recibido un error "Invalid Credentials" cuando lacuenta de servicio que utiliza AD Connector intentaautenticarseEsto puede ocurrir si el disco duro del controlador de dominio se queda sin espacio. Asegúrese de que losdiscos duros del controlador de dominio no estén llenos.
Version 1.0147
AWS Directory Service Guía de administraciónIntroducción
Simple Active DirectorySimple AD es un directorio administrado independiente que utiliza tecnología de un servidor compatiblecon Active Directory de Samba 4. Está disponible en dos tamaños.
• Pequeño: admite hasta 500 usuarios (aproximadamente 2000 objetos incluidos usuarios, grupos yequipos).
• Grande: admite hasta 5000 usuarios (aproximadamente 20 000 objetos incluidos usuarios, grupos yequipos).
Simple AD proporciona un subconjunto de las características que ofrece AWS Managed MicrosoftAD, incluida la capacidad de administrar cuentas de usuario y suscripciones a grupos, crear y aplicarpolíticas de grupo, conectarse de forma segura a instancias Amazon EC2 y proporcionar un iniciode sesión único (SSO) basado en Kerberos. No obstante, tenga en cuenta que Simple AD no admitecaracterísticas tales como relaciones de confianza con otros dominios, el Centro de administración deActive Directory, compatibilidad con PowerShell, la papelera de reciclaje de Active Directory, cuentas deservicio administradas por grupos y ampliaciones de esquema para aplicaciones de Microsoft y POSIX.
Simple AD ofrece muchas ventajas:
• Simple AD facilita la administración de las instancias de Amazon EC2 que ejecutan Linux y Windows y laimplementación de aplicaciones Windows en la nube de AWS.
• Muchas de las aplicaciones y herramientas que utiliza hoy que requieren soporte de Microsoft ActiveDirectory se pueden usar con Simple AD.
• Las cuentas de usuario de Simple AD permiten el acceso a aplicaciones de AWS como AmazonWorkSpaces, Amazon WorkDocs o Amazon WorkMail.
• Puede administrar recursos de AWS a través del acceso a la basado en funciones de .• Las instantáneas automatizadas diarias permiten la recuperación a un momento dado.
Siga leyendo los temas de esta sección para obtener información acerca de cómo crear su propio SimpleAD.
Temas• Introducción a Simple AD (p. 148)• Cómo administrar Simple AD (p. 152)• Tutorial: Creación de un directorio de Simple AD (p. 182)• Prácticas recomendadas para Simple AD (p. 185)• Límites de Simple AD (p. 186)• Política de compatibilidad de las aplicaciones para Simple AD (p. 187)• Solución de problemas de Simple AD (p. 188)
Introducción a Simple ADSimple AD crea un directorio basado en Samba completamente administrado en la nube de AWS. Alcrear un directorio con Simple AD, AWS Directory Service crea por usted dos controladores de dominio
Version 1.0148
AWS Directory Service Guía de administraciónRequisitos previos de Simple AD
y servidores DNS. Los controladores de dominio se crean en subredes diferentes de una VPC; estaredundancia ayuda a garantizar que el directorio seguirá siendo accesible incluso en caso de error.
Temas• Requisitos previos de Simple AD (p. 149)• Creación de un directorio de Simple AD (p. 150)• Qué se crea (p. 151)• Configuración de DNS (p. 151)
Requisitos previos de Simple ADPara crear un directorio de Simple AD necesitará una VPC con lo siguiente:
• Dos subredes como mínimo. Para que AD sencillo se instale correctamente, debe instalar sus doscontroladores de dominio en subredes independientes que debe estar en una zona de disponibilidaddiferente. Además, las subredes deben estar en el mismo rango de enrutamiento entre dominios sinclases (CIDR). Si desea ampliar o cambiar el tamaño de la VPC del directorio, asegúrese de seleccionarlas dos subredes de controlador de dominio al rango de CIDR de la VPC ampliado.
• Los siguientes puertos deben estar abiertos entre las dos subredes en las que implemente su directorio.Esto es necesario para que los controladores de dominio que AWS Directory Service cree puedancomunicarse entre sí.• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos authentication• UDP 123 - NTP• TCP 135 - RPC• UDP 137-138 - Netlogon• TCP 139 - Netlogon• TCP/UDP 389 - LDAP• TCP/UDP 445 - SMB• TCP 636 - LDAPS (LDAP over TLS/SSL)• TCP 873 - Rsync• TCP 3268 - Global Catalog• TCP/UDP 1024-65535 - Ephemeral ports for RPC
• La VPC debe disponer de tenencia de hardware predeterminada.• Si necesita soporte de LDAPS con AD sencillo, le recomendamos que lo configure utilizando un
Elastic Load Balancer y HA Proxy que se ejecute en instancias EC2. Este modelo le permite utilizar uncertificado sólido para la conexión a través de LDAPS, simplificar el acceso a LDAPS a través de unaúnica dirección IP de ELB y disponer de conmutación por error automática a través del HA Proxy. Paraobtener más información sobre cómo configurar LDAPS con AD sencillo, consulte How to Configure anLDAPS Endpoint for Simple AD en el AWS Security Blog.
• Deben habilitarse los siguientes tipos de cifrado en el directorio:• RC4_HMAC_MD5• AES128_HMAC_SHA1• AES256_HMAC_SHA1• Tipos de cifrado futuro
Note
Si deshabilita estos tipos de cifrado puede provocar problemas de comunicación con RSAT(Herramientas de administración remota del servidor) y afectar a la disponibilidad o a sudirectorio.
Version 1.0149
AWS Directory Service Guía de administraciónCreación de un directorio de Simple AD
Creación de un directorio de Simple ADTo create a new directory, perform the following steps. Before starting this procedure, make sure you havecompleted the prerequisites identified in Requisitos previos de Simple AD (p. 149).
To create a Simple AD directory
1. In the AWS Directory Service console navigation pane, choose Directories and then choose Set updirectory.
2. On the Select directory type page, choose Simple AD, and then choose Next.3. On the Enter directory information page, provide the following information:
Directory size
Choose from either the Small or Large size option. For more information about sizes, see SimpleActive Directory (p. 148).
Organization name
A unique organization name for your directory that will be used to register client devices.
This field is only available if you are creating your directory as part of launching AmazonWorkSpaces.
Directory DNS name
The fully qualified name for the directory, such as corp.example.com.Directory NetBIOS name
The short name for the directory, such as CORP.Administrator password
The password for the directory administrator. The directory creation process creates anadministrator account with the user name Administrator and this password.
The directory administrator password is case-sensitive and must be between 8 and 64 charactersin length, inclusive. It must also contain at least one character from three of the following fourcategories:• Lowercase letters (a-z)• Uppercase letters (A-Z)• Numbers (0-9)• Non-alphanumeric characters (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirm password
Retype the administrator password.Directory description
An optional description for the directory.4. On the Choose VPC and subnets page, provide the following information, and then choose Next.
VPC
The VPC for the directory.Subnets
Choose the subnets for the domain controllers. The two subnets must be in different AvailabilityZones. Version 1.0
150
AWS Directory Service Guía de administraciónQué se crea
5. On the Review & create page, review the directory information and make any necessary changes.When the information is correct, choose Create directory. It takes several minutes for the directory tobe created. Once created, the Status value changes to Active.
Qué se creaAl crear un directorio con Simple AD, AWS Directory Service realiza por usted las siguientes tareas:
• Configura un directorio basado en Samba dentro de la VPC.• Crea una cuenta de administrador para el directorio con el nombre de usuario Administrator y la
contraseña especificada. Esta cuenta le permite administrar el directorio.
Important
Asegúrese de guardar esta contraseña. AWS Directory Service no almacena esta contraseña yno se puede recuperar ni restablecer.
• Crea un grupo de seguridad para los controladores del directorio.• Crea una cuenta llamada AWSAdminD-xxxxxxxx con privilegios de administrador de dominio. AWS
Directory Service utilizará esta cuenta para llevar a cabo operaciones automatizadas de mantenimientode directorios, como tomar instantáneas de directorios y transferir funciones FSMO. AWS DirectoryService almacena de forma segura las credenciales de esta cuenta.
Configuración de DNSSimple AD reenvía las solicitudes de DNS a la dirección IP de los servidores DNS proporcionados porAmazon para la VPC. Estos servidores DNS resolverán nombres configurados en sus zonas hospedadasprivadas de Route 53. Al apuntar sus equipos locales a su Simple AD, ahora puede resolver las solicitudesde DNS en la zona hospedada privada.
Tenga en cuenta que para permitir que su Simple AD responda a las consultas DNS externas, debeconfigurar la Lista de control de acceso (ACL) a la red de la VPC que contenga su Simple AD para quepermita el tráfico desde fuera de la VPC.
Si no utiliza las zonas hospedadas privadas de Route 53, sus solicitudes de DNS se reenviarán a losservidores DNS públicos.
Si utiliza servidores DNS personalizados que están fuera de la VPC y desea utilizar DNS privado, deberácambiar la configuración para utilizar los servidores DNS personalizados en instancias EC2 dentro de laVPC. Para obtener más información, consulte Uso de zonas hospedadas privadas.
Si desea que su Simple AD resuelva nombres mediante servidores DNS dentro de su VPC y servidoresDNS privados fuera de su VPC, puede hacerlo a través de un conjunto de opciones de DHCP. Para ver unejemplo detallado, consulte este artículo.
Note
Las actualizaciones dinámicas de DNS no se admiten en dominios de Simple AD. En lugar de ello,puede realizar los cambios directamente en su directorio utilizando el Administrador de DNS enuna instancia que esté unida al dominio.
Para obtener más información acerca de Route 53, consulte ¿Qué es Route 53?
Version 1.0151
AWS Directory Service Guía de administraciónProcedimientos...
Cómo administrar Simple ADEn esta sección se presentan todos los procedimientos de uso y mantenimiento de un entorno de SimpleAD.
Temas• Añadir usuarios y grupos a Simple AD (p. 152)• Monitoreo de su directorio de Simple AD (p. 155)• Unir una instancia EC2 al directorio de Simple AD (p. 157)• Mantenimiento de su directorio Simple AD (p. 170)• Cómo habilitar el acceso a los servicios y las aplicaciones de AWS (p. 173)• Cómo habilitar el acceso a la Consola de administración de AWS con credenciales de AD (p. 180)
Añadir usuarios y grupos a Simple ADUsers represent individual people or entities that have access to your directory. Groups are very usefulfor giving or denying privileges to groups of users, rather than having to apply those privileges to eachindividual user. If a user moves to a different organization, you move that user to a different group and theyautomatically receive the privileges needed for the new organization.
To create users and groups in an AWS Directory Service directory, you must be connected to a EC2instance that has been joined to your AWS Directory Service directory, and be logged in as a user that hasprivileges to create users and groups. You will also need to install the Active Directory Tools on your EC2instance so you can add your users and groups with the Active Directory Users and Computers snap-in.For more information about how to set up an EC2 instance and install the necessary tools, see Paso 3:implementar una instancia EC2 para administrar AWS Managed Microsoft AD (p. 112).
Note
Your user accounts must have Kerberos preauthentication enabled. This is the default setting fornew user accounts, but it should not be modified. For more information about this setting, go toPreauthentication on Microsoft TechNet.
The following examples demonstrate how to create a user, create a group, and add the user to the group.Note
When using Simple AD, if you create a user account on a Linux instance with the option "Forceuser to change password at first login," that user will not be able to initially change their passwordusing kpasswd. In order to change the password the first time, a domain administrator must updatethe user password using the Active Directory Management Tools.
