Active Directory On AWS PDF

Serviços do domínio do
Active Directory na AWS

Guia de implantação de
referência do Início rápido
Serviços do domínio do Active Directory na AWS
Guia de implantação de referência do Início rápido
Serviços do domínio do Active Directory na AWS: Guia de implantação de

referência do Início rápido
Copyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner
that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not
owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by
Amazon.
Table of Contents
Início ................................................................................................................................................ 1
Sobre os Inícios rápidos .............................................................................................................. 2
Visão geral ........................................................................................................................................ 3
AD DS na AWS ......................................................................................................................... 3
Custo e licenças ......................................................................................................................... 3
Serviços da AWS ....................................................................................................................... 3
Cenários e arquitetura de implantação ................................................................................................... 5
Cenário 1: Gerenciar seu próprio AD DS ....................................................................................... 5
Cenário 2: Estender o AD DS local ............................................................................................... 7
Cenário 3: Implantar o AD DS com o AWS Directory Service ............................................................ 9
Considerações sobre design ............................................................................................................... 11
Configuração de VPC ................................................................................................................ 11
Tráfego de entrada do security group .......................................................................................... 12
Configurar acesso administrativo seguro ...................................................................................... 12
Projeto do AD .......................................................................................................................... 13
Topologia do site .............................................................................................................. 13
Serviços de domínio de diretório de alta disponibilidade .......................................................... 14
Controladores de domínio somente leitura e graváveis ........................................................... 15
DNS e DHCP do Active Directory ........................................................................................ 15
Configurações DNS em instâncias do Windows Server ........................................................... 16
Etapas da implantação ...................................................................................................................... 18
Etapa 1. Preparar a conta .......................................................................................................... 18
Etapa 2. Execute o Início rápido ................................................................................................. 21
Etapa 3. Tarefas pós-implantação para o cenário 2 ........................................................................ 32
Conectar sua rede local à VPC ........................................................................................... 32
Implantar controladores de domínio adicionais ...................................................................... 35
Configurar os Sites e Serviços do AD .................................................................................. 37
Configurar a resolução DNS ............................................................................................... 16
Solução de problemas ....................................................................................................................... 38
Segurança ....................................................................................................................................... 40
Recursos adicionais .......................................................................................................................... 43
Feedback ......................................................................................................................................... 44
Revisões do documento ..................................................................................................................... 45
.............................................................................................................................................. 46
iii
Serviços de Domínio do Active

Directory na nuvem AWS:
implantação de referência de Início
rápido
Guia de implantação
Santiago Cardenas
arquiteto de soluções - equipe de referência do AWS Quick Start
Março de 2014 (última atualização (p. 45): julho de 2017)
Este guia de implantação de referência do Quick Start inclui as considerações de arquitetura e as etapas
de configuração para implantação de um ambiente de alta disponibilidade do Active Directory Domain
Services (AD DS) na Nuvem Amazon Web Services (AWS). Ela também fornece links para visualizar e
ativar modelos do AWS CloudFormation que automatizam a implantação.
O guia é para arquitetos de infraestrutura de TI e administradores que desejam projetar e implantar uma
solução para iniciar o AD DS na Nuvem AWS ou estender o AD DS local para a Nuvem AWS.
Os links a seguir são para a sua conveniência. Antes de ativar o Início rápido, confira a arquitetura, a
configuração, a segurança de rede e outras considerações discutidas neste guia.
• Se tiver uma conta da AWS e já estiver familiarizado com o AD DS e a AWS, você poderá iniciar o
Quick Start para implantar uma nova instalação do AD DS em uma nova VPC na AWS. A implantação
leva aproximadamente uma hora. (Para estender o AD DS local existente para a nuvem da AWS, para
implementar o AD DS com o AWS Directory Service ou para implementar o AD DS na infraestrutura de
uma VPC existente, consulte a seção Etapas de implantação (p. 18).)

• Se desejar obter mais detalhes, você pode visualizar o modelo para ver o script do AWS CloudFormation
que automatiza a implantação de um novo AD DS. É possível personalizar o modelo durante a execução
ou baixá-lo e estendê-lo a outros projetos.
1
Sobre os Inícios rápidos
Note
Você é responsável pelos custos relacionados a todos os serviços da AWS usados durante a
execução dessa implantação de referência de Início rápido. Não há custo adicional para usar o
Início rápido. Para as estimativas de custo, consulte as páginas de definição de preço para cada
serviço da AWS que você usará neste Início rápido.
Sobre os Inícios rápidos

Os Inícios rápidos são implantações de referência automatizadas para as principais cargas de trabalho
na Nuvem AWS. Cada Início rápido inicia, configura e executa a computação, a rede e o armazenamento
da AWS, além de outros serviços necessários para implantar uma carga de trabalho específica na AWS,
usando as melhores práticas da AWS para segurança e disponibilidade.
2
AD DS na AWS
Visão geral
AD DS na AWS
A Amazon Web Services (AWS) fornece um conjunto abrangente de ferramentas e serviços para
implantação de cargas de trabalho baseadas no Microsoft Windows em sua infraestrutura de nuvem
confiável e segura. O Active Directory Domain Services (AD DS) e o Domain Name Server (DNS) são
os serviços essenciais do Windows que fornecem a base para muitas soluções de classe empresarial
baseadas na Microsoft, incluindo o SharePoint, o Microsoft Exchange e aplicativos .NET.
Este Quick Start é para as organizações que executam cargas de trabalho na nuvem da AWS que exigem
conectividade segura e de baixa latência com os serviços do AD DS e do DNS. Depois de ler este guia, a
equipe de infraestrutura de TI deve ter uma boa compreensão de como criar e implantar uma solução para
iniciar o AD DS na nuvem da AWS ou estender seu AD DS local para a Nuvem AWS.
Este Quick Start pressupõe que você já esteja familiarizado com o Active Directory e o DNS. Para obter
detalhes, consulte a documentação do produto da Microsoft.
Este guia está focalizado nos tópicos da configuração da infraestrutura que exigem consideração
cuidadosa no planejamento e na implantação do AD DS, das instâncias de controlador de domínio e dos
serviços DNS na Nuvem AWS. Não abordamos as tarefas gerais de instalação do Windows Server e de
configuração do software. Para orientação geral de configuração de software e melhores práticas, consulte
a documentação de produto da Microsoft.
Custo e licenças
Você é responsável pelo custo dos serviços da AWS usados durante a execução dessa implantação de
referência de Início rápido. Não há custo adicional para usar o Início rápido. Para as estimativas de custo,
consulte as páginas de definição de preço para cada serviço da AWS que você usará neste Início rápido.
Este Início rápido executa a Imagem de máquina da Amazon (AMI) para o Microsoft Windows Server 2012
R2 e inclui a licença para o sistema operacional Windows Server. A AMI é atualizada regularmente com
o pacote de serviço mais recente do sistema operacional, portanto, não é necessário instalar nenhuma
atualização. O Windows Server AMI não requer licenças de acesso de clientes (CALs) e inclui duas
licenças do Microsoft Remote Desktop Services. Para obter detalhes, consulte Licenciamento da Microsoft
na AWS.
Serviços da AWS
Os principais componentes da AWS usados por este Início rápido incluem os seguintes serviços da AWS.
Se você é novo na AWS, consulte a seção Conceitos básicos da documentação da AWS.
• Amazon VPC - O serviço Amazon Virtual Private Cloud (Amazon VPC) permite provisionar uma seção
isolada e privada da Nuvem AWS onde é possível executar serviços da AWS e outros recursos em
uma rede virtual que você mesmo define. Você tem controle total sobre seu ambiente de rede virtual,
incluindo a seleção do seu próprio intervalo de endereços IP, criação de subnets e configuração de
tabelas de roteamento e gateways de rede.
• Amazon EC2 - O serviço Amazon Elastic Compute Cloud (Amazon EC2) permite executar instâncias de
máquinas virtuais com uma variedade de sistemas operacionais. É possível escolher uma Imagem de
máquina da Amazon (AMI) existente ou importar imagens da sua própria máquina virtual.
3
Serviços da AWS
• NAT Gateway - NAT gateways são dispositivos de translação de endereços de rede (network address
translation, NAT) que fornecem acesso de saída à internet para instâncias em sub-redes privadas, mas
impedem a internet de acessar essas instâncias. Os NAT gateways oferecem maior disponibilidade
e largura de banda do que instâncias NAT. O serviço NAT Gateway é um serviço gerenciado que
administra os NAT gateways para você.
• AWS Direct Connect – o serviço AWS Direct Connect permite estabelecer uma conexão privada entre
a AWS e seu datacenter local. Com essa conexão estabelecida, você pode criar interfaces virtuais para
estabelecer conectividade privada com várias VPCs ignorando os provedores de serviços de Internet no
caminho da rede.
• AWS Directory Service – o AWS Directory Service facilita a configuração e a operação de um novo
diretório na Nuvem AWS. Este Quick Start oferece suporte ao AWS Directory Service para o Microsoft
Active Directory (Enterprise Edition), que fornece a maioria dos recursos oferecidos pelo Microsoft Active
Directory, além de integração com os aplicativos da AWS.
4
Cenário 1: Gerenciar seu próprio AD DS
Cenários e arquitetura de
implantação
Esse Quick Start oferece modelos separados do AWS CloudFormation para oferecer suporte a três
cenários de implantação. Para cada cenário, você também tem a opção de criar uma nova VPC ou usar a
infraestrutura da VPC existente. Escolha o cenário que se adeque melhor às suas necessidades.
• Cenário 1: Implantar e gerenciar sua própria instalação do AD DS na Nuvem AWS. O modelo do AWS
CloudFormation para este cenário cria a infraestrutura da Nuvem AWS e define e configura o AD DS e o
DNS integrado na Nuvem AWS. Ele não inclui o AWS Directory Service, portanto, você mesmo precisa
lidar com todas as tarefas de manutenção e monitoramento do AD DS. Você também pode optar por
implantar o Quick Start na infraestrutura da VPC existente.
• Cenário 2: Estender o AD DS local para a Nuvem AWS. O modelo do AWS CloudFormation para este
cenário cria a infraestrutura de base da Nuvem AWS para o AD DS, e você executa várias etapas
manuais para estender a rede existente para a AWS e promover seus controladores de domínio. Como
no cenário 1, você gerencia todas as tarefas do AD DS você mesmo. Você também pode optar por
implantar o Quick Start na infraestrutura da VPC existente.
• Cenário 3: Implantar o AD DS com a AWS Directory Service na Nuvem AWS. O modelo do AWS
CloudFormation para este cenário cria a base de infraestrutura da Nuvem AWS e implanta o AWS
Directory Service para Microsoft AD, que oferece a funcionalidade de AD DS gerenciado na Nuvem
AWS. O AWS Directory Service se encarrega das tarefas do AD DS, como a criação de uma topologia
de diretório de alta disponibilidade, o monitoramento de controladores de domínio e a configuração de
backups e snapshots. Como ocorre nos primeiros dois cenários, você pode optar por implantar o Quick
Start em uma infraestrutura de VPC existente.
As seções a seguir discutem a arquitetura do Quick Start para cada cenário e explicam a automação
fornecida pelo modelo do Quick Start.
Cenário 1: Implantar e gerenciar seu próprio AD DS

