本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 教學課程:在 中設定您的基礎 AWS Managed Microsoft AD 測試實驗室 AWS
本教學課程說明如何設定您的 AWS 環境,以準備新的 AWS Managed Microsoft AD 安裝,該安裝使用執行 Windows Server 2019 的新 Amazon EC2 執行個體。然後,它會教導您使用典型的 Active Directory 管理工具,從 EC2 Windows 執行個體管理 AWS Managed Microsoft AD 環境。完成教學課程時,您將設定網路先決條件,並設定新的 AWS Managed Microsoft AD 樹系。
如下圖所示,您從本教學課程中建立的實驗室是實際了解 AWS Managed Microsoft AD 的基礎元件。您可以稍後新增選用教學,以取得更多實作體驗。此教學系列適合所有剛開始使用 AWS Managed Microsoft AD,並需要測試實驗室進行評估的人。此教學約需 1 小時方能完成。
![\[顯示教學課程步驟的圖表:1 個設定您的環境、2 個建立 AWS Managed Microsoft AD、3 個部署 Amazon EC2,以及 4 個測試實驗室。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)
**[步驟 1:設定 Managed AWS Microsoft AD Active Directory AWS 的環境](microsoftadbasestep1.md)**
完成先決條件任務後,您可以在 EC2 執行個體中建立和設定 Amazon VPC。
**[步驟 2:建立 AWS Managed Microsoft AD Active Directory](microsoftadbasestep2.md)**
在此步驟中,您 AWS 第一次在 中設定 AWS Managed Microsoft AD。
**[步驟 3:部署 Amazon EC2 執行個體以管理您的 AWS Managed Microsoft AD Active Directory](microsoftadbasestep3.md)**
在此步驟中,您會演練讓用戶端電腦連線到新的網域,並在 EC2 中設定新 Windows Server 系統所需的各種部署後任務。
**[步驟 4:確認基礎測試實驗室可運作](microsoftadbasestep4.md)**
最後,身為管理員,您會確認可從 EC2 中的 Windows Server 系統登入並連線到 AWS Managed Microsoft AD。一旦成功測試實驗室可運作,您可以繼續新增其他測試實驗室指南模組。
# 先決條件
如果您只打算使用此教學中的 UI 步驟來建立測試實驗室,則可以略過「必要條件」一節並前往「步驟 1」。不過,如果您打算使用 AWS CLI 命令或 AWS Tools for Windows PowerShell 模組來建立測試實驗室環境,您必須先設定下列項目:
+ **具有存取和私密存取金鑰的 IAM 使用者** – 如果您想要使用 AWS CLI 或 AWS Tools for Windows PowerShell 模組,則需要具有存取金鑰的 IAM 使用者。如果您沒有存取金鑰,請參閱[建立、修改和檢視存取金鑰 (AWS 管理主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
+ **AWS Command Line Interface (選用)** – 在 [Windows AWS CLI 下載並安裝](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html) 。安裝完成後,開啟命令提示字元或PowerShell視窗,然後輸入 `aws configure`。請注意,您需要存取金鑰和私密金鑰才能完成設定。請參閱第一個必要條件中的做法步驟。系統會提示您輸入下列資訊:
+ AWS 存取金鑰 ID 【無】: `AKIAIOSFODNN7EXAMPLE`
+ AWS 私密存取金鑰 【無】: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ 預設區域名稱 [無]:`us-west-2`
+ 預設輸出格式 [無]:`json`
+ **AWS Tools for Windows PowerShell** **(選用)** – 從 [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/) 下載並安裝最新版 AWS Tools for Windows PowerShell ,然後執行下列命令。請注意,您需要存取金鑰和私密金鑰才能完成設定。請參閱第一個必要條件中的做法步驟。
`Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`
# 步驟 1:設定 Managed AWS Microsoft AD Active Directory AWS 的環境
您必須先設定 Amazon EC2 金鑰對,以便加密所有登入資料,才能在 AWS 測試實驗室中建立 AWS Managed Microsoft AD。
## 建立金鑰對
如果您已有金鑰對,則可以略過此步驟。如需 Amazon EC2 金鑰對的詳細資訊,請參閱[建立金鑰對](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html)。
**建立一組金鑰對**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/):// 開啟 Amazon EC2 主控台。
1. 在導覽窗格的 **Network & Security** (網路與安全) 下,選擇 **Key Pairs** (金鑰對),然後選擇 **Create Key Pair** (建立金鑰對)。