To create a user
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour user (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Qué se crea (p. 13).
Version 1.0152
AWS Directory Service Guía de administraciónAñadir usuarios y grupos
3. On the Action menu, click New, and then click User to open the new user wizard.4. In the first page of the new user wizard, enter the following values and click Next.
First name
Mary
Last name
Major
User logon name
marym
5. In the second page of the new user wizard, enter a temporary password for Password and ConfirmPassword. Make sure the User must change password at next logon option is selected. None of theother options should be selected. Click Next.
6. In the third page of the new user wizard, verify that the new user information is correct and click Finish.The new user will appear in the Users folder.
To create a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour group (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Qué se crea (p. 13).
3. On the Action menu, click New, and then click Group to open the new group wizard.4. Enter Division Managers for the Group name, select Global for the Group scope, and select
Security for the Group type. Click OK. The new group, Division Managers, appears in the Users folder.
To add a user to a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select the OU under your directory's NetBIOS name OU where you stored yourgroup, and select the Division Managers group.
3. On the Action menu, click Properties to open the properties dialog box for the Division Managersgroup.
4. Select the Members tab and click Add....Version 1.0153
AWS Directory Service Guía de administraciónAñadir usuarios y grupos
5. For Enter the object names to select, enter marym and click OK. Mary Major is displayed in theMembers list. Click OK again to update the group membership.
6. Verify that Mary Major is now a member of the Division Managers group by selecting Mary Major inthe Users folder, click Properties in the Action menu to open the properties dialog box for Mary Major.Select the Member Of tab. Division Managers is in the list of groups that Mary Major belongs to.
Instalar las herramientas de administración de Active DirectoryTo manage your directory from an EC2 Windows instance, you need to install the Active Directory DomainServices and Active Directory Lightweight Directory Services Tools on the instance.
Temas• Install the Active Directory Administration Tools on Windows Server 2008 (p. 57)• Install the Active Directory Administration Tools on Windows Server 2012 (p. 57)• Install the Active Directory Administration Tools on Windows Server 2016 (p. 58)
Install the Active Directory Administration Tools on Windows Server 2008
To install the Active Directory administration tools on Windows Server 2008
1. Open Server Manager by choosing Start, Administrative Tools, Server Manager.2. In the Server Manager tree pane, select Features, and choose Add Features,3. In the Add Features Wizard, open Remote Server Administration Tools, Role Administration Tools,
select AD DS and AD LDS Tools, scroll down and select DNS, then choose Next.4. Review the information and choose Install. The feature installation requires that the instance be
restarted. When the instance has restarted, the Active Directory Domain Services and ActiveDirectory Lightweight Directory Services Tools are available on the Start menu, under All Programs >Administrative Tools.
Install the Active Directory Administration Tools on Windows Server 2012
To install the Active Directory administration tools on Windows Server 2012
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS, then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
Install the Active Directory Administration Tools on Windows Server 2016
To install the Active Directory administration tools on Windows Server 2016
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,
Version 1.0154
AWS Directory Service Guía de administraciónMonitorización de su directorio
3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-basedinstallation, and choose Next.
4. Under Server Selection, make sure the local server is selected, and choose Features in the leftnavigation pane.
5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select ADDS and AD LDS Tools, scroll down and select DNS, then choose Next.
6. Review the information and choose Install. When the feature installation is finished, the ActiveDirectory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
Monitoreo de su directorio de Simple ADPuede monitorear su directorio de Simple AD con los siguientes métodos:
Temas• Descripción de los estados del directorio (p. 155)• Configuración de notificaciones de estado de los directorios (p. 156)
Descripción de los estados del directorioThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 5 to 30 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Impaired
The directory is running in a degraded state. One or more issues have been detected, and not alldirectory operations may be working at full operational capacity. Typically AWS resolves these issueswithin 40 minutes. If your directory is in an Impaired state longer than 40 minutes, we recommend thatyou contact the AWS Support Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see Creación de unainstantánea o restauración del directorio (p. 84).
Version 1.0155
AWS Directory Service Guía de administraciónMonitorización de su directorio
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Motivos de los estados del directorio de Simple AD (p. 189).
Configuración de notificaciones de estado de los directoriosUsing Amazon Simple Notification Service (Amazon SNS), you can receive email or text (SMS) messageswhen the status of your directory changes. You get notified if your directory goes from an Active status toan Impaired or Inoperable status. You also receive a notification when the directory returns to an Activestatus.
How It Works
Amazon SNS uses “topics” to collect and distribute messages. Each topic has one or more subscriberswho receive the messages that have been published to that topic. Using the steps below you can add AWSDirectory Service as publisher to an Amazon SNS topic. When AWS Directory Service detects a change inyour directory’s status, it publishes a message to that topic, which is then sent to the topic's subscribers.
You can associate multiple directories as publishers to a single topic. You can also add directory statusmessages to topics that you’ve previously created in Amazon SNS. You have detailed control over whocan publish to and subscribe to a topic. For complete information about Amazon SNS, see What is AmazonSNS?.
To enable SNS messaging for your directory
1. Sign in to the Consola de administración de AWS and open the AWS Directory Service console athttps://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, choose Actions, and then select Create notification.5. On the Create notification page, select Choose a notification type, and then choose Create a new
notification. Alternatively, if you already have an existing SNS topic, you can choose Associate existingSNS topic to send status messages from this directory to that topic.
Note
If you choose Create a new notification but then use the same topic name for an SNStopic that already exists, Amazon SNS does not create a new topic, but just adds the newsubscription information to the existing topic.If you choose Associate existing SNS topic, you will only be able to choose an SNS topic thatis in the same region as the directory.
6. Choose the Recipient type and enter the Recipient contact information. If you enter a phone number forSMS, use numbers only. Do not include dashes, spaces, or parentheses.
Version 1.0156
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
7. (Optional) Provide a name for your topic and an SNS display name. The display name is a short nameup to 10 characters that is included in all SMS messages from this topic. When using the SMS option,the display name is required.
Note
If you are logged in using an IAM user or role that has only the DirectoryServiceFullAccessmanaged policy, your topic name must start with “DirectoryMonitoring”. If you’d like to furthercustomize your topic name you’ll need additional privileges for SNS.
8. Choose Create.
If you want to designate additional SNS subscribers, such as an additional email address,Amazon SQS queues or AWS Lambda, you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v2/home.
To remove directory status messages from a topic
1. Sign in to the Consola de administración de AWS and open the AWS Directory Service console athttps://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, select an SNS topic name in the list, choose Actions, and then
select Remove.5. Choose Remove.
This removes your directory as a publisher to the selected SNS topic. If you want to delete the entire topic,you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v2/home.
Note
Before deleting an Amazon SNS topic using the SNS console, you should ensure that a directoryis not sending status messages to that topic.If you delete an Amazon SNS topic using the SNS console, this change will not immediately bereflected within the Directory Services console. You would only be notified the next time a directorypublishes a notification to the deleted topic, in which case you would see an updated status on thedirectory’s Monitoring tab indicating the topic could not be found.Therefore, to avoid missing important directory status messages, before deleting any topic thatreceives messages from AWS Directory Service, associate your directory with a different AmazonSNS topic.
Unir una instancia EC2 al directorio de Simple ADYou can seamlessly join an EC2 instance to your directory domain when the instance is launched using theAmazon EC2 Systems Manager. For more information, see Seamlessly Joining a Windows Instance to anAWS Directory Service Domain in the Guía del usuario de Amazon EC2 para instancias de Windows.
If you need to manually join an EC2 instance to your domain, you must launch the instance in the properregion and security group or subnet, then join the instance to the domain.
To be able to connect remotely to these instances, you must have IP connectivity to the instances from thenetwork you are connecting from. In most cases, this requires that an Internet gateway be attached to yourVPC and that the instance has a public IP address.
Temas• Cómo unir fácilmente una instancia EC2 de Windows (p. 158)• Cómo unir manualmente una instancia de Windows (p. 159)
Version 1.0157
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
• Cómo unir manualmente una instancia de Linux (p. 160)• Delegación de privilegios de unión a directorios para Simple AD (p. 167)• Cree un conjunto de opciones de DHCP (p. 169)
Cómo unir fácilmente una instancia EC2 de WindowsThis procedure will seamlessly join a Windows EC2 instance to your directory.
To seamlessly join a Windows EC2 instance
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
2. From the region selector in the navigation bar, select the same region as the existing directory.3. From the Amazon EC2 console dashboard, choose Launch Instance.4. On the Step 1 page, select the appropriate AMI.5. On the Step 2 page, select the appropriate instance type, and then choose Next.6. On the Step 3 page, do the following, and then choose Next :
1. For Network, choose the VPC that your directory was created in.2. For Subnet, select one of the public subnets in your VPC. The subnet you select must have all
external traffic routed to an Internet gateway. If this is not the case, you won't be able to connect tothe instance remotely.
3. For Auto-assign Public IP, choose Enable (if the subnet setting is not set to enable by default). Formore information about public and private IP addressing, see Amazon EC2 Instance IP Addressingin the Amazon EC2 User Guide for Linux Instances.
4. For Domain join directory, select your domain from the Domain join directory list. To seamlesslyjoin the instance, you also need an IAM role that has the AmazonEC2RoleforSSM managed policyattached to it. Select the IAM role that has permission from the IAM role list. If you choose thisoption, you will not have to manually join the instance to the domain as that will be done for youwhen the instance is launched.
Note
This option is only available for Windows instances. Linux instances must be manuallyjoined to the directory as explained in Cómo unir manualmente una instancia deLinux (p. 45).
5. For IAM role, optionally choose the Create new IAM role link to create a new IAM role and attach theAmazonEC2RoleforSSM policy, and then on the Roles page, do the following:a. Select the Create role button.b. Under AWS service, select the EC2 link, and then click Next.c. Under Select your use case, select EC2, and then select Next.d. In the list of polices, select the AmazonEC2RoleforSSM policy, and then select Next.e. In Role name, type a name for your new role (For example, EC2DomainJoin), in Role description
type a description (optional), and then select the Create role button.7. Go back to the Step 3 page, for IAM role, choose the refresh icon next to the IAM role field. Your new
role should be visible in the drop down menu. Select it, and leave the rest of the settings on this pagewith their default values, and then select Next.
8. Continue through the remaining pages in the wizard using your preferred settings.
Note
The security group you select for the instance (on the Step 6 page) must allow remote accessto the instance from your network.
Version 1.0158
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
Cómo unir manualmente una instancia de WindowsTo manually join an existing Amazon EC2 Windows instance to a Simple AD or AWS Directory Service forMicrosoft Active Directory directory, the instance must be launched as specified in Cómo unir fácilmenteuna instancia EC2 de Windows (p. 42).
To join a Windows instance to a Simple AD or AWS Managed Microsoft AD directory
1. Connect to the instance using any Remote Desktop Protocol client.2. Open the TCP/IPv4 properties dialog box on the instance.
a. Open Network Connections.Tip
You can open Network Connections directly by running the following from a commandprompt on the instance.
%SystemRoot%\system32\control.exe ncpa.cpl
b. Open the context menu (right-click) for any enabled network connection and then chooseProperties.
c. In the connection properties dialog box, open (double-click) Internet Protocol Version 4.3. (Optional) Select Use the following DNS server addresses, change the Preferred DNS server and
Alternate DNS server addresses to the IP addresses of the AWS Directory Service-provided DNSservers, and choose OK.
4. Open the System Properties dialog box for the instance, select the Computer Name tab, and chooseChange.
Tip
You can open the System Properties dialog box directly by running the following from acommand prompt on the instance.