na AWS
Este cenário é baseado em uma nova instalação do AD DS na Nuvem AWS sem o AWS Directory Service.
Os modelos do AWS CloudFormation que automatizam essa implementação executam as seguintes
tarefas para configurar a arquitetura ilustrada na Figura 1:
• Configura a VPC, incluindo as sub-redes pública e privada em duas zonas de disponibilidade.*

• Configura dois gateways NAT nas sub-redes públicas.*
• Configura rotas privadas e públicas.*
• Permite tráfego de entrada para a VPC para acesso administrativo ao Gateway de área de trabalho
remota.*
• Inicia as Imagens de máquina da Amazon (AMIs) do Windows Server 2012 R2 e instala e configura o AD
DS e o DNS integrado ao AD.
• Configura os security groups e as regras para o tráfego entre instâncias.
• Configura e define os sites e sub-redes do Active Directory.
* O modelo que implanta o Início rápido em uma VPC existente ignora as tarefas marcados por asteriscos.
5
Cenário 1: Gerenciar seu próprio AD DS
Figura 1: Arquitetura do Quick Start para AD DS de alta disponibilidade na AWS
Nesta arquitetura:
6
Cenário 2: Estender o AD DS local
• Os controladores de domínio são implantados em duas sub-redes da VPC privada em zonas de

disponibilidade separadas, tornando o AD DS altamente disponível.
• Os gateways NAT são implantados em sub-redes públicas, fornecendo acesso à Internet de saída para
instâncias em sub-redes privadas.
• Os Gateways de área de trabalho remota são implantados em um grupo do Auto Scaling para as sub-
redes públicas para proteger o acesso remoto a instâncias em sub-redes privadas.
O Windows Server 2012 R2 é usado para o Gateway de área de trabalho remota e as instâncias de
controlador de domínio. O modelo do AWS CloudFormation inicializa cada instância, implanta os
componentes necessários, finaliza a configuração para criar uma nova floresta do AD e promove instâncias
em duas zonas de disponibilidade para os controladores de domínio do Active Directory.
Para implantar essa pilha, siga as instruções passo a passo na seção Etapas de implantação (p. 18).
Depois da implantação dessa pilha, você pode passar para a implantação dos servidores dependentes
do AD DS na VPC. As configurações do DNS para novas instâncias estarão prontas por meio do conjunto
de opções DHCP atualizado associado à VPC. Você também precisará associar as novas instâncias ao
security group membro do domínio que é criado como parte da implantação.
Cenário 2: Estender a instalação do AD DS local

para a Nuvem AWS
Este cenário é para usuários que desejam usar a instalação existente do AD DS e estender sua rede
local para a VPC, quando uma nova implantação do AD DS não for uma opção. Os modelos do AWS
CloudFormation que automatizam essa implementação executam as tarefas a seguir:
• Configura a Amazon VPC, incluindo as sub-redes pública e privada em duas zonas de disponibilidade.*
• Permite tráfego de entrada para a VPC para acesso administrativo ao Gateway de área de trabalho
remota.*
• Iniciar as AMIs do Windows Server 2012 R2.
O modelo do AWS CloudFormation implanta a arquitetura mostrada na Figura 2, com exceção do gateway
privado virtual e a conexão VPN, que você pode criar manualmente.
7
Cenário 2: Estender o AD DS local
Figura 2: Arquitetura do Quick Start para estender o AD DS local para a AWS
Este cenário fornece um exemplo de uso de uma VPC e de um gateway privado virtual para permitir a
comunicação com sua própria rede por meio de um túnel IPsec da VPN. O Active Directory é implantado
8
Cenário 3: Implantar o AD DS com o AWS Directory Service
no datacenter do cliente, e os servidores do Windows são implantados em duas sub-redes da VPC. Depois
da implantação da conexão VPN, você pode promover as instâncias do Windows para controladores de
domínio na floresta do Active Directory local, tornando o AD DS altamente disponível na Nuvem AWS.
Depois de implantar a conexão VPN e promover seus servidores para controladores de domínio, você
pode executar instâncias adicionais para as sub-redes vazias da VPC na web, no aplicativo ou na camada
de banco de dados. Essas instâncias precisarão acessar os controladores do domínio baseados na nuvem
para serviços de diretório seguros de baixa latência e para o DNS. Todo o tráfego de rede, incluindo a
comunicação com o AD DS, as solicitações de autenticação e a replicação do Active Directory, é protegido
dentro das sub-redes privadas ou através do túnel da VPN.
Cenário 3: Implantar o AD DS com o AWS Directory

Service na Nuvem AWS
Este cenário é semelhante ao cenário 1, com a exceção de que ele inclui o AWS Directory Service para
provisionar e gerenciar o AD DS na Nuvem AWS. Em vez de gerenciar o AD DS inteiro você mesmo, você
usa o AWS Directory Service para tarefas, como criar uma topologia de diretório de alta disponibilidade,
monitorar controladores de domínio e configurar backups e snapshots.
O AWS Directory Service implanta o AD DS em várias zonas de disponibilidade e detecta e substitui

automaticamente controladores de domínio com falha. O AWS Directory Service também controla tarefas
demoradas, como gerenciamento de patches, atualizações de software, replicação de dados, backups
de snapshot, monitoramento de replicação e restaurações pontuais. Para obter mais informações sobre o
AWS Directory Service, consulte os detalhes do produto e a documentação da AWS.
Os modelos do AWS CloudFormation que automatizam essa implementação executam as tarefas a seguir:
• Configura a VPC, incluindo as sub-redes pública e privada em duas zonas de disponibilidade.*

• Permite tráfego de entrada para a Amazon VPC para acesso administrativo ao Gateway de área de
trabalho remota.*
• Configura o AWS Directory Service para provisionar e gerenciar o AD DS nas sub-redes privadas.
A arquitetura para este cenário é ilustrada na Figura 3.
9
Cenário 3: Implantar o AD DS com o AWS Directory Service
Figura 3: Arquitetura do Quick Start para implantação do AD DS com o AWS Directory Service
10
Configuração de VPC
Considerações sobre design

