Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Fase 3: Implementa un'istanza Amazon EC2 per gestire la tua AWS Managed Microsoft AD Active Directory
Per questo laboratorio, utilizziamo istanze Amazon EC2 con indirizzi IP pubblici per semplificare l'accesso all'istanza di gestione da qualsiasi luogo. In un ambiente di produzione, puoi utilizzare istanze che si trovano in un VPC privato accessibili solo tramite una VPN Direct Connect o un collegamento. Non è necessario che l'istanza abbia un indirizzo IP pubblico.
In questa sezione, procedi gradualmente nelle varie attività successive alla distribuzione, necessarie per i computer client per connettere il tuo dominio usando il Windows Server sulla tua nuova istanza EC2. Usa la Windows Server nella fase successiva per verificare che il lab sia operativo.
## Facoltativo: crea un set di opzioni DHCP in AWS-DS- per la tua directory VPC01
In questa procedura facoltativa, configuri un ambito di opzioni DHCP in modo che le istanze EC2 nel tuo VPC utilizzino automaticamente il tuo Managed AWS Microsoft AD per la risoluzione DNS. Per ulteriori informazioni, consulta la pagina relativa ai [Set di opzioni DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).
**Creazione di un set opzioni DHCP per la tua directory**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegliere **DHCP Options Sets (Set di opzioni DHCP)**, quindi selezionare **Create DHCP options set (Crea set di opzioni DHCP)**.
1. Nella pagina **Create DHCP options set** (Crea set opzioni DHCP), fornire i seguenti valori per la directory:
+ In **Name (Nome)** digitare **AWS DS DHCP**.
+ Per **Domain name (Nome dominio)**, digitare **corp.example.com**.
+ Per **Domain name servers (Server dei nomi di dominio)**, digita gli indirizzi IP dei server DNS della tua directory fornita da AWS .
**Nota**
Per trovare questi indirizzi, vai alla pagina Directory Service **Directory, quindi scegli l'ID di directory** applicabile. Nella pagina **Dettagli**, identifica e utilizza IPs quelli visualizzati nell'indirizzo **DNS**.
In alternativa, per trovare questi indirizzi, vai alla pagina **Directory** del Directory Service e scegli l'ID directory applicabile. Quindi, scegli **Dimensiona e condividi**. In **Controller di dominio**, identifica e utilizza IPs quelli visualizzati nell'**indirizzo IP**.
+ Lascia vuoto per le impostazioni **NTP servers** (Server NTP), **NetBIOS name servers** (Server dei nomi NetBIOS) e **NetBIOS node type** (Tipo di nodo NetBIOS).
1. Scegliere **Create DHCP options set (Crea set di opzioni DHCP)** e **Close (Chiudi)**. Il nuovo set di opzioni DHCP viene visualizzato nel tuo elenco delle opzioni DHCP.
1. Prendi nota dell'ID del nuovo set di opzioni DHCP (**dopt** -). *xxxxxxxx* Si utilizza al termine di questa procedura, quando si associa il nuovo set di opzioni al VPC.
**Nota**
L'aggiunta ai domini uniforme funziona senza dover configurare un set di opzioni DHCP.
1. **Nel riquadro di navigazione, scegli Your. VPCs**
1. Nell'elenco VPCs, seleziona **AWS DS VPC**, scegli **Azioni**, quindi scegli **Modifica set di opzioni DHCP**.
1. Nella pagina **Edit DHCP options set (Modifica set di opzioni DHCP)**, selezionare le opzioni registrate nella fase e scegliere**Save**.
## Crea un ruolo per aggiungere istanze Windows al tuo dominio Microsoft AD AWS gestito
Utilizza questa procedura per configurare un ruolo che unisce un'istanza Amazon EC2 Windows a un dominio. Per ulteriori informazioni, consulta [Unire un'istanza Windows di Amazon EC2 alla tua directory gestita di AWS Microsoft AD Active Directory](launching_instance.md).
**Configurazione di EC2 per aggiungere le istanze Windows al tuo dominio**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.
