Services en AWS Active Directory Domain · Amazon's trademarks and trade dress may not be used in...

Active Directory DomainServices en AWS

Guía de implementación dereferencia de inicio rápido

Active Directory Domain Services en AWS Guíade implementación de referencia de inicio rápido

Active Directory Domain Services en AWS: Guía de implementación dereferencia de inicio rápidoCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.


Table of ContentsHome ................................................................................................................................................ 1

Acerca de los inicios rápidos ........................................................................................................ 2Información general ............................................................................................................................ 3

AD DS en AWS ......................................................................................................................... 3Costo y licencias ........................................................................................................................ 3Servicios de AWS ....................................................................................................................... 3

Arquitectura y escenarios de implementación .......................................................................................... 5Escenario 1: Administración de su propia instalación de AD DS ......................................................... 5Escenario 2: Migración de su instalación de AD DS local .................................................................. 7Escenario 3: Implementación de AD DS con AWS Directory Service ................................................... 9

Consideraciones sobre el diseño ......................................................................................................... 11Configuración de VPC ............................................................................................................... 11Tráfico de entrada del grupo de seguridad ................................................................................... 12Configuración de acceso administrativo seguro ............................................................................. 12Diseño de AD .......................................................................................................................... 13

Topología del sitio ............................................................................................................. 13Active Directory Domain Services de alta disponibilidad .......................................................... 14Controladores de dominio de solo lectura y grabables ............................................................ 15DNS y DHCP de Active Directory ........................................................................................ 15Configuración de DNS en las instancias de Windows Server ................................................... 16

Pasos de implementación .................................................................................................................. 18Paso 1. Prepare la cuenta ......................................................................................................... 18Paso 2. Lance el inicio rápido ..................................................................................................... 21Paso 3. Tareas posteriores a la implementación para el escenario 2 ................................................. 32

Conexión de la red local a la VPC ...................................................................................... 32Implementación de controladores de dominio adicionales ........................................................ 35Configuración de Sitios y servicios de AD ............................................................................. 37Configuración de la resolución de DNS ................................................................................ 16

Solución de problemas ...................................................................................................................... 38Seguridad ........................................................................................................................................ 40Recursos adicionales ......................................................................................................................... 43Comentarios ..................................................................................................................................... 44Revisiones del documento ................................................................................................................. 45

.............................................................................................................................................. 46

iii


Active Directory Domain Serviceson the AWS Cloud: Quick StartReference Deployment

Guía de implementación

Santiago Cardenas

Arquitecto de soluciones del equipo de referencia de inicio rápido de AWS

Marzo de 2014 (última actualización (p. 45): julio de 2017)

Esta guía de implementación de referencia de inicio rápido incluye diversas consideraciones acerca dela arquitectura y los pasos de configuración necesarios para implementar un entorno Active DirectoryDomain Services (AD DS) de alta disponibilidad en la nube de Amazon Web Services (AWS). Tambiénse proporcionan enlaces para ver y lanzar las plantillas de AWS CloudFormation que automatizan laimplementación.

La guía se ha diseñado para los administradores y arquitectos de infraestructura de TI que deseen diseñare implementar una solución para lanzar AD DS en la nube de AWS, o bien migrar sus instancias localesAD DS a la nube de AWS.

Los siguientes enlaces se incluyen para su referencia. Antes de lanzar este inicio rápido, consulte laarquitectura, la configuración, la seguridad de red y otras consideraciones descritas en esta guía.

• Si tiene una cuenta de AWS y ya está familiarizado con AD DS y AWS, puede lanzar el inicio rápidopara implementar una nueva instalación de AD DS en una nueva VPC de AWS. La implementacióntarda en completarse alrededor de una hora. Para migrar sus instancias locales AD DS a la nube deAWS, implementar AD DS con AWS Directory Service o AD DS en una infraestructura de VPC existente,consulte la sección Pasos de implementación (p. 18).

• Si desea echar un vistazo más detallado, puede examinar la plantilla para ver el script AWS

CloudFormation que automatiza una nueva implementación de AD DS. Puede personalizar la plantilladurante el lanzamiento, o descargarla y ampliarla para otros proyectos.

1

https://aws.amazon.com/cloudformation/

https://console.aws.amazon.com/cloudformation/home?region=us-east-2#/stacks/new?stackName=AD-DS-Scenario-1&templateURL=https://s3.amazonaws.com/quickstart-reference/microsoft/activedirectory/latest/templates/ad-master-1.template

https://console.aws.amazon.com/cloudformation/home?region=us-east-2#cstack=sn%7EAD-DS-Scenario-1%7Cturl%7Ehttps://s3.amazonaws.com/quickstart-reference/microsoft/activedirectory/latest/templates/ad-master-1.template

https://s3.amazonaws.com/quickstart-reference/microsoft/activedirectory/latest/templates/ad-master-1.template



Acerca de los inicios rápidos

Note

Usted es responsable de los costos relacionados con el uso de los servicios de AWS usadosmientras ejecuta esta implementación de referencia de inicio rápido. No se aplica ningún cargoadicional por el uso de el inicio rápido. Para obtener una estimación de los costos, consulte laspáginas de precios de cada servicio de AWS que va a utilizar en este inicio rápido.

Acerca de los inicios rápidosLos inicios rápidos son implementaciones de referencia automatizadas para cargas de trabajo claveen la nube de AWS. Cada inicio rápido lanza, configura y ejecuta los servicios de computación, red yalmacenamiento de AWS y otros servicios necesarios para implementar una carga de trabajo específica enAWS usando las prácticas de seguridad de AWS en materia de seguridad y disponibilidad.

2

https://aws.amazon.com/quickstart/


AD DS en AWS

Información generalAD DS en AWS

Amazon Web Services (AWS) proporciona un conjunto completo de servicios y herramientas paraimplementar cargas de trabajo basadas en Microsoft Windows en una infraestructura en la nubesegura y de confianza. Active Directory Domain Services (AD DS) y el nombre del servidor de nombresde dominio (DNS) son servicios principales de Windows que proporcionan las bases para muchassoluciones empresariales basadas en Microsoft, como Microsoft SharePoint, Microsoft Exchange, y lasaplicaciones .NET.

Este inicio rápido se ha diseñado para organizaciones con cargas de trabajo en la nube de AWS querequieren una conectividad segura y de baja latencia a los servicios AD DS y DNS. Después de leeresta guía, el personal de la infraestructura de TI debería entender bien cómo diseñar e implementar unasolución para lanzar AD DS en la nube de AWS, o bien migrar sus instancias locales AD DS a la nube deAWS.

En este inicio rápido se da por hecho que ya está familiarizado con Active Directory y DNS. Para obtenermás información, consulte la documentación de productos de Microsoft.

Esta guía se centra en los temas de la configuración de la infraestructura que requieren una atenciónespecial cuando vaya a planear e implementar AD DS, instancias de controladores de dominio yservicios DNS en la nube de AWS. No se explican tareas generales de instalación de Windows Servery configuración del software. Para obtener instrucciones generales y prácticas recomendadas sobre laconfiguración del software, consulte la documentación del producto de Microsoft.

Costo y licenciasUsted es responsable de los costos de los servicios de AWS usados mientras ejecuta esta implementaciónde referencia de inicio rápido. No se aplica ningún cargo adicional por el uso de el inicio rápido. Paraobtener una estimación de los costos, consulte las páginas de precios de cada servicio de AWS que va autilizar en este inicio rápido.

Este inicio rápido lanza la imagen de máquina de Amazon (AMI) de Microsoft Windows Server 2012 R2 eincluye la licencia para el sistema operativo Windows Server. La AMI se actualiza periódicamente con elúltimo Service Pack del sistema operativo, por lo que no tiene que instalar ninguna actualización. La AMIde Windows Server no requiere licencias de acceso de cliente (CAL) e incluye dos licencias de Serviciosde Escritorio remoto de Microsoft. Para obtener más información, consulte Licencias de Microsoft en AWS.

Servicios de AWSLos componentes básicos de AWS utilizados en este inicio rápido incluyen los siguientes servicios deAWS. Si no está familiarizado con AWS, consulte la sección Primeros pasos de la documentación de AWS.

• Amazon VPC: el servicio Amazon Virtual Private Cloud (Amazon VPC) le permite aprovisionar unasección aislada privada de la nube de AWS, donde puede lanzar servicios de AWS y otros recursos en lared virtual que defina. Puede controlar todos los aspectos del entorno de red virtual, incluida la selecciónde su propio rango de direcciones IP, la creación de subredes y la configuración de tablas de ruteo ypuertas de enlace de red.

3

https://aws.amazon.com/windows/resources/licensing/

https://aws.amazon.com/getting-started/

https://aws.amazon.com/documentation/vpc/


Servicios de AWS

• Amazon EC2: el servicio Amazon Elastic Compute Cloud (Amazon EC2) le permite lanzar instancias demáquina virtual con una serie de sistemas operativos. Puede elegir alguna de las imágenes de máquinade Amazon (AMI) existentes o importar sus propias imágenes de máquina virtual.

