演练1: 入门的前提条件 - Amazon FSx for Windows File Server
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

演练1: 入门的前提条件

在完成入门练习之前,您必须已经拥有MicrosoftWindows–基于 Amazon EC2 实例已加入您的 AWS Directory Service 目录。您还必须作为目录的管理员用户通过Windows远程桌面协议登录到实例。以下演练显示了如何执行这些必要的先决条件操作。

第1步: 设置活动目录

有 Amazon FSx,您可以为基于Windows的工作负载操作完全管理的文件存储。同样 AWS Directory Service 提供可在工作负载部署中使用的完全受管理的目录。如果您在使用EC2实例的虚拟私有云(VPC)中的AWS中运行了现有的公司AD域,则可以启用基于用户的身份验证和访问控制。您可通过在AWSManagedMicrosoftAD和公司域之间建立信任关系来实现这一点。对于中的Windows身份验证 Amazon FSx,您只需要单向方向林信任,AWS管理的林信任公司域林。

您的公司域扮演着可信域的角色, AWS Directory Service 托管域扮演信任域的角色。验证的认证请求仅在一个方向上在域之间行进—允许企业域中的帐户对照托管域中共享的资源进行身份验证。在这种情况下 Amazon FSx 仅与托管域交互。然后,托管域会将身份验证请求传递给您的公司域。

注意

您也可以使用外部信任类型 Amazon FSx 用于可信域。

您的ActiveDirectory授权组必须启用从 Amazon FSx 文件系统安全组。

为MicrosoftAD创建AWS目录服务

  • 如果您还没有,请使用 AWS Directory Service 创建AWSManagedMicrosoftAD目录。有关更多信息,请参阅 创建您的AWSManagedMicrosoftAD目录AWS Directory Service Administration Guide.

    重要

    记住您分配给管理员用户的密码;您需要在稍后的入门练习中使用该密码。如果您忘记了密码,您需要在练习中对新的 AWS Directory Service 目录和管理员用户。

  • 如果您有现有AD,请在AWSManagedMicrosoftAD和现有AD之间创建信任关系。有关更多信息,请参阅 何时创建信任关系AWS Directory Service Administration Guide.

第2步: 在中启动Windows实例 Amazon EC2 控制台

您可以使用 AWS 管理控制台 如下步骤所述。这旨在帮助您快速启动第一个实例,因此它不涵盖所有可能的选项。有关高级选项的更多信息,请参阅启动实例

启动 实例

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 从控制台控制面板中,选择 Launch Instance (启动实例)

  3. Choose an Amazon Machine Image (AMI) 页面显示一组称为 Amazon 系统映像 (AMI) 的基本配置,作为您的实例的模板。选择WindowsServer2016Base或WindowsServer2012R2Base的AMI。请注意,这些 AMI 标记为“Free tier eligible”(符合条件的免费套餐)。

  4. Choose an Instance Type (选择实例类型) 页面上,您可以选择实例的硬件配置。选择 t2.micro 类型 (默认情况下的选择)。请注意,此实例类型适用免费套餐。

  5. 选择 Review and Launch 让向导为您完成其他配置设置。

  6. 审阅实例启动 页面,下方 安全组,一个授权组将显示为您创建和选择的向导。您可以使用这个授权组,或者使用以下步骤选择设置时创建的授权组:

    1. 选择 Edit security groups

    2. Configure Security Group 页面上,确保 Select an existing security group 处于选中状态。

    3. 从现有安全组列表中选择您的安全组,然后选择 Review and Launch

  7. Review Instance Launch 页面上,选择 Launch

  8. 当系统提示提供密钥时,选择 Choose an existing key pair,然后选择您在进行设置时创建的密钥对。

    另外,您也可以新建密钥对。选择 Create a new key pair,输入密钥对的名称,然后选择 Download Key Pair。这是您保存私有密钥文件的唯一机会,因此务必单击进行下载。将私有密钥文件保存在安全位置。当您启动实例时,您将需要提供密钥对的名称;当您每次连接到实例时,您将需要提供相应的私有密钥。

    警告

    请勿选择在没有密钥对的情况下继续选项。如果您启动的实例没有密钥对,就不能连接到该实例。

    准备好后,选中确认复选框,然后选择 Launch Instances (启动实例)

  9. 确认页面会让您知道自己的实例已启动。选择 View Instances 以关闭确认页面并返回控制台。

  10. 实例屏幕上,您可以查看启动状态。启动实例只需很短的时间。启动实例时,其初始状态为 pending。实例启动后,其状态变为 running 并收到公共DNS名称。(如果 Public DNS (IPv4) 列已隐藏,请选择页面右上角的 Show/Hide Columns (齿轮状图标),然后选择 Public DNS (IPv4)。)

  11. 需要几分钟准备好实例,以便您能连接到实例。检查您的实例是否通过了状态检查;您可以在 Status Checks 列中查看此信息。

重要

记下您启动此实例时创建的授权组的ID。在创建 Amazon FSx 文件系统。

您的实例启动后,您可以连接到您的实例。

第3步: 连接到您的实例

要连接到Windows实例,您必须检索初始管理员密码,然后在使用远程桌面连接到实例时指定此密码。

管理员帐户的名称取决于操作系统的语言。例如,对于英语,它是管理员,对于法语,它是管理员,而对于葡萄牙语,它是管理员。有关更多信息,请参阅 Windows中管理员帐户的本地化名称 在MicrosoftTechNetWiki中。

如果将实例加入域,则可以使用您在中定义的域凭据连接到实例 AWS Directory Service. 在远程桌面登录屏幕上,请勿使用本地计算机名称和生成的密码。相反,请使用管理员的完全限定用户名和此帐户的密码。示例是 corp.example.com\Admin

WindowsServer操作系统(OS)的许可证允许两个同时的远程连接用于管理目的。WindowsServer的许可证包含在Windows实例的价格中。如果您需要两个以上的同时远程连接,您必须购买远程桌面服务(RDS)许可证。如果您尝试进行第三次连接,则会出现错误。有关更多信息,请参阅 配置允许用于连接的同步远程连接数.

