Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Tutorial: Einrichten Ihres AWS Managed Microsoft AD-Basis-Testlabors in AWS
<a name="ms_ad_tutorial_test_lab_base"></a>

In diesem Tutorial erfahren Sie, wie Sie Ihre AWS Umgebung einrichten, um sich auf eine neue AWS Managed Microsoft AD-Installation vorzubereiten, die eine neue Amazon EC2 EC2-Instance verwendet, auf der Windows Server 2019 ausgeführt wird. Anschließend lernen Sie, typische Active Directory-Verwaltungstools zu verwenden, um Ihre AWS verwaltete Microsoft AD-Umgebung von Ihrer EC2-Windows-Instance aus zu verwalten. Wenn Sie das Tutorial abgeschlossen haben, haben Sie die Netzwerkvoraussetzungen eingerichtet und eine neue AWS verwaltete Microsoft AD-Gesamtstruktur konfiguriert. 

Wie in der folgenden Abbildung dargestellt, ist das Lab, das Sie anhand dieses Tutorials erstellen, die grundlegende Komponente für praktisches Lernen über AWS Managed Microsoft AD. Sie können später optionale Tutorials hinzufügen, um weitere praktische Erfahrungen zu sammeln. Diese Tutorialreihe ist ideal für alle Personen geeignet, die bei AWS Managed Microsoft AD einsteigen und eine Testumgebung zu Evaluierungszwecken benötigen. Für dieses Tutorial brauchen Sie ungefähr 1 Stunde.

![\[Diagramm mit den Schritten des Tutorials: 1 richten Sie Ihre Umgebung ein, 2 erstellen Sie Ihr AWS verwaltetes Microsoft AD, 3 stellen Sie ein Amazon EC2 bereit und 4 testen Sie das Lab.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)


**[Schritt 1: Richten Sie Ihre AWS Umgebung für AWS Managed Microsoft AD Active Directory ein](microsoftadbasestep1.md)**  
Nachdem Sie Ihre vorausgesetzten Aufgaben abgeschlossen haben, erstellen und konfigurieren Sie eine Amazon VPC in Ihrer EC2-Instance.

**[Schritt 2: Erstellen Sie Ihr AWS verwaltetes Microsoft AD Active Directory](microsoftadbasestep2.md)**  
In diesem Schritt richten Sie AWS Managed Microsoft AD AWS zum ersten Mal ein.

**[Schritt 3: Stellen Sie eine Amazon EC2 EC2-Instance bereit, um Ihr AWS verwaltetes Microsoft AD Active Directory zu verwalten](microsoftadbasestep3.md)**  
Hier durchlaufen Sie die verschiedenen Aufgaben nach der Bereitstellung, die für Client-Computer erforderlich sind, um eine Verbindung mit Ihrer neuen Domain herzustellen und ein neues Windows Server-System in EC2 einzurichten.

**[Schritt 4: Sicherstellen, dass die grundlegende Testumgebung funktional ist](microsoftadbasestep4.md)**  
Schließlich überprüfen Sie als Administrator, ob Sie sich von Ihrem Windows-Server-System in EC2 aus bei AWS Managed Microsoft AD anmelden und verbinden können. Nachdem Sie erfolgreich getestet haben, ob die Testumgebung funktional ist, können Sie weitere Module zu der Testumgebung hinzufügen.

# Voraussetzungen
<a name="microsoftadbaseprereq"></a>

Wenn Sie nur die UI-Schritte in diesem Tutorial nutzen wollen, um Ihre Testumgebung einzurichten, überspringen Sie diesen Abschnitt über die Voraussetzungen und fahren fort mit Schritt 1. Wenn Sie jedoch beabsichtigen, AWS CLI Befehle oder AWS Tools for Windows PowerShell Module zu verwenden, um Ihre Testlabumgebung zu erstellen, müssen Sie zunächst Folgendes konfigurieren:
+ **IAM-Benutzer mit dem Zugriffs- und geheimen Zugriffsschlüssel** — Ein IAM-Benutzer mit einem Zugriffsschlüssel ist erforderlich, wenn Sie die Module AWS CLI oder AWS Tools for Windows PowerShell verwenden möchten. Wenn Sie noch keinen Zugriffsschlüssel haben, lesen Sie bitte den Abschnitt [Erstellen, Ändern und Anzeigen von Zugriffsschlüsseln (AWS-Managementkonsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey).
+ **AWS Command Line Interface (optional)** — Laden Sie das herunter und [installieren Sie es AWS CLI unter Windows](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). Öffnen Sie nach der Installation die Eingabeaufforderung oder das PowerShell Fenster, und geben Sie dann Folgendes ein`aws configure`. Beachten Sie, dass Sie den Zugriffsschlüssels und den geheimen Schlüssel benötigen, um die Einrichtung abzuschließen. Weitere Informationen darüber finden Sie unter der ersten Voraussetzung für die Schritte. Die folgenden Informationen werden abgefragt:
  + AWS Zugriffsschlüssel-ID [Keine]: `AKIAIOSFODNN7EXAMPLE`
  + AWS geheimer Zugriffsschlüssel [Keine]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
  + Standardregionsname [Keiner]: `us-west-2`
  + Standardausgabeformat [Keines]: `json`
+ **AWS Tools for Windows PowerShell****(optional)** — Laden Sie die neueste Version von From herunter [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/), installieren Sie sie und führen Sie dann den folgenden Befehl AWS Tools for Windows PowerShell aus. Beachten Sie, dass Sie Ihren Zugriffsschlüssels und den geheimen Schlüssel benötigen, um die Einrichtung abzuschließen. Weitere Informationen darüber finden Sie unter der ersten Voraussetzung für die Schritte.

