View a markdown version of this page

Schritt 1: Richten Sie Ihr AWS Umgebung für AWS Verwaltetes Microsoft AD Active Directory - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Richten Sie Ihr AWS Umgebung für AWS Verwaltetes Microsoft AD Active Directory

Bevor Sie AWS Managed Microsoft AD in Ihrem AWS Testlabor erstellen können, müssen Sie zunächst Ihr Amazon EC2 EC2-Schlüsselpaar so einrichten, dass alle Anmeldedaten verschlüsselt werden.

Erstellen eines Schlüsselpaares

Wenn Sie bereits ein Schlüsselpaar haben, können Sie diesen Schritt überspringen. Weitere Informationen zu Amazon EC2 EC2-Schlüsselpaaren finden Sie unter Schlüsselpaare erstellen.

So erstellen Sie ein Schlüsselpaar
  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich unter Network & Security Key Pairs, und wählen Sie dann Create Key Pair.

  3. Geben Sie als Schlüsselpaar-Name AWS-DS-KP ein. Wählen Sie als Schlüsselpaar-Dateiformat die Option pem und dann Erstellen aus.

  4. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Der Dateiname ist der Name, den Sie beim Erstellen Ihres Schlüsselpaars mit der Erweiterung .pem angegeben haben. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.

    Wichtig

    Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern. Sie müssen den Namen für Ihr Schlüsselpaar beim Starten einer Instance angeben. Der entsprechende private Schlüssel muss jedes Mal angegeben werden, wenn Sie das Passwort für die Instance entschlüsseln.

Zwei Amazon-VPCs erstellen, konfigurieren und miteinander verbinden

Wie in der folgenden Abbildung zu sehen ist, haben Sie nach Abschluss dieses mehrstufigen Prozesses zwei öffentliche VPCs, zwei öffentliche Subnetze pro VPC, ein Internet-Gateway pro VPC und eine VPC-Peering-Verbindung zwischen den VPCs erstellt und konfiguriert. Wir haben uns aus Gründen der Einfachheit und der Kosten für die Verwendung öffentlicher VPCs und Subnetze entschieden. Für Produktions-Workloads empfehlen wir Ihnen, private VPCs zu verwenden. Weitere Informationen zur Verbesserung der VPC-Sicherheit finden Sie unter Sicherheit in Amazon Virtual Private Cloud.

Amazon VPC-Umgebung mit Subnetzen und Internet-Gateways zur Erstellung eines AWS verwalteten Microsoft AD Active Directory.

Alle PowerShell Beispiele verwenden die AWS CLI VPC-Informationen von unten und sind in us-west-2 erstellt. Sie können jede unterstützte Region auswählen, in der Sie Ihre Umgebung erstellen möchten. Allgemeine Informationen finden Sie unter Was ist Amazon VPC?.

Schritt 1: Zwei VPCs erstellen

In diesem Schritt müssen Sie zwei VPCs in demselben Konto mithilfe der in der folgenden Tabelle angegebenen Parameter erstellen. AWS Managed Microsoft AD unterstützt die Verwendung separater Konten mit dieser Teile deine AWS Verwaltetes Microsoft AD Funktion. Die erste VPC wird für AWS Managed Microsoft AD verwendet. Die zweite VPC wird für Ressourcen verwendet, die später in Tutorial: Vertrauensstellung aufbauen von AWS Verwaltetes Microsoft AD für eine selbstverwaltete Active Directory-Installation auf Amazon EC2 verwendet werden können.

Verwaltete Active Directory-VPC-Informationen

On-premises VPC-Informationen

Namenskürzel: AWS- DS-VPC01

IPv4-CIDR-Block: 10.0.0. 0/16

IPv6-CIDR-Block: Kein IPv6-CIDR-Block

Tenancy: Standard

Namenskürzel: AWS- OnPrem-VPC01

IPv4-CIDR-Block: 10.100.0. 0/16

IPv6-CIDR-Block: Kein IPv6-CIDR-Block

Tenancy: Standard

Detaillierte Anweisungen finden Sie unter Erstellen einer VPC.

Schritt 2: Zwei Subnetzen pro VPC erstellen

Nachdem Sie die VPCs erstellt haben, müssen Sie zwei Subnetze pro VPC erstellen und dabei die in der folgenden Tabelle angegebenen Parameter verwenden. In dieser Testumgebung wird jedes Subnetz ein /24 sein. Dadurch können bis zu 256 Adressen pro Subnetz vergeben werden. Jedes Subnetz muss sich in einem separaten AZ befinden. Die Unterbringung jedes Subnetzes in einem separaten in AZ ist eine der Voraussetzungen für die Erstellung eines AWS Verwaltetes Microsoft AD.