1. 在 **Key pair name (金鑰對名稱)** 中,輸入 **AWS-DS-KP**。在 **Key pair file format (金鑰對檔案格式)** 中,選取 **pem**,然後選擇 **Create (建立)**。
1. 您的瀏覽器會自動下載私有金鑰檔案。檔案名稱是您在建立金鑰對時所指定的名稱,副檔名為 `.pem`。將私有金鑰檔案存放在安全的地方。
**重要**
這是您儲存私有金鑰檔案的唯一機會。當您每次解密執行個體密碼來啟動執行個體與對應的私有金鑰時,都需要提供您的金鑰對名稱。
## 建立、設定和對等兩個 Amazon VPCs
如下圖所示,完成此多步驟程序時,您將建立並設定兩個公有 VPC、每個 VPC 兩個公有子網路、每個 VPC 一個網際網路閘道,並在 VPC 之間設定一個 VPC 對等連線。為求簡單易用和成本考量,我們選擇使用公有 VPC 和子網路。對於生產工作負載,建議您使用私有 VPC。如需更多改善 VPC 安全的相關資訊,請參閱 [Security in Amazon Virtual Private Cloud (Amazon Virtual Private Cloud 的安全)](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)。
![\[具有子網路的 Amazon VPC 環境,以及用來建立 AWS Managed Microsoft AD Active Directory 的網際網路閘道。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
所有 AWS CLI 和 PowerShell 範例都使用來自下方的 VPC 資訊,並內建於 us-west-2 中。您可以選擇任何[支援的區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)來建立您的環境。如需一般資訊,請參閱 [What is Amazon VPC? (什麼是 Amazon VPC)?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。
**步驟 1:建立兩個 VPC**
在此步驟中,您需要使用下表中指定的參數在相同帳戶中建立兩個 VPCs。 AWS 受管 Microsoft AD 支援使用具有 [共用您的 AWS Managed Microsoft AD](ms_ad_directory_sharing.md)功能的個別帳戶。第一個 VPC 將用於 AWS Managed Microsoft AD。第二個 VPC 將用於稍後可在 [教學課程:從 AWS Managed Microsoft AD 建立對 Amazon EC2 上自我管理 Active Directory 安裝的信任](ms_ad_tutorial_test_lab_trust.md) 中使用的資源。
****
| Managed Active Directory VPC 資訊 | 內部部署 VPC 資訊 |
| --- | --- |
| 名稱標籤: AWS-DS-VPC01 IPv4 CIDR 區塊:10.0.0.0/16 IPv6 CIDR block (IPv6 CIDR 區塊): 無 IPv6 CIDR 區塊 租用:預設 | 名稱標籤: AWS-OnPrem-VPC01 IPv4 CIDR 區塊:10.100.0.0/16 IPv6 CIDR block (IPv6 CIDR 區塊): 無 IPv6 CIDR 區塊 租用:預設 |
如需詳細說明,請參閱 [Creating a VPC (建立 VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)。
**步驟 2:為每個 VPC 建立兩個子網路**
建立 VPC 後,您需要使用下表的指定參數,為每個 VPC 建立兩個子網路。對於這個測試實驗室,每個子網路都會是 /24。這將讓每個子網路發出多達 256 個地址。每個子網路都必須位於不同可用區域中。將每個子網路放在不同可用區域中的獨立子網路是 [建立 AWS Managed Microsoft AD 的先決條件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs) 的其中之一。
****
| AWS-DS-VPC01 子網路資訊: | AWS-OnPrem-VPC01 子網路資訊 |
| --- | --- |
| 名稱標籤: AWS-DS-VPC01-Subnet01 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 可用區域:us-west-2a IPv4 CIDR 區塊:10.0.0.0/24 | 名稱標籤: AWS-OnPrem-VPC01-Subnet01 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 可用區域:us-west-2a IPv4 CIDR 區塊:10.100.0.0/24 |
| 名稱標籤: AWS-DS-VPC01-Subnet02 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 可用區域:us-west-2b IPv4 CIDR 區塊:10.0.1.0/24 | 名稱標籤: AWS-OnPrem-VPC01-Subnet02 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 可用區域:us-west-2b IPv4 CIDR 區塊:10.100.1.0/24 |
