开始使用的先决条件 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

开始使用的先决条件

在开始 FSx for Windows File Server 入门练习之前,您必须已经拥有一个运行 Microsoft Windows 的 Amazon EC2 实例,且该实例已加入您使用 Amazon Directory Service 创建的 Active Directory。您在入门练习中创建的 FSx for Windows File Server 文件系统也将加入同一个 Active Directory。您还必须以目录管理员用户身份通过 Windows 远程桌面协议登录实例。以下过程演示如何执行这些必需的先决条件操作。

第 1 步。设置 Active Directory

借助 Amazon FSx,您可以为基于 Windows 的工作负载执行完全托管的文件存储。同样,Amazon Directory Service 提供完全托管的目录,供您在工作负载部署中使用。如果有现有企业 Active Directory 域在使用 EC2 实例的 Amazon 虚拟私有云 (VPC) 中运行,您可以启用基于用户的身份验证和访问控制。为此,您可以在 Amazon 托管的 Microsoft Active Directory 与企业域之间建立信任关系。对于 Amazon FSx 中的 Windows 身份验证,您只需要单向林信任,即 Amazon 托管的林信任企业域林。

您的企业域为受信任域,而 Amazon Directory Service 托管的域为信任域。经过验证的身份验证请求只能在域之间单向传输,即允许企业域中的账户根据托管的域中共享的资源进行身份验证。在这种情况下,Amazon FSx 仅与托管的域进行交互。然后,托管的域会将身份验证请求传递到您的企业域。

注意

您还可以将外部信任类型与 Amazon FSx 一起用于可信域。

Active Directory 安全组必须允许从 Amazon FSx 文件系统的安全组进行入站访问。

为 Microsoft Active Directory 创建 Amazon 目录服务
  • 如果还没有,请使用 Amazon Directory Service 创建 Amazon 托管的 Microsoft Active Directory 目录。有关更多信息,请参阅《Amazon Directory Service 管理指南》中的创建您的 Amazon Managed Microsoft Active Directory 目录

    重要

    请记住您为管理员用户分配的密码;您稍后在本入门练习中需要使用该密码。如果您忘记了密码,则需要使用新的 Amazon Directory Service 目录和管理员用户身份重复本练习中的步骤。

  • 如果您有现有 Active Directory,请在 Amazon Managed Microsoft Active Directory 与现有 Active Directory 之间建立信任关系。有关更多信息,请参阅《Amazon Directory Service 管理指南》中的何时创建信任关系

步骤 2:在 Amazon EC2 控制台中启动 Windows 实例

您可以根据以下过程所述使用 Amazon Web Services Management Console 启动 Windows 实例。本教程旨在帮助您快速启动第一个实例,因此不会涵盖所有可能的选项。有关高级选项的更多信息,请参阅启动实例

启动实例
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 从控制台控制面板中,选择启动实例

  3. Choose an Amazon Machine Image (AMI) 页面显示一组称为 Amazon Machine Image (AMI) 的基本配置,作为您的实例的模板。选择适用于 Windows Server 2016 Base 或更高版本的 AMI。请注意,这些 AMI 标记为“Free tier eligible”(符合条件的免费套餐)。

  4. Choose an Instance Type (选择实例类型) 页面上,您可以选择实例的硬件配置。选择 t2.micro 类型 (预设情况下的选择)。请注意,此实例类型适用免费套餐。

  5. 选择 Review and Launch 让向导为您完成其它配置设置。

  6. 核查实例启动页面上的安全组下,您将看到向导为您创建并选择了安全组。使用以下步骤,您可以使用此安全组,也可以选择在设置时创建的安全组:

