本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 步骤 4：测试将适用于 Windows Server 的 EC2 实例无缝加入到域中
<a name="step4_test_ec2_access"></a>

您可以使用以下两种方法之一来测试无缝将 EC2 实例加入域。

## 方法 1：使用 Amazon EC2 控制台测试域加入
<a name="collapsible-section-1"></a>

在目录使用者账户中使用这些步骤。

1. 登录 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台，网址为[https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/)。

1. 在导航栏中，选择与现有目录 Amazon Web Services 区域 相同的目录。

1. 在 **EC2 控制面板**的**启动实例**部分，选择**启动实例**。

1. 在**启动实例**页面的**名称和标签**部分下，输入您要用于 Windows EC2 实例的名称。

1.  （可选）选择**添加其他标签**，添加一个或多个标签密钥值对，以组织、跟踪或控制对此 EC2 实例的访问权限。

1. 在**应用程序和操作系统映像（Amazon 机器映像）**部分，在**快速入门**窗格中选择 **Windows**。您可以从**Amazon 机器映像（AMI）**下拉列表中更改 Windows Amazon 机器映像（AMI）。

1. 在**实例类型**部分，从**实例类型**下拉列表中选择要使用的实例类型。

1. 在**密钥对（登录）**部分，您可以选择创建新密钥对，或从现有密钥对中进行选择。

   1. 要创建新的密钥对，请选择**新建新密钥对**。

   1. 输入密钥对的名称，然后为**密钥对类型**和**私钥文件格式**选择一个选项。

   1.  要以可与 OpenSSH 一起使用的格式保存私钥，请选择 **pem**。要以可与 PuTTY 一起使用的格式保存私钥，请选择 **ppk**。

   1. 选择**创建密钥对**。

   1. 您的浏览器会自动下载私有密钥文件。将私有密钥文件保存在安全位置。
**重要**  
这是您保存私有密钥文件的唯一机会。

1. 在**启动实例**页面的**网络设置**部分下，选择**编辑**。从 **VPC – *必需***下拉列表中选择创建目录的 **VPC**。

1. 从**子网**下拉列表中选择 VPC 中的其中一个公有子网。选择的子网必须将所有外部流量都路由到互联网网关。否则将无法远程连接到实例。

   有关如何连接到互联网网关的更多信息，请参阅《Amazon VPC 用户指南》**中的[使用互联网网关连接到互联网](https://docs.amazonaws.cn//vpc/latest/userguide/VPC_Internet_Gateway.html)。

1. 在**自动分配公有 IP** 下，选择**启用**。

   有关公共和私有 IP 寻址的更多信息，请参阅《Amazon EC2 用户指南》**中的 [Amazon EC2 实例 IP 寻址](https://docs.amazonaws.cn/AWSEC2/latest/WindowsGuide/using-instance-addressing.html)。

1. 对于**防火墙（安全组）**设置，您可以使用默认设置或进行更改以满足您的需求。

1. 对于**配置存储**设置，您可以使用默认设置或进行更改以满足您的需求。

1. 选择**高级详细信息**部分，从**域加入目录**下拉列表中选择您的域。
**注意**  
选择域加入目录后，您可能会看到：  

![\[选择域加入目录时出现错误消息。您现有的 SSM 文档存在错误。\]](http://docs.amazonaws.cn/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

当 EC2 启动向导识别到某个现有 SSM 文档包含意外属性时，会发生此错误。您可以执行以下操作之一：  
如果您之前编辑了 SSM 文档且属性为预期属性，请选择关闭并继续启动 EC2 实例，不做任何更改。
选择“在此处删除现有 SSM 文档”链接以删除 SSM 文档。这将允许创建包含正确属性的 SSM 文档。启动 EC2 实例时，将自动创建 SSM 文档。

1. 对于 **IAM 实例配置文件**，您可以选择现有的 IAM 实例配置文件或创建新的 IAM 实例配置文件。从 IAM 实例配置文件下拉列表中选择一个SSMDirectoryServiceAccess附有 **Ama** **zon SSMManaged InstanceCore** 和 Amazon Amazon 托管策略**的 IAM 实例配置文件**。要创建新的 IAM 配置文件，请选择**创建新的 IAM 配置文件**链接，然后执行以下操作：

