第 4 步:测试将适用于 Windows Server 的 EC2 实例无缝加入到域中 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 4 步:测试将适用于 Windows Server 的 EC2 实例无缝加入到域中

您可以使用以下两种方法之一来测试无缝域加入。

方法1:使用 Amazon EC2 控制台测试域加入

在目录使用者账户中使用此步骤。

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 从导航栏的 Region (区域) 选择器中,选择与现有目录相同的 Region (区域)。

  3. 选择 Launch Instance(启动实例)

  4. 在存储库的步骤 1页面上,选择Select获取适当的 AMI。

  5. 在存储库的步骤 2页面上,选择合适的实例类型,然后选择后续:配置实例详细信息.

  6. 在存储库的步骤 3页面上,执行以下操作,然后选择后续:Add Storage (下一步: 添加存储)

    1. 对于 Network,选择在其中创建了您的目录的 VPC。

    2. 适用于子网中,选择 VPC 中的一个公有子网。您选择的子网必须将所有外部流量都路由到 Internet 网关。否则将无法远程连接到实例。

    3. 对于 Auto-assign Public IP (自动分配公有 IP),选择 Enable (启用)

      有关公有 IP 地址的更多信息,请参阅Amazon EC2 实例 IP 寻址中的Windows 实例 Amazon EC2 用户指南.

    4. 适用于域加入目录中,从列表中选择您的域。

    5. 对于 IAM role (IAM 角色),执行以下操作之一:

      选择具有Amazon托管策略AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess挂载到它。

      -或者-

      如果您尚未创建具有AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess附加到它的托管策略,请选择创建新的 IAM 角色链接,然后执行以下操作:

      1. 选择 Create role(创建角色)。

      2. Select type of trusted entity (选择受信任实体的类型)下,选择 Amazon service (Amazon 服务)

      3. UNDER选择此角色将使用的服务。在完整的服务列表中,选择EC2.

      4. UNDER选择您的使用案例,选择EC2,然后选择后续:Permissions (下一步:权限)

      5. 在策略列表中,选择AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess政策。(要筛选列表,请键入SSM在搜索框中。)

        注意

        AmazonSSMDirectoryServiceAccess提供了将实例加入托管的 Active Directory 的权限Amazon Directory Service. AmazonSSMManagedInstanceCore提供了使用 Systems Manager 服务所需的最低权限。有关使用这些权限创建角色的更多信息,以及有关可分配给 IAM 角色的其他权限和策略的信息,请参阅为 Systems Manager 创建 IAM 实例配置文件中的Amazon Systems Manager用户指南.

      6. 选择 Next:标签

      7. (可选)添加一个或多个标签键值对以组织、跟踪或控制该角色的访问,然后选择后续:审核

      8. 对于角色名称,请输入新角色的名称,如 EC2DomainJoin 或所需的其他名称。

      9. (可选)对于角色描述,请输入描述。

      10. 选择 Create role(创建角色)。

      11. 返回到步骤 3页. 适用于IAM 角色中,选择旁边的刷新图标IAM 角色. 您的新角色应显示在菜单中。选择它并将此页面上的其余设置保留默认值,然后选择后续:添加存储.

  7. 在两者上步骤 4步骤 5页面上,保留默认设置或根据需要进行更改,然后选择下一步按钮。

  8. 在存储库的步骤 6页面上,为实例选择已配置为允许从您的网络远程访问实例的安全组,然后选择审核并启动.

  9. 在存储库的步骤 7页面上,选择启动中,选择一个 key pair,然后选择启动实例.

方法 2:使用AmazonSystems Manager 控制台

使用在目录使用者账户中使用此步骤。要完成此过程,您需要有关目录所有者账户的一些信息。

注意

请确保附加AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess启动此过程中的步骤之前,针对您的实例 IAM 角色权限的托管策略。有关可以附加到 Systems Manager 的 IAM 实例配置文件的其他策略的信息,请参阅为 Systems Manager 创建 IAM 实例配置文件中的Amazon Systems Manager用户指南有关托管策略的信息,请参阅Amazon托管策略中的IAM 用户指南.

  1. 登录 Amazon Web Services Management Console 并通过以下网址打开 Amazon Systems Manager 控制台:https://console.amazonaws.cn/systems-manager/

  2. 在导航窗格中,选择Run Command

  3. 选择运行命令

  4. 在存储库的运行命令页面上,搜索AWS-JoinDirectoryServiceDomain. 当它显示在搜索结果中时,选择AWS-JoinDirectoryServiceDomain选项。

  5. 向下滚动到 Command parameters (命令参数) 部分。您必须提供以下参数:

    • 对于 Directory Id (目录 ID),输入 Amazon Directory Service 目录的名称。

      注意

      您可以在目录 ID返回到价值Amazon Directory Service控制台,选择与我共享的目录,选择你的目录,然后在共享目录详细信息部分。

    • 对于 Directory Name (目录名称),输入目录的名称(对于目录所有者账户)。

    • 对于 DNS IP Addresses (DNS IP 地址),输入目录中 DNS 服务器的 IP 地址(对于目录所有者账户)。

    注意

    您可以找到的值目录名Dns IP 地址返回到Amazon Directory Service控制台,选择与我共享的目录,选择你的目录,然后查看在所有者目录信息部分。

  6. 对于 Targets (目标),选择您希望加入域的实例。

  7. 保留窗体的剩余部分设置为其默认值,向下滚动页面,然后选择 Run (运行)

  8. 在导航窗格中,选择托管实例

  9. 通过查看列表中的实例来确认成功加入域的实例。如果 Association Status (关联状态) 显示 Success (成功),则您的实例已成功加入域。

完成任一过程的步骤之后,您现在应该能够将您的 EC2 实例加入域。完成此操作后,您可以通过远程桌面协议 (RDP) 客户端使用您的凭证登录您的实例。Amazon托管 Microsoft AD 用户账户。