本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 教程:在中设置基础 AWS 托管 Microsoft AD 测试实验室 AWS
本教程将教你如何设置 AWS 环境,为使用运行 Windows Server 2019 的新 Amazon EC2 实例安装全新 Microsoft AD AWS 托管做好准备。然后,它会教你使用典型的 Active Directory 管理工具从 EC2 Windows 实例 AWS 管理你的 Microsoft AD 托管环境。当你完成本教程时,你已经设置好了网络先决条件并配置了新的 AWS 托管 Microsoft AD 林。
如下图所示,您根据本教程创建的实验室是动手学习 AWS 托管 Microsoft AD 的基础组件。您可以在以后添加可选教程,以获得更多动手体验。本教程系列非常适合任意新接触 AWS Managed Microsoft AD 并需要测试实验室以进行评估的用户。完成本教程需要大约 1 个小时。
![\[显示教程步骤的示意图:1 设置您的环境,2 创建您的 AWS 托管 Microsoft AD,3 部署 Amazon EC2,以及 4 测试实验室。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)
**[步骤 1:为 AWS 托管 Microsoft AD Active Directory 设置 AWS 环境](microsoftadbasestep1.md)**
在完成先决任务之后,您可以在 EC2 实例中创建和配置 Amazon VPC。
**[第 2 步:创建你的 Microsoft AD AWS 托管活动目录](microsoftadbasestep2.md)**
在此步骤中,您首次在中 AWS 设置了 AWS 托管 Microsoft AD。
**[第 3 步:部署 Amazon EC2 实例来管理您的 AWS 托管微软 AD 活动目录](microsoftadbasestep3.md)**
在这里,您将演练将客户端计算机连接到新域以及在 EC2 中设置新 Windows Server 系统所需的各种部署后任务。
**[步骤 4:验证基本测试实验室正常工作](microsoftadbasestep4.md)**
最后,作为管理员,您将验证您可以从 EC2 中的 Windows Server 系统登录并连接到 AWS Managed Microsoft AD。在成功测试了实验室可以运行之后,您可以继续添加其他实验室指南模块。
# 先决条件
如果您计划仅使用本教程中的 UI 步骤创建测试实验室,则可以跳过先决条件部分并转到步骤 1。但是,如果您计划使用 AWS CLI 命令或 AWS Tools for Windows PowerShell 模块来创建测试实验室环境,则必须先配置以下内容:
+ **拥有访问密钥和私有访问密钥**的 IAM 用户 — 如果您要使用 AWS CLI 或 AWS Tools for Windows PowerShell 模块,则需要拥有访问密钥的 IAM 用户。如果您没有访问密钥,请参阅[创建、修改或删除您自己的访问密钥(AWS 管理控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
+ **AWS Command Line Interface (可选)**— [AWS CLI 在 Windows 上下载并安装](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html)。安装之后,打开命令提示符或者 PowerShell 窗口,然后键入 `aws configure`。请注意,您需要访问密钥和私有密钥以完成设置。有关如何完成此任务的步骤,请查看第一个先决条件。先决条件将提示以下内容:
+ AWS 访问密钥 ID [无]: `AKIAIOSFODNN7EXAMPLE`
+ AWS 秘密访问密钥 [无]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ 默认区域名称 [无]:`us-west-2`
+ 默认输出格式 [无]:`json`
+ **AWS Tools for Windows PowerShell****(可选)**-下载并安装最新版本的 f AWS Tools for Windows PowerShell [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/)rom,然后运行以下命令。请注意,您需要访问密钥和私有密钥以完成设置。有关如何完成此任务的步骤,请查看第一个先决条件。
`Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`
# 步骤 1:为 AWS 托管 Microsoft AD Active Directory 设置 AWS 环境
在 AWS 测试实验室中创建 AWS 托管 Microsoft AD 之前,您首先需要设置您的 Amazon EC2 密钥对,以便对所有登录数据进行加密。
## 创建密钥对
如果您已有已密钥对,可跳过本步骤。有关 Amazon EC2 密钥对的更多信息,请参阅[创建密钥对](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html)。