   1. 选择**创建角色**。

   1. 在**选择受信任的实体**下，选择 **Amazon 服务**。

   1. 在 **Use case**（使用案例）下，选择 **EC2**。

   1.  在 “**添加权限**” 下的策略列表中，选择 **Amazon SSMManaged InstanceCore 和 Ama** **zon SSMDirectory ServiceAccess** 政策。在搜索框中键入 **SSM** 以筛选列表。选择**下一步**。
**注意**  
**Amazon SSMDirectory ServiceAccess** 提供将实例加入由管理的活动目录的权限 Amazon Directory Service。**Amazon SSMManaged InstanceCore** 提供使用该 Amazon Systems Manager 服务所需的最低权限。有关创建具有这些权限的角色的更多信息，以及您可以分配给 IAM 角色的其他权限和策略的信息，请参阅《Amazon Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.amazonaws.cn/systems-manager/latest/userguide/setup-instance-profile.html)。

   1. 在**名称、查看和创建**页面上，输入**角色名称**。您将需要此角色名称来附加到 EC2 实例。

   1. （可选）您可以在**描述**字段中提供 IAM 实例配置文件的描述。

   1. 选择**创建角色**。

   1.  返回**启动实例**页面，选择 **IAM 实例配置文件**旁边的刷新图标。您的新 IAM 实例配置文件应显示在 **IAM 实例配置文件**下拉列表中。选择新的配置文件，其余设置保留默认值。

1. 选择**启动实例**。

## 方法 2：使用测试域加入 Amazon Systems Manager
<a name="collapsible-section-2"></a>

在目录使用者账户中使用这些步骤。要完成此过程，您需要有关目录所有者账户的一些信息，例如目录 ID、目录名称和 DNS IP 地址。

**先决条件**
+ 设置 Amazon Systems Manager。
  + 有关 Systems Manager 的更多信息，请参阅 [Amazon Systems Manager的常规设置](https://docs.amazonaws.cn/systems-manager/latest/userguide/setting_up_prerequisites.html)。
+ 您希望加入 Amazon 托管的 Microsoft Active Directory 域的实例必须附加一个包含**亚马逊SSMManagedInstanceCore和**亚马逊SSMDirectoryServiceAccess****托管策略的 IAM 角色。
  + 有关可以为 Systems Manager 附加的此类托管和其他策略的更多信息，请参阅《Amazon Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.amazonaws.cn/systems-manager/latest/userguide/setup-instance-profile.html)。有关托管策略的更多信息，请参阅《IAM 用户指南**》中的 [Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

有关使用 Systems Manager 将 EC2 实例加入 Amazon 托管的 Microsoft Active Directory 域的更多信息，请参阅[Amazon Systems Manager 如何使用将正在运行的 EC2 Windows 实例加入我的 Amazon 目录服务域？](https://repost.aws/knowledge-center/ec2-systems-manager-dx-domain#) 。

1. 打开 Amazon Systems Manager 控制台，网址为[https://console.amazonaws.cn/systems-manager/](https://console.amazonaws.cn/systems-manager/)。

1. 在导航窗格的**节点管理**下，选择**运行命令**。

1. 选择 **Run command（运行命令）**。

1. 在**运行命令**页面上，搜索 `AWS-JoinDirectoryServiceDomain`。当它显示在搜索结果中时，选择 `AWS-JoinDirectoryServiceDomain` 选项。

1. 向下滚动到 **Command parameters (命令参数)** 部分。您必须提供以下参数：
**注意**  
返回 Amazon Directory Service 控制台，选择 “**与我共享的目录”，然后选择您的目录，即可找到目录 **ID**、目录****名称**和 **DNS IP 地址**。**目录 ID** 可以在**共享目录的详细信息**部分下找到。您可以在**所有者目录详细信息**部分下找到**目录名称**和 **DNS IP 地址**的值。
   + 对于**目录 ID**，输入 Amazon Managed Microsoft Active Directory 的名称。
   + 对于**目录名称**，输入 Amazon Managed Microsoft Active Directory（对于目录所有者账户）。
   + 对于 **DNS IP 地址**，请在 Amazon 托管 Microsoft 活动目录（适用于目录所有者帐户）中输入 DNS 服务器的 IP 地址。

1. 对于**目标**，选择**手动选择实例**，然后选择要加入域的实例。

1. 保留窗体的剩余部分设置为其默认值，向下滚动页面，然后选择 **Run (运行)**。

1. 实例成功加入域后，命令状态将从**待处理**更改为**成功**。您可以依次选择加入域的实例的**实例 ID** 和**查看输出**来查看命令输出。

完成任一过程的步骤之后，您现在应该能够将您的 EC2 实例加入域。完成此操作后，您可以使用来自 Amazon 托管 Microsoft AD 用户帐户的凭据使用远程桌面协议 (RDP) 客户端登录您的实例。