Académique Documents
Professionnel Documents
Culture Documents
Table of Contents
Início ................................................................................................................................................ 1
Sobre os Inícios rápidos .............................................................................................................. 2
Visão geral ........................................................................................................................................ 3
AD DS na AWS ......................................................................................................................... 3
Custo e licenças ......................................................................................................................... 3
Serviços da AWS ....................................................................................................................... 3
Cenários e arquitetura de implantação ................................................................................................... 5
Cenário 1: Gerenciar seu próprio AD DS ....................................................................................... 5
Cenário 2: Estender o AD DS local ............................................................................................... 7
Cenário 3: Implantar o AD DS com o AWS Directory Service ............................................................ 9
Considerações sobre design ............................................................................................................... 11
Configuração de VPC ................................................................................................................ 11
Tráfego de entrada do security group .......................................................................................... 12
Configurar acesso administrativo seguro ...................................................................................... 12
Projeto do AD .......................................................................................................................... 13
Topologia do site .............................................................................................................. 13
Serviços de domínio de diretório de alta disponibilidade .......................................................... 14
Controladores de domínio somente leitura e graváveis ........................................................... 15
DNS e DHCP do Active Directory ........................................................................................ 15
Configurações DNS em instâncias do Windows Server ........................................................... 16
Etapas da implantação ...................................................................................................................... 18
Etapa 1. Preparar a conta .......................................................................................................... 18
Etapa 2. Execute o Início rápido ................................................................................................. 21
Etapa 3. Tarefas pós-implantação para o cenário 2 ........................................................................ 32
Conectar sua rede local à VPC ........................................................................................... 32
Implantar controladores de domínio adicionais ...................................................................... 35
Configurar os Sites e Serviços do AD .................................................................................. 37
Configurar a resolução DNS ............................................................................................... 16
Solução de problemas ....................................................................................................................... 38
Segurança ....................................................................................................................................... 40
Recursos adicionais .......................................................................................................................... 43
Feedback ......................................................................................................................................... 44
Revisões do documento ..................................................................................................................... 45
.............................................................................................................................................. 46
iii
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Santiago Cardenas
Este guia de implantação de referência do Quick Start inclui as considerações de arquitetura e as etapas
de configuração para implantação de um ambiente de alta disponibilidade do Active Directory Domain
Services (AD DS) na Nuvem Amazon Web Services (AWS). Ela também fornece links para visualizar e
ativar modelos do AWS CloudFormation que automatizam a implantação.
O guia é para arquitetos de infraestrutura de TI e administradores que desejam projetar e implantar uma
solução para iniciar o AD DS na Nuvem AWS ou estender o AD DS local para a Nuvem AWS.
Os links a seguir são para a sua conveniência. Antes de ativar o Início rápido, confira a arquitetura, a
configuração, a segurança de rede e outras considerações discutidas neste guia.
• Se tiver uma conta da AWS e já estiver familiarizado com o AD DS e a AWS, você poderá iniciar o
Quick Start para implantar uma nova instalação do AD DS em uma nova VPC na AWS. A implantação
leva aproximadamente uma hora. (Para estender o AD DS local existente para a nuvem da AWS, para
implementar o AD DS com o AWS Directory Service ou para implementar o AD DS na infraestrutura de
uma VPC existente, consulte a seção Etapas de implantação (p. 18).)
• Se desejar obter mais detalhes, você pode visualizar o modelo para ver o script do AWS CloudFormation
que automatiza a implantação de um novo AD DS. É possível personalizar o modelo durante a execução
ou baixá-lo e estendê-lo a outros projetos.
1
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Sobre os Inícios rápidos
Note
Você é responsável pelos custos relacionados a todos os serviços da AWS usados durante a
execução dessa implantação de referência de Início rápido. Não há custo adicional para usar o
Início rápido. Para as estimativas de custo, consulte as páginas de definição de preço para cada
serviço da AWS que você usará neste Início rápido.
2
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
AD DS na AWS
Visão geral
AD DS na AWS
A Amazon Web Services (AWS) fornece um conjunto abrangente de ferramentas e serviços para
implantação de cargas de trabalho baseadas no Microsoft Windows em sua infraestrutura de nuvem
confiável e segura. O Active Directory Domain Services (AD DS) e o Domain Name Server (DNS) são
os serviços essenciais do Windows que fornecem a base para muitas soluções de classe empresarial
baseadas na Microsoft, incluindo o SharePoint, o Microsoft Exchange e aplicativos .NET.
Este Quick Start é para as organizações que executam cargas de trabalho na nuvem da AWS que exigem
conectividade segura e de baixa latência com os serviços do AD DS e do DNS. Depois de ler este guia, a
equipe de infraestrutura de TI deve ter uma boa compreensão de como criar e implantar uma solução para
iniciar o AD DS na nuvem da AWS ou estender seu AD DS local para a Nuvem AWS.
Este Quick Start pressupõe que você já esteja familiarizado com o Active Directory e o DNS. Para obter
detalhes, consulte a documentação do produto da Microsoft.
Este guia está focalizado nos tópicos da configuração da infraestrutura que exigem consideração
cuidadosa no planejamento e na implantação do AD DS, das instâncias de controlador de domínio e dos
serviços DNS na Nuvem AWS. Não abordamos as tarefas gerais de instalação do Windows Server e de
configuração do software. Para orientação geral de configuração de software e melhores práticas, consulte
a documentação de produto da Microsoft.