• Gateway NAT: las gateways NAT son dispositivos de traducción de direcciones de red (NAT) queproporcionan acceso de salida a Internet a las instancias de las subredes privadas, pero impiden queInternet tenga acceso a esas instancias. Las gateways NAT proporcionan una mayor disponibilidad yancho de banda que las instancias NAT. El servicio NAT Gateway es un servicio administrado que seencarga de administrar las gateways NAT por usted.

• AWS Direct Connect: el servicio AWS Direct Connect permite establecer una conexión privada entreAWS y su centro de datos local. Con esta conexión, puede crear interfaces virtuales para establecer unaconectividad privada a varias VPC omitiendo los proveedores de Internet de su ruta de acceso a la red.

• AWS Directory Service: AWS Directory Service facilita la tarea de configurar y utilizar un nuevo directorioen la nube de AWS. Este inicio rápido es compatible con AWS Directory Service para Microsoft ActiveDirectory (Enterprise Edition), que proporciona la mayoría de las características que ofrece MicrosoftActive Directory, además de integración con las aplicaciones de AWS.

4

https://aws.amazon.com/documentation/ec2/

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html

https://aws.amazon.com/documentation/direct-connect/

https://aws.amazon.com/documentation/directory-service/


Escenario 1: Administración desu propia instalación de AD DS

Arquitectura y escenarios deimplementación

Este inicio rápido incluye plantillas de AWS CloudFormation independientes para admitir los siguientes tresescenarios de implementación. Para cada escenario, también tiene la opción de crear una nueva VPC outilizar su infraestructura de VPC existente. Elija el escenario que mejor se adapte a sus necesidades.

• Escenario 1: Implementación y administración su propia instalación de AD DS en la nube de AWS.La plantilla de AWS CloudFormation para este escenario crea la infraestructura de la nube de AWS, yconfigura AD DS y AD-DNS integrado en la nube de AWS. No se incluye AWS Directory Service, por loque tendrá que administrar usted mismo todas las tareas de monitorización y mantenimiento de AD DS.También puede elegir implementar el inicio rápido en su infraestructura de VPC existente.

• Escenario 2: Migración de su instancia AD DS local a la nube de AWS. La plantilla de AWSCloudFormation para este escenario crea la base de la infraestructura de la nube de AWS para ADDS, y tendrá que realizar varios pasos manuales para migrar la red existente a AWS y promover suscontroladores de dominio. Al igual que en el escenario 1, administrará todas las tareas de AD DS.También puede elegir implementar el inicio rápido en su infraestructura de VPC existente.

• Escenario 3: Implementación de AD DS con AWS Directory Service en la nube de AWS. La plantillade AWS CloudFormation para este escenario crea la base de la infraestructura de la nube de AWSe implementa AWS Directory Service para Microsoft AD, que ofrece la funcionalidad de AD DSadministrada en la nube de AWS. AWS Directory Service se encarga de tareas de AD DS como lacreación de una topología de directorios de alta disponibilidad, la monitorización de los controladoresde dominio, y la configuración de los backup y las instantáneas. Al igual que con los dos primerosescenarios, puede elegir implementar el inicio rápido en una VPC existente de la infraestructura.

En las secciones siguientes se explica la arquitectura de inicio rápido de cada escenario y laautomatización de la plantilla de inicio rápido.

Escenario 1: Implementación y administración supropia instalación de AD DS en AWS

Este escenario se basa en una nueva instalación de AD DS en la nube de AWS sin AWS Directory Service.Las plantillas de AWS CloudFormation que automatizan esta implementación realizan las siguientes tareaspara configurar la arquitectura que se ilustra en la figura 1:

• Configuran la VPC, incluidas las subredes privadas y públicas de dos zonas de disponibilidad.*• Configuran dos gateways NAT de las subredes públicas.*• Configuran rutas privadas y públicas.*• Habilitan el tráfico de entrada en la VPC para el acceso administrativo a Puerta de enlace de Escritorio

remoto.*• Lanzan imágenes de máquina de Amazon (AMI) Windows Server 2012 R2, y configura AD DS y DNS

integrado con AD.• Configuran grupos de seguridad y reglas para el tráfico entre instancias.• Configuran sitios y subredes de Active Directory.

* La plantilla que implementa el inicio rápido en una VPC existente omite las tareas marcadas conasteriscos.

5


Escenario 1: Administración desu propia instalación de AD DS

Figura 1: Arquitectura de inicio rápido para la instancia AD DS de alta disponibilidad en AWS

En esta arquitectura:

6


Escenario 2: Migración de su instalación de AD DS local

• Los controladores de dominio se implementan en dos subredes privadas de VPC de zonas dedisponibilidad independientes, con lo que se logra alta disponibilidad en AD DS.

• Las gateways NAT se implementan en subredes públicas, lo que proporciona acceso a Internet de salidaa las instancias de subredes privadas.

• Las gateways de Escritorio remoto se implementan en un grupo de Auto Scaling de las subredespúblicas para garantizar el acceso remoto a instancias de subredes privadas.

Windows Server 2012 R2 se utiliza para las instancias de los controladores de dominio y la gateway deEscritorio remoto. La plantilla de AWS CloudFormation arranca cada instancia, lo que implementa loscomponentes necesarios, finaliza la configuración para crear un nuevo bosque de AD y promueve lasinstancias de dos zonas de disponibilidad a los controladores de dominio de Active Directory.

Para implementar este stack, siga las instrucciones paso a paso de la sección Pasos deimplementación (p. 18). Después de implementar este stack, puede continuar con la implementaciónde los servidores dependientes de AD DS en la VPC. La configuración de DNS de las nuevas instanciasestará lista a través del conjunto de opciones de DHCP actualizadas asociada a la VPC. Tambiénnecesitará asociar las nuevas instancias con el grupo de seguridad miembro de dominio creado comoparte de esta implementación.

Escenario 2: Migración de su instalación de AD DSlocal a la nube de AWS

Este escenario está destinado a los usuarios que desean utilizar sus instalaciones existentes de AD DSy migrar su red local a la VPC cuando no se plantean realizar una nueva implementación de AD DS. Lasplantillas de AWS CloudFormation que automatizan esta implementación llevan a cabo estas tareas:

• Configuran la Amazon VPC, incluidas las subredes privadas y públicas de dos zonas de disponibilidad.*• Configuran dos gateways NAT de las subredes públicas.*• Configuran rutas privadas y públicas.*• Habilitan el tráfico de entrada en la VPC para el acceso administrativo a Puerta de enlace de Escritorio

remoto.*• Lanzan las AMI Windows Server 2012 R2.• Configuran grupos de seguridad y reglas para el tráfico entre instancias.


La plantilla de AWS CloudFormation implementa la arquitectura que se muestra en la figura 2, excepto lagateway privada virtual y la conexión de VPN, que puede crear manualmente.

7


Escenario 2: Migración de su instalación de AD DS local

Figura 2: Arquitectura de inicio rápido para migrar su instalación de AD DS local a AWS

Este escenario ofrece un ejemplo de cómo utilizar una VPC y una gateway privada virtual para permitirla comunicación con su propia red a través de un túnel IPsec VPN. Active Directory se implementa

8


Escenario 3: Implementación deAD DS con AWS Directory Service

en el centro de datos del cliente, y los servidores Windows, en dos subredes de la VPC. Después deimplementar la conexión de VPN, puede promover las instancias de Windows a los controladores dedominio del bosque local de Active Directory, lo que dotará a su instalación de AD DS en la nube de AWSde una alta disponibilidad.

Después de implementar la conexión de VPN y promover sus servidores a los controladores de dominio,puede lanzar instancias adicionales en las subredes de la VPC vacías de las capas de web, aplicacióno base de datos. Estas instancias tendrán acceso a los controladores de dominio en la nube para utilizarel DNS y los servicios de directorio seguros y de baja latencia. Todo el tráfico de la red, incluida lacomunicación de AD DS, las solicitudes de autenticación y la replicación de Active Directory, se protegedentro de las subredes privadas o a través del túnel de VPN.

Escenario 3: Implementación de AD DS con AWSDirectory Service en la nube de AWS

Este escenario es similar al 1, salvo que incluye AWS Directory Service para provisionar y administrar ADDS en la nube de AWS. En vez de administrar por completo AD DS, confiará a AWS Directory Servicetareas como la creación de una topología de directorio de alta disponibilidad, la monitorización de loscontroladores de dominio, y la configuración de los backup y las instantáneas.

AWS Directory Service implementa AD DS en varias zonas de disponibilidad, y detecta y reemplazaautomáticamente los controladores de dominio que producen error. AWS Directory Service también seencarga de las tareas laboriosas, como la administración de parches, las actualizaciones de software,la replicación de datos, la realización de backup de snapshots, la monitorización de la replicación y lasrestauraciones a un momento dado. Para obtener más información acerca de AWS Directory Service,consulte los detalles del producto y la documentación de AWS.