AWS- DS-VPC01 Subnetzinformationen:

AWS- OnPrem-VPC01 Subnetzinformationen

Namenskürzel: AWS- DS-VPC01-Subnet01

VPC: AWS vpc-xxxxxxxxxxxxxxxxx - DS-VPC01

Availability Zone: us-west-2a

IPv4-CIDR-Block: 10.0.0. 0/24

Namenskürzel: AWS- OnPrem-VPC01-Subnet01

VPC: AWS vpc-xxxxxxxxxxxxxxxxx - OnPrem-VPC01

Availability Zone: us-west-2a

IPv4-CIDR-Block: 10.100.0. 0/24

Namenskürzel: AWS- DS-VPC01-Subnet02

VPC: AWS vpc-xxxxxxxxxxxxxxxxx - DS-VPC01

Availability Zone: us-west-2b

IPv4-CIDR-Block: 10.0.1. 0/24

Namenskürzel: AWS- OnPrem-VPC01-Subnet02

VPC: AWS vpc-xxxxxxxxxxxxxxxxx - OnPrem-VPC01

Availability Zone: us-west-2b

IPv4-CIDR-Block: 10.100.1. 0/24

Detaillierte Anweisungen finden Sie unter Erstellen eines Subnetzes in Ihrer VPC.

Schritt 3 Ein Internet-Gateway erstellen und es an Ihre VPCs anhängen

Da wir öffentliche VPCs verwenden, müssen Sie ein Internet-Gateway erstellen und an Ihre VPCs anhängen, indem Sie die in der folgenden Tabelle angegebenen Parameter verwenden. Damit können Sie sich mit Ihren EC2-Instances verbinden und diese verwalten.

AWS- DS-VPC01 Internet-Gateway-Informationen

AWS- OnPrem-VPC01 Internet-Gateway-Informationen

Namensschild: AWS- DS-VPC01-IGW

VPC: AWS vpc-xxxxxxxxxxxxxxxxx - DS-VPC01

Namenskürzel: - AWS OnPrem-VPC01-IGW

VPC: AWS vpc-xxxxxxxxxxxxxxxxx - OnPrem-VPC01

Detaillierte Anweisungen finden Sie unter Internet-Gateways.

Schritt 4: Konfigurieren Sie eine VPC-Peering-Verbindung zwischen AWS- und - DS-VPC01 AWS OnPrem-VPC01

Da Sie zuvor bereits zwei VPCs erstellt haben, müssen Sie diese mithilfe von VPC-Peering unter Verwendung der in der folgenden Tabelle angegebenen Parameter miteinander vernetzen. Es gibt zwar viele Möglichkeiten, Ihre VPCs zu verbinden, aber in diesem Tutorial wird VPC Peering verwendet. AWS Managed Microsoft AD unterstützt viele Lösungen zur Verbindung Ihrer VPCs. Einige davon umfassen VPC-Peering, Transit Gateway und VPN.

Namensschild für die Peering-Verbindung: - & - AWS DS-VPC01 AWS OnPrem-VPC01-Peer

VPC (Antragsteller): vpc-xxxxxxxxxxxxxxxxx - AWS DS-VPC01

Konto: Mein Konto

Region: Diese Region

VPC (Akzeptierer): vpc-xxxxxxxxxxxxxxxxx - AWS OnPrem-VPC01

Anweisungen zum Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto finden Sie unter Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto.

Schritt 5: Fügen Sie der Hauptroutentabelle jeder VPC zwei Routen hinzu

Damit die in den vorherigen Schritten erstellten Internet-Gateways und VPC-Peering-Verbindungen funktionieren, müssen Sie die Haupt-Routing-Tabelle beider VPCs mit den in der folgenden Tabelle angegebenen Parametern aktualisieren. Sie werden zwei Routen hinzufügen; 0.0.0. 0/0 welches zu allen Zielen weiterleitet, die der Routentabelle nicht explizit bekannt sind, und 10.0.0. 0/16 oder 10.100.0. 0/16 welches über die oben eingerichtete VPC-Peering-Verbindung zu jeder VPC weiterleitet.

Sie können ganz einfach die richtige Routentabelle für jede VPC finden, indem Sie nach dem VPC-Namensschild (AWS- DS-VPC01 oder AWS-OnPrem-VPC01) filtern.

AWS- Informationen zu DS-VPC01 Route 1

AWS- Informationen zu DS-VPC01 Route 2

AWS- Informationen OnPrem-VPC01 zur Route 1

AWS- Informationen OnPrem-VPC01 zur Route 2

Ziel: 0.0.0. 0/0

Ziel: AWS igw-xxxxxxxxxxxxxxxxx - DS-VPC01-IGW

Ziel: 10.100.0. 0/16

Ziel: pcx-xxxxxxxxxxxxxxxxx - & - AWS DS-VPC01 AWS OnPrem-VPC01-Peer

Ziel: 0.0.0. 0/0

Ziel: AWS igw-xxxxxxxxxxxxxxxxx - Onprem-VPC01

Ziel: 10.0.0. 0/16

Ziel: pcx-xxxxxxxxxxxxxxxxx - & - AWS DS-VPC01 AWS OnPrem-VPC01-Peer

Anweisungen zum Hinzufügen von Routen zu einer VPC-Routing-Tabelle finden Sie unter Hinzufügen und Entfernen von Routen aus einer Routing-Tabelle.