Version 1.0159
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
%SystemRoot%\system32\control.exe sysdm.cpl
5. In the Member of field, select Domain, enter the fully-qualified name of your AWS Directory Servicedirectory, and choose OK.
6. When prompted for the name and password for the domain administrator, enter the username andpassword of an account that has domain join privileges. For more information about delegatingthese privileges, see Delegación de privilegios de unión a directorios para AWS Managed MicrosoftAD (p. 52).
Note
You can enter either the fully-qualified name of your domain or the NetBios name, followed bya backslash (\), and then the user name, in this case, Admin. For example, corp.example.com\Admin or corp\Admin.
7. After you receive the message welcoming you to the domain, restart the instance to have the changestake effect.
Now that your instance has been joined to the domain, you can log into that instance remotely and installutilities to manage the directory, such as adding users and groups.
Cómo unir manualmente una instancia de LinuxAdemás de instancias Amazon EC2 de Windows, también puede unir determinadas instancias AmazonEC2 de Linux a su directorio de Simple AD. Son compatibles las siguientes distribuciones y versiones deinstancias de Linux:
• Amazon Linux AMI 2015.03• Red Hat Enterprise Linux 7.2• Ubuntu Server 14.04 LTS• CentOS 7
Note
Other Linux distributions and versions may work but have not been tested.
Unir una instancia al directorio
Before you can join either an Amazon Linux, CentOS, Red Hat, or Ubuntu instance to your directory,the instance must first be launched as specified in Cómo unir fácilmente una instancia EC2 deWindows (p. 42).
Important
Some of the following procedures, if not performed correctly, can render your instanceunreachable or unusable. Therefore, we strongly suggest you make a backup or take a snapshotof your instance before performing these procedures.
Para unir una instancia de Linux al directorio
Siga los pasos para su instancia de Linux específica mediante una de las siguientes pestañas:
Amazon Linux
Version 1.0160
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your Amazon Linux - 64bit instance is up to date.
$ sudo yum -y update
4. Install the required Amazon Linux packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
Amazon Linux 1
$ sudo yum -y install sssd realmd krb5-workstation
Amazon Linux 2
$ sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.
$ sudo realm join -U [email protected] example.com --verbose
An account in the example.com domain that has domain join privileges. Enter the passwordfor the account when prompted. For more information about delegating these privileges, seeDelegación de privilegios de unión a directorios para AWS Managed Microsoft AD (p. 52).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
7. Start the SSSD service.
$ sudo systemctl start sssd.service
Alternatively:Version 1.0
161
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
$ sudo service sssd start
8. Restart the instance.9. After the instance has restarted, connect to it with any SSH client and add the domain admins group
to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
$ sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
CentOS
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your CentOS 7 instance is up to date.
$ sudo yum -y update
4. Install the required CentOS 7 packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
$ sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.
$ sudo realm join -U [email protected] example.com --verbose
An account in the example.com domain that has domain join privileges. Enter the passwordfor the account when prompted. For more information about delegating these privileges, seeDelegación de privilegios de unión a directorios para AWS Managed Microsoft AD (p. 52).
example.com
The fully-qualified DNS name of your directory.
...
Version 1.0162
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
* Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
7. Start the SSSD service.
$ sudo systemctl start sssd.service
Alternatively:
$ sudo service sssd start
8. Restart the instance.9. After the instance has restarted, connect to it with any SSH client and add the domain admins group
to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
$ sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Red Hat
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure the Red Hat - 64bit instance is up to date.
$ sudo yum -y update
4. Install the required Red Hat packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.Version 1.0
163
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
$ sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.
$ sudo realm join -U [email protected] example.com --verbose
An account in the example.com domain that has domain join privileges. Enter the passwordfor the account when prompted. For more information about delegating these privileges, seeDelegación de privilegios de unión a directorios para AWS Managed Microsoft AD (p. 52).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
7. Start the SSSD service.
$ sudo systemctl start sssd.service
Alternatively:
$ sudo service sssd start
8. Restart the instance.9. After the instance has restarted, connect to it with any SSH client and add the domain admins group
to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
$ sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Ubuntu
Version 1.0164
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your Ubuntu - 64bit instance is up to date.
$ sudo apt-get update$ sudo apt-get -y upgrade
4. Install the required Ubuntu packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
$ sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
5. Join the instance to the directory with the following command.
$ sudo realm join -U [email protected] example.com --verbose
Note
If you are using Ubuntu 16.04, you must enter the domain name portion of the usernamewith all capital letters. For example, [email protected] example.com --verbose.
An account in the example.com domain that has domain join privileges. Enter the passwordfor the account when prompted. For more information about delegating these privileges, seeDelegación de privilegios de unión a directorios para AWS Managed Microsoft AD (p. 52).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
Note
If you are using Ubuntu 14.04, and encounter the following error:realm: Couldn't join realm: Failed to enroll machine in realm. See diagnostics..Complete the following additional steps, and then attempt a domain join to resolve theissue:
$ killall aptd$ apt-get install packagekit adcli
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.Version 1.0
165
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
7. Start the SSSD service.
$ sudo systemctl start sssd.service
Alternatively:
$ sudo service sssd start
8. Restart the instance.9. After the instance has restarted, connect to it with any SSH client and add the domain admins group
to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
$ sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Note
Cuando se utiliza Simple AD, si se crea una cuenta de usuario en una instancia de Linux con laopción "Force user to change password at first login" (Obligar al usuario a cambiar la contraseñaen el primer inicio de sesión), el usuario no podrá cambiar inicialmente la contraseña conkpasswd. Para cambiar la contraseña la primera vez, un administrador de dominio debe actualizarla contraseña de usuario utilizando las herramientas de administración de Active Directory.
Restricción de acceso de inicio de sesión de cuenta
Since all accounts are defined in Active Directory, by default, all the users in the directory can log in to theinstance. You can allow only specific users to log in to the instance with ad_access_filter in sssd.conf. Forexample:
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf
Indicates that users should only be allowed access to the instance if they are a member of a specificgroup.
cn
The canonical name of the group that should have access. In this example, the group name is admins.
Version 1.0166
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
ou
This is the organizational unit in which the above group is located. In this example, the OU is Testou.dc
This is the domain component of your domain. In this example, example.dc
This is an additional domain component. In this example, com.
You must manually add ad_access_filter to your /etc/sssd/sssd.conf. After you do this, your sssd.conf mightlook like this:
domains = example.comconfig_file_version = 2 services = nss, pam
[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
In order for the configuration to take affect you need to restart the sssd service:
$ sudo systemctl restart sssd.service
Alternatively, you could use:
$ sudo service sssd start
Cómo conectarse a la instancia
When a user connects to the instance using an SSH client, they are prompted for their username. Theuser can enter the username in either the [email protected] or EXAMPLE\username format. Theresponse will appear similar to the following:
login as: [email protected]@example.com's password:Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
Delegación de privilegios de unión a directorios para Simple ADPara unir un equipo al directorio, necesita una cuenta con privilegios para unir equipos al directorio.
Con Simple AD, los miembros del grupo Domain Admins (Administradores del dominio) tienen privilegiossuficientes para unir equipos al directorio.
Version 1.0167
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
No obstante, la práctica recomendada es que use una cuenta que tenga solo los privilegios mínimosnecesarios. En el procedimiento siguiente se explica cómo crear un nuevo grupo denominado Joiners ycómo delegar en este grupo los privilegios necesarios para unir equipos al directorio.
Debe llevar a cabo este procedimiento en un equipo que esté unido al directorio y que tenga instalado elcomplemento de MMC Usuarios y equipos de Active Directory. Además, es necesario la sesión se iniciecomo administrador del dominio.
Para delegar privilegios de unión para Simple AD
1. Abra Usuarios y equipos de Active Directory y seleccione la raíz del dominio en el árbol denavegación.
2. En el árbol de navegación de la izquierda, abra el menú contextual (clic con el botón derecho) paraUsuarios, seleccione Nuevo y, a continuación, elija Grupo.
3. En el cuadro Nuevo objeto - Grupo, escriba lo siguiente y haga clic en Aceptar.
• En Group Name (Nombre de grupo), escriba Joiners.• En Ámbito de grupo, escriba Global.• En Tipo de grupo, seleccione Seguridad.
4. En el árbol de navegación de , seleccione la raíz del dominio. En el menú Acción, elija Delegar control.5. En la página Asistente para delegación de control, elija Siguiente y después seleccione Agregar.6. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, escriba Joiners y haga clic en
Aceptar. Si se encuentran varios objetos, seleccione el grupo Joiners que creó anteriormente.Seleccione Siguiente.
7. En la página Tareas que se delegarán, seleccione Crear una tarea personalizada para delegar y luegoelija Siguiente.
8. Seleccione Sólo los siguientes objetos en la carpeta y, a continuación, seleccione Objetos de equipo.9. Seleccione Crear los objetos seleccionados en esta carpeta y Eliminar los objetos seleccionados en
esta carpeta. A continuación, elija Next.
10. Seleccione Lectura y Escritura y luego elija Siguiente.
Version 1.0168
AWS Directory Service Guía de administraciónCómo unir una instancia EC2 al directorio
11. Compruebe la información en la página Finalización del Asistente para delegación de control yseleccione Finalizar.
12. Cree un usuario con una contraseña segura y añádalo al grupo Joiners. El usuario tendrá entoncesprivilegios suficientes para conectar AWS Directory Service al directorio.
Cree un conjunto de opciones de DHCPAWS recommends that you create a DHCP options set for your AWS Directory Service directory and assignthe DHCP options set to the VPC that your directory is in. This allows any instances in that VPC to point tothe specified domain and DNS servers to resolve their domain names.
For more information about DHCP options sets, see DHCP Options Sets in the Guía del usuario deAmazon VPC.
To create a DHCP options set for your directory
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Choose DHCP Options Sets in the navigation pane, and choose Create DHCP options set.3. In the Create DHCP options set dialog box, enter the following values for your directory:
Name tag
An optional tag for the options set.Domain name
The fully-qualified name of your directory, such as corp.example.com.Domain name servers
The IP addresses of your directory's DNS servers. These are the IP addresses of your AWS-provided directory. You can find these addresses by going to the AWS Directory Service consolenavigation pane, selecting Directories and then choosing the correct directory ID.
NTP servers
Leave this field blank.NetBIOS name servers
Leave this field blank.
Version 1.0169
AWS Directory Service Guía de administraciónMantenimiento de su directorio
NetBIOS node type
Leave this field blank.4. Choose Yes, Create. The new set of DHCP options appears in your list of DHCP options.5. Make a note of the ID of the new set of DHCP options (dopt-xxxxxxxx). You need it to associate the
new options set with your VPC.
To change the DHCP options set associated with a VPC
After you create a set of DHCP options, you can't modify them. If you want your VPC to use a different setof DHCP options, you must create a new set and associate them with your VPC. You can also set up yourVPC to use no DHCP options at all.
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Choose Your VPCs in the navigation pane.3. Select the VPC, and choose Edit DHCP Options Set from the Actions list.4. In the DHCP Options Set list, select the desired options set from the list, and choose Save.
Mantenimiento de su directorio Simple ADEn esta sección se describe cómo realizar las tareas administrativas comunes para su entorno de SimpleAD.
Temas• Eliminar su directorio (p. 170)• Creación de una instantánea o restauración del directorio (p. 171)• Ver información del directorio (p. 172)
Eliminar su directorioWhen a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
Version 1.0170
AWS Directory Service Guía de administraciónMantenimiento de su directorio
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Guía de administraciónAmazon WorkDocs.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable Consola de administración de AWS access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in the Guíadel usuario de Amazon RDS.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
Creación de una instantánea o restauración del directorioAWS Directory Service provides the ability to take manual snapshots of data for a Simple AD or AWSDirectory Service for Microsoft Active Directory directory. These snapshots can be used to perform a point-in-time restore for your directory.