    1. 选择 Edit security groups

    2. Configure Security Group 页面上,确保 Select an existing security group 处于选中状态。

    3. 从现有安全组列表中选择您的安全组,然后选择 Review and Launch

  7. Review Instance Launch 页面上,选择 Launch

  8. 当系统提示提供密钥时,选择 Choose an existing key pair,然后选择您在进行设置时创建的密钥对。

    另外,您也可以新建密钥对。选择 Create a new key pair,输入密钥对的名称,然后选择 Download Key Pair。这是您保存私有密钥文件的唯一机会,因此务必单击进行下载。将私有密钥文件保存在安全位置。当您启动实例时,您将需要提供密钥对的名称;当您每次连接到实例时,您将需要提供相应的私有密钥。

    警告

    请勿选择在没有密钥对的情况下继续选项。如果您启动的实例没有密钥对,就不能连接到该实例。

    准备好后,选中确认复选框,然后选择 Launch Instances

  9. 确认页面会让您知道自己的实例已启动。选择 View Instances 以关闭确认页面并返回控制台。

  10. 实例屏幕上,您可以查看启动状态。启动实例只需很短的时间。启动实例时,其初始状态为 pending。实例启动后,其状态变为 running,并且会收到一个公有 DNS 名称。(如果 Public DNS (IPv4) 列已隐藏,请选择页面右上角的 Show/Hide Columns (齿轮状图标),然后选择 Public DNS (IPv4)。)

  11. 需要几分钟准备好实例,以便您能连接到实例。检查您的实例是否通过了状态检查;您可以在 Status Checks 列中查看此信息。

重要

请记住在您启动此实例时创建的安全组的 ID。在创建 Amazon FSx 文件系统时,您将需要该 ID。

现在,实例已启动,您可以连接到实例了。

步骤 3:连接到您的实例

要连接到 Windows 实例,您必须检索初始管理员密码,然后在使用远程桌面连接到实例时指定此密码。

管理员账户的名称取决于操作系统的语言。例如,英语为 Administrator,法语为 Administrateur,葡萄牙语则为 Administrador。有关更多信息,请参阅 Microsoft TechNet Wiki 中的 Windows 管理员账户的本地化名称

如果您已将实例加入到域,则可以使用您在 Amazon Directory Service 中定义的域凭证来连接到您的实例。在远程桌面登录屏幕上,不要使用本地计算机名称和生成的密码。相反,使用管理员的完全限定用户名和该账户的密码。例如,corp.example.com\Admin

借助适用于 Windows Server 操作系统(OS)的许可证,可以同时进行两个远程连接以进行管理。适用于 Windows Server 的许可证包含在您的 Windows 实例的价格中。如果您需要同时进行两个以上的远程连接,则必须购买远程桌面服务 (RDS) 许可证。如果尝试第三个连接,将产生错误。有关更多信息,请参阅 Configure the Number of Simultaneous Remote Connections Allowed for a Connection

使用 RDP 客户端连接到 Windows 实例
  1. 在 Amazon EC2 控制台中,选择实例,然后选择 Connect (连接)

  2. 连接到您的实例对话框中,选择获取密码(密码在实例启动几分钟之后才可用)。

  3. 选择 Browse 并导航至您启动实例时所创建的私有密钥文件。选择文件并选择 Open (打开),以便将文件的全部内容复制到 Contents (内容) 字段。

  4. 选择 Decrypt Password。控制台将在连接到您的实例对话框中显示实例的默认管理员密码,会将先前显示的获取密码链接替换为实际密码。

  5. 记录下默认管理员密码,或将其复制到剪贴板。需要使用此密码连接实例。

  6. 选择 Download Remote Desktop File。您的浏览器会提示您打开或保存 .rdp 文件。两种选择都可以。完成后,可选择关闭,以关闭连接到您的实例对话框。

    • 如果已打开 .rdp 文件,您将看到 Remote Desktop Connection 对话框。

    • 如果已保存 .rdp 文件,请导航至下载目录,然后打开 .rdp 文件以显示该对话框。

  7. 您可能看到一条警告,指出远程连接发布者未知。您可以继续连接到您的实例。

  8. 当收到系统提示时,使用操作系统的管理员账户和您之前记录或复制的密码登录该实例。如果您的 Remote Desktop Connection (远程桌面连接) 已经设置了管理员账户,您可能需要选择 Use another account (使用其他账户) 选项,然后手动键入用户名和密码。

    注意

    有时复制和粘贴内容可能会损坏数据。如果您在登录时遇到“Password Failed (密码失败)”错误,请尝试手动键入密码。

  9. 由于自签名证书的固有特性,您可能会看到一条警告,指出无法验证该安全证书。请使用以下步骤验证远程计算机的标识;或者,如果您信任该证书,则直接选择 Yes (是)Continue (继续) 以继续操作。

    1. 如果您正在从 Windows PC 使用 Remote Desktop Connection,请选择 View certificate。如果您正在 Mac 上使用 Microsoft Remote Desktop,请选择 Show Certificate

    2. 选择 Details (详细信息) 选项卡,并向下滚动到 Thumbprint (指纹) 条目(在 Windows PC 上)或 SHA1 Fingerprints (SHA1 指纹) 条目(在 Mac 上)。这是远程计算机的安全证书的唯一标识符。

    3. 在 Amazon EC2 控制台中,选择该实例,选择 Actions (操作),然后选择 Get System Log (获取系统日志)

    4. 在系统日志输出中,查找标记为 RDPCERTIFICATE-THUMBPRINT 的条目。如果此值与证书的指纹匹配,则表示您已验证了远程计算机的标识。

    5. 如果您正在从 Windows PC 使用 Remote Desktop Connection,请返回到 Certificate 对话框并选择 OK。如果您正在 Mac 上使用 Microsoft Remote Desktop,请返回到 Verify Certificate 并选择 Continue

    6. [Windows] 在 Remote Desktop Connection 窗口中选择 Yes 连接到您的实例。

现在,您已连接到实例,您可以将实例加入 Amazon Directory Service 目录。

步骤 4:将实例加入 Amazon Directory Service 目录

以下过程显示如何将现有 Amazon EC2 Windows 实例手动加入 Amazon Directory Service 目录。

将 Windows 实例加入 Amazon Directory Service 目录
  1. 使用任何远程桌面协议客户端连接到实例。

  2. 在实例上打开 TCP/IPv4 属性对话框。

    1. 打开 Network Connections

      提示

      您可以在实例上从命令提示符运行以下命令,直接打开 Network Connections

      %SystemRoot%\system32\control.exe ncpa.cpl
    2. 打开任何已启用网络连接的上下文(右键单击)菜单,然后选择属性

    3. 在连接属性对话框中,打开 (双击) Internet Protocol Version 4

  3. (可选)选择使用以下 DNS 服务器地址,将首选 DNS 服务器备用 DNS 服务器地址更改为 Amazon Directory Service 提供的 DNS 服务器的 IP 地址,然后选择确定

  4. 打开实例的系统属性对话框,选择计算机名称选项卡,然后选择更改

    提示

    您可以在实例上从命令提示符运行以下命令,打开 System Properties 对话框。

    %SystemRoot%\system32\control.exe sysdm.cpl
  5. 成员框中,选择,输入 Amazon Directory Service 目录的完全限定名称,然后选择确定

  6. 当系统提示输入域管理员的名称和密码时,输入管理员账户的用户名和密码。

    注意

    可以输入完全限定的域名或 NetBios 名称,后跟反斜杠(\),然后是用户名(在此例中为 Admin)。例如,corp.example.com\Admincorp\Admin

  7. 收到欢迎加入域的消息之后,重新启动实例使更改生效。

  8. 通过 RDP 重新连接到您的实例,然后使用 Amazon Directory Service 目录管理员用户的用户名和密码登录实例。

现在,您的实例已加入该域,您可以创建您的 Amazon FSx 文件系统了。然后,您可以继续完成入门练习中的其他任务。有关更多信息,请参阅 开始使用 Amazon FSx for Windows File Server