  `Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`

# Schritt 1: Richten Sie Ihre AWS Umgebung für AWS Managed Microsoft AD Active Directory ein
<a name="microsoftadbasestep1"></a>

Bevor Sie AWS Managed Microsoft AD in Ihrem AWS Testlabor erstellen können, müssen Sie zunächst Ihr Amazon EC2 EC2-Schlüsselpaar so einrichten, dass alle Anmeldedaten verschlüsselt werden.

## Erstellen eines Schlüsselpaares
<a name="createkeypair2"></a>

Wenn Sie bereits ein Schlüsselpaar haben, können Sie diesen Schritt überspringen. Weitere Informationen zu Amazon EC2 EC2-Schlüsselpaaren finden Sie unter [Schlüsselpaare erstellen](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).

**So erstellen Sie ein Schlüsselpaar**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich unter **Network & Security** **Key Pairs**, und wählen Sie dann **Create Key Pair**.

1. Geben Sie als **Schlüsselpaar-Name** **AWS-DS-KP** ein. Wählen Sie als **Schlüsselpaar-Dateiformat** die Option **pem** und dann **Erstellen** aus.

1. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Der Dateiname ist der Name, den Sie beim Erstellen Ihres Schlüsselpaars mit der Erweiterung `.pem` angegeben haben. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.
**Wichtig**  
Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern. Sie müssen den Namen für Ihr Schlüsselpaar beim Starten einer Instance angeben. Der entsprechende private Schlüssel muss jedes Mal angegeben werden, wenn Sie das Passwort für die Instance entschlüsseln.

## Zwei Amazon erstellen, konfigurieren und miteinander verbinden VPCs
<a name="createvpc"></a>

Wie in der folgenden Abbildung dargestellt, haben Sie bis zum Abschluss dieses mehrstufigen Prozesses zwei öffentliche VPCs, zwei öffentliche Subnetze pro VPC, ein Internet Gateway pro VPC und eine VPC-Peering-Verbindung zwischen den erstellt und konfiguriert. VPCs Aus Gründen der Einfachheit und der Kosten haben wir uns für öffentliche Netze VPCs und Subnetze entschieden. Für Produktions-Workloads empfehlen wir, private Workloads zu verwenden. VPCs Weitere Informationen zur Verbesserung der VPC-Sicherheit finden Sie unter [Sicherheit in Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html).

![\[Amazon VPC-Umgebung mit Subnetzen und Internet-Gateways zur Erstellung eines AWS verwalteten Microsoft AD Active Directory.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


Alle PowerShell Beispiele verwenden die AWS CLI VPC-Informationen von unten und sind in us-west-2 erstellt. Sie können jede [unterstützte Region](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) auswählen, in der Sie Ihre Umgebung erstellen möchten. Allgemeine Informationen finden Sie unter [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).

**Schritt 1: Erstellen Sie zwei VPCs**

In diesem Schritt müssen Sie zwei VPCs in demselben Konto mithilfe der in der folgenden Tabelle angegebenen Parameter erstellen. AWS Managed Microsoft AD unterstützt die Verwendung separater Konten mit dieser [Teilen Sie Ihr AWS verwaltetes Microsoft AD](ms_ad_directory_sharing.md) Funktion. Die erste VPC wird für AWS Managed Microsoft AD verwendet. Die zweite VPC wird für Ressourcen verwendet, die später in [Tutorial: Erstellen einer Vertrauensstellung von AWS Managed Microsoft AD zu einer selbstverwalteten Active Directory-Installation auf Amazon EC2](ms_ad_tutorial_test_lab_trust.md) verwendet werden können.


****  

|  Informationen zur verwalteten Active Directory-VPC  |  On-Premises-VPC-Informationen  | 
| --- | --- | 
|  Namenskürzel: AWS-DS- VPC01 IPv4 CIDR-Block: 10.0.0.0/16 IPv6 CIDR-Block: Kein CIDR-Block IPv6  Tenancy: Standard  |  Namenskürzel: AWS- - OnPrem VPC01 IPv4 CIDR-Block: 10.100.0.0/16 IPv6 CIDR-Block: Kein CIDR-Block IPv6  Tenancy: Standard  | 

Detaillierte Anweisungen finden Sie unter [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC).

**Schritt 2: Zwei Subnetzen pro VPC erstellen**

Nachdem Sie das erstellt haben, müssen VPCs Sie zwei Subnetze pro VPC mit den angegebenen Parametern in der folgenden Tabelle erstellen. In dieser Testumgebung wird jedes Subnetz ein /24 sein. Dadurch können bis zu 256 Adressen pro Subnetz vergeben werden. Jedes Subnetz muss sich in einem separaten AZ befinden. Die Unterbringung jedes Subnetzes in einem separaten in AZ ist eine der [Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).


****  

|  AWS-DS- Subnetzinformationen: VPC01   |  AWS- OnPrem - Subnetzinformationen VPC01   | 
| --- | --- | 
|  Namenskürzel: AWS-DS- -Subnet01 VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Availability Zone: us-west-2a IPv4 CIDR-Block: 10.0.0.0/24  |  Namenskürzel: - - -Subnet01 AWS OnPrem VPC01  VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2a IPv4 CIDR-Block: 10.100.0.0/24  | 
|  Namenskürzel: -DS- -Subnet02 AWS VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Availability Zone: us-west-2b IPv4 CIDR-Block: 10.0.1.0/24  |  Namenskürzel: - - -Subnet02 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2b IPv4 CIDR-Block: 10.100.1.0/24  | 

Detaillierte Anweisungen finden Sie unter [Erstellen eines Subnetzes in Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).

**Schritt 3: Erstellen Sie ein Internet Gateway und schließen Sie es an Ihr VPCs**

Da wir öffentliche VPCs verwenden, müssen Sie ein Internet-Gateway erstellen und an Ihre VPCs anhängen, indem Sie die in der folgenden Tabelle angegebenen Parameter verwenden. Damit können Sie sich mit Ihren EC2-Instances verbinden und diese verwalten.


****  

|  AWS-DS- VPC01 Internet-Gateway-Informationen  |  AWS- OnPrem - VPC01 Internet-Gateway-Informationen  | 
| --- | --- | 
|  Namenskürzel: AWS-DS- VPC01 -IGW VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01  |  Namenskürzel: - - AWS-IGW OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

Detaillierte Anweisungen finden Sie unter [Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).

**Schritt 4: Konfigurieren Sie eine VPC-Peering-Verbindung zwischen AWS-DS- VPC01 und - - AWS OnPrem VPC01**

Da Sie bereits VPCs zuvor zwei erstellt haben, müssen Sie sie mithilfe von VPC-Peering mithilfe der in der folgenden Tabelle angegebenen Parameter miteinander vernetzen. Es gibt zwar viele Möglichkeiten VPCs, Ihre zu verbinden, aber in diesem Tutorial wird VPC Peering verwendet. AWS [Managed Microsoft AD unterstützt viele Verbindungslösungen. VPCs Einige davon umfassen [VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) und VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html) 


****  

|  | 
| --- |
|  Namensschild für die Peering-Verbindung: AWS-DS- VPC01 & - - -Peer AWS OnPrem VPC01 VPC (Antragsteller): AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Konto: Mein Konto Region: Diese Region VPC (Akzeptierer): AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

Anweisungen zum Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto finden Sie unter [Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local).

**Schritt 5: Fügen Sie der Hauptroutentabelle jeder VPC zwei Routen hinzu**

Damit die in den vorherigen Schritten erstellten Internet-Gateways und die VPC-Peering-Verbindung funktionieren, müssen Sie die Haupt-Routing-Tabelle von beiden VPCs mithilfe der in der folgenden Tabelle angegebenen Parameter aktualisieren. Sie fügen zwei Routen hinzu: 0.0.0.0/0, die zu allen Zielen führt, die der Routing-Tabelle nicht explizit bekannt sind, und 10.0.0.0/16 oder 10.100.0.0/16, die zu jeder VPC über die oben eingerichtete VPC-Peering-Verbindung führen. 

Sie können ganz einfach die richtige Routentabelle für jede VPC finden, indem Sie nach dem VPC-Namensschild (AWS-DS- VPC01 oder AWS- -OnPrem) filtern. VPC01


****  

|  AWS-DS- Informationen zu Route 1 VPC01   |  AWS-DS- Informationen zur VPC01 Route 2  |  AWS- OnPrem - Informationen VPC01 zur Route 1  |  AWS- OnPrem - Informationen zur VPC01 Route 2  | 
| --- | --- | --- | --- | 
|  Ziel: 0.0.0.0/0 Ziel: igw-xxxxxxxxxxxxxxxxx AWS-DS- -IGW VPC01  |  Ziel: 10.100.0.0/16 Ziel: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01  |  Ziel: 0.0.0.0/0 Ziel: igw-xxxxxxxxxxxxx AWS-Onprem- VPC01  |  Ziel: 10.0.0.0/16 Ziel: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01  | 

Anweisungen zum Hinzufügen von Routen zu einer VPC-Routing-Tabelle finden Sie unter [Hinzufügen und Entfernen von Routen aus einer Routing-Tabelle](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes).

