Exemplarische Vorgehensweise 1: Voraussetzungen für die ersten Schritte

Bevor Sie die Übung „Erste Schritte“ abschließen können, müssen Sie bereits eine auf Microsoft Windows basierende Amazon EC2 EC2-Instanz mit IhrerAWS Directory Service-Verzeichnis. Sie müssen auch über das Windows Remotedesktopprotokoll als Admin-Benutzer für Ihr Verzeichnis bei der Instanz angemeldet sein. Die folgende Anleitung zeigt Ihnen, wie Sie diese erforderlichen Voraussetzungen ausführen.

Schritt 1: Einrichten von Active Directory

Mit Amazon FSx können Sie vollständig verwalteten Dateispeicher für Windows-basierte Workloads betreiben. EbensoAWS Directory Servicestellt vollständig verwaltete Verzeichnisse zur Verfügung, die Sie in Ihrer Workload-Bereitstellung verwenden können. Wenn Sie eine vorhandene AD-Domäne für Unternehmen habenAWSIn einer Virtual Private Cloud (VPC) mit EC2-Instances können Sie die benutzerbasierte Authentifizierung und Zugriffskontrolle aktivieren. Sie tun dies, indem Sie eine Vertrauensstellung zwischen Ihren aufbauenAWSManaged Microsoft AD und Ihre Unternehmensdomäne. Für die Windows-Authentifizierung in Amazon FSx benötigen Sie nur eine Einweg-Directional Forest Trust, bei derAWSManaged Forest vertraut der Gesamtstruktur der Unternehmensdomäne.

Ihre Unternehmensdomäne übernimmt die Rolle der vertrauenswürdigen Domain, und dieAWS Directory ServiceManaged Domain übernimmt die Rolle der vertrauensvollen Domäne. Validierte Authentifizierungsanfragen werden nur in einer Richtung zwischen den Domänen verlaufen, sodass sich Konten in Ihrer Unternehmensdomäne mit Ressourcen authentifizieren können, die in der verwalteten Domäne freigegeben werden. In diesem Fall interagiert Amazon FSx nur mit der verwalteten Domäne. Die verwaltete Domäne leitet dann die Authentifizierungsanfragen an Ihre Unternehmensdomäne weiter.

Anmerkung

Sie können auch einen externen Vertrauenstyp mit Amazon FSx für vertrauenswürdige Domains verwenden.

Ihre Active Directory-Sicherheitsgruppe muss den eingehenden Zugriff von der Sicherheitsgruppe des Amazon FSx-Dateisystems aus aktivieren.

So erstellen Sie einenAWSVerzeichnisdienste für Microsoft AD

• Wenn Sie noch kein AWS-Konto haben, verwenden Sie dieAWS Directory ServiceSo erstellen Sie IhreAWSVerwaltetes Microsoft AD-Verzeichnis. Weitere Informationen finden Sie unterErstellen Sie IhreAWSVerwaltetes Microsoft AD-VerzeichnisimAWS Directory ServiceAdministratorhandbuchaus.

  Wichtig

  Denken Sie an das Passwort, das Sie Ihrem Admin-Benutzer zuweisen; Sie benötigen es später in dieser Übung mit den ersten Schritten. Wenn Sie das Passwort vergessen haben, müssen Sie die Schritte in dieser Übung mit dem neuenAWS Directory ServiceVerzeichnis und Admin-Benutzer.

• Wenn Sie ein vorhandenes AD haben, erstellen Sie eine Vertrauensstellung zwischen IhrenAWSManaged Microsoft AD und Ihr vorhandenes AD. Weitere Informationen finden Sie unter Zeitpunkt zum Erstellen einer Vertrauensstellung im AWS Directory Service-Administrationshandbuch.

Schritt 2: Starten Sie eine Windows-Instance in der Amazon EC2 EC2-Konsole

Sie können eine Windows-Instance mit derAWS Management Consolewie im folgenden Verfahren beschrieben. Dies soll Ihnen helfen, Ihre erste Instance schnell zu starten, sodass nicht alle möglichen Optionen abgedeckt werden. Weitere Informationen zu den erweiterten Optionen erhalten Sie unter Starten einer Instance.

So starten Sie eine Instance

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Konsolen-Dashboard die Option Launch Instance.

3. Auf der Seite Choose an Amazon Machine Image (AMI) (Amazon Machine Image (AMI) wählen) wird eine Liste mit Basiskonfigurationen angezeigt, die als Amazon Machine Images (AMIs) bezeichnet werden und als Vorlagen für Ihre Instance dienen. Wählen Sie das AMI für Windows Server 2016 Base oder Windows Server 2012 R2 Base aus. (Diese AMIs sind als „Zur kostenlosen Nutzung berechtigt” gekennzeichnet.)

4. Auf der Seite Choose an Instance Type können Sie die Hardware-Konfiguration Ihrer Instance auswählen. Wählen Sie den Typ t2.micro aus (Standardeinstellung). Beachten Sie, dass dieser Instance-Typ über die Berechtigung für das kostenlose Kontingent verfügt.

