本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 3：部署 Amazon EC2 執行個體以管理您的 AWS Managed Microsoft AD Active Directory
<a name="microsoftadbasestep3"></a>

在此實驗室中，我們使用具有公有 IP 地址的 Amazon EC2 執行個體，以便從任何地方輕鬆存取管理執行個體。在生產設定中，您可以使用私有 VPC 中只能透過 VPN 或 Direct Connect 連結存取的執行個體。具有公有 IP 地址的執行個體則沒有任何需求。

在本節中，您會使用新 EC2 執行個體上的 Windows Server，來演練讓用戶端電腦連線到您網域所需的各種部署後任務。在下一個步驟中，您會使用 Windows Server 來確認實驗室可運作。

## 選用：為您的目錄在 AWS-DS-VPC01 中建立 DHCP 選項集
<a name="createdhcpoptionsset"></a>

在此選用程序中，您會設定 DHCP 選項範圍，讓 VPC 中的 EC2 執行個體自動使用 AWS Managed Microsoft AD 進行 DNS 解析。如需詳細資訊，請參閱 [DHCP 選項集](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)。

**為目錄建立 DHCP 選項集**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **DHCP Options Sets (DHCP 選項集)**，然後選擇 **Create DHCP options set (建立 DHCP 選項集)**。

1. 在 **Create DHCP options set (建立 DHCP 選項集)** 頁面上，提供您目錄的下列值：
   + 在 **Name (名稱)** 輸入 **AWS DS DHCP**。
   + 在 **Domain name (網域名稱)** 中輸入 **corp.example.com**。
   + 針對 **Domain name servers (網域名稱伺服器)**，輸入您 AWS 所提供目錄之 DNS 伺服器的 IP 地址。
**注意**  
若要尋找這些地址，請前往 Directory Service **目錄**頁面，然後選擇適用的目錄 ID。在**詳細資訊**頁面上，識別並使用 **DNS 地址**中顯示的 IP。  
若要尋找這些地址，您也可以前往 Directory Service ** 目錄** 頁面，然後選擇相應的目錄 ID。然後，選擇**擴展和共享**。在**域控制站**下，識別並使用 **IP 地址**中顯示的 IP。
   + 將 **NTP servers** (NTP 伺服器)、**NetBIOS name servers** (NetBIOS 名稱伺服器) 和 **NetBIOS node type** (NetBIOS 節點類型) 中的設定留白。

1. 選擇**建立 DHCP 選項集**，然後選擇**關閉**。新的 DHCP 選項集會隨即出現在您的 DHCP 選項清單中。

1. 記下新 DHCP 選項集的 ID (**dopt-{{xxxxxxxx}}**)。在此程序最後要建立新選項集與 VPC 的關聯時會用到。
**注意**  
無縫網域加入，無須設定 DHCP 選項集。

1. 在導覽窗格中，選擇 **Your VPCs** (您的 VPC)。

1. 在 VPC 清單中，選取 **AWS DS VPC** 並選擇**動作**，然後選擇**編輯 DHCP 選項集**。

1. 在 **Edit DHCP options set(編輯 DHCP 選項集)** 頁面上，選取您在步驟 5 中記錄的選項集，然後選擇 **Save (儲存)**。

## 建立角色以將 Windows 執行個體加入您的 AWS Managed Microsoft AD 網域
<a name="configureec2"></a>

使用此程序來設定將 Amazon EC2 Windows 執行個體加入網域的角色。如需詳細資訊，請參閱[將 Amazon EC2 Windows 執行個體加入 AWS Managed Microsoft AD Active Directory](launching_instance.md)。

**設定 EC2，將 Windows 執行個體加入您的網域**

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在 IAM 主控台的導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 在 **Select type of trusted entity** (選擇可信任執行個體類型) 下，選擇 **AWS service** ( 服務)。

1. 緊接在 **Choose the service that will use this role (選擇將使用此角色的服務)** 下，選擇 **EC2**，然後選擇 **Next: Permissions (下一步：許可)**。

1. 在 **Attached permissions policy (連結許可政策)** 頁面上，執行下列動作：
   + 選取 **AmazonSSMManagedInstanceCore** 受管政策旁的方塊。此政策提供使用 Systems Manager 服務所需的最低權限。
   + 選取 **AmazonSSMDirectoryServiceAccess** 受管政策旁的方塊。此政策提供將執行個體加入受 Directory Service管理 Active Directory 的權限。

   如需您可以連接至 Systems Manager IAM 執行個體設定檔的這些受管政策和其他政策的資訊，請參閱《AWS Systems Manager 使用者指南》**中的[建立 Systems Manager 的 IAM 執行個體設定檔](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。如需受管政策的詳細資訊，請參閱《IAM 使用者指南》**中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

1. 選擇 **Next: Tags** (下一步：標籤)。

1. (選用) 新增一或多個標籤來組織鍵值對、追蹤或控制存取此角色，然後選擇 **Next: Review (下一步：檢視)**。

1. 針對**角色名稱**，輸入角色的名稱，描述這會用於將執行個體加入網域，例如 **EC2DomainJoin**。

1. (選用) 針對 **Role description (角色描述)**，輸入描述。

1. 選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。

## 建立 Amazon EC2 執行個體並自動加入目錄
<a name="deployec2instance"></a>

在此程序中，您會在 EC2 執行個體中設定 Windows Server 系統，稍後可用於管理 Active Directory 中的使用者、群組和政策。

**建立 EC2 執行個體並自動加入目錄**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 選擇**啟動執行個體**。

1. 在 **Step 1 (步驟 1)** 頁面上，選擇 **Microsoft Windows Server 2019 Base - ami-{{xxxxxxxxxxxxxxxxx}}** 旁的 **Select (選取)**。

