第 3 步:部署亚马逊 EC2 实例来管理你的 Amazon 托管微软 AD Active Directory - Amazon Directory Service
可选:为目录创建-D Amazon S-VPC01 中设置的 DHCP 选项创建角色以将 Windows 实例加入你的 Amazon 托管微软 AD 域创建 Amazon EC2 实例并自动加入该目录在您的 EC2实例上安装活动目录工具
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 3 步:部署亚马逊 EC2 实例来管理你的 Amazon 托管微软 AD Active Directory

在本实验中,我们使用具有公有 IP 地址的 Amazon EC2 实例,便于从任何地方访问管理实例。在生产设置中,您可以使用私有 VPC 中的实例,这些实例只能通过 VPN 或 Amazon Direct Connect 链接访问。对于实例是否具有公有 IP 地址没有要求。

在本节中,您将介绍客户端计算机在新 EC2 实例上使用 Windows Server 连接到您的域所需的各种部署后任务。在下一步中,您将使用 Windows Server 来验证实验室正常运行。

可选:为目录创建-D Amazon S-VPC01 中设置的 DHCP 选项

在此可选步骤中,您将设置 DHCP 选项范围,以便您的 VPC 中的 EC2 实例自动使用您的 Amazon 托管 Microsoft AD 进行 DNS 解析。有关更多信息,请参阅 DHCP 选项集

为目录创建 DHCP 选项集

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 DHCP Options Sets,然后选择 Create DHCP options set

  3. 创建 DHCP 选项集页面上,提供目录的以下值:

    • 对于名称,键入 Amazon DS DHCP

    • 对于 Domain name (域名),键入 corp.example.com

    • 对于 Domain name servers (域名服务器),键入 Amazon 所提供目录的 DNS 服务器的 IP 地址。

      注意

      要查找这些地址,请转到 Amazon Directory Service 目录页面,然后选择适用的目录 ID。在 “详细信息” 页面上,识别并使用 DNS 地址中显示的。 IPs

      或者,要查找这些地址,请转到 Amazon Directory Service 目录页面,然后选择适用的目录 ID。然后,选择扩展和共享。在 “域控制器” 下 IPs ,识别并使用 IP 地址中显示的。

    • NTP serversNetBIOS name serversNetBIOS node type 的设置留空。

  4. 选择创建 DHCP 选项集,然后选择关闭。新的 DHCP 选项集会出现在您的 DHCP 选项列表中。

  5. 记下新的 DHCP 选项集的 ID (dopt-xxxxxxxx)。在此过程的末尾,您将新选项集与 VPC 关联时使用此项。

    注意

    无缝域加入发挥作用,而无需配置 DHCP 选项集。

  6. 在导航窗格中,选择您的 VPCs

  7. 在列表中 VPCs,选择 Amazon DS VPC,选择操作,然后选择编辑 DHCP 选项集

  8. 编辑 DHCP 选项集页面上,选择您在步骤 5 中记录的选项集,然后选择保存

创建角色以将 Windows 实例加入你的 Amazon 托管微软 AD 域

使用此过程配置用于将 Amazon EC2 Windows 实例加入域的角色。有关更多信息,请参阅 将亚马逊 EC2 Windows 实例加入你的 Amazon 托管微软 AD Active Directory

配置为 EC2 将 Windows 实例加入到您的域中

  1. 使用 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在 IAM 控制台的导航窗格中,选择角色,然后选择创建角色

  3. 选择受信任实体的类型 下,选择 Amazon 服务

  4. “选择将使用此角色的服务” 下,选择 EC2,然后选择 “下一步:权限”。

  5. 附加的权限策略页面上,执行以下操作:

    • 选中 Amazon SSMManaged InstanceCore 托管政策旁边的复选框。此策略提供了使用 Systems Manager 服务所需的最低权限。

    • 选中 Amazon SSMDirectory ServiceAccess 托管政策旁边的复选框。该策略提供了将实例加入由 Amazon Directory Service托管的 Active Directory 的权限。

    有关可以为 Systems Manager 附加的此类托管和其他策略的信息,请参阅《Amazon Systems Manager 用户指南》中的为 Systems Manager 创建 IAM 实例配置文件。有关托管策略的更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略

  6. 选择下一步:标签

  7. (可选)添加一个或多个标签键值对以组织、跟踪或控制该角色的访问,然后选择下一步: 审核

  8. 在角色名称中,输入角色的名称,描述该角色用于将实例加入域,例如EC2DomainJoin

  9. (可选)对于角色描述,请输入描述。

  10. 选择 Create role (创建角色)。系统将让您返回到 角色 页面。

创建 Amazon EC2 实例并自动加入该目录

在此过程中,您将在一个 EC2 实例中设置 Windows Server 系统,该系统以后可用于管理 Active Directory 中的用户、组和策略。

创建 EC2 实例并自动加入目录

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 选择启动实例

  3. 步骤 1 页面上,在微软 Windows Server 2019 Base 旁边——ami—— xxxxxxxxxxxxxxxxx 选择选择

  4. Step 2 (步骤 2) 页面上,选择 t3.micro(注意,您可以选择更大的实例类型),然后选择 Next: Configure Instance Details (下一步:配置实例详细信息)

  5. Step 3 页面中,执行以下操作:

    • 对于网络,请选择以 Amazon-DS-VPC01 结尾的 VPC(例如,vpc-|-ds-V PC01)。xxxxxxxxxxxxxxxxx Amazon

    • 对于子网,请选择公有子网 1,该子网应针对您的首选可用区进行预配置(例如,子网-xxxxxxxxxxxxxxxxx | Amazon-ds-vpc01-subnet01 |)。us-west-2a

    • 对于 Auto-assign Public IP,选择 Enable (如果子网设置未默认设置为启用)。

    • 对于域加入目录,请选择 c orp.example.com (d-)。xxxxxxxxxx

    • 对于 IAM 角色,请选择您为实例角色指定的名称创建角色以将 Windows 实例加入你的 Amazon 托管微软 AD 域,例如EC2DomainJoin

    • 将其他设置保留为默认值。

    • 选择下一步:添加存储

  6. Step 4 页面上,保留默认设置,然后选择 Next: Add Tags

  7. Step 5 页面上,选择 Add Tag。在 Key (键) 下,键入 corp.example.com-mgmt,然后选择 Next: Configure Security Group (下一步: 配置安全组)

  8. 步骤 6 页面上,依次选择选择现有安全组Amazon DS RDP 安全组(您以前在基本教程中已设置)和查看并启动以查看实例。

  9. Step 7 页面上,查看页面,然后选择 Launch

  10. Select an existing key pair or create a new key pair 对话框上,执行下列操作之一:

    • 选择选择现有密钥对

    • 选择密钥对下,选择 Amazon-DS-KP

    • 选中 I acknowledge... 复选框。

    • 选择启动新实例

  11. 选择查看实例返回到 Amazon EC2 控制台并查看部署状态。

在您的 EC2实例上安装活动目录工具

您可以从两种方法中进行选择,在您的 EC2 实例上安装 Active Directory 域管理工具。您可以使用服务器管理器用户界面(本教程推荐使用)或 Windows PowerShell.

在您的 EC2 实例上安装 Active Directory 工具(服务器管理器)

  1. 在 Amazon EC2 控制台中,选择实例,选择您刚刚创建的实例,然后选择 Connect

  2. 连接到您的实例对话框中,选择获取密码以检索您的密码(如果您尚未这样做),然后选择下载远程桌面文件

  3. Windows Security (Windows 安全) 对话框中,键入 Windows Server 计算机的本地管理员凭证以登录(例如,administrator)。

  4. Start 菜单中选择 Server Manager

  5. Dashboard 中,选择 Add Roles and Features

  6. Add Roles and Features Wizard 中,选择 Next

  7. Select installation type 页面上选择 Role-based or feature-based installation,然后选择 Next

  8. Select destination server 页面上,请确保选中了本地服务器,然后选择 Next

  9. Select server roles 页面上,选择 Next

  10. Select features 页面中,执行以下操作:

    • 选中 Group Policy Management 复选框。

    • 展开 Remote Server Administration Tools,然后展开 Role Administration Tools

    • 选中 AD DS and AD LDS Tools 复选框。

    • 选中 DNS Server Tools 复选框。

    • 选择下一步

  11. Confirm installation selections 页面上,查看信息,然后选择 Install。功能安装完成后,以下新工具或管理单元将在“开始”菜单的“Windows 管理工具”文件夹中可用。

    • Active Directory 管理中心

    • Active Directory 域和信任

    • 的活动目录模块 Windows PowerShell

    • Active Directory 站点和服务

    • Active Directory 用户和计算机

    • ADSI 编辑

    • DNS

    • 组策略管理

要在您的 EC2 实例上安装 Active Directory 工具 (Windows PowerShell)(可选)

  1. 启动 Windows PowerShell.

  2. 键入以下命令。

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server