A implantação de um AD DS funcional na Nuvem AWS exige uma boa compreensão dos serviços
específicos da AWS. Nesta seção, discutiremos as principais considerações para as novas implantações
do AD DS e as extensões das implantações existentes do AD DC na Nuvem AWS. Discutimos como
usar a Amazon VPC para definir suas redes na nuvem e abordamos o posicionamento do controlador de
domínio, os sites do Active Directory e a configuração dos serviços, e como o DNS e o DHCP funcionam
na Amazon VPC.
Configuração de VPC
Com a Amazon VPC, é possível definir uma topologia de rede virtual que lembre muito uma rede
tradicional que você opera em suas próprias instalações. Uma VPC pode se estender por várias zonas
de disponibilidade, o que permite que você coloque infraestrutura independente em locais fisicamente
separados. Uma implantação Multi-AZ fornece alta disponibilidade e tolerância a falhas. Nos cenários
deste guia, posicionamos os controladores de domínio em duas zonas de disponibilidade para fornecer
alta disponibilidade e acesso de baixa latência aos serviços do AD DS na Nuvem AWS.
Cada cenário é automatizado por dois modelos: um que cria uma nova VPC para a implantação, e outro
que implanta em uma VPC existente. Para acomodar o AD DS de alta disponibilidade na Nuvem AWS, o
Quick Start cria (ou requer, no caso do modelo de VPC existente) uma configuração base da Amazon VPC
que é compatível com as seguintes melhores práticas da AWS:
• Os controladores de domínio devem ser colocados em, no mínimo, duas zonas de disponibilidade para
proporcionar alta disponibilidade.
• Os controladores de domínio e outros servidores não voltados para a Internet devem ser colocados em
sub-redes privadas.
• As instâncias executadas pelos modelos de implantação fornecidos neste guia exigirão acesso à Internet
para se conectarem ao endpoint do AWS CloudFormation durante o processo de bootstrapping. Para dar
suporte a essa configuração, sub-redes públicas são usadas para hospedar gateways NAT para acesso
à Internet. O Gateway de área de trabalho remota também é implantado nas sub-redes públicas para
administração remota. Outros componentes, como servidores de proxy reverso, podem ser colocados
nessas sub-redes públicas, se necessário.
Essa arquitetura de VPC usa duas zonas de disponibilidade, cada uma com suas próprias sub-redes
públicas e privadas distintas. Recomendamos que você deixe espaço suficiente de endereço não alocado
para oferecer suporte ao crescimento de seu ambiente ao longo do tempo e para reduzir a complexidade
do projeto de sub-redes da VPC. Este Quick Start usa uma configuração de VPC padrão que fornece
bastante espaço de endereço usando o número mínimo de sub-redes públicas e privadas. Por padrão,
este Quick Start usa os seguintes intervalos de CIDR.
VPC 10.0.0.0/16
Sub-redes privadas A 10.0.0.0/17
Zona de disponibilidade 1 10.0.0.0/19
11
Tráfego de entrada do security group
VPC 10.0.0.0/16
Sub-redes públicas 10.0.128.0/18
Além disso, o Quick Start fornece capacidade sobressalente para sub-redes adicionais, para oferecer
suporte a seu ambiente à medida que ele cresce ou muda com o passar do tempo. Se tiver cargas de
trabalho confidenciais que devem ser totalmente isoladas da Internet, você poderá criar novas sub-redes
da VPC usando esses espaços para endereços opcionais. Para obter informações e mais detalhes sobre
essa abordagem, consulte Criar uma arquitetura de rede virtual modular e escalável com a Amazon VPC.
Tráfego de entrada do security group

Quando executadas, as instâncias do Amazon EC2 devem ser associadas a um security group que atue
como um firewall stateful. Você tem controle total sobre o tráfego da rede que entra ou sai do security
group, e pode criar regras granulares limitadas que estão no escopo do protocolo, o número da porta e o
endereço IP de origem/destino ou outros security groups. Por padrão, todo o tráfego de saída do security
group é permitido. No entanto, o tráfego de entrada deve ser configurado para permitir que o tráfego
apropriado alcance suas instâncias.
O whitepaper Securing the Microsoft Platform on Amazon Web Services discute os diferentes métodos
para proteger sua infraestrutura da AWS. As recomendações incluem fornecer isolamento entre as
camadas do aplicativo usando security groups. Recomendamos que você controle rigorosamente o tráfego
de entrada para reduzir a superfície de ataque de suas instâncias do Amazon EC2.
Se você estiver implantando e gerenciando seus próprios controladores de domínio e servidores membro
da instalação, precisará de várias regras de security group para permitir tráfego para serviços, como
replicação do AD DS, autenticação do usuário, serviços do Windows Time e Sistema de arquivos
distribuído (DFS), entre outros. Você também deve considerar restringir essas regras a sub-redes IP
específicas que são usadas em sua VPC.
Fornecemos um exemplo de como implementar essas regras para cada nível de aplicativos mais adiante
neste guia como parte do modelo do AWS CloudFormation para cada cenário. Para obter uma lista
detalhada dos mapeamentos de portas usados pelos modelos do AWS CloudFormation, consulte a seção
Segurança (p. 40) deste guia.
Para obter uma lista completa de portas, consulte Requisitos de portas de serviços do Active Directory e
do Active Directory Domain Services na Biblioteca do Microsoft TechNet. Para obter orientações passo
a passo para implementar regras, consulte Adicionar regras a um Security Group no Guia do usuário do
Amazon EC2.
Configurar o acesso administrativo seguro usando o

gateway de área de trabalho remota
À medida que projetamos nossa arquitetura para um AD DS de alta disponibilidade, você também deve
projetar para alta disponibilidade e acesso remoto seguro. Os modelos do Quick Start controlam isso
12
Projeto do AD
implantando um gateway de área de trabalho remota (RD) em cada zona de disponibilidade. No caso de
uma interrupção da zona de disponibilidade, essa arquitetura permite o acesso aos recursos que podem
ter failover para a outra zona de disponibilidade.
O gateway de RD usa o protocolo RDP por HTTPS para estabelecer uma conexão segura e criptografada
entre os administradores remotos na Internet e nas instâncias do Amazon EC2 baseadas no Windows sem
necessidade de uma conexão de rede privada virtual (VPN). Essa configuração ajuda a reduzir a superfície
de ataque em suas instâncias do Amazon EC2 baseadas no Windows ao mesmo tempo em que fornece
uma solução de administração remota para os administradores.
Os modelos do AWS CloudFormation fornecidos com este Quick Start implantam automaticamente a
arquitetura e a configuração descritas no Quick Start para gateway de área de trabalho remota.
Depois de ter iniciado sua infraestrutura do AD seguindo as etapas de implantação deste guia, você se
conectará inicialmente às suas instâncias usando uma conexão RDP na porta TCP 3389 padrão. Em
seguida, siga as etapas no Quick Start para Gateway de área de trabalho remota para proteger futuras
conexões via HTTPS.
Projeto do Active Directory

Se estiver gerenciando sua própria infraestrutura do AD DS (cenário 1 (p. 5) ou cenário 2 (p. 7)), revise as
seções a seguir para obter as principais considerações do projeto.
Topologia do site
A topologia do site do Active Directory permite que você defina logicamente suas redes físicas e virtuais.
A replicação do Active Directory envia alterações no diretório de um controlador de domínio para outro,
até que todos os controladores de domínio tenham sido atualizados. A topologia do site controla a
replicação do Active Directory entre os controladores de domínio dentro do mesmo site e entre limites do
site. O tráfego da replicação entre sites é compactado e a replicação é realizada em um agendamento
com base em um link do site. Além disso, os controladores de domínio usam a topologia do site para
fornecer afinidade de cliente, o que significa que os clientes localizados em um site específico preferirão
controladores de domínio no mesmo site.
A topologia do site é uma consideração essencial de projeto ao executar o AD DS na Nuvem AWS. Uma
topologia de site bem projetada permite que você defina sub-redes que podem ser associadas às zonas de
disponibilidade dentro da sua VPC. Essas associações ajudam a garantir que o tráfego — como consultas
do serviço de diretório, replicação do AD DS e autenticação de cliente — use o caminho mais eficiente
para um controlador de domínio. Eles também fornecem controle granular sobre o tráfego de replicação.
A Figura 4 mostra um exemplo de site e definições de sub-redes para uma arquitetura típica do AD DS em
execução em uma VPC. Os sites do Active Directory (AZ1 AZ2) foram criados no snap-in Sites e Serviços
do Active Directory. As sub-redes foram definidas e associadas a seus respectivos objetos de site.
13
Serviços de domínio de diretório de alta disponibilidade
Figura 4: Configuração de sites e serviços do Active Directory
Ao criar sites do Active Directory que representam cada zona de disponibilidade na VPC, as sub-redes
associadas a esses sites podem ajudar a garantir que as instâncias associadas ao domínio usem
primeiramente um controlador de domínio mais próximo delas. Essa também é uma configuração de
projeto chave para manter a implantação do AD DS altamente disponível.
Serviços de domínio de diretório de alta

disponibilidade
Mesmo nas menores implantações do AD DS, recomendamos implementar pelo menos dois controladores
de domínio em seu ambiente de Nuvem AWS. Esse projeto fornece tolerância a falhas e impede que
uma única falha do controlador de domínio afete a disponibilidade do AD DS. Para fornecer maior
disponibilidade, recomendamos que você implemente controladores de domínio em pelo menos duas
zonas de disponibilidade.
Para fornecer mais suporte à alta disponibilidade de sua arquitetura e ajudar a reduzir o impacto de um
possível desastre, também recomendamos a colocação de servidores de catálogo global e servidores
DNS do Active Directory em cada zona de disponibilidade. Os catálogos globais fornecem um mecanismo
para pesquisas em toda a floresta e são necessários para autenticação de logon em florestas com vários
domínios. Se você não tiver um catálogo global e um servidor DNS em cada zona de disponibilidade, o
tráfego de consultas e autenticação do AD DS pode ser feito entre zonas de disponibilidade. Embora esse
não seja tecnicamente um problema durante as operações normais, a disponibilidade do serviço AD DS
completo poderá ser afetada por uma única zona de disponibilidade.
14
Controladores de domínio somente leitura e graváveis
Para implementar essas recomendações, sugerimos que você faça um catálogo global de cada
controlador de domínio e o servidor DNS. Essa configuração permite que o AD DS em cada zona de
disponibilidade opere de forma independente e ajuda a garantir que a disponibilidade do AD DS não seja
afetada no caso improvável de um desastre. Se uma zona de disponibilidade nessa arquitetura for cortada
de outros recursos na região, as instâncias na zona de disponibilidade ainda terão um controlador de
domínio local que pode autenticar usuários, realizar pesquisas de diretório do serviço e resolver consultas
DNS.
Os requisitos de um ambiente menor podem tornar uma única zona de disponibilidade mais atraente.
Embora o projeto do AD DS com uma única zona de disponibilidade não seja nossa recomendação,
entendemos que essa pode ser a arquitetura escolhida. Nesse caso, recomendamos que você implante
pelo menos dois controladores de domínio em sua zona de disponibilidade para fornecer redundância.
O modelo do AWS CloudFormation fornecido pelo cenário 1 (p. 5) criará uma configuração dos Sites e
Serviços do Active Directory para você automaticamente, que oferecerá suporte a uma arquitetura de alta
disponibilidade do AD DS. Se você planejar implantar o AD DS manualmente, mapeie as sub-redes de
maneira adequada para o site correto para ajudar a garantir que o tráfego do AD DS use o melhor caminho
possível.
Para obter orientações sobre a criação de sites adicionando servidores de catálogo global e a criação e
o gerenciamento de links de site, consulte a Documentação dos Sites e serviços do Active Directory da
Microsoft.
Controladores de domínio somente leitura e graváveis

Os controladores de domínio somente leitura (RODCs) mantêm uma cópia do banco de dados do AD DS e
respondem a solicitações de autenticação, mas aplicativos ou outros servidores não podem gravar neles.
Os RODCs são normalmente implantados em locais onde a segurança física não pode ser garantida. Por
exemplo, em um cenário local, você pode implantar um RODC em uma filial remota, onde o servidor físico
não pode ser protegido por um gabinete ou sala de servidor trancado.
Os controladores de domínio graváveis operam em um modelo multimestre. Alterações podem ser feitas
em qualquer servidor que pode ser gravado na floresta, e essas alterações são replicadas para servidores
em toda a floresta. Várias funções chave e aplicativos empresariais da Microsoft exigem conectividade
com um controlador de domínio que pode ser gravado.
Se você estiver planejando implantar servidores de aplicativos empresariais na Nuvem AWS, um RODC
poderá não ser uma opção viável. Por exemplo, um RODC não pode processar uma redefinição de senha
para um usuário final, e o Microsoft Exchange Server não pode usar um RODC para executar pesquisas
no diretório. Compreenda os requisitos do aplicativo, as dependências no AD DS e a compatibilidade antes
considerar RODCs.
DNS e DHCP do Active Directory na VPC

Com uma VPC, serviços do protocolo DHCP são fornecidos para suas instâncias, por padrão. Os escopos
de DHCP não precisam ser gerenciados. Eles são criados para as sub-redes da VPC que você define ao
implantar sua solução. Esses serviços DHCP não podem ser desabilitados, portanto, você precisará usá-
los em vez de implantar seu próprio servidor DHCP.
A VPC também fornece um servidor DNS interno. Esse DNS fornece serviços básicos de resolução de
nome para as instâncias para acesso à Internet e é essencial para acesso aos endpoints de serviços da
AWS, como o AWS CloudFormation e o Amazon Simple Storage Service (Amazon S3), durante o processo
de bootstrapping quando você inicia o Quick Start.
As configurações de servidor DNS fornecidas pela Amazon serão atribuídas a instâncias executadas
na VPC com base em um conjunto de opções DHCP. Os conjuntos de opções DHCP são usados em
15
Configurações DNS em instâncias do Windows Server
uma Amazon VPC para definir opções do escopo, como o nome do domínio ou os servidores de nome,
que devem ser entregues às suas instâncias via DHCP. O DNS fornecido pela Amazon só é usado para
resolução DNS pública.
Como o DNS fornecido pela Amazon não pode ser usado para fornecer serviços de resolução de nome
para o Active Directory, você precisará garantir que as instâncias do Windows ingressadas no domínio
tenham sido configuradas para usar o DNS do Active Directory.
Como alternativa à atribuição estática de configurações do servidor DNS do Active Directory em instâncias
do Windows, você tem a opção de especificá-las usando um conjunto de opções DHCP personalizadas.
Isso permitirá que você atribua o sufixo DNS do Active Directory e os endereços IP dos servidores DNS
como os servidores de nomes na VPC via DHCP.
Note
Os endereços IP no campo domain-name-servers são sempre retornados na mesma ordem.

Se o primeiro servidor DNS da lista falhar, as instâncias deverão recorrer ao segundo IP e
continuar a resolver nomes de host com êxito. No entanto, durante as operações normais, o
primeiro servidor DNS listado sempre tratará as solicitações DNS. Se desejar garantir que as
consultas DNS sejam distribuídas uniformemente entre vários servidores, você deverá considerar
configurar estaticamente as definições do servidor DNS em suas instâncias.
Para obter detalhes sobre a criação de um conjunto de opções DHCP personalizadas e associá-lo à VPC,
consulte Trabalhar com conjuntos de opções DHCP no Guia do usuário da Amazon VPC.
Note
No cenário 1 (p. 5) e no cenário 3 (p. 9), o modelo do AWS CloudFormation configura o conjunto
de opções DHCP com os controladores de domínio do Active Directory como os servidores de
nomes, conforme recomendado pela documentação do AWS Directory Service. Isso significa
que as instâncias que precisarem ingressar no domínio poderão ingressar automaticamente sem
necessidade de alterações.

Para ter certeza de que as instâncias do Windows ingressadas no domínio do Windows registrarão
automaticamente o host (A) e os registros de pesquisa inversa (PTR) no DNS integrado com o Active
Directory, defina as propriedades da conexão de rede, conforme mostrado na Figura 5.
16
Figura 5: Configurações avançadas de TCP/IP em uma instância do Windows ingressada no domínio
A configuração padrão para uma conexão de rede é configurada para registrar automaticamente o
endereço de conexões no DNS. Em outras palavras, conforme mostrado na Figura 5, a opção Register
this connection's addresses in DNS é selecionada automaticamente para você. Isso cuida do registro
dinâmico do registro do host (A). No entanto, se você também não selecionar a segunda opção, Use
this connection's DNS suffix in DNS registration, o registro dinâmico dos registros PTR não serão
implementados.
Se tiver um pequeno número de instâncias na VPC, você poderá optar por configurar a conexão de rede
manualmente. Para frotas maiores, você pode enviar essa configuração para todas as suas instâncias do
Windows usando a Política de grupo do Active Directory. Para obter instruções passo a passo. Consulte
Guia DNS avançado de IPv4 e IPv6 na Biblioteca do Microsoft TechNet.
17
Etapa 1. Preparar a conta
Etapas da implantação
Siga as instruções passo a passo desta seção para configurar sua conta da AWS, iniciar os modelos e
personalizar sua implantação.
Etapa 1. Preparar sua conta da AWS

Antes de implantar o Quick Start, verifique se sua conta da AWS está configurada corretamente seguindo
estas etapas.
1. Se você ainda não tem uma conta da AWS, crie uma em http://aws.amazon.com seguindo as
instruções na tela. Parte do processo de cadastro envolve uma chamada de telefone e a digitação de
um PIN usando o teclado do telefone.
2. Use o seletor de região na barra de navegação para escolher a região da AWS onde você deseja
implantar o AD DS.
Figura 6: Escolher uma região da AWS
Considere escolher uma região mais próxima de seu datacenter ou da rede corporativa para reduzir
a latência de rede entre os sistemas em execução na AWS e os sistemas e usuários na rede
corporativa.
Importante
Se você estiver implantando o cenário 3 (p. 9), observe que o AWS Directory Service
está disponível somente nas regiões listadas na página Regiões e endpoints da AWS na
documentação da AWS. Recomendamos que você verifique a disponibilidade dos serviços
antes de escolher uma região. Caso contrário, haverá falha na implantação.
3. Crie um par de chaves em sua região preferida. Para fazer isso, no painel de navegação do console
do Amazon EC2, selecione Pares de chaves, Criar par de chaves, digite um nome e selecione Criar.
18
Figura 8: Criar um par de chaves
O Amazon EC2 usa a criptografia de chave pública para criptografar e descriptografar informações
de login. Para poder fazer login em suas instâncias, você deve criar um par de chaves. Em instâncias
do Windows, usamos o par de chaves para obter a senha de administrador através do console do
Amazon EC2 e, em seguida, efetuamos o login usando o protocolo de área de trabalho remota (RDP),
conforme explicado nas Instruções passo a passo no Guia de usuário do Amazon Elastic Compute
Cloud.
4. Se necessário, solicite um aumento do limite de serviço para o tipo de instância m4.xlarge. Para fazer
isso, no AWS Support Center, selecione Criar caso, Aumento de Service Limit, instâncias do EC2 e
preencha os campos no formulário de aumento de limite. O limite padrão para esse tipo de instância é
20 instâncias.
Talvez seja necessário solicitar um aumento se você já tiver uma implantação que use esse tipo de
instância cujo limite padrão possa ser excedido com essa implantação de referência. Pode levar
alguns dias para que o novo Service Limits entre em vigor. Para obter mais informações, consulte
Service Limits do Amazon EC2 na documentação da AWS.
19
Figura 8: Solicitar um aumento de limite de serviço
20
Etapa 2. Execute o Início rápido
Etapa 2. Executar o Início rápido

Nesta seção, fornecemos instruções gerais para a implantação dos modelos no console do AWS
CloudFormation, seguidas por links e tabelas de parâmetros para cada cenário (p. 5).
1. Escolha uma das opções a seguir para implantar o modelo do AWS CloudFormation em sua conta
da AWS. Para obter ajuda com a escolha de uma opção, consulte a discussão de cenários de
implantação (p. 5) apresentada anteriormente neste guia.
Cenário 1 (p. 5)
Cenário 2 (p. 7) Cenário 3 (p. 9)
Implantar e gerenciar
Estender o AD DS Implantar o AD DS com o AWS
sua própria instalação
local para a AWS Directory Service na AWS
do AD DS na AWS
(ou inicie na VPC existente) (ou inicie na VPC existente)

(ou inicie na VPC existente)
Por padrão, o modelo é iniciado na região Leste dos EUA (Ohio). É possível alterar a região usando o
seletor de região na barra de navegação.
Cada implantação leva aproximadamente uma hora.

Note
Você é responsável pelo custo dos serviços da AWS usados durante a execução dessa
implantação de referência de Início rápido. Não há custo adicional para usar este Início
rápido. Para as estimativas de custo, consulte as páginas de definição de preço para cada
serviço da AWS que você usará neste Início rápido.
2. Na página Selecionar modelo, mantenha o URL padrão para o modelo do AWS CloudFormation e,
então, selecione Próximo.
3. Na página Especificar detalhes, revise os parâmetros para o modelo. Forneça valores para os
parâmetros que requerem entrada. Para todos os outros parâmetros, revise as configurações padrão
e personalize-os conforme necessário. Quando terminar de revisar e personalizar os parâmetros,
selecione Próximo.
Note
Também é possível fazer o download dos modelos e editá-los para criar seus próprios
parâmetros baseados em seu cenário da implantação especifico.
Nas tabelas a seguir, os parâmetros estão listados e descritos separadamente para o cenário
1 (p. 21), o cenário 2 (p. 25) e o cenário 3 (p. 29).
Note
Os dois modelos fornecidos para cada cenário compartilham a maioria dos mesmos
parâmetros, mas não todos. Por exemplo, o modelo para uma VPC existente também solicita
os IDs da VPC e da sub-rede privada no ambiente da VPC existente.
Cenário 1: Parâmetros para implantar e gerenciar seu próprio AD DS

21
Visualizar o modelo para a nova VPC Visualizar o modelo para a VPC existente
Configuração de rede:
Rótulo do parâmetro Nome do parâmetro Padrão Description
Zonas de AvailabilityZones Requer entrada A lista de Zonas de

disponibilidade disponibilidade a
serem usadas na sub-
rede na VPC. O Início
rápido usa duas Zonas
de disponibilidade
na lista e preserva a
ordem lógica que você
especificar.
CIDR da VPC VPCCIDR 10.0.0.0/16 Bloco CIDR da

Amazon VPC.
CIDR da sub-rede PrivateSubnet1CIDR 10.0.0.0/19 Bloco CIDR da

privada 1 sub-rede privada
localizada na Zona de
disponibilidade 1.

disponibilidade 2.
CIDR da sub-rede PublicSubnet1CIDR 10.0.128.0/20 Bloco CIDR da

pública 1 sub-rede pública
disponibilidade 1.

disponibilidade 2.
CIDR de acesso RDGWCIDR Requer entrada Bloco CIDR permitido

externo permitido para acesso externo
da área de trabalho para instâncias de
remota gateway de área
de trabalho remota.
Recomendamos que
você defina esse valor
como um bloco CIDR
confiável.
Configuração do Amazon EC2:
22
Nome do par de KeyPairName Requer entrada Par de chaves

chaves públicas/privadas
que permite que
você se conecte com
segurança à instância
depois que ela for
iniciada. Quando você
criou uma conta da
AWS, este é o par que
foi criado na região de
sua preferência.
Tipo de instância de ADServer1InstanceType m4.xlarge O tipo de instância do

controlador de domínio EC2 para a primeira
1 instância do Active
Directory.
Nome NetBIOS do ADServer1NetBIOSNameDC1 O nome NetBIOS do

controlador de domínio primeiro servidor do
1 Active Directory. Esse
nome pode ter até 15
caracteres.
Endereço IP privado do ADServer1PrivateIP 10.0.0.10 IP privado fixo do

controlador de domínio primeiro servidor Active
1 Directory localizado na
zona de disponibilidade
1.
Tipo de instância de ADServer2InstanceType m4.xlarge Tipo de instância do

controlador de domínio EC2 para a segunda
Directory.

controlador de domínio segundo servidor do
caracteres.
Endereço IP privado do ADServer2PrivateIP 10.0.32.10 IP privado fixo do

controlador de domínio segundo servidor
2 do Active Directory
localizado na zona de
disponibilidade 1.
Tipo de instância do RDGWInstanceType t2.large O tipo de instância do

gateway de área de EC2 para a primeira
trabalho remota instância do Gateway
de área de trabalho
remota.
Configuração do Active Directory da Microsoft:
23
Nome DNS de domínio DomainDNSName example.com Nome de domínio

totalmente qualificado
(FQDN) do domínio
raiz da floresta.
Nome NetBIOS de DomainNetBIOSName exemplo O nome NetBIOS do

domínio domínio para usuários
de versões anteriores
do Windows. Esse
caracteres.
Modo de restauração RestoreModePassword Requer entrada Senha para uma conta

de senha de administrador
separada quando
o controlador de
domínio está no modo
de restauração. É
necessária uma senha
complexa com pelo
menos 8 caracteres.
Nome de usuário DomainAdminUser StackAdmin O nome do usuário

administrador do da conta adicionada
domínio como administrador
de domínio. Este é
separado da conta de
administrador padrão.
Senha do DomainAdminPassword Requer entrada Senha para o usuário

administrador de administrador de
domínio domínio. É necessária
uma senha complexa
com pelo menos 8
caracteres.
Configuração do gateway de área de trabalho remota da Microsoft:
Número de hosts do NumberOfRDGWHosts 1 O número de

RDGW instâncias do RD
Gateway a criar. Você
pode escolher de 1 a 4
instâncias.
Configuração do Início rápido da AWS:
24
Nome do bucket do S3 QSS3BucketName quickstart-reference O bucket do S3 em

do Início rápido que os modelos
do Início rápido e
os scripts estão
instalados. Use esse
parâmetro para
especificar o nome
do bucket do S3
que você criou para
sua cópia dos ativos
do Início rápido, se
decidir personalizar
ou estender o Início
rápido para seu próprio
uso. O nome do bucket
pode incluir números,
letras minúsculas,
letras maiúsculas e
hífens, mas não pode
começar ou terminar
com um hífen.
Prefixo de chaves do QSS3KeyPrefix microsoft/ O prefixo do nome

S3 do Início rápido activedirectory/latest/ da chave do S3
usado para simular
uma pasta para a
cópia dos ativos do
Início rápido, se você
uso. Esse prefixo pode
incluir números, letras
minúsculas, letras
maiúsculas, hífens e
barras.
Cenário 2: Parâmetros para estender o AD DS local na AWS
Note
O intervalos CIDR padrão neste modelo são fornecidos como exemplos para ajudar a
começar e podem ser modificados para atender às suas necessidades específicas. Observe
que os blocos CIDR fornecidos podem se sobrepor com suas redes locais. Se esse for o
caso, você precisará usar intervalos de CIDR exclusivos para implantar uma conexão VPN
com êxito.
25

de disponibilidade
especificar.
CIDR da VPC VPCCIDR 10.0.0.0/16 Bloco CIDR da VPC.

disponibilidade 1.

disponibilidade 2.

disponibilidade 1.

disponibilidade 2.

de trabalho remota.
Recomendamos que
como um bloco CIDR
confiável.
26

que permite que
depois que ela for
criou uma conta da
sua preferência.
Tipo de instância de ADServer1InstanceType m4.xlarge O tipo de instância do

controlador de domínio EC2 para a primeira
Directory.

controlador de domínio primeiro servidor do
caracteres.
Endereço IP privado do ADServer1PrivateIp 10.0.0.10 IP privado fixo do

controlador de domínio primeiro servidor Active
1 Directory localizado na
zona de disponibilidade
1.
Tipo de instância de ADServer2InstanceType m4.xlarge Tipo de instância do

controlador de domínio EC2 para a segunda
Directory.

controlador de domínio segundo servidor do
caracteres.
Endereço IP privado do ADServer2PrivateIp 10.0.32.10 IP privado fixo do

controlador de domínio segundo servidor
2 do Active Directory
localizado na zona de
disponibilidade 1.

remota.
27

instâncias.
Usuário Admin AdminUser StackAdmin Nome de usuário

para a nova conta de
administrador local.
Senha do AdminPassword Requer entrada Senha da conta

administrador administrativa. É
necessária uma senha
complexa com pelo
menos 8 caracteres.

