AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 1:为 AWS Managed Microsoft AD 设置 AWS 环境

您必须先设置 Amazon EC2 密钥对来对所有登录数据进行加密,然后才能在 AWS 测试实验室中创建 AWS Managed Microsoft AD。

创建密钥对

如果您已有已密钥对,可跳过本步骤。有关 Amazon EC2 密钥对的更多信息,请参阅 http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

创建密钥对

  1. 登录 AWS 管理控制台并通过以下网址打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中的 Network & Security 下,选择 Key Pairs,然后选择 Create Key Pair

  3. Key pair name (密钥对名称) 键入 AWS-DS-KP,然后选择 Create (创建)

  4. 您的浏览器会自动下载私有密钥文件。该文件名是您在创建密钥对时指定的名称,扩展名为 .pem。将私有密钥文件保存在安全位置。

    重要

    这是您保存私有密钥文件的唯一机会。当您启动实例时,需要提供密钥对的名称;当您解密实例密码时,需要提供相应的私有密钥。

创建 VPC

在此过程中,您使用 AWS CloudFormation 模板创建 VPC 网络。有关此模板如何工作的更多信息,请参阅 Amazon VPC 快速入门指南。在本教程中,我们将设置一个公有 VPC。不过,只要您使用 Amazon Direct Connect 创建指向您 VPC 的网络路径,或者使用虚拟专用网络 (VPN) 连接,您就可以使 VPC 成为私有 VPC。

如果您希望使用默认 VPC (172.31.0.0/16),可以继续到下一部分。所有 AWS CLI 和 PowerShell 示例都使用自定义 VPC 信息。有关更多信息,请参阅 Amazon Virtual Private Cloud (Amazon VPC)

创建 VPC

  1. 在您的 AWS 账户中启动 AWS CloudFormation 模板。在登录您的账户时,单击此处

    默认情况下,模板会在 美国西部(俄勒冈)区域 中启动。要更改区域,请使用导航栏中的区域选择器。创建此堆栈需要约五分钟时间。

  2. Select Template (选择模板) 页面上,保留 Amazon S3 模板 URL 的默认设置,然后选择 Next (下一步)

  3. Specify Details 页面上,将堆栈名称设置为 AWS-DS-VPC。然后执行以下操作:

    • Availability Zone Configuration 下,选择您区域中的两个区。然后,对于 Number of Availability Zones,选择 2

    • Network Configuration 下,将 Create private subnets 设置为 false。然后在 Create additional private subnets with dedicated network ACLs 中,选择 false

    • Amazon EC2 Configuration (Amazon EC2 配置) 下,将 Key pair name (密钥对名称) 设置为 AWS-DS-KP 或者使用现有密钥对。

  4. 检查角色信息,然后选择 Next

  5. Options 页面上,选择 Next

  6. Review 页面上,选择 Create

为 EC2 实例创建安全组

默认情况下,AWS Managed Microsoft AD 创建安全组来管理其域控制器之间的流量。在此过程中,您将创建一个安全组,管理您 EC2 实例在 VPC 中的流量。您还需要添加规则,允许从任意位置的 RDP (3389) 入站,以及来自本地 VPC 的所有流量类型入站。有关更多信息,请参阅适用于 Windows 实例的 Amazon EC2 安全组

为 EC2 实例创建安全组

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. Security 下,选择 Security Groups

  3. 选择 Create Security Group

  4. Create Security Group 对话框中,提供以下值:

    • 对于 Security group name (安全组名称),键入 AWS DS RDP Security Group

    • 对于 Description (描述),键入 AWS DS RDP Security Group

    • 对于 VPC,选择以 AWS-DS-VPC 结尾的 VPC。

  5. 选择 Create

  6. 选择 AWS DS RDP Security Group

  7. 在安全组列表下选择 Inbound Rules (入站规则) 选项卡。

  8. 选择 Edit rules (编辑规则),然后选择 Add Rule (添加规则)

  9. 在表中添加以下值:

    • 对于 Type,选择 RDP (3389)

    • 对于 Protocol,验证显示了 TCP (6)

    • 对于 Port Range,验证显示了 3389

    • 对于 Source,用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以在同一区域中指定其他安全组的名称或 ID。此设置确定可以到达您 EC2 实例的流量。有关更多信息,请参阅了解目录的 AWS 安全组配置和使用

  10. 选择 Add Rule (添加规则),然后提供以下值:

    • 对于 Type,选择 All Traffic

    • 对于 Protocol,验证显示了 All

    • 对于 Port Range,验证显示了 All

    • 对于 Source,键入 10.0.0.0/16

  11. 选择 Save rules (保存规则)