Custo e licenças
Você é responsável pelo custo dos serviços da AWS usados durante a execução dessa implantação de
referência de Início rápido. Não há custo adicional para usar o Início rápido. Para as estimativas de custo,
consulte as páginas de definição de preço para cada serviço da AWS que você usará neste Início rápido.
Este Início rápido executa a Imagem de máquina da Amazon (AMI) para o Microsoft Windows Server 2012
R2 e inclui a licença para o sistema operacional Windows Server. A AMI é atualizada regularmente com
o pacote de serviço mais recente do sistema operacional, portanto, não é necessário instalar nenhuma
atualização. O Windows Server AMI não requer licenças de acesso de clientes (CALs) e inclui duas
licenças do Microsoft Remote Desktop Services. Para obter detalhes, consulte Licenciamento da Microsoft
na AWS.
Serviços da AWS
Os principais componentes da AWS usados por este Início rápido incluem os seguintes serviços da AWS.
Se você é novo na AWS, consulte a seção Conceitos básicos da documentação da AWS.
• Amazon VPC - O serviço Amazon Virtual Private Cloud (Amazon VPC) permite provisionar uma seção
isolada e privada da Nuvem AWS onde é possível executar serviços da AWS e outros recursos em
uma rede virtual que você mesmo define. Você tem controle total sobre seu ambiente de rede virtual,
incluindo a seleção do seu próprio intervalo de endereços IP, criação de subnets e configuração de
tabelas de roteamento e gateways de rede.
• Amazon EC2 - O serviço Amazon Elastic Compute Cloud (Amazon EC2) permite executar instâncias de
máquinas virtuais com uma variedade de sistemas operacionais. É possível escolher uma Imagem de
máquina da Amazon (AMI) existente ou importar imagens da sua própria máquina virtual.
3
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Serviços da AWS
• NAT Gateway - NAT gateways são dispositivos de translação de endereços de rede (network address
translation, NAT) que fornecem acesso de saída à internet para instâncias em sub-redes privadas, mas
impedem a internet de acessar essas instâncias. Os NAT gateways oferecem maior disponibilidade
e largura de banda do que instâncias NAT. O serviço NAT Gateway é um serviço gerenciado que
administra os NAT gateways para você.
• AWS Direct Connect – o serviço AWS Direct Connect permite estabelecer uma conexão privada entre
a AWS e seu datacenter local. Com essa conexão estabelecida, você pode criar interfaces virtuais para
estabelecer conectividade privada com várias VPCs ignorando os provedores de serviços de Internet no
caminho da rede.
• AWS Directory Service – o AWS Directory Service facilita a configuração e a operação de um novo
diretório na Nuvem AWS. Este Quick Start oferece suporte ao AWS Directory Service para o Microsoft
Active Directory (Enterprise Edition), que fornece a maioria dos recursos oferecidos pelo Microsoft Active
Directory, além de integração com os aplicativos da AWS.
4
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Cenário 1: Gerenciar seu próprio AD DS
Cenários e arquitetura de
implantação
Esse Quick Start oferece modelos separados do AWS CloudFormation para oferecer suporte a três
cenários de implantação. Para cada cenário, você também tem a opção de criar uma nova VPC ou usar a
infraestrutura da VPC existente. Escolha o cenário que se adeque melhor às suas necessidades.
• Cenário 1: Implantar e gerenciar sua própria instalação do AD DS na Nuvem AWS. O modelo do AWS
CloudFormation para este cenário cria a infraestrutura da Nuvem AWS e define e configura o AD DS e o
DNS integrado na Nuvem AWS. Ele não inclui o AWS Directory Service, portanto, você mesmo precisa
lidar com todas as tarefas de manutenção e monitoramento do AD DS. Você também pode optar por
implantar o Quick Start na infraestrutura da VPC existente.
• Cenário 2: Estender o AD DS local para a Nuvem AWS. O modelo do AWS CloudFormation para este
cenário cria a infraestrutura de base da Nuvem AWS para o AD DS, e você executa várias etapas
manuais para estender a rede existente para a AWS e promover seus controladores de domínio. Como
no cenário 1, você gerencia todas as tarefas do AD DS você mesmo. Você também pode optar por
implantar o Quick Start na infraestrutura da VPC existente.
• Cenário 3: Implantar o AD DS com a AWS Directory Service na Nuvem AWS. O modelo do AWS
CloudFormation para este cenário cria a base de infraestrutura da Nuvem AWS e implanta o AWS
Directory Service para Microsoft AD, que oferece a funcionalidade de AD DS gerenciado na Nuvem
AWS. O AWS Directory Service se encarrega das tarefas do AD DS, como a criação de uma topologia
de diretório de alta disponibilidade, o monitoramento de controladores de domínio e a configuração de
backups e snapshots. Como ocorre nos primeiros dois cenários, você pode optar por implantar o Quick
Start em uma infraestrutura de VPC existente.
As seções a seguir discutem a arquitetura do Quick Start para cada cenário e explicam a automação
fornecida pelo modelo do Quick Start.
* O modelo que implanta o Início rápido em uma VPC existente ignora as tarefas marcados por asteriscos.
5
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Cenário 1: Gerenciar seu próprio AD DS
Nesta arquitetura:
6
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Cenário 2: Estender o AD DS local
O Windows Server 2012 R2 é usado para o Gateway de área de trabalho remota e as instâncias de
controlador de domínio. O modelo do AWS CloudFormation inicializa cada instância, implanta os
componentes necessários, finaliza a configuração para criar uma nova floresta do AD e promove instâncias
em duas zonas de disponibilidade para os controladores de domínio do Active Directory.