1. 在 **Step 2 (步驟 2)** 頁面上，選取 **t3.micro** (請注意，您可以選擇更大的執行個體類型)，然後選擇 **Next: Configure Instance Details (下一步：設定執行個體詳細資訊)**。

1. 在 **Step 3** (步驟 3) 頁面上，執行下列動作：
   + 針對**網路**，選擇以 **AWS-DS-VPC01** 做為結尾的 VPC (例如 **vpc-{{xxxxxxxxxxxxxxxxx}} \| AWS-DS-VPC01**))。
   + 針對**子網路**，選擇應該已預先設定您慣用之可用區域的 **Public subnet 1** (例如 **subnet-{{xxxxxxxxxxxxxxxxx}} \| AWS-DS-VPC01-Subnet01 \| {{us-west-2a}}**)。
   + 針對 **Auto-assign Public IP** (自動指派公有 IP)，如果該子網路設定未預設為啟用，請選擇 **Enable** (啟用)。
   + 針對 **Domain join directory** (網域加入目錄)，選擇 **corp.example.com (d-{{xxxxxxxxxx}})**。
   + 針對 **IAM role (IAM 角色)**，選擇您在 [建立角色以將 Windows 執行個體加入您的 AWS Managed Microsoft AD 網域](#configureec2) 中命名的執行個體名稱，例如 **EC2DomainJoin**。
   + 將其他設定保留為其預設值。
   + 選擇 **Next: Add Storage (下一步：新增儲存體)**。

1. 在 **Step 4** (步驟 4) 頁面上，保留預設設定，然後選擇 **Next: Add Tags** (下一步：新增標籤)。

1. 在 **Step 5** (步驟 5) 頁面上，選擇 **Add Tag** (新增標籤)。在 **Key (金鑰)** 下，輸入 **corp.example.com-mgmt**，然後選擇 **Next: Configure Security Group (下一步：設定安全群組)**。

1. 在**步驟 6** 頁面上，選擇**選取現有安全群組**並選取 **AWS DS RDP 安全群組** (即您之前在[基礎教學](microsoftadbasestep1.md#createsecuritygroup)中設定的值)，然後選擇**檢閱和啟動**以檢閱您的執行個體。

1. 在 **Step 7** (步驟 7) 頁面上，檢閱頁面，然後選擇 **Launch** (啟動)。

1. 在 **Select an existing key pair or create a new key pair** (選取現有金鑰對或建立新金鑰對) 對話方塊中，執行下列動作：
   + 選擇 **Choose an existing key pair** (選擇現有金鑰對)。
   + 在**選取金鑰對**下，選擇 **AWS-DS-KP**。
   + 選取 **I acknowledge...** (我確認...) 核取方塊。
   + 選擇 **Launch Instances** (啟動執行個體)。

1. 選擇 **檢視執行個體**返回 Amazon EC2 主控台並檢視部署的狀態。

## 在您的 EC2 執行個體上安裝 Active Directory 工具
<a name="installadtools"></a>

您可以從兩種方法中進行選擇，在您的 EC2 執行個體上安裝 Active Directory 網域管理工具。您可以使用 Server Manager UI （本教學課程建議使用） 或 PowerShell。

**在您的 EC2 執行個體上安裝 Active Directory 工具 (伺服器管理員)**

1. 在 Amazon EC2 主控台中，選擇**執行個體**並選取您剛建立的執行個體，然後選擇**連線**。

1. 在**連線至執行個體**對話方塊中，選擇**取得密碼**以在您尚未取得密碼時擷取密碼，然後選擇**下載遠端桌面檔案**。

1. 在 **Windows Security (Windows 安全性)** 對話方塊中，輸入 Windows Server 電腦的本機管理員登入資料進行登入 (例如 **administrator**)。

1. 從**開始**選單，選擇**伺服器管理員**。

1. 在**儀表板**中，選擇**新增角色及功能**。

1. 在**新增角色及功能精靈**中，選擇**下一步**。

1. 在**選取安裝類型**頁面上，選擇**角色型或功能型安裝**，然後選擇**下一步**。

1. 在**選取目的地伺服器**頁面上，確定已選取本機伺服器，然後選擇**下一步**。

1. 在**選取伺服器角色**頁面上，選擇**下一步**。

1. 在**選取功能**頁面上，執行下列動作：
   + 選取**群組原則管理**核取方塊。
   + 展開**遠端伺服器管理工具**，然後展開**角色管理工具**。
   + 選取 **AD DS 及 AD LDS 工具**核取方塊。
   + 選取 **DNS 伺服器工具**核取方塊。
   + 選擇**下一步**。

1. 在**確認安裝選項**頁面上，檢閱資訊，然後選擇**安裝**。功能安裝完成後，開始選單的 Windows 系統管理工具資料夾中將會提供下列新的工具或嵌入式管理單元。
   + Active Directory 管理中心
   + Active Directory 網域及信任
   + 的 Active Directory 模組 PowerShell
   + Active Directory 站台及服務
   + Active Directory 使用者和電腦
   + ADSI 編輯器
   + DNS
   + 群組原則管理

**在 EC2 執行個體上安裝 Active Directory 工具 (PowerShell) （選用）**

1. 啟動 PowerShell。

1. 鍵入下列命令。

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```