步骤 1:为建立信任设置环境 - Amazon Directory Service
创建 Windows Server 2019 EC2 实例将服务器提升为域控制器配置 VPC
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 1:为建立信任设置环境

在本节中,设置 Amazon EC2 环境,部署新的林,并准备您的 VPC 以便与 Amazon 之间建立信任。

带有 Amazon VPC、子网和互联网网关的 Amazon EC2 环境,用于部署新林并建立信任关系。

创建 Windows Server 2019 EC2 实例

使用以下过程在 Amazon EC2 中创建一个 Windows Server 2019 成员服务器。

创建 Windows Server 2019 EC2 实例

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在 Amazon EC2 控制台中,选择启动实例

  3. Step 1 (步骤 1) 页面上,在列表中找到 Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx。然后选择 Select

  4. Step 2 页面上,选择 t2.large,然后选择 Next: Configure Instance Details

  5. Step 3 页面中,执行以下操作:

  6. Step 4 页面上,保留默认设置,然后选择 Next: Add Tags

  7. Step 5 页面上,选择 Add Tag。在 Key (键) 下,键入 example.local-DC01,然后选择 Next: Configure Security Group (下一步: 配置安全组)

  8. 步骤 6 页面上,依次选择选择现有安全组Amazon On-Prem DS RDP 安全组(您以前在基本教程中已设置)和查看并启动以查看实例。

  9. Step 7 页面上,查看页面,然后选择 Launch

  10. Select an existing key pair or create a new key pair 对话框上,执行下列操作之一:

    • 选择 Choose an existing key pair

    • 选择密钥对下,选择 Amazon-DS-KP(您以前在基本教程中已设置)。

    • 选中 I acknowledge... 复选框。

    • 选择 Launch Instances

  11. 选择查看实例以返回 Amazon EC2 控制台并查看部署的状态。

将服务器提升为域控制器

在创建信任之前,您必须为新林构建和部署第一个域控制器。在此过程中,您需要配置新的 Active Directory 林,安装 DNS,并将此服务器设置为使用本地 DNS 服务器来解析名称。在此过程结束时,您必须重新启动服务器。

注意

如果您希望在复制本地网络的 Amazon 中创建域控制器,您可能需要首先手动将 EC2 实例加入到您的本地域。然后,您可以将服务器提升为域控制器。

将您的服务器提升为域控制器

  1. 在 Amazon EC2 控制台中,选择实例,选择您刚刚创建的实例,然后选择连接

  2. Connect To Your Instance 对话框中,选择 Download Remote Desktop File

  3. Windows Security (Windows 安全) 对话框中,键入 Windows Server 计算机的本地管理员凭证以登录(例如,administrator)。如果您还没有本地管理员密码,请返回到 Amazon EC2 控制台,右键单击该实例,然后选择获取 Windows 密码。导航到您的 Amazon DS KP.pem 文件或您的个人 .pem 密钥,然后选择 Decrypt Password

  4. Start 菜单中选择 Server Manager

  5. Dashboard 中,选择 Add Roles and Features

  6. Add Roles and Features Wizard 中,选择 Next

  7. Select installation type 页面上选择 Role-based or feature-based installation,然后选择 Next

  8. Select destination server 页面上,请确保选中了本地服务器,然后选择 Next

  9. Select server roles 页面上,选择 Active Directory Domain Services。在 Add Roles and Features Wizard 对话框中,确认 Include management tools (如果适用) 复选框已选中。选择 Add Features,然后选择 Next

  10. 选择功能页面上,选择下一步

  11. Active Directory Domain Services 页面上,选择 Next

  12. Confirm installation selections 页面上,选择 Install

  13. 在安装 Active Directory 二进制文件后,选择 Close

  14. 打开 Server Manager 后,查找顶部单词 Manage 旁边的标记。当此标记变成黄色后,即可提升服务器。

  15. 选择黄色标记,然后选择 Promote this server to a domain controller

  16. Deployment Configuration 页面上,选择 Add a new forest。在 Root domain name (根域名) 中,键入 example.local,然后选择 Next (下一步)

  17. Domain Controller Options 页面上,执行以下操作:

    • Forest functional levelDomain functional level 中,选择 Windows Server 2016

    • Specify domain controller capabilities 下,确保 Domain Name System (DNS) serverGlobal Catalog (GC) 都处于选中状态。

    • 键入并确认目录服务还原模式 (DSRM) 密码。然后选择下一步

  18. DNS Options 页面上,忽略有关委托的警告,然后选择 Next

  19. 其他选项页面上,确保将 EX AM PLE 列为 NetBios 域名。

  20. Paths 页面上,保留默认设置,然后选择 Next

  21. Review Options 页面上,选择 Next。现在,服务器会检查以确保域控制器的所有先决条件都得到满足。您可能会看到显示一些警告,不过您可以安全地忽略它们。

  22. 选择安装。安装完成后,服务器会重启,然后变为正常运行的域控制器。

配置 VPC

下面三个过程将指导您完成在 Amazon 上为连接配置 VPC 的各个步骤。

配置 VPC 出站规则

  1. Amazon Directory Service 控制台中,记下您之前在基本教程中创建的 corp.example.com 的 Amazon Managed Microsoft AD 目录 ID。

  2. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  3. 在导航窗格中,选择 Security Groups(安全组)。

  4. 搜索 Amazon Managed Microsoft AD 目录 ID。在搜索结果中,选择带 Amazon 已为 d-xxxxxx 目录控制器创建安全组说明的项。

    注意

    此安全组在您最初创建目录时自动创建。

  5. 选择该安全组下方的 Outbound Rules 选项卡。依次选择 EditAdd another rule,然后添加以下值:

    • 对于 Type,选择 All Traffic

    • 对于 Destination,键入 0.0.0.0/0

    • 将其他设置保留为默认值。

    • 选择 Save(保存)。

要确保已启用 Kerberos 预身份验证

  1. example.local 域控制器上,打开 Server Manager

  2. Tools 菜单上,选择 Active Directory Users and Computers

  3. 导航到 Users (用户) 目录,右键单击任意用户并选择 属性,然后选择 Account (账户) 选项卡。在 Account options 列表中,向下滚动并确保 选中 Do not require Kerberos preauthentication

  4. corp.example.com-mgmt 实例对 corp.example.com 域执行相同的步骤。

配置 DNS 条件转发服务器
注意

条件转发器是网络上的 DNS 服务器,用于根据查询中的 DNS 域名转发 DNS 查询。例如,可以将 DNS 服务器配置为将它接收到的针对以 widgets.example.com 结尾的名称的所有查询转发到某个特定 DNS 服务器的 IP 地址或多个 DNS 服务器的 IP 地址。

  1. 打开Amazon Directory Service控制台

  2. 在导航窗格中,选择目录

  3. 选择 Amazon Managed Microsoft AD 的目录 ID

  4. 记下目录的完全限定域名 (FQDN) corp.example.com 和 DNS 地址。

  5. 现在,返回到您的 example.local 域控制器,然后打开 Server Manager

  6. Tools 菜单上,选择 DNS

  7. 在控制台树中,展开为其设置信任的域的 DNS 服务器,然后导航到 Conditional Forwarders

  8. 右键单击 Conditional Forwarders,然后选择 New Conditional Forwarder

  9. 在 DNS 域中,键入 corp.example.com

  10. 主服务器的 IP 地址下,选择 <单击此处可添加…>,键入 Amazon 目录(您已在上一个过程中记录)的第一个 DNS 地址,然后按 Enter。对第二个 DNS 地址执行相同的操作。在键入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。

  11. 选中 Store this conditional forwarder in Active Directory, and replicate as follows 复选框。在下拉菜单中,选择 All DNS servers in this Forest,然后选择 OK