Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 1: Richten Sie Ihre AWS Umgebung für AWS Managed Microsoft AD Active Directory ein
Bevor Sie AWS Managed Microsoft AD in Ihrem AWS Testlabor erstellen können, müssen Sie zunächst Ihr Amazon EC2 EC2-Schlüsselpaar so einrichten, dass alle Anmeldedaten verschlüsselt werden.
Erstellen eines Schlüsselpaares
Wenn Sie bereits ein Schlüsselpaar haben, können Sie diesen Schritt überspringen. Weitere Informationen zu Amazon EC2 EC2-Schlüsselpaaren finden Sie unter Schlüsselpaare erstellen.
So erstellen Sie ein Schlüsselpaar
Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie im Navigationsbereich unter Network & Security Key Pairs, und wählen Sie dann Create Key Pair.
-
Geben Sie als Schlüsselpaar-Name
AWS-DS-KPein. Wählen Sie als Schlüsselpaar-Dateiformat die Option pem und dann Erstellen aus. -
Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Der Dateiname ist der Name, den Sie beim Erstellen Ihres Schlüsselpaars mit der Erweiterung
.pemangegeben haben. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.Wichtig
Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern. Sie müssen den Namen für Ihr Schlüsselpaar beim Starten einer Instance angeben. Der entsprechende private Schlüssel muss jedes Mal angegeben werden, wenn Sie das Passwort für die Instance entschlüsseln.
Zwei Amazon erstellen, konfigurieren und miteinander verbinden VPCs
Wie in der folgenden Abbildung dargestellt, haben Sie bis zum Abschluss dieses mehrstufigen Prozesses zwei öffentliche VPCs, zwei öffentliche Subnetze pro VPC, ein Internet Gateway pro VPC und eine VPC-Peering-Verbindung zwischen den erstellt und konfiguriert. VPCs Aus Gründen der Einfachheit und der Kosten haben wir uns für öffentliche Netze VPCs und Subnetze entschieden. Für Produktions-Workloads empfehlen wir, private Workloads zu verwenden. VPCs Weitere Informationen zur Verbesserung der VPC-Sicherheit finden Sie unter Sicherheit in Amazon Virtual Private Cloud.
Alle PowerShell Beispiele verwenden die AWS CLI VPC-Informationen von unten und sind in us-west-2 erstellt. Sie können jede unterstützte Region auswählen, in der Sie Ihre Umgebung erstellen möchten. Allgemeine Informationen finden Sie unter Was ist Amazon VPC?.
Schritt 1: Erstellen Sie zwei VPCs
In diesem Schritt müssen Sie zwei VPCs in demselben Konto mithilfe der in der folgenden Tabelle angegebenen Parameter erstellen. AWS Managed Microsoft AD unterstützt die Verwendung separater Konten mit dieser Teilen Sie Ihr AWS verwaltetes Microsoft AD Funktion. Die erste VPC wird für AWS Managed Microsoft AD verwendet. Die zweite VPC wird für Ressourcen verwendet, die später in Tutorial: Erstellen einer Vertrauensstellung von AWS Managed Microsoft AD zu einer selbstverwalteten Active Directory-Installation auf Amazon EC2 verwendet werden können.
|
Informationen zur verwalteten Active Directory-VPC |
On-Premises-VPC-Informationen |
|---|---|
|
Namenskürzel: AWS-DS- VPC01 IPv4 CIDR-Block: 10.0.0.0/16 IPv6 CIDR-Block: Kein CIDR-Block IPv6 Tenancy: Standard |
Namenskürzel: AWS- - OnPrem VPC01 IPv4 CIDR-Block: 10.100.0.0/16 IPv6 CIDR-Block: Kein CIDR-Block IPv6 Tenancy: Standard |
Detaillierte Anweisungen finden Sie unter Erstellen einer VPC.
