Créer un AD Connector (AWS Directory Service) avec Microsoft Entra Domain Services sans AD|DC On-Premise // Create AD Connector with Microsoft Entra Domain Services without AD|DC On-Premise

Question

Bonjour à toutes et tous !

J'essaie en vain depuis quelques temps de mettre en place : un AD Connector pour centraliser les identité côté Azure, et ce sans avoir un serveur AD/DC on-premise à configurer, hardener, etc. en essayant de passer par le service Cluod Microsoft Entra Domain Services. Je précise :

Côté AWS :

J'ai actuellement un compte AWS avec des instances EC2 que je souhaite joindre à notre annuaire Entra. J'ai donc configuré un VPC avec 2 subnets dans 2 zones de disponibilité avec une instance dans un de ces subnets.

J'ai également mis en place un tunnel IPSec/BGP/IKEv2 avec Microsoft Entra Domain Services en suivant le tutoriel de Microsoft suivant, les tunnels sont marqués comme "Up".

J'ai également changé les tables de routage pour mettre pour ajouter les chemins en direction de l'AD en passant par la Virtual Gateway.

Après avoir effectué les démarches côté Microsoft (que je compte expliquer ensuite), j'ai créé l'AD Connector, affiché après quelques minutes comme "Active".

Cependant après avoir effectué le test de connectivité (Exécution de DirectoryServicePortTest.exe conformément à ce tutoriel sur les IP présentes dans l'onglet "Propriétés" sur le domaine managé côté Microsoft Entra Domain Services), la forêt n'est pas trouvée au nom de domaine indiqué, malgré une connexion effective sur les ports DNS, LDAP et KERBEROS.

Côté Microsoft :

J'ai effectué également la manipulation pour mettre en place un tunnel IPSec/BGP/IKEv2, qui est marqué comme "Connecté".

J'ai créé un compte de service comme décrit dans ce tutoriel, à des manipulations sur le DC que j'ai essayé de reproduire depuis la console de Microsoft Entra Domain Services. Pour cela, j'ai donné les droits en lecteur global au compte de service, que j'ai placé dans un groupe de sécurité avec solution internationale.

J'ai également créé un "Peering" entre le virtual network duquel part le tunnel IPSec et le virtual network annuaire pour que la connexion passe entre les 2 virtuals network.

Avec tous ces éléments, est-ce que quelqu'un expérimenté sur ce sujet pourrait indiquer si le DC/AD on-premise est obligatoire, ou alors indiquer des pistes pour résoudre la non-résolution de forêt côté AWS ?

English Version

Hello everyone!

I've been trying in vain for some time to set up: an AD Connector to centralize identities on the Azure side, and this without having an on-premise AD/DC server to configure, hardener, etc. by trying to go through the Cluod Microsoft Entra Domain Services service. To be clear:

AWS side :

I currently have an AWS account with EC2 instances that I want to join to our Entra directory. So I've set up a VPC with 2 subnets in 2 availability zones with an instance in one of these subnets.
I've also set up an IPSec/BGP/IKEv2 tunnel with Microsoft Entra Domain Services following the following Microsoft tutorial, the tunnels are marked as “Up”.
I also changed the routing tables to add the paths to AD via the Virtual Gateway.
After carrying out the steps on the Microsoft side (which I intend to explain later), I created the AD Connector, which was displayed after a few minutes as “Active”.
However, after running the connectivity test (DirectoryServicePortTest.exe according to this tutorialon the IPs present in the “Properties” tab on the managed domain on the Microsoft Entra Domain Services side), the forest is not found at the indicated domain name, despite an effective connection on the DNS, LDAP and KERBEROS ports.

Microsoft side :

I've also set up an IPSec/BGP/IKEv2 tunnel, which is marked as “Connected”.

I created a service account as described in this tutorial, and performed the operations on the DC that I tried to reproduce from the Microsoft Entra Domain Services console. To do this, I gave global drive rights to the service account, which I placed in a security group with international solution.

I've also created a “Peering” between the virtual network from which the IPSec tunnel leaves and the directory virtual network, so that the connection passes between the 2 virtual networks.

With all these elements, could someone experienced on this subject indicate whether the on-premise DC/AD is mandatory, or else point out ways of resolving the forest non-resolution on the AWS side?

Answer 1

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Bonjour A delaubi,

Merci d’avoir posté sur le forum de la communauté Microsoft.

D’après la description ci-dessus, je comprends que votre question est liée à Azure ou au domaine Microsoft Entra.

Parconséquent, il n’y a pas d’ingénieurs dédiés à Azure ou Microsoft Entra Domain dans ce forum. afin de pouvoir traiter rapidement et efficacement votre problème, je vous recommande de reposter votre question dans le forum Q&R, où il y aura un ingénieur dédié pour vous donner une réponse professionnelle et efficace.

Voici le lien vers le forum Q&R.
Questions - Microsoft Q&R

Cliquez sur le bouton « Poser une question » dans le coin supérieur droit pour publier votre question et tapez la balise « Azure » ou « Microsoft Entra » et sélectionnez les balises liées à vos productions.

J’espère que les informations ci-dessus vous seront utiles.

Si vous avez des questions ou des préoccupations, n’hésitez pas à nous le faire savoir.

Sinceres salutations
Daisy Zhou

Answer 2

Bonjour Daisy,

Je vous remercie pour votre réponse et votre réactivité. Effectivement je me suis trompé de plateforme, merci pour votre réponse !

Bien à vous,

Answer 3

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Bonjour A delaubi,

Formules de politesse!

Non merci! J’espère que le problème sera bientôt résolu.

Bonne journée!

Sinceres salutations
Daisy Zhou