**创建密钥对**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 在导航窗格中的 **Network & Security** 下,选择 **Key Pairs**,然后选择 **Create Key Pair**。
1. 对于 **Key pair name (密钥对名称)**,键入 **AWS-DS-KP**。对于 **Key pair file format (密钥对文件格式)**,选择 **pem**,然后选择 **Create (创建)**。
1. 您的浏览器会自动下载私有密钥文件。该文件名是您在创建密钥对时指定的名称,扩展名为 `.pem`。将私有密钥文件保存在安全位置。
**重要**
这是您保存私有密钥文件的唯一机会。当您启动实例时,需要提供密钥对的名称;当您解密实例密码时,需要提供相应的私有密钥。
## 创建、配置和对等两个 Amazon VPCs
如下图所示,当你完成这个多步骤的过程时,你已经创建并配置了两个公有子网,每个 VPC 两个公有子网 VPCs,每个 VPC 一个 Internet Gateway,以及两者之间的一个 VPC 对等连接。 VPCs出于简单性和成本考 VPCs 虑,我们选择使用公网和子网。对于生产工作负载,我们建议您使用私有模式 VPCs。有关提高 VPC 安全性的更多信息,请参阅 [Amazon Virtual Private Cloud 中的安全性](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)。
![\[带有子网和互联网网关的 Amazon VPC 环境,用于创建 AWS 托管的 Microsoft AD 活动目录。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
所有 AWS CLI 和 PowerShell 示例都使用下面的 VPC 信息,并且是在 us-west-2 中内置的。您可以选择任何[受支持的区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)来构建环境。有关一般信息,请参阅 [Amazon VPC 是什么?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。
**步骤 1:创建两个 VPCs**
在此步骤中,您需要使用下表 VPCs 中的指定参数在同一个账户中创建两个。 AWS 托管 Microsoft AD 支持使用具有该[分享你的 Microsoft AWS 托管广告](ms_ad_directory_sharing.md)功能的单独帐户。第一个 VPC 将用于 AWS 托管 Microsoft AD。第二个 VPC 将用于以后可能在 [教程:创建从 AWS 托管 Microsoft AD 到亚马逊 EC2 上自行管理的 Active Directory 安装的信任](ms_ad_tutorial_test_lab_trust.md)中使用的资源。
****
| Managed Active Directory VPC 信息 | 本地 VPC 信息 |
| --- | --- |
| 姓名标签: AWS-DS-VPC01 IPv4 CIDR 区块:10.0.0.0/16 IPv6 CIDR 块:没有 IPv6 CIDR 块 租赁:默认 | 姓名标签: AWS-OnPrem-VPC01 IPv4 CIDR 区块:10.100.0.0/16 IPv6 CIDR 块:没有 IPv6 CIDR 块 租赁:默认 |
有关详细说明,请参阅[创建 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)。
**步骤 2:每个 VPC 创建两个子网**
创建完成后, VPCs 您需要使用下表中的指定参数为每个 VPC 创建两个子网。对于本测试实验室,每个子网将是 /24。这将允许每个子网最多发出 256 个地址。每个子网必须位于单独的可用区中。将每个子网单独放在可用区中是 [创建 AWS 托管 Microsoft AD 的先决条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)之一。
****
| AWS-DS-VPC01 子网信息: | AWS-OnPrem-VPC01 子网信息 |
| --- | --- |
| 名称标签: AWS-DS--VPC01 Subnet01 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxx-D AWS S-VPC01 可用区:us-west-2a IPv4 CIDR 区块:10.0.0.0/24 | 姓名标签: AWS-OnPrem-VPC01-Subnet01 VPC:vpc-xxxxxxxxxxxxxxxxx- AWS OnPrem VPC01 可用区:us-west-2a IPv4 CIDR 区块:10.100.0.0/24 |
| 姓名标签: AWS-DS--VPC01 Subnet02 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxx-D AWS S-VPC01 可用区:us-west-2b IPv4 CIDR 区块:10.0.1.0/24 | 姓名标签: AWS-OnPrem-VPC01-Subnet02 VPC:vpc-xxxxxxxxxxxxxxxxx- AWS OnPrem VPC01 可用区:us-west-2b IPv4 CIDR 区块:10.100.1.0/24 |