Sicherheitsgruppen für Amazon EC2 EC2-Instances erstellen

Standardmäßig erstellt AWS Managed Microsoft AD eine Sicherheitsgruppe, um den Verkehr zwischen seinen Domänencontrollern zu verwalten. In diesem Abschnitt müssen Sie 2 Sicherheitsgruppen erstellen (eine für jede VPC), die zur Verwaltung des Datenverkehrs innerhalb Ihrer VPC für Ihre EC2-Instances verwendet werden, wobei Sie die in den folgenden Tabellen angegebenen Parameter verwenden. Außerdem fügen Sie eine Regel hinzu, die eingehenden RDP (3389)-Datenverkehr aus jeder beliebigen Quelle und für alle aus der lokalen VPC eingehenden Verkehrstypen zulässt. Weitere Informationen finden Sie unter Amazon-EC2-Sicherheitsgruppen für Windows-Instances.

AWS- Informationen zur DS-VPC01 Sicherheitsgruppe:

Name der Sicherheitsgruppe: AWS DS Test Lab Security Group

Beschreibung: AWS DS Test Lab Sicherheitsgruppe

VPC: AWS vpc-xxxxxxxxxxxxxxxxx - DS-VPC01

Sicherheitsgruppenregeln für eingehenden Datenverkehr für - AWS DS-VPC01

Typ Protocol (Protokoll) Port-Bereich Quelle Datenverkehrstyp
Zielbereich TCP 3389 Meine IP Remotedesktop
Gesamter Datenverkehr Alle Alle 10.0.0. 0/16 Gesamter lokaler VPC-Verkehr

Regeln für ausgehende Sicherheitsgruppen für AWS- DS-VPC01

Typ Protocol (Protokoll) Port-Bereich Ziel Datenverkehrstyp
Gesamter Datenverkehr Alle Alle 0.0.0. 0/0 Gesamter Datenverkehr
AWS- Informationen zur OnPrem-VPC01 Sicherheitsgruppe:

Name der Sicherheitsgruppe: AWS OnPrem Test Lab Security Group.

Beschreibung: AWS OnPrem Test Lab Security Group.

VPC: AWS vpc-xxxxxxxxxxxxxxxxx - OnPrem-VPC01

Sicherheitsgruppenregeln für eingehenden Datenverkehr für - AWS OnPrem-VPC01

Typ Protocol (Protokoll) Port-Bereich Quelle Datenverkehrstyp
Zielbereich TCP 3389 Meine IP Remotedesktop
Zielbereich TCP 53 10.0.0. 0/16 DNS
Zielbereich TCP 88 10.0.0. 0/16 Kerberos
Zielbereich TCP 389 10.0.0. 0/16 LDAP
Zielbereich TCP 464 10.0.0. 0/16 Kerberos Passwort ändern/einrichten
Zielbereich TCP 445 10.0.0. 0/16 SMB/CIFS
Zielbereich TCP 135 10.0.0. 0/16 Replikation
Zielbereich TCP 636 10.0.0. 0/16 LDAP SSL
Zielbereich TCP 49152–65535 10.0.0. 0/16 RPC
Zielbereich TCP 3268 - 3269 10.0.0. 0/16 LDAP GC und LDAP GC SSL
Benutzerdefinierte UDP-Regel UDP 53 10.0.0. 0/16 DNS
Benutzerdefinierte UDP-Regel UDP 88 10.0.0. 0/16 Kerberos
Benutzerdefinierte UDP-Regel UDP 123 10.0.0. 0/16 Windows-Uhrzeit
Benutzerdefinierte UDP-Regel UDP 389 10.0.0. 0/16 LDAP
Benutzerdefinierte UDP-Regel UDP 464 10.0.0. 0/16 Kerberos Passwort ändern/einrichten
Gesamter Datenverkehr Alle Alle 10,100,0. 0/16 Gesamter lokaler VPC-Verkehr

Regeln für ausgehende Sicherheitsgruppen für AWS- OnPrem-VPC01

Typ Protocol (Protokoll) Port-Bereich Ziel Datenverkehrstyp
Gesamter Datenverkehr Alle Alle 0.0.0. 0/0 Gesamter Datenverkehr

Ausführliche Anweisungen zum Erstellen und Hinzufügen von Regeln zu Ihren Sicherheitsgruppen finden Sie unter Mit Sicherheitsgruppen arbeiten.