Schritt 2: Zwei Subnetzen pro VPC erstellen
Nachdem Sie das erstellt haben, müssen VPCs Sie zwei Subnetze pro VPC mit den angegebenen Parametern in der folgenden Tabelle erstellen. In dieser Testumgebung wird jedes Subnetz ein /24 sein. Dadurch können bis zu 256 Adressen pro Subnetz vergeben werden. Jedes Subnetz muss sich in einem separaten AZ befinden. Die Unterbringung jedes Subnetzes in einem separaten in AZ ist eine der Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD.
|
AWS-DS- Subnetzinformationen: VPC01 |
AWS- OnPrem - Subnetzinformationen VPC01 |
|---|---|
|
Namenskürzel: AWS-DS- -Subnet01 VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Availability Zone: us-west-2a IPv4 CIDR-Block: 10.0.0.0/24 |
Namenskürzel: - - -Subnet01 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2a IPv4 CIDR-Block: 10.100.0.0/24 |
|
Namenskürzel: -DS- -Subnet02 AWS VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Availability Zone: us-west-2b IPv4 CIDR-Block: 10.0.1.0/24 |
Namenskürzel: - - -Subnet02 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2b IPv4 CIDR-Block: 10.100.1.0/24 |
Detaillierte Anweisungen finden Sie unter Erstellen eines Subnetzes in Ihrer VPC.
Schritt 3: Erstellen Sie ein Internet Gateway und schließen Sie es an Ihr VPCs
Da wir öffentliche VPCs verwenden, müssen Sie ein Internet-Gateway erstellen und an Ihre VPCs anhängen, indem Sie die in der folgenden Tabelle angegebenen Parameter verwenden. Damit können Sie sich mit Ihren EC2-Instances verbinden und diese verwalten.
|
AWS-DS- VPC01 Internet-Gateway-Informationen |
AWS- OnPrem - VPC01 Internet-Gateway-Informationen |
|---|---|
|
Namenskürzel: AWS-DS- VPC01 -IGW VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 |
Namenskürzel: - - AWS-IGW OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Detaillierte Anweisungen finden Sie unter Internet-Gateways.
Schritt 4: Konfigurieren Sie eine VPC-Peering-Verbindung zwischen AWS-DS- VPC01 und - - AWS OnPrem VPC01
Da Sie bereits VPCs zuvor zwei erstellt haben, müssen Sie sie mithilfe von VPC-Peering mithilfe der in der folgenden Tabelle angegebenen Parameter miteinander vernetzen. Es gibt zwar viele Möglichkeiten VPCs, Ihre zu verbinden, aber in diesem Tutorial wird VPC Peering verwendet. AWS Managed Microsoft AD unterstützt viele Verbindungslösungen. VPCs Einige davon umfassen VPC-Peering, Transit Gateway und VPN.
|
Namensschild für die Peering-Verbindung: AWS-DS- VPC01 & - - -Peer AWS OnPrem VPC01 VPC (Antragsteller): AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Konto: Mein Konto Region: Diese Region VPC (Akzeptierer): AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Anweisungen zum Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto finden Sie unter Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto.
Schritt 5: Fügen Sie der Hauptroutentabelle jeder VPC zwei Routen hinzu
Damit die in den vorherigen Schritten erstellten Internet-Gateways und die VPC-Peering-Verbindung funktionieren, müssen Sie die Haupt-Routing-Tabelle von beiden VPCs mithilfe der in der folgenden Tabelle angegebenen Parameter aktualisieren. Sie fügen zwei Routen hinzu: 0.0.0.0/0, die zu allen Zielen führt, die der Routing-Tabelle nicht explizit bekannt sind, und 10.0.0.0/16 oder 10.100.0.0/16, die zu jeder VPC über die oben eingerichtete VPC-Peering-Verbindung führen.
Sie können ganz einfach die richtige Routentabelle für jede VPC finden, indem Sie nach dem VPC-Namensschild (AWS-DS- VPC01 oder AWS- -OnPrem) filtern. VPC01
|
AWS-DS- Informationen zu Route 1 VPC01 |
AWS-DS- Informationen zur VPC01 Route 2 |
AWS- OnPrem - Informationen VPC01 zur Route 1 |
AWS- OnPrem - Informationen zur VPC01 Route 2 |
|---|---|---|---|
|
Ziel: 0.0.0.0/0 Ziel: igw-xxxxxxxxxxxxxxxxx AWS-DS- -IGW VPC01 |
Ziel: 10.100.0.0/16 Ziel: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01 |
Ziel: 0.0.0.0/0 Ziel: igw-xxxxxxxxxxxxx AWS-Onprem- VPC01 |
Ziel: 10.0.0.0/16 Ziel: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01 |
Anweisungen zum Hinzufügen von Routen zu einer VPC-Routing-Tabelle finden Sie unter Hinzufügen und Entfernen von Routen aus einer Routing-Tabelle.