5. Wählen Sie Review and Launch, damit der Assistent die anderen Konfigurationseinstellungen für Sie vornehmen kann.

6. Auf derÜberprüfen des Instance-Startsseite, unterSicherheitsgruppenerscheint eine Sicherheitsgruppe, die der Assistent für Sie erstellt und ausgewählt hat. Sie können diese Sicherheitsgruppe verwenden oder die Sicherheitsgruppe auswählen, die Sie während der Einrichtung erstellt haben. Führen Sie hierzu die folgenden Schritte aus:

   1. Wählen Sie Edit security groups.

   2. Stellen Sie auf der Seite Configure Security Group (Sicherheitsgruppe konfigurieren) sicher, dass Select an existing security group aktiviert ist.

   3. Wählen Sie Ihre Sicherheitsgruppe in der Liste mit den vorhandenen Sicherheitsgruppen aus und wählen Sie anschließend Review and Launch.

7. Klicken Sie auf der Seite Review Instance Launch auf Launch.

8. Gehen Sie wie folgt vor, wenn Sie zum Eingeben eines Schlüsselpaars aufgefordert werden: Wählen Sie die Option Choose an existing key pair und dann das Schlüsselpaar aus, das Sie während der Einrichtung erstellt haben.

   Alternativ hierzu können Sie auch ein neues Schlüsselpaar erstellen. Wählen Sie Create a new key pair. Geben Sie einen Namen für das Schlüsselpaar ein und klicken Sie dann auf Download Key Pair. Dies ist die einzige Möglichkeit, die Datei mit dem privaten Schlüssel zu speichern. Achten Sie also darauf, diese Datei herunterzuladen. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort. Sie müssen den Namen für Ihr Schlüsselpaar beim Starten einer Instance angeben. Der entsprechende private Schlüssel muss jedes Mal angegeben werden, wenn Sie eine Verbindung mit der Instance herstellen.

   Warnung

   Wählen Sie nicht die Option Proceed without a key pair aus. Wenn Sie Ihre Instance ohne Schlüsselpaar starten, können Sie keine Verbindung zu ihr herstellen.

   Wenn Sie bereit sind, aktivieren Sie das Bestätigungs-Kontrollkästchen und klicken Sie dann auf Launch Instances.

9. Auf einer Bestätigungsseite wird Ihnen mitgeteilt, dass die Instance gestartet wird. Wählen Sie View Instances aus, um die Bestätigungsseite zu schließen und zur Konsole zurückzukehren.

10. Auf dem Bildschirm Instances können Sie den Status des Starts anzeigen. Es dauert einige Zeit, bis die Instance startet. Wenn Sie eine Instance starten, lautet ihr anfänglicher Status pending. Nachdem die Instance gestartet wurde, ändert sich der Status in running. Sie erhält dann einen öffentlichen DNS-Namen. (Wenn die Spalte Public DNS (IPv4) ausgeblendet ist, können Sie oben rechts auf der Seite Show/Hide Columns (das Zahnrädchensymbol) und dann die Option Public DNS (IPv4) wählen.)

11. Es kann einige Minuten dauern, bis die Instance für die Verbindungsherstellung bereit ist. Prüfen Sie, ob die Instance die Statusprüfungen bestanden hat. Sie finden diese Information in der Spalte Status Checks.

Wichtig

Notieren Sie sich die ID der Sicherheitsgruppe, die beim Start dieser Instance erstellt wurde. Sie benötigen es, wenn Sie Ihr Amazon FSx-Dateisystem erstellen.

Nachdem Ihre Instance gestartet wurde, können Sie eine Verbindung zu Ihrer Instance herstellen.

Schritt 3: Herstellen einer Verbindung zu Ihrer Instance

Zur Verbindung mit einer Windows-Instance müssen Sie das anfängliche Administratorpasswort abrufen und es angeben, wenn Sie per Remote Desktop eine Verbindung mit Ihrer Instance herstellen.

Der Name des Administratorkontos hängt von der Sprache des Betriebssystems ab. Für Englisch lautet es „Administrator“, für Französisch „Administrateur“ und für Portugiesisch „Administrador“. Weitere Informationen finden Sie unter Localized Names for Administrator Account in Windows (Lokalisierte Namen für Administratorkonto in Windows) im Microsoft TechNet Wiki.

Wenn Sie Ihre Instance einer Domäne zugewiesen haben, können Sie eine Verbindung mit Ihrer Instance mithilfe von Domänen-Anmeldeinformationen herstellen, die Sie unter definiert habenAWS Directory Serviceaus. Verwenden Sie auf dem Anmeldebildschirm des Remotedesktops nicht den Namen des lokalen Computers und das generierte Kennwort. Verwenden Sie stattdessen den vollqualifizierten Benutzernamen für den Administrator und das Passwort für dieses Konto. Ein Beispiel ist corp.example.com\Admin.

