演练 1:入门的先决条件 - Amazon FSx for Windows File Server
第 1 步:设置活动目录第 2 步:在 Amazon EC2 控制台中启动 Windows 实例第 3 步:连接到您的实例第 4 步:将您的实例加入到Amazon Directory Servicedirectory
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

演练 1:入门的先决条件

在完成入门练习之前,您必须已有一个基于 Microsoft Windows 的 Amazon EC2 实例加入到Amazon Directory Service目录。您还必须以目录的管理员用户身份通过 Windows 远程桌面协议登录到实例。以下演练说明如何执行这些必要的先决条件操作。

第 1 步:设置活动目录

借助 Amazon FSX,您可以为基于 Windows 的工作负载运行完全托管的文件存储。同样,Amazon Directory Service提供完全托管的目录,以便在工作负载部署中使用。如果您有一个现有的公司 AD 域运行在Amazon在使用 EC2 实例的 Virtual Private Cloud (VPC) 中,可以启用基于用户的身份验证和访问控制。为此,可以在Amazon托管微软 AD 和您的公司域。对于 Amazon FSX 中的 Windows 身份验证,您只需要单向定向林信任,其中Amazon托管林信任公司域林。

您的公司域担任受信任域的角色,Amazon Directory Service托管域担任信任域的角色。验证的身份验证请求只能以一个方向在域之间传输 — 允许公司域中的帐户根据受管域中共享的资源进行身份验证。在这种情况下,Amazon FSx 仅与托管域进行交互。然后,受管域将身份验证请求传递到您的公司域。

注意

您还可以将外部信任类型与 Amazon FSX 一起使用,用于受信任域。

您的活动目录安全组必须启用来自 Amazon FSX 文件系统安全组的入站访问。

创建AmazonMicrosoft AD 的目录服务

  • 如果您还没有账户,请使用Amazon Directory Service创建Amazon托管的 Microsoft AD 目录。有关更多信息,请参阅 。创建Amazon托管的 Microsoft AD 目录中的Amazon Directory Service管理指南

    重要

    请记住您分配给 Admin 用户的密码;稍后在本入门练习中需要密码。如果忘记了密码,则需要在本练习中使用新的Amazon Directory Service目录和管理员用户。

  • 如果您拥有现有 AD,请在Amazon托管微软 AD 和您现有的 AD。有关更多信息,请参阅 。何时创建信任关系中的Amazon Directory Service管理指南。

第 2 步:在 Amazon EC2 控制台中启动 Windows 实例

可以使用Amazon Web Services Management Console如以下过程所述。这将帮助您快速启动第一个实例,因此不会涵盖所有可能的选项。有关高级选项的更多信息,请参阅启动实例

启动实例

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 从控制台控制面板中,选择启动实例

  3. Choose an Amazon Machine Image (AMI) 页面显示一组称为 Amazon 系统映像 (AMI) 的基本配置,作为您的实例的模板。选择适用于 Windows Server 2016 Base 或 Windows Server 2012 R2 Base 的 AMI。请注意,这些 AMI 标记为“Free tier eligible”(符合条件的免费套餐)。

  4. Choose an Instance Type (选择实例类型) 页面上,您可以选择实例的硬件配置。选择 t2.micro 类型 (默认情况下的选择)。请注意,此实例类型适用免费套餐。

  5. 选择 Review and Launch 让向导为您完成其他配置设置。

  6. 在存储库的核查实例启动页面,在个安全组时,将显示向导为您创建并选择的安全组。可以使用以下步骤来使用此安全组,或者也可以选择在设置时创建的安全组:

    1. 选择 Edit security groups

    2. Configure Security Group 页面上,确保 Select an existing security group 处于选中状态。

    3. 从现有安全组列表中选择您的安全组,然后选择 Review and Launch

  7. Review Instance Launch 页面上,选择 Launch

  8. 当系统提示提供密钥时,选择 Choose an existing key pair,然后选择您在进行设置时创建的密钥对。

    另外,您也可以新建密钥对。选择 Create a new key pair,输入密钥对的名称,然后选择 Download Key Pair。这是您保存私有密钥文件的唯一机会,因此务必单击进行下载。将私有密钥文件保存在安全位置。当您启动实例时,您将需要提供密钥对的名称;当您每次连接到实例时,您将需要提供相应的私有密钥。

    警告

    请勿选择在没有密钥对的情况下继续选项。如果您启动的实例没有密钥对,就不能连接到该实例。

    准备好后,选中确认复选框,然后选择 Launch Instances

  9. 确认页面会让您知道自己的实例已启动。选择 View Instances 以关闭确认页面并返回控制台。

  10. 实例屏幕上,您可以查看启动状态。启动实例只需很短的时间。启动实例时,其初始状态为 pending。实例启动后,其状态变为 running,并且会收到一个公有 DNS 名称。(如果 Public DNS (IPv4) 列已隐藏,请选择页面右上角的 Show/Hide Columns (齿轮状图标),然后选择 Public DNS (IPv4)。)

  11. 需要几分钟准备好实例,以便您能连接到实例。检查您的实例是否通过了状态检查;您可以在 Status Checks 列中查看此信息。

重要

记下在启动此实例时创建的安全组的 ID。创建 Amazon FSx 文件系统时,您需要使用此信息。

现在实例已启动,您可以连接到实例。

第 3 步:连接到您的实例

要连接到 Windows 实例,您必须检索初始管理员密码,然后在使用远程桌面连接到实例时指定此密码。

管理员账户的名称取决于操作系统的语言。例如,对于英语来说,它是管理员,对于法语是管理员,而葡萄牙语则是管理员。有关更多信息,请参阅 Microsoft TechNet Wiki 中的 Windows 管理员账户的本地化名称

如果您将实例加入到域,则可以使用您在Amazon Directory Service。在远程桌面登录屏幕上,不要使用本地计算机名称和生成的密码。相反,请使用管理员的完全限定用户名和此帐户的密码。示例是 corp.example.com\Admin

借助适用于 Windows Server 操作系统 (OS) 的许可证,可以同时进行两个远程连接以进行管理。适用于 Windows Server 的许可证包含在您的 Windows 实例的价格中。如果您需要同时进行两个以上的远程连接,则必须购买远程桌面服务 (RDS) 许可证。如果尝试第三个连接,将产生错误。有关更多信息,请参阅 。配置连接允许的同时远程连接数

使用 RDP 客户端连接到 Windows 实例

  1. 在 Amazon EC2 控制台中,选择实例,然后选择 Connect (连接)

  2. 连接到您的实例对话框中,选择获取密码(密码在实例启动几分钟之后才可用)。

  3. 选择 Browse 并导航至您启动实例时所创建的私有密钥文件。选择文件并选择 Open (打开),以便将文件的全部内容复制到 Contents (内容) 字段。

  4. 选择 Decrypt Password。控制台将在连接到您的实例对话框中,将链接替换为获取密码之前显示的实际密码。

  5. 记录下默认管理员密码,或将其复制到剪贴板。需要使用此密码连接实例。

  6. 选择 Download Remote Desktop File。您的浏览器会提示您打开或保存 .rdp 文件。两种选择都可以。完成后,可以选择Close来关闭连接到您的实例对话框。

    • 如果已打开 .rdp 文件,您将看到 Remote Desktop Connection 对话框。

    • 如果已保存 .rdp 文件,请导航至下载目录,然后打开 .rdp 文件以显示该对话框。

  7. 您可能看到一条警告,指出远程连接发布者未知。您可以继续连接到您的实例。

  8. 当收到系统提示时,使用操作系统的管理员账户和您之前记录或复制的密码登录该实例。如果您的 Remote Desktop Connection (远程桌面连接) 已经设置了管理员账户,您可能需要选择 Use another account (使用其他账户) 选项,然后手动键入用户名和密码。

    注意

    有时复制和粘贴内容可能会损坏数据。如果您在登录时遇到“Password Failed (密码失败)”错误,请尝试手动键入密码。

  9. 由于自签名证书的固有特性,您可能会看到一条警告,指出无法验证该安全证书。请使用以下步骤验证远程计算机的标识;或者,如果您信任该证书,则直接选择 Yes (是)Continue (继续) 以继续操作。

    1. 如果您正在从 Windows PC 使用 Remote Desktop Connection,请选择 View certificate。如果您正在 Mac 上使用 Microsoft Remote Desktop,请选择 Show Certificate

    2. 选择 Details (详细信息) 选项卡,并向下滚动到 Thumbprint (指纹) 条目(在 Windows PC 上)或 SHA1 Fingerprints (SHA1 指纹) 条目(在 Mac 上)。这是远程计算机的安全证书的唯一标识符。

    3. 在 Amazon EC2 控制台中,选择该实例,选择 Actions (操作),然后选择 Get System Log (获取系统日志)

    4. 在系统日志输出中,查找标记为 RDPCERTIFICATE-THUMBPRINT 的条目。如果此值与证书的指纹匹配,则表示您已验证了远程计算机的标识。

    5. 如果您正在从 Windows PC 使用 Remote Desktop Connection,请返回到 Certificate 对话框并选择 OK。如果您正在 Mac 上使用 Microsoft Remote Desktop,请返回到 Verify Certificate 并选择 Continue

    6. [Windows] 在 Remote Desktop Connection 窗口中选择 Yes 连接到您的实例。

现在,您已连接到实例,可以将实例加入到Amazon Directory Service目录。

第 4 步:将您的实例加入到Amazon Directory Servicedirectory

以下过程说明如何手动将现有 Amazon EC2 Windows 实例加入到Amazon Directory Service目录。

要将 Windows 实例加入到Amazon Directory Servicedirectory

  1. 使用任何远程桌面协议客户端连接到实例。

  2. 在实例上打开 TCP/IPv4 属性对话框。

    1. 打开 Network Connections

      提示

      您可以在实例上从命令提示符运行以下命令,直接打开 Network Connections

      %SystemRoot%\system32\control.exe ncpa.cpl

    2. 打开任何已启用网络连接的上下文 (右键单击) 菜单,然后选择属性

    3. 在连接属性对话框中,打开 (双击) Internet Protocol Version 4

  3. (可选)选择使用以下 DNS 服务器地址,更改首选 DNS 服务器备用 DNS 服务器地址添加到Amazon Directory Service— 提供的 DNS 服务器,然后选择确定

  4. 打开系统属性对话框中,选择Computer Name选项卡,然后选择变更

    提示

    您可以在实例上从命令提示符运行以下命令,打开 System Properties 对话框。 

    %SystemRoot%\system32\control.exe sysdm.cpl

  5. 成员框中,选择中,输入Amazon Directory Service目录,然后选择确定

  6. 当系统提示输入域管理员的名称和密码时,输入 Admin 帐户的用户名和密码。

    注意

    可以输入完全限定的域名或 NetBios 名称,后跟反斜杠 (\),然后是用户名 (在此例中为)管理员。例如,corp.example.com\Admincorp\Admin

  7. 收到欢迎加入域的消息之后,重新启动实例使更改生效。

  8. 通过 RDP 重新连接到实例,然后使用Amazon Directory Service目录的管理员用户。

现在实例已加入域,您可以创建 Amazon FSX 文件系统。然后,您可以继续完成入门练习中的其他任务。有关更多信息,请参阅 Amazon FSx 入门