第 1 步:为信任设置环境 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 1 步:为信任设置环境

在此部分中,设置您的 Amazon EC2 环境,部署新的林,并准备您的 VPC 以便与之间建立信任。Amazon.

创建一个 Windows Server 2019 EC2 实例

使用以下过程在 Amazon EC2 中创建一个 Windows Server 2019 成员服务器。

创建 Windows Server 2019 EC2 实例

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在 Amazon EC2 控制台中,选择启动实例.

  3. Step 1 (步骤 1) 页面上,在列表中找到 Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx。然后选择 Select

  4. 在存储库的步骤 2页面上,选择t2.large选择,然后选择后续:配置实例详细信息.

  5. Step 3 页面中,执行以下操作:

    • 适用于网络选择,选择vpc-xxxxxxxxxxxxxxxxxxxxx Amazon-OnPre-M-VPC01(您之前在基本教程)。

    • 适用于子网选择,选择子网-xxxxxxxxxxxxxxxxxxxxx|Amazon-OnPre-MP-VPC01-Subnet01 |Amazon-OnPre-M-VPC01.

    • 对于 Auto-assign Public IP 列表,选择 Enable (如果子网设置未默认设置为 Enable)。

    • 将其他设置保留为默认值。

    • 选择 Next:添加存储.

  6. 在存储库的步骤 4页面,保留默认设置,然后选择后续:添加标签.

  7. Step 5 页面上,选择 Add Tag。UNDER密钥类型example.local-DC01选择,然后选择后续:配置安全组.

  8. 在存储库的步骤 6页面,选择选择现有安全组选择,选择Amazon本地测试实验室安全组(您之前在基本教程),然后选择查看和启动查看实例。

  9. Step 7 页面上,查看页面,然后选择 Launch

  10. Select an existing key pair or create a new key pair 对话框上,执行下列操作之一:

    • 选择 Choose an existing key pair

    • UNDER选择一个密钥对,选择Amazon-DS-KP(您之前在基本教程)。

    • 选中 I acknowledge... 复选框。

    • 选择 Launch Instances

  11. 选择查看实例返回 Amazon EC2 控制台并查看部署的状态。

将您的服务器提升为域控制器

在创建信任之前,您必须为新林构建和部署第一个域控制器。在此过程中,您需要配置新的 Active Directory 林,安装 DNS,并将此服务器设置为使用本地 DNS 服务器来解析名称。在此过程结束时,您必须重新启动服务器。

注意

如果你想在中创建域控制器Amazon与您的本地网络复制,您将首先手动将 EC2 实例加入到您的本地域。然后,您可以将服务器提升为域控制器。

将您的服务器提升为域控制器

  1. 在 Amazon EC2 控制台中,选择实例,选择您刚创建的实例,然后选择Connect (连接).

  2. Connect To Your Instance 对话框中,选择 Download Remote Desktop File

  3. Windows Security (Windows 安全) 对话框中,键入 Windows Server 计算机的本地管理员凭证以登录(例如,administrator)。如果您还没有本地管理员密码,请返回 Amazon EC2 控制台,右键单击该实例,然后选择获取 Windows 密码. 导航到您的 Amazon DS KP.pem 文件或您的个人 .pem 密钥,然后选择 Decrypt Password

  4. Start 菜单中选择 Server Manager

  5. Dashboard 中,选择 Add Roles and Features

  6. Add Roles and Features Wizard 中,选择 Next

  7. Select installation type 页面上选择 Role-based or feature-based installation,然后选择 Next

  8. Select destination server 页面上,请确保选中了本地服务器,然后选择 Next

  9. Select server roles 页面上,选择 Active Directory Domain Services。在 Add Roles and Features Wizard 对话框中,确认 Include management tools (如果适用) 复选框已选中。选择 Add Features,然后选择 Next

