Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Langkah 1: Siapkan AWS lingkungan Anda untuk Direktori Aktif Microsoft AD yang AWS Dikelola
Sebelum dapat membuat Microsoft AD AWS Terkelola di lab AWS pengujian, Anda harus terlebih dahulu menyiapkan key pair Amazon EC2 agar semua data login dienkripsi.
Membuat key pair
Jika Anda sudah memiliki key pair, Anda dapat melewati langkah ini. Untuk informasi selengkapnya tentang pasangan kunci Amazon EC2, lihat Membuat pasangan kunci.
Untuk membuat pasangan kunci
Masuk ke Konsol Manajemen AWS dan buka konsol Amazon EC2 di. https://console.aws.amazon.com/ec2/
-
Pada panel navigasi, di bawah Jaringan & Keamanan, pilih Key Pair, dan kemudian pilih Buat Key Pair.
-
Untuk Nama key pair, ketik
AWS-DS-KP. Untuk Format file key pair, pilih pem, lalu pilih Buat. -
File kunci privat tersebut akan secara otomatis diunduh oleh peramban Anda. Nama file adalah nama yang Anda tentukan ketika Anda membuat key pair Anda dengan ekstensi
.pem. Simpan file kunci privat di suatu tempat yang aman.penting
Ini adalah satu-satunya kesempatan bagi Anda untuk menyimpan file kunci pribadi. Anda harus menyediakan nama key pair Anda saat meluncurkan sebuah instans dan kunci pribadi yang terkait setiap kali Anda mendekripsi kata sandi untuk instans tersebut.
Buat, konfigurasikan, dan peer dua Amazon VPCs
Seperti yang ditunjukkan dalam ilustrasi berikut, pada saat Anda menyelesaikan proses multi-langkah ini, Anda akan membuat dan mengonfigurasi dua publik VPCs, dua subnet publik per VPC, satu Internet Gateway per VPC, dan satu koneksi VPC Peering antara. VPCs Kami memilih untuk menggunakan publik VPCs dan subnet untuk tujuan kesederhanaan dan biaya. Untuk beban kerja produksi, kami sarankan Anda menggunakan pribadi VPCs. Untuk informasi selengkapnya tentang meningkatkan keamanan VPC, lihat Keamanan dalam Amazon Virtual Private Cloud.
Semua AWS CLI dan PowerShell contoh menggunakan informasi VPC dari bawah dan dibangun di us-west-2. Anda dapat memilih Region yang didukung mana pun untuk membangun lingkungan Anda. Untuk informasi umum, lihat Apa yang Dimaksud dengan Amazon VPC?.
Langkah 1: Buat dua VPCs
Pada langkah ini, Anda perlu membuat dua VPCs di akun yang sama menggunakan parameter yang ditentukan dalam tabel berikut. AWS Microsoft AD yang dikelola mendukung penggunaan akun terpisah dengan Bagikan iklan Microsoft yang AWS Dikelola fitur tersebut. VPC pertama akan digunakan untuk AWS Microsoft AD yang Dikelola. VPC kedua akan digunakan untuk sumber daya yang dapat digunakan nanti di Tutorial: Membuat kepercayaan dari Microsoft AD yang AWS Dikelola ke instalasi Direktori Aktif yang dikelola sendiri di Amazon EC2.
|
Informasi VPC Direktori Aktif Terkelola |
Informasi VPC lokal |
|---|---|
|
Tag nama: AWS-DS- VPC01 IPv4 Blok CIDR: 10.0.0.0/16 IPv6 Blok CIDR: Tidak ada Blok IPv6 CIDR Penghunian: Default |
Tag nama: AWS- OnPrem - VPC01 IPv4 Blok CIDR: 10.100.0.0/16 IPv6 Blok CIDR: Tidak ada Blok IPv6 CIDR Penghunian: Default |
Untuk instruksi detail, lihat Membuat VPC.