(FQDN) do domínio
raiz da floresta.

os scripts estão
parâmetro para
especificar o nome
do bucket do S3
letras minúsculas,
com um hífen.
28

usado para simular
uma pasta para a
minúsculas, letras
barras.
Cenário 3: Parâmetros para a implantação do AD DS com o AWS Directory Service

de disponibilidade
especificar.
CIDR da VPC VPCCIDR 10.0.0.0/16 Bloco CIDR da

Amazon VPC.

disponibilidade 1.

disponibilidade 2.

disponibilidade 1.

disponibilidade 2.
29

de trabalho remota.
Recomendamos que
como um bloco CIDR
confiável.

que permite que
depois que ela for
criou uma conta da
sua preferência.

remota.
Configuração do Active Directory da Microsoft:

(FQDN) do domínio
raiz da floresta.
Nome NetBIOS de DomainNetBIOSName exemplo O nome NetBIOS do

domínio domínio para usuários
de versões anteriores
do Windows. Esse
caracteres.
Senha do DomainAdminPassword Requer entrada Senha para o usuário

administrador de administrador de
domínio domínio. É necessária
uma senha complexa
com pelo menos 8
caracteres.
30

instâncias.

os scripts estão
parâmetro para
especificar o nome
do bucket do S3
letras minúsculas,
com um hífen.

usado para simular
uma pasta para a
minúsculas, letras
barras.
4. Na página Opções, você pode especificar tags (pares de chave-valor) para os recursos em sua stack
e definir opções adicionais. Quando concluir, selecione Próximo.
31
Etapa 3. Tarefas pós-implantação para o cenário 2
5. Na página Revisar, verifique e confirme as configurações do modelo. Em Recursos, marque a caixa de

seleção para confirmar que o modelo criará recursos do IAM.
6. Selecione Criar para implantar a stack.
7. Monitore o status da stack. Quando o status for CREATE_COMPLETE, o cluster do AD DS estará
pronto.
Etapa 3. Tarefas pós-implantação (cenário 2

apenas)
Se você estiver estendendo o AD DS local para a Nuvem AWS (cenário 2 (p. 7)), você precisará executar
as seguintes tarefas manualmente, depois que a pilha tiver sido criada com êxito:
1. Conecte sua rede local à VPC usando o AWS Direct Connect ou uma conexão VPN.
2. Adicione controladores de domínio à Nuvem AWS para oferecer uma conexão de rede confiável e de
baixa latência para os recursos na AWS que precisam de acesso ao AD DS.
3. Configure os Sites e Serviços do Active Directory local para incluir sites e sub-redes que representam as
zonas de disponibilidade na sua VPC.
4. Promova as instâncias do Windows Server na sub-rede privada 1 e na sub-rede privada 2 para
controladores de domínio no domínio do Active Directory.
5. Verifique se as instâncias podem resolver nomes por meio do AD DNS usando um dos seguintes
métodos:
• Atribua estaticamente servidores do AD DNS em instâncias do Windows.
—ou—
• Defina o campo domain-name-servers em um novo conjunto de opções DHCP em sua VPC para
incluir seus controladores de domínio baseados na AWS que hospedam DNS do Active Directory.
As seções a seguir oferecem mais informações sobre esses parâmetros de pós-implantação.
Conectar sua rede local à VPC

Por padrão, as instâncias executadas em uma nuvem privada virtual (VPC) não podem se comunicar com
a própria rede. Para estender seu AD DS existente para a Nuvem AWS, você precisará estender sua rede
local para a VPC. Abordaremos duas maneiras de fazer isso: usando os túneis IPsec da rede privada
virtual (VPN) ou usando o AWS Direct Connect.
Usar túneis IPSec da VPN

O cenário mais comum para estender sua rede local para a VPC é por meio de túneis IPSec da VPN. Na
VPC, você pode criar um gateway privado virtual que funciona como um concentrador de VPN no lado
da Amazon do túnel da VPN. O gateway do cliente é a âncora do seu lado nesta conexão. O gateway do
cliente pode ser um dispositivo físico ou um aplicativo de software.
32
Figura 9: Conexão VPN única da rede local para a VPC
Várias opções de configuração de VPN estão disponíveis, incluindo a capacidade de usar vários gateways
do cliente no local e a configuração de conexões VPN redundantes para fornecer failover. Para obter mais
detalhes, consulte Exemplos de configuração da VPN no Guia do usuário da Amazon VPC. Detalhes sobre
quais dispositivos de hardware ou de software você pode usar estão disponíveis nas seções Dispositivos
de gateway de cliente que testamos e Requisitos de dispositivos de gateway de cliente no Guia do
administrador de rede da Amazon VPC.
Usar o AWS Direct Connect

O AWS Direct Connect vincula a rede interna a um local do AWS Direct Connect usando um cabo de fibra
óptica Ethernet padrão de 1 ou de 10 gigabits. Uma extremidade do cabo é conectada ao roteador, e a
outra é conectada a um roteador do AWS Direct Connect. Com essa conexão implementada, você pode
criar interfaces virtuais diretamente na Nuvem AWS (por exemplo, para o Amazon EC2, o Amazon S3 e a
Amazon VPC), evitando provedores de serviço da Internet no caminho da rede.
33
Figura 10: Como o AWS Direct Connect faz interface com a rede
Quando você escolhe o AWS Direct Connect para estender sua rede local para a nuvem, você deve
considerar a configuração de duas conexões dedicadas para obter o máximo de redundância. Há
diferentes opções de configuração disponíveis quando você provisiona duas conexões dedicadas,
incluindo ativo/ativo (BGP multipath) e ativo/passivo (failover).
Em uma configuração de failover, apenas um link de conexão lida com o tráfego. Se esse link se tornar
indisponível, o link da conexão de standby se tornará ativo. Recomendamos configurar os dois links de
conexão como ativos, pois isso pode ajudar a garantir que o tráfego de rede faça o balanceamento de
carga nas duas conexões. Em uma configuração ativa, se um link da conexão se tornar indisponível, todo
o tráfego será direcionado para o outro link.
Para obter detalhes de implementação, consulte Conceitos básicos no Guia do usuário do AWS Direct
Connect.
34
Implantar controladores de domínio adicionais
Implantar controladores de domínio adicionais na

Nuvem AWS
Embora você possa usar o AWS Direct Connect ou uma conexão VPN para fornecer acesso a recursos
no local a partir da VPC, recomendamos também adicionar controladores de domínio à Nuvem AWS. Os
controladores de domínio adicionais fornecem uma conexão de rede confiável e de baixa latência para os
recursos na AWS que precisam de acesso ao AD DS. Eles também podem manter a disponibilidade para o
AD DS na Nuvem AWS se houver uma interrupção na infraestrutura local.
Na arquitetura mostrada na Figura 11, uma única floresta do Active Directory foi estendida a partir de uma
implantação local em uma VPC usando uma conexão VPN. Na VPC, controladores de domínio adicionais
configurados como catálogos globais e servidores DNS são implantados na floresta do Active Directory
existente.
35
Implantar controladores de domínio adicionais
Figura 11: Floresta única do AD com um controlador de domínio no local e em uma VPC
Neste tipo de ambiente, a rede do cliente estará definida nos Sites e Serviços do Active Directory. Por
exemplo, já há uma definição de site que corresponde à rede local, junto com uma definição de sub-rede
para a rede 192.168.1.0/24. A próxima etapa é configurar os Sites e Serviços do Active Directory para
oferecer suporte aos componentes de rede na VPC.
36
Configurar os Sites e Serviços do AD
Configurar os Sites e Serviços do Active Directory

