本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 将 Amazon EC2 Windows 实例加入 Simple AD Active Directory 您可以启动 Amazon EC2 Windows 实例并将其加入 Simple AD 或者,您可以手动将现有 EC2 Windows 实例加入 Simple AD ------ #### [ Seamlessly join an EC2 Windows ] 要通过域无缝加入 EC2 实例,需要完成以下操作: **先决条件** + 拥有 Simple AD。要了解更多信息,请参阅[创建 Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad)。 + 您需要拥有以下 IAM 权限,才能无缝加入 EC2 Windows 实例: + 具有以下 IAM 权限的 IAM 实例配置文件: + `AmazonSSMManagedInstanceCore` + `AmazonSSMDirectoryServiceAccess` + 要通过域将 EC2 无缝加入到 Simple AD,用户需要以下 IAM 权限: + Amazon Directory Service 权限: + `"ds:DescribeDirectories"` + `"ds:CreateComputer"` + Amazon VPC 权限: + `"ec2:DescribeVpcs"` + `"ec2:DescribeSubnets"` + `"ec2:DescribeNetworkInterfaces"` + `"ec2:CreateNetworkInterface"` + `"ec2:AttachNetworkInterface"` + EC2 权限; + `"ec2:DescribeInstances"` + `"ec2:DescribeImages"` + `"ec2:DescribeInstanceTypes"` + `"ec2:RunInstances"` + `"ec2:CreateTags"` + Amazon Systems Manager 权限: + `"ssm:DescribeInstanceInformation"` + `"ssm:SendCommand"` + `"ssm:GetCommandInvocation"` + `"ssm:CreateBatchAssociation"` 创建 Simple AD 时,会创建一个包含入站与出站规则的安全组。要了解有关这些规则与端口的更多信息,请参阅[随 Simple AD 创建的内容](simple_ad_what_gets_created.md)。要通过域无缝加入 EC2 Windows 实例,您启动实例的 VPC 应按照 Simple AD 安全组入站和出站规则允许的端口,允许相同的端口。 + 根据网络安全和防火墙设置,您可能需要允许额外的出站流量。此流量将通过 HTTPS(端口 443)到达以下端点: **** [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/directoryservice/latest/admin-guide/simple_ad_launching_instance.html) + 建议使用能够解析 Simple AD 域名的 DNS 服务器。要实现此操作,可创建 DHCP 选项集。请参阅[为 Simple AD 创建 DHCP 选项集](simple_ad_dhcp_options_set.md)了解更多信息。 + 如果选择不创建 DHCP 选项集,则 DNS 服务器将是静态的,并由 Simple AD 进行配置。 1. 登录 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/)。 1. 在导航栏中,选择与现有目录 Amazon Web Services 区域 相同的目录。 1. 在 **EC2 控制面板**的**启动实例**部分,选择**启动实例**。 1. 在**启动实例**页面的**名称和标签**部分下,输入您要用于 Windows EC2 实例的名称。 1. (可选)选择**添加其他标签**,添加一个或多个标签密钥值对,以组织、跟踪或控制对此 EC2 实例的访问权限。 1. 在**应用程序和操作系统映像(Amazon 机器映像)**部分,在**快速入门**窗格中选择 **Windows**。您可以从**Amazon 机器映像(AMI)**下拉列表中更改 Windows Amazon 机器映像(AMI)。 1. 在**实例类型**部分,从**实例类型**下拉列表中选择要使用的实例类型。 1. 在**密钥对(登录)**部分,您可以选择创建新密钥对,或从现有密钥对中进行选择。 1. 要创建新的密钥对,请选择**新建新密钥对**。 1. 输入密钥对的名称,然后为**密钥对类型**和**私钥文件格式**选择一个选项。 1. 要以可与 OpenSSH 一起使用的格式保存私钥,请选择 **pem**。要以可与 PuTTY 一起使用的格式保存私钥,请选择 **ppk**。 1. 选择**创建密钥对**。 1. 您的浏览器会自动下载私有密钥文件。将私有密钥文件保存在安全位置。 **重要** 这是您保存私有密钥文件的唯一机会。 1. 在**启动实例**页面的**网络设置**部分下,选择**编辑**。从 **VPC – *必需***下拉列表中选择创建目录的 **VPC**。 1. 从**子网**下拉列表中选择 VPC 中的其中一个公有子网。选择的子网必须将所有外部流量都路由到互联网网关。否则将无法远程连接到实例。 有关如何连接到互联网网关的更多信息,请参阅《Amazon VPC 用户指南》**中的[使用互联网网关连接到互联网](https://docs.amazonaws.cn//vpc/latest/userguide/VPC_Internet_Gateway.html)。 1. 在**自动分配公有 IP** 下,选择**启用**。 有关公共和私有 IP 寻址的更多信息,请参阅《Amazon EC2 用户指南》**中的 [Amazon EC2 实例 IP 寻址](https://docs.amazonaws.cn/AWSEC2/latest/WindowsGuide/using-instance-addressing.html)。 1. 对于**防火墙(安全组)**设置,您可以使用默认设置或进行更改以满足您的需求。 1. 对于**配置存储**设置,您可以使用默认设置或进行更改以满足您的需求。 1. 选择**高级详细信息**部分,从**域加入目录**下拉列表中选择您的域。 **注意** 选择域加入目录后,您可能会看到: ![\[选择域加入目录时出现错误消息。您现有的 SSM 文档存在错误。\]](http://docs.amazonaws.cn/directoryservice/latest/admin-guide/images/SSM-Error-Message.png) 当 EC2 启动向导识别到某个现有 SSM 文档包含意外属性时,会发生此错误。