Las plantillas de AWS CloudFormation que automatizan esta implementación llevan a cabo estas tareas:

• Configuran la VPC, incluidas las subredes privadas y públicas de dos zonas de disponibilidad.*• Configuran dos gateways NAT de las subredes públicas.*• Configuran rutas privadas y públicas.*• Habilitan el tráfico de entrada en la Amazon VPC para el acceso administrativo a Puerta de enlace de

Escritorio remoto.*• Configuran grupos de seguridad y reglas para el tráfico entre instancias.• Configuran AWS Directory Service para provisionar y administrar AD DS en las subredes privadas.


La arquitectura de este escenario se ilustra en la figura 3.

9

https://aws.amazon.com/directoryservice/



Escenario 3: Implementación deAD DS con AWS Directory Service

Figura 3: Arquitectura de inicio rápido para implementar AD DS con AWS Directory Service

10


Configuración de VPC

Consideraciones sobre el diseñoAplicar una implementación funcional del AD DS en la nube de AWS requiere comprender bien losservicios específicos de AWS. En esta sección se explican las consideraciones clave para las nuevasimplementaciones de AD DS y las ampliaciones de las implementaciones de AD DC existentes a la nubede AWS. Explicamos cómo utilizar Amazon VPC para definir sus redes en la nube y abarcar la ubicaciónde controlador de dominio, la configuración de sitios y servicios de Active Directory, y cómo funcionan DNSy DHCP en Amazon VPC.

Configuración de VPCCon Amazon VPC, puede definir una topología de red virtual que sea prácticamente idéntica a una redtradicional que tenga instaurada de forma local. Una VPC puede abarcar varias zonas de disponibilidad,lo que le permite colocar una infraestructura independiente situada en ubicaciones separadas físicamente.Un despliegue Multi-AZ proporciona un alto nivel de disponibilidad y tolerancia a errores. En los escenariosde esta guía, colocamos los controladores de dominio en dos zonas de disponibilidad para proporcionar unacceso de alta disponibilidad y baja latencia a los servicios de AD DS en la nube de AWS.

Cada situación se automatiza mediante dos plantillas: una que crea una nueva VPC para laimplementación, y la otra que se implementa en una VPC existente. Para dar cabida a AD DS de altadisponibilidad en la nube de AWS, el inicio rápido crea (o requiere, en el caso de la plantilla de VPCexistente) una configuración de Amazon VPC base que cumple con las siguientes prácticas recomendadasde AWS:

• Los controladores de dominio deben situarse en dos zonas de disponibilidad como mínimo para poderofrecer alta disponibilidad.

• Los controladores de dominio y otros servidores sin conexión a Internet deben emplazarse en subredesprivadas.

• Las instancias lanzadas por plantillas de implementación proporcionadas en esta guía necesitaránacceso a Internet para conectar con el punto de enlace de AWS CloudFormation durante el proceso dearranque. Para admitir esta configuración, se utilizan subredes públicas con el fin de hospedar gatewaysNAT para el acceso de salida a Internet. También se implementan gateways de escritorio remoto en lassubredes públicas para realizar la administración remota. Si es necesario, en estas subredes públicas sepueden instalar otros componentes, como los servidores proxy inversos.

Esta arquitectura de VPC utiliza dos zonas de disponibilidad diferentes, cada una con sus propiassubredes públicas y privadas. Le recomendamos que dejemos mucho espacio de direcciones no asignadopara respaldar el crecimiento de su entorno a lo largo del tiempo y para reducir la complejidad de diseñode la subred de VPC. Este inicio rápido utiliza una configuración de VPC predeterminada que proporcionamucho espacio de direcciones utilizando el número mínimo de subredes privadas y públicas. De formapredeterminada, este inicio rápido utiliza los siguientes rangos de CIDR.

VPC 10.0.0.0/16

Subredes privadas A 10.0.0.0/17

Zona de disponibilidad 1 10.0.0.0/19

11


Tráfico de entrada del grupo de seguridad

VPC 10.0.0.0/16


Subredes públicas 10.0.128.0/18



Además, el inicio rápido proporciona más capacidad para subredes adicionales, a fin de respaldar suentorno a medida que crezca o cambie con el tiempo. Si tiene cargas de trabajo sensibles que deberíanestá totalmente aisladas de Internet, puede crear nuevas subredes de VPC utilizando estos espacios dedirecciones opcionales. Para obtener información general y más detalles sobre este enfoque, consulteCreación de una arquitectura de red virtual escalable y modular con Amazon VPC.

Tráfico de entrada del grupo de seguridadCuando se lanzan las instancias Amazon EC2, estas deben estar asociadas con un grupo de seguridad,que actúa como un firewall con estado. Puede controlar totalmente el tráfico de red que entra o sale delgrupo de seguridad, y puede crear reglas detalladas por protocolo, número de puerto y dirección IP deorigen/destino u otros grupos de seguridad. De forma predeterminada, se permite todo el tráfico que salede un grupo de seguridad. Sin embargo, el tráfico de entrada debe configurarse para permitir que el tráficoadecuado llegue a sus instancias.

En el documento técnico Securing the Microsoft Platform on Amazon Web Services se explican losdistintos métodos para proteger la infraestructura de AWS. Entre las recomendaciones se incluyeproporcionar aislamiento entre las capas de aplicación mediante grupos de seguridad. Le recomendamosque controle minuciosamente el tráfico de entrada a fin de reducir la superficie de ataque de sus instanciasAmazon EC2.

Si va a implementar y administrar su propia instalación de AD DS, los controladores de dominio y losservidores de miembro requerirán de varias reglas de grupos de seguridad para permitir el tráfico a losservicios, como la replicación del AD DS, la autenticación del usuario, los servicios de Hora de Windows yel sistema de archivos distribuidos (DFS, Distributed File System), entre otros. También debe considerar laopción de restringir estas reglas a subredes IP específicas que se utilicen en su VPC.

Proporcionamos un ejemplo de cómo implementar estas reglas para cada capa de aplicaciones másadelante en esta guía como parte de la plantilla de AWS CloudFormation para cada situación. Para ver unalista detallada de asignaciones de puertos utilizadas por las plantillas de AWS CloudFormation, consulte lasección Seguridad (p. 40) de esta guía.

Para obtener una lista completa de puertos, consulte Active Directory and Active Directory DomainServices Port Requirements en la biblioteca de Microsoft TechNet. Para obtener instrucciones paso porpaso sobre la implementación de reglas, consulte Agregar reglas a un grupo de seguridad en la Guía delusuario de Amazon EC2.

Configuración del acceso administrativo seguromediante gateway de escritorio remoto

Cuando diseñe nuestra arquitectura para AD DS de alta disponibilidad, también debería diseñarla para elacceso remoto seguro y altamente disponible. Las plantillas de inicio rápido gestionan esto implementando

12

http://docs.aws.amazon.com/quickstart/latest/vpc/

https://d0.awsstatic.com/whitepapers/aws-microsoft-platform-security.pdf

http://technet.microsoft.com/library/dd772723(v=ws.10).aspx

http://technet.microsoft.com/library/dd772723(v=ws.10).aspx

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule


Diseño de AD

una gateway de escritorio remoto (RD) en cada zona de disponibilidad. En caso de que se produzca unainterrupción en una zona de disponibilidad, esta arquitectura permite el acceso a los recursos que hanproducido un error en la otra zona de disponibilidad.

La gateway de escritorio remoto utiliza el Protocolo de escritorio remoto (RDP) a través de HTTPS paraestablecer una conexión cifrada y segura entre los administradores remotos en Internet y las instanciasAmazon EC2 basadas en Windows, sin necesidad de una conexión de red privada virtual (VPN). Estaconfiguración ayuda a reducir la superficie de ataque en sus instancias Amazon EC2 basadas en Windowsy proporciona una solución de administración remota para los administradores.

Las plantillas de AWS CloudFormation proporcionadas con este inicio rápido implementanautomáticamente la arquitectura y la configuración descritas en el Inicio rápido de Puerta de enlace deEscritorio remoto.

Una vez lanzada su infraestructura de AD siguiendo los pasos de implementación de esta guía, seconectará inicialmente a sus instancias a través de una conexión RDP estándar mediante el puerto TCP3389. A continuación, puede seguir los pasos que se indican en el Inicio rápido de puerta de enlace deEscritorio remoto para proteger las conexiones futuras a través de HTTPS.

Diseño de Active DirectorySi está administrando su propia infraestructura AD DS(escenario 1 (p. 5) o escenario 2 (p. 7)), repase lassiguientes secciones para obtener consideraciones de diseño clave.

Topología del sitioLa topología del sitio Active Directory le permite definir de forma lógica las redes virtuales y físicas. Lareplicación de Active Directory envía los cambios de directorio de un controlador de dominio a otro, hastaque todos los controladores de dominio se han actualizado. La topología del sitio controla la replicación deActive Directory entre los controladores de dominio dentro del mismo sitio y a través de los límites del sitio.El tráfico de replicación entre sitios se comprime y se realiza la replicación según un calendario basadoen un enlace al sitio. Además, los controladores de dominio utilizan la topología del sitio para proporcionarafinidad del cliente, lo que significa que los clientes ubicados en un sitio específico preferirán controladoresde dominio del mismo sitio.