Langkah 2: Buat dua subnet per VPC
Setelah Anda membuat, VPCs Anda perlu membuat dua subnet per VPC menggunakan parameter yang ditentukan dalam tabel berikut. Untuk laboratorium pengujian ini setiap subnet akan menjadi /24. Ini akan memungkinkan hingga 256 alamat yang dikeluarkan per subnet. Setiap subnet harus dalam AZ terpisah. Menempatkan setiap subnet secara terpisah di AZ adalah salah satu Prasyarat untuk membuat iklan Microsoft yang Dikelola AWS.
|
AWS-DS- Informasi VPC01 subnet: |
AWS- OnPrem - informasi VPC01 subnet |
|---|---|
|
Tag nama: AWS-DS- -Subnet01 VPC01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AWS VPC01 Availability Zone: us-west-2a IPv4 Blok CIDR: 10.0.0.0/24 |
Tag nama: AWS- OnPrem - VPC01 -Subnet01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2a IPv4 Blok CIDR: 10.100.0.0/24 |
|
Tag nama: AWS-DS- -Subnet02 VPC01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AWS VPC01 Availability Zone: us-west-2b IPv4 Blok CIDR: 10.0.1.0/24 |
Tag nama: AWS- OnPrem - VPC01 -Subnet02 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2b IPv4 Blok CIDR: 10.100.1.0/24 |
Untuk instruksi detail, lihat Membuat subnet dalam VPC Anda.
Langkah 3: Buat dan lampirkan Internet Gateway ke Anda VPCs
Karena kita menggunakan VPC publik Anda akan perlu untuk membuat dan melampirkan gateway Internet ke VPC Anda menggunakan parameter yang ditentukan dalam tabel berikut. Hal ini akan memungkinkan Anda untuk terhubung ke dan mengelola instans EC2 Anda.
|
AWS-DS- Informasi VPC01 Internet Gateway |
AWS- OnPrem - Informasi VPC01 Internet Gateway |
|---|---|
|
Tag nama: AWS-DS- -IGW VPC01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AWS VPC01 |
Tag nama: AWS- OnPrem - VPC01 -IGW VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Untuk instruksi detail, lihat Gateway internet.
Langkah 4: Konfigurasikan koneksi peering VPC antara AWS-DS- dan - - VPC01 AWS OnPrem VPC01
Karena Anda sudah membuat dua VPCs sebelumnya, Anda harus membuat jaringan mereka bersama-sama menggunakan VPC peering menggunakan parameter yang ditentukan dalam tabel berikut. Meskipun ada banyak cara untuk menghubungkan Anda VPCs, tutorial ini akan menggunakan VPC Peering. AWS Microsoft AD yang dikelola mendukung banyak solusi untuk menghubungkan Anda VPCs, beberapa di antaranya termasuk peering VPC, Transit Gateway, dan VPN.
|
Tag nama koneksi peering: AWS-DS- VPC01 &AWS- - OnPrem -Peer VPC01 VPC (Pemohon): vpc-xxxxxxxxxxxxxxxxxx -DS- AWS VPC01 Akun: Akun Saya Region: Region Ini VPC (Penerima): vpc-xxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
Untuk instruksi tentang cara membuat Koneksi Peering VPC dengan VPC lain dari dengan akun Anda, lihat Membuat koneksi peering VPC dengan VPC lain di akun Anda.
Langkah 5: Tambahkan dua rute ke setiap tabel rute utama VPC
Agar Internet Gateways dan VPC Peering Connection yang dibuat pada langkah-langkah sebelumnya berfungsi, Anda perlu memperbarui tabel rute utama keduanya VPCs menggunakan parameter yang ditentukan dalam tabel berikut. Anda akan menambahkan dua rute; 0.0.0.0/0 yang akan merutekan ke semua tujuan yang tidak diketahui secara eksplisit ke tabel rute dan 10.0.0.0/16 atau 10.100.0.0/16 yang akan merutekan ke setiap VPC melalui Koneksi Peering VPC yang dibangun di atas.
Anda dapat dengan mudah menemukan tabel rute yang benar untuk setiap VPC dengan memfilter pada tag nama VPC (AWS-DS- atau - -). VPC01 AWS OnPrem VPC01
|
AWS-DS- informasi VPC01 rute 1 |
AWS-DS- informasi VPC01 rute 2 |
AWS- OnPrem - Informasi VPC01 rute 1 |
AWS- OnPrem - Informasi VPC01 rute 2 |
|---|---|---|---|
|
Tujuan: 0.0.0.0/0 Target: igw-xxxxxxxxxxxxxxxxxxxxxxxxx -IGW AWS VPC01 |
Tujuan: 10.100.0.0/16 Target: pcx-xxxxxxxxxxxxxxxxxxxxxxxx AWS-ds-& - - -rekan VPC01 AWS OnPrem VPC01 |
Tujuan: 0.0.0.0/0 Target: igw-xxxxxxxxxxxxxxxxxxx -Onprem- AWS VPC01 |
Tujuan: 10.0.0.0/16 Target: pcx-xxxxxxxxxxxxxxxxxxxxxxxx AWS-ds-& - - -rekan VPC01 AWS OnPrem VPC01 |
Untuk instruksi tentang cara menambahkan rute ke tabel rute VPC, lihat Menambahkan dan menghapus rute dari tabel rute.