Note
You cannot take snapshots of AD Connector directories.
Temas• Creating a Snapshot of Your Directory (p. 84)• Restoring Your Directory from a Snapshot (p. 84)• Deleting a Snapshot (p. 85)
Creating a Snapshot of Your DirectoryA snapshot can be used to restore your directory to what it was at the point in time that the snapshot wastaken. To create a manual snapshot of your directory, perform the following steps.
Note
You are limited to 5 manual snapshots for each directory. If you have already reached this limit,you must delete one of your existing manual snapshots before you can create another.
Version 1.0171
AWS Directory Service Guía de administraciónMantenimiento de su directorio
To create a manual snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Create snapshot.5. In the Create directory snapshot dialog box, provide a name for the snapshot, if desired. When ready,
choose Create.
Depending on the size of your directory, it may take several minutes to create the snapshot. When thesnapshot is ready, the Status value changes to Completed.
Restoring Your Directory from a Snapshot
Restoring a directory from a snapshot is equivalent to moving the directory back in time.
Warning
We recommend that you contact the AWS Support Center before any snapshot restore; we maybe able to help you avoid the need to do a snapshot restore. Any restore from snapshot can resultin data loss as they are a point in time. It is important you understand that all of the DCs and DNSservers associated with the directory will be offline until the restore operation has been completed.
To restore your directory from a snapshot, perform the following steps.
To restore a directory from a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, select a snapshot in the list, choose Actions, and then select Restore
snapshot.5. Review the information in the Restore directory snapshot dialog box, and choose Restore.
For a Simple AD directory, it may take several minutes for the directory to be restored. For a AWSManaged Microsoft AD directory, it can take from two to three hours. When it has been successfullyrestored, the Status value of the directory changes to Active. Any changes made to the directory after thesnapshot date are overwritten.
Deleting a Snapshot
To delete a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Delete snapshot.5. Verify that you want to delete the snapshot, and then choose Delete.
Ver información del directorioYou can view detailed information about a directory.
Version 1.0172
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see Descripción de los estados del directorio (p. 31).
Cómo habilitar el acceso a los servicios y lasaplicaciones de AWSAWS Directory Service can give other AWS applications and services, such as Amazon WorkSpaces,access to your directory users. The following AWS applications and services can be enabled or disabled towork with AWS Directory Service:
Amazon WorkSpaces
You can create a Simple AD, AWS Managed Microsoft AD, or AD Connector directly from AmazonWorkSpaces. Simply launch Advanced Setup when creating your Workspace.
For more information, see the Amazon WorkSpaces Administration Guide.Amazon WorkSpaces Application Manager
For more information, see the Amazon WAM Administration Guide.Amazon WorkDocs
For more information, see the Guía de administración Amazon WorkDocs.Amazon WorkMail
For more information, see the Amazon WorkMail Administrator Guide.Amazon Relational Database Service
For more information, see the Guía del usuario de Amazon RDS.Consola de administración de AWS
For more information, see Cómo habilitar el acceso a la Consola de administración de AWS concredenciales de AD (p. 96).
Once enabled, you manage access to your directories in the console of the application or service that youwant to give access to your directory. To find the AWS applications and services links described above inthe AWS Directory Service console, perform the following steps.
To display the applications and services for a directory
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Review the list under the AWS apps & services section.
Temas• Creación de una URL de acceso (p. 174)
Version 1.0173
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
• Inicio de sesión único (p. 174)
Creación de una URL de accesoAn Access URL is used with AWS applications and services, such as Amazon WorkSpaces, to reach alogin page that is associated with your directory. The URL must be unique globally. You can create anaccess URL for your directory by performing the following steps.
Warning
After an access URL is created, it cannot be used by others. If you delete your directory, theaccess URL is also deleted and can then be used by any other account.
To create an access URL
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, if an access URL has not been assigned to the directory, the
Create button is displayed. Enter a directory alias and choose Create. If an Entity Already Exists erroris returned, the specified directory alias has already been allocated. Choose another alias and repeatthis procedure.
Your directory URL is changed to <alias>.awsapps.com.
Inicio de sesión únicoAWS Directory Service provides the ability to allow your users to access Amazon WorkDocs from acomputer joined to the directory without having to enter their credentials separately.
Before you enable single sign-on, you need to take additional steps to enable your users web browsers tosupport single sign-on. Users may need to modify their web browser settings to enable single sign-on.
Note
Single sign-on only works when used on a computer that is joined to the AWS Directory Servicedirectory. It cannot be used on computers that are not joined to the directory.
To enable or disable single sign-on with Amazon WorkDocs
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, choose Enable to enable single sign-on for Amazon WorkDocs.
If you do not see the Enable button, you may need to first create an Access URL before this option willbe displayed. For more information about how to create an access URL, see Creación de una URL deacceso (p. 89).
5. In the Enable Single Sign-On for this directory dialog box, choose Enable. Single sign-on is enabled forthe directory.
If the directory is an AD Connector directory and the AD Connector service account does not havepermission to add a service principal name, you are prompted for the username and password for a
Version 1.0174
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
directory user that has this permission. These credentials are only used to enable single sign-on andare not stored by the service. The AD Connector service account is not changed.
6. If you later want to disable single sign-on with Amazon WorkDocs, choose Disable, and then in theDisable Single Sign-On for this directory dialog box, choose Disable again.
If the directory is an AD Connector directory and the AD Connector service account does not havepermission to remove a service principal name, you are prompted for the username and password fora directory user that has this permission. These credentials are only used to disable single sign-on andare not stored by the service. The AD Connector service account is not changed.
Temas• Single Sign-On for IE and Chrome (p. 91)• Single Sign-On for Firefox (p. 95)
Single Sign-On for IE and Chrome
To allow Microsoft Internet Explorer (IE) and Google Chrome browsers to support single sign-on, thefollowing tasks must be performed on the client computer:
• Add your access URL (e.g., https://<alias>.awsapps.com) to the list of approved sites for single sign-on.
• Enable active scripting (JavaScript).• Allow automatic logon.• Enable integrated authentication.
You or your users can perform these tasks manually, or you can change these settings using Group Policysettings.
Temas• Manual Update for Single Sign-On on Windows (p. 91)• Manual Update for Single Sign-On on OS X (p. 93)• Group Policy Settings for Single Sign-On (p. 93)
Manual Update for Single Sign-On on Windows
To manually enable single sign-on on a Windows computer, perform the following steps on the clientcomputer. Some of these settings may already be set correctly.
To manually enable single sign-on for Internet Explorer and Chrome on Windows
1. To open the Internet Properties dialog box, choose the Start menu, type Internet Options in thesearch box, and choose Internet Options.
2. Add your access URL to the list of approved sites for single sign-on by performing the following steps:
a. In the Internet Properties dialog box, select the Security tab.b. Select Local intranet and choose Sites.c. In the Local intranet dialog box, choose Advanced.d. Add your access URL to the list of websites and choose Close.e. In the Local intranet dialog box, choose OK.
3. To enable active scripting, perform the following steps:
Version 1.0175
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
a. In the Security tab of the Internet Properties dialog box, choose Custom level.b. In the Security Settings - Local Intranet Zone dialog box, scroll down to Scripting and select
Enable under Active scripting.
c. In the Security Settings - Local Intranet Zone dialog box, choose OK.4. To enable automatic logon, perform the following steps:
a. In the Security tab of the Internet Properties dialog box, choose Custom level.b. In the Security Settings - Local Intranet Zone dialog box, scroll down to User Authentication and
select Automatic logon only in Intranet zone under Logon.
c. In the Security Settings - Local Intranet Zone dialog box, choose OK.d. In the Security Settings - Local Intranet Zone dialog box, choose OK.
5. To enable integrated authentication, perform the following steps:
a. In the Internet Properties dialog box, select the Advanced tab.
Version 1.0176
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
b. Scroll down to Security and select Enable Integrated Windows Authentication.
c. In the Internet Properties dialog box, choose OK.6. Close and re-open your browser to have these changes take effect.
Manual Update for Single Sign-On on OS X
To manually enable single sign-on for Chrome on OS X, perform the following steps on the client computer.You will need administrator rights on your computer to complete these steps.
To manually enable single sign-on for Chrome on OS X
1. Add your access URL to the AuthServerWhitelist policy by running the following command:
defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"
2. Open System Preferences, go to the Profiles panel, and delete the Chrome KerberosConfiguration profile.
3. Restart Chrome and open chrome://policy in Chrome to confirm that the new settings are in place.
Group Policy Settings for Single Sign-On
The domain administrator can implement Group Policy settings to make the single sign-on changes onclient computers that are joined to the domain.
Note
If you manage the Chrome web browsers on the computers in your domain with Chrome policies,you must add your access URL to the AuthServerWhitelist policy. For more information aboutsetting Chrome policies, go to Policy Settings in Chrome.
To enable single sign-on for Internet Explorer and Chrome using Group Policy settings
1. Create a new Group Policy object by performing the following steps:
Version 1.0177
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
a. Open the Group Policy Management tool, navigate to your domain and select Group PolicyObjects.
b. From the main menu, choose Action and select New.c. In the New GPO dialog box, enter a descriptive name for the Group Policy object, such as SSO
Policy, and leave Source Starter GPO set to (none). Click OK.2. Add the access URL to the list of approved sites for single sign-on by performing the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to User Configuration > Preferences > Windows Settings.c. In the Windows Settings list, open the context (right-click) menu for Registry and choose New
registry item.d. In the New Registry Properties dialog box, enter the following settings and choose OK:
Action
Update
Hive
HKEY_CURRENT_USER
Path
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>
The value for <alias> is derived from your access URL. If your access URL is https://examplecorp.awsapps.com, the alias is examplecorp, and the registry key will beSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.
Value name
https
Value type
REG_DWORD
Value data
1
3. To enable active scripting, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to Computer Configuration > Policies > Administrative Templates >Windows Components > Internet Explorer > Internet Control Panel > Security Page > IntranetZone.
c. In the Intranet Zone list, open the context (right-click) menu for Allow active scripting and chooseEdit.
d. In the Allow active scripting dialog box, enter the following settings and choose OK:
• Select the Enabled radio button.• Under Options set Allow active scripting to Enable.
4. To enable automatic logon, perform the following steps:Version 1.0
178
AWS Directory Service Guía de administraciónCómo habilitar el acceso a los
servicios y las aplicaciones de AWS
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to Computer Configuration > Policies > Administrative Templates >Windows Components > Internet Explorer > Internet Control Panel > Security Page > IntranetZone.
c. In the Intranet Zone list, open the context (right-click) menu for Logon options and choose Edit.d. In the Logon options dialog box, enter the following settings and choose OK:
• Select the Enabled radio button.• Under Options set Logon options to Automatic logon only in Intranet zone.
5. To enable integrated authentication, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to User Configuration > Preferences > Windows Settings.c. In the Windows Settings list, open the context (right-click) menu for Registry and choose New
registry item.d. In the New Registry Properties dialog box, enter the following settings and choose OK:
Action
Update
Hive
HKEY_CURRENT_USER
Path
Software\Microsoft\Windows\CurrentVersion\Internet Settings
Value name
EnableNegotiate
Value type
REG_DWORD
Value data
1
6. Close the Group Policy Management Editor window if it is still open.7. Assign the new policy to your domain by following these steps:
a. In the Group Policy Management tree, open the context (right-click) menu for your domain andchoose Link an Existing GPO.
b. In the Group Policy Objects list, select your SSO policy and choose OK.
These changes will take effect after the next Group Policy update on the client, or the next time the userlogs in.
Single Sign-On for FirefoxTo allow Mozilla Firefox browser to support single sign-on, add your access URL (e.g.,https://<alias>.awsapps.com) to the list of approved sites for single sign-on. This can be done manually,or automated with a script.
Temas
Version 1.0179
AWS Directory Service Guía de administraciónCómo habilitar el acceso a la
Consola de administración de AWS
• Manual Update for Single Sign-On (p. 96)• Automatic Update for Single Sign-On (p. 96)
Manual Update for Single Sign-On
To manually add your access URL to the list of approved sites in Firefox, perform the following steps on theclient computer.
To manually add your access URL to the list of approved sites in Firefox
1. Open Firefox and open the about:config page.2. Open the network.negotiate-auth.trusted-uris preference and add your access URL to the
list of sites. Use a comma (,) to separate multiple entries.
Automatic Update for Single Sign-On
As a domain administrator, you can use a script to add your access URL to the Firefoxnetwork.negotiate-auth.trusted-uris user preference on all computers on your network. Formore information, go to https://support.mozilla.org/en-US/questions/939037.
Cómo habilitar el acceso a la Consola deadministración de AWS con credenciales de ADAWS Directory Service allows you to grant members of your directory access to the Consola deadministración de AWS. By default, your directory members do not have access to any AWS resources.
Version 1.0180
AWS Directory Service Guía de administraciónCómo habilitar el acceso a la
Consola de administración de AWS
You assign IAM roles to your directory members to give them access to the various AWS services andresources. The IAM role defines the services, resources, and level of access that your directory membershave.
Before you can grant console access to your directory members, your directory must have an access URL.For more information about how to view directory details and get your access URL, see Ver información deldirectorio (p. 85). For more information about how to create an access URL, see Creación de una URL deacceso (p. 89).
For more information about how to create and assign IAM roles to your directory members, see Otorgaracceso a los recursos de AWS a usuarios y grupos (p. 85).
Temas• Enable Consola de administración de AWS Access (p. 97)• Disable Consola de administración de AWS Access (p. 97)• Set Login Session Length (p. 98)
Related AWS Security Blog Article
• How to Access the Consola de administración de AWS Using AWS Managed Microsoft AD and Your On-Premises Credentials
Enable Consola de administración de AWS AccessBy default, console access is not enabled for any directory. To enable console access for your directoryusers and groups, perform the following steps:
To enable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the AWS apps & services section, choose Consola de administración de AWS.5. In the Enable AWS Management Console dialog box, choose Enable Access. Console access is now
enabled for your directory.6. Before users can sign-in to the console with your access URL, you must add a New Role and add
only those users who you want to have access. For more information about assigning users to IAMroles, see Creación de una función nueva (p. 86) or Asignación de usuarios o grupos a una funciónexistente (p. 87).
After the IAM roles have been assigned, users can then access the console using your access URL.For example, if your directory access URL is example-corp.awsapps.com, the URL to access theconsole is https://example-corp.awsapps.com/console/.
Note
Access for users in nested groups within your directory are not supported. Members of the parentgroup have console access, but members of child groups do not.
Disable Consola de administración de AWS AccessTo disable console access for your directory users and groups, perform the following steps:
Version 1.0181
AWS Directory Service Guía de administraciónTutorial: Creación de un directorio de Simple AD
To disable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose Consola de administración de AWS.5. If any IAM roles have been assigned to users or groups in the directory, the Disable Access button
in the Manage access to AWS Resources dialog box is unavailable. In this case, you must chooseContinue and remove all IAM role assignments for the directory before proceeding, includingassignments for users or groups in your directory that have been deleted, which will show as DeletedUser or Deleted Group.
After all IAM role assignments have been removed, repeat the steps above. When the Manage accessto AWS Resources dialog box is displayed, choose Disable Access.
Set Login Session LengthBy default, users have 1 hour to use their session after successfully signing in to the console before theyare logged out. After that, users must sign in again to start the next 1 hour session before being logged offagain. You can use the following procedure to change the length of time to up to 12 hours per session.
To set login session length
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose AWS Management Console.5. In the Manage Access to AWS Resource dialog box, choose Continue.6. In the Assign users and groups to IAM roles page, under Set login session length, edit the numbered
value, and then choose Save.
Tutorial: Creación de un directorio de Simple ADEn el siguiente tutorial, se detallan los pasos que debe seguir para configurar un directorio de de . Lafinalidad de este tutorial es ayudarle a comenzar a trabajar con AWS Directory Service de forma rápida ysencilla, pero no es adecuado para un entorno de producción a gran escala.
Temas• Requisitos previos (p. 182)• Paso 1: Crear y configurar la VPC (p. 183)• Paso 2: crear su directorio de Simple AD (p. 184)
Requisitos previosEste tutorial se basa en los siguientes supuestos:
• Dispone de una cuenta activa de AWS.• Su cuenta no ha alcanzado el límite de VPC de la región en la que piensa utilizar AWS Directory Service.
Para obtener más información acerca de Amazon VPC, consulte ¿Qué es Amazon VPC? y Subredes dela VPC en la Guía del usuario de Amazon VPC.
Version 1.0182
AWS Directory Service Guía de administraciónPaso 1: Crear y configurar la VPC
• No tiene ninguna VPC existente en la región cuyo CIDR sea 10.0.0.0/16.
Paso 1: Crear y configurar la VPCEn las secciones siguientes se detalla cómo se crea y se configura una VPC para utilizarla con AWSDirectory Service.
Temas• Crear una nueva VPC (p. 183)• Añadir una segunda subred (p. 184)
Crear una nueva VPCEste tutorial utiliza uno de los asistentes de creación de VPC para crear lo siguiente:
• La VPC• Una de las subredes• Una gateway de Internet
Para crear la VPC con el asistente de VPC
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, haga clic en VPC Dashboard. Si aún no tiene ningún recurso de VPC,
busque el área Your Virtual Private Cloud del panel y haga clic en Get started creating a VPC. De locontrario, haga clic en Start VPC Wizard.
3. Seleccione la segunda opción, VPC with a Single Public Subnet y, a continuación, haga clic en Select.4. Introduzca la siguiente información en el asistente y haga clic en Create VPC.
IP CIDR block
10.0.0.0/16
VPC name
ADS VPC
Public subnet
10.0.0.0/24
Zona de disponibilidad
No PreferenceNombre de la subred
ADS Subnet 1
Enable DNS hostnames
Deje la opción predeterminadaHardware tenancy
Valor predeterminado5. La creación de la VPC puede tardar varios minutos. Una vez creada la VPC, prosiga con la siguiente
sección para añadir una segunda subred.Version 1.0183
AWS Directory Service Guía de administraciónPaso 2: crear su directorio de Simple AD
Añadir una segunda subredAWS Directory Service requiere dos subredes en su VPC, cada una de las cuales debe estar en unazona de disponibilidad diferente. Como el asistente de VPC solo crea una subred, tendrá que crearmanualmente la segunda y especificar una zona de disponibilidad distinta de la que tiene la primerasubred. Cree la segunda subred siguiendo estos pasos:
Para crear una subred
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, seleccione Subnets, seleccione la subred denominada ADS Subnet 1
y seleccione la pestaña Summary que encontrará en la parte inferior de la página. Anote la zona dedisponibilidad de esta subred.
3. Seleccione Create Subnet e introduzca la siguiente información en el cuadro de diálogo CreateSubnet. Después, seleccione Yes, Create.
Name tag
ADS Subnet 2
VPC
Seleccione la VPC. Esta es la VPC con el nombre ADS VPC.Zona de disponibilidad
Seleccione una zona de disponibilidad diferente a la especificada en el paso 2. Las dos subredesutilizadas por AWS Directory Service deben residir en zonas de disponibilidad diferentes.
CIDR Block
10.0.1.0/24
Paso 2: crear su directorio de Simple ADTo create a new directory, perform the following steps. Before starting this procedure, make sure you havecompleted the prerequisites identified in Requisitos previos de Simple AD (p. 149).
To create a Simple AD directory
1. In the AWS Directory Service console navigation pane, choose Directories and then choose Set updirectory.
2. On the Select directory type page, choose Simple AD, and then choose Next.3. On the Enter directory information page, provide the following information:
Directory size
Choose from either the Small or Large size option. For more information about sizes, see SimpleActive Directory (p. 148).
Organization name
A unique organization name for your directory that will be used to register client devices.
This field is only available if you are creating your directory as part of launching AmazonWorkSpaces.
Directory DNS name
The fully qualified name for the directory, such as corp.example.com.
Version 1.0184
AWS Directory Service Guía de administraciónPrácticas recomendadas
Directory NetBIOS name
The short name for the directory, such as CORP.Administrator password
The password for the directory administrator. The directory creation process creates anadministrator account with the user name Administrator and this password.
The directory administrator password is case-sensitive and must be between 8 and 64 charactersin length, inclusive. It must also contain at least one character from three of the following fourcategories:• Lowercase letters (a-z)• Uppercase letters (A-Z)• Numbers (0-9)• Non-alphanumeric characters (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirm password
Retype the administrator password.Directory description
An optional description for the directory.4. On the Choose VPC and subnets page, provide the following information, and then choose Next.
VPC
The VPC for the directory.Subnets
Choose the subnets for the domain controllers. The two subnets must be in different AvailabilityZones.
5. On the Review & create page, review the directory information and make any necessary changes.When the information is correct, choose Create directory. It takes several minutes for the directory tobe created. Once created, the Status value changes to Active.
Prácticas recomendadas para Simple ADA continuación se indican algunas sugerencias y directrices que hay que tener en cuenta para evitarproblemas y sacar el máximo provecho de AWS Managed Microsoft AD.
Configuración: requisitos previosPlantéese estas directrices antes de crear el directorio.
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
Version 1.0185
AWS Directory Service Guía de administraciónConfiguración: creación del directorio
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
For a more detailed comparison of AWS Directory Service options, see ¿Cuál debe elegir? (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs that thedirectories are associated with. See either Requisitos previos de AWS Managed Microsoft AD (p. 10),Requisitos previos de AD Connector (p. 126), or Requisitos previos de Simple AD (p. 149) for informationabout the VPC security and networking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access to yourinstance as described in Unir una instancia EC2 al directorio de AWS Managed Microsoft AD (p. 42).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregate sizeof your objects are the only limitations on the number of objects you may store in your directory. See eitherLímites de AWS Managed Microsoft AD (p. 104), Límites de AD Connector (p. 145), or Límites de SimpleAD (p. 186) for details about your chosen directory.
Utilice AWS Managed Microsoft AD si se precisan relaciones deconfianzaSimple AD no admite relaciones de confianza. Si necesita establecer una relación de confianza entre sudirectorio de AWS Directory Service y otro directorio, debe utilizar AWS Directory Service for MicrosoftActive Directory.
Configuración: creación del directorioA continuación se indican algunas sugerencias que debe tener en cuenta en el momento de crear sudirectorio.
Recuerde su ID de administrador y su contraseñaCuando se configura el directorio, se proporciona la contraseña de la cuenta de administrador. El ID deesa cuenta es Administrator para Simple AD. Recuerde la contraseña que cree para esta cuenta; de locontrario, no podrá añadir objetos a su directorio.
Límites de Simple ADPor lo general, no debe añadir más de 5 000 usuarios a un directorio de Simple AD. Si tiene más de 5 000usuarios, plantéese mejor utilizar AWS Directory Service for Microsoft Active Directory.