La topología de sitios es un aspecto de diseño crucial que debe tenerse en cuenta al ejecutar AD DS en lanube de AWS. Una topología de sitio bien diseñada le permite definir subredes que pueden asociarse conlas zonas de disponibilidad dentro de la VPC. Mediante estas asociaciones se ayuda a garantizar que eltráfico (como las consultas de servicio de directorio, la replicación de AD DS y la autenticación del cliente)use la ruta más eficaz hacia un controlador de dominio. También le ofrecen un control más detallado através de la replicación del tráfico.

En la figura 4 se muestra un ejemplo de definiciones de sitio y subred para una arquitectura de AD DStípica que se ejecuta dentro de una VPC. Los sitios de Active Directory (AZ1 y AZ2) se han creado en elcomplemento Active Directory Sites and Services. Se han definido y asociado subredes con sus objetos desitios respectivos.

13

http://docs.aws.amazon.com/quickstart/latest/rd-gateway/





Active Directory Domain Services de alta disponibilidad

Figura 4: Configuración de sitios y servicios de Active Directory

Al crear sitios de Active Directory que representen cada zona de disponibilidad en la VPC, las subredesasociadas a dichos sitios podrán ayudar a garantizar que las instancias unidas por dominios utilizaránprincipalmente el controlador de dominio más cercano a ellas. Esto también es una configuración dediseño clave para mantener una implementación de AD DS de alta disponibilidad.

Active Directory Domain Services de altadisponibilidadIncluso en las implementaciones AD DS más pequeñas, se recomienda la implementación de al menosdos controladores de dominio en su entorno en la nube de AWS. Este diseño proporciona tolerancia aerrores e impide que el error de un solo un controlador de dominio repercuta en la disponibilidad de la ADDS. A fin de incrementar la disponibilidad, le recomendamos que implemente controladores de dominio enal menos dos zonas de disponibilidad.

Para respaldar más la alta disponibilidad de su arquitectura y ayudar a mitigar el impacto de un posibledesastre, también recomendamos colocar servidores de catálogo globales y servidores DNS de ActiveDirectory en cada zona de disponibilidad. Los catálogos globales proporcionan un mecanismo para lasbúsquedas de todo el bosque y son necesarios para la autenticación de inicio de sesión en bosques convarios dominios. Si no dispone de un catálogo global y un servidor DNS en cada zona de disponibilidad, lasconsultas de AD DS y el tráfico de autenticación podrían cruzar las zonas de disponibilidad. Aunque estono se trata de un problema desde el punto de vista técnico durante el funcionamiento normal, un error enuna sola zona de disponibilidad podría afectar a toda la disponibilidad de servicio de AD DS.

14


Controladores de dominio de solo lectura y grabables

Para implementar estas recomendaciones, le sugerimos que convierta cada controlador de dominio enun catálogo global y servidor DNS. Esta configuración permite que AD DS opere de forma independienteen cada zona de disponibilidad y ayuda a garantizar que su disponibilidad no se vea afectada por elimprobable caso de desastre. Si una zona de disponibilidad de esta arquitectura queda aislada de otrosrecursos de la región, las instancias de la zona de disponibilidad siguen teniendo un controlador dedominio local que puede autenticar a los usuarios, realizar búsquedas en directorios de servicios y resolverconsultas de DNS.

Los requisitos de un entorno más pequeño podrían hacer que una única zona de disponibilidad resulte másatractiva. Aunque el diseño de AD DS con una única zona de disponibilidad no es nuestra recomendación,somos conscientes de que puede ser la arquitectura elegida. En tal caso, le recomendamos queimplemente al menos dos controladores de dominio en su zona de disponibilidad para proporcionarredundancia.

La plantilla de AWS CloudFormation proporcionada para el escenario 1 (p. 5) creará una configuraciónde sitios y servicios de Active Directory automáticamente que admitirá una arquitectura de AD DS de altadisponibilidad. Si tiene previsto implementar AD DS manualmente, asegúrese de asignar correctamentesubredes a la plataforma correcta para ayudar a garantizar que el tráfico de AD DS utiliza la mejor ruta.

Para obtener orientación detallada sobre cómo crear sitios, añadir servidores de catálogo global y crear yadministrar enlaces de sitios, consulte la documentación de Microsoft Active Directory Sites and Services.

Controladores de dominio de solo lectura y grabablesLos controladores de dominio de solo lectura (RODC) contienen una copia de la base de datos AD DS yresponden a las solicitudes de autenticación, pero las aplicaciones u otros servidores no pueden escribiren ellos. Los RODC suelen implementarse en lugares en los que no se puede garantizar la seguridadfísica. Por ejemplo, en un escenario local, podría implementar RODC en una sucursal remota en la que elservidor físico no pueda protegerse mediante un armario cerrado y seguro o una sala de servidores.

Los controladores de dominio grabables operan en un modelo multimaestro; se pueden hacer cambios encualquier servidor grabable del bosque, y los cambios se replican a servidores a lo largo de todo el bosque.Varias funciones clave y aplicaciones de Microsoft Enterprise requieren conectividad con un controlador dedominio grabable.

Si quiere implementar servidores de aplicaciones empresariales en la nube de AWS, puede que los RODCno sean una opción viable. Por ejemplo, un RODC no puede procesar el restablecimiento de la contraseñade un usuario final, y Microsoft Exchange Server no puede utilizar un RODC para realizar búsquedasde directorio. Asegúrese de comprender los requisitos de la aplicación, las dependencias en AD DS y lacompatibilidad antes de considerar el uso de RODC.

DNS y DHCP de Active Directory dentro de VPCCon una VPC, los servicios de protocolo de configuración dinámica de host (DHCP) se proporcionan deforma predeterminada para las instancias. No es necesario administrar los ámbitos de DHCP, ya que estáncreados para las subredes de VPC que defina al implementar la solución. Estos servicios de DHCP no sepueden deshabilitar, por lo que tendrá que utilizarlos en lugar de implementar su propio servidor DHCP.

La VPC también ofrece un servidor DNS interno. Este DNS ofrece instancias con servicios de resoluciónde nombres básica para el acceso a Internet y es crucial para acceder a los puntos de enlace de serviciode AWS como, por ejemplo, AWS CloudFormation y Amazon Simple Storage Service (Amazon S3) duranteel proceso de arranque al lanzar el inicio rápido.

La configuración del servidor de DNS proporcionado por Amazon se asignará a las instancias lanzadasen la VPC en función de un conjunto de opciones de DHCP. Los conjuntos de opciones del DHCP seusan dentro de la Amazon VPC para definir las opciones del ámbito, como el nombre de dominio o los

15

http://technet.microsoft.com/library/cc730868.aspx


Configuración de DNS en las instancias de Windows Server

servidores de nombre que deberían entregarse a sus instancias a través del DHCP. El DNS proporcionadopor Amazon solo se usa para la resolución de DNS público.

Dado que el DNS proporcionado por Amazon no se puede utilizar para proporcionar servicios para laresolución de nombres de Active Directory, tendrá que asegurarse de que las instancias de Windowsunidas a un dominio se han configurado para utilizar DNS de Active Directory.

Como alternativa a la asignación estática de la configuración del servidor de DNS de Active Directory eninstancias de Windows, puede especificarla mediante un conjunto opciones de DHCP personalizado. Estole permitirá asignar su sufijo de DNS de Active Directory y las direcciones IP del servidor DNS como losservidores de nombres dentro de la VPC a través de DHCP.

Note

Las direcciones IP del campo domain-name-servers siempre se devolverán en el mismoorden. Si el primer servidor DNS de la lista falla, las instancias deben recurrir a la segundaIP y seguir resolviendo los nombres de host de forma satisfactoria. Sin embargo, durante lasoperaciones normales, el primer servidor DNS de la lista siempre gestionará las solicitudes deDNS. Si desea asegurarse de que las consultas de DNS se distribuyan de manera uniformeen varios servidores, debería considerar la opción de configurar estáticamente los ajustes delservidor DNS en las instancias.

Para obtener detalles sobre cómo crear un conjunto de opciones del DHCP y asociarlo con su VPC,consulte Trabajar con conjuntos de opciones del DHCP que figura en la Guía del usuario de la AmazonVPC.

Note

Para el escenario 1 (p. 5) y el escenario 3 (p. 9), la plantilla de AWS CloudFormation configurael conjunto de opciones de DHCP con los controladores de dominio de Active Directoryen los servidores de nombres, tal y como se recomienda en la documentación de AWSDirectory Service. Esto significa que las instancias que deban unirse al dominio podrán unirseautomáticamente, sin necesidad de tener que realizar cambios.

Configuración de DNS en las instancias de WindowsServerPara asegurarse de que las instancias de Windows unidas a un dominio automáticamente registren el host(A) y realicen la búsqueda inversos (PTR) de registros con DNS con Active Directory integrado, defina laspropiedades de la conexión de red, tal y como se muestra en la figura 5.

