本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
第 1 步:设置Amazon用于的环境AmazonMicrosoft Managed Microsoft AD
在你可以创建之前Amazon在您的托管的 Microsoft ADAmazon测试实验室,您首先需要设置 Amazon EC2 key pair 以对所有登录数据进行加密。
创建密钥对
如果您已有已密钥对,可跳过本步骤。有关 Amazon EC2 密钥对的更多信息,请参阅http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html.
创建密钥对
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
在导航窗格中的 Network & Security 下,选择 Key Pairs,然后选择 Create Key Pair。
-
对于 Key pair name (密钥对名称),键入
Amazon-DS-KP。对于 Key pair file format (密钥对文件格式),选择 pem,然后选择 Create (创建)。 -
您的浏览器会自动下载私有密钥文件。该文件名是您在创建密钥对时指定的名称,扩展名为
.pem。将私有密钥文件保存在安全位置。重要 这是您保存私有密钥文件的唯一机会。当您启动实例时,需要提供密钥对的名称;当您解密实例密码时,需要提供相应的私有密钥。
创建、配置和对等两个 VPC
如下图所示,在完成这一多步骤过程后,您就创建并配置了两个公有 VPC、每个 VPC 两个公有子网、每个 VPC 一个 Internet 网关以及这两个 VPC 之间的一个 VPC 对等连接。为了简化和降低成本,我们选择使用公有 VPC 和子网。对于生产工作负载,我们建议您使用私有 VPC。有关提高 VPC 安全性的更多信息,请参阅 Amazon Virtual Private Cloud 中的安全性。
所有Amazon CLIPowerShell 示例使用下面的 VPC 信息,并在 us-west-2 中构建。您可以选择任何区域支持在中构建环境。有关一般信息,请参阅 Amazon VPC 是什么?。
第 1 步:创建两个 VPC
在此步骤中,您需要使用下表中的指定参数在同一账户中创建两个 VPC。Amazon托管微软 AD 支持将单独的帐户与共享您的目录功能。将用于第一个 VPCAmazon托管的 Microsoft AD。第二个 VPC 将用于以后可能在 教程:创建信任Amazon将微软 AD 托管到 Amazon EC2 上的自管 Active Directory 安装中使用的资源。
|
托管 AD VPC 信息 |
本地 VPC 信息 |
|---|---|
|
名称标签:Amazon-DS-VPC01 IPv4 CIDR block:10.0.0.0/16 IPv6 CIDR 块:无 IPv6 CIDR 块 租赁:默认值 |
名称标签:Amazon-OnPre-MVPC01 IPv4 CIDR block:10.100.0.0/16 IPv6 CIDR 块:无 IPv6 CIDR 块 租赁:默认值 |
有关详细说明,请参阅创建 VPC。
步骤 2: 每个 VPC 创建两个子网
创建 VPC 后,您将需要使用下表中的指定参数为每个 VPC 创建两个子网。对于本测试实验室,每个子网将是 /24。这将允许每个子网最多发出 256 个地址。每个子网必须位于单独的可用区中。将每个子网单独放在可用区中是 AmazonMicrosoft AD之一。
|
Amazon-DS-VPC01 子网信息: |
Amazon-OnPrem VPC01 子网信息 |
|---|---|
|
名称标签:Amazon-DS-VPC01-Subnet01 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-DS-VPC01 可用区:us-west-2a IPv4 CIDR block:10.0.0.0/24 |
名称标签:Amazon-OnPrem-VPC01-Subnet01 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-OnPre-MVPC01 可用区:us-west-2a IPv4 CIDR block:10.100.0.0/24 |
|
名称标签:Amazon-DS-VPC01-Subnet02 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-DS-VPC01 可用区:us-west-2b IPv4 CIDR block:10.0.1.0/24 |
名称标签:Amazon-OnPrem-VPC01-Subnet02 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-OnPre-MVPC01 可用区:us-west-2b IPv4 CIDR block:10.100.1.0/24 |
有关详细说明,请参阅在 VPC 中创建子网。
步骤 3: 创建 Internet Gateway 并将其连接到您的 VPC
由于我们使用的是公有 VPC,因此需要使用下表中的指定参数创建 Internet 网关并将其连接到 VPC。这将允许您连接和管理您的 EC2 实例。
|
Amazon-DS-VPC01 Internet Gateway 信息 |
Amazon-OnPre-MVPC01 Internet Gateway 信息 |
|---|---|
|
名称标签:Amazon-DS-VPC01-IGW VPC:vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-DS-VPC01 |
名称标签:Amazon-OnPrem-VPC01-IGW VPC:vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-OnPre-MVPC01 |
有关详细说明,请参阅 Internet 网关。
步骤 4: 配置 VPC 对等连接Amazon-DS-VPC01 和Amazon-OnPre-MVPC01
由于您之前已经创建了两个 VPC,因此您需要使用下表中的指定参数通过 VPC 对等方式将它们联网在一起。尽管有很多方法可以连接您的 VPC,但本教程只使用 VPC 对等。Amazon托管 Microsoft AD 支持许多连接 VPC 的解决方案,其中一些包括VPC 对等、中转网关, 和VPN.