如需詳細說明,請參閱 [Creating a subnet in your VPC (在 VPC 中建立子網路)](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)。
**步驟 3:建立網際網路閘道並連接到您的 VPC**
由於我們使用的是公有 VPC,因此您將需要使用下表中的指定參數來建立網際網路閘道並將其連接到您的 VPC。這可讓您連接和管理 EC2 執行個體。
****
| AWS-DS-VPC01 網際網路閘道資訊 | AWS-OnPrem-VPC01 網際網路閘道資訊 |
| --- | --- |
| 名稱標籤: AWS-DS-VPC01-IGW VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 | 名稱標籤: AWS-OnPrem-VPC01-IGW VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
如需詳細說明,請參閱 [Internet gateways (網際網路閘道)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)。
**步驟 4:在 AWS-DS-VPC01 和 AWS-OnPrem-VPC01 之間設定 VPC 對等互連**
由於您先前已建立兩個 VPC,因此您將需要使用下表中的指定參數,使用 VPC 對等連線將它們連線在一起。雖然有許多方法可以連接您的 VPCs,但本教學課程將使用 VPC 對等互連。 AWS 受管 Microsoft AD 支援許多解決方案來連接您的 VPCs,其中一些解決方案包括 [VPC 對等](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)互連、[Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 和 [VPN](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)。
****
| |
| --- |
| 對等連線名稱標籤: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer VPC (請求者):vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 帳戶:我的帳戶 區域:此區域 VPC (接受者):vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
如需有關如何使用帳戶中的另一個 VPC 建立 VPC 對等連線的說明,請參閱 [Creating a VPC peering connection with another VPC in your account (使用帳戶中的另一個 VPC 建立 VPC 對等連線)](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local)。
**步驟 5:將兩個路由新增至每個 VPC 的主要路由表**
為了讓在先前步驟中建立的網際網路閘道和 VPC 對等連線正常運作,您必須使用下表中的指定參數來更新兩個 VPC 的主路由表。您將新增兩個路由:將路由到路由表未明確知道的所有目的地的 0.0.0.0/0,以及將透過上面建立的 VPC 對等連接路由到每個 VPC 的 10.0.0.0/16 或 10.100.0.0/16。
您可以篩選 VPC 名稱標籤 (AWS-DS-VPC01 或 AWS-OnPrem-VPC01),輕鬆找到每個 VPC 的正確路由表。
****
| AWS-DS-VPC01 路由 1 資訊 | AWS-DS-VPC01 路由 2 資訊 | AWS-OnPrem-VPC01 路由 1 資訊 | AWS-OnPrem-VPC01 路由 2 資訊 |
| --- | --- | --- | --- |
| 目的地:0.0.0.0/0 目標:igw-xxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW | 目的地:10.100.0.0/16 目標:pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer | 目的地:0.0.0.0/0 目標:igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01 | 目的地:10.0.0.0/16 目標:pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer |
如需如何將路由新增至 VPC 路由表的說明,請參閱 [Adding and removing routes from a route table (從路由表新增和移除路由)](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)。
## 建立 Amazon EC2 執行個體的安全群組
根據預設, AWS 受管 Microsoft AD 會建立安全群組來管理其網域控制站之間的流量。在本節中,您將需要建立 2 個安全群組 (每個 VPC 一個),這兩組將用來使用下表中的指定參數,管理 EC2 執行個體 VPC 內的流量。您也會新增一項規則,允許從任何地方傳入的 RDP (3389),以及從本機 VPC 傳入的所有流量類型。如需詳細資訊,請參閱 [Windows 執行個體的 Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html)。
****
| AWS-DS-VPC01 安全群組資訊: |
| --- |
