AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

步骤 1:为建立信任设置您的环境

在此部分中,设置您的 Amazon EC2 环境,部署新的林,并准备您的 VPC 以便与 AWS 之间建立信任。

创建 Windows Server 2016 EC2 实例

使用以下过程在 Amazon EC2 中创建一个 Windows Server 2016 成员服务器。

创建 Windows Server 2016 EC2 实例

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在 Amazon EC2 控制台中,选择 Launch Instance (启动实例)

  3. Step 1 页面上,在列表中找到 Microsoft Windows Server 2016 Base - ami-xxxxxxxx。然后选择 Select

  4. Step 2 页面上,选择 t2.large,然后选择 Next: Configure Instance Details

  5. Step 3 页面中,执行以下操作:

    • 对于 Network,选择 vpc-xxxxxxxx AWS-DS-VPC (您以前在基本教程中已设置)。

    • 对于 Subnet,选择 subnet-xxxxxxxx | Public subnet2 | (YourAZ)

    • 对于 Auto-assign Public IP 列表,选择 Enable (如果子网设置未默认设置为 Enable)。

    • 将其他设置保留为默认值。

    • 选择 Next: Add Storage

  6. Step 4 页面上,保留默认设置,然后选择 Next: Add Tags

  7. Step 5 页面上,选择 Add Tag。在 Key (键) 下,键入 example.local-DC01,然后选择 Next: Configure Security Group (下一步: 配置安全组)

  8. Step 6 页面上,依次选择 Select an existing security groupAWS DS RDP Security Group (您以前在基本教程中已设置) 和 Review and Launch 以查看您的实例。

  9. Step 7 页面上,查看页面,然后选择 Launch

  10. Select an existing key pair or create a new key pair 对话框上,执行下列操作之一:

    • 选择 Choose an existing key pair

    • Select a key pair 下,选择 AWS-DS-KP (您以前在基本教程中已设置)。

    • 选中 I acknowledge... 复选框。

    • 选择 Launch Instances

  11. 选择 View Instances (查看实例) 以返回 Amazon EC2 控制台并查看部署的状态。

将您的服务器提升为域控制器

在创建信任之前,您必须为新林构建和部署第一个域控制器。在此过程中,您需要配置新的 Active Directory 林,安装 DNS,并将此服务器设置为使用本地 DNS 服务器来解析名称。在此过程结束时,您必须重新启动服务器。

注意

如果您希望在复制本地网络的 AWS 中创建域控制器,您可能需要首先手动将 EC2 实例加入到您的本地域。然后,您可以将服务器提升为域控制器。

将您的服务器提升为域控制器

  1. 在 Amazon EC2 控制台中,选择 Instances (实例),选择您刚刚创建的实例,然后选择 Connect (连接)

  2. Connect To Your Instance 对话框中,选择 Download Remote Desktop File

  3. Windows Security (Windows 安全) 对话框中,键入 Windows Server 计算机的本地管理员凭证以登录(例如,administrator)。如果您还没有本地管理员密码,请返回到 Amazon EC2 控制台,右键单击该实例,然后选择 Get Windows Password (获取 Windows 密码)。导航到您的 AWS DS KP.pem 文件或您的个人 .pem 密钥,然后选择 Decrypt Password

  4. Start 菜单中选择 Server Manager

  5. Dashboard 中,选择 Add Roles and Features

  6. Add Roles and Features Wizard 中,选择 Next

  7. Select installation type 页面上选择 Role-based or feature-based installation,然后选择 Next

  8. Select destination server 页面上,请确保选中了本地服务器,然后选择 Next

  9. Select server roles 页面上,选择 Active Directory Domain Services。在 Add Roles and Features Wizard 对话框中,确认 Include management tools (如果适用) 复选框已选中。选择 Add Features,然后选择 Next