有关详细说明,请参阅[在 VPC 中创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)。
**第 3 步:创建一个 Internet Gateway 并将其连接到你的 VPCs**
由于我们使用的是公有 VPC,因此需要使用下表中的指定参数创建 Internet 网关并将其连接到 VPC。这将允许您连接和管理您的 EC2 实例。
****
| AWS-DS-VPC01 Internet Gateway 信息 | AWS-OnPrem-VPC01 Internet Gateway 信息 |
| --- | --- |
| 姓名标签: AWS-DS--IGW VPC01 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxx-D AWS S-VPC01 | 姓名标签: AWS-OnPrem-VPC01-IGW VPC:vpc-xxxxxxxxxxxxxxxxx- AWS OnPrem VPC01 |
有关详细说明,请参阅 [Internet 网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)。
**步骤 4:在 AWS-DS-和-之间配置 VPC 对VPC01等 AWS连接 OnPrem VPC01**
由于您 VPCs 之前已经创建了两个,因此您需要使用下表中的指定参数使用 VPC 对等互连将它们联网在一起。虽然您可以通过多种方式进行连接 VPCs,但本教程将使用 VPC 对等连接。 AWS 托管 Microsoft AD 支持多种解决方案来连接你 VPCs,其中一些包括 [VPC 对等互连](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)、T [ransit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 和 [VPN](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)。
****
| |
| --- |
| 对等连接名称标签: AWS-DS-VPC01 &AWS--OnPrem-Peer VPC01 VPC(请求者):vpc AWS-xxxxxxxxxxxxxxxxxxxxx-DS-VPC01 账户:我的账户 区域:此区域 VPC(Accepter):vpc AWS-xxxxxxxxxxxxxxxxxxxxxxx-OnPrem VPC01 |
有关如何在您账户中的两个 VPC 之间创建 VPC 对等连接的说明,请参阅[在您账户中的两个 VPC 之间创建 VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local)。
**步骤 5:向每个 VPC 的主路由表添加两条路由**
为了使在前面步骤中创建的 Internet Gateways 和 VPC 对等连接正常运行,您需要 VPCs 使用下表中的指定参数更新两者的主路由表。您将添加两条路由:0.0.0.0/0(它将路由到路由表未明确知道的所有目的地)和 10.0.0.0/16 或 10.100.0.0/16(它将通过上面建立的 VPC 对等连接路由到每个 VPC)。
您可以通过 VPC 名称标签(AWS-DS-VPC01 或 AWS-OnPrem-VPC01)进行筛选,轻松找到每个 VPC 的正确路由表。
****
| AWS-DS-VPC01 路线 1 信息 | AWS-DS-VPC01 路线 2 信息 | AWS-OnPrem-VPC01 路线 1 信息 | AWS-OnPrem-VPC01 路线 2 信息 |
| --- | --- | --- | --- |
| 目的地:0.0.0.0/0 目标:igw-xxxxxxxxxxxxxxxxxxxxxxx- AWS DS-IGW VPC01 | 目的地:10.100.0.0/16 目标:pcx-xxxxxxxxxxxxxxxxxxxxxxx AWS-DS-&--Peer VPC01 AWS OnPrem VPC01 | 目的地:0.0.0.0/0 目标:igw-xxxxxxxxxxxxxxxxxxxxxx- AWS Onprem-VPC01 | 目的地:10.0.0.0/16 目标:pcx-xxxxxxxxxxxxxxxxxxxxxxx AWS-DS-&--Peer VPC01 AWS OnPrem VPC01 |
有关如何向 VPC 路由表添加路由的说明,请参阅[从路由表添加和删除路由](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)。
## 为 Amazon EC2 实例创建安全组
默认情况下, AWS 托管 Microsoft AD 会创建一个安全组来管理其域控制器之间的流量。在本节中,您需要创建 2 个安全组(每个 VPC 一个),它们用于使用下表中的指定参数管理 EC2 实例的 VPC 内流量。您还需要添加规则,允许从任意位置的 RDP (3389) 入站,以及来自本地 VPC 的所有流量类型入站。有关更多信息,请参阅[适用于 Windows 实例的 Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html)。
****
| AWS-DS-VPC01 安全组信息: |
| --- |
| 安全组名称: AWS DS 测试实验室安全组 描述: AWS DS 测试实验室安全组 VPC:vpc-xxxxxxxxxxxxxxxxxxxxxx-D AWS S-VPC01 |
** AWS-DS-的安全组入站规则 VPC01**
****
| Type | 协议 | 端口范围 | 来源 | 流量的类型 |
| --- | --- | --- | --- | --- |
| 自定义 TCP 规则 | TCP | 3389 | 我的 IP | 远程桌面 |
| 所有流量 | All | 全部 | 10.0.0.0/16 | 所有本地 VPC 流量 |
** AWS-DS-的安全组出站规则 VPC01**
****
| Type | 协议 | 端口范围 | 目标位置 | 流量的类型 |
| --- | --- | --- | --- | --- |
| 所有流量 | All | 全部 | 0.0.0.0/0 | 所有流量 |
****
| AWS-OnPrem-VPC01 安全组信息: |
| --- |
| 安全组名称: AWS OnPrem 测试实验室安全组。 描述: AWS OnPrem 测试实验室安全组。 VPC:vpc-xxxxxxxxxxxxxxxxx- AWS OnPrem VPC01 |
** AWS-OnPrem-的安全组入站规则 VPC01**
****
| Type | 协议 | 端口范围 | 来源 | 流量的类型 |
| --- | --- | --- | --- | --- |
| 自定义 TCP 规则 | TCP | 3389 | 我的 IP | 远程桌面 |
| 自定义 TCP 规则 | TCP | 53 | 10.0.0.0/16 | DNS |
| 自定义 TCP 规则 | TCP | 88 | 10.0.0.0/16 | Kerberos |
| 自定义 TCP 规则 | TCP | 389 | 10.0.0.0/16 | LDAP |
| 自定义 TCP 规则 | TCP | 464 | 10.0.0.0/16 | Kerberos 更改/设置密码 |
| 自定义 TCP 规则 | TCP | 445 | 10.0.0.0/16 | SMB / CIFS |
| 自定义 TCP 规则 | TCP | 135 | 10.0.0.0/16 | 复制 |
| 自定义 TCP 规则 | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| 自定义 TCP 规则 | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| 自定义 TCP 规则 | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC 和 LDAP GC SSL |
| 自定义 UDP 规则 | UDP | 53 | 10.0.0.0/16 | DNS |
| 自定义 UDP 规则 | UDP | 88 | 10.0.0.0/16 | Kerberos |
| 自定义 UDP 规则 | UDP | 123 | 10.0.0.0/16 | Windows 时间 |
| 自定义 UDP 规则 | UDP | 389 | 10.0.0.0/16 | LDAP |
| 自定义 UDP 规则 | UDP | 464 | 10.0.0.0/16 | Kerberos 更改/设置密码 |
| 所有流量 | All | 全部 | 10.100.0.0/16 | 所有本地 VPC 流量 |
** AWS-OnPrem-的安全组出站规则 VPC01**
****
| Type | 协议 | 端口范围 | 目标位置 | 流量的类型 |
| --- | --- | --- | --- | --- |
| 所有流量 | All | 全部 | 0.0.0.0/0 | 所有流量 |
有关如何创建规则并将规则添加到安全组的详细说明,请参阅[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
# 第 2 步:创建你的 Microsoft AD AWS 托管活动目录
您可以使用三种不同的方法来创建目录。您可以使用该 AWS 管理控制台 过程(建议在本教程中使用),也可以使用 AWS CLI 或 AWS Tools for Windows PowerShell 过程来创建您的目录。
**方法 1:创建你的 Microsoft AD AWS 托管目录 (AWS 管理控制台)**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**,然后选择**设置目录**。
1. 在**选择目录类型**页面上,选择 **AWS Managed Microsoft AD**,然后选择**下一步**。
1. 在 **Enter directory information (输入目录信息)** 页面上,提供以下信息,然后选择 **Next (下一步)**。
+ 对于 **Edition (版本)**,选择 **Standard Edition (标准版)** 或 **Enterprise Edition (企业版)**。有关版本的更多信息,请参阅 [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)。
+ 对于 **Directory DNS name (目录 DNS 名称)**,键入 **corp.example.com**。