您可以执行以下操作之一: 如果您之前编辑了 SSM 文档且属性为预期属性,请选择关闭并继续启动 EC2 实例,不做任何更改。 选择“在此处删除现有 SSM 文档”链接以删除 SSM 文档。这将允许创建包含正确属性的 SSM 文档。启动 EC2 实例时,将自动创建 SSM 文档。 1. 对于 **IAM 实例配置文件**,您可以选择现有的 IAM 实例配置文件或创建新的 IAM 实例配置文件。从 IAM 实例配置文件下拉列表中选择一个SSMDirectoryServiceAccess附有 **Ama** **zon SSMManaged InstanceCore** 和 Amazon Amazon 托管策略**的 IAM 实例配置文件**。要创建新的 IAM 配置文件,请选择**创建新的 IAM 配置文件**链接,然后执行以下操作: 1. 选择**创建角色**。 1. 在**选择受信任的实体**下,选择 **Amazon 服务**。 1. 在 **Use case**(使用案例)下,选择 **EC2**。 1. 在 “**添加权限**” 下的策略列表中,选择 **Amazon SSMManaged InstanceCore 和 Ama** **zon SSMDirectory ServiceAccess** 政策。在搜索框中键入 **SSM** 以筛选列表。选择**下一步**。 **注意** **Amazon SSMDirectory ServiceAccess** 提供将实例加入由管理的活动目录的权限 Amazon Directory Service。**Amazon SSMManaged InstanceCore** 提供使用该 Amazon Systems Manager 服务所需的最低权限。有关创建具有这些权限的角色的更多信息,以及您可以分配给 IAM 角色的其他权限和策略的信息,请参阅《Amazon Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.amazonaws.cn/systems-manager/latest/userguide/setup-instance-profile.html)。 1. 在**名称、查看和创建**页面上,输入**角色名称**。您将需要此角色名称来附加到 EC2 实例。 1. (可选)您可以在**描述**字段中提供 IAM 实例配置文件的描述。 1. 选择**创建角色**。 1. 返回**启动实例**页面,选择 **IAM 实例配置文件**旁边的刷新图标。您的新 IAM 实例配置文件应显示在 **IAM 实例配置文件**下拉列表中。选择新的配置文件,其余设置保留默认值。 1. 选择**启动实例**。 ------ #### [ Manually join an EC2 Windows ] 要将现有 Amazon EC2 Windows 实例手动加入 Simple AD Active Directory,必须使用 [将 Amazon EC2 Windows 实例加入 Simple AD Active Directory](#simple_ad_launching_instance)中指定的参数启动该实例。 您将需要 Simple AD DNS 服务器的 IP 地址。此信息可以在**目录服务** > **目录** > 目录的**目录 ID** 链接 > **目录详细信息**以及**网络与安全**下找到。 ![\[在 Amazon Directory Service 控制台的目录详细信息页面上,突出显示所 Amazon Directory Service 提供的 DNS 服务器的 IP 地址。\]](http://docs.amazonaws.cn/directoryservice/latest/admin-guide/images/directory_details_highlighted.png) **将 Windows 实例加入 Simple AD Active Directory** 1. 使用任何远程桌面协议客户端连接到实例。 1. 在实例上打开 TCP/ IPv4 属性对话框。 1. 打开 **Network Connections**。 **提示** 您可以在实例上从命令提示符运行以下命令,直接打开 **Network Connections**。 ``` %SystemRoot%\system32\control.exe ncpa.cpl ``` 1. 打开任何已启用网络连接的上下文菜单 (右键单击),然后选择 **Properties**。 1. 在连接属性对话框中,打开 (双击) **Internet Protocol Version 4**。 1. 选择**使用以下 DNS 服务器地址**,将**首选 DNS 服务器**地址和**备用 DNS 服务器**地址更改为 Simple AD 提供的 DNS 服务器的 IP 地址,然后选择**确定**。 ![\[“互联网协议版本 4 (TCP/IPv4) 属性” 对话框突出显示了首选 DNS 服务器和备用 DNS 服务器字段。\]](http://docs.amazonaws.cn/directoryservice/latest/admin-guide/images/dns_server_addresses.png) 1. 打开实例的 **System Properties** 对话框,选择 **Computer Name** 选项卡,然后选择 **Change**。 **提示** 您可以在实例上从命令提示符运行以下命令,打开 **System Properties** 对话框。 ``` %SystemRoot%\system32\control.exe sysdm.cpl ``` 1. 在**成员**字段中,选择**域**,输入 Simple AD Active Directory 的完全限定名称,然后选择**确定**。 1. 当系统提示输入域管理员的名称和密码时,输入具有域加入权限的账户的用户名和密码。有关委托这些权限的更多信息,请参阅[委派 Simple AD 的目录加入权限](simple_ad_directory_join_privileges.md)。 **注意** 可以输入完全限定的域名或 NetBIOS 名称,后跟反斜杠(\$1),然后是用户名。用户名应为 **Administrator**。例如,**corp.example.com\$1administrator** 或 **corp\$1administrator**。 1. 收到欢迎加入域的消息之后,重新启动实例使更改生效。 现在实例已加入 Simple AD Active Directory 域,您可以远程登录该实例并安装实用工具来管理目录,如添加用户和组。Active Directory 管理工具可用于创建用户和组。有关更多信息,请参阅 [安装适用于 Simple AD 的 Active Directory 管理工具](simple_ad_install_ad_tools.md)。 ------