本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
演练 1:开始使用的先决条件
在完成入门练习之前,您必须已将基于 Microsoft Windows 的 Amazon EC2 实例加入到Amazon Directory Service目录。还必须以目录的管理员用户身份通过 Windows 远程桌面协议登录到实例。以下演练说明了如何执行这些必要的先决条件操作。
主题
第 1 步:设置活动目录
借助 Amazon FSx,您可以为基于 Windows 的工作负载运行完全托管的文件存储。同样,Amazon Directory Service提供完全托管的目录,以便在工作负载部署中使用 如果您在中运行现有的公司 AD 域Amazon在使用 EC2 实例的虚拟私有云 (VPC) 中,您可以启用基于用户的身份验证和访问控制。为此,您可以在您的组织之间建立信任关系。Amazon托管微软 AD 和你的公司域。对于 Amazon FSx 中的 Windows 身份验证,您只需要单向定向林信任,其中Amazon托管林信任公司域林。
您的公司域名扮演受信任域的角色,Amazon Directory Service托管域承担信任域的角色。经过验证的身份验证请求只能沿一个方向在域之间传输,允许公司域中的帐户根据托管域中共享的资源进行身份验证。在这种情况下,Amazon FSx 仅与托管域进行交互。然后,托管域将身份验证请求传递到您的公司域。
您还可以将外部信任类型与 Amazon FSx 结合使用来处理受信任域。
您的 Active Directory 安全组必须启用来自 Amazon FSx 文件系统安全组的入站访问权限。
创建Amazon适用于 Microsoft AD 的目录服务
-
如果您还没有,请使用Amazon Directory Service创建Amazon托管的 Microsoft AD 目录。有关更多信息,请参阅 。创建您的Amazon托管的 Microsoft AD 目录中的Amazon Directory Service管理指南.
重要 记住您分配给管理员用户的密码;在本入门练习稍后需要密码。如果忘记了密码,则需要重复本练习中的步骤使用新的Amazon Directory Service目录和管理员用户。
-
如果您有现有 AD,请在您的Amazon管理微软 AD 和你现有的广告。有关更多信息,请参阅 。何时创建信任关系中的Amazon Directory Service管理指南。
第 2 步:在 Amazon EC2 控制台中启动 Windows 实例
可以使用Amazon Web Services Management Console如以下过程所述。这旨在帮助您快速启动第一个实例,因此无法涵盖所有可能的选项。有关高级选项的更多信息,请参阅启动实例。
启动实例
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
从控制台控制面板中,选择启动实例。
-
Choose an Amazon Machine Image (AMI) 页面显示一组称为 Amazon Machine Image (AMI) 的基本配置,作为您的实例的模板。选择适用于 Windows Server 2016 Base 的 AMI 或 Windows Server 2012 R2 Base。请注意,这些 AMI 标记为“Free tier eligible”(符合条件的免费套餐)。
-
在 Choose an Instance Type (选择实例类型) 页面上,您可以选择实例的硬件配置。选择
t2.micro
类型 (预设情况下的选择)。请注意,此实例类型适用免费套餐。 -
选择 Review and Launch 让向导为您完成其它配置设置。
-
在存储库的核查实例启动页面,下个安全组,将显示向导为您创建并选择的安全组。可以使用此安全组,也可以按照以下步骤选择您在设置时创建的安全组:
-
选择 Edit security groups。
-
在 Configure Security Group 页面上,确保 Select an existing security group 处于选中状态。
-
从现有安全组列表中选择您的安全组,然后选择 Review and Launch。
-
-
在 Review Instance Launch 页面上,选择 Launch。
-
当系统提示提供密钥时,选择 Choose an existing key pair,然后选择您在进行设置时创建的密钥对。
另外,您也可以新建密钥对。选择 Create a new key pair,输入密钥对的名称,然后选择 Download Key Pair。这是您保存私有密钥文件的唯一机会,因此务必单击进行下载。将私有密钥文件保存在安全位置。当您启动实例时,您将需要提供密钥对的名称;当您每次连接到实例时,您将需要提供相应的私有密钥。
警告 请勿选择在没有密钥对的情况下继续选项。如果您启动的实例没有密钥对,就不能连接到该实例。
准备好后,选中确认复选框,然后选择 Launch Instances。
-
确认页面会让您知道自己的实例已启动。选择 View Instances 以关闭确认页面并返回控制台。
-
在实例屏幕上,您可以查看启动状态。启动实例只需很短的时间。启动实例时,其初始状态为
pending
。实例启动后,其状态变为running
,并且会收到一个公有 DNS 名称。(如果 Public DNS (IPv4) 列已隐藏,请选择页面右上角的 Show/Hide Columns (齿轮状图标),然后选择 Public DNS (IPv4)。) -
需要几分钟准备好实例,以便您能连接到实例。检查您的实例是否通过了状态检查;您可以在 Status Checks 列中查看此信息。
记下启动此实例时创建的安全组的 ID。当您创建 Amazon FSx 文件系统时,您将需要此信息。
现在实例已启动,您可以连接到您的实例。
第 3 步:连接到您的实例
要连接到 Windows 实例,您必须检索初始管理员密码,然后在使用远程桌面连接到实例时指定此密码。
管理员账户的名称取决于操作系统的语言。例如,英语为 Administrator,法语为 Administrator,葡萄牙语则为 Administrator。有关更多信息,请参阅 Microsoft TechNet Wiki 中的 Windows 管理员账户的本地化名称