+ 对于 **Directory NetBIOS name (目录 NetBIOS 名称)**,键入 **corp**。
+ 对于 **Directory description (目录描述)**,键入 **AWS DS Managed**。
+ 对于 **Admin password**,键入您要用于此账户的密码,并在 **Confirm password** 中再次键入密码。此 **Admin** 账户在目录创建过程中自动创建。密码不能包含单词 *admin*。目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:
+ 小写字母 (a-z)
+ 大写字母 (A-Z)
+ 数字 (0-9)
+ 非字母数字字符 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
1. 在 **Choose VPC and subnets (选择 VPC 和子网)** 页面上,提供以下信息,然后选择 **Next (下一步)**。
+ 对于 **VPC**,请选择以 **AWS-DS-** 开头VPC01并以 **(10.0.0.0** /16) 结尾的选项。
+ 对于 **Subnets (子网)**,选择 **10.0.0.0/24** 和 **10.0.1.0/24** 公有子网。
1. 在 **Review & create (检查并创建)** 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 **Create directory (创建目录)**。创建目录需要 20 到 40 分钟。创建后,**Status** 值将更改为 **Active**。
**方法 2:创建你的 Microsoft AWS 托管 AD (PowerShell)(可选)**
1. 打开 PowerShell。
1. 键入以下命令。请务必使用前述 AWS 管理控制台 过程的步骤 4 中提供的值。
```
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
```
**方法 3:创建你的 Microsoft AWS 托管 AD (AWS CLI)(可选)**
1. 打开 AWS CLI.
1. 键入以下命令。请务必使用前述 AWS 管理控制台 过程的步骤 4 中提供的值。
```
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
```
# 第 3 步:部署 Amazon EC2 实例来管理您的 AWS 托管微软 AD 活动目录
对于本实验室,我们将使用具有公有 IP 地址的 Amazon EC2 实例,使其易于从任意位置访问管理实例。在生产设置中,您可以使用私有 VPC 中的实例,这些实例只能通过 VPN 或 Direct Connect 链接访问。对于实例是否具有公有 IP 地址没有要求。
在此部分中,您将演练在新 EC2 实例上,使用 Windows Server 将客户端计算机连接到域所需的各种部署后任务。在下一步中,您将使用 Windows Server 来验证实验室正常运行。
## 可选:为目录创建-D AWS S-VPC01 中设置的 DHCP 选项
在此可选步骤中,您将设置 DHCP 选项范围,以便您的 VPC 中的 EC2 实例自动使用您的 AWS 托管 Microsoft AD 进行 DNS 解析。有关更多信息,请参阅[ DHCP 选项集](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)。
**为目录创建 DHCP 选项集**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **DHCP Options Sets**,然后选择 **Create DHCP options set**。
1. 在**创建 DHCP 选项集**页面上,提供目录的以下值:
+ 对于**名称**,键入 **AWS DS DHCP**。
+ 对于 **Domain name (域名)**,键入 **corp.example.com**。
+ 对于 **Domain name servers (域名服务器)**,键入 AWS 所提供目录的 DNS 服务器的 IP 地址。
**注意**
要查找这些地址,请转到 Directory Service **目录**页面,然后选择适用的目录 ID。在 “**详细信息**” 页面上,识别并使用 **DNS 地址**中显示的。 IPs
或者,要查找这些地址,请转到 Directory Service **目录**页面,然后选择适用的目录 ID。然后,选择**扩展和共享**。在 “**域控制器**” 下 IPs ,识别并使用 **IP 地址**中显示的。
+ 将 **NTP servers**、**NetBIOS name servers** 和 **NetBIOS node type** 的设置留空。
1. 选择**创建 DHCP 选项集**,然后选择**关闭**。新的 DHCP 选项集会出现在您的 DHCP 选项列表中。
1. 记下新的 DHCP 选项集的 ID (**dopt-*xxxxxxxx***)。在此过程的末尾,您将新选项集与 VPC 关联时使用此项。
**注意**
无缝域加入发挥作用,而无需配置 DHCP 选项集。
1. 在导航窗格中,选择**您的 VPCs**。
1. 在列表中 VPCs,选择 **AWS DS VPC**,选择**操作**,然后选择**编辑 DHCP 选项集**。
