如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。
演练1: 入门的前提条件
在完成入门练习之前,您必须已经拥有MicrosoftWindows–基于 Amazon EC2 实例已加入您的 AWS Directory Service 目录。您还必须作为目录的管理员用户通过Windows远程桌面协议登录到实例。以下演练显示了如何执行这些必要的先决条件操作。
主题
第1步: 设置活动目录
有 Amazon FSx,您可以为基于Windows的工作负载操作完全管理的文件存储。同样 AWS Directory Service 提供可在工作负载部署中使用的完全受管理的目录。如果您在使用EC2实例的虚拟私有云(VPC)中的AWS中运行了现有的公司AD域,则可以启用基于用户的身份验证和访问控制。您可通过在AWSManagedMicrosoftAD和公司域之间建立信任关系来实现这一点。对于中的Windows身份验证 Amazon FSx,您只需要单向方向林信任,AWS管理的林信任公司域林。
您的公司域扮演着可信域的角色, AWS Directory Service 托管域扮演信任域的角色。验证的认证请求仅在一个方向上在域之间行进—允许企业域中的帐户对照托管域中共享的资源进行身份验证。在这种情况下 Amazon FSx 仅与托管域交互。然后,托管域会将身份验证请求传递给您的公司域。
您也可以使用外部信任类型 Amazon FSx 用于可信域。
您的ActiveDirectory授权组必须启用从 Amazon FSx 文件系统安全组。
为MicrosoftAD创建AWS目录服务
-
如果您还没有,请使用 AWS Directory Service 创建AWSManagedMicrosoftAD目录。有关更多信息,请参阅 创建您的AWSManagedMicrosoftAD目录 在 AWS Directory Service Administration Guide.
重要 记住您分配给管理员用户的密码;您需要在稍后的入门练习中使用该密码。如果您忘记了密码,您需要在练习中对新的 AWS Directory Service 目录和管理员用户。
-
如果您有现有AD,请在AWSManagedMicrosoftAD和现有AD之间创建信任关系。有关更多信息,请参阅 何时创建信任关系 在 AWS Directory Service Administration Guide.
第2步: 在中启动Windows实例 Amazon EC2 控制台
您可以使用 AWS 管理控制台 如下步骤所述。这旨在帮助您快速启动第一个实例,因此它不涵盖所有可能的选项。有关高级选项的更多信息,请参阅启动实例。
启动 实例
-
打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/
。 -
从控制台控制面板中,选择 Launch Instance (启动实例)。
-
Choose an Amazon Machine Image (AMI) 页面显示一组称为 Amazon 系统映像 (AMI) 的基本配置,作为您的实例的模板。选择WindowsServer2016Base或WindowsServer2012R2Base的AMI。请注意,这些 AMI 标记为“Free tier eligible”(符合条件的免费套餐)。
-
在 Choose an Instance Type (选择实例类型) 页面上,您可以选择实例的硬件配置。选择
t2.micro
类型 (默认情况下的选择)。请注意,此实例类型适用免费套餐。 -
选择 Review and Launch 让向导为您完成其他配置设置。
-
在 审阅实例启动 页面,下方 安全组,一个授权组将显示为您创建和选择的向导。您可以使用这个授权组,或者使用以下步骤选择设置时创建的授权组:
-
选择 Edit security groups。
-
在 Configure Security Group 页面上,确保 Select an existing security group 处于选中状态。
-
从现有安全组列表中选择您的安全组,然后选择 Review and Launch。
-
-
在 Review Instance Launch 页面上,选择 Launch。
-
当系统提示提供密钥时,选择 Choose an existing key pair,然后选择您在进行设置时创建的密钥对。
另外,您也可以新建密钥对。选择 Create a new key pair,输入密钥对的名称,然后选择 Download Key Pair。这是您保存私有密钥文件的唯一机会,因此务必单击进行下载。将私有密钥文件保存在安全位置。当您启动实例时,您将需要提供密钥对的名称;当您每次连接到实例时,您将需要提供相应的私有密钥。
警告 请勿选择在没有密钥对的情况下继续选项。如果您启动的实例没有密钥对,就不能连接到该实例。
准备好后,选中确认复选框,然后选择 Launch Instances (启动实例)。
-
确认页面会让您知道自己的实例已启动。选择 View Instances 以关闭确认页面并返回控制台。
-
在实例屏幕上,您可以查看启动状态。启动实例只需很短的时间。启动实例时,其初始状态为
pending
。实例启动后,其状态变为running
并收到公共DNS名称。(如果 Public DNS (IPv4) 列已隐藏,请选择页面右上角的 Show/Hide Columns (齿轮状图标),然后选择 Public DNS (IPv4)。) -
需要几分钟准备好实例,以便您能连接到实例。检查您的实例是否通过了状态检查;您可以在 Status Checks 列中查看此信息。
记下您启动此实例时创建的授权组的ID。在创建 Amazon FSx 文件系统。
您的实例启动后,您可以连接到您的实例。
第3步: 连接到您的实例
要连接到Windows实例,您必须检索初始管理员密码,然后在使用远程桌面连接到实例时指定此密码。
管理员帐户的名称取决于操作系统的语言。例如,对于英语,它是管理员,对于法语,它是管理员,而对于葡萄牙语,它是管理员。有关更多信息,请参阅 Windows中管理员帐户的本地化名称
如果将实例加入域,则可以使用您在中定义的域凭据连接到实例 AWS Directory Service. 在远程桌面登录屏幕上,请勿使用本地计算机名称和生成的密码。相反,请使用管理员的完全限定用户名和此帐户的密码。示例是
corp.example.com\Admin
。
WindowsServer操作系统(OS)的许可证允许两个同时的远程连接用于管理目的。WindowsServer的许可证包含在Windows实例的价格中。如果您需要两个以上的同时远程连接,您必须购买远程桌面服务(RDS)许可证。如果您尝试进行第三次连接,则会出现错误。有关更多信息,请参阅
配置允许用于连接的同步远程连接数
使用 RDP 客户端连接到 Windows 实例
-
在 Amazon EC2 控制台中,选择实例,然后选择 Connect。
-
在 连接到您的实例 对话框中,选择 获取密码 (在密码可用之前,实例启动需要几分钟时间)。
-
选择 Browse (浏览) 并导航至您启动实例时所创建的私有密钥文件。选择文件并选择 Open (打开),以便将文件的全部内容复制到 Contents (内容) 字段。
-
选择 Decrypt Password。控制台在 连接到您的实例 对话框,替换链接 获取密码 之前显示的实际密码。
-
记录下默认管理员密码,或将其复制到剪贴板。需要使用此密码连接实例。
-
选择 Download Remote Desktop File。您的浏览器会提示您打开或保存 .rdp 文件。两种选择都可以。完成后,您可以选择 关闭 以消除 连接到您的实例 对话框。
-
如果已打开 .rdp 文件,您将看到 Remote Desktop Connection 对话框。
-
如果您保存了.rdp文件,请导航到下载目录,然后打开.rdp文件以显示对话框。
-
-
您可能看到一条警告,指出远程连接发布者未知。您可以继续连接到您的实例。
-
出现提示时,使用操作系统的管理员帐户和您之前录制或复制的密码登录到实例。如果您的 远程桌面连接 已经设置了管理员帐户,您可能需要选择 使用其他帐户 选项,然后手动键入用户名和密码。
注意 有时复制和粘贴内容可能会损坏数据。如果您在登录时遇到“Password Failed (密码失败)”错误,请尝试手动键入密码。
-
由于自签名证书的固有特性,您可能会看到一条警告,指出无法验证该安全证书。请使用以下步骤验证远程计算机的标识;或者,如果您信任该证书,则直接选择 Yes (是) 或 Continue (继续) 以继续操作。
-
如果您正在从 Windows PC 使用 Remote Desktop Connection,请选择 View certificate。如果您正在 Mac 上使用 Microsoft Remote Desktop,请选择 Show Certificate。
-
选择 详情 选项卡,然后向下滚动至 指纹 WindowsPC上的条目,或 SHA1指纹 Mac上的条目。这是远程计算机的安全证书的唯一标识符。
-
在 Amazon EC2 控制台中,选择该实例,选择 Actions,然后选择 Get System Log。
-
在系统日志输出中,查找标记为的条目
RDPCERTIFICATE-THUMBPRINT
。如果此值与证书的指纹或指纹匹配,则表示您已验证了远程计算机的身份。 -
如果您正在从 Windows PC 使用 Remote Desktop Connection,请返回到 Certificate 对话框并选择 OK。如果您正在 Mac 上使用 Microsoft Remote Desktop,请返回到 Verify Certificate 并选择 Continue。
-
[Windows] 在 Remote Desktop Connection 窗口中选择 Yes 连接到您的实例。
-
现在您已连接到实例,您可以将实例加入您的 AWS Directory Service 目录。
第4步: 将您的实例加入您的 AWS Directory Service 目录
以下过程向您展示如何手动加入现有 Amazon EC2 Windows实例到您的 AWS Directory Service 目录。
将Windows实例加入您的 AWS Directory Service 目录
-
使用任何远程桌面协议客户端连接到实例。
-
在实例上打开 TCP/IPv4 属性对话框。
-
打开 Network Connections。
提示 您可以在实例上从命令提示符运行以下命令,直接打开 Network Connections。
%SystemRoot%\system32\control.exe ncpa.cpl
-
打开任意已启用网络连接的上下文(右键单击)菜单,然后选择 属性.
-
在连接属性对话框中,打开 (双击) Internet Protocol Version 4。
-
-
(可选)选择 使用以下DNS服务器地址,更改 首选DNS服务器 和 备用DNS服务器 地址到的IP地址 AWS Directory Service–提供DNS服务器,并选择 好的.
-
打开 系统属性 对话框中,请选择 计算机名称 选项卡,然后选择 变更.
提示 您可以在实例上从命令提示符运行以下命令,打开 System Properties 对话框。
%SystemRoot%\system32\control.exe sysdm.cpl
-
在 成员 框中,选择 域,请输入您 AWS Directory Service 目录,并选择 好的.
-
当系统提示输入域管理员的名称和密码时,输入Admin帐户的用户名和密码。
注意 您可以输入域的完全限定名称或NetBios名称,后跟反斜杠(\),然后输入用户名,在本例中, 管理. 例如,corp.example.com\Admin 或 corp\Admin。
-
收到欢迎加入域的消息之后,重新启动实例使更改生效。
-
通过RDP重新连接到实例,并使用的用户名和密码登录实例 AWS Directory Service 目录的管理员用户。
现在您的实例已加入域,您已准备好创建您的 Amazon FSx 文件系统。然后,您可以继续完成入门练习中的其他任务。有关更多信息,请参阅开始使用 Amazon FSx。