  10. 选择功能页面上,选择下一步

  11. Active Directory Domain Services 页面上,选择 Next

  12. Confirm installation selections 页面上,选择 Install

  13. 在安装 Active Directory 二进制文件后,选择 Close

  14. 打开 Server Manager 后,查找顶部单词 Manage 旁边的标记。当此标记变成黄色后,即可提升服务器。

  15. 选择黄色标记,然后选择 Promote this server to a domain controller

  16. Deployment Configuration 页面上,选择 Add a new forest。在 Root domain name (根域名) 中,键入 example.local,然后选择 Next (下一步)

  17. Domain Controller Options 页面上,执行以下操作:

    • Forest functional levelDomain functional level 中,选择 Windows Server 2016

    • Specify domain controller capabilities 下,确保 Domain Name System (DNS) serverGlobal Catalog (GC) 都处于选中状态。

    • 键入并确认目录服务还原模式 (DSRM) 密码。然后选择下一步

  18. DNS Options 页面上,忽略有关委托的警告,然后选择 Next

  19. Additional options (其他选项) 页面上,确保 EXAMPLE 作为 NetBios 域名列出。

  20. Paths 页面上,保留默认设置,然后选择 Next

  21. Review Options 页面上,选择 Next。现在,服务器会检查以确保域控制器的所有先决条件都得到满足。您可能会看到显示一些警告,不过您可以安全地忽略它们。

  22. 选择安装。安装完成后,服务器会重启,然后变为正常运行的域控制器。

配置 VPC

下面三个过程将指导您完成在 Amazon 上为连接配置 VPC 的各个步骤。

配置 VPC 出站规则

  1. 在Amazon Directory Service记录控制台,记录下Amazon您之前在中创建的 corp.example.com 的托管的 Microsoft AD 目录 ID基本教程.

  2. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  3. 在导航窗格中,选择 Security Groups

  4. 搜索您的Amazon托管的 Microsoft AD 目录 ID。在搜索结果中,选择带描述的项目Amazon为创建安全组xxxxxx目录控制器.

    注意

    此安全组在您最初创建目录时自动创建。

  5. 选择该安全组下方的 Outbound Rules 选项卡。依次选择 EditAdd another rule,然后添加以下值:

    • 对于 Type,选择 All Traffic

    • 对于 Destination,键入 0.0.0.0/0

    • 将其他设置保留为默认值。

    • 选择 Save

确保已启用 kerberos 预身份验证

  1. example.local 域控制器上,打开 Server Manager

  2. Tools 菜单上,选择 Active Directory Users and Computers

  3. 导航到 Users (用户) 目录,右键单击任意用户并选择 属性,然后选择 Account (账户) 选项卡。在 Account options 列表中,向下滚动并确保 选中 Do not require Kerberos preauthentication

  4. corp.example.com-mgmt 实例对 corp.example.com 域执行相同的步骤。

配置 DNS 条件转发服务器

注意

条件转发器是网络上的 DNS 服务器,用于根据查询中的 DNS 域名转发 DNS 查询。例如,可以将 DNS 服务器配置为将它接收到的针对以 widgets.example.com 结尾的名称的所有查询转发到某个特定 DNS 服务器的 IP 地址或多个 DNS 服务器的 IP 地址。

  1. 首先必须获取有关的一些信息AmazonManaged Microsoft AD。

    登录 Amazon Web Services Management Console,然后打开 Amazon Directory Service 控制台,网址为:https://console.aws.amazon.com/directoryservicev2/

  2. 在导航窗格中,选择 Directories

  3. 选择目录 ID适用于的AmazonManaged Microsoft AD。

  4. 记下目录的完全限定域名 (FQDN) corp.example.com 和 DNS 地址。

  5. 现在,返回到您的 example.local 域控制器,然后打开 Server Manager

  6. Tools 菜单上,选择 DNS

  7. 在控制台树中,展开为其设置信任的域的 DNS 服务器,然后导航到 Conditional Forwarders

  8. 右键单击 Conditional Forwarders,然后选择 New Conditional Forwarder

  9. 在 DNS 域中,键入 corp.example.com

  10. UNDERIP 地址:主服务器的 IP 地址,选择< 点击这里添加... >,键入您的第一个 DNS 地址Amazon在托管的 Microsoft AD 目录(您已在上一个过程中记录),然后按Enter. 对第二个 DNS 地址执行相同的操作。在键入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。

  11. 选中 Store this conditional forwarder in Active Directory, and replicate as follows 复选框。在下拉菜单中,选择 All DNS servers in this Forest,然后选择 OK