Sicherheitsgruppen für Amazon EC2 EC2-Instances erstellen
Standardmäßig erstellt AWS Managed Microsoft AD eine Sicherheitsgruppe, um den Verkehr zwischen seinen Domänencontrollern zu verwalten. In diesem Abschnitt müssen Sie 2 Sicherheitsgruppen erstellen (eine für jede VPC), die zur Verwaltung des Datenverkehrs innerhalb Ihrer VPC für Ihre EC2-Instances verwendet werden, wobei Sie die in den folgenden Tabellen angegebenen Parameter verwenden. Außerdem fügen Sie eine Regel hinzu, die eingehenden RDP (3389)-Datenverkehr aus jeder beliebigen Quelle und für alle aus der lokalen VPC eingehenden Verkehrstypen zulässt. Weitere Informationen finden Sie unter Amazon-EC2-Sicherheitsgruppen für Windows-Instances.
|
AWS-DS- Informationen zur VPC01 Sicherheitsgruppe: |
|---|
|
Name der Sicherheitsgruppe: AWS DS Test Lab Security Group Beschreibung: AWS DS Test Lab Sicherheitsgruppe VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 |
Sicherheitsgruppenregeln für eingehende Zugriffe für -DS- AWS VPC01
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp |
|---|---|---|---|---|
| Zielbereich | TCP | 3389 | Meine IP | Remotedesktop |
| Gesamter Datenverkehr | Alle | Alle | 10.0.0.0/16 | Gesamter lokaler VPC-Verkehr |
Regeln für ausgehende Sicherheitsgruppen für -DS- AWS VPC01
| Typ | Protocol (Protokoll) | Port-Bereich | Ziel | Datenverkehrstyp |
|---|---|---|---|---|
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Gesamter Datenverkehr |
| AWS- OnPrem - Informationen VPC01 zur Sicherheitsgruppe: |
|---|
|
Name der Sicherheitsgruppe: AWS OnPrem Test Lab Security Group. Beschreibung: AWS OnPrem Test Lab Security Group. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Sicherheitsgruppenregeln für eingehenden Datenverkehr für - - AWS OnPrem VPC01
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp |
|---|---|---|---|---|
| Zielbereich | TCP | 3389 | Meine IP | Remotedesktop |
| Zielbereich | TCP | 53 | 10.0.0.0/16 | DNS |
| Zielbereich | TCP | 88 | 10.0.0.0/16 | Kerberos |
| Zielbereich | TCP | 389 | 10.0.0.0/16 | LDAP |
| Zielbereich | TCP | 464 | 10.0.0.0/16 | Kerberos Passwort ändern/einrichten |
| Zielbereich | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
| Zielbereich | TCP | 135 | 10.0.0.0/16 | Replikation |
| Zielbereich | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| Zielbereich | TCP | 49152–65535 | 10.0.0.0/16 | RPC |
| Zielbereich | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC und LDAP GC SSL |
| Benutzerdefinierte UDP-Regel | UDP | 53 | 10.0.0.0/16 | DNS |
| Benutzerdefinierte UDP-Regel | UDP | 88 | 10.0.0.0/16 | Kerberos |
| Benutzerdefinierte UDP-Regel | UDP | 123 | 10.0.0.0/16 | Windows-Uhrzeit |
| Benutzerdefinierte UDP-Regel | UDP | 389 | 10.0.0.0/16 | LDAP |
| Benutzerdefinierte UDP-Regel | UDP | 464 | 10.0.0.0/16 | Kerberos Passwort ändern/einrichten |
| Gesamter Datenverkehr | Alle | Alle | 10.100.0.0/16 | Gesamter lokaler VPC-Verkehr |
Regeln für ausgehende Sicherheitsgruppen für AWS- - OnPrem VPC01
| Typ | Protocol (Protokoll) | Port-Bereich | Ziel | Datenverkehrstyp |
|---|---|---|---|---|
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Gesamter Datenverkehr |
Ausführliche Anweisungen zum Erstellen und Hinzufügen von Regeln zu Ihren Sicherheitsgruppen finden Sie unter Mit Sicherheitsgruppen arbeiten.