16

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html#DHCPOptionSet


Configuración de DNS en las instancias de Windows Server

Figura 5: Configuración avanzada de TCP/IP en una instancia de Windows unida a un dominio

La configuración predeterminada de una conexión de red está configurada para registrar automáticamentela dirección de las conexiones en DNS. En otras palabras, tal y como se muestra en la figura 5, la opciónRegister this connection's addresses in DNS está seleccionada automáticamente. Esto se encarga delregistro dinámico de registro del host (A). Sin embargo, si no selecciona también la segunda opción, Usethis connection's DNS suffix in DNS registration, el registro dinámico de los registros PTR no tendrá lugar.

Si tiene un número reducido de instancias en la VPC, puede elegir configurar la conexión de redmanualmente. Para las flotas de mayor tamaño, puede enviar esta configuración a todas sus instanciasde Windows a través de la política de grupo de Active Directory. Para obtener instrucciones paso a paso,consulte IPv4 and IPv6 Advanced DNS Tab en la biblioteca de Microsoft TechNet.

17

http://technet.microsoft.com/library/cc754143.aspx


Paso 1. Prepare la cuenta

Pasos de implementaciónSiga las instrucciones paso a paso de esta sección para configurar su cuenta de AWS, lanzar las plantillasy personalizar su implementación.

Paso 1. Prepare su cuenta de AWSAntes de implementar el inicio rápido, asegúrese de que su cuenta de AWS está configuradacorrectamente siguiendo los pasos que se indican a continuación.

1. Si aún no tiene una cuenta de AWS, cree una en http://aws.amazon.com; para ello, siga lasinstrucciones que aparecen en pantalla. Parte del procedimiento de inscripción consiste en recibir unallamada telefónica e introducir un número PIN con el teclado del teléfono.

2. Utilice el selector de regiones en la barra de navegación para elegir la región de AWS en la que deseaimplementar AD DS.

Figura 6: Selección de una región de AWS

Considere la posibilidad de elegir la región que se encuentre más cerca de su centro de datos o redcorporativa para reducir la latencia de red entre los sistemas que se ejecutan en AWS y los sistemas yusuarios de su red corporativa.

Importante

Si está implementando el escenario 3 (p. 9), tenga en cuenta que AWS Directory Servicesolo está disponible en las regiones incluidas en la página Regiones y puntos de conexión deAWS de la documentación de AWS. Le recomendamos que compruebe la disponibilidad delservicio antes de elegir una región. De lo contrario, la implementación producirá un error.

3. Cree un par de claves en su región preferida. Para ello, en el panel de navegación de la consola deAmazon EC2, elija Key Pairs, Create Key Pair, escriba un nombre y después elija Create.

18

http://aws.amazon.com

http://docs.aws.amazon.com/general/latest/gr/rande.html#ds_region

http://docs.aws.amazon.com/general/latest/gr/rande.html#ds_region

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html



Figura 8: Creación de un par de claves

Amazon EC2 utiliza la criptografía de clave pública para cifrar y descifrar la información de inicio desesión. Para poder iniciar sesión en sus instancias, debe crear un par de claves. Con las instanciasWindows, usamos el par de claves para obtener la contraseña del administrador a través de la consolade Amazon EC2 y después iniciar sesión mediante el Protocolo de Escritorio remoto (RDP), como seexplica en las instrucciones paso a paso de la Amazon Elastic Compute Cloud User Guide.

4. Si resulta necesario, solicite un incremento del límite de servicio para el tipo de instancia m4.xlarge.Para ello, en el Centro de AWS Support, elija Create Case, Service Limit Increase, EC2 instances, ydespués rellene los campos del formulario de aumento de límite. El límite predeterminado para estetipo de instancia es de 20 instancias.

Es posible que tenga que solicitar un aumento si ya tiene una implementación que utiliza este tipo deinstancia y cree que podría superar el límite predeterminado con esta implementación de referencia.Pueden transcurrir unos días hasta que el nuevo límite del servicio entre en vigor. Para obtener másinformación, consulte Amazon EC2 Service Limits en la documentación de AWS.

19

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#having-ec2-create-your-key-pair

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase%26;limitType=service-code-

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html



Figura 8: Solicitud de un aumento del límite del servicio

20


Paso 2. Lance el inicio rápido

Paso 2. Lance el inicio rápidoEn esta sección se proporcionan instrucciones generales para la implementación de las plantillas en laconsola de AWS CloudFormation, seguidas de enlaces y tablas de parámetros para cada escenario (p. 5).

1. Elija una de las siguientes opciones para implementar la plantilla de AWS CloudFormation en sucuenta de AWS. Para obtener ayuda con la selección de una opción, consulte la explicación deescenarios de implementación (p. 5), anteriormente en esta guía.

Escenario 1 (p. 5)

Implementación yadministración de su propia

instalación de AD DS en AWS

(o lanzamiento enuna VPC existente)

Escenario 2 (p. 7)

Extensión de su AD DS enlas instalaciones a AWS


Escenario 3 (p. 9)

Implementación de AD DS conAWS Directory Service en AWS


La plantilla se lanza en la región EE. UU. Este (Ohio) de forma predeterminada. Puede cambiar laregión mediante el selector de regiones de la barra de navegación.

Cada implementación tarda alrededor de una hora.Note

Usted es responsable de los costos de los servicios de AWS usados mientras ejecuta estaimplementación de referencia de inicio rápido. No se aplica ningún cargo adicional por el usode este inicio rápido. Para obtener una estimación de los costos, consulte las páginas deprecios de cada servicio de AWS que va a utilizar en este inicio rápido.

2. En la página Select Template, mantenga la URL predeterminada de la plantilla de AWSCloudFormation y después elija Next.

3. En la página Specify Details, revise los parámetros de la plantilla. Proporcione valores para losparámetros que requieren que se introduzcan datos. Para todos los demás parámetros, revise laconfiguración predeterminada y personalícela según sea necesario. Cuando termine de revisar ypersonalizar los parámetros, elija Next.

Note

También puede descargar las plantillas y editarlas para crear sus propios parámetros enfunción de su escenario de implementación específico.

En las siguientes tablas, los parámetros se enumeran y describen de forma separada para elescenario 1 (p. 21), el escenario 2 (p. 25) y el escenario 3 (p. 29).

Note

Las dos plantillas proporcionadas para cada escenario comparten la mayoría de losparámetros, pero no todos. Por ejemplo, la plantilla para una VPC existente también solicitalos ID de la VPC y la subred privada en su entorno de VPC existente.

Escenario 1: Parámetros para implementar y administrar su propia instalación de AD DS

21


https://console.aws.amazon.com/cloudformation/home?region=us-east-2#/stacks/new?stackName=AD-DS-Scenario-1&templateURL=https://s3.amazonaws.com/quickstart-reference/microsoft/activedirectory/latest/templates/ad-2012r2-1.template










Ver la plantilla para una nueva VPC Ver la plantilla para una VPC existente

Configuración de la red:

Etiqueta de parámetro Nombre del parámetro Valor predeterminado Descripción

Zonas dedisponibilidad

AvailabilityZones Requiere que seintroduzcan datos

La lista de zonas dedisponibilidad para lassubredes de la VPC. Elinicio rápido utiliza doszonas de disponibilidadde la lista y conservael orden lógico queespecifique.

CIDR de VPC VPCCIDR 10.0.0.0/16 Bloque de CIDR de laAmazon VPC.

CIDR de subredprivada 1

PrivateSubnet1CIDR 10.0.0.0/19 Bloque de CIDR dela subred privadaemplazada en la zonade disponibilidad 1.



CIDR de subredpública 1

PublicSubnet1CIDR 10.0.128.0/20 Bloque de CIDR dela subred públicaemplazada en la zonade disponibilidad 1.



CIDR de accesoexterno a la puerta deenlace de Escritorioremoto permitido

RDGWCIDR Requiere que seintroduzcan datos

Bloque de CIDRpermitido para elacceso externo alas instancias dePuerta de enlace deescritorio remoto. Lerecomendamos queestablezca este valoren un bloque de CIDRde confianza.

Configuración de Amazon EC2:


22


https://s3.amazonaws.com/quickstart-reference/microsoft/activedirectory/latest/templates/ad-2012r2-1.template



Nombre del par declaves

KeyPairName Requiere que seintroduzcan datos

Par de claves públicas/privadas, que lepermite conectarsede forma segura ala instancia una vezlanzada. Cuando creóla cuenta de AWS, esteel par de claves quecreó en la región de suelección.

Tipo de instancia decontrolador de dominio1

ADServer1InstanceType m4.xlarge Tipo de instancia EC2de la primera instanciaActive Directory.

Nombre NetBIOS delcontrolador de dominio1

ADServer1NetBIOSNameDC1 Nombre NetBIOSdel primer servidorde Active Directory.Puede tener hasta 15caracteres.

Dirección IP privadadel controlador dedominio 1

ADServer1PrivateIP 10.0.0.10 Dirección IP privadafija para el primerservidor de ActiveDirectory emplazadoen la zona dedisponibilidad 1.


ADServer2InstanceType m4.xlarge Tipo de instanciaEC2 de la segundainstancia ActiveDirectory.