  10. 选择功能页面上,选择下一步

  11. Active Directory Domain Services 页面上,选择 Next

  12. Confirm installation selections 页面上,选择 Install

  13. 在安装 Active Directory 二进制文件后,选择 Close

  14. 打开 Server Manager 后,查找顶部单词 Manage 旁边的标记。当此标记变成黄色后,即可提升服务器。

  15. 选择黄色标记,然后选择 Promote this server to a domain controller

  16. Deployment Configuration 页面上,选择 Add a new forest。在 Root domain name (根域名) 中,键入 example.local,然后选择 Next (下一步)

  17. Domain Controller Options 页面上,执行以下操作:

    • Forest functional levelDomain functional level 中,选择 Windows Server 2016

    • Specify domain controller capabilities 下,确保 Domain Name System (DNS) serverGlobal Catalog (GC) 都处于选中状态。

    • 键入并确认目录服务还原模式 (DSRM) 密码。然后选择 Next

  18. DNS Options 页面上,忽略有关委托的警告,然后选择 Next

  19. Additional options 页面上,确保 EXAMPLE1 作为 NetBios 域名列出。

  20. Paths 页面上,保留默认设置,然后选择 Next

  21. Review Options 页面上,选择 Next。现在,服务器会检查以确保域控制器的所有先决条件都得到满足。您可能会看到显示一些警告,不过您可以安全地忽略它们。

  22. 选择安装。安装完成后,服务器会重启,然后变为正常运行的域控制器。

配置 VPC

下面三个过程将指导您完成在 AWS 上为连接配置 VPC 的各个步骤。

配置 VPC 出站规则

  1. 在 AWS Directory Service 控制台中,记下您之前在基本教程中创建的 corp.example.com 的 AWS Managed Microsoft AD 目录 ID。

  2. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  3. 在导航窗格中,选择 Security Groups

  4. 搜索 AWS Managed Microsoft AD 目录 ID。在搜索结果中,选择带 AWS created security group for d-xxxxxx directory controllers (AWS 已为 d-xxxxxx 目录控制器创建安全组) 说明的项。

    注意

    此安全组在您最初创建目录时自动创建。

  5. 选择该安全组下方的 Outbound Rules 选项卡。依次选择 EditAdd another rule,然后添加以下值:

    • 对于 Type,选择 All Traffic

    • 对于 Destination,键入 0.0.0.0/0

    • 将其他设置保留为默认值。

    • 选择 Save

确保已启用 Kerberos 预身份验证

  1. example.local 域控制器上,打开 Server Manager

  2. Tools 菜单上,选择 Active Directory Users and Computers

  3. 导航到 Users 目录,右键单击右窗格中列出的任何用户账户,然后选择 Account 选项卡。在 Account options 列表中,向下滚动并确保 选中 Do not require Kerberos preauthentication

  4. corp.example.com-mgmt 实例对 corp.example.com 域执行相同的步骤。

配置 DNS 条件转发服务器

  1. 首先必须获取有关 AWS Managed Microsoft AD 的一些信息。

    登录 AWS 管理控制台并通过以下网址打开 AWS Directory Service 控制台:https://console.amazonaws.cn/directoryservicev2/

  2. 在导航窗格中,选择 Directories

  3. 选择 AWS Managed Microsoft AD 的 directory ID (目录 ID)

  4. 记下目录的完全限定域名 (FQDN) corp.example.com 和 DNS 地址。

  5. 现在,返回到您的 example.local 域控制器,然后打开 Server Manager

  6. Tools 菜单上,选择 DNS

  7. 在控制台树中,展开为其设置信任的域的 DNS 服务器,然后导航到 Conditional Forwarders

  8. 右键单击 Conditional Forwarders,然后选择 New Conditional Forwarder

  9. 在 DNS 域中,键入 corp.example.com

  10. IP addresses of the master servers (主服务器的 IP 地址) 下方,选择 <Click here to add ... (单击此处可添加...)>,键入您的 AWS Managed Microsoft AD 目录(您已在上一个过程中记录)的第一个 DNS 地址,然后按 Enter。对第二个 DNS 地址执行相同的操作。在键入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。

  11. 选中 Store this conditional forwarder in Active Directory, and replicate as follows 复选框。在下拉菜单中,选择 All DNS servers in this Forest,然后选择 OK