| 安全群組名稱: AWS DS Test Lab 安全群組 描述: AWS DS Test Lab 安全群組 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 |
**適用於 AWS-DS-VPC01 的安全群組傳入規則**
****
| Type | 通訊協定 | 連接埠範圍 | 來源 | 流量類型 |
| --- | --- | --- | --- | --- |
| 自訂 TCP 規則 | TCP | 3389 | 我的 IP | 遠端桌面 |
| 所有流量 | 全部 | 全部 | 10.0.0.0/16 | 所有本機 VPC 流量 |
**適用於 AWS-DS-VPC01 的安全群組傳出規則**
****
| Type | 通訊協定 | 連接埠範圍 | 目標 | 流量類型 |
| --- | --- | --- | --- | --- |
| 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 所有流量 |
****
| AWS-OnPrem-VPC01 安全群組資訊: |
| --- |
| 安全群組名稱: AWS OnPrem Test Lab 安全群組。 Description: AWS OnPrem Test Lab 安全群組。 VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
**安全群組輸入規則,適用於 AWS-OnPrem-VPC01**
****
| Type | 通訊協定 | 連接埠範圍 | 來源 | 流量類型 |
| --- | --- | --- | --- | --- |
| 自訂 TCP 規則 | TCP | 3389 | 我的 IP | 遠端桌面 |
| 自訂 TCP 規則 | TCP | 53 | 10.0.0.0/16 | DNS |
| 自訂 TCP 規則 | TCP | 88 | 10.0.0.0/16 | Kerberos |
| 自訂 TCP 規則 | TCP | 389 | 10.0.0.0/16 | LDAP |
| 自訂 TCP 規則 | TCP | 464 | 10.0.0.0/16 | Kerberos 更改/設定密碼 |
| 自訂 TCP 規則 | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
| 自訂 TCP 規則 | TCP | 135 | 10.0.0.0/16 | 複寫 |
| 自訂 TCP 規則 | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| 自訂 TCP 規則 | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| 自訂 TCP 規則 | TCP | 3268-3269 | 10.0.0.0/16 | LDAP GC 和 LDAP GC SSL |
| 自訂 UDP 規則 | UDP | 53 | 10.0.0.0/16 | DNS |
| 自訂 UDP 規則 | UDP | 88 | 10.0.0.0/16 | Kerberos |
| 自訂 UDP 規則 | UDP | 123 | 10.0.0.0/16 | Windows 時間 |
| 自訂 UDP 規則 | UDP | 389 | 10.0.0.0/16 | LDAP |
| 自訂 UDP 規則 | UDP | 464 | 10.0.0.0/16 | Kerberos 更改/設定密碼 |
| 所有流量 | 全部 | 全部 | 10.100.0.0/16 | 所有本機 VPC 流量 |
**安全群組傳出規則,適用於 AWS-OnPrem-VPC01**
****
| Type | 通訊協定 | 連接埠範圍 | 目標 | 流量類型 |
| --- | --- | --- | --- | --- |
| 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 所有流量 |
如需如何建立規則並將規則新增至安全群組的詳細說明,請參閱 [Working with security groups (使用安全群組)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
# 步驟 2:建立 AWS Managed Microsoft AD Active Directory
您可以使用三種不同的方法來建立目錄。您可以使用 程序 AWS 管理主控台 (本教學課程建議),也可以使用 AWS CLI 或 AWS Tools for Windows PowerShell 程序來建立目錄。
**方法 1:建立 AWS Managed Microsoft AD 目錄 (AWS 管理主控台)**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)中,選擇**目錄**,然後選擇**設定目錄**。
1. 在**選取目錄類型**頁面上,選擇 **AWS Managed Microsoft AD**,然後選擇**下一步**。
1. 在 **Enter directory information (輸入目錄資訊)** 頁面上,提供下列資訊,然後選擇 **Next (下一步)**。
+ 針對**版本**,選取**標準版**或**企業版**。如需版本的詳細資訊,請參閱 [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)。
+ 在 **Directory DNS name (目錄 DNS 名稱)** 中,輸入 **corp.example.com**。
+ 針對 **Directory NetBIOS name (目錄 NetBIOS 名稱)**,輸入 **corp**。
+ 針對**Directory description (目錄描述)**,輸入 **AWS DS Managed**。