## Sicherheitsgruppen für Amazon EC2 EC2-Instances erstellen
<a name="createsecuritygroup"></a>

Standardmäßig erstellt AWS Managed Microsoft AD eine Sicherheitsgruppe, um den Verkehr zwischen seinen Domänencontrollern zu verwalten. In diesem Abschnitt müssen Sie 2 Sicherheitsgruppen erstellen (eine für jede VPC), die zur Verwaltung des Datenverkehrs innerhalb Ihrer VPC für Ihre EC2-Instances verwendet werden, wobei Sie die in den folgenden Tabellen angegebenen Parameter verwenden. Außerdem fügen Sie eine Regel hinzu, die eingehenden RDP (3389)-Datenverkehr aus jeder beliebigen Quelle und für alle aus der lokalen VPC eingehenden Verkehrstypen zulässt. Weitere Informationen finden Sie unter [Amazon-EC2-Sicherheitsgruppen für Windows-Instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html).


****  

|  AWS-DS- Informationen zur VPC01 Sicherheitsgruppe:  | 
| --- | 
|  Name der Sicherheitsgruppe: AWS DS Test Lab Security Group Beschreibung: AWS DS Test Lab Sicherheitsgruppe VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01  | 

**Sicherheitsgruppenregeln für eingehende Zugriffe für -DS- AWS VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Zielbereich  | TCP | 3389 | Meine IP | Remotedesktop | 
| Gesamter Datenverkehr | Alle | Alle | 10.0.0.0/16 | Gesamter lokaler VPC-Verkehr | 

**Regeln für ausgehende Sicherheitsgruppen für -DS- AWS VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Ziel | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Gesamter Datenverkehr | 


****  

| AWS- OnPrem - Informationen VPC01 zur Sicherheitsgruppe: | 
| --- | 
|  Name der Sicherheitsgruppe: AWS OnPrem Test Lab Security Group. Beschreibung: AWS OnPrem Test Lab Security Group. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

**Sicherheitsgruppenregeln für eingehenden Datenverkehr für - - AWS OnPrem VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Zielbereich  | TCP | 3389 | Meine IP | Remotedesktop | 
| Zielbereich  | TCP | 53 | 10.0.0.0/16 | DNS | 
| Zielbereich  | TCP  | 88 | 10.0.0.0/16 | Kerberos | 
| Zielbereich  | TCP  | 389 | 10.0.0.0/16 | LDAP | 
| Zielbereich  | TCP | 464 | 10.0.0.0/16 | Kerberos Passwort ändern/einrichten | 
| Zielbereich  | TCP | 445 | 10.0.0.0/16 | SMB/CIFS | 
| Zielbereich  | TCP | 135 | 10.0.0.0/16 | Replikation | 
| Zielbereich  | TCP | 636 | 10.0.0.0/16 | LDAP SSL | 
| Zielbereich  | TCP | 49152–65535 | 10.0.0.0/16 | RPC | 
| Zielbereich  | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC und LDAP GC SSL | 
| Benutzerdefinierte UDP-Regel  | UDP | 53 | 10.0.0.0/16 | DNS | 
| Benutzerdefinierte UDP-Regel  | UDP | 88 | 10.0.0.0/16 | Kerberos | 
| Benutzerdefinierte UDP-Regel  | UDP | 123 | 10.0.0.0/16 | Windows-Uhrzeit | 
| Benutzerdefinierte UDP-Regel  | UDP | 389 | 10.0.0.0/16 | LDAP | 
| Benutzerdefinierte UDP-Regel  | UDP | 464 | 10.0.0.0/16 | Kerberos Passwort ändern/einrichten | 
| Gesamter Datenverkehr | Alle | Alle | 10.100.0.0/16 | Gesamter lokaler VPC-Verkehr | 

**Regeln für ausgehende Sicherheitsgruppen für AWS- - OnPrem VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Ziel | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Gesamter Datenverkehr | 

Ausführliche Anweisungen zum Erstellen und Hinzufügen von Regeln zu Ihren Sicherheitsgruppen finden Sie unter [Mit Sicherheitsgruppen arbeiten](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups).

# Schritt 2: Erstellen Sie Ihr AWS verwaltetes Microsoft AD Active Directory
<a name="microsoftadbasestep2"></a>

Sie können Ihr Verzeichnis unter Verwendung von drei verschiedenen Methoden erstellen. Sie können das AWS-Managementkonsole Verfahren (für dieses Tutorial empfohlen) oder eines der AWS Tools for Windows PowerShell Verfahren AWS CLI oder verwenden, um Ihr Verzeichnis zu erstellen.