Los siguientes son los límites predeterminados para Simple AD. A menos que se indique lo contrario, cadalímite corresponde a una región.
Version 1.0186
AWS Directory Service Guía de administraciónIncrease Your Limit
Límites de Simple AD
Recurso Límite predeterminado
Directorios de Simple AD 10
Instantáneas manuales * 5 por Simple AD
* El límite de instantáneas manuales no se puede cambiar.
Increase Your LimitPerform the following steps to increase your limit for a region.
To request a limit increase for a region
1. Go to the AWS Support Center page, sign in, if necessary, and click Open a new case.2. Under Regarding, select Service Limit Increase.3. Under Limit Type, select AWS Directory Service.4. Fill in all of the necessary fields in the form and click the button at the bottom of the page for your
desired method of contact.
Política de compatibilidad de las aplicaciones paraSimple AD
Simple AD es una implementación de Samba que proporciona muchas de las características básicas deActive Directory. Debido a la enorme cantidad de aplicaciones personalizadas y disponibles en el mercadoque utilizan Active Directory, AWS no realiza y no puede realizar una verificación formal ni amplia de lacompatibilidad de las aplicaciones de terceros con Simple AD. Aunque AWS trabaja con los clientes paraintentar superar cualquier posible desafío que puedan encontrar durante la instalación de las aplicaciones,no podemos garantizar que ninguna aplicación sea ni continúe siendo compatible con Simple AD.
Las siguientes aplicaciones de terceros son compatibles con Simple AD:
• Microsoft Internet Information Services (IIS) en las siguientes plataformas:• Windows Server 2003 R2• Windows Server 2008 R1• Windows Server 2008 R2• Windows Server 2012• Windows Server 2012 R2
• Microsoft SQL Server:• SQL Server 2005 R2 (ediciones Express, Web y Standard)• SQL Server 2008 R2 (ediciones Express, Web y Standard)• SQL Server 2012 (ediciones Express, Web y Standard)• SQL Server 2014 (ediciones Express, Web y Standard)
• Microsoft SharePoint:• SharePoint 2010 Foundation• SharePoint 2010 Enterprise
Version 1.0187
AWS Directory Service Guía de administraciónSolución de problemas
• SharePoint 2013 Enterprise
Los clientes pueden optar por utilizar AWS Directory Service for Microsoft Active Directory (AWS ManagedMicrosoft AD (p. 9)) para conseguir un nivel de compatibilidad más alto basado en el uso de un servidor deActive Directory auténtico.
Solución de problemas de Simple ADLa siguiente información puede ayudarle a solucionar algunos problemas comunes que podría encontrar ala hora de crear o utilizar el directorio.
Temas• No puedo actualizar el nombre de DNS o la dirección IP de una instancia unida a mi dominio
(actualización dinámica de DNS) (p. 188)• No puedo iniciar sesión en SQL Server con una cuenta de SQL Server (p. 188)• Mi directorio se bloquea en el estado "Solicitado" (p. 188)• He recibido un error "AZ Constrained" a la hora de crear un directorio (p. 189)• Algunos de mis usuarios no pueden autenticarse con mi directorio (p. 189)• Motivos de los estados del directorio de Simple AD (p. 189)
No puedo actualizar el nombre de DNS o la direcciónIP de una instancia unida a mi dominio (actualizacióndinámica de DNS)Las actualizaciones dinámicas de DNS no se admiten en dominios de Simple AD. En lugar de ello, puederealizar los cambios directamente en su directorio utilizando el Administrador de DNS en una instancia queesté unida al dominio.
No puedo iniciar sesión en SQL Server con unacuenta de SQL ServerPodría recibir un mensaje de error si intenta utilizar SQL Server Management Studio (SSMS) con unacuenta de SQL Server para iniciar sesión en SQL Server que se ejecuta sobre una instancia EC2 deWindows 2012 R2 o en Amazon RDS. El problema se produce cuando SSMS se ejecuta como dominiode usuario y puede dar lugar al error "Error de inicio de sesión para el usuario", incluso aunque se hayanfacilitado credenciales válidas. Se trata de un problema conocido y AWS está intentando solucionarlo loantes posible.
Para solucionar el problema, puede iniciar sesión en SQL Server con la autenticación de Windows en lugarde la autenticación de SQL. O lanzar SSMS como un usuario local en lugar de un usuario de dominio deSimple AD.
Mi directorio se bloquea en el estado "Solicitado"Si tiene un directorio que haya estado en estado "Solicitado" durante más de cinco minutos, pruebe aeliminar el directorio y vuelva a crearlo. Si este problema sigue sin resolverse, póngase en contacto conAWS Support Center.
Version 1.0188
AWS Directory Service Guía de administraciónHe recibido un error "AZ Constrained"
a la hora de crear un directorio
He recibido un error "AZ Constrained" a la hora decrear un directorioAlgunas cuentas de AWS creadas antes de 2012 podrían tener acceso a zonas de disponibilidad en laregión US East (N. Virginia), EE.UU. Oeste (Norte de California) o Asia Pacífico (Tokio) que no admitendirectorios de AWS Directory Service. Si recibe un error como este al crear un directorio, seleccione unasubred en una zona de disponibilidad diferente e intente crear el directorio de nuevo.
Algunos de mis usuarios no pueden autenticarse conmi directorioSus cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Esta es laconfiguración predeterminada para nuevas cuentas de usuario y no debe modificarse. Para obtener másinformación acerca de esta configuración, consulte Preauthentication en Microsoft TechNet.
El tema siguiente puede ayudarle a solucionar algunos problemas comunes que podría encontrar a la horade crear o utilizar el directorio.
Temas• Motivos de los estados del directorio de Simple AD (p. 189)
Motivos de los estados del directorio de Simple ADSi un directorio se ha deteriorado o ha dejado de funcionar, el mensaje de estado del directorio contendráinformación adicional. El mensaje de estado se muestra en la consola de AWS Directory Service, o lodevuelve en el miembro DirectoryDescription.StageReason la API DescribeDirectories.Para obtener más información sobre el estado del directorio, consulte Descripción de los estados deldirectorio (p. 31).
Estos son los mensajes de estado de un directorio de Simple AD:
Temas• The directory service's elastic network interface is not attached (p. 189)• Issue(s) detected by instance (p. 190)• El usuario reservado crítico de AWS Directory Service no se encuentra en el directorio (p. 190)• El usuario reservado crítico de AWS Directory Service debe pertenecer al grupo de administradores de
dominio de AD (p. 190)• El usuario reservado crítico de AWS Directory Service está deshabilitado (p. 191)• El controlador de dominio principal no tiene todas las funciones FSMO (p. 191)• Errores de replicación del controlador de dominio (p. 191)
The directory service's elastic network interface is not attachedDescription
The critical elastic network interface (ENI) that was created on your behalf during directory creationto establish network connectivity with your VPC is not attached to the directory instance. AWSapplications backed by this directory will not be functional. Your directory cannot connect to your on-premises network.
Version 1.0189
AWS Directory Service Guía de administraciónMotivos de los estados del directorio
Troubleshooting
If the ENI is detached but still exists, contact AWS Support. If the ENI is deleted, there is no way toresolve the issue and your directory is permanently unusable. You must delete the directory and createa new one.
Issue(s) detected by instanceDescription
An internal error was detected by the instance. This usually signifies that the monitoring service isactively attempting to recover the impaired instances.
Troubleshooting
In most cases, this is a transient issue, and the directory eventually returns to the Active state. If theproblem persists, contact AWS Support for more assistance.
El usuario reservado crítico de AWS Directory Service no seencuentra en el directorioDescripción
Cuando se crea un directorio de Simple AD, AWS Directory Service crea una cuenta de servicioen el directorio con el nombre AWSAdminD-xxxxxxxxx. Este error se genera cuando no se puedeencontrar esta cuenta de servicio. Sin esta cuenta, AWS Directory Service no puede realizar funcionesadministrativas en el directorio, dejándolo inservible.
Solución de problemas
Para solucionar este problema, restaure el directorio a una snapshot anterior que se haya creadoantes de que se eliminara la cuenta de servicio. Se toman instantáneas automáticas de su directoriode Simple AD una vez al día. Si han pasado más de cinco días después de que se eliminó estacuenta, es posible que no pueda restaurar el directorio a un estado en el que exista esta cuenta. Sino puede restablecer el directorio a partir de una snapshot en la que exista esta cuenta, su directoriopuede quedar permanentemente inservible. En este caso, debe eliminar su directorio y crear unonuevo.
El usuario reservado crítico de AWS Directory Service debepertenecer al grupo de administradores de dominio de ADDescripción
Cuando se crea un directorio de Simple AD, AWS Directory Service crea una cuenta de servicioen el directorio con el nombre AWSAdminD-xxxxxxxxx. Este error se genera cuando esta cuentade servicio no es miembro del grupo Domain Admins. Es necesaria la pertenencia a este grupopara conceder a AWS Directory Service los privilegios que necesita para realizar operaciones demantenimiento y recuperación, por ejemplo, transferir funciones FSMO, unir al dominio nuevoscontroladores de directorio y restaurar a partir de instantáneas.
Solución de problemas
Utilice la herramienta Usuarios y equipos de Active Directory para volver a añadir la cuenta de servicioal grupo Domain Admins.
Version 1.0190
AWS Directory Service Guía de administraciónMotivos de los estados del directorio
El usuario reservado crítico de AWS Directory Service estádeshabilitadoDescripción
Cuando se crea un directorio de Simple AD, AWS Directory Service crea una cuenta de servicio enel directorio con el nombre AWSAdminD-xxxxxxxxx. Este error se genera cuando esta cuenta deservicio está deshabilitada. Esta cuenta debe estar habilitada para que AWS Directory Service puedarealizar operaciones de recuperación y mantenimiento en el directorio.
Solución de problemas
Utilice la herramienta Usuarios y equipos de Active Directory para volver a habilitar la cuenta deservicio.
El controlador de dominio principal no tiene todas las funcionesFSMODescripción
El controlador de directorio de Simple AD no posee todas las funciones FSMO. AWS DirectoryService no puede garantizar determinado comportamiento y funcionalidad si las funciones FSMO nopertenecen al controlador de directorio de Simple AD correcto.
Solución de problemas
Utilice las herramientas de Active Directory para volver a trasladar las funciones FSMO al directorio detrabajo original. Para obtener más información sobre el traslado de las funciones FSMO, visite https://support.microsoft.com/en-us/kb/324801. Si esto no resuelve el problema, contacte con AWS Supportpara obtener más ayuda.
Errores de replicación del controlador de dominioDescripción
Los controladores de directorio de Simple AD no se pueden replicar entre sí. Esto puede deberse auno o varios de los siguientes problemas:• Los grupos de seguridad de los controladores de directorio no tienen abiertos los puertos correctos.• Las ACL de red son demasiado restrictivas.• La tabla de ruteo de VPC no enruta correctamente el tráfico de red entre los controladores de
directorio.• Se ha promovido otra instancia a un controlador de dominio del directorio.
Solución de problemas
Para obtener más información acerca de los requisitos de red de VPC, consulte AWS ManagedMicrosoft AD Requisitos previos de AWS Managed Microsoft AD (p. 10), Requisitos previos deAD Connector (p. 126) de AD Connector o Requisitos previos de Simple AD (p. 149) de SimpleAD. Si existe un controlador de dominio desconocido en su directorio, debe bajarlo de nivel. Si laconfiguración de su red de VPC es correcta, pero el error persiste, contacte con AWS Support paraobtener más ayuda.