使用 RDP 客户端连接到 Windows 实例

  1. 在 Amazon EC2 控制台中,选择实例,然后选择 Connect

  2. 连接到您的实例 对话框中,选择 获取密码 (在密码可用之前,实例启动需要几分钟时间)。

  3. 选择 Browse (浏览) 并导航至您启动实例时所创建的私有密钥文件。选择文件并选择 Open (打开),以便将文件的全部内容复制到 Contents (内容) 字段。

  4. 选择 Decrypt Password。控制台在 连接到您的实例 对话框,替换链接 获取密码 之前显示的实际密码。

  5. 记录下默认管理员密码,或将其复制到剪贴板。需要使用此密码连接实例。

  6. 选择 Download Remote Desktop File。您的浏览器会提示您打开或保存 .rdp 文件。两种选择都可以。完成后,您可以选择 关闭 以消除 连接到您的实例 对话框。

    • 如果已打开 .rdp 文件,您将看到 Remote Desktop Connection 对话框。

    • 如果您保存了.rdp文件,请导航到下载目录,然后打开.rdp文件以显示对话框。

  7. 您可能看到一条警告,指出远程连接发布者未知。您可以继续连接到您的实例。

  8. 出现提示时,使用操作系统的管理员帐户和您之前录制或复制的密码登录到实例。如果您的 远程桌面连接 已经设置了管理员帐户,您可能需要选择 使用其他帐户 选项,然后手动键入用户名和密码。

    注意

    有时复制和粘贴内容可能会损坏数据。如果您在登录时遇到“Password Failed (密码失败)”错误,请尝试手动键入密码。

  9. 由于自签名证书的固有特性,您可能会看到一条警告,指出无法验证该安全证书。请使用以下步骤验证远程计算机的标识;或者,如果您信任该证书,则直接选择 Yes (是)Continue (继续) 以继续操作。

    1. 如果您正在从 Windows PC 使用 Remote Desktop Connection,请选择 View certificate。如果您正在 Mac 上使用 Microsoft Remote Desktop,请选择 Show Certificate

    2. 选择 详情 选项卡,然后向下滚动至 指纹 WindowsPC上的条目,或 SHA1指纹 Mac上的条目。这是远程计算机的安全证书的唯一标识符。

    3. 在 Amazon EC2 控制台中,选择该实例,选择 Actions,然后选择 Get System Log

    4. 在系统日志输出中,查找标记为的条目 RDPCERTIFICATE-THUMBPRINT。如果此值与证书的指纹或指纹匹配,则表示您已验证了远程计算机的身份。

    5. 如果您正在从 Windows PC 使用 Remote Desktop Connection,请返回到 Certificate 对话框并选择 OK。如果您正在 Mac 上使用 Microsoft Remote Desktop,请返回到 Verify Certificate 并选择 Continue

    6. [Windows] 在 Remote Desktop Connection 窗口中选择 Yes 连接到您的实例。

现在您已连接到实例,您可以将实例加入您的 AWS Directory Service 目录。

第4步: 将您的实例加入您的 AWS Directory Service 目录

以下过程向您展示如何手动加入现有 Amazon EC2 Windows实例到您的 AWS Directory Service 目录。

将Windows实例加入您的 AWS Directory Service 目录

  1. 使用任何远程桌面协议客户端连接到实例。

  2. 在实例上打开 TCP/IPv4 属性对话框。

    1. 打开 Network Connections

      提示

      您可以在实例上从命令提示符运行以下命令,直接打开 Network Connections

      %SystemRoot%\system32\control.exe ncpa.cpl
    2. 打开任意已启用网络连接的上下文(右键单击)菜单,然后选择 属性.

    3. 在连接属性对话框中,打开 (双击) Internet Protocol Version 4

  3. (可选)选择 使用以下DNS服务器地址,更改 首选DNS服务器备用DNS服务器 地址到的IP地址 AWS Directory Service–提供DNS服务器,并选择 好的.

  4. 打开 系统属性 对话框中,请选择 计算机名称 选项卡,然后选择 变更.

    提示

    您可以在实例上从命令提示符运行以下命令,打开 System Properties 对话框。

    %SystemRoot%\system32\control.exe sysdm.cpl
  5. 成员 框中,选择 ,请输入您 AWS Directory Service 目录,并选择 好的.

  6. 当系统提示输入域管理员的名称和密码时,输入Admin帐户的用户名和密码。

    注意

    您可以输入域的完全限定名称或NetBios名称,后跟反斜杠(\),然后输入用户名,在本例中, 管理. 例如,corp.example.com\Admincorp\Admin

  7. 收到欢迎加入域的消息之后,重新启动实例使更改生效。

  8. 通过RDP重新连接到实例,并使用的用户名和密码登录实例 AWS Directory Service 目录的管理员用户。

现在您的实例已加入域,您已准备好创建您的 Amazon FSx 文件系统。然后,您可以继续完成入门练习中的其他任务。有关更多信息,请参阅开始使用 Amazon FSx