**Methode 1: So erstellen Sie Ihr AWS verwaltetes Microsoft AD-Verzeichnis (AWS-Managementkonsole)**

1. Wählen Sie im Navigationsbereich [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) den Eintrag **Verzeichnisse** und wählen Sie **Verzeichnis einrichten** aus.

1. Wählen Sie auf der Seite **Verzeichnistyp auswählen** die Option **AWS Managed Microsoft AD** aus und klicken Sie dann auf **Weiter**.

1. Geben Sie auf der Seite **Enter directory information (Verzeichnisinformationen eingeben)** die folgenden Informationen ejn und wählen Sie dann **Next (Weiter)** aus.
   + Wählen Sie in **Edition** entweder **Standard Edition** oder **Enterprise Edition** aus. Weitere Informationen zu Editionen finden Sie unter [AWS Directory Service für Microsoft Active Directory](what_is.md#microsoftad). 
   + Geben Sie in **Directory DNS name (DNS-Name des Verzeichnisses)** den Wert **corp.example.com** ein.
   + Geben Sie in **Directory NetBIOS name (Verzeichnis-NetBIOS-Name)** den Wert **corp** ein.
   + Geben Sie in **Destination (Ziel)** den Wert **AWS DS Managed** ein.
   + Geben Sie für **Admin password** das Passwort ein, das Sie für dieses Konto verwenden wollen, und wiederholen Sie die Passworteingabe in **Confirm password**. Dieses **Admin**-Konto wird automatisch erstellt, wenn das Verzeichnis erstellt wird. Das Passwort darf das Wort *admin* nicht beinhalten. Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und muss zwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:
     + Kleinbuchstaben (a – z)
     + Großbuchstaben (A – Z)
     + Zahlen (0 – 9)
     + Nicht-alphanumerische Zeichen (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

1. Geben Sie auf der Seite **Choose VPC and subnets (VPC und Subnetze wählen)** die folgenden Informationen an und wählen Sie dann **Next (Weiter)**.
   + Wählen Sie für **VPC** die Option, die mit **AWS-DS-** beginnt VPC01 und mit **(10.0.0.0/16**) endet.
   + Für **Subnetze** wählen Sie die öffentlichen Subnetze **10.0.0.0/24** and **10.0.1.0/24**.

1. Überprüfen Sie auf der Seite **Review & create (Überprüfen und erstellen)** die Verzeichnisinformationen und nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen Sie **Create directory (Verzeichnis erstellen)**. Das Erstellen des Verzeichnisses dauert 20 bis 40 Minuten. Sobald sie erstellt wurden, ändert sich der **Status** in **Active**.

**Methode 2: So erstellen Sie Ihr AWS verwaltetes Microsoft AD (PowerShell) (optional)**

1. Öffnen Sie PowerShell.

1. Geben Sie den folgenden Befehl ein: Stellen Sie sicher, dass Sie die in Schritt 4 des vorherigen AWS-Managementkonsole Verfahrens angegebenen Werte verwenden.

   ```
   New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

**Methode 3: So erstellen Sie Ihr AWS verwaltetes Microsoft AD (AWS CLI) (optional)**

1. Öffnen Sie das AWS CLI.

1. Geben Sie den folgenden Befehl ein: Stellen Sie sicher, dass Sie die in Schritt 4 des vorherigen AWS-Managementkonsole Verfahrens angegebenen Werte verwenden.

   ```
   aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

# Schritt 3: Stellen Sie eine Amazon EC2 EC2-Instance bereit, um Ihr AWS verwaltetes Microsoft AD Active Directory zu verwalten
<a name="microsoftadbasestep3"></a>

Für dieses Lab verwenden wir Amazon EC2 EC2-Instances mit öffentlichen IP-Adressen, um den Zugriff auf die Management-Instance von überall aus zu vereinfachen. In einer Produktionsumgebung können Sie Instances verwenden, die sich in einer privaten VPC befinden und auf die nur über ein VPN oder einen Direct Connect Link zugegriffen werden kann. Es ist nicht notwendig, dass die Instance über eine öffentliche IP-Adresse verfügt.

In diesem Abschnitt durchlaufen Sie die verschiedenen Aufgaben nach der Bereitstellung, die für Client-Computer erforderlich sind, um unter Verwendung des Windows Servers auf Ihrer neuen EC2-Instance eine Verbindung mit Ihrer neuen Domain herzustellen. Sie verwenden die Windows Server im nächsten Schritt, um sicherzustellen, dass die Testumgebung funktional ist.