如果您将实例加入到域,则可以使用您在中定义的域凭证连接到您的实例。Amazon Directory Service. 在远程桌面登录屏幕上,不要使用本地计算机名称和生成的密码。相反,请使用管理员的完全限定用户名和此帐户的密码。示例是 corp.example.com\Admin
。
出于管理目的,Windows Server 操作系统 (OS) 的许可证允许同时进行两个远程连接。适用于 Windows Server 的许可证包含在您的 Windows 实例的价格中。如果您需要同时进行两个以上的远程连接,则必须购买远程桌面服务 (RDS) 许可证。如果尝试第三个连接,将产生错误。有关更多信息,请参阅 。配置连接允许的同时远程连接数
使用 RDP 客户端连接到 Windows 实例
-
在 Amazon EC2 控制台中,选择实例,然后选择 Connect (连接)。
-
在连接到您的实例对话框中,选择获取密码(密码在实例启动几分钟之后才可用)。
-
选择 Browse 并导航至您启动实例时所创建的私有密钥文件。选择文件并选择 Open (打开),以便将文件的全部内容复制到 Contents (内容) 字段。
-
选择 Decrypt Password。控制台将在连接到您的实例对话框,将链接替换到获取密码之前用实际密码显示。
-
记录下默认管理员密码,或将其复制到剪贴板。需要使用此密码连接实例。
-
选择 Download Remote Desktop File。您的浏览器会提示您打开或保存 .rdp 文件。两种选择都可以。完成后,可以选择Close要解雇连接到您的实例对话框。
-
如果已打开 .rdp 文件,您将看到 Remote Desktop Connection 对话框。
-
如果已保存 .rdp 文件,请导航至下载目录,然后打开 .rdp 文件以显示该对话框。
-
-
您可能看到一条警告,指出远程连接发布者未知。您可以继续连接到您的实例。
-
当收到系统提示时,使用操作系统的管理员账户和您之前记录或复制的密码登录该实例。如果您的 Remote Desktop Connection (远程桌面连接) 已经设置了管理员账户,您可能需要选择 Use another account (使用其他账户) 选项,然后手动键入用户名和密码。
注意 有时复制和粘贴内容可能会损坏数据。如果您在登录时遇到“Password Failed (密码失败)”错误,请尝试手动键入密码。
-
由于自签名证书的固有特性,您可能会看到一条警告,指出无法验证该安全证书。请使用以下步骤验证远程计算机的标识;或者,如果您信任该证书,则直接选择 Yes (是) 或 Continue (继续) 以继续操作。
-
如果您正在从 Windows PC 使用 Remote Desktop Connection,请选择 View certificate。如果您正在 Mac 上使用 Microsoft Remote Desktop,请选择 Show Certificate。
-
选择 Details (详细信息) 选项卡,并向下滚动到 Thumbprint (指纹) 条目(在 Windows PC 上)或 SHA1 Fingerprints (SHA1 指纹) 条目(在 Mac 上)。这是远程计算机的安全证书的唯一标识符。
-
在 Amazon EC2 控制台中,选择该实例,选择 Actions (操作),然后选择 Get System Log (获取系统日志)。
-
在系统日志输出中,查找标记为
RDPCERTIFICATE-THUMBPRINT
的条目。如果此值与证书的指纹匹配,则表示您已验证了远程计算机的标识。 -
如果您正在从 Windows PC 使用 Remote Desktop Connection,请返回到 Certificate 对话框并选择 OK。如果您正在 Mac 上使用 Microsoft Remote Desktop,请返回到 Verify Certificate 并选择 Continue。
-
[Windows] 在 Remote Desktop Connection 窗口中选择 Yes 连接到您的实例。
-
现在您已连接到实例,可以将实例加入到Amazon Directory Service目录。
第 4 步:将你的实例加入你的Amazon Directory Servicedirectory
以下过程说明了如何将现有 Amazon EC2 Windows 实例手动加入到Amazon Directory Service目录。
将 Windows 实例加入Amazon Directory Servicedirectory
-
使用任何远程桌面协议客户端连接到实例。
-
在实例上打开 TCP/IPv4 属性对话框。
-
打开 Network Connections。
提示 您可以在实例上从命令提示符运行以下命令,直接打开 Network Connections。
%SystemRoot%\system32\control.exe ncpa.cpl
-
打开任何已启用网络连接的上下文 (右键单击) 菜单,然后选择属性.
-
在连接属性对话框中,打开 (双击) Internet Protocol Version 4。
-
-
(可选)选择使用以下 DNS 服务器地址,更改首选 DNS 服务器和备用 DNS 服务器的 IP 地址的地址Amazon Directory Service— 提供 DNS 服务器,然后选择确定.
-
打开系统属性对于实例的对话框,选择计算机名称选项卡,然后选择变更.
提示 您可以在实例上从命令提示符运行以下命令,打开 System Properties 对话框。
%SystemRoot%\system32\control.exe sysdm.cpl
-
在成员框中,选择域中,输入完全限定的名称Amazon Directory Service目录,然后选择确定.
-
当系统提示您输入域管理员的名称和密码时,输入 Admin 帐户的用户名和密码。
注意 您可以输入域的完全限定名称,也可以输入 NetBios name,后跟反斜杠 (\),然后是用户名 (在此例中为)管理员. 例如,corp.example.com\Admin 或 corp\Admin。
-
收到欢迎加入域的消息之后,重新启动实例使更改生效。
-
通过 RDP 重新连接到您的实例,然后使用您的用户名和密码登录实例。Amazon Directory Service目录的管理员用户。
现在实例已加入域,您可以创建 Amazon FSx 文件系统。然后,你可以继续完成入门练习中的其他任务。有关更多信息,请参阅开始使用 Amazon FSx。