Para implantar essa pilha, siga as instruções passo a passo na seção Etapas de implantação (p. 18).
Depois da implantação dessa pilha, você pode passar para a implantação dos servidores dependentes
do AD DS na VPC. As configurações do DNS para novas instâncias estarão prontas por meio do conjunto
de opções DHCP atualizado associado à VPC. Você também precisará associar as novas instâncias ao
security group membro do domínio que é criado como parte da implantação.
• Configura a Amazon VPC, incluindo as sub-redes pública e privada em duas zonas de disponibilidade.*
• Configura dois gateways NAT nas sub-redes públicas.*
• Configura rotas privadas e públicas.*
• Permite tráfego de entrada para a VPC para acesso administrativo ao Gateway de área de trabalho
remota.*
• Iniciar as AMIs do Windows Server 2012 R2.
• Configura os security groups e as regras para o tráfego entre instâncias.
* O modelo que implanta o Início rápido em uma VPC existente ignora as tarefas marcados por asteriscos.
O modelo do AWS CloudFormation implanta a arquitetura mostrada na Figura 2, com exceção do gateway
privado virtual e a conexão VPN, que você pode criar manualmente.
7
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Cenário 2: Estender o AD DS local
Este cenário fornece um exemplo de uso de uma VPC e de um gateway privado virtual para permitir a
comunicação com sua própria rede por meio de um túnel IPsec da VPN. O Active Directory é implantado
8
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Cenário 3: Implantar o AD DS com o AWS Directory Service
no datacenter do cliente, e os servidores do Windows são implantados em duas sub-redes da VPC. Depois
da implantação da conexão VPN, você pode promover as instâncias do Windows para controladores de
domínio na floresta do Active Directory local, tornando o AD DS altamente disponível na Nuvem AWS.
Depois de implantar a conexão VPN e promover seus servidores para controladores de domínio, você
pode executar instâncias adicionais para as sub-redes vazias da VPC na web, no aplicativo ou na camada
de banco de dados. Essas instâncias precisarão acessar os controladores do domínio baseados na nuvem
para serviços de diretório seguros de baixa latência e para o DNS. Todo o tráfego de rede, incluindo a
comunicação com o AD DS, as solicitações de autenticação e a replicação do Active Directory, é protegido
dentro das sub-redes privadas ou através do túnel da VPN.
Os modelos do AWS CloudFormation que automatizam essa implementação executam as tarefas a seguir:
* O modelo que implanta o Início rápido em uma VPC existente ignora as tarefas marcados por asteriscos.
9
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Cenário 3: Implantar o AD DS com o AWS Directory Service
Figura 3: Arquitetura do Quick Start para implantação do AD DS com o AWS Directory Service
10
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Configuração de VPC
Configuração de VPC
Com a Amazon VPC, é possível definir uma topologia de rede virtual que lembre muito uma rede
tradicional que você opera em suas próprias instalações. Uma VPC pode se estender por várias zonas
de disponibilidade, o que permite que você coloque infraestrutura independente em locais fisicamente
separados. Uma implantação Multi-AZ fornece alta disponibilidade e tolerância a falhas. Nos cenários
deste guia, posicionamos os controladores de domínio em duas zonas de disponibilidade para fornecer
alta disponibilidade e acesso de baixa latência aos serviços do AD DS na Nuvem AWS.
Cada cenário é automatizado por dois modelos: um que cria uma nova VPC para a implantação, e outro
que implanta em uma VPC existente. Para acomodar o AD DS de alta disponibilidade na Nuvem AWS, o
Quick Start cria (ou requer, no caso do modelo de VPC existente) uma configuração base da Amazon VPC
que é compatível com as seguintes melhores práticas da AWS:
• Os controladores de domínio devem ser colocados em, no mínimo, duas zonas de disponibilidade para
proporcionar alta disponibilidade.
• Os controladores de domínio e outros servidores não voltados para a Internet devem ser colocados em
sub-redes privadas.
• As instâncias executadas pelos modelos de implantação fornecidos neste guia exigirão acesso à Internet
para se conectarem ao endpoint do AWS CloudFormation durante o processo de bootstrapping. Para dar
suporte a essa configuração, sub-redes públicas são usadas para hospedar gateways NAT para acesso
à Internet. O Gateway de área de trabalho remota também é implantado nas sub-redes públicas para
administração remota. Outros componentes, como servidores de proxy reverso, podem ser colocados
nessas sub-redes públicas, se necessário.
Essa arquitetura de VPC usa duas zonas de disponibilidade, cada uma com suas próprias sub-redes
públicas e privadas distintas. Recomendamos que você deixe espaço suficiente de endereço não alocado
para oferecer suporte ao crescimento de seu ambiente ao longo do tempo e para reduzir a complexidade
do projeto de sub-redes da VPC. Este Quick Start usa uma configuração de VPC padrão que fornece
bastante espaço de endereço usando o número mínimo de sub-redes públicas e privadas. Por padrão,
este Quick Start usa os seguintes intervalos de CIDR.
VPC 10.0.0.0/16
11
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Tráfego de entrada do security group
VPC 10.0.0.0/16
Além disso, o Quick Start fornece capacidade sobressalente para sub-redes adicionais, para oferecer
suporte a seu ambiente à medida que ele cresce ou muda com o passar do tempo. Se tiver cargas de
trabalho confidenciais que devem ser totalmente isoladas da Internet, você poderá criar novas sub-redes
da VPC usando esses espaços para endereços opcionais. Para obter informações e mais detalhes sobre
essa abordagem, consulte Criar uma arquitetura de rede virtual modular e escalável com a Amazon VPC.
O whitepaper Securing the Microsoft Platform on Amazon Web Services discute os diferentes métodos
para proteger sua infraestrutura da AWS. As recomendações incluem fornecer isolamento entre as
camadas do aplicativo usando security groups. Recomendamos que você controle rigorosamente o tráfego
de entrada para reduzir a superfície de ataque de suas instâncias do Amazon EC2.
Se você estiver implantando e gerenciando seus próprios controladores de domínio e servidores membro
da instalação, precisará de várias regras de security group para permitir tráfego para serviços, como
replicação do AD DS, autenticação do usuário, serviços do Windows Time e Sistema de arquivos
distribuído (DFS), entre outros. Você também deve considerar restringir essas regras a sub-redes IP
específicas que são usadas em sua VPC.
Fornecemos um exemplo de como implementar essas regras para cada nível de aplicativos mais adiante
neste guia como parte do modelo do AWS CloudFormation para cada cenário. Para obter uma lista
detalhada dos mapeamentos de portas usados pelos modelos do AWS CloudFormation, consulte a seção
Segurança (p. 40) deste guia.
Para obter uma lista completa de portas, consulte Requisitos de portas de serviços do Active Directory e
do Active Directory Domain Services na Biblioteca do Microsoft TechNet. Para obter orientações passo
a passo para implementar regras, consulte Adicionar regras a um Security Group no Guia do usuário do
Amazon EC2.
12
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Projeto do AD
implantando um gateway de área de trabalho remota (RD) em cada zona de disponibilidade. No caso de
uma interrupção da zona de disponibilidade, essa arquitetura permite o acesso aos recursos que podem
ter failover para a outra zona de disponibilidade.
O gateway de RD usa o protocolo RDP por HTTPS para estabelecer uma conexão segura e criptografada
entre os administradores remotos na Internet e nas instâncias do Amazon EC2 baseadas no Windows sem
necessidade de uma conexão de rede privada virtual (VPN). Essa configuração ajuda a reduzir a superfície
de ataque em suas instâncias do Amazon EC2 baseadas no Windows ao mesmo tempo em que fornece
uma solução de administração remota para os administradores.
Os modelos do AWS CloudFormation fornecidos com este Quick Start implantam automaticamente a
arquitetura e a configuração descritas no Quick Start para gateway de área de trabalho remota.
Depois de ter iniciado sua infraestrutura do AD seguindo as etapas de implantação deste guia, você se
conectará inicialmente às suas instâncias usando uma conexão RDP na porta TCP 3389 padrão. Em
seguida, siga as etapas no Quick Start para Gateway de área de trabalho remota para proteger futuras
conexões via HTTPS.
Topologia do site
A topologia do site do Active Directory permite que você defina logicamente suas redes físicas e virtuais.
A replicação do Active Directory envia alterações no diretório de um controlador de domínio para outro,
até que todos os controladores de domínio tenham sido atualizados. A topologia do site controla a
replicação do Active Directory entre os controladores de domínio dentro do mesmo site e entre limites do
site. O tráfego da replicação entre sites é compactado e a replicação é realizada em um agendamento
com base em um link do site. Além disso, os controladores de domínio usam a topologia do site para
fornecer afinidade de cliente, o que significa que os clientes localizados em um site específico preferirão
controladores de domínio no mesmo site.
A topologia do site é uma consideração essencial de projeto ao executar o AD DS na Nuvem AWS. Uma
topologia de site bem projetada permite que você defina sub-redes que podem ser associadas às zonas de
disponibilidade dentro da sua VPC. Essas associações ajudam a garantir que o tráfego — como consultas
do serviço de diretório, replicação do AD DS e autenticação de cliente — use o caminho mais eficiente
para um controlador de domínio. Eles também fornecem controle granular sobre o tráfego de replicação.
A Figura 4 mostra um exemplo de site e definições de sub-redes para uma arquitetura típica do AD DS em
execução em uma VPC. Os sites do Active Directory (AZ1 AZ2) foram criados no snap-in Sites e Serviços
do Active Directory. As sub-redes foram definidas e associadas a seus respectivos objetos de site.
13
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Serviços de domínio de diretório de alta disponibilidade
Ao criar sites do Active Directory que representam cada zona de disponibilidade na VPC, as sub-redes
associadas a esses sites podem ajudar a garantir que as instâncias associadas ao domínio usem
primeiramente um controlador de domínio mais próximo delas. Essa também é uma configuração de
projeto chave para manter a implantação do AD DS altamente disponível.
Para fornecer mais suporte à alta disponibilidade de sua arquitetura e ajudar a reduzir o impacto de um
possível desastre, também recomendamos a colocação de servidores de catálogo global e servidores
DNS do Active Directory em cada zona de disponibilidade. Os catálogos globais fornecem um mecanismo
para pesquisas em toda a floresta e são necessários para autenticação de logon em florestas com vários
domínios. Se você não tiver um catálogo global e um servidor DNS em cada zona de disponibilidade, o
tráfego de consultas e autenticação do AD DS pode ser feito entre zonas de disponibilidade. Embora esse
não seja tecnicamente um problema durante as operações normais, a disponibilidade do serviço AD DS
completo poderá ser afetada por uma única zona de disponibilidade.