Die Lizenz für das Windows Server-Betriebssystem (OS) ermöglicht zwei gleichzeitige Remote-Verbindungen für administrative Zwecke. Die Lizenzkosten für Windows Server sind in den Kosten für Ihre Windows-Instance enthalten. Falls Sie mehr als zwei gleichzeitige Remote-Verbindungen benötigen, ist der Erwerb einer Remote Desktop Services-Lizenz (RDS) erforderlich. Wenn Sie versuchen, eine dritte Verbindung aufzubauen, erhalten Sie eine Fehlermeldung. Weitere Informationen finden Sie unterKonfigurieren Sie die Anzahl der gleichzeitigen Remoteverbindungen, die für eine Verbindung zulässig sindaus.

Verwenden Sie einen RDP Client, um sich mit Ihrer Windows-Instance zu verbinden.

1. Wählen Sie in der Amazon EC2-Konsole die Instance und anschließend Connect (Verbinden) aus.

2. In derHerstellen einer Verbindung mit Ihrer Instancewählen Sie im DialogfeldPasswort erhalten(Nach dem Start der Instance dauert es einige Minuten, bis das Passwort verfügbar ist).

3. Klicken Sie auf Browse (Durchsuchen) und navigieren Sie zu der privaten Schlüsseldatei, die Sie beim Starten der Instance erstellt haben. Wählen Sie die Datei aus und klicken Sie auf Open, um den gesamten Inhalt der Datei in das Inhaltsfeld zu kopieren.

4. Klicken Sie auf Decrypt Password. Die Konsole zeigt das Standard-Administrator-Passwort für die Instance imHerstellen einer Verbindung mit Ihrer Instance, ersetzen Sie den Link zuPasswort erhaltenzuvor mit dem eigentlichen Passwort angezeigt.

5. Notieren Sie sie sich das Standard-Administratorpasswort oder kopieren Sie es in die Zwischenablage. Sie benötigen dieses Passwort, um eine Verbindung mit der Instance herzustellen.

6. Klicken Sie auf Download Remote Desktop File. Sie werden vom Browser aufgefordert, die RDP-Datei zu öffnen oder zu speichern. Sie können eine der beiden Optionen auswählen. Wenn Sie fertig sind, können Sie wählenSchließenum denHerstellen einer Verbindung mit Ihrer Instance-Dialogfeld.

   • Wenn Sie die RDP-Datei geöffnet haben, wird das Dialogfeld Remotedesktopverbindung angezeigt.

   • Wenn Sie die RDP-Datei gespeichert haben, navigieren Sie zum Download-Verzeichnis und klicken Sie auf die RDP-Datei, um das Dialogfeld zu öffnen.

7. Möglicherweise wird eine Warnmeldung angezeigt, dass der Herausgeber der Remoteverbindung unbekannt ist. Als Nächstes können Sie eine Verbindung mit Ihrer Instance herstellen.

8. Melden Sie sich bei Aufforderung mit dem Administratorkonto für das Betriebssystem und dem zuvor gespeicherten oder kopierten Passwort bei der Instance an. Wenn Ihre Remotedesktop-Verbindung bereits ein Administratorkonto eingerichtet hat, müssen Sie möglicherweise die Option Use another account (Ein anderes Konto verwenden) wählen und den Benutzernamen und das Passwort manuell eingeben.

   Anmerkung

   In manchen Fällen können Inhalte durch Kopieren und Einfügen fehlerhaft werden. Sollten Sie beim Anmelden die Fehlermeldung „Password Failed“ (Passwort fehlerhaft) erhalten, versuchen Sie, das Passwort manuell einzugeben.

9. Aufgrund der Art selbst signierter Zertifikate erhalten Sie möglicherweise eine Warnmeldung, dass das Sicherheitszertifikat nicht authentifiziert werden konnte. Verifizieren Sie die Identität des Remote-Computers mithilfe der folgenden Schritte. Falls Sie dem Zertifikat vertrauen, können Sie auch direkt auf Yes oder Continue klicken.

   1. Wenn Sie die Remote-Desktop-Verbindung von einem Windows-Computer gestartet haben, klicken Sie auf View certificate. Wenn Sie Microsoft Remote Desktop auf einem Mac verwenden, klicken Sie auf Show Certificate.

   2. Öffnen Sie den Tab Details und scrollen Sie nach unten bis zu Thumbprint bei Windows-Computern oder bis zu SHA1 Fingerprints bei Mac. Dies ist die eindeutige Kennung für das Sicherheitszertifikat des Remote-Computers.

   3. Wählen Sie in der Amazon EC2-Konsole die Instance, dann Actions (Aktionen) und anschließend Get System Log (Systemprotokoll abrufen).

   4. Suchen Sie im Systemprotokoll nach einem Eintrag mit der Bezeichnung RDPCERTIFICATE-THUMBPRINT. Wenn der Wert dem Thumbprint oder Fingerprint des Sicherheitszertifikats entspricht, haben Sie die Identität des Remote-Computers erfolgreich verifiziert.

   5. Wenn Sie die Remote-Desktop-Verbindung von einem Windows-Computer gestartet haben, kehren Sie zurück zum Dialogfeld Certificate und klicken Sie auf OK. Wