本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 第 3 步:部署 Amazon EC2 实例来管理您的 Amazon 托管微软 AD 活动目录
对于本实验室,我们将使用具有公有 IP 地址的 Amazon EC2 实例,使其易于从任意位置访问管理实例。在生产设置中,您可以使用私有 VPC 中的实例,这些实例只能通过 VPN 或 Amazon Direct Connect 链接访问。对于实例是否具有公有 IP 地址没有要求。
在此部分中,您将演练在新 EC2 实例上,使用 Windows Server 将客户端计算机连接到域所需的各种部署后任务。在下一步中,您将使用 Windows Server 来验证实验室正常运行。
## 可选:为目录创建-D Amazon S-VPC01 中设置的 DHCP 选项
在此可选步骤中,您将设置 DHCP 选项范围,以便您的 VPC 中的 EC2 实例自动使用您的 Amazon 托管 Microsoft AD 进行 DNS 解析。有关更多信息,请参阅[ DHCP 选项集](https://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)。
**为目录创建 DHCP 选项集**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **DHCP Options Sets**,然后选择 **Create DHCP options set**。
1. 在**创建 DHCP 选项集**页面上,提供目录的以下值:
+ 对于**名称**,键入 **Amazon DS DHCP**。
+ 对于 **Domain name (域名)**,键入 **corp.example.com**。
+ 对于 **Domain name servers (域名服务器)**,键入 Amazon 所提供目录的 DNS 服务器的 IP 地址。
**注意**
要查找这些地址,请转到 Amazon Directory Service **目录**页面,然后选择适用的目录 ID。在 “**详细信息**” 页面上,识别并使用 **DNS 地址**中显示的。 IPs
或者,要查找这些地址,请转到 Amazon Directory Service **目录**页面,然后选择适用的目录 ID。然后,选择**扩展和共享**。在 “**域控制器**” 下 IPs ,识别并使用 **IP 地址**中显示的。
+ 将 **NTP servers**、**NetBIOS name servers** 和 **NetBIOS node type** 的设置留空。
1. 选择**创建 DHCP 选项集**,然后选择**关闭**。新的 DHCP 选项集会出现在您的 DHCP 选项列表中。
1. 记下新的 DHCP 选项集的 ID (**dopt-*xxxxxxxx***)。在此过程的末尾,您将新选项集与 VPC 关联时使用此项。
**注意**
无缝域加入发挥作用,而无需配置 DHCP 选项集。
1. 在导航窗格中,选择**您的 VPCs**。
1. 在列表中 VPCs,选择 **Amazon DS VPC**,选择**操作**,然后选择**编辑 DHCP 选项集**。
1. 在**编辑 DHCP 选项集**页面上,选择您在步骤 5 中记录的选项集,然后选择**保存**。
## 创建角色以将 Windows 实例加入你的 Amazon 托管微软 AD 域
使用此过程可配置将 Amazon EC2 Windows 实例加入域中的角色。有关更多信息,请参阅 [将 Amazon EC2 Windows 实例加入您的 Amazon 托管微软 AD 活动目录](launching_instance.md)。
**配置 EC2 以将 Windows 实例加入域中**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/) 打开 IAM 控制台。
1. 在 IAM 控制台的导航窗格中,选择**角色**,然后选择**创建角色**。
1. 在 **选择受信任实体的类型** 下,选择 **Amazon 服务**。
1. 在紧靠**选择将使用此角色的服务**下面,选择 **EC2**,然后选择**下一步: 权限**。
1. 在**附加的权限策略**页面上,执行以下操作:
+ 选中 **Amazon SSMManaged InstanceCore** 托管政策旁边的复选框。此策略提供了使用 Systems Manager 服务所需的最低权限。
+ 选中 **Amazon SSMDirectory ServiceAccess** 托管政策旁边的复选框。该策略提供了将实例加入由 Amazon Directory Service托管的 Active Directory 的权限。
有关可以为 Systems Manager 附加的此类托管和其他策略的信息,请参阅《Amazon Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.amazonaws.cn/systems-manager/latest/userguide/setup-instance-profile.html)。有关托管策略的更多信息,请参阅《IAM 用户指南**》中的 [Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
1. 选择**下一步:标签**。
1. (可选)添加一个或多个标签键值对以组织、跟踪或控制该角色的访问,然后选择**下一步: 审核**。
1. **在角色名称**中,输入角色的名称,描述该角色用于将实例加入域,例如**EC2DomainJoin**。
1. (可选)对于**角色描述**,请输入描述。
1. 选择 **Create role (创建角色)**。系统将让您返回到 **角色** 页面。
## 创建 Amazon EC2 实例并自动加入目录
在此过程中,您将在 EC2 实例中设置 Windows Server 系统,该系统稍后可用于在 Active Directory 中管理用户、组和策略。
**创建 EC2 实例并自动加入目录**
1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/) 的 Amazon EC2 控制台。
1. 选择**启动实例**。
1. 在**步骤 1** 页面上,在**微软 Windows Server 2019 Base 旁边——ami—— *xxxxxxxxxxxxxxxxx*** **选择选择**。
1. 在 **Step 2 (步骤 2)** 页面上,选择 **t3.micro**(注意,您可以选择更大的实例类型),然后选择 **Next: Configure Instance Details (下一步:配置实例详细信息)**。
1. 在 **Step 3** 页面中,执行以下操作:
+ 对于**网络**,请选择以 **Amazon-DS-** 结尾的 VP **CVPC01(例如,vpc-*xxxxxxxxxxxxxxxxx* \$1 Amazon-DS-VPC01**)。
+ 对于**子网**,请选择**公有子网 1**,该子网应针对您的首选可用区进行预配置(例如,**子网-*xxxxxxxxxxxxxxxxx* \$1 Amazon-DS-VPC01-Subnet01 \$1**)。*us-west-2a*
+ 对于 **Auto-assign Public IP**,选择 **Enable** (如果子网设置未默认设置为启用)。
+ 对于**域加入目录**,请选择 c **orp.example.com (**d-)。*xxxxxxxxxx*
+ 对于 **IAM 角色**,请选择您为实例角色指定的名称[创建角色以将 Windows 实例加入你的 Amazon 托管微软 AD 域](#configureec2),例如**EC2DomainJoin**。
+ 将其他设置保留为默认值。
+ 选择**下一步:添加存储**。
1. 在 **Step 4** 页面上,保留默认设置,然后选择 **Next: Add Tags**。
1. 在 **Step 5** 页面上,选择 **Add Tag**。在 **Key (键)** 下,键入 **corp.example.com-mgmt**,然后选择 **Next: Configure Security Group (下一步: 配置安全组)**。
1. 在**步骤 6** 页面上,依次选择**选择现有安全组**、**Amazon DS RDP 安全组**(您以前在[基本教程](microsoftadbasestep1.md#createsecuritygroup)中已设置)和**查看并启动**以查看实例。
1. 在 **Step 7** 页面上,查看页面,然后选择 **Launch**。
1. 在 **Select an existing key pair or create a new key pair** 对话框上,执行下列操作之一:
+ 选择**选择现有密钥对**。
+ 在**选择密钥对**下,选择 **Amazon-DS-KP**。
+ 选中 **I acknowledge...** 复选框。
+ 选择**启动新实例**。
1. 选择**查看实例**以返回 Amazon EC2 控制台并查看部署的状态。
## 在 EC2 实例上安装 Active Directory 工具
您可以从两种方法中选择,在 EC2 实例上安装 Active Directory 域管理工具。您可以使用 Server Manager UI(本教程建议的方法)或 PowerShell。
**在 EC2 实例上安装 Active Directory 工具(Server Manager)**
1. 在 Amazon EC2 控制台中,选择**实例**,选择您刚刚创建的实例,然后选择**连接**。
1. 在**连接到您的实例**对话框中,选择**获取密码**以检索您的密码(如果您尚未这样做),然后选择**下载远程桌面文件**。
1. 在 **Windows Security (Windows 安全)** 对话框中,键入 Windows Server 计算机的本地管理员凭证以登录(例如,**administrator**)。
1. 从 **Start** 菜单中选择 **Server Manager**。
1. 在 **Dashboard** 中,选择 **Add Roles and Features**。
1. 在 **Add Roles and Features Wizard** 中,选择 **Next**。
1. 在 **Select installation type** 页面上选择 **Role-based or feature-based installation**,然后选择 **Next**。
1. 在 **Select destination server** 页面上,请确保选中了本地服务器,然后选择 **Next**。
1. 在 **Select server roles** 页面上,选择 **Next**。
1. 在 **Select features** 页面中,执行以下操作:
+ 选中 **Group Policy Management** 复选框。
+ 展开 **Remote Server Administration Tools**,然后展开 **Role Administration Tools**。
+ 选中 **AD DS and AD LDS Tools** 复选框。
+ 选中 **DNS Server Tools** 复选框。
+ 选择**下一步**。
1. 在 **Confirm installation selections** 页面上,查看信息,然后选择 **Install**。功能安装完成后,以下新工具或管理单元将在“开始”菜单的“Windows 管理工具”文件夹中可用。
+ Active Directory 管理中心
+ Active Directory 域和信任
+ 适用于 PowerShell 的 Active Directory 模块
+ Active Directory 站点和服务
+ Active Directory 用户和计算机
+ ADSI 编辑
+ DNS
+ 组策略管理
**在 EC2 实例上安装 Active Directory 工具(PowerShell)(可选)**
1. 启动 PowerShell。
1. 键入以下命令。
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```