14
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Controladores de domínio somente leitura e graváveis
Para implementar essas recomendações, sugerimos que você faça um catálogo global de cada
controlador de domínio e o servidor DNS. Essa configuração permite que o AD DS em cada zona de
disponibilidade opere de forma independente e ajuda a garantir que a disponibilidade do AD DS não seja
afetada no caso improvável de um desastre. Se uma zona de disponibilidade nessa arquitetura for cortada
de outros recursos na região, as instâncias na zona de disponibilidade ainda terão um controlador de
domínio local que pode autenticar usuários, realizar pesquisas de diretório do serviço e resolver consultas
DNS.
Os requisitos de um ambiente menor podem tornar uma única zona de disponibilidade mais atraente.
Embora o projeto do AD DS com uma única zona de disponibilidade não seja nossa recomendação,
entendemos que essa pode ser a arquitetura escolhida. Nesse caso, recomendamos que você implante
pelo menos dois controladores de domínio em sua zona de disponibilidade para fornecer redundância.
O modelo do AWS CloudFormation fornecido pelo cenário 1 (p. 5) criará uma configuração dos Sites e
Serviços do Active Directory para você automaticamente, que oferecerá suporte a uma arquitetura de alta
disponibilidade do AD DS. Se você planejar implantar o AD DS manualmente, mapeie as sub-redes de
maneira adequada para o site correto para ajudar a garantir que o tráfego do AD DS use o melhor caminho
possível.
Para obter orientações sobre a criação de sites adicionando servidores de catálogo global e a criação e
o gerenciamento de links de site, consulte a Documentação dos Sites e serviços do Active Directory da
Microsoft.
Os controladores de domínio graváveis operam em um modelo multimestre. Alterações podem ser feitas
em qualquer servidor que pode ser gravado na floresta, e essas alterações são replicadas para servidores
em toda a floresta. Várias funções chave e aplicativos empresariais da Microsoft exigem conectividade
com um controlador de domínio que pode ser gravado.
Se você estiver planejando implantar servidores de aplicativos empresariais na Nuvem AWS, um RODC
poderá não ser uma opção viável. Por exemplo, um RODC não pode processar uma redefinição de senha
para um usuário final, e o Microsoft Exchange Server não pode usar um RODC para executar pesquisas
no diretório. Compreenda os requisitos do aplicativo, as dependências no AD DS e a compatibilidade antes
considerar RODCs.
A VPC também fornece um servidor DNS interno. Esse DNS fornece serviços básicos de resolução de
nome para as instâncias para acesso à Internet e é essencial para acesso aos endpoints de serviços da
AWS, como o AWS CloudFormation e o Amazon Simple Storage Service (Amazon S3), durante o processo
de bootstrapping quando você inicia o Quick Start.
As configurações de servidor DNS fornecidas pela Amazon serão atribuídas a instâncias executadas
na VPC com base em um conjunto de opções DHCP. Os conjuntos de opções DHCP são usados em
15
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Configurações DNS em instâncias do Windows Server
uma Amazon VPC para definir opções do escopo, como o nome do domínio ou os servidores de nome,
que devem ser entregues às suas instâncias via DHCP. O DNS fornecido pela Amazon só é usado para
resolução DNS pública.
Como o DNS fornecido pela Amazon não pode ser usado para fornecer serviços de resolução de nome
para o Active Directory, você precisará garantir que as instâncias do Windows ingressadas no domínio
tenham sido configuradas para usar o DNS do Active Directory.
Como alternativa à atribuição estática de configurações do servidor DNS do Active Directory em instâncias
do Windows, você tem a opção de especificá-las usando um conjunto de opções DHCP personalizadas.
Isso permitirá que você atribua o sufixo DNS do Active Directory e os endereços IP dos servidores DNS
como os servidores de nomes na VPC via DHCP.
Note
Para obter detalhes sobre a criação de um conjunto de opções DHCP personalizadas e associá-lo à VPC,
consulte Trabalhar com conjuntos de opções DHCP no Guia do usuário da Amazon VPC.
Note
No cenário 1 (p. 5) e no cenário 3 (p. 9), o modelo do AWS CloudFormation configura o conjunto
de opções DHCP com os controladores de domínio do Active Directory como os servidores de
nomes, conforme recomendado pela documentação do AWS Directory Service. Isso significa
que as instâncias que precisarem ingressar no domínio poderão ingressar automaticamente sem
necessidade de alterações.
16
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Configurações DNS em instâncias do Windows Server
A configuração padrão para uma conexão de rede é configurada para registrar automaticamente o
endereço de conexões no DNS. Em outras palavras, conforme mostrado na Figura 5, a opção Register
this connection's addresses in DNS é selecionada automaticamente para você. Isso cuida do registro
dinâmico do registro do host (A). No entanto, se você também não selecionar a segunda opção, Use
this connection's DNS suffix in DNS registration, o registro dinâmico dos registros PTR não serão
implementados.
Se tiver um pequeno número de instâncias na VPC, você poderá optar por configurar a conexão de rede
manualmente. Para frotas maiores, você pode enviar essa configuração para todas as suas instâncias do
Windows usando a Política de grupo do Active Directory. Para obter instruções passo a passo. Consulte
Guia DNS avançado de IPv4 e IPv6 na Biblioteca do Microsoft TechNet.
17
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 1. Preparar a conta
Etapas da implantação
Siga as instruções passo a passo desta seção para configurar sua conta da AWS, iniciar os modelos e
personalizar sua implantação.
1. Se você ainda não tem uma conta da AWS, crie uma em http://aws.amazon.com seguindo as
instruções na tela. Parte do processo de cadastro envolve uma chamada de telefone e a digitação de
um PIN usando o teclado do telefone.
2. Use o seletor de região na barra de navegação para escolher a região da AWS onde você deseja
implantar o AD DS.
Considere escolher uma região mais próxima de seu datacenter ou da rede corporativa para reduzir
a latência de rede entre os sistemas em execução na AWS e os sistemas e usuários na rede
corporativa.
Importante
Se você estiver implantando o cenário 3 (p. 9), observe que o AWS Directory Service
está disponível somente nas regiões listadas na página Regiões e endpoints da AWS na
documentação da AWS. Recomendamos que você verifique a disponibilidade dos serviços
antes de escolher uma região. Caso contrário, haverá falha na implantação.
3. Crie um par de chaves em sua região preferida. Para fazer isso, no painel de navegação do console
do Amazon EC2, selecione Pares de chaves, Criar par de chaves, digite um nome e selecione Criar.
18
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 1. Preparar a conta
O Amazon EC2 usa a criptografia de chave pública para criptografar e descriptografar informações
de login. Para poder fazer login em suas instâncias, você deve criar um par de chaves. Em instâncias
do Windows, usamos o par de chaves para obter a senha de administrador através do console do
Amazon EC2 e, em seguida, efetuamos o login usando o protocolo de área de trabalho remota (RDP),
conforme explicado nas Instruções passo a passo no Guia de usuário do Amazon Elastic Compute
Cloud.
4. Se necessário, solicite um aumento do limite de serviço para o tipo de instância m4.xlarge. Para fazer
isso, no AWS Support Center, selecione Criar caso, Aumento de Service Limit, instâncias do EC2 e
preencha os campos no formulário de aumento de limite. O limite padrão para esse tipo de instância é
20 instâncias.
Talvez seja necessário solicitar um aumento se você já tiver uma implantação que use esse tipo de
instância cujo limite padrão possa ser excedido com essa implantação de referência. Pode levar
alguns dias para que o novo Service Limits entre em vigor. Para obter mais informações, consulte
Service Limits do Amazon EC2 na documentação da AWS.
19
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 1. Preparar a conta
20
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
1. Escolha uma das opções a seguir para implantar o modelo do AWS CloudFormation em sua conta
da AWS. Para obter ajuda com a escolha de uma opção, consulte a discussão de cenários de
implantação (p. 5) apresentada anteriormente neste guia.
Cenário 1 (p. 5)
Cenário 2 (p. 7) Cenário 3 (p. 9)
Implantar e gerenciar
Estender o AD DS Implantar o AD DS com o AWS
sua própria instalação
local para a AWS Directory Service na AWS
do AD DS na AWS
Por padrão, o modelo é iniciado na região Leste dos EUA (Ohio). É possível alterar a região usando o
seletor de região na barra de navegação.
Você é responsável pelo custo dos serviços da AWS usados durante a execução dessa
implantação de referência de Início rápido. Não há custo adicional para usar este Início
rápido. Para as estimativas de custo, consulte as páginas de definição de preço para cada
serviço da AWS que você usará neste Início rápido.
2. Na página Selecionar modelo, mantenha o URL padrão para o modelo do AWS CloudFormation e,
então, selecione Próximo.
3. Na página Especificar detalhes, revise os parâmetros para o modelo. Forneça valores para os
parâmetros que requerem entrada. Para todos os outros parâmetros, revise as configurações padrão
e personalize-os conforme necessário. Quando terminar de revisar e personalizar os parâmetros,
selecione Próximo.
Note
Também é possível fazer o download dos modelos e editá-los para criar seus próprios
parâmetros baseados em seu cenário da implantação especifico.
Nas tabelas a seguir, os parâmetros estão listados e descritos separadamente para o cenário
1 (p. 21), o cenário 2 (p. 25) e o cenário 3 (p. 29).
Note
Os dois modelos fornecidos para cada cenário compartilham a maioria dos mesmos
parâmetros, mas não todos. Por exemplo, o modelo para uma VPC existente também solicita
os IDs da VPC e da sub-rede privada no ambiente da VPC existente.
Visualizar o modelo para a nova VPC Visualizar o modelo para a VPC existente
Configuração de rede:
22
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
23
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
24
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
Visualizar o modelo para a nova VPC Visualizar o modelo para a VPC existente
Note
O intervalos CIDR padrão neste modelo são fornecidos como exemplos para ajudar a
começar e podem ser modificados para atender às suas necessidades específicas. Observe
que os blocos CIDR fornecidos podem se sobrepor com suas redes locais. Se esse for o
caso, você precisará usar intervalos de CIDR exclusivos para implantar uma conexão VPN
com êxito.
Configuração de rede:
25
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
26
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
27
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
28
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
Visualizar o modelo para a nova VPC Visualizar o modelo para a VPC existente
Configuração de rede:
29
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
30
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 2. Execute o Início rápido
4. Na página Opções, você pode especificar tags (pares de chave-valor) para os recursos em sua stack
e definir opções adicionais. Quando concluir, selecione Próximo.
31
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Etapa 3. Tarefas pós-implantação para o cenário 2
1. Conecte sua rede local à VPC usando o AWS Direct Connect ou uma conexão VPN.
2. Adicione controladores de domínio à Nuvem AWS para oferecer uma conexão de rede confiável e de
baixa latência para os recursos na AWS que precisam de acesso ao AD DS.
3. Configure os Sites e Serviços do Active Directory local para incluir sites e sub-redes que representam as
zonas de disponibilidade na sua VPC.
4. Promova as instâncias do Windows Server na sub-rede privada 1 e na sub-rede privada 2 para
controladores de domínio no domínio do Active Directory.
5. Verifique se as instâncias podem resolver nomes por meio do AD DNS usando um dos seguintes
métodos:
• Atribua estaticamente servidores do AD DNS em instâncias do Windows.
—ou—
• Defina o campo domain-name-servers em um novo conjunto de opções DHCP em sua VPC para
incluir seus controladores de domínio baseados na AWS que hospedam DNS do Active Directory.
32
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Conectar sua rede local à VPC
Várias opções de configuração de VPN estão disponíveis, incluindo a capacidade de usar vários gateways
do cliente no local e a configuração de conexões VPN redundantes para fornecer failover. Para obter mais
detalhes, consulte Exemplos de configuração da VPN no Guia do usuário da Amazon VPC. Detalhes sobre
quais dispositivos de hardware ou de software você pode usar estão disponíveis nas seções Dispositivos
de gateway de cliente que testamos e Requisitos de dispositivos de gateway de cliente no Guia do
administrador de rede da Amazon VPC.
33
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Conectar sua rede local à VPC
Figura 10: Como o AWS Direct Connect faz interface com a rede
Quando você escolhe o AWS Direct Connect para estender sua rede local para a nuvem, você deve
considerar a configuração de duas conexões dedicadas para obter o máximo de redundância. Há
diferentes opções de configuração disponíveis quando você provisiona duas conexões dedicadas,
incluindo ativo/ativo (BGP multipath) e ativo/passivo (failover).
Em uma configuração de failover, apenas um link de conexão lida com o tráfego. Se esse link se tornar
indisponível, o link da conexão de standby se tornará ativo. Recomendamos configurar os dois links de
conexão como ativos, pois isso pode ajudar a garantir que o tráfego de rede faça o balanceamento de
carga nas duas conexões. Em uma configuração ativa, se um link da conexão se tornar indisponível, todo
o tráfego será direcionado para o outro link.
Para obter detalhes de implementação, consulte Conceitos básicos no Guia do usuário do AWS Direct
Connect.
34
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Implantar controladores de domínio adicionais
Na arquitetura mostrada na Figura 11, uma única floresta do Active Directory foi estendida a partir de uma
implantação local em uma VPC usando uma conexão VPN. Na VPC, controladores de domínio adicionais
configurados como catálogos globais e servidores DNS são implantados na floresta do Active Directory
existente.
35
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Implantar controladores de domínio adicionais
Figura 11: Floresta única do AD com um controlador de domínio no local e em uma VPC
Neste tipo de ambiente, a rede do cliente estará definida nos Sites e Serviços do Active Directory. Por
exemplo, já há uma definição de site que corresponde à rede local, junto com uma definição de sub-rede
para a rede 192.168.1.0/24. A próxima etapa é configurar os Sites e Serviços do Active Directory para
oferecer suporte aos componentes de rede na VPC.
36
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Configurar os Sites e Serviços do AD
Configurando adequadamente os Sites e Serviços do Active Directory, você pode ajudar a garantir que
as consultas e as solicitações de autenticação do AD DS originadas na VPC sejam atendidas por um
controlador de domínio local na mesma zona de disponibilidade da AWS. Essa configuração reduz a
latência de rede e minimiza o tráfego que, de outra forma, pode precisar viajar pela VPN de volta para a
infraestrutura local.
Conforme discutido anteriormente, por padrão, um servidor DNS fornecido pela Amazon será atribuído
às instâncias executadas na VPC, o que não fornecerá resolução DNS para a infraestrutura local. Para
resolver isso, você pode proceder de uma das seguintes maneiras:
• Atribuir manualmente as configurações do servidor DNS nas instâncias do Windows. Essa configuração
de DNS estático inicialmente aponta para o servidor DNS do Active Directory local. Depois de
promover a instância a uma controladora de domínio, você pode modificar a configuração para usar um
endereço IP de servidor DNS do Active Directory baseado na nuvem para impedir que consultas DNS
subsequentes atravessem o link de volta para o ambiente local.
—ou—
• Configurar inicialmente o conjunto de opções de DHCP da Amazon VPC para atribuir o endereço IP do
servidor DNS do Active Directory às instâncias executadas na Amazon VPC. Depois que as instâncias
do Windows tiverem sido ingressadas no domínio e promovidas para controladoras de domínio, você
poderá criar um novo conjunto de opções de DHCP para atribuir o endereço IP das instâncias do
servidor DNS do Active Directory em execução na AWS.
37
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Solução de problemas
P: Encontrei um erro CREATE_FAILED quando executei o Início rápido.
R. Se o AWS CloudFormation falhar em criar a stack, recomendamos que você reinicie o modelo com
reversão em caso de falha configurada como Não. (Essa configuração está em Avançado na página
Opções do console do AWS CloudFormation.) Com esta configuração, o estado da stack será retido e a
instância permanecerá em execução para que você possa resolver o problema. (Verifique os arquivos de
registro em %ProgramFiles%\Amazon\EC2ConfigService e na pasta C:\cfn\log.)
Importante
Ao configurar reversão em caso de falha como Não, você continuará a incorrer em taxas AWS
para este stack. Certifique-se de excluir a stack ao terminar a resolução de problemas.
A tabela a seguir fornece uma lista de mensagens de erro de CREATE_FAILED específicas que podem ser
encontradas.
API: ec2: RunInstances não O modelo se refere a uma AMI Nós atualizamos AMIs
autorizadas para imagens: ami- que expirou regularmente, mas nossa
ID programação não está sempre
sincronizada com as atualizações
AMI da AWS. Se você receber
esta mensagem de erro,
entre em contato conosco e
atualizaremos o modelo com a
nova ID de AMI.
