Etapa 3: implantar uma instância do Amazon EC2 para gerenciar o AWS Managed Microsoft AD Active Directory - AWS Directory Service
Opcional: criar um conjunto de opções de DHCP no AWS-DS-VPC01 para o diretórioCriar uma função para associar instâncias do Windows ao domínio do AWS Managed Microsoft ADCriação de uma instância do Amazon EC2 e associação automática do diretórioInstalar as ferramentas do Active Directory na instância do EC2

Etapa 3: implantar uma instância do Amazon EC2 para gerenciar o AWS Managed Microsoft AD Active Directory

Para este laboratório, usaremos instâncias do Amazon EC2 que têm endereços IP públicos a fim de facilitar o acesso da instância de gerenciamento de qualquer lugar. Em um cenário de produção, você pode usar instâncias em uma VPC privada que estão acessíveis somente por uma VPN ou pelo link do Direct Connect. Não é necessário que a instância tenha um endereço IP público.

Nesta seção você passará por diversas tarefas pós-implantação necessárias para que os computadores cliente se conectem ao seu domínio usando o Windows Server na nova instância do EC2. Você usará o Windows Server na próxima etapa para verificar se o laboratório está operacional.

Opcional: criar um conjunto de opções de DHCP no AWS-DS-VPC01 para o diretório

Nesse procedimento opcional, configure um escopo de opção de DHCP para que as instâncias do EC2 na VPC usem automaticamente o AWS Managed Microsoft AD para a resolução de DNS. Para obter mais informações, consulte Conjuntos de opções de DHCP.

Para criar um conjunto de opções de DHCP para o seu diretório

  1. Abra o console da Amazon VPC, em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Conjuntos de opções DHCP e, então, selecione Criar conjuntos de opções DHCP.

  3. Na página Create DHCP options set (Criar conjunto de opções DHCP), forneça os seguintes valores para o seu diretório:

    • Para Name (Nome), digite AWS DS DHCP.

    • Em Domain name (Nome do domínio), digite corp.example.com.

    • Em Servidores de nomes de domínio, digite os endereços IP dos servidores DNS do diretório da AWS fornecido.

      nota

      Para encontrar esses endereços, acesse a página Diretórios do Directory Service e escolha o ID do diretório aplicável. Na página Detalhes, identifique e use os IPs que são exibidos no Endereço de DNS.

      Opcionalmente, para encontrar esses endereços, acesse a página Diretórios do Directory Service e escolha o ID do diretório aplicável. Em seguida, escolha Escalar e compartilhar. Em Controladores de domínio, identifique e use os IPs que são exibidos em Endereço IP.

    • Deixe em branco as configurações dos campos Servidores NTP, Servidores de nomes NetBIOS e Tipo de nó NetBIOS.

  4. Selecione Create DHCP options set (Criar conjunto de opções DHCP) e selecione Close (Fechar). O novo conjunto de opções de DHCP é exibido na sua lista de opções de DHCP.

  5. Anote o ID do novo conjunto de opções de DHCP (dopt-xxxxxxxx). Você usará esse ID no final deste procedimento quando associar o novo conjunto de opções à sua VPC.

    nota

    A associação direta a domínios funciona sem que seja necessário configurar um conjunto de opções de DHCP.

  6. No painel de navegação, escolha Your VPCs (Suas VPCs).

  7. Na lista de VPCs, selecione AWS DS VPC, Ações e Editar conjunto de opções de DHCP.

  8. Na página Edit DHCP options set (Editar o conjunto de opções DHCP), selecione o conjunto de opções que você gravou na etapa 5 e selecione Save (Salvar).

Criar uma função para associar instâncias do Windows ao domínio do AWS Managed Microsoft AD

Use este procedimento para configurar um perfil que associe uma instância do Amazon EC2 para Windows a um domínio. Para obter mais informações, consulte Como associar uma instância do Amazon EC2 Windows ao AWS Managed Microsoft AD Active Directory.

Para configurar o EC2 para ingressar instâncias do Windows em seu domínio

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Perfis e, em seguida, Criar perfil.

  3. Em Select type of trusted entity (Selecionar o tipo de entidade confiável), escolha AWS service (serviço).

  4. Imediatamente em Choose the service that will use this role (Escolher o serviço que usará essa função), selecione EC2 e Next: Permissions (Próximo: permissões).

  5. Na página Attached permissions policy (Política de permissões anexada), faça o seguinte:

    • Selecione a caixa ao lado da política gerenciada AmazonSSMManagedInstanceCore. Essa política fornece as permissões mínimas necessárias para usar o serviço Systems Manager.

    • Selecione a caixa ao lado da política gerenciada AmazonSSMDirectoryServiceAccess. A política fornece as permissões para ingressar instâncias em um Active Directory gerenciado pelo Directory Service.

    Para obter informações sobre essas políticas gerenciadas e outras políticas que podem ser anexadas a um perfil de instância do IAM para o Systems Manager, consulte Criar um perfil de instância do IAM para o Systems Manager no Guia do usuário do AWS Systems Manager. Para obter mais informações sobre políticas gerenciadas, consulte Políticas gerenciadas pela AWSno Guia do usuário do IAM.

  6. Escolha Next: Tags (Próximo: tags).

  7. (Opcional) Adicione um ou mais pares de chave-valor de tag para organizar, rastrear ou controlar o acesso para esta função e selecione Next: Review (Próximo: revisar).