## Optional: Erstellen Sie in AWS-DS- VPC01 einen DHCP-Optionssatz für Ihr Verzeichnis
<a name="createdhcpoptionsset"></a>

In diesem optionalen Verfahren richten Sie einen DHCP-Optionsbereich ein, sodass EC2-Instances in Ihrer VPC automatisch Ihr AWS verwaltetes Microsoft AD für die DNS-Auflösung verwenden. Weitere Informationen finden Sie unter [DHCP-Optionssets](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).

**So erstellen Sie eine DHCP-Optionsliste für Ihr Verzeichnis**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **DHCP Options Sets** und anschließend **Create DHCP Options Set** aus.

1. Geben Sie auf der Seite **Create DHCP options set (DHCP-Optionsliste erstellen)** die folgenden Werte für Ihr Verzeichnis ein:
   + Geben Sie bei **Name** **AWS DS DHCP** ein.
   + Geben Sie für **Domainname** **corp.example.com** ein.
   + Geben Sie für **Domainnamen-Server** die IP-Adressen der DNS-Server Ihres von AWS bereitgestellten Verzeichnisses ein. 
**Anmerkung**  
Um diese Adressen zu finden, rufen Sie die Seite Directory Service **Verzeichnisse auf** und wählen Sie dann die entsprechende Verzeichnis-ID aus. Identifizieren und verwenden Sie auf der Seite „**Details**“ IPs die in der **DNS-Adresse angezeigten Adressen**.  
Sie können diese Adressen auch finden, indem Sie die Directory Service -Seite **Verzeichnisse** aufrufen und die entsprechende Verzeichnis-ID auswählen. Wählen Sie dann **Skalieren und freigeben**. Identifizieren und verwenden Sie unter **Domänencontroller** IPs die, die unter **IP-Adresse** angezeigt werden.
   + Geben Sie nichts für die Einstellungen für **NTP servers**, **NetBIOS name servers** und **NetBIOS node type** an.

1. Wählen Sie **Create DHCP options set (DHCP-Optionsliste erstellen)** und anschließend **Close (Schließen)** aus. Die neue DHCP-Optionsliste wird in der Liste der DHCP-Optionen angezeigt.

1. Notieren Sie sich die ID des neuen Satzes von DHCP-Optionen (**dopt- *xxxxxxxx***). Sie brauchen sie zum Schluss dieses Verfahrens, wenn Sie die neue Optionsliste Ihrer VPC zuordnen.
**Anmerkung**  
Die nahtlose Domainverbindung funktioniert, ohne dass ein DHCP-Optionssatz konfiguriert werden muss. 

1. **Wählen Sie im Navigationsbereich Ihr aus. VPCs**

1. Wählen Sie in der Liste von VPCs **AWS DS VPC**, **Aktionen** und dann **DHCP-Optionssatz bearbeiten** aus.

1. Wählen Sie auf der Seite **Edit DHCP options set (DHCP-Optionsliste bearbeiten)** die Optionsliste aus, die Sie sich in Schritt 5 notiert haben, und wählen Sie dann **Save (Speichern)** aus.

## Erstellen Sie eine Rolle, um Windows-Instanzen mit Ihrer AWS verwalteten Microsoft AD-Domäne zu verbinden
<a name="configureec2"></a>

Gehen Sie wie folgt vor, um eine Rolle zu konfigurieren, die eine Amazon EC2 EC2-Windows-Instance mit einer Domain verbindet. Weitere Informationen finden Sie unter [Hinzufügen einer Amazon EC2 Windows-Instance zu Ihrem AWS verwalteten Microsoft AD Active Directory](launching_instance.md).

**So konfigurieren Sie EC2, um Windows-Instances mit Ihrer Domain zu verbinden**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.

1. Wählen Sie unter **Select type of trusted entity** (Typ der vertrauenswürdigen Entität auswählen) die Option **AWS -Service** aus.

1. Wählen Sie für **Choose the service that will use this role (Wählen Sie den Service aus, der diese Rolle verwendet)** die Option **EC2** und danach **Next: Permissions (Nächster Schritt: Berechtigungen)** aus.

1. Führen Sie auf der Seite **Attached permissions policy (Richtlinie für angefügte Berechtigungen)** die folgenden Schritte aus:
   + Wählen Sie das Kästchen neben der von **Amazon SSMManaged InstanceCore** verwalteten Richtlinie aus. Diese Richtlinie enthält die erforderlichen Mindestberechtigungen zum Verwenden des Systems-Managers-Dienstes.
   + Markieren Sie das Kästchen neben „Von **Amazon SSMDirectory ServiceAccess** verwaltete Richtlinie“. Die Richtlinie enthält die Berechtigungen zum Verbinden von Instances mit einem von Directory Service verwalteten Active Directory.