ADServer2NetBIOSNameDC2 Nombre NetBIOSdel segundo servidorActive Directory.Puede tener hasta 15caracteres.


ADServer2PrivateIP 10.0.32.10 Dirección IP privadafija para el segundoservidor de ActiveDirectory emplazadoen la zona dedisponibilidad 1.

Tipo de instancia depuerta de enlace deEscritorio remoto

RDGWInstanceType t2.large Tipo de instanciaEC2 para la primerainstancia de la puertade enlace de Escritorioremoto.

Configuración de Microsoft Active Directory:


23



Nombre DNS deldominio

DomainDNSName example.com Nombre de dominiocompleto (FQDN)del dominio raíz delbosque.

Nombre NetBIOS deldominio

DomainNetBIOSName ejemplo Nombre NetBIOSdel dominio para losusuarios de versionesanteriores de Windows.Puede tener hasta 15caracteres.

Contraseña del modode restauración

RestoreModePassword Requiere que seintroduzcan datos

Contraseña deuna cuenta deadministradorindependiente cuandoel controlador dedominio está en modode restauración. Debeser una contraseñacompleja que tenga almenos 8 caracteres.

Nombre de usuarioadministrador deldominio

DomainAdminUser StackAdmin Nombre de usuariode la cuenta quese añadirá comoadministrador deldominio. Es distintode la cuenta deadministradorpredeterminada.

Contraseña deladministrador deldominio

DomainAdminPassword Requiere que seintroduzcan datos

Contraseña del usuarioadministrador deldominio. Debe ser unacontraseña complejaque tenga al menos 8caracteres.

Configuración de la puerta de enlace de Escritorio remoto de Microsoft:


Número de hosts deRDGW

NumberOfRDGWHosts 1 Número de instanciasde Puerta de enlacede Escritorio remotoque se van a crear.Puede elegir entre 1 y4 instancias.

Configuración de inicio rápido de AWS:


24

https://technet.microsoft.com/en-us/library/hh994562.aspx





Nombre del bucket deS3 de inicio rápido

QSS3BucketName quickstart-reference Bucket de S3 donde seinstalan las plantillasy los scripts delinicio rápido. Useeste parámetro paraespecificar el nombredel bucket de S3 queha creado para sucopia de los recursosdel inicio rápido, sidecide personalizar oampliar el inicio rápidopara su propio uso.El nombre de bucketpuede incluir números,letras minúsculas,letras mayúsculas yguiones, pero no debeempezar ni terminarcon un guion.

Prefijo de clave de S3de inicio rápido

QSS3KeyPrefix microsoft/activedirectory/latest/

El prefijo de nombrede clave de S3 usadopara simular unacarpeta para su copiade los recursos delinicio rápido, si decidepersonalizar o ampliarel inicio rápido para supropio uso. Este prefijopuede incluir números,letras minúsculas,letras mayúsculas,guiones y barrasdiagonales.

Escenario 2: Parámetros para extender su AD DS en las instalaciones a AWS


Note

Los rangos de CIDR predeterminados de esta plantilla se proporcionan como ejemplos paraayudarle a empezar y pueden modificarse para adaptarse a sus requisitos específicos. Tengaen cuenta que los bloques de CIDR proporcionados pueden solaparse con las redes de susinstalaciones. En este caso, deberá utilizar rangos de CIDR exclusivos para implementarcorrectamente una conexión de VPN.



25

http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingMetadata.html









CIDR de VPC VPCCIDR 10.0.0.0/16 Bloque de CIDR de laVPC














26







ADServer1InstanceType m4.xlarge Tipo de instancia EC2de la primera instanciaActive Directory.


ADServer1NetBIOSNameDC1 Nombre NetBIOSdel primer servidorde Active Directory.Puede tener hasta 15caracteres.


ADServer1PrivateIp 10.0.0.10 Dirección IP privadafija para el primerservidor de ActiveDirectory emplazadoen la zona dedisponibilidad 1.


ADServer2InstanceType m4.xlarge Tipo de instanciaEC2 de la segundainstancia ActiveDirectory.


ADServer2NetBIOSNameDC2 Nombre NetBIOSdel segundo servidorActive Directory.Puede tener hasta 15caracteres.


ADServer2PrivateIp 10.0.32.10 Dirección IP privadafija para el segundoservidor de ActiveDirectory emplazadoen la zona dedisponibilidad 1.





27





Usuario administrador AdminUser StackAdmin Nombre de usuariode la nueva cuenta deadministrador local.

Contraseña deadministrador

AdminPassword Requiere que seintroduzcan datos

Contraseña de lacuenta administrativa.Debe ser unacontraseña complejaque tenga al menos 8caracteres.







28







Escenario 3: Parámetros para implementar AD DS con AWS Directory Service







CIDR de VPC VPCCIDR 10.0.0.0/16 Bloque de CIDR de laAmazon VPC.









29

















Configuración de Microsoft Active Directory:




Nombre NetBIOS deldominio

DomainNetBIOSName ejemplo Nombre NetBIOSdel dominio para losusuarios de versionesanteriores de Windows.Puede tener hasta 15caracteres.

Contraseña deladministrador deldominio

DomainAdminPassword Requiere que seintroduzcan datos

Contraseña del usuarioadministrador deldominio. Debe ser unacontraseña complejaque tenga al menos 8caracteres.

30















4. En la página Options, puede especificar etiquetas (pares de clave-valor) para los recursos de la pila ydefinir opciones adicionales. Cuando haya terminado, elija Next.

31



http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-resource-tags.html

http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html


Paso 3. Tareas posteriores a laimplementación para el escenario 2

5. En la página Review, revise y confirme la configuración de la plantilla. En Capabilities, seleccione lacasilla para confirmar que la plantilla creará los recursos de IAM.

6. Elija Create para implementar la pila.7. Monitorice el estado de la pila. Cuando el estado sea CREATE_COMPLETE, el clúster de AD DS

estará listo.

Paso 3. Tareas posteriores a la implementación(solo para el escenario 2)

Si está extendiendo su AD DS en las instalaciones a la nube de AWS (escenario 2 (p. 7)), tendrá querealizar las siguientes tareas manualmente, una vez que el stack se haya creado correctamente:

1. Conecte la red local a la VPC mediante AWS Direct Connect o una conexión de VPN.2. Añada los controladores de dominio a la nube de AWS para proporcionar una conexión de red de

confianza y de baja latencia para los recursos de AWS que tienen que acceder a su AD DS.3. Configure sus Sitios y servicios de Active Directory en las instalaciones para incluir sitios y subredes que

representen las zonas de disponibilidad en su VPC.4. Promueva las instancias de Windows Server de la subred privada 1 y la subred privada 2 a los

controladores de dominio de su dominio de Active Directory.5. Asegúrese de que las instancias pueden resolver los nombres a través del DNS de AD usando uno de

estos métodos:• Asignar estáticamente servidores DNS de AD en instancias de Windows.

—o bien—• Establecer el campo domain-name-servers en un nuevo conjunto de opciones de DHCP en su

VPC para incluir sus controladores de dominio basados en AWS que hospedan el DNS de ActiveDirectory.

En las secciones siguientes se proporciona más información acerca de estas tareas posteriores a laimplementación.

Conexión de la red local a la VPCDe manera predeterminada, las instancias que se lanzan en una nube virtual privada no puedencomunicarse con su propia red. Para extender su AD DS existente a la nube de AWS, tendrá que extenderla red local a la VPC. Comentaremos dos formas de hacerlo: mediante el uso de túneles de la red privadavirtual (VPN) de IPSec o mediante AWS Direct Connect.

Uso de túneles de la VPN de IPSecEl escenario más habitual para extender la red local a su VPC es mediante túneles de la VPN de IPSec.Dentro de la VPC, puede crear una gateway privada virtual que actúa como un concentrador VPN en ellado de Amazon del túnel de la VPN. Una gateway de cliente es el ancla en su lado de dicha conexión. Lagateway de cliente puede ser un dispositivo físico o de software.

32


Conexión de la red local a la VPC

Figura 9: Conexión de VPN única de su red local a su VPC

Hay varias opciones de configuración de VPN disponibles, incluida la capacidad de utilizar varias gatewaysde cliente locales y configurar conexiones de VPN redundantes para proporcionar conmutación por error.Para obtener más detalles, consulte Ejemplos de configuración de VPN en la Guía de usuario de AmazonVPC. En las secciones Dispositivos de gateway de cliente que hemos probado y Requisitos para sugateway de cliente de la Guía para administradores de red de Amazon VPC se incluyen detalles sobre quédispositivos de hardware o software puede usar.

Uso de AWS Direct ConnectAWS Direct Connect vincula su red interna con una ubicación de AWS Direct Connect a través de uncable estándar Ethernet de fibra óptica de 1 o 10 Gigabits. Un extremo del cable se conecta al router yel otro al router de AWS Direct Connect. Con esta conexión establecida, puede crear interfaces virtualesdirectamente en la nube de AWS (por ejemplo, en Amazon EC2, Amazon S3 y Amazon VPC), omitiendo alos proveedores de Internet en su ruta de acceso a la red.