|
对等连接名称标签:Amazon-DS-VPC01Amazon-OnPrem-VPC01-Prem VPC(请求者):vpc-xxxxxxxxxxxxxxxxxxxxxxxAmazon-DS-VPC01 账户:我的账户 区域: 此区域 VPC(接受者):vpc-xxxxxxxxxxxxxxxxxxxxxxxAmazon-OnPre-MVPC01 |
有关如何在您账户中的两个 VPC 之间创建 VPC 对等连接的说明,请参阅在您账户中的两个 VPC 之间创建 VPC 对等连接。
第 5 步:向每个 VPC 的主路由表添加两条路由
为了使在前面步骤中创建的 Internet 网关和 VPC 对等连接能够正常起作用,您需要使用下表中的指定参数更新这两个 VPC 的主路由表。您将添加两条路由:0.0.0.0/0(它将路由到路由表未明确知道的所有目的地)和 10.0.0.0/16 或 10.100.0.0/16(它将通过上面建立的 VPC 对等连接路由到每个 VPC)。
您可以通过筛选 VPC 名称标签(Amazon-DS-VPC01 或Amazon-OnPre-MVPC01)。
|
Amazon-DS-VPC01 路由 1 信息 |
Amazon-DS-VPC01 路由 2 信息 |
Amazon-OnPre-MVPC01 路由 1 信息 |
Amazon-OnPre-MVPC01 路由 2 信息 |
|---|---|---|---|
|
目标:0.0.0.0/0 目标:igw-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-DS-VPC01-IGW |
目标:10.100.0.0/16 目标:pcx-xxxxxxxxxxxxxxxxxxxAmazon-DS-VPC01Amazon-OnPrem-VPC01-Prem |
目标:0.0.0.0/0 目标:igw-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-OnPre-MVPC01 |
目标:10.0.0.0/16 目标:pcx-xxxxxxxxxxxxxxxxxxxAmazon-DS-VPC01Amazon-OnPrem-VPC01-Prem |
有关如何向 VPC 路由表添加路由的说明,请参阅从路由表添加和删除路由。
为 EC2 实例创建安全组
默认情况下,Amazon托管 Microsoft AD 创建安全组用于管理其域控制器之间的流量。在本节中,您需要创建 2 个安全组(每个 VPC 一个),它们用于使用下表中的指定参数管理 EC2 实例的 VPC 内流量。您还需要添加规则,允许从任意位置的 RDP (3389) 入站,以及来自本地 VPC 的所有流量类型入站。有关更多信息,请参阅 。适用于 Windows 实例的 Amazon EC2 安全组.
|
Amazon-DS-VPC01 安全组信息: |
|---|
|
安全组名称:AmazonDS 测试实验室安全组 描述:AmazonDS 测试实验室安全组 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-DS-VPC01 |
用于的安全组入站规则Amazon-DS-VPC01
| 类型 | 协议 | 端口范围 | 源 | 流量的类型 |
|---|---|---|---|---|
| 自定义 TCP 规则 | TCP | 3389 | 我的 IP | 远程桌面 |
| 所有流量 | All | 所有 | 10.0.0.0/16 | 所有本地 VPC 流量 |
Security Group Outbound Rules for Amazon-DS-VPC01
| 类型 | 协议 | 端口范围 | 目标 | 流量的类型 |
|---|---|---|---|---|
| 所有流量 | All | All | 0.0.0.0/0 | 所有流量 |
| Amazon-OnPre-MVPC01 安全组信息: |
|---|
|
安全组名称:AmazonOnPrem 测试实验室安全组。 描述:AmazonOnPrem 测试实验室安全组。 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAmazon-OnPre-MVPC01 |
用于的安全组入站规则Amazon-OnPre-MVPC01
| 类型 | 协议 | 端口范围 | 源 | 流量的类型 |
|---|---|---|---|---|
| 自定义 TCP 规则 | TCP | 3389 | 我的 IP | 远程桌面 |
| 自定义 TCP 规则 | TCP | 53 | 10.0.0.0/16 | DNS |
| 自定义 TCP 规则 | TCP | 88 | 10.0.0.0/16 | Kerberos |
| 自定义 TCP 规则 | TCP | 389 | 10.0.0.0/16 | LDAP |
| 自定义 TCP 规则 | TCP | 464 | 10.0.0.0/16 | Kerberos 更改/设置密码 |
| 自定义 TCP 规则 | TCP | 445 | 10.0.0.0/16 | SMB / CIFS |
| 自定义 TCP 规则 | TCP | 135 | 10.0.0.0/16 | 复制 |
| 自定义 TCP 规则 | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| 自定义 TCP 规则 | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| 自定义 TCP 规则 | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC 和 LDAP GC SSL |
| 自定义 UDP 规则 | UDP | 53 | 10.0.0.0/16 | DNS |
| 自定义 UDP 规则 | UDP | 88 | 10.0.0.0/16 | Kerberos |
| 自定义 UDP 规则 | UDP | 123 | 10.0.0.0/16 | Windows 时间 |
| 自定义 UDP 规则 | UDP | 389 | 10.0.0.0/16 | LDAP |
| 自定义 UDP 规则 | UDP | 464 | 10.0.0.0/16 | Kerberos 更改/设置密码 |
| 所有流量 | All | 所有 | 10.100.0.0/16 | 所有本地 VPC 流量 |
Security Group Outbound Rules for Amazon-OnPre-MVPC01
| 类型 | 协议 | 端口范围 | 目标 | 流量的类型 |
|---|---|---|---|---|
| 所有流量 | All | All | 0.0.0.0/0 | 所有流量 |
有关如何创建规则并将规则添加到安全组的详细说明,请参阅使用安全组。