1. 在**编辑 DHCP 选项集**页面上,选择您在步骤 5 中记录的选项集,然后选择**保存**。
## 创建角色以将 Windows 实例加入你的 AWS 托管微软 AD 域
使用此过程可配置将 Amazon EC2 Windows 实例加入域中的角色。有关更多信息,请参阅 [将 Amazon EC2 Windows 实例加入您的 AWS 托管微软 AD 活动目录](launching_instance.md)。
**配置 EC2 以将 Windows 实例加入域中**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在 IAM 控制台的导航窗格中,选择**角色**,然后选择**创建角色**。
1. 在 **选择受信任实体的类型** 下,选择 **AWS 服务**。
1. 在紧靠**选择将使用此角色的服务**下面,选择 **EC2**,然后选择**下一步: 权限**。
1. 在**附加的权限策略**页面上,执行以下操作:
+ 选中 **Amazon SSMManaged InstanceCore** 托管政策旁边的复选框。此策略提供了使用 Systems Manager 服务所需的最低权限。
+ 选中 **Amazon SSMDirectory ServiceAccess** 托管政策旁边的复选框。该策略提供了将实例加入由 Directory Service托管的 Active Directory 的权限。
有关可以为 Systems Manager 附加的此类托管和其他策略的信息,请参阅《AWS Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。有关托管策略的更多信息,请参阅《IAM 用户指南**》中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
1. 选择**下一步:标签**。
1. (可选)添加一个或多个标签键值对以组织、跟踪或控制该角色的访问,然后选择**下一步: 审核**。
1. **在角色名称**中,输入角色的名称,描述该角色用于将实例加入域,例如**EC2DomainJoin**。
1. (可选)对于**角色描述**,请输入描述。
1. 选择 **Create role (创建角色)**。系统将让您返回到 **角色** 页面。
## 创建 Amazon EC2 实例并自动加入目录
在此过程中,您将在 EC2 实例中设置 Windows Server 系统,该系统稍后可用于在 Active Directory 中管理用户、组和策略。
**创建 EC2 实例并自动加入目录**
1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。
1. 选择**启动实例**。
1. 在**步骤 1** 页面上,在**微软 Windows Server 2019 Base 旁边——ami—— *xxxxxxxxxxxxxxxxx*** **选择选择**。
1. 在 **Step 2 (步骤 2)** 页面上,选择 **t3.micro**(注意,您可以选择更大的实例类型),然后选择 **Next: Configure Instance Details (下一步:配置实例详细信息)**。
1. 在 **Step 3** 页面中,执行以下操作:
+ 对于**网络**,请选择以 **AWS-DS-** 结尾的 VP **CVPC01(例如,vpc-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01**)。
+ 对于**子网**,请选择**公有子网 1**,该子网应针对您的首选可用区进行预配置(例如,**子网-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01-Subnet01 \$1**)。*us-west-2a*
+ 对于 **Auto-assign Public IP**,选择 **Enable** (如果子网设置未默认设置为启用)。
+ 对于**域加入目录**,请选择 c **orp.example.com (**d-)。*xxxxxxxxxx*
+ 对于 **IAM 角色**,请选择您为实例角色指定的名称[创建角色以将 Windows 实例加入你的 AWS 托管微软 AD 域](#configureec2),例如**EC2DomainJoin**。
+ 将其他设置保留为默认值。
+ 选择**下一步:添加存储**。
1. 在 **Step 4** 页面上,保留默认设置,然后选择 **Next: Add Tags**。
1. 在 **Step 5** 页面上,选择 **Add Tag**。在 **Key (键)** 下,键入 **corp.example.com-mgmt**,然后选择 **Next: Configure Security Group (下一步: 配置安全组)**。
1. 在**步骤 6** 页面上,依次选择**选择现有安全组**、**AWS DS RDP 安全组**(您以前在[基本教程](microsoftadbasestep1.md#createsecuritygroup)中已设置)和**查看并启动**以查看实例。
1. 在 **Step 7** 页面上,查看页面,然后选择 **Launch**。
1. 在 **Select an existing key pair or create a new key pair** 对话框上,执行下列操作之一:
+ 选择**选择现有密钥对**。
+ 在**选择密钥对**下,选择 **AWS-DS-KP**。
+ 选中 **I acknowledge...** 复选框。
+ 选择**启动新实例**。
1. 选择**查看实例**以返回 Amazon EC2 控制台并查看部署的状态。
## 在 EC2 实例上安装 Active Directory 工具
您可以从两种方法中选择,在 EC2 实例上安装 Active Directory 域管理工具。您可以使用 Server Manager UI(本教程建议的方法)或 PowerShell。
**在 EC2 实例上安装 Active Directory 工具(Server Manager)**
1. 在 Amazon EC2 控制台中,选择**实例**,选择您刚刚创建的实例,然后选择**连接**。
1. 在**连接到您的实例**对话框中,选择**获取密码**以检索您的密码(如果您尚未这样做),然后选择**下载远程桌面文件**。
1. 在 **Windows Security (Windows 安全)** 对话框中,键入 Windows Server 计算机的本地管理员凭证以登录(例如,**administrator**)。
1. 从 **Start** 菜单中选择 **Server Manager**。
1. 在 **Dashboard** 中,选择 **Add Roles and Features**。
1. 在 **Add Roles and Features Wizard** 中,选择 **Next**。
1. 在 **Select installation type** 页面上选择 **Role-based or feature-based installation**,然后选择 **Next**。
1. 在 **Select destination server** 页面上,请确保选中了本地服务器,然后选择 **Next**。
1. 在 **Select server roles** 页面上,选择 **Next**。
1. 在 **Select features** 页面中,执行以下操作:
+ 选中 **Group Policy Management** 复选框。
+ 展开 **Remote Server Administration Tools**,然后展开 **Role Administration Tools**。
+ 选中 **AD DS and AD LDS Tools** 复选框。
+ 选中 **DNS Server Tools** 复选框。
+ 选择**下一步**。
1. 在 **Confirm installation selections** 页面上,查看信息,然后选择 **Install**。功能安装完成后,以下新工具或管理单元将在“开始”菜单的“Windows 管理工具”文件夹中可用。
+ Active Directory 管理中心
+ Active Directory 域和信任
+ 适用于 PowerShell 的 Active Directory 模块
+ Active Directory 站点和服务
+ Active Directory 用户和计算机
+ ADSI 编辑
+ DNS
+ 组策略管理
**在 EC2 实例上安装 Active Directory 工具(PowerShell)(可选)**
1. 启动 PowerShell。
1. 键入以下命令。
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```
# 步骤 4:验证基本测试实验室正常工作
在添加其他测试实验室指南模块之前,使用以下过程验证已成功设置该测试实验室。此过程验证您的 Windows 服务器配置是否正确,是否可以连接到 corp.example.com 域,以及是否用于管理您的托管 AWS 微软 AD 林。
**验证基本测试实验室正常工作**
1. 从您以本地管理员身份登录的 EC2 实例中注销
1. 返回 Amazon EC2 控制台,在导航窗格中选择**实例**。然后选择已创建的实例。选择**连接**。
1. 在 **Connect To Your Instance** 对话框中,选择 **Download Remote Desktop File**。
1. 在 **Windows Security (Windows 安全)** 对话框中,键入您的 CORP 域的管理员凭证以便登录(例如,**corp\$1admin**)。
1. 登录之后,在 **Start** 菜单中的 **Windows Administrative Tools** 下,选择 **Active Directory Users and Computers**。
1. 你应该会看到 **corp.example.com** 上显示了所有默认域名 OUs 和与新域名关联的账户。在 “**域控制器**” 下,请注意在本教程的步骤 2 中创建 AWS 托管 Microsoft AD 时自动创建的域控制器的名称。
恭喜您!您的 AWS 托管 Microsoft AD 基础测试实验室环境现已配置完毕。您可以随时开始添加该系列中的下一个测试实验室。
下一个教程:[教程:创建从 AWS 托管 Microsoft AD 到亚马逊 EC2 上自行管理的 Active Directory 安装的信任](ms_ad_tutorial_test_lab_trust.md)