33

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#Examples

http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Introduction.html#DevicesTested

http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Introduction.html#CGRequirements

http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Introduction.html#CGRequirements


Conexión de la red local a la VPC

Figura 10: Cómo interactúa AWS Direct Connect con su red

Cuando elige AWS Direct Connect para extender su red local a la nube, debe plantearse la configuraciónde dos conexiones dedicadas para lograr la máxima redundancia. Existen diferentes opciones deconfiguración disponibles a la hora de aprovisionar dos conexiones dedicadas, incluidas las opcionesactiva/activa (múltiples rutas de BGP) y activa/pasiva (conmutación por error).

En una configuración de conmutación por error, solo hay un enlace de conexión que gestiona el tráfico. Sieste enlace deja de estar disponible, el enlace de conexión en espera se activa. Le recomendamos queconfigure los dos enlaces de conexión como activos, ya que esto le ayudará a garantizar que el tráfico dela red cuenta con un equilibrio de carga en ambas conexiones. En una configuración activa, si un enlacede conexión deja de estar disponible, todo el tráfico se redirige por medio del otro enlace.

Para obtener detalles de la implementación, consulte Introducción en la Guía del usuario de AWS DirectConnect.

34

http://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html


Implementación de controladores de dominio adicionales

Implementación de controladores de dominioadicionales en la nube de AWSAunque puede utilizar AWS Direct Connect o una conexión de VPN para proporcionar acceso a losrecursos locales de la VPC, le recomendamos que también añada controladores de dominio a lanube de AWS. Añada los controladores de dominio adicionales proporcionan una conexión de red deconfianza y de baja latencia para los recursos de AWS que tienen que acceder a su AD DS. Tambiénpueden mantener la disponibilidad para AD DS en la nube de AWS si se produce una interrupción en lainfraestructura de sus instalaciones.

En la arquitectura que se muestra en la figura 11, se ha extendido un único bosque de Active Directoryde una implementación de las instalaciones a una VPC usando una conexión de VPN. Dentro de laVPC, los controladores de dominio adicionales configurados como catálogo global y servidores DNS seimplementan en el bosque existente de Active Directory.

35


Implementación de controladores de dominio adicionales

Figura 11: Bosque de AD único con un controlador de dominio local y en una VPC

En este tipo de entorno, la red del cliente ya estará definida en Sitios y servicios de Active Directory. Porejemplo, ya habrá una definición de sitio que se corresponda con la red local, junto con una definición desubred para la red 192.168.1.0/24. El siguiente paso consiste en configurar Sitios y servicios de ActiveDirectory para respaldar los componentes de red ubicados en la VPC.

36


Configuración de Sitios y servicios de AD

Configuración de Sitios y servicios de Active DirectorySe deben crear sitios de Active Directory adicionales para hacer referencia a las zonas de disponibilidad deAWS. Los bloques de CIDR 10.0.0.0/19 y 10.0.32.0/19 utilizados por las subredes de VPC deben añadirsea Sitios y servicios de Active Directory. Luego se pueden asociar las subredes a la definición de sitio de ADDS para cada zona de disponibilidad de AWS. Las subredes adicionales para capas web, de aplicación yde base de datos de la VPC se pueden asignar a cada objeto de sitio de AWS. Tanto el sitio local comoel sitio en la nube de AWS se pueden asignar a un enlace de sitio, que puede configurarse para que sereplique a intervalos personalizados o durante una hora específica del día, si resulta necesario.

Al configurar correctamente Sitios y servicios de Active Directory, puede ayudar a garantizar que lassolicitudes de autenticación y las consultas de AD DS que se originan en la VPC estén gestionadas porun controlador de dominio local en la misma zona de disponibilidad de AWS. Esta configuración reduce lalatencia de la red y minimiza el tráfico, que en caso contrario tendría que desplazarse a través de la VPN yde vuelta a la infraestructura local.

Configuración dela resolución de DNSUna vez que haya creado una VPC y establecido la conectividad a la red local mediante AWS DirectConnect o una conexión de VPN, el siguiente paso consiste en lanzar instancias de Windows para queactúen como controladores de dominio. Para unirse al dominio de Active Directory local y promocionar susinstancias de Windows a controladores de dominio, tendrá que asegurarse de que la resolución de DNS seconfigure de forma adecuada.

Tal y como se ha mencionado anteriormente, de forma predeterminada, las instancias lanzadas en la VPCse asignarán a un servidor DNS proporcionado por Amazon, que no proporcionará una resolución de DNSpara su infraestructura local. Para ello, puede optar por una de estas dos opciones:

• Asignar manualmente la configuración del servidor DNS en las instancias de Windows. Estaconfiguración estática de DNS apuntaría inicialmente al servidor DNS de Active Directory local. Despuésde promover la instancia a un controlador de dominio, podría modificar la configuración para utilizar unadirección IP del servidor DNS de Active Directory basado en la nube con el fin de impedir que consultasDNS posteriores vuelvan a atravesar el enlace hasta el entorno local.

—o bien—• Configurar inicialmente el conjunto de opciones de DHCP de VPC para asignar la dirección IP del

servidor DNS de Active Directory local a las instancias lanzadas en la VPC. Una vez que las instanciasde Windows se han unido al dominio y se han promovido a controladores de dominio, puede crear unnuevo conjunto de opciones de DHCP para asignar la dirección IP de las instancias de servidor DNS deActive Directory que se ejecutan en AWS.

37


Solución de problemasP: Aparece un error CREATE_FAILED al lanzar el inicio rápido.

R. Si AWS CloudFormation no puede crear la pila, le recomendamos que vuelva a lanzar la instancia conla opción Rollback on failure establecida en No. (Esta opción está bajo Advanced en la consola de AWSCloudFormation, página Options). Con esta configuración, el estado de la pila se conserva y la instanciase seguirá ejecutando para que pueda solucionar el problema. (Deberá examinar los archivos log en%ProgramFiles%\Amazon\EC2ConfigService y en C:\cfn\log).

Importante

Cuando establece Rollback on failure en No, se siguen aplicando cargos de AWS para esta pila.Asegúrese de eliminar la pila cuando haya terminado de resolver el problema.

En la siguiente tabla se proporciona una lista de mensajes de error CREATE_FAILED específicos quepuede encontrar.

Mensaje de errorCREATE_FAILED

Causa posible Solución

API: ec2: RunInstances Notauthorized for images: ami-ID

La plantilla hace referencia a unaAMI que ha vencido

Actualizamos las AMIperiódicamente, pero nuestrocalendario no siempreestá sincronizado con lasactualizaciones de las AMI deAWS. Si recibe este mensajede error, póngase en contactocon nosotros. Actualizaremos laplantilla con el nuevo ID de AMI.

También puede descargarla plantilla y actualizarlas asignaciones enAWSWinRegionMap con lasúltimas ID de AMI de su región.

En estos momentos no tenemossuficiente capacidad dem4.xlarge en el marco de trabajoAZ solicitado.

Una de las instancias requiere untipo de instancia más grande

Cambie a un tipo de instanciaque admita mayor capacidad orellene el formulario de solicituden el Centro de AWS Supportpara aumentar el límite deAmazon EC2 para el tipo deinstancia o región. Los aumentosde límite están asociados a laregión para la que se solicitan.

Instance ID did not stabilize Ha superado el número de IOPSpara la región

Solicite un aumento del límiterellenando el formulario desolicitud en el Centro de AWSSupport.

38

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-




Mensaje de errorCREATE_FAILED

Causa posible Solución

System Administrator passwordmust contain at least 8 characters

La contraseña principal contiene$ u otros caracteres especiales

Cambie la contraseñapara los parámetrosRestoreModePassword oDomainAdminPassword y,después, vuelva a lanzar el iniciorápido.

Debe usar una contraseñacompleja con una extensión deal menos 8 caracteres y que secomponga de letras mayúsculasy minúsculas y números. Eviteutilizar caracteres especialescomo @ o $.

Para obtener información adicional, consulte Troubleshooting AWS CloudFormation en el sitio web deAWS.

P: Aparece un error de limitación de tamaño cuando implemento las plantillas de AWS Cloudformation.

R. Le recomendamos que lance las plantillas de inicio rápido desde la ubicación proporcionada o desdeotro bucket de S3. Si implementa las plantillas desde una copia local en su equipo o desde una ubicaciónde S3, pueden aparecer errores de limitación del tamaño de la plantilla al crear la pila. Para obtener másinformación acerca de los límites de AWS CloudFormation, consulte la documentación de AWS.

39



http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html

http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html


SeguridadAWS ofrece un conjunto de componentes básicos, incluidos los servicios Amazon EC2 y Amazon VPC,que puede utilizar a fin de aprovisionar infraestructura para sus aplicaciones. En este modelo, algunascaracterísticas de seguridad, como la seguridad física, son responsabilidad de AWS y aparecen resaltadasen el documento técnico de seguridad de AWS. Otras capacidades, como el control de acceso a lasaplicaciones, son responsabilidad del desarrollador de la aplicación y las herramientas proporcionadas enla plataforma de Microsoft.