Outros sites do Active Directory devem ser criados para fazer referência às zonas de disponibilidade na
AWS. Os blocos CIDR 10.0.0.0/19 e 10.0.32.0/19 usados pelas sub-redes da VPC devem ser adicionados
para os Sites e Serviços do Active Directory. As sub-redes podem ser associadas à definição de site do
AD DS para cada zona de disponibilidade da AWS. Sub-redes adicionais para as camadas da web, do
aplicativo e do banco de dados na VPC podem ser mapeadas para cada objeto de site da AWS. O site
local e o site na Nuvem AWS podem ser mapeados para um link de site, que pode ser configurado para
ser replicado em intervalos personalizados ou durante uma hora específica do dia, se necessário.
Configurando adequadamente os Sites e Serviços do Active Directory, você pode ajudar a garantir que
as consultas e as solicitações de autenticação do AD DS originadas na VPC sejam atendidas por um
controlador de domínio local na mesma zona de disponibilidade da AWS. Essa configuração reduz a
latência de rede e minimiza o tráfego que, de outra forma, pode precisar viajar pela VPN de volta para a
infraestrutura local.
Configurar a resolução DNS

Depois que você criou uma VPC e estabeleceu a conectividade com a rede local usando o AWS Direct
Connect ou uma conexão VPN, a próxima etapa é executar instâncias do Windows para funcionarem
como controladoras de domínio. Para ingressar no domínio do Active Directory no local e promover suas
instâncias do Windows para controladoras de domínio, você precisará garantir que a resolução DNS esteja
configurada corretamente.
Conforme discutido anteriormente, por padrão, um servidor DNS fornecido pela Amazon será atribuído
às instâncias executadas na VPC, o que não fornecerá resolução DNS para a infraestrutura local. Para
resolver isso, você pode proceder de uma das seguintes maneiras:
• Atribuir manualmente as configurações do servidor DNS nas instâncias do Windows. Essa configuração
de DNS estático inicialmente aponta para o servidor DNS do Active Directory local. Depois de
promover a instância a uma controladora de domínio, você pode modificar a configuração para usar um
endereço IP de servidor DNS do Active Directory baseado na nuvem para impedir que consultas DNS
subsequentes atravessem o link de volta para o ambiente local.
—ou—
• Configurar inicialmente o conjunto de opções de DHCP da Amazon VPC para atribuir o endereço IP do
servidor DNS do Active Directory às instâncias executadas na Amazon VPC. Depois que as instâncias
do Windows tiverem sido ingressadas no domínio e promovidas para controladoras de domínio, você
poderá criar um novo conjunto de opções de DHCP para atribuir o endereço IP das instâncias do
servidor DNS do Active Directory em execução na AWS.
37
Solução de problemas
P: Encontrei um erro CREATE_FAILED quando executei o Início rápido.
R. Se o AWS CloudFormation falhar em criar a stack, recomendamos que você reinicie o modelo com
reversão em caso de falha configurada como Não. (Essa configuração está em Avançado na página
Opções do console do AWS CloudFormation.) Com esta configuração, o estado da stack será retido e a
instância permanecerá em execução para que você possa resolver o problema. (Verifique os arquivos de
registro em %ProgramFiles%\Amazon\EC2ConfigService e na pasta C:\cfn\log.)
Importante
Ao configurar reversão em caso de falha como Não, você continuará a incorrer em taxas AWS
para este stack. Certifique-se de excluir a stack ao terminar a resolução de problemas.
A tabela a seguir fornece uma lista de mensagens de erro de CREATE_FAILED específicas que podem ser
encontradas.
Mensagem de erro de Possível causa O que fazer

CREATE_FAILED
API: ec2: RunInstances não O modelo se refere a uma AMI Nós atualizamos AMIs
autorizadas para imagens: ami- que expirou regularmente, mas nossa
ID programação não está sempre
sincronizada com as atualizações
AMI da AWS. Se você receber
esta mensagem de erro,
entre em contato conosco e
atualizaremos o modelo com a
nova ID de AMI.
Você também pode fazer

download do modelo e
atualizar os mapeamentos no
AWSWinRegionMap com o ID da
AMI mais recente de sua região.
Atualmente, não temos Uma das instâncias requer um Alterne para um tipo de instância
capacidade suficiente para tipo de instância maior que seja compatível com
m4.xlarge na AZ solicitada capacidade maior, ou preencha o
formulário de solicitação no AWS
Support Center para aumentar
o limite do Amazon EC2 para
o tipo de instância ou região.
Os aumentos de limite estão
vinculados à região para a qual
são solicitados.
A ID de instância não Você excedeu seu IOPS para a Solicite um aumento de limite
estabilizou região preenchendo o formulário de
solicitação no AWS Support
Center.
38
Mensagem de erro de Possível causa O que fazer

CREATE_FAILED
A senha do administrador do A senha mestre contém $ ou Altere a senha para o parâmetro

sistema deve conter pelo menos outros caracteres especiais RestoreModePassword ou
8 caracteres DomainAdminPassword e, em
seguida, reinicie o Quick Start.
Você deve usar uma senha

complexa com no mínimo oito
caracteres, consistindo em letras
maiúsculas e minúsculas e
números. Evite usar caracteres
especiais como @ ou $.
Para mais informações, consulte Solução de problemas do AWS CloudFormation no site da AWS.
P. Encontrei um erro de limitação de tamanho quando implantei os modelos do AWS Cloudformation.
R. Recomendamos que você inicie os modelos do Início rápido a partir do local que fornecemos ou a partir
de outro bucket do S3. Se você implantar os modelos a partir de uma cópia local em seu computador ou
a partir de um local não S3, você pode se deparar com limitações do tamanho do modelo ao criar a stack.
Para mais informações sobre os limites do AWS CloudFormation, consulte a documentação da AWS.
39
Segurança
A AWS fornece um conjunto de blocos de construção, incluindo os serviços do Amazon EC2 e da Amazon
VPC, que você pode usar para provisionar a infraestrutura de seus aplicativos. Neste modelo, alguns
recursos de segurança, como a segurança física, são de responsabilidade da AWS e são destacados
no Whitepaper de segurança da AWS. Outros recursos, como controlar o acesso aos aplicativos, são de
responsabilidade do desenvolvedor do aplicativo e das ferramentas fornecidas na plataforma da Microsoft.
Se você tiver seguido as opções de implantação automatizadas neste guia, os security groups necessários
serão configurados para você pelos modelos do AWS CloudFormation fornecidos, e estão listados aqui
para sua referência.
Grupo de segurança Associado a Origem de entrada Porta(s)
VPCCIDR TCP5985, TCP53,

UDP53, TCP80
DomainMemberSG UDP123, TCP135,

UDP138, TCP445,
UDP445,
TCP464, UDP464,
TCP49152-65535,
UDP49152-65535,
TCP389, UDP389,
TCP636, TCP3268,
TCP3269, TCP88,
UDP88, UDP67,
UDP2535, TCP9389
PrivateSubnet2CIDR UDP123, TCP135,

(sub-rede em que UDP137, UDP138,
o segundo DC é TCP445, UDP445,
implantado) TCP464, UDP464,
TCP49152-65535,
UDP49152-65535,
DomainControllerSG1 DC1
TCP389, UDP389,
TCP636, TCP3268,
TCP3269, TCP88,
UDP88, UDP67,
UDP2535, UDP5355,
UDP137, TCP139,
TCP5722, TCP9389
PublicSubnet1CIDR TCP3389, (ICMP -1)

(sub-rede em que o
Gateway de área de
trabalho remota é
implantado na zona de
disponibilidade 1)

(sub-rede em que o
Gateway de área de
trabalho remota é
disponibilidade 2)
40
VPCCIDR TCP5985, TCP53,

UDP53, TCP80
DomainMemberSG UDP123, TCP135,

UDP138, TCP445,
UDP445,
TCP464, UDP464,
TCP49152-65535,
UDP49152-65535,
TCP389, UDP389,
TCP636, TCP3268,
TCP3269, TCP88,
UDP88, UDP67,
UDP2535, TCP9389
PrivateSubnet1CIDR UDP123, TCP135,

(sub-rede em que UPD137, UDP138,
o primeiro DC é TCP445, UDP445,
implantado) TCP464, UDP464,
TCP49152-65535,
UDP49152-65535,
DomainControllerSG2 DC2
TCP389, UDP389,
TCP636, TCP3268,
TCP3269, TCP88,
UDP88, UDP67,
UDP2535, UDP5355,
UDP137, TCP139,
TCP5722, TCP9389

(sub-rede em que o
Gateway de área de
trabalho remota é
disponibilidade 1)

(sub-rede em que o
Gateway de área de
trabalho remota é
disponibilidade 2)
PrivateSubnet1CIDR TCP5985,
(sub-rede em que o DC TCP53, UDP53,
primário é implantado) TCP49152-65535,
UDP49152-65535
DomainMemberSG RDGW1, RDGW2
PrivateSubnet2CIDR TCP5985,
(sub-rede em que TCP53, UDP53,
o DC secundário é TCP49152-65535,
implantado) UDP49152-65535
41
PublicSubnet1CIDR TCP3389
(sub-rede em que o
Gateway de área de
trabalho remota é
disponibilidade 1)
PublicSubnet2CIDR TCP3389
(sub-rede em que o
Gateway de área de
trabalho remota é
disponibilidade 2)
RDGWSecurityGroup RDGW1, RDGW2 RDGWCIDR (veja a TCP3389

observação)
Importante
O RDP nunca deve ser aberto para toda a Internet, nem mesmo temporariamente ou para fins
de teste. Para obter mais informações, consulte este Boletim de segurança da Amazon. Sempre
restringir as portas e o tráfego de origem para o mínimo necessário para oferecer suporte à
funcionalidade do aplicativo. Para obter mais informações sobre como proteger o Gateway de
área de trabalho remota, consulte o whitepaper Proteger a plataforma da Microsoft na Amazon
Web Services.
42
Recursos adicionais
Serviços da AWS
• AWS CloudFormation
• Guia do usuário do Amazon EC2 para Windows
• Amazon VPC:
• Guia do usuário
• Cenários básicos
• Guia do administrador de redes
• NAT Gateway
• AWS Direct Connect
• AWS Directory Service
Serviços de Domínio do Active Directory
• Serviços de Domínio do Active Directory

• Sites e Serviços do Active Directory
Implantação do software Microsoft na AWS
• Microsoft na AWS
• Proteção da plataforma Microsoft na AWS
Implantações de referência de Início rápido
• Página inicial do Início rápido da AWS

• Criação de uma arquitetura de rede virtual modular e escalável com a Amazon VPC
• Gateway de área de trabalho remota da Microsoft na AWS
43
Enviar comentários
Visite nosso Repositório do GitHub para fazer download dos modelos e scripts deste Quick Start, postar
comentários e compartilhar suas personalizações com outras pessoas.
44
Revisões do documento
Data Alteração Local
de julho de 2017 Opções de DHCP atualizadas Alterações em todo o guia;

para seguir as recomendações atualizações do modelo
das melhorias do AWS
Directory Service; melhorias na
implantação do gateway de RD e
portabilidade do Amazon S3.
Agosto de 2016 Parâmetros adicionados para Etapas da implantação (p. 18)

configurar a localização de ativos (tabelas de personalização de
de Início rápido. modelo)
de julho de 2016 Para todos os três cenários, a Cenários de implantação (p. 5)

opção para implantar o Quick
Start em uma VPC existente Etapas da implantação (p. 18)
foi adicionada. Atualizados os
modelos para usar os gateways Atualizações de modelos
NAT e uma configuração
atualizada da VPC.
de abril de 2016 Adicionado um novo cenário Cenário 3 (p. 9)

que usa o AWS Directory
Service para o Microsoft AD para Atualizações adicionais em todo
provisionar e gerenciar o AD DS. o documento para refletir novas
funcionalidades
Além disso: substituídas as
instâncias NAT com o serviço Atualizações de modelos
Gateway NAT; atualizado para o
Windows Server 2012 R2 para
a funcionalidade de domínio
e floresta do AD; atualizados
os modelos com grupos de
parâmetros e rótulos para
simplificar o uso.
Setembro de 2015 Nos modelos de exemplo, o tipo Etapas da implantação (p. 18)
padrão do Active Directory e (tabelas de personalização de
das instâncias de RD Gateway modelo)
foi alterado de m3.xlarge para
m4.xlarge para melhorar o
desempenho e o preço.
Março de 2015 Otimização do design subjacente Recomendações para a

da VPC para suporte à expansão VPC (p. 11), atualizações no
e redução da complexidade. diagrama da arquitetura (p. 6) e
atualizações de modelo
de novembro de 2014 Nos modelos de exemplo, o Etapas da implantação (p. 18)

tipo padrão foi alterado de (tabelas de personalização de
NATInstanceType para t2.small modelo)
para oferecer suporte à região
UE (Frankfurt).
45
Data Alteração Local
de março de 2014 Publicação inicial –
Avisos
Este guia de implantação é fornecido apenas para fins informativos. Ele relaciona as atuais ofertas
de produtos e práticas da AWS a contar da data de emissão deste documento, que estão sujeitas a
alterações sem aviso prévio. Os clientes são responsáveis por fazer sua própria avaliação independente
das informações neste documento e de qualquer uso dos produtos ou serviços da AWS, cada um dos
quais é fornecido "como está", sem garantia de qualquer tipo, expressa ou implícita. Este documento não
cria quaisquer garantias, representações, compromissos contratuais, condições ou seguros da AWS, suas
afiliadas, fornecedores ou licenciadores. As responsabilidades e as obrigações da AWS com os seus
clientes são controladas por contratos da AWS, e este documento não é parte, nem modifica, qualquer
contrato entre a AWS e seus clientes.
O software incluído neste guia é licenciado de acordo com a Licença Apache, versão 2.0 (a "Licença").
Este arquivo não deve ser usado, exceto em conformidade com a licença. Uma cópia da licença pode ser
encontrada em http://aws.amazon.com/apache2.0/ ou no arquivo "licença" que acompanha este arquivo.
Esse código é distribuído "NO ESTADO EM QUE SE ENCONTRA", SEM GARANTIAS OU CONDIÇÕES
DE QUALQUER TIPO, seja expressa ou implícita. Consulte a licença para conhecer as permissões e
limitações específicas do idioma na licença.
46

Active Directory On AWS PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Active Directory On AWS PDF

Transféré par

Droits d'auteur :

Formats disponibles

Serviços do domínio do

Active Directory na AWS

Serviços do domínio do Active Directory na AWS: Guia de implantação de

Serviços de Domínio do Active

arquiteto de soluções - equipe de referência do AWS Quick Start

Março de 2014 (última atualização (p. 45): julho de 2017)

Sobre os Inícios rápidos

Cenário 1: Implantar e gerenciar seu próprio AD DS

• Configura a VPC, incluindo as sub-redes pública e privada em duas zonas de disponibilidade.*

Figura 1: Arquitetura do Quick Start para AD DS de alta disponibilidade na AWS

• Os controladores de domínio são implantados em duas sub-redes da VPC privada em zonas de

Cenário 2: Estender a instalação do AD DS local

Figura 2: Arquitetura do Quick Start para estender o AD DS local para a AWS

Cenário 3: Implantar o AD DS com o AWS Directory

O AWS Directory Service implanta o AD DS em várias zonas de disponibilidade e detecta e substitui

• Configura a VPC, incluindo as sub-redes pública e privada em duas zonas de disponibilidade.*

A arquitetura para este cenário é ilustrada na Figura 3.

Considerações sobre design

Sub-redes privadas A 10.0.0.0/17

Zona de disponibilidade 1 10.0.0.0/19

Zona de disponibilidade 2 10.0.32.0/19

Sub-redes públicas 10.0.128.0/18

Zona de disponibilidade 1 10.0.128.0/20

Zona de disponibilidade 2 10.0.144.0/20

Tráfego de entrada do security group

Configurar o acesso administrativo seguro usando o

Projeto do Active Directory

Figura 4: Configuração de sites e serviços do Active Directory

Serviços de domínio de diretório de alta

Controladores de domínio somente leitura e graváveis

DNS e DHCP do Active Directory na VPC

Os endereços IP no campo domain-name-servers são sempre retornados na mesma ordem.

Configurações DNS em instâncias do Windows Server

Figura 5: Configurações avançadas de TCP/IP em uma instância do Windows ingressada no domínio

Etapa 1. Preparar sua conta da AWS

Figura 6: Escolher uma região da AWS

Figura 8: Criar um par de chaves

Figura 8: Solicitar um aumento de limite de serviço

Etapa 2. Executar o Início rápido

(ou inicie na VPC existente) (ou inicie na VPC existente)

Cada implantação leva aproximadamente uma hora.

Cenário 1: Parâmetros para implantar e gerenciar seu próprio AD DS

Rótulo do parâmetro Nome do parâmetro Padrão Description

Zonas de AvailabilityZones Requer entrada A lista de Zonas de

CIDR da VPC VPCCIDR 10.0.0.0/16 Bloco CIDR da

CIDR da sub-rede PrivateSubnet1CIDR 10.0.0.0/19 Bloco CIDR da

CIDR da sub-rede PrivateSubnet2CIDR 10.0.32.0/19 Bloco CIDR da

CIDR da sub-rede PublicSubnet1CIDR 10.0.128.0/20 Bloco CIDR da

CIDR da sub-rede PublicSubnet2CIDR 10.0.144.0/20 Bloco CIDR da

CIDR de acesso RDGWCIDR Requer entrada Bloco CIDR permitido

Configuração do Amazon EC2:

Rótulo do parâmetro Nome do parâmetro Padrão Description

Nome do par de KeyPairName Requer entrada Par de chaves

Tipo de instância de ADServer1InstanceType m4.xlarge O tipo de instância do

Nome NetBIOS do ADServer1NetBIOSNameDC1 O nome NetBIOS do

Endereço IP privado do ADServer1PrivateIP 10.0.0.10 IP privado fixo do

Tipo de instância de ADServer2InstanceType m4.xlarge Tipo de instância do

Nome NetBIOS do ADServer2NetBIOSNameDC2 O nome NetBIOS do

Endereço IP privado do ADServer2PrivateIP 10.0.32.10 IP privado fixo do

Tipo de instância do RDGWInstanceType t2.large O tipo de instância do

Configuração do Active Directory da Microsoft:

Rótulo do parâmetro Nome do parâmetro Padrão Description

Nome DNS de domínio DomainDNSName example.com Nome de domínio