+ 針對 **Admin password** (管理員密碼),輸入此帳戶要使用的密碼,然後在 **Confirm password** (確認密碼) 中再輸入一次密碼。在建立目錄的過程中會自動建立此 **Admin** (管理員) 帳戶。密碼不得包含 *admin* 一字。目錄管理員密碼區分大小寫,長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類:
+ 小寫字母 (a-z)
+ 大寫字母 (A-Z)
+ 數字 (0-9)
+ 非英數字元 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
1. 在 **Choose VPC and subnets (選擇 VPC 和子網路)** 頁面上,提供下列資訊,然後選擇 **Next (下一步)**。
+ 對於 **VPC**,選擇開頭為 **AWS-DS-VPC01** 且結尾為 **(10.0.0.0/16)** 的選項。
+ 在 **Subnets (子網路)**,選擇 **10.0.0.0/24** 和 **10.0.1.0/24** 公有子網路。
1. 在 **Review & create (檢閱和建立)** 頁面上檢閱目錄資訊,並進行必要的變更。若資訊無誤,請選擇 **Create directory (建立目錄)**。建立目錄需要 20 到 40 分鐘。建立後,**Status** (狀態) 值會變更為 **Active** (作用中)。
**方法 2:建立 AWS Managed Microsoft AD (PowerShell) (選用)**
1. 打開 PowerShell。
1. 鍵入下列命令。請務必使用上述 AWS 管理主控台 程序的步驟 4 中提供的值。
```
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
```
**方法 3:建立 AWS Managed Microsoft AD (AWS CLI) (選用)**
1. 開啟 AWS CLI。
1. 鍵入下列命令。請務必使用上述 AWS 管理主控台 程序的步驟 4 中提供的值。
```
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
```
# 步驟 3:部署 Amazon EC2 執行個體以管理您的 AWS Managed Microsoft AD Active Directory
在此實驗室中,我們使用具有公有 IP 地址的 Amazon EC2 執行個體,以便從任何地方輕鬆存取管理執行個體。在生產設定中,您可以使用私有 VPC 中只能透過 VPN 或 Direct Connect 連結存取的執行個體。具有公有 IP 地址的執行個體則沒有任何需求。
在本節中,您會使用新 EC2 執行個體上的 Windows Server,來演練讓用戶端電腦連線到您網域所需的各種部署後任務。在下一個步驟中,您會使用 Windows Server 來確認實驗室可運作。
## 選用:為您的目錄在 AWS-DS-VPC01 中建立 DHCP 選項集
在此選用程序中,您會設定 DHCP 選項範圍,讓 VPC 中的 EC2 執行個體自動使用 AWS Managed Microsoft AD 進行 DNS 解析。如需詳細資訊,請參閱 [DHCP 選項集](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)。
**為目錄建立 DHCP 選項集**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **DHCP Options Sets (DHCP 選項集)**,然後選擇 **Create DHCP options set (建立 DHCP 選項集)**。
1. 在 **Create DHCP options set (建立 DHCP 選項集)** 頁面上,提供您目錄的下列值:
+ 在 **Name (名稱)** 輸入 **AWS DS DHCP**。
+ 在 **Domain name (網域名稱)** 中輸入 **corp.example.com**。
+ 針對 **Domain name servers (網域名稱伺服器)**,輸入您 AWS 所提供目錄之 DNS 伺服器的 IP 地址。
**注意**
若要尋找這些地址,請前往 Directory Service **目錄**頁面,然後選擇適用的目錄 ID。在**詳細資訊**頁面上,識別並使用 **DNS 地址**中顯示的 IP。
若要尋找這些地址,您也可以前往 Directory Service ** 目錄** 頁面,然後選擇相應的目錄 ID。然後,選擇**擴展和共享**。在**域控制站**下,識別並使用 **IP 地址**中顯示的 IP。
+ 將 **NTP servers** (NTP 伺服器)、**NetBIOS name servers** (NetBIOS 名稱伺服器) 和 **NetBIOS node type** (NetBIOS 節點類型) 中的設定留白。
1. 選擇**建立 DHCP 選項集**,然後選擇**關閉**。新的 DHCP 選項集會隨即出現在您的 DHCP 選項清單中。
1. 記下新 DHCP 選項集的 ID (**dopt-*xxxxxxxx***)。在此程序最後要建立新選項集與 VPC 的關聯時會用到。
**注意**
無縫網域加入,無須設定 DHCP 選項集。
1. 在導覽窗格中,選擇 **Your VPCs** (您的 VPC)。
1. 在 VPC 清單中,選取 **AWS DS VPC** 並選擇**動作**,然後選擇**編輯 DHCP 選項集**。
1. 在 **Edit DHCP options set(編輯 DHCP 選項集)** 頁面上,選取您在步驟 5 中記錄的選項集,然後選擇 **Save (儲存)**。