Si ha seguido las opciones de implementación automatizada de esta guía, las plantillas de AWSCloudFormation proporcionadas se encargarán de configurar los grupos de seguridad necesarios, que seindican a continuación a modo de referencia.

Grupo de seguridad Asociado a Fuente de entrada Puerto(s)

VPCCIDR TCP5985, TCP53,UDP53, TCP80

DomainMemberSG UDP123, TCP135,UDP138, TCP445,UDP445,TCP464, UDP464,TCP49152-65535,UDP49152-65535,TCP389, UDP389,TCP636, TCP3268,TCP3269, TCP88,UDP88, UDP67,UDP2535, TCP9389

PrivateSubnet2CIDR(subred en la que seimplementa el segundocontrolador de dominio)

UDP123, TCP135,UDP137, UDP138,TCP445, UDP445,TCP464, UDP464,TCP49152-65535,UDP49152-65535,TCP389, UDP389,TCP636, TCP3268,TCP3269, TCP88,UDP88, UDP67,UDP2535, UDP5355,UDP137, TCP139,TCP5722, TCP9389

PublicSubnet1CIDR(subred en la que seimplementa la gatewayde Escritorio remoto enla zona de disponibilidad1)

TCP3389, (ICMP -1)

DomainControllerSG1 DC1

PublicSubnet2CIDR(subred en la que seimplementa la gatewayde Escritorio remoto en

TCP3389, (ICMP -1)

40

https://d0.awsstatic.com/whitepapers/aws-security-best-practices.pdf


Grupo de seguridad Asociado a Fuente de entrada Puerto(s)la zona de disponibilidad2)

VPCCIDR TCP5985, TCP53,UDP53, TCP80

DomainMemberSG UDP123, TCP135,UDP138, TCP445,UDP445,TCP464, UDP464,TCP49152-65535,UDP49152-65535,TCP389, UDP389,TCP636, TCP3268,TCP3269, TCP88,UDP88, UDP67,UDP2535, TCP9389

PrivateSubnet1CIDR(subred en la que seimplementa el primercontrolador de dominio)

UDP123, TCP135,UPD137, UDP138,TCP445, UDP445,TCP464, UDP464,TCP49152-65535,UDP49152-65535,TCP389, UDP389,TCP636, TCP3268,TCP3269, TCP88,UDP88, UDP67,UDP2535, UDP5355,UDP137, TCP139,TCP5722, TCP9389


TCP3389, (ICMP -1)

DomainControllerSG2 DC2


TCP3389, (ICMP -1)

DomainMemberSG RDGW1, RDGW2

PrivateSubnet1CIDR(subred en la quese implementa elcontrolador de dominioprimario)

TCP5985,TCP53, UDP53,TCP49152-65535,UDP49152-65535

41


Grupo de seguridad Asociado a Fuente de entrada Puerto(s)

PrivateSubnet2CIDR(subred en la quese implementa elcontrolador de dominiosecundario)

TCP5985,TCP53, UDP53,TCP49152-65535,UDP49152-65535


TCP3389


TCP3389

RDGWSecurityGroup RDGW1, RDGW2 RDGWCIDR (véase lanota)

TCP3389

Importante

RDP nunca se debe abrir la totalidad de Internet, ni siquiera temporalmente o con fines deprueba. Para obtener más información, consulte este boletín de seguridad de Amazon. Restrinjasiempre los puertos y el tráfico de origen al mínimo necesario para respaldar la funcionalidad dela aplicación. Si desea obtener más información sobre cómo proteger una gateway de Escritorioremoto, consulte el documento técnico Securing the Microsoft Platform on Amazon Web Services.

42

https://aws.amazon.com/security/security-bulletins/morto-worm-spreading-via-remote-desktop-protocol/



Recursos adicionalesServicios de AWS

• AWS CloudFormation• Guía del usuario de Amazon EC2 para Windows• Amazon VPC:

• Guía del usuario• Escenarios básicos• Guía para administradores de red

• Gateway NAT• AWS Direct Connect• AWS Directory Service

Active Directory Domain Services

• Active Directory Domain Services• Active Directory: sitios y servicios

Implementación de software de Microsoft en AWS

• Microsoft en AWS• Protección de la plataforma de Microsoft en AWS

Implementaciones de referencia de inicio rápido

• Página principal de inicio rápido de AWS• Creación de una arquitectura de red virtual escalable y modular con Amazon VPC• Puerta de enlace de Escritorio remoto de Microsoft en AWS

43

https://aws.amazon.com/documentation/cloudformation/

http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenarios.html

http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html

https://aws.amazon.com/documentation/directconnect/


https://technet.microsoft.com/en-us/library/dd448614.aspx

https://technet.microsoft.com/library/cc730868.aspx

https://aws.amazon.com/microsoft/


https://aws.amazon.com/quickstart/

http://docs.aws.amazon.com/quickstart/latest/vpc/



Envíenos sus comentariosPuede visitar nuestro repositorio de GitHub para descargar las plantillas y los scripts de este inicio rápido,publicar sus comentarios y compartir sus personalizaciones con otros usuarios.

44

https://github.com/aws-quickstart/quickstart-microsoft-activedirectory


Revisiones del documentoFecha Cambio Ubicación

de julio de 2017 Se han actualizado las opcionesde DHCP para seguir lasrecomendaciones de AWSDirectory Service; mejoras a laimplementación de la puerta deenlace de Escritorio remoto yportabilidad de Amazon S3.

Cambios en la guía;actualizaciones de plantillas

Agosto de 2016 Se han añadido parámetros paraconfigurar la ubicación de losrecursos de inicio rápido.

Pasos de implementación (p. 18)(tablas de personalización deplantillas)

de julio de 2016 En los tres escenarios, seha añadido la opción paraimplementar el inicio rápidoen una VPC existente. Sehan actualizado las plantillaspara usar gateways NAT yuna configuración de VPCactualizada.

Escenarios deimplementación (p. 5)

Pasos de implementación (p. 18)

Actualizaciones de plantillas

de abril de 2016 Se ha añadido un nuevoescenario que utiliza AWSDirectory Service para MicrosoftAD para aprovisionar yadministrar AD DS.

Además, se han reemplazado lasinstancias NAT por el servicio degateway NAT, se ha actualizadoa Windows Server 2012 R2 parala funcionalidad de bosquesy el dominio de AD, y se hanactualizado las plantillas congrupos de parámetros y etiquetaspara simplificar su uso.

Escenario 3 (p. 9)

Actualizaciones adicionales entodo el documento para reflejar lanueva funcionalidad

Actualizaciones de plantillas

Septiembre de 2015 En las plantillas de ejemplo,se ha cambiado el tipopredeterminado de las instanciasde Active Directory y Puertade enlace de Escritorio remotode m3.xlarge a m4.xlarge paramejorar el desempeño y elprecio.


Marzo de 2015 Se ha optimizado el diseño deVPC subyacente para permitirla ampliación y reducir lacomplejidad.

Recomendaciones deVPC (p. 11), actualizaciones deldiagrama de la arquitectura (p. 6)y actualizaciones de plantillas

45


Fecha Cambio Ubicación

de noviembre de 2014 En las plantillas deejemplo, se ha cambiadoel tipo predeterminado deNATInstanceType a t2.small paraadmitir la región UE (Fráncfort).


de marzo de 2014 Publicación inicial –

AvisosEsta guía de implementación se suministra únicamente con fines informativos. Representa la ofertaactual de productos y prácticas de AWS a partir de la fecha de publicación de este documento. Dichasprácticas y productos pueden modificarse sin previo aviso. Los clientes son responsables de realizar suspropias evaluaciones de la información contenida en este documento y de cualquier uso de los productos oservicios de AWS, cada uno de los cuales se ofrece “tal cual”, sin garantía de ningún tipo, ya sea explícitao implícita. Este documento no genera ninguna garantía, declaración, compromiso contractual, condición nicerteza por parte de AWS, sus filiales, proveedores o licenciantes. Las responsabilidades y obligaciones deAWS con respecto a sus clientes se controlan mediante los acuerdos de AWS y este documento no formaparte ni modifica ningún acuerdo entre AWS y sus clientes.

El software incluido en esta guía se proporciona con la licencia de Apache, versión 2.0 (la "Licencia"). Nose puede utilizar este archivo, salvo en conformidad con la Licencia. Encontrará una copia de la Licenciaen http://aws.amazon.com/apache2.0/ o en el archivo "license" que acompaña a este archivo. Este códigose distribuye "TAL CUAL", SIN GARANTÍAS NI CONDICIONES DE NINGÚN TIPO, ya sean explícitaso implícitas. Consulte la Licencia para conocer los permisos y limitaciones específicos en virtud de laLicencia.

46

https://aws.amazon.com/apache2.0/

Services en AWS Active Directory Domain · Amazon's trademarks and trade dress may not be used in...

Documents

Transcript of Services en AWS Active Directory Domain · Amazon's trademarks and trade dress may not be used in...