   Weitere Informationen zu diesen verwalteten Richtlinien und anderen Richtlinien zum Anfügen an ein IAM-Instance-Profil für Systems Manager finden Sie unter [Ein IAM-Instance-Profil für Systems Manager erstellen](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) im *AWS Systems Manager -Benutzerhandbuch*. Informationen über verwaltete Richtlinien finden Sie unter [AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

1. Wählen Sie **Next: Tags (Weiter: Tags (Markierungen))** aus.

1. (Optional) Fügen Sie ein oder mehrere Tag (Markierung)-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern, und wählen Sie dann **Next: Review** (Weiter: Prüfen) aus. 

1. Geben Sie **unter Rollenname** einen Namen für die Rolle ein, der beschreibt, dass sie verwendet wird, um Instances mit einer Domain zu verbinden, z. **EC2DomainJoin**B.

1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung ein.

1. Wählen Sie **Create role (Rolle erstellen)** aus. Das System leitet Sie zur Seite **Rollen** zurück.

## Erstellen Sie eine Amazon EC2 EC2-Instance und treten Sie dem Verzeichnis automatisch bei
<a name="deployec2instance"></a>

In diesem Verfahren richten Sie ein Windows Server-System in einer EC2-Instance ein, das später zur Verwaltung von Benutzern, Gruppen und Richtlinien in Active Directory verwendet werden kann. 

**So erstellen Sie eine EC2-Instance und verbinden automatisch das Verzeichnis**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie **Launch Instance** aus.

1. Wählen Sie auf der Seite **Schritt 1** neben **Microsoft Windows Server 2019 Base - ami** die *xxxxxxxxxxxxxxxxx* Option **Select aus**.

1. Wählen Sie auf der Seite **Schritt 2** den Eintrag **t3.micro** (beachten Sie, dass Sie einen größeren Instance-Typ wählen können) und wählen Sie dann **Weiter: Instance-Details konfigurieren** aus.

1. Führen Sie auf der Seite **Step 3** die folgenden Schritte aus:
   + Wählen Sie für **Network** die VPC aus, die mit **AWS-DS-** endet VPC01 (z. B. **vpc- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS-**). VPC01
   + Wählen Sie als **Subnetz Public Subnet** **1** aus, das für Ihre bevorzugte Availability Zone vorkonfiguriert sein sollte (z. B. **subnet** - \$1 -DS- -Subnetz01 \$1). *xxxxxxxxxxxxxxxxx* AWS VPC01 *us-west-2a* 
   + Wählen Sie für **Auto-assign Public IP** die Option **Enable** (falls die Subnetz-Einstellung nicht standardmäßig auf Enable gesetzt ist).
   + **Wählen Sie für **Domain Join Directory** die Option corp.example.com (d-) aus. *xxxxxxxxxx***
   + Wählen Sie für die **IAM-Rolle** den Namen aus, den Sie Ihrer Instance-Rolle gegeben haben, z. B. [Erstellen Sie eine Rolle, um Windows-Instanzen mit Ihrer AWS verwalteten Microsoft AD-Domäne zu verbinden](#configureec2) **EC2DomainJoin**
   + Übernehmen Sie für die anderen Einstellungen die Standardwerte.
   + Wählen Sie **Next: Add Storage** aus.

1. Behalten Sie auf der Seite **Step 4** die Standardeinstellungen bei und wählen Sie dann **Next: Add Tags**.

1. Wählen Sie auf der Seite **Step 5** die Option **Add Tag** aus. Geben Sie unter **Key** die Zeichenfolge **corp.example.com-mgmt** ein und wählen Sie dann **Next: Configure Security Group**.

1. Wählen Sie auf der Seite **Schritt 6** die Option **Bestehende Sicherheitsgruppe auswählen**, wählen Sie die **AWS -DS-Testumgebungs-Sicherheitsgruppe** (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createsecuritygroup) eingerichtet haben) und wählen Sie dann **Überprüfen und starten**, um Ihre Instance zu überprüfen.

1. Überprüfen Sie auf der Seite **Step 7** die Seite und wählen Sie dann **Launch**.

1. Erledigen Sie im Dialogfeld **Select an existing key pair or create a new key pair** Folgendes:
   + Wählen Sie **Vorhandenes Schlüsselpaar auswählen** aus.
   + Wählen Sie unter **Schlüsselpaar auswählen** die Option **AWS-DS-KP**.
   + Markieren Sie das Kontrollkästchen **I acknowledge...**.
   + Wählen Sie **Instances starten** aus.

1. Wählen Sie **Instances anzeigen** aus, um zur Amazon-EC2-Konsole zurückzukehren und den Status der Bereitstellung anzuzeigen.

## Die Active-Directory-Tools in Ihrer EC2-Instance installieren
<a name="installadtools"></a>

Sie haben die Wahl zwischen zwei Methoden zur Installation der Active Directory-Domain-Management-Tools für Ihre EC2-Instance. Sie können die Server Manager-Benutzeroberfläche (für dieses Tutorial empfohlen) oder PowerShell verwenden.