Atualmente, não temos Uma das instâncias requer um Alterne para um tipo de instância
capacidade suficiente para tipo de instância maior que seja compatível com
m4.xlarge na AZ solicitada capacidade maior, ou preencha o
formulário de solicitação no AWS
Support Center para aumentar
o limite do Amazon EC2 para
o tipo de instância ou região.
Os aumentos de limite estão
vinculados à região para a qual
são solicitados.
A ID de instância não Você excedeu seu IOPS para a Solicite um aumento de limite
estabilizou região preenchendo o formulário de
solicitação no AWS Support
Center.
38
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Para mais informações, consulte Solução de problemas do AWS CloudFormation no site da AWS.
R. Recomendamos que você inicie os modelos do Início rápido a partir do local que fornecemos ou a partir
de outro bucket do S3. Se você implantar os modelos a partir de uma cópia local em seu computador ou
a partir de um local não S3, você pode se deparar com limitações do tamanho do modelo ao criar a stack.
Para mais informações sobre os limites do AWS CloudFormation, consulte a documentação da AWS.
39
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Segurança
A AWS fornece um conjunto de blocos de construção, incluindo os serviços do Amazon EC2 e da Amazon
VPC, que você pode usar para provisionar a infraestrutura de seus aplicativos. Neste modelo, alguns
recursos de segurança, como a segurança física, são de responsabilidade da AWS e são destacados
no Whitepaper de segurança da AWS. Outros recursos, como controlar o acesso aos aplicativos, são de
responsabilidade do desenvolvedor do aplicativo e das ferramentas fornecidas na plataforma da Microsoft.
Se você tiver seguido as opções de implantação automatizadas neste guia, os security groups necessários
serão configurados para você pelos modelos do AWS CloudFormation fornecidos, e estão listados aqui
para sua referência.
40
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
PrivateSubnet1CIDR TCP5985,
(sub-rede em que o DC TCP53, UDP53,
primário é implantado) TCP49152-65535,
UDP49152-65535
DomainMemberSG RDGW1, RDGW2
PrivateSubnet2CIDR TCP5985,
(sub-rede em que TCP53, UDP53,
o DC secundário é TCP49152-65535,
implantado) UDP49152-65535
41
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
PublicSubnet1CIDR TCP3389
(sub-rede em que o
Gateway de área de
trabalho remota é
implantado na zona de
disponibilidade 1)
PublicSubnet2CIDR TCP3389
(sub-rede em que o
Gateway de área de
trabalho remota é
implantado na zona de
disponibilidade 2)
Importante
O RDP nunca deve ser aberto para toda a Internet, nem mesmo temporariamente ou para fins
de teste. Para obter mais informações, consulte este Boletim de segurança da Amazon. Sempre
restringir as portas e o tráfego de origem para o mínimo necessário para oferecer suporte à
funcionalidade do aplicativo. Para obter mais informações sobre como proteger o Gateway de
área de trabalho remota, consulte o whitepaper Proteger a plataforma da Microsoft na Amazon
Web Services.
42
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Recursos adicionais
Serviços da AWS
• AWS CloudFormation
• Guia do usuário do Amazon EC2 para Windows
• Amazon VPC:
• Guia do usuário
• Cenários básicos
• Guia do administrador de redes
• NAT Gateway
• AWS Direct Connect
• AWS Directory Service
• Microsoft na AWS
• Proteção da plataforma Microsoft na AWS
43
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Enviar comentários
Visite nosso Repositório do GitHub para fazer download dos modelos e scripts deste Quick Start, postar
comentários e compartilhar suas personalizações com outras pessoas.
44
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Revisões do documento
Data Alteração Local
Setembro de 2015 Nos modelos de exemplo, o tipo Etapas da implantação (p. 18)
padrão do Active Directory e (tabelas de personalização de
das instâncias de RD Gateway modelo)
foi alterado de m3.xlarge para
m4.xlarge para melhorar o
desempenho e o preço.
45
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Avisos
Este guia de implantação é fornecido apenas para fins informativos. Ele relaciona as atuais ofertas
de produtos e práticas da AWS a contar da data de emissão deste documento, que estão sujeitas a
alterações sem aviso prévio. Os clientes são responsáveis por fazer sua própria avaliação independente
das informações neste documento e de qualquer uso dos produtos ou serviços da AWS, cada um dos
quais é fornecido "como está", sem garantia de qualquer tipo, expressa ou implícita. Este documento não
cria quaisquer garantias, representações, compromissos contratuais, condições ou seguros da AWS, suas
afiliadas, fornecedores ou licenciadores. As responsabilidades e as obrigações da AWS com os seus
clientes são controladas por contratos da AWS, e este documento não é parte, nem modifica, qualquer
contrato entre a AWS e seus clientes.
O software incluído neste guia é licenciado de acordo com a Licença Apache, versão 2.0 (a "Licença").
Este arquivo não deve ser usado, exceto em conformidade com a licença. Uma cópia da licença pode ser
encontrada em http://aws.amazon.com/apache2.0/ ou no arquivo "licença" que acompanha este arquivo.
Esse código é distribuído "NO ESTADO EM QUE SE ENCONTRA", SEM GARANTIAS OU CONDIÇÕES
DE QUALQUER TIPO, seja expressa ou implícita. Consulte a licença para conhecer as permissões e
limitações específicas do idioma na licença.
46