

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Etapa 3: Implantar uma instância do Amazon EC2 para gerenciar seu AWS Microsoft AD Active Directory gerenciado
<a name="microsoftadbasestep3"></a>

Para este laboratório, usaremos instâncias do Amazon EC2 que têm endereços IP públicos a fim de facilitar o acesso da instância de gerenciamento de qualquer lugar. Em um cenário de produção, você pode usar instâncias em uma VPC privada que estão acessíveis somente por uma VPN ou pelo link do Direct Connect . Não é necessário que a instância tenha um endereço IP público.

Nesta seção você passará por diversas tarefas pós-implantação necessárias para que os computadores cliente se conectem ao seu domínio usando o Windows Server na nova instância do EC2. Você usará o Windows Server na próxima etapa para verificar se o laboratório está operacional.

## Opcional: crie um conjunto de opções de DHCP em AWS-DS- VPC01 para seu diretório
<a name="createdhcpoptionsset"></a>

Neste procedimento opcional, você configura um escopo de opção DHCP para que as instâncias do EC2 em sua VPC usem automaticamente seu AWS Microsoft AD gerenciado para resolução de DNS. Para obter mais informações, consulte [Conjuntos de opções de DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).

**Para criar um conjunto de opções de DHCP para o seu diretório**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, selecione **Conjuntos de opções DHCP** e, então, selecione **Criar conjuntos de opções DHCP**.

1. Na página **Create DHCP options set (Criar conjunto de opções DHCP)**, forneça os seguintes valores para o seu diretório:
   + Para **Name** (Nome), digite **AWS DS DHCP**.
   + Em **Domain name (Nome do domínio)**, digite **corp.example.com**.
   + Em **Servidores de nomes de domínio**, digite os endereços IP dos servidores DNS do diretório da AWS fornecido. 
**nota**  
Para encontrar esses endereços, acesse a página Directory Service **Diretórios** e escolha a ID do diretório aplicável. Na página **Detalhes**, identifique e use os IPs que são exibidos no **endereço DNS**.  
Opcionalmente, para encontrar esses endereços, acesse a página **Diretórios** do Directory Service e escolha o ID do diretório aplicável. Em seguida, escolha **Escalar e compartilhar**. Em **Controladores de domínio**, identifique e use os IPs que são exibidos no **endereço IP**.
   + Deixe em branco as configurações dos campos **Servidores NTP**, **Servidores de nomes NetBIOS** e **Tipo de nó NetBIOS**.

1. Selecione **Create DHCP options set (Criar conjunto de opções DHCP)** e selecione **Close (Fechar)**. O novo conjunto de opções de DHCP é exibido na sua lista de opções de DHCP.

1. Anote o ID do novo conjunto de opções de DHCP (**dopt- {{xxxxxxxx}}**). Você usará esse ID no final deste procedimento quando associar o novo conjunto de opções à sua VPC.
**nota**  
A associação direta a domínios funciona sem que seja necessário configurar um conjunto de opções de DHCP. 

1. No painel de navegação, escolha **Seu VPCs**.

1. Na lista de VPCs, selecione **AWS DS VPC**, escolha **Ações** e, em seguida, escolha **Editar conjunto de opções DHCP**.

1. Na página **Edit DHCP options set (Editar o conjunto de opções DHCP)**, selecione o conjunto de opções que você gravou na etapa 5 e selecione **Save (Salvar)**.

## Crie uma função para unir instâncias do Windows ao seu domínio AWS gerenciado do Microsoft AD
<a name="configureec2"></a>

Use este procedimento para configurar um perfil que associe uma instância do Amazon EC2 para Windows a um domínio. Para obter mais informações, consulte [Unindo uma instância Windows do Amazon EC2 ao seu AWS Microsoft AD Active Directory gerenciado](launching_instance.md).

**Para configurar o EC2 para ingressar instâncias do Windows em seu domínio**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.

1. Em **Select type of trusted entity (Selecionar o tipo de entidade confiável)**, escolha **AWS service (serviço)**.

1. Imediatamente em **Choose the service that will use this role (Escolher o serviço que usará essa função)**, selecione **EC2** e **Next: Permissions (Próximo: permissões)**.

1. Na página **Attached permissions policy (Política de permissões anexada)**, faça o seguinte:
   + Selecione a caixa ao lado da política SSMManaged InstanceCore gerenciada **da Amazon**. Essa política fornece as permissões mínimas necessárias para usar o serviço Systems Manager.
   + Selecione a caixa ao lado da política SSMDirectory ServiceAccess gerenciada da **Amazon**. A política fornece as permissões para ingressar instâncias em um Active Directory gerenciado pelo Directory Service.

   Para obter informações sobre essas políticas gerenciadas e outras políticas que podem ser anexadas a um perfil de instância do IAM para o Systems Manager, consulte [Criar um perfil de instância do IAM para o Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) no *Guia do usuário do AWS Systems Manager *. Para obter mais informações sobre políticas gerenciadas, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)no *Guia do usuário do IAM*.

1. Escolha **Next: Tags (Próximo: tags)**.

1. (Opcional) Adicione um ou mais pares de chave-valor de tag para organizar, rastrear ou controlar o acesso para esta função e selecione **Next: Review (Próximo: revisar)**. 

1. Em **Nome da função**, insira um nome para a função que descreva que ela é usada para unir instâncias a um domínio, como **EC2DomainJoin**.

1. (Opcional ) Em **Descrição da função**, insira uma descrição.

1. Selecione **Create role** (Criar função). O sistema faz com que você retorne para a página **Roles**.

## Criação de uma instância do Amazon EC2 e associação automática do diretório
<a name="deployec2instance"></a>

Neste procedimento você configurará um sistema do Windows Server em uma instância do EC2 que poderá ser usado posteriormente para administrar usuários, grupos e políticas no Active Directory. 

