将 Amazon EC2 Windows 实例加入 Simple AD Active Directory - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将 Amazon EC2 Windows 实例加入 Simple AD Active Directory

您可以启动 Amazon EC2 Windows 实例并将其加入 Simple AD 或者,您可以手动将现有 EC2 Windows 实例加入 Simple AD

Seamlessly join an EC2 Windows

要通过域无缝加入 EC2 实例,需要完成以下操作:

先决条件

  • 拥有 Simple AD。要了解更多信息,请参阅创建 Simple AD

  • 您需要拥有以下 IAM 权限,才能无缝加入 EC2 Windows 实例:

    • 具有以下 IAM 权限的 IAM 实例配置文件:

      • AmazonSSMManagedInstanceCore

      • AmazonSSMDirectoryServiceAccess

    • 要通过域将 EC2 无缝加入到 Simple AD,用户需要以下 IAM 权限:

      • Amazon Directory Service 权限:

        • "ds:DescribeDirectories"

        • "ds:CreateComputer"

      • Amazon VPC 权限:

        • "ec2:DescribeVpcs"

        • "ec2:DescribeSubnets"

        • "ec2:DescribeNetworkInterfaces"

        • "ec2:CreateNetworkInterface"

        • "ec2:AttachNetworkInterface"

      • EC2 权限;

        • "ec2:DescribeInstances"

        • "ec2:DescribeImages"

        • "ec2:DescribeInstanceTypes"

        • "ec2:RunInstances"

        • "ec2:CreateTags"

      • Amazon Systems Manager 权限:

        • "ssm:DescribeInstanceInformation"

        • "ssm:SendCommand"

        • "ssm:GetCommandInvocation"

        • "ssm:CreateBatchAssociation"

创建 Simple AD 时,会创建一个包含入站与出站规则的安全组。要了解有关这些规则与端口的更多信息,请参阅随 Simple AD 创建的内容。要通过域无缝加入 EC2 Windows 实例,您启动实例的 VPC 应按照 Simple AD 安全组入站和出站规则允许的端口,允许相同的端口。

  • 根据网络安全和防火墙设置,您可能需要允许额外的出站流量。此流量将通过 HTTPS(端口 443)到达以下端点:

    端点 角色

    ec2messages.region.amazonaws.com

    使用会话管理器服务创建和删除会话通道。有关更多信息,请参阅 Amazon Systems Manager 终端节点和限额

    ssm.region.amazonaws.com

    Amazon Systems Manager Session Manager 的端点。有关更多信息,请参阅 Amazon Systems Manager 终端节点和限额

    ssmmessages.region.amazonaws.com

    使用会话管理器服务创建和删除会话通道。有关更多信息,请参阅 Amazon Systems Manager 终端节点和限额

    ds.region.amazonaws.com

    Amazon Directory Service 的端点。有关更多信息,请参阅 Amazon Directory Service 的区域可用性

  • 建议使用能够解析 Simple AD 域名的 DNS 服务器。要实现此操作,可创建 DHCP 选项集。请参阅为 Simple AD 创建 DHCP 选项集了解更多信息。

    • 如果选择不创建 DHCP 选项集,则 DNS 服务器将是静态的,并由 Simple AD 进行配置。

  1. 登录到 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台(https://console.aws.amazon.com/ec2/)。

  2. 在导航栏中,选择与现有目录相同的 Amazon Web Services 区域。

  3. EC2 控制面板启动实例部分,选择启动实例

  4. 启动实例页面的名称和标签部分下,输入您要用于 Windows EC2 实例的名称。

  5. (可选)选择添加其他标签,添加一个或多个标签密钥值对,以组织、跟踪或控制对此 EC2 实例的访问权限。

  6. 应用程序和操作系统映像(Amazon 机器映像)部分,在快速入门窗格中选择 Windows。您可以从Amazon 机器映像(AMI)下拉列表中更改 Windows Amazon 机器映像(AMI)。

  7. 实例类型部分,从实例类型下拉列表中选择要使用的实例类型。

  8. 密钥对(登录)部分,您可以选择创建新密钥对,或从现有密钥对中进行选择。

    1. 要创建新的密钥对,请选择新建新密钥对

    2. 输入密钥对的名称,然后为密钥对类型私钥文件格式选择一个选项。

    3. 要以可与 OpenSSH 一起使用的格式保存私钥,请选择 pem。要以可与 PuTTY 一起使用的格式保存私钥,请选择 ppk

    4. 选择创建密钥对

    5. 您的浏览器会自动下载私有密钥文件。将私有密钥文件保存在安全位置。

      重要

      这是您保存私有密钥文件的唯一机会。

  9. 启动实例页面的网络设置部分下,选择编辑。从 VPC – 必需下拉列表中选择创建目录的 VPC

  10. 子网下拉列表中选择 VPC 中的其中一个公有子网。选择的子网必须将所有外部流量都路由到互联网网关。否则将无法远程连接到实例。

    有关如何连接到互联网网关的更多信息,请参阅《Amazon VPC 用户指南》中的使用互联网网关连接到互联网

  11. 自动分配公有 IP 下,选择启用

    有关公共和私有 IP 寻址的更多信息,请参阅《Amazon EC2 用户指南》中的 Amazon EC2 实例 IP 寻址

  12. 对于防火墙(安全组)设置,您可以使用默认设置或进行更改以满足您的需求。

  13. 对于配置存储设置,您可以使用默认设置或进行更改以满足您的需求。

  14. 选择高级详细信息部分,从域加入目录下拉列表中选择您的域。

    注意

    选择域加入目录后,您可能会看到:

    选择域加入目录时出现错误消息。您现有的 SSM 文档存在错误。

    当 EC2 启动向导识别到某个现有 SSM 文档包含意外属性时,会发生此错误。您可以执行以下操作之一:

    • 如果您之前编辑了 SSM 文档且属性为预期属性,请选择关闭并继续启动 EC2 实例,不做任何更改。

    • 选择“在此处删除现有 SSM 文档”链接以删除 SSM 文档。这将允许创建包含正确属性的 SSM 文档。启动 EC2 实例时,将自动创建 SSM 文档。

  15. 对于 IAM 实例配置文件,您可以选择现有的 IAM 实例配置文件或创建新的 IAM 实例配置文件。从 IAM 实例配置文件下拉列表中,选择一个附有 Amazon 托管策略 AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess 的 IAM 实例配置文件。要创建新的 IAM 配置文件,请选择创建新的 IAM 配置文件链接,然后执行以下操作:

    1. 选择创建角色

    2. 选择受信任的实体下,选择 Amazon 服务

    3. Use case(使用案例)下,选择 EC2

    4. 添加权限下的策略列表中,选择 AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess 策略。在搜索框中键入 SSM 以筛选列表。选择下一步

      注意

      AmazonSSMDirectoryServiceAccess 提供将实例加入 Amazon Directory Service 托管的 Active Directory 的权限。AmazonSSMManagedInstanceCore 提供使用 Amazon Systems Manager 服务所需的最低权限。有关创建具有这些权限的角色的更多信息,以及您可以分配给 IAM 角色的其他权限和策略的信息,请参阅《Amazon Systems Manager 用户指南》中的为 Systems Manager 创建 IAM 实例配置文件

    5. 名称、查看和创建页面上,输入角色名称。您将需要此角色名称来附加到 EC2 实例。

    6. (可选)您可以在描述字段中提供 IAM 实例配置文件的描述。

    7. 选择创建角色

    8. 返回启动实例页面,选择 IAM 实例配置文件旁边的刷新图标。您的新 IAM 实例配置文件应显示在 IAM 实例配置文件下拉列表中。选择新的配置文件,其余设置保留默认值。

  16. 选择启动实例

Manually join an EC2 Windows

要将现有 Amazon EC2 Windows 实例手动加入 Simple AD Active Directory,必须使用 将 Amazon EC2 Windows 实例加入 Simple AD Active Directory中指定的参数启动该实例。

您将需要 Simple AD DNS 服务器的 IP 地址。此信息可以在目录服务 > 目录 > 目录的目录 ID 链接 > 目录详细信息以及网络与安全下找到。

在 Amazon Directory Service 控制台的目录详细信息页面上,将突出显示 Amazon Directory Service 提供的 DNS 服务器的 IP 地址。
将 Windows 实例加入 Simple AD Active Directory

  1. 使用任何远程桌面协议客户端连接到实例。

  2. 在实例上打开 TCP/IPv4 属性对话框。

    1. 打开 Network Connections

      提示

      您可以在实例上从命令提示符运行以下命令,直接打开 Network Connections

      %SystemRoot%\system32\control.exe ncpa.cpl

    2. 打开任何已启用网络连接的上下文菜单 (右键单击),然后选择 Properties

    3. 在连接属性对话框中,打开 (双击) Internet Protocol Version 4

  3. 选择使用以下 DNS 服务器地址,将首选 DNS 服务器地址和备用 DNS 服务器地址更改为 Simple AD 提供的 DNS 服务器的 IP 地址,然后选择确定

    “Internet 协议版本 4(TCP/IPv4)属性”对话框中突出显示了首选 DNS 服务器字段和备用 DNS 服务器字段。

  4. 打开实例的 System Properties 对话框,选择 Computer Name 选项卡,然后选择 Change

    提示

    您可以在实例上从命令提示符运行以下命令,打开 System Properties 对话框。

    %SystemRoot%\system32\control.exe sysdm.cpl

  5. 成员字段中,选择,输入 Simple AD Active Directory 的完全限定名称,然后选择确定

  6. 当系统提示输入域管理员的名称和密码时,输入具有域加入权限的账户的用户名和密码。有关委托这些权限的更多信息,请参阅委派 Simple AD 的目录加入权限

    注意

    可以输入完全限定的域名或 NetBIOS 名称,后跟反斜杠(\),然后是用户名。用户名应为 Administrator。例如,corp.example.com\administratorcorp\administrator

  7. 收到欢迎加入域的消息之后,重新启动实例使更改生效。

现在实例已加入 Simple AD Active Directory 域,您可以远程登录该实例并安装实用工具来管理目录,如添加用户和组。Active Directory 管理工具可用于创建用户和组。有关更多信息,请参阅 安装适用于 Simple AD 的 Active Directory 管理工具