Membuat grup keamanan untuk instans Amazon EC2
Secara default, Microsoft AD yang AWS Dikelola membuat grup keamanan untuk mengelola lalu lintas di antara pengontrol domainnya. Pada bagian ini, Anda perlu membuat 2 grup keamanan (satu untuk setiap VPC) yang akan digunakan untuk mengelola lalu lintas dalam VPC Anda untuk instans EC2 Anda menggunakan parameter yang ditentukan dalam tabel berikut. Anda juga menambahkan aturan yang mengizinkan RDP (3389) masuk dari mana saja dan untuk semua jenis lalu lintas masuk dari VPC lokal. Untuk informasi selengkapnya, lihat Grup keamanan Amazon EC2 untuk instans Windows.
|
AWS-DS- Informasi kelompok VPC01 keamanan: |
|---|
|
Nama grup keamanan: AWS DS Test Lab Security Group Deskripsi: Grup Keamanan Lab Uji AWS DS VPC: vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AWS VPC01 |
Aturan Masuk Grup Keamanan untuk AWS-DS- VPC01
| Tipe | Protokol | Rentang port | Sumber | Jenis lalu lintas |
|---|---|---|---|---|
| Aturan TCP Kustom | TCP | 3389 | IP saya | Desktop Jarak Jauh |
| Semua Lalu Lintas | Semua | Semua | 10.0.0.0/16 | Semua lalu lintas VPC lokal |
Aturan Keluar Grup Keamanan untuk AWS-DS- VPC01
| Tipe | Protokol | Rentang Port | Destinasi | Jenis lalu lintas |
|---|---|---|---|---|
| Semua Lalu Lintas | Semua | Semua | 0.0.0.0/0 | Semua Lalu lintas |
| AWS- OnPrem - informasi kelompok VPC01 keamanan: |
|---|
|
Nama grup keamanan: Grup Keamanan Lab AWS OnPrem Uji. Deskripsi: Kelompok Keamanan Lab AWS OnPrem Uji. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Aturan Masuk Grup Keamanan untuk AWS- - OnPrem VPC01
| Tipe | Protokol | Rentang port | Sumber | Jenis lalu lintas |
|---|---|---|---|---|
| Aturan TCP Kustom | TCP | 3389 | IP saya | Desktop Jarak Jauh |
| Aturan TCP Kustom | TCP | 53 | 10.0.0.0/16 | DNS |
| Aturan TCP Kustom | TCP | 88 | 10.0.0.0/16 | Kerberos |
| Aturan TCP Kustom | TCP | 389 | 10.0.0.0/16 | LDAP |
| Aturan TCP Kustom | TCP | 464 | 10.0.0.0/16 | Kerberos mengubah / mengatur kata sandi |
| Aturan TCP Kustom | TCP | 445 | 10.0.0.0/16 | SMB / CIFS |
| Aturan TCP Kustom | TCP | 135 | 10.0.0.0/16 | Replikasi |
| Aturan TCP Kustom | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| Aturan TCP Kustom | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| Aturan TCP Kustom | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC & LDAP GC SSL |
| Aturan UDP Kustom | UDP | 53 | 10.0.0.0/16 | DNS |
| Aturan UDP Kustom | UDP | 88 | 10.0.0.0/16 | Kerberos |
| Aturan UDP Kustom | UDP | 123 | 10.0.0.0/16 | Waktu Windows |
| Aturan UDP Kustom | UDP | 389 | 10.0.0.0/16 | LDAP |
| Aturan UDP Kustom | UDP | 464 | 10.0.0.0/16 | Kerberos mengubah / mengatur kata sandi |
| Semua Lalu Lintas | Semua | Semua | 10.100.0.0/16 | Semua lalu lintas VPC lokal |
Aturan Keluar Grup Keamanan untuk AWS- - OnPrem VPC01
| Tipe | Protokol | Rentang Port | Destinasi | Jenis lalu lintas |
|---|---|---|---|---|
| Semua Lalu Lintas | Semua | Semua | 0.0.0.0/0 | Semua Lalu lintas |
Untuk intruksi detail tentang cara membuat dan menambahkan aturan ke grup keamanan Anda, lihat Cara menggunakan grup keamanan.