**Para criar uma instância do EC2 e ingressar automaticamente no diretório**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Escolha **Executar instância**.

1. Na página **Etapa 1**, ao lado de **Microsoft Windows Server 2019 Base - ami-**, {{xxxxxxxxxxxxxxxxx}} escolha **Selecionar**.

1. Na página **Step 2 (Etapa 2)**, selecione **t3.micro** (observe que você pode escolher um tipo de instância maior) e selecione **Next: Configure Instance Details (Próximo: configurar os detalhes da instância)**.

1. Na página **Etapa 3**, faça o seguinte:
   + Em **Rede**, escolha a VPC que termina com **AWS-DS- VPC01 (por exemplo, vpc- {{xxxxxxxxxxxxxxxxx}}** **\| AWS-DS-**). VPC01
   + Em **Sub-rede**, escolha **Sub-rede pública 1**, que deve ser pré-configurada para sua zona de disponibilidade preferida (por exemplo, **sub-rede- {{xxxxxxxxxxxxxxxxx}} \| AWS-DS- -Subnet01 \|**). VPC01 {{us-west-2a}} 
   + Em **Atribuir IP público automaticamente**, escolha **Habilitar** (se a configuração de sub-rede não estiver definida por padrão).
   + Em **Diretório de associação de domínio**, escolha **corp.example.com (**d-). {{xxxxxxxxxx}}
   + Para a **função do IAM**, escolha o nome em que você atribuiu à função da instância[Crie uma função para unir instâncias do Windows ao seu domínio AWS gerenciado do Microsoft AD](#configureec2), como **EC2DomainJoin**.
   + Deixe as demais configurações com os valores padrão.
   + Escolha **Next: Add Storage** (Próximo: adicionar armazenamento).

1. Na página **Etapa 4**, mantenha as configurações padrão e escolha **Próximo: adicionar tags**.

1. Na página **Etapa 5**, selecione **Adicionar tag**. Em **Chave**, digite **corp.example.com-mgmt** e escolha **Próximo: configurar grupo de segurança**.

1. Na página **Etapa 6**, escolha **Selecionar um grupo de segurança existente**, selecione **Grupo de segurança do laboratório de teste do AWS DS)** (que você configurou anteriormente no [Tutorial básico](microsoftadbasestep1.md#createsecuritygroup)) e escolha **Revisar e iniciar** para revisar a instância.

1. Na página **Etapa 7**, examine a página e escolha **Iniciar**.

1. Na caixa de diálogo **Selecionar um par de chaves existente ou criar um novo par de chaves**, faça o seguinte:
   + Escolha **Selecionar um par de chaves existente**.
   + Em **Selecionar um par de chaves**, escolha **AWS-DS-KP**.
   + Marque a caixa de seleção **Eu reconheço...**.
   + Selecione **Launch Instances**.

1. Escolha **Visualizar instâncias** para retornar ao console do Amazon EC2 e visualizar o status da implantação.

## Instalar as ferramentas do Active Directory na instância do EC2
<a name="installadtools"></a>

Há dois métodos para instalar as ferramentas de gerenciamento de domínio do Active Directory em sua instância do EC2. Você pode usar a interface de usuário do gerenciador de servidores (opção recomendada para este tutorial) ou o PowerShell.

**Para instalar as ferramentas do Active Directory na instância do EC2 (Gerenciador de servidores)**

1. No console do Amazon EC2, escolha **Instâncias**, selecione a instância que você acabou de criar e escolha **Conectar**. 

1. Na caixa de diálogo **Conectar-se à sua instância**, selecione **Obter senha** para recuperar sua senha, se ainda não tiver feito isso, e selecione **Fazer download do arquivo da Área de Trabalho Remota**. 

1. Na caixa de diálogo **Segurança do Windows**, digite suas credenciais de administrador local para o computador do Windows Server fazer login (por exemplo, **administrator**).

1. No menu **Iniciar**, escolha **Gerenciador de servidores**.

1. No **Painel**, escolha **Adicionar funções e recursos**.

1. No **Assistente de adição de funções e recursos**, selecione **Próximo**. 

1. Na página **Selecionar tipo de instalação**, escolha **Instalação baseada em função ou recurso** e **Próximo**.

1. Na página **Select destination server (Selecionar servidor de destino)**, verifique se o servidor local está selecionado e escolha **Next (Próximo)**.

1. Na página **Selecionar funções de servidor**, escolha **Próximo**. 

1. Na página **Selecionar recursos**, faça o seguinte:
   + Marque a caixa de seleção **Gerenciamento de políticas de grupo**.
   + Expanda **Ferramentas de administração de servidores remotos** e **Ferramentas de administração de funções**.
   + Marque a caixa de seleção **Ferramentas AD DS e AD LDS**.
   + Marque a caixa de seleção **Ferramentas do servidor DNS**.
   + Escolha **Próximo**.

1. Na página **Confirmar seleções de instalação**, reveja informações e escolha **Instalar**. Quando a instalação do recurso for concluída, as novas ferramentas ou snap-ins a seguir estarão disponíveis na pasta de ferramentas administrativas do Windows no menu Iniciar. 
   + Central Administrativa do Active Directory
   + Domínios e confianças do Ative Directory
   + Módulo Active Directory para PowerShell
   + Sites e serviços do Active Directory
   + Usuários e computadores do Active Directory
   + ADSI Edit
   + DNS
   + Gerenciamento de políticas de grupo

**Para instalar as ferramentas do Active Directory na instância do EC2 (PowerShell) (Opcional)**

1. Inicie PowerShell.

1. Digite o seguinte comando. 

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```