  8. Em Role name (Nome da função), insira um nome para a função descrevendo que ela é usada para ingressar instâncias em um domínio, como EC2DomainJoin.

  9. (Opcional ) Em Role description (Descrição da função), insira uma descrição.

  10. Selecione Create role (Criar função). O sistema faz com que você retorne para a página Roles.

Criação de uma instância do Amazon EC2 e associação automática do diretório

Neste procedimento você configurará um sistema do Windows Server em uma instância do EC2 que poderá ser usado posteriormente para administrar usuários, grupos e políticas no Active Directory.

Para criar uma instância do EC2 e ingressar automaticamente no diretório

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Escolha Executar instância.

  3. Na página Step 1 (Etapa 1), ao lado de Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx, selecione Select (Escolher).

  4. Na página Step 2 (Etapa 2), selecione t3.micro (observe que você pode escolher um tipo de instância maior) e selecione Next: Configure Instance Details (Próximo: configurar os detalhes da instância).

  5. Na página Etapa 3, faça o seguinte:

    • Em Rede, escolha a VPC que termina com AWS-DS-VPC01 (por exemplo, vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01).

    • Em Sub-rede, selecione Sub-rede pública 1, que deve estar pré-configurada para a sua zona de disponibilidade preferencial (por exemplo, subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a).

    • Em Atribuir IP público automaticamente, escolha Habilitar (se a configuração de sub-rede não estiver definida por padrão).

    • Em Diretório de ingresso em domínio, escolha corp.example.com (d-xxxxxxxxxx).

    • Em IAM role (Função do IAM), selecione o nome que você atribuiu à função da instância em Criar uma função para associar instâncias do Windows ao domínio do AWS Managed Microsoft AD, como EC2DomainJoin.

    • Deixe as demais configurações com os valores padrão.

    • Escolha Next: Add Storage (Próximo: adicionar armazenamento).

  6. Na página Etapa 4, mantenha as configurações padrão e escolha Próximo: adicionar tags.

  7. Na página Etapa 5, selecione Adicionar tag. Em Chave, digite corp.example.com-mgmt e escolha Próximo: configurar grupo de segurança.

  8. Na página Etapa 6, escolha Selecionar um grupo de segurança existente, selecione Grupo de segurança do laboratório de teste do AWS DS) (que você configurou anteriormente no Tutorial básico) e escolha Revisar e iniciar para revisar a instância.

  9. Na página Etapa 7, examine a página e escolha Iniciar.

  10. Na caixa de diálogo Selecionar um par de chaves existente ou criar um novo par de chaves, faça o seguinte:

    • Escolha Selecionar um par de chaves existente.

    • Em Selecionar um par de chaves, escolha AWS-DS-KP.

    • Marque a caixa de seleção Eu reconheço....

    • Selecione Launch Instances.

  11. Escolha Visualizar instâncias para retornar ao console do Amazon EC2 e visualizar o status da implantação.

Instalar as ferramentas do Active Directory na instância do EC2

Há dois métodos para instalar as ferramentas de gerenciamento de domínio do Active Directory em sua instância do EC2. Você pode usar a interface de usuário do gerenciador de servidores (opção recomendada para este tutorial) ou o PowerShell.

Para instalar as ferramentas do Active Directory na instância do EC2 (Gerenciador de servidores)

  1. No console do Amazon EC2, escolha Instâncias, selecione a instância que você acabou de criar e escolha Conectar.

  2. Na caixa de diálogo Conectar-se à sua instância, selecione Obter senha para recuperar sua senha, se ainda não tiver feito isso, e selecione Fazer download do arquivo da Área de Trabalho Remota.

  3. Na caixa de diálogo Segurança do Windows, digite suas credenciais de administrador local para o computador do Windows Server fazer login (por exemplo, administrator).

  4. No menu Iniciar, escolha Gerenciador de servidores.

  5. No Painel, escolha Adicionar funções e recursos.

  6. No Assistente de adição de funções e recursos, selecione Próximo.

  7. Na página Selecionar tipo de instalação, escolha Instalação baseada em função ou recurso e Próximo.

  8. Na página Select destination server (Selecionar servidor de destino), verifique se o servidor local está selecionado e escolha Next (Próximo).

  9. Na página Selecionar funções de servidor, escolha Próximo.

  10. Na página Selecionar recursos, faça o seguinte:

    • Marque a caixa de seleção Gerenciamento de políticas de grupo.

    • Expanda Ferramentas de administração de servidores remotos e Ferramentas de administração de funções.

    • Marque a caixa de seleção Ferramentas AD DS e AD LDS.

    • Marque a caixa de seleção Ferramentas do servidor DNS.

    • Escolha Próximo.

  11. Na página Confirmar seleções de instalação, reveja informações e escolha Instalar. Quando a instalação do recurso for concluída, as novas ferramentas ou snap-ins a seguir estarão disponíveis na pasta de ferramentas administrativas do Windows no menu Iniciar.

    • Central Administrativa do Active Directory

    • Domínios e confianças do Ative Directory

    • Módulo Active Directory para PowerShell

    • Sites e serviços do Active Directory

    • Usuários e computadores do Active Directory

    • ADSI Edit

    • DNS

    • Gerenciamento de políticas de grupo

Para instalar as ferramentas do Active Directory na instância do EC2 (PowerShell) (Opcional)

  1. Início PowerShell.

  2. Digite o seguinte comando. 

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server