AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 3:部署 EC2 实例来管理 AWS Managed Microsoft AD

对于本实验,我们将使用具有公有 IP 地址的 EC2 实例,使其易于从任意位置访问管理实例。在生产设置中,您可以使用在私有 VPC 中的实例,这些实例只能通过 VPN 或 Amazon Direct Connect 链接访问。对于实例是否具有公有 IP 地址没有要求。

在此部分中,您将演练在新 EC2 实例上,使用 Windows Server 将客户端计算机连接到域所需的各种部署后任务。在下一步中,您将使用 Windows Server 来验证实验室正常运行。

为目录创建 DHCP 选项集

在此过程中,您设置 DHCP 选项范围,使得 VPC 中的 EC2 实例自动将您的 AWS Managed Microsoft AD 用于 DNS 解析。有关更多信息,请参阅 DHCP 选项集

为目录创建 DHCP 选项集

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中选择 DHCP Options Sets。然后选择 Create DHCP options set

  3. Create DHCP options set 对话框中,提供目录的以下值:

    • 对于 Name tag (名称标签),键入 AWS DS DHCP

    • 对于 Domain name (域名),键入 corp.example.com

    • 对于 Domain name servers (域名服务器),键入 AWS 所提供目录的 DNS 服务器的 IP 地址。要查找这些地址,请转到 AWS Directory Service 控制台导航窗格,选择 Directories (目录),选择适用的目录 ID,然后在 Details (详细信息) 页面上,使用 DNS address (DNS 地址) 中显示的 IP。

    • NTP serversNetBIOS name serversNetBIOS node type 的设置留空。

  4. 选择 Yes, Create。新的 DHCP 选项集会出现在您的 DHCP 选项列表中。

  5. 记录新增 DHCP 选项集的 ID (dopt-xxxxxxxx)。在此过程的末尾,当您将新选项集与 VPC 关联时需要此项。

  6. 在导航窗格中选择 Your VPCs

  7. 依次选择 AWS DS VPC操作编辑 DHCP 选项集

  8. Edit DHCP Options Set 对话框中,选择您在步骤 5 中记录的选项集。然后选择 Save

创建角色以将 Windows 实例加入您的 AWS Managed Microsoft AD 域

使用此过程可配置将 EC2 Windows 实例加入域中的角色。有关更多信息,请参阅将 Windows 实例加入 AWS Directory Service 域

配置 EC2 以将 Windows 实例加入域中

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在 IAM 控制台的导航窗格中,选择 Roles,然后选择 Create role

  3. AWS service 下,选择 EC2 链接,然后单击 Next

  4. Select your use case 下,选择 EC2,然后选择 Next

  5. 在策略列表中,选择 AmazonEC2RoleforSSM 策略,然后选择 Next

  6. Role name 中,键入角色的名称,说明它用于域加入。在本例中使用 EC2DomainJoin,然后选择 Create role 按钮。

创建 EC2 实例并自动加入目录

在此过程中,您将在 Amazon EC2 中设置 Windows Server 系统,该系统稍后可用于在 Active Directory 中管理用户、组和策略。

创建 EC2 实例并自动加入目录

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 选择 Launch Instance

  3. Step 1 页面上的 Microsoft Windows Server 2016 Base - ami-xxxxxxxx 旁,选择 Select

  4. Step 2 页面上,选择 t2.micro (注意,您可以选择较大的实例类型),然后选择 Next: Configure Instance Details

  5. Step 3 页面中,执行以下操作:

    • 对于 Network,选择以 AWS-DS-VPC 结尾的 VPC (例如,vpc-xxxxxxxx | AWS-DS-VPC)。

    • 对于 Subnet,选择 Public subnet 1,这应已为您首选的可用区预配置 (例如,subnet-xxxxxxxx | Public subnet1 | us-west-2a)。

    • 对于 Auto-assign Public IP,选择 Enable (如果子网设置未默认设置为启用)。

    • 对于 Domain join directory,选择 corp.example.com (d-xxxxxxxxxx)

    • 对于 IAM role,选择 EC2DomainJoin

    • 将其他设置保留为默认值。

    • 选择 Next: Add Storage

  6. Step 4 页面上,保留默认设置,然后选择 Next: Add Tags

  7. Step 5 页面上,选择 Add Tag。在 Key (键) 下,键入 corp.example.com-mgmt,然后选择 Next: Configure Security Group (下一步: 配置安全组)

  8. Step 6 页面,依次选择 Select an existing security groupAWS DS RDP Security GroupReview and Launch 查看实例。

  9. Step 7 页面上,查看页面,然后选择 Launch

  10. Select an existing key pair or create a new key pair 对话框上,执行下列操作之一:

    • 选择 Choose an existing key pair

    • Select a key pair 下,选择 AWS-DS-KP

    • 选中 I acknowledge... 复选框。

    • 选择 Launch Instances

  11. 选择 View Instances (查看实例) 以返回 Amazon EC2 控制台并查看部署的状态。

在 EC2 实例上安装 Active Directory 工具

您可以从两种方法中选择,在 EC2 实例上安装 Active Directory 域管理工具。您可以使用 Server Manager UI (本教程的建议方法) 或 Windows PowerShell。

在 EC2 实例上安装 Active Directory 工具 (Server Manager)

  1. 在 Amazon EC2 控制台中,选择 Instances,选择您刚刚创建的实例,然后选择 Connect

  2. Connect To Your Instance 对话框中,选择 Download Remote Desktop File

  3. Windows Security (Windows 安全) 对话框中,键入 Windows Server 计算机的本地管理员凭证以登录(例如,administrator)。

  4. Start 菜单中选择 Server Manager

  5. Dashboard 中,选择 Add Roles and Features

  6. Add Roles and Features Wizard 中,选择 Next

  7. Select installation type 页面上选择 Role-based or feature-based installation,然后选择 Next

  8. Select destination server 页面上,请确保选中了本地服务器,然后选择 Next

  9. Select server roles 页面上,选择 Next

  10. Select features 页面中,执行以下操作:

    • 选中 Group Policy Management 复选框。

    • 展开 Remote Server Administration Tools,然后展开 Role Administration Tools

    • 选中 AD DS and AD LDS Tools 复选框。

    • 选中 DNS Server Tools 复选框。

    • 选择 Next

  11. Confirm installation selections 页面上,查看信息,然后选择 Install。功能安装完成后,以下新工具或管理单元将在“开始”菜单的“Windows 管理工具”文件夹中可用。

    • Active Directory 管理中心

    • Active Directory 域和信任

    • 适用于 Windows PowerShell 的 Active Directory 模块

    • Active Directory 站点和服务

    • Active Directory 用户和计算机

    • ADSI 编辑

    • DNS

    • 组策略管理

在 EC2 实例上安装 Active Directory 工具 (Windows PowerShell) (可选)

  1. 启动 Windows PowerShell。

  2. 键入以下命令。

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server