Version 1.0191
AWS Directory Service Guía de administraciónAutenticación
Autenticación y control de acceso deIAM para AWS Directory Service
El acceso a AWS Directory Service requiere credenciales que AWS puede utilizar para autenticar lassolicitudes. Estas credenciales deben tener permisos de acceso a los recursos de AWS, como un directoriode AWS Directory Service. En las secciones siguientes, se incluye información detallada acerca del usode AWS Identity and Access Management (IAM) y AWS Directory Service para ayudar a proteger susrecursos controlando quién puede obtener acceso a ellos:
• Autenticación (p. 192)• Control de acceso (p. 193)
AutenticaciónPuede tener acceso a AWS como cualquiera de los siguientes tipos de identidades:
• Usuario de la cuenta raíz de AWS – Cuando crea por primera vez una cuenta de AWS, comienzaúnicamente por una identidad de inicio de sesión único que tiene acceso completo a todos los serviciosy recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWSy se obtiene acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña queutilizó para crear la cuenta. Le recomendamos que no utilice el usuario raíz en sus tareas cotidianas,ni siquiera en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendadade utilizar el usuario raíz exclusivamente para crear el primer usuario de IAM. A continuación, guardelas credenciales del usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas deadministración de cuentas y servicios.
• Usuario de IAM: un usuario de IAM es una identidad dentro de su cuenta de AWS que tiene permisospersonalizados específicos (por ejemplo, permisos para crear a directory in AWS Directory Service).Puede utilizar un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas webseguras de AWS, como la de Consola de administración de AWS, los foros de discusión de AWS o elAWS Support Center.
Además de un nombre de usuario y una contraseña, también puede generar claves de acceso paracada usuario. Puede utilizar estas claves cuando obtenga acceso a los servicios de AWS medianteprogramación, ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface(CLI). El SDK y las herramientas de CLI usan claves de acceso para firmar criptográficamente susolicitud. Si no utiliza las herramientas de AWS, debe firmar usted mismo la solicitud. AWS DirectoryService supports Signature Version 4, un protocolo para autenticar solicitudes de API de entrada. Paraobtener más información sobre las solicitudes de autenticación, consulte Signature Version 4 SigningProcess en la AWS General Reference.
• Rol de IAM: Un rol de IAM es una identidad de IAM que se puede crear en la cuenta y que tiene
permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una determinada persona.Un rol de IAM le permite obtener claves de acceso temporal que se pueden utilizar para tener accesoa los servicios y recursos de AWS. Los roles de IAM con credenciales temporales son útiles en lassiguientes situaciones:
Version 1.0192
AWS Directory Service Guía de administraciónControl de acceso
• Acceso de usuario federado: En lugar de crear un usuario de IAM, puede utilizar identidades de
usuario existentes de AWS Directory Service, del directorio de usuarios de su compañía o de unproveedor de identidades web. Esto se conoce como usuarios federados. AWS asigna un rol a unusuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener másinformación acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.
• Acceso al servicio de AWS: puede utilizar un rol de IAM en su cuenta para conceder permisos a un
servicio de AWS de forma que pueda tener acceso a los recursos de su cuenta. Por ejemplo, puedecrear un rol que permita a Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombrey, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtenermás información, consulte Creating a Role to Delegate Permissions to an AWS Service en la Guía delusuario de IAM.
• Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM para administrar
credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizansolicitudes de API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en lainstancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición de todas lasaplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene el rol ypermite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Paraobtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones quese ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Control de accesoAunque tenga credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crearrecursos de AWS Directory Service ni obtener acceso a ellos. Por ejemplo, debe disponer de permisospara crear un directorio de AWS Directory Service o para crear una instantánea de directorio.
En las secciones siguientes, se describe cómo administrar los permisos de AWS Directory Service. Lerecomendamos que lea primero la información general.
• Información general sobre la administración de los permisos de acceso a los recursos de AWS DirectoryService (p. 193)
• Uso de políticas basadas en identidad (políticas de IAM) para AWS Directory Service (p. 197)• Permisos de la API de AWS Directory Service: información acerca de las acciones, los recursos y las
condiciones (p. 201)
Información general sobre la administración delos permisos de acceso a los recursos de AWSDirectory Service
Cada recurso de AWS pertenece a una cuenta de AWS, y los permisos para crear u obtener acceso a losrecursos se rigen por las políticas de permisos. Los administradores de cuentas pueden asociar políticasde permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios (como AWSLambda) también permiten asociar políticas de permisos con los recursos.
Version 1.0193
AWS Directory Service Guía de administraciónRecursos y operaciones de AWS Directory Service
Note
Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios deadministrador. Para obtener más información, consulte Prácticas recomendadas de IAM de laGuía del usuario de IAM.
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienenpermisos y qué acciones específicas desea permitir en esos recursos.
Temas• Recursos y operaciones de AWS Directory Service (p. 194)• Titularidad de los recursos (p. 194)• Administración del acceso a los recursos (p. 195)• Especificación de elementos de política: acciones, efectos, recursos y entidades principales (p. 196)• Especificación de las condiciones de una política (p. 197)
Recursos y operaciones de AWS Directory ServiceEn AWS Directory Service, el recurso principal es un directorio. AWS Directory Service también escompatible con los recursos de instantáneas de directorios. Sin embargo, puede crear instantáneassolamente en el contexto de un directorio existente. Por lo tanto, una instantánea se conoce comosubrecurso.
Estos recursos tienen nombres de recursos de Amazon (ARN) únicos asociados a ellos, tal y como semuestra en la siguiente tabla.
Tipo de recurso Formato de ARN
Directorio arn:aws:ds:region:account-id:directory/external-directory-id
Instantánea arn:aws:ds:region:account-id:snapshot/external-snapshot-id
AWS Directory Service proporciona un conjunto de operaciones para trabajar con los recursos apropiados.Para ver la lista de operaciones disponibles, consulte las acciones de Directory Service.
Titularidad de los recursosEl propietario del recurso es la cuenta de AWS que ha creado un recurso. Es decir, el propietario delos recursos es la cuenta de AWS de la entidad principal (cuenta raíz, usuario de IAM o rol de IAM) queautentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:
• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de AWS DirectoryService, como un directorio, su cuenta de AWS será la propietaria de dicho recurso.
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear recursos de AWSDirectory Service, el usuario también podrá crear recursos de AWS Directory Service. Sin embargo, sucuenta de AWS, a la que pertenece el usuario, será la propietaria de los recursos de
• Si crea una función de IAM en su cuenta de AWS con permisos para crear recursos de AWS DirectoryService, cualquier persona que pueda asumir esa función podrá crear recursos de AWS DirectoryService. Su cuenta de AWS, a la que pertenece la función, será la propietaria de los recursos de AWSDirectory Service.
Version 1.0194
AWS Directory Service Guía de administraciónAdministración del acceso a los recursos
Administración del acceso a los recursosUna política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican lasopciones disponibles para crear políticas de permisos.
Note
En esta sección, se explica cómo se utiliza IAM en el contexto de AWS Directory Service. No seproporciona información detallada sobre el servicio IAM. Para ver toda la documentación de IAM,consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de lasintaxis y descripciones de las políticas de IAM, consulte Referencia de políticas de AWS IAM enla Guía del usuario de IAM.
Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas deIAM), mientras que las políticas asociadas a un recurso se denominan políticas basadas en recursos. AWSDirectory Service solo admite políticas basadas en identidad (políticas de IAM).
Temas• Políticas basadas en identidad (políticas de IAM) (p. 195)• Políticas basadas en recursos (p. 196)
Políticas basadas en identidad (políticas de IAM)Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
• Asociar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuentapuede utilizar una política de permisos asociada a un usuario determinado para concederle permisospara crear un recurso de , como un nuevo directorio.
• Asociar una política de permisos a un rol (conceder permisos entre cuentas): puede asociar una políticade permisos basada en identidad a un rol de para conceder permisos entre cuentas. Por ejemplo, eladministrador de la Cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta deAWS (por ejemplo, a la Cuenta B) o a un servicio de AWS como se indica a continuación:1. El administrador de la Cuenta A crea un rol de IAM y asocia una política de permisos a dicho rol, que
concede permisos sobre los recursos de la Cuenta A.2. El administrador de la Cuenta A asocia una política de confianza al rol que identifica la Cuenta B
como la entidad principal que puede asumir el rol.3. A continuación, el administrador de la Cuenta B puede delegar permisos para asumir el rol a cualquier
usuario de la Cuenta B. De este modo, los usuarios de la Cuenta B podrán crear recursos y obteneracceso a ellos en la Cuenta A. La entidad principal de la política de confianza también puede ser laentidad principal de un servicio de AWS si desea conceder permisos para asumir el rol a un serviciode AWS.
Si desea obtener más información acerca del uso de IAM para delegar permisos, consulteAdministración de accesos en la Guía del usuario de IAM.
La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones queempiezan por Describe. Estas acciones muestran información acerca de un recurso de AWS DirectoryService, como un directorio o una instantánea. Tenga en cuenta que el carácter comodín (*) del elementoResource indica que las acciones están permitidas en todos los recursos de AWS Directory Service queson propiedad de la cuenta.
{ "Version":"2012-10-17",
Version 1.0195
AWS Directory Service Guía de administraciónEspecificación de elementos de política: acciones,
efectos, recursos y entidades principales
"Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ]}
Para obtener más información acerca del uso de políticas basadas en identidad con AWS DirectoryService, consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS DirectoryService (p. 197). Para obtener más información acerca de los usuarios, grupos, funciones y permisos,consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.
Políticas basadas en recursosOtros servicios, como Amazon S3, admiten también políticas de permisos basadas en recursos. Porejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dichobucket. AWS Directory Service no admite políticas basadas en recursos.
Especificación de elementos de política: acciones,efectos, recursos y entidades principalesPara cada recurso de AWS Directory Service (consulte Recursos y operaciones de AWS DirectoryService (p. 194)), el servicio define un conjunto de operaciones de API. Para ver la lista de operacionesde API disponibles, consulte las acciones de Directory Service. Para conceder permisos a estasoperaciones de API, AWS Directory Service define un conjunto de las acciones que se pueden especificaren una política. Tenga en cuenta que la realización de una operación de la API puede requerir permisospara más de una acción.
A continuación, se indican los elementos básicos de la política:
• Recurso: las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso al quese aplican. Para los recursos de AWS Directory Service, use siempre el carácter comodín (*) en laspolíticas de IAM. Para obtener más información, consulte Recursos y operaciones de AWS DirectoryService (p. 194).
• Acción: use palabras de clave de acción para identificar las operaciones del recurso que desea permitiro denegar. Por ejemplo, con el permiso ds:DescribeDirectories, los usuarios pueden realizar laoperación de .
• Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica, que puedeser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso sedeniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarsede que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
• Principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia estapolítica es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar elusuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticasbasadas en recursos). AWS Directory Service no admite políticas basadas en recursos.
Para obtener más información acerca de la sintaxis y descripciones de las políticas de IAM, consulteReferencia de políticas de AWS IAM en la Guía del usuario de IAM.
Para ver una tabla con todas las acciones de la API de AWS Directory Service y los recursos a los que seaplican, consulte Permisos de la API de AWS Directory Service: información acerca de las acciones, losrecursos y las condiciones (p. 201).
Version 1.0196
AWS Directory Service Guía de administraciónEspecificación de las condiciones de una política
Especificación de las condiciones de una políticaAl conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condicionesen las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una políticadespués de una fecha específica. Para obtener más información acerca de cómo especificar condicionesen un lenguaje de política, consulte Condición en la Guía del usuario de IAM.
Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condiciónespecíficas para AWS Directory Service. No obstante, existen claves de condición que se aplican a todoAWS que puede utilizar cuando corresponda. Para ver una lista completa de claves de AWS, consulteClaves de condición globales disponibles en la Guía del usuario de IAM.
Uso de políticas basadas en identidad (políticas deIAM) para AWS Directory Service
Este tema contiene ejemplos de políticas basadas en identidades, donde los administradores de cuentaspueden asociar políticas de permisos a identidades de IAM (es decir, a usuarios, grupos y funciones).
Important
Le recomendamos que consulte primero los temas de introducción en los que se explican losconceptos básicos y las opciones disponibles para administrar el acceso a los recursos deAWS Directory Service. Para obtener más información, consulte Información general sobre laadministración de los permisos de acceso a los recursos de AWS Directory Service (p. 193).
En las secciones de este tema se explica lo siguiente:
• Permisos necesarios para usar la consola de AWS Directory Service (p. 198)• Políticas administradas (predefinidas) por AWS para AWS Directory Service (p. 199)• Ejemplos de políticas administradas por el cliente (p. 199)
A continuación se muestra un ejemplo de una política de permisos.
{ "Version" : "2012-10-17", "Statement" : [ { "Action" : [ "ds:CreateDirectory" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy" ], "Effect" : "Allow", "Resource" : "*" },
Version 1.0197
AWS Directory Service Guía de administraciónPermisos necesarios para usar laconsola de AWS Directory Service
{ "Action" : [ "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress" ], "Effect" : "Allow", "Resource" : "*" } ]}
La política incluye lo siguiente:
• La primera instrucción otorga permiso para crear un directorio de AWS Directory Service. AWS DirectoryService no admite los permisos de esta acción concreta en el nivel de recursos. Por lo tanto, la políticaespecifica un comodín (*) como valor de Resource .
• La segunda instrucción concede permisos para determinadas acciones de IAM. El acceso a las accionesde IAM es necesario para que AWS Directory Service pueda leer y crear roles de IAM en su nombre.El carácter comodín (*) que aparece al final del valor Resource significa que la declaración concedepermiso para la acción de IAM en cualquier rol de IAM. Para limitar este permiso a un rol específico,sustituya el carácter comodín (*) en el ARN del recurso por el nombre de rol específico. Para obtenermás información, consulte la sección Acciones de IAM.
• La tercera instrucción concede permisos para un conjunto específico de recursos de Amazon EC2necesarios para permitir que AWS Directory Service cree, configure y destruya sus directorios. Elcarácter comodín (*) al final del valor Resource significa que la instrucción concede permiso paralas acciones de EC2 en cualquier recurso o subrecurso de EC2. Para limitar este permiso a unrol específico, sustituya el carácter comodín (*) en el ARN del recurso por el recurso o subrecursoespecífico. Para obtener más información, consulte la sección Acciones de EC2.
La política no especifica el elemento Principal, ya que en una política basada en la identidad no seespecifica el elemento principal que obtiene el permiso. Al asociar una política a un usuario, el usuarioes la entidad principal implícita. Cuando se asocia una política de permisos a un rol de IAM, la entidadprincipal identificada en la política de confianza del rol obtiene los permisos.
Para ver una tabla con todas las acciones de la API de AWS Directory Service y los recursos a los que seaplican, consulte Permisos de la API de AWS Directory Service: información acerca de las acciones, losrecursos y las condiciones (p. 201).
Permisos necesarios para usar la consola de AWSDirectory ServicePara que un usuario trabaje con la consola de AWS Directory Service, dicho usuario debe tener permisosenumerados en la política anterior o los permisos concedidos por la función Acceso completo a DirectoryService o Acceso de solo lectura a Directory Service, que se describen en Políticas administradas(predefinidas) por AWS para AWS Directory Service (p. 199).
Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola nofuncionará del modo esperado para los usuarios con esa política de IAM.
Version 1.0198
AWS Directory Service Guía de administraciónPolíticas administradas (predefinidas)por AWS para AWS Directory Service
Políticas administradas (predefinidas) por AWS paraAWS Directory ServiceAWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadasy administradas por AWS. Las políticas administradas por AWS conceden los permisos necesarios paracasos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para obtenermás información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Las siguientes políticas administradas por AWS, que puede asociar a los usuarios de su cuenta, sonespecíficas de AWS Directory Service:
• AWSDirectoryServiceReadOnlyAccess: concede a un usuario o grupo acceso de solo lectura a todos losrecursos de , subredes de EC2, interfaces de red de EC2 y temas de AWS SNS y suscripciones para lacuenta raíz de AWS. Para obtener más información, consulte Uso de políticas administradas de AWScon AWS Directory Service (p. 88).
• AWSDirectoryServiceFullAccess: concede a un usuario o grupo lo siguiente:• Acceso completo a AWS Directory Service• Acceso a los servicios clave de Amazon EC2 necesarios para utilizar AWS Directory Service• Capacidad de enumerar temas de Amazon Simple Notification Service• Capacidad de crear, gestionar y eliminar los temas de Amazon Simple Notification Service con un
nombre que comience por "DirectoryMonitoring"
Para obtener más información, consulte Uso de políticas administradas de AWS con AWS DirectoryService (p. 88).
Además, hay otras políticas gestionadas por AWS que son adecuadas para su uso con otros rolesde IAM. Estas políticas se asignan a las funciones asociadas a los usuarios en su directorio de AWSDirectory Service y son necesarias para que los usuarios tengan acceso a otros recursos de AWS, comoAmazon EC2. Para obtener más información, consulte Otorgar acceso a los recursos de AWS a usuarios ygrupos (p. 85).
También puede crear políticas de IAM personalizadas que permitan a los usuarios acceder a las accionesy recursos de la API necesarios. Puede asociar estas políticas personalizadas a los usuarios o grupos deIAM que requieran esos permisos.
Ejemplos de políticas administradas por el clienteEn esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversasacciones de AWS Directory Service.
Note
Todos los ejemplos utilizan la región EE. UU. Oeste (Oregón) (us-west-2) y contienenidentificadores de cuenta ficticios.
Ejemplos• Ejemplo 1: permitir que un usuario realice cualquier acción Describe con cualquier recurso de AWS
Directory Service (p. 200)• Ejemplo 2: permitir a un usuario crear un directorio (p. 200)
Version 1.0199
AWS Directory Service Guía de administraciónEjemplos de políticas administradas por el cliente
Ejemplo 1: permitir que un usuario realice cualquier acciónDescribe con cualquier recurso de AWS Directory ServiceLa siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones queempiezan por Describe. Estas acciones muestran información acerca de un recurso de AWS DirectoryService, como un directorio o una instantánea. Tenga en cuenta que el carácter comodín (*) del elementoResource indica que las acciones están permitidas en todos los recursos de AWS Directory Service queson propiedad de la cuenta.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ]}
Ejemplo 2: permitir a un usuario crear un directorioLa siguiente política de permisos otorga permisos para permitir a un usuario crear un directorio y todoslos demás recursos relacionados, como tales instantáneas y confianzas. Para ello, también se requierenpermisos para determinados servicios de Amazon EC2.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "ds:Create*", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource":"*" ] } ]}
Version 1.0200
AWS Directory Service Guía de administraciónReferencia de permisos de la API de AWS Directory Service
Permisos de la API de AWS Directory Service:información acerca de las acciones, los recursos ylas condiciones
A la hora de configurar Control de acceso (p. 193) y escribir políticas de permisos que pueda asociar auna identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente tabla como referencia. Laincluye cada operación de API de AWS Directory Service, las acciones correspondientes a las que puedeconceder permisos para realizar la acción y el recurso de AWS al que puede conceder los permisos. Lasacciones se especifican en el campo Action de la política y el valor del recurso se especifica en el campoResource de la política.
Puede utilizar claves de condiciones generales de AWS en sus políticas de AWS Directory Service paraexpresar condiciones. Para ver una lista completa de las claves de AWS, consulte Claves de condiciónglobales disponibles en la Guía del usuario de IAM.
Note
Para especificar una acción, use el prefijo ds: seguido del nombre de operación de la API (porejemplo, ds:CreateDirectory).
Temas relacionados• Control de acceso (p. 193)
Version 1.0201
AWS Directory Service Guía de administración
Historial de revisiónEn la siguiente tabla se describen los cambios importantes realizados desde la última publicación de laGuía del administrador de AWS Directory Service.
• Última actualización de la documentación: 25 de septiembre de 2018
update-history-change update-history-description update-history-date
Uso compartido de directorio Se añadió documentación parauso compartido de directorios conAWS Managed Microsoft AD.
September 25, 2018
Contenido migrado ala nueva Guía paradesarrolladores de AmazonCloud Directory (p. 202)
El contenido de AmazonCloud Directory incluidoanteriormente en esta guía seha trasladado a la nueva Guíapara desarrolladores de AmazonCloud Directory.
June 21, 2018
Renovación completadel índice de la guía deladministrador (p. 202)
Se ha reorganizado el contenidopara que se ajuste mejor a lasnecesidades de los clientes yse ha añadido contenido nuevocuando ha sido necesario.
April 5, 2018
Grupos delegados deAWS (p. 202)
Se ha añadido la lista de gruposdelegados de AWS que sepueden asignar a los usuarioslocales.
March 8, 2018
Políticas de contraseñasdetalladas (p. 202)
Se ha añadido nuevo contenidode políticas de contraseña.
July 5, 2017
Controladores de dominioadicionales (p. 202)
Se ha añadido información paraañadir más controladores dedominio a su AWS ManagedMicrosoft AD.
June 30, 2017
Tutoriales (p. 202) Se han añadido nuevos tutorialespara probar un entorno delaboratorio de AWS ManagedMicrosoft AD.
June 21, 2017
MFA con AWS ManagedMicrosoft AD (p. 202)
Se ha añadido documentaciónpara usar MFA con AWSManaged Microsoft AD.
February 13, 2017
Amazon CloudDirectory (p. 202)
Se presentó un nuevo tipo dedirectorio.
January 26, 2017
Reorganización principal dela Guía del administrador deDirectory Service (p. 202)
Se reorganizó el contenido paradirigirlo mejor a las necesidadesde los clientes.
November 14, 2016
Version 1.0202
AWS Directory Service Guía de administración
Ampliaciones deesquemas (p. 202)
Se añadió documentación sobreampliaciones de esquemascon AWS Directory Service forMicrosoft Active Directory.
November 14, 2016
Notificaciones de SNS (p. 202) Se añadió documentación sobrelas notificaciones de SNS.
February 25, 2016
Autorización yautenticación (p. 202)
Se añadió documentaciónadicional para usar IAM conDirectory Services.
February 25, 2016
AWS Managed MicrosoftAD (p. 202)
Se añadió documentación paraAWS Managed Microsoft AD y secombinaron varias guías en unasola.
November 17, 2015
Posibilidad de unir instancias deLinux a un directorio de SimpleAD (p. 202)
Se añadió documentación paraunir una instancia de Linux a undirectorio de Simple AD.
July 23, 2015
División de la guía (p. 202) La Guía de administración deAWS Directory Service se dividióen guías independientes: la Guíade Simple AD y la Guía de ADConnector.
July 14, 2015
Compatibilidad con inicio desesión único (p. 202)
Se añadió documentación acercadel inicio de sesión único.
March 31, 2015
Nueva guía (p. 202) Esta es la primera versiónde la AWS Directory ServiceAdministration Guide.
October 21, 2014
Version 1.0203