1. In **Select type of trusted entity** (Seleziona tipo di entità attendibile), scegli **AWS service** (Servizio).
1. Sotto l'opzione **Choose the service that will use this role (Scegli il servizio che utilizzerà questo ruolo)** scegli **EC2**, quindi **Next: Permissions (Successivo: Autorizzazioni)**.
1. Nella pagina **Attached permissions policy (Policy autorizzazioni collegate)**, eseguire quanto segue:
+ Seleziona la casella accanto alla politica SSMManaged InstanceCore gestita da **Amazon**. Questa policy fornisce le autorizzazioni minime necessarie per utilizzare il servizio Systems Manager.
+ Seleziona la casella accanto a **Amazon SSMDirectory ServiceAccess** managed policy. La policy fornisce le autorizzazioni per collegare le istanze a una Active Directory gestita da Directory Service.
Per informazioni su queste regole gestite e altre policy che puoi collegare a un profilo dell'istanza IAM per Systems Manager, consulta [Creazione di un profilo di istanza IAM per Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) nella *Guida per l'utente di AWS Systems Manager *. Per ulteriori informazioni sulle policy, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente IAM*.
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegliere **Next: Review (Successivo: Rivedi)**.
1. Per **Nome ruolo**, inserisci un nome per il ruolo che descrive che viene utilizzato per unire le istanze a un dominio, ad **EC2DomainJoin**esempio.
1. (Facoltativo) Per **Role Description (Descrizione ruolo)**, immetti una descrizione.
1. Scegliere **Create role** (Crea ruolo). Il sistema visualizza di nuovo la pagina **Ruoli**.
## Crea un'istanza Amazon EC2 e accedi automaticamente alla directory
In questa procedura configuri un sistema Windows Server in un'istanza EC2 che può essere utilizzato in seguito per amministrare utenti, gruppi e politiche in Active Directory.
**Creazione di un'istanza EC2 e aggiunta automatica della directory**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Scegliere **Launch Instance (Avvia istanza)**.
1. Nella pagina **Passaggio 1**, accanto a **Microsoft Windows Server 2019 Base, ami- *xxxxxxxxxxxxxxxxx*** scegli **Seleziona**.
1. Nella pagina **Fase 2**, seleziona **t3.micro** (nota, è possibile scegliere un tipo di istanza più grande) e quindi selezionare **Successivo: configura Dettagli istanza**.
1. Nella pagina **Step 3** (Fase 3), esegui le operazioni seguenti:
+ Per **Rete**, scegli il VPC che termina con **AWS-DS- VPC01** (ad esempio, **vpc- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS-**). VPC01
+ Per **Subnet** scegli **Public subnet 1**, che deve essere preconfigurata per la tua zona di disponibilità preferita (ad esempio, **subnet- \$1 -DS- -Subnet01** \$1). *xxxxxxxxxxxxxxxxx* AWS VPC01 *us-west-2a*
+ Per **Auto-assign Public IP** (Assegna automaticamente IP pubblico), scegli **Enable** (Abilita) (se l'impostazione della sottorete non è configurata per l'abilitazione come impostazione predefinita).
+ **Per la **directory di accesso al dominio, scegliete corp.example.com** (d-). *xxxxxxxxxx***
+ Per il **ruolo IAM** scegli il nome a cui hai assegnato il ruolo dell'istanza, ad esempio. [Crea un ruolo per aggiungere istanze Windows al tuo dominio Microsoft AD AWS gestito](#configureec2) **EC2DomainJoin**
+ Lascia le altre impostazioni ai valori predefiniti.
+ Scegli **Passaggio successivo: aggiunta dello storage**.
1. Nella pagina **Step 4** (Fase 4), mantieni le impostazioni predefinite, quindi scegli **Next: Add Tags** (Successivo: aggiungi tag).
1. Nella pagina **Step 5** (Fase 5), scegli **Add tag** (Aggiungi tag). In **Key (Chiave)** digita **corp.example.com-mgmt** quindi scegli **Next: Configure Security Group (Successivo: configura gruppo di sicurezza)**.
1. Nella pagina **Fase 6**, scegli **Seleziona un gruppo di sicurezza esistente**, seleziona **Gruppo di sicurezza AWS DS Test Lab** (che hai già configurato nel [tutorial di base](microsoftadbasestep1.md#createsecuritygroup)), quindi scegli **Analizza e avvia** per analizzare l'istanza.
1. Nella pagina **Step 7** (Fase 7), analizza la pagina, quindi scegli **Launch** (Avvia).
1. Nella finestra di dialogo **Select an existing key pair or create a new key pair** (Seleziona una coppia di chiavi esistente o crea una nuova coppia di chiavi) esegui le operazioni seguenti:
+ Scegli **Choose an existing key pair** (Scegli una coppia di chiavi esistente).
+ In **Seleziona una coppia di chiavi**, scegli **AWS-DS-KP**.
+ Seleziona la casella di controllo **I acknowledge...** (Acconsento...).
+ Scegliere **Launch Instances** (Avvia istanze).
1. Scegli **Visualizza istanze** per tornare alla console Amazon EC2 e visualizzare lo stato dell'implementazione.
## Installazione degli strumenti di Active Directory sull'istanza EC2
È possibile scegliere tra due metodi per installare gli strumenti di gestione del dominio di Active Directory sulla tua istanza EC2. Puoi utilizzare l'interfaccia utente di Server Manager (consigliata per questo tutorial) oPowerShell.
**Installazione degli strumenti di Active Directory sull'istanza EC2 (Server Manager)**
1. Nella console Amazon EC2, scegli **Istanze**, seleziona l'istanza appena creata, quindi scegli **Connetti**.
1. Nella finestra **di dialogo Connect To Your Instance**, scegli **Ottieni password** per recuperare la password se non l'hai già fatto, quindi scegli **Scarica il file del desktop remoto**.
1. Nella finestra di dialogo **Windows Security (Sicurezza di Windows)**, digita le credenziali dell'amministratore locale per il computer Windows Server per effettuare l'accesso (ad esempio, **administrator**).
1. Nel menu **Start** (Inizia), scegli **Server Manager**.
1. In **Dashboard** (Pannello di controllo), scegli **Add Roles and Features** (Aggiungi ruoli e funzionalità).
1. In **Add Roles and Features Wizard** (Procedura guidata aggiunta ruoli e funzionalità), scegli **Next** (Successivo).
1. Nella pagina **Select installation type** (Seleziona tipo di installazione), scegli **Role-based or feature-based installation** (Installazione basata su ruoli o su funzionalità), quindi scegli **Next** (Successivo).
1. Nella pagina **Select destination server** (Seleziona server di destinazione), assicurati che sia selezionato il server locale, quindi scegli **Next** (Successivo).
1. Nella pagina **Select server roles** (Seleziona ruoli server), scegli **Next** (Successivo).
1. Nella pagina **Select features** (Seleziona funzionalità), effettua le operazioni seguenti:
+ Seleziona la casella di **Group Policy Management** (Gestione di Group Policy).
+ Espandi **Remote Server Administration Tools** (Strumenti di amministrazione server remoti) e successivamente espandi **Role Administration Tools** (Strumenti amministrazione ruoli).
+ Seleziona la casella di controllo **AD DS and AD LDS Tools** (Strumenti AD DS e AD LDS).
+ Seleziona la casella di controllo **DNS Server Tools** (Strumenti del server DNS).
+ Scegli **Next (Successivo)**.
1. Nella pagina **Confirm installation selections** (Conferma selezioni di installazione), verifica l'informazione e quindi scegli **Install** (Installa). Quando la funzione di installazione è terminata, i seguenti nuovi strumenti o snap-in saranno disponibili nella cartella Strumenti di amministrazione di Windows nel menu Start.
+ Centro di amministrazione di Active Directory
+ Dominio Active Directory e Trust
+ Modulo Active Directory per PowerShell
+ Siti di Active Directory e servizi
+ Utenti Active Directory e computer
+ Modifica ADSI
+ DNS
+ Gestione di Group Policy
**Per installare gli strumenti di Active Directory sulla tua istanza EC2 (PowerShell) (opzionale)**
1. Avvia PowerShell.
1. Digita il seguente comando.
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```