## 建立角色以將 Windows 執行個體加入您的 AWS Managed Microsoft AD 網域
使用此程序來設定將 Amazon EC2 Windows 執行個體加入網域的角色。如需詳細資訊,請參閱[將 Amazon EC2 Windows 執行個體加入 AWS Managed Microsoft AD Active Directory](launching_instance.md)。
**設定 EC2,將 Windows 執行個體加入您的網域**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 IAM 主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 在 **Select type of trusted entity** (選擇可信任執行個體類型) 下,選擇 **AWS service** ( 服務)。
1. 緊接在 **Choose the service that will use this role (選擇將使用此角色的服務)** 下,選擇 **EC2**,然後選擇 **Next: Permissions (下一步:許可)**。
1. 在 **Attached permissions policy (連結許可政策)** 頁面上,執行下列動作:
+ 選取 **AmazonSSMManagedInstanceCore** 受管政策旁的方塊。此政策提供使用 Systems Manager 服務所需的最低權限。
+ 選取 **AmazonSSMDirectoryServiceAccess** 受管政策旁的方塊。此政策提供將執行個體加入受 Directory Service管理 Active Directory 的權限。
如需您可以連接至 Systems Manager IAM 執行個體設定檔的這些受管政策和其他政策的資訊,請參閱《AWS Systems Manager 使用者指南》**中的[建立 Systems Manager 的 IAM 執行個體設定檔](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。如需受管政策的詳細資訊,請參閱《IAM 使用者指南》**中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
1. 選擇 **Next: Tags** (下一步:標籤)。
1. (選用) 新增一或多個標籤來組織鍵值對、追蹤或控制存取此角色,然後選擇 **Next: Review (下一步:檢視)**。
1. 針對**角色名稱**,輸入角色的名稱,描述這會用於將執行個體加入網域,例如 **EC2DomainJoin**。
1. (選用) 針對 **Role description (角色描述)**,輸入描述。
1. 選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
## 建立 Amazon EC2 執行個體並自動加入目錄
在此程序中,您會在 EC2 執行個體中設定 Windows Server 系統,稍後可用於管理 Active Directory 中的使用者、群組和政策。
**建立 EC2 執行個體並自動加入目錄**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 選擇**啟動執行個體**。
1. 在 **Step 1 (步驟 1)** 頁面上,選擇 **Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx*** 旁的 **Select (選取)**。
1. 在 **Step 2 (步驟 2)** 頁面上,選取 **t3.micro** (請注意,您可以選擇更大的執行個體類型),然後選擇 **Next: Configure Instance Details (下一步:設定執行個體詳細資訊)**。
1. 在 **Step 3** (步驟 3) 頁面上,執行下列動作:
+ 針對**網路**,選擇以 **AWS-DS-VPC01** 做為結尾的 VPC (例如 **vpc-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01**))。
+ 針對**子網路**,選擇應該已預先設定您慣用之可用區域的 **Public subnet 1** (例如 **subnet-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01-Subnet01 \$1 *us-west-2a***)。
+ 針對 **Auto-assign Public IP** (自動指派公有 IP),如果該子網路設定未預設為啟用,請選擇 **Enable** (啟用)。
+ 針對 **Domain join directory** (網域加入目錄),選擇 **corp.example.com (d-*xxxxxxxxxx*)**。
+ 針對 **IAM role (IAM 角色)**,選擇您在 [建立角色以將 Windows 執行個體加入您的 AWS Managed Microsoft AD 網域](#configureec2) 中命名的執行個體名稱,例如 **EC2DomainJoin**。
+ 將其他設定保留為其預設值。
+ 選擇 **Next: Add Storage (下一步:新增儲存體)**。
1. 在 **Step 4** (步驟 4) 頁面上,保留預設設定,然後選擇 **Next: Add Tags** (下一步:新增標籤)。