**So installieren Sie die Active-Directory-Tools in Ihrer EC2-Instance (Server Manager)**

1. Wählen Sie in der Amazon-EC2-Konsole die Option **Instances**, wählen Sie die zuvor erstellte Instance und wählen Sie dann **Verbinden**. 

1. Wählen **Sie im Dialogfeld Connect To Your Instance** die Option **Get Password** aus, um Ihr Passwort abzurufen, falls Sie das noch nicht getan haben, und wählen Sie dann **Remote Desktop-Datei herunterladen**. 

1. Geben Sie im Dialogfeld **Windows Security** Ihre lokalen Administrator-Anmeldeinformationen für den Windows Server-Computer ein, um sich anzumelden (z. B. **administrator**).

1. Wählen Sie im Menü **Start** die Option **Server Manager**.

1. Wählen Sie im **Dashboard** **Add Roles and Features**.

1. Wählen Sie im **Add Roles and Features Wizard** **Next**. 

1. Wählen Sie auf der Seite **Select installation type** die Option **Role-based or feature-based installation** und wählen Sie **Next**.

1. Stellen Sie sicher, dass auf der Seite **Select destination server** der lokale Server ausgewählt ist, und wählen Sie dann **Next**.

1. Wählen Sie auf der Seite **Select server roles** **Next**. 

1. Führen Sie auf der Seite **Select features** die folgenden Schritte aus:
   + Wählen Sie das Kontrollkästchen **Group Policy Management**.
   + Erweitern Sie **Remote Server Administration Tools** und erweitern Sie dann **Role Administration Tools**.
   + Wählen Sie das Kontrollkästchen **AD DS and AD LDS Tools**.
   + Wählen Sie das Kontrollkästchen **DNS Server Tools** .
   + Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Confirm installation selections** die Informationen und wählen Sie dann **Install**. Wenn die Installation des Features abgeschlossen ist, stehen die folgenden neuen Tools oder Snap-Ins über den Ordner Windows Administrative Tools im Start-Menü zur Verfügung. 
   + Active Directory Administrative Center
   + Active-Directory-Domain und -Vertrauensbeziehungen
   + Active Directory-Modul für PowerShell
   + Active Directory-Standorte und -Dienste
   + Active Directory-Benutzer und -Computer
   + ADSI bearbeiten
   + DNS
   + Gruppenrichtlinienverwaltung

**Um die Active Directory-Tools auf Ihrer EC2-Instance zu installieren (PowerShell) (optional)**

1. Starten PowerShell.

1. Geben Sie den folgenden Befehl ein: 

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```

# Schritt 4: Sicherstellen, dass die grundlegende Testumgebung funktional ist
<a name="microsoftadbasestep4"></a>

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die Testumgebung erfolgreich eingerichtet wurde, bevor Sie der Testumgebung weitere Module hinzufügen. Mit diesem Verfahren wird überprüft, ob Ihr Windows Server ordnungsgemäß konfiguriert ist, eine Verbindung zur Domäne corp.example.com herstellen kann und zur Verwaltung Ihrer AWS verwalteten Microsoft AD-Gesamtstruktur verwendet werden kann. 

**So stellen Sie sicher, dass die Testumgebung funktional ist**

1. Melden Sie sich von der EC2-Instance ab, bei der Sie als lokaler Administrator angemeldet waren. 

1. Wenn Sie wieder in der Amazon-EC2-Konsole sind, wählen Sie im Navigationsbereich **Instances** aus. Anschließend wählen Sie die Instance aus, die Sie erstellt haben. Wählen Sie **Connect** aus. 

1. Wählen Sie im Dialogfeld **Connect To Your Instance** **Download Remote Desktop File** aus. 

1. Geben Sie im Dialogfeld **Windows Security** Ihre Administrator-Anmeldeinformationen für die CORP-Domain ein, um sich anzumelden (z. B. **corp\$1admin**).

1. Sobald Sie angemeldet sind, wählen Sie im **Start**-Menü unter **Windows Administrative Tools** den Eintrag **Active Directory Users and Computers**. 

1. Sie sollten **corp.example.com** mit allen Standard OUs - und Konten, die mit einer neuen Domäne verknüpft sind, angezeigt werden. Beachten Sie unter **Domänencontroller** die Namen der Domänencontroller, die automatisch erstellt wurden, als Sie Ihr AWS verwaltetes Microsoft AD in Schritt 2 dieses Tutorials erstellt haben. 

Herzlichen Glückwunsch\$1 Ihre AWS verwaltete Microsoft AD-Basis-Testlabumgebung wurde jetzt konfiguriert. Sie können jetzt die nächsten Testumgebungen der Serie hinzufügen.

Nächstes Tutorial: [Tutorial: Erstellen einer Vertrauensstellung von AWS Managed Microsoft AD zu einer selbstverwalteten Active Directory-Installation auf Amazon EC2](ms_ad_tutorial_test_lab_trust.md)