本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 步骤 1:为建立信任设置环境
在本节中,您将设置您的 Amazon EC2 环境,部署您的新林,并准备好您的 VPC 以备与之建立信任 Amazon。
![\[Amazon EC2 环境包含 Amazon VPC、子网和互联网网关,用于部署新林并建立信任关系。\]](http://docs.amazonaws.cn/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
## 创建 Windows Server 2019 EC2 实例
使用以下过程在 Amazon EC2 中创建一个 Windows Server 2019 成员服务器。
**创建 Windows Server 2019 EC2 实例**
1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/) 的 Amazon EC2 控制台。
1. 在 Amazon EC2 控制台中,选择**启动实例**。
1. 在**步骤 1** 页面上,在列表*xxxxxxxxxxxxxxxxx*中找到**微软 Windows Server 2019 Base — ami-**。然后选择 **Select**。
1. 在 **Step 2** 页面上,选择 **t2.large**,然后选择 **Next: Configure Instance Details**。
1. 在 **Step 3** 页面中,执行以下操作:
+ 对于**网络**,选择 **vpc-*xxxxxxxxxxxxxxxxx* Amazon OnPrem--VPC01**(您之前在[基础教程中进行了](microsoftadbasestep1.md#createvpc)设置)。
+ 对于**子网**,选择**子网-*xxxxxxxxxxxxxxxxx* \$1 Amazon-OnPrem-VPC01-Subnet01 \$1 Amazon**--。OnPrem VPC01
+ 对于 **Auto-assign Public IP** 列表,选择 **Enable** (如果子网设置未默认设置为 **Enable**)。
+ 将其他设置保留为默认值。
+ 选择**下一步:添加存储**。
1. 在 **Step 4** 页面上,保留默认设置,然后选择 **Next: Add Tags**。
1. 在 **Step 5** 页面上,选择 **Add Tag**。在 **Key (键)** 下,键入 **example.local-DC01**,然后选择 **Next: Configure Security Group (下一步: 配置安全组)**。
1. 在**步骤 6** 页面上,依次选择**选择现有安全组**、**Amazon On-Prem DS RDP 安全组**(您以前在[基本教程](microsoftadbasestep1.md#createsecuritygroup)中已设置)和**查看并启动**以查看实例。
1. 在 **Step 7** 页面上,查看页面,然后选择 **Launch**。
1. 在 **Select an existing key pair or create a new key pair** 对话框上,执行下列操作之一:
+ 选择**选择现有密钥对**。
+ 在**选择密钥对**下,选择 **Amazon-DS-KP**(您以前在[基本教程](microsoftadbasestep1.md#createkeypair2)中已设置)。
+ 选中 **I acknowledge...** 复选框。
+ 选择**启动新实例**。
1. 选择**查看实例**以返回 Amazon EC2 控制台并查看部署的状态。
## 将服务器提升为域控制器
在创建信任之前,您必须为新林构建和部署第一个域控制器。在此过程中,您需要配置新的 Active Directory 林,安装 DNS,并将此服务器设置为使用本地 DNS 服务器来解析名称。在此过程结束时,您必须重新启动服务器。
**注意**
如果您想在中创建可与您的本地网络复制 Amazon 的域控制器,则需要先手动将 EC2 实例加入您的本地域。然后,您可以将服务器提升为域控制器。
**将您的服务器提升为域控制器**
1. 在 Amazon EC2 控制台中,选择**实例**,选择您刚刚创建的实例,然后选择**连接**。
1. 在 **Connect To Your Instance** 对话框中,选择 **Download Remote Desktop File**。
1. 在 **Windows Security (Windows 安全)** 对话框中,键入 Windows Server 计算机的本地管理员凭证以登录(例如,**administrator**)。如果您还没有本地管理员密码,请返回到 Amazon EC2 控制台,右键单击该实例,然后选择**获取 Windows 密码**。导航到您的 `Amazon DS KP.pem` 文件或您的个人 `.pem` 密钥,然后选择 **Decrypt Password**。
1. 从 **Start** 菜单中选择 **Server Manager**。
1. 在 **Dashboard** 中,选择 **Add Roles and Features**。
1. 在 **Add Roles and Features Wizard** 中,选择 **Next**。
1. 在 **Select installation type** 页面上选择 **Role-based or feature-based installation**,然后选择 **Next**。
1. 在 **Select destination server** 页面上,请确保选中了本地服务器,然后选择 **Next**。
1. 在 **Select server roles** 页面上,选择 **Active Directory Domain Services**。在 **Add Roles and Features Wizard** 对话框中,确认 **Include management tools** (如果适用) 复选框已选中。选择 **Add Features**,然后选择 **Next**。
1. 在**选择功能**页面上,选择**下一步**。
1. 在 **Active Directory Domain Services** 页面上,选择 **Next**。
1. 在 **Confirm installation selections** 页面上,选择 **Install**。
1. 在安装 Active Directory 二进制文件后,选择 **Close**。
1. 打开 Server Manager 后,查找顶部单词 **Manage** 旁边的标记。当此标记变成黄色后,即可提升服务器。
1. 选择黄色标记,然后选择 **Promote this server to a domain controller**。
1. 在 **Deployment Configuration** 页面上,选择 **Add a new forest**。在 **Root domain name (根域名)** 中,键入 **example.local**,然后选择 **Next (下一步)**。
1. 在 **Domain Controller Options** 页面上,执行以下操作:
+ 在 **Forest functional level** 和 **Domain functional level** 中,选择 **Windows Server 2016**。
+ 在 **Specify domain controller capabilities** 下,确保 **DNS server** 和 **Global Catalog(GC)**都处于选中状态。
+ 键入并确认目录服务还原模式 (DSRM) 密码。然后选择**下一步**。
1. 在 **DNS Options** 页面上,忽略有关委托的警告,然后选择 **Next**。
1. 在**其他选项**页面上,确保将 EX **AM** PLE 列为 NetBios 域名。
1. 在 **Paths** 页面上,保留默认设置,然后选择 **Next**。
1. 在 **Review Options** 页面上,选择 **Next**。现在,服务器会检查以确保域控制器的所有先决条件都得到满足。您可能会看到显示一些警告,不过您可以安全地忽略它们。
1. 选择**安装**。安装完成后,服务器会重启,然后变为正常运行的域控制器。
## 配置 VPC
下面三个过程将指导您完成在 Amazon上为连接配置 VPC 的各个步骤。
**配置 VPC 出站规则**
1. [在[Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)中,记下你之前在基础教程中创建的 corp.example.com 的 Amazon 托管微软 AD 目录 ID。](microsoftadbasestep2.md)
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**安全组**。
1. 搜索你的 Amazon 托管微软 AD 目录 ID。在搜索结果中,选择描述**为 d *xxxxxx* 目录控制器Amazon 创建的安全组的**项目。
**注意**
此安全组在您最初创建目录时自动创建。
1. 选择该安全组下方的 **Outbound Rules** 选项卡。依次选择 **Edit** 和 **Add another rule**,然后添加以下值:
+ 对于 **Type**,选择 **All Traffic**。
+ 对于 **Destination**,键入 **0.0.0.0/0**。
+ 将其他设置保留为默认值。
+ 选择**保存**。
**要确保已启用 Kerberos 预身份验证**
1. 在 **example.local** 域控制器上,打开 **Server Manager**。
1. 在 **Tools** 菜单上,选择 **Active Directory Users and Computers**。
1. 导航到 **Users (用户)** 目录,右键单击任意用户并选择 **属性**,然后选择 **Account (账户)** 选项卡。在 **Account options** 列表中,向下滚动并确保**未** 选中 **Do not require Kerberos preauthentication**。
1. 从 **corp.example.com-mgmt** 实例对 **corp.example.com** 域执行相同的步骤。
**配置 DNS 条件转发服务器**
**注意**
条件转发器是网络上的 DNS 服务器,用于根据查询中的 DNS 域名转发 DNS 查询。例如,可以将 DNS 服务器配置为将它接收到的针对以 widgets.example.com 结尾的名称的所有查询转发到某个特定 DNS 服务器的 IP 地址或多个 DNS 服务器的 IP 地址。
1. 打开 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)。
1. 在导航窗格中,选择**目录**。
1. 选择你的 Microsoft Amazon 托管广告的**目录 ID**。
1. 记下目录的完全限定域名 (FQDN) **corp.example.com** 和 DNS 地址。
1. 现在,返回到您的 **example.local** 域控制器,然后打开 **Server Manager**。
1. 在 **Tools** 菜单上,选择 **DNS**。
1. 在控制台树中,展开为其设置信任的域的 DNS 服务器,然后导航到 **Conditional Forwarders**。
1. 右键单击 **Conditional Forwarders**,然后选择 **New Conditional Forwarder**。
1. 在 DNS 域中,键入 **corp.example.com**。
1. 在**主服务器的 IP 地址**下,选择 **<单击此处添加... **>,键入你的 Microsoft AD Amazon 托管目录的第一个 DNS 地址(你在前面的过程中记下了这个地址),然后**按 Enter**。对第二个 DNS 地址执行相同的操作。在键入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。
1. 选中 **Store this conditional forwarder in Active Directory, and replicate as follows** 复选框。在下拉菜单中,选择 **All DNS servers in this Forest**,然后选择 **OK**。