1. 在 **Step 5** (步驟 5) 頁面上,選擇 **Add Tag** (新增標籤)。在 **Key (金鑰)** 下,輸入 **corp.example.com-mgmt**,然後選擇 **Next: Configure Security Group (下一步:設定安全群組)**。
1. 在**步驟 6** 頁面上,選擇**選取現有安全群組**並選取 **AWS DS RDP 安全群組** (即您之前在[基礎教學](microsoftadbasestep1.md#createsecuritygroup)中設定的值),然後選擇**檢閱和啟動**以檢閱您的執行個體。
1. 在 **Step 7** (步驟 7) 頁面上,檢閱頁面,然後選擇 **Launch** (啟動)。
1. 在 **Select an existing key pair or create a new key pair** (選取現有金鑰對或建立新金鑰對) 對話方塊中,執行下列動作:
+ 選擇 **Choose an existing key pair** (選擇現有金鑰對)。
+ 在**選取金鑰對**下,選擇 **AWS-DS-KP**。
+ 選取 **I acknowledge...** (我確認...) 核取方塊。
+ 選擇 **Launch Instances** (啟動執行個體)。
1. 選擇 **檢視執行個體**返回 Amazon EC2 主控台並檢視部署的狀態。
## 在您的 EC2 執行個體上安裝 Active Directory 工具
您可以從兩種方法中進行選擇,在您的 EC2 執行個體上安裝 Active Directory 網域管理工具。您可以使用 Server Manager UI (本教學課程建議使用) 或 PowerShell。
**在您的 EC2 執行個體上安裝 Active Directory 工具 (伺服器管理員)**
1. 在 Amazon EC2 主控台中,選擇**執行個體**並選取您剛建立的執行個體,然後選擇**連線**。
1. 在**連線至執行個體**對話方塊中,選擇**取得密碼**以在您尚未取得密碼時擷取密碼,然後選擇**下載遠端桌面檔案**。
1. 在 **Windows Security (Windows 安全性)** 對話方塊中,輸入 Windows Server 電腦的本機管理員登入資料進行登入 (例如 **administrator**)。
1. 從**開始**選單,選擇**伺服器管理員**。
1. 在**儀表板**中,選擇**新增角色及功能**。
1. 在**新增角色及功能精靈**中,選擇**下一步**。
1. 在**選取安裝類型**頁面上,選擇**角色型或功能型安裝**,然後選擇**下一步**。
1. 在**選取目的地伺服器**頁面上,確定已選取本機伺服器,然後選擇**下一步**。
1. 在**選取伺服器角色**頁面上,選擇**下一步**。
1. 在**選取功能**頁面上,執行下列動作:
+ 選取**群組原則管理**核取方塊。
+ 展開**遠端伺服器管理工具**,然後展開**角色管理工具**。
+ 選取 **AD DS 及 AD LDS 工具**核取方塊。
+ 選取 **DNS 伺服器工具**核取方塊。
+ 選擇**下一步**。
1. 在**確認安裝選項**頁面上,檢閱資訊,然後選擇**安裝**。功能安裝完成後,開始選單的 Windows 系統管理工具資料夾中將會提供下列新的工具或嵌入式管理單元。
+ Active Directory 管理中心
+ Active Directory 網域及信任
+ 的 Active Directory 模組 PowerShell
+ Active Directory 站台及服務
+ Active Directory 使用者和電腦
+ ADSI 編輯器
+ DNS
+ 群組原則管理
**在 EC2 執行個體上安裝 Active Directory 工具 (PowerShell) (選用)**
1. 啟動 PowerShell。
1. 鍵入下列命令。
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```
# 步驟 4:確認基礎測試實驗室可運作
使用下列程序確認已成功設定測試實驗室,再新增其他測試實驗室指南模組。此程序會驗證您的 Windows Server 是否已正確設定、可以連線至 corp.example.com 網域,並用來管理您的 AWS Managed Microsoft AD 樹系。
**確認測試實驗室可運作**
1. 登出您以本機管理員身分登入的 EC2 執行個體。
1. 回到 Amazon EC2 主控台,在導覽窗格中選擇**執行個體**。然後選取您所建立的執行個體。選擇**連線**。
1. 在 **Connect To Your Instance** (連線到您的執行個體) 對話方塊中,選擇 **Download Remote Desktop File** (下載遠端桌面檔)。
1. 在 **Windows Security (Windows 安全性)** 對話方塊中,輸入 CORP 網域的管理員登入資料進行登入 (例如 **corp\$1admin**)。
1. 登入後,在**開始**選單的 **Windows 系統管理工具**下,選擇 **Active Directory 使用者和電腦**。
1. 您應該會看到 **corp.example.com**,以及與新網域相關聯的所有預設 OU 和帳戶。在**網域控制**站下,請注意您在本教學課程的步驟 2 中建立 AWS Managed Microsoft AD 時自動建立的網域控制站名稱。
恭喜您!您的 AWS Managed Microsoft AD 基礎測試實驗室環境現已設定完成。您可以開始新增系列中的下一個測試實驗室。
下一個教學:「[教學課程:從 AWS Managed Microsoft AD 建立對 Amazon EC2 上自我管理 Active Directory 安裝的信任](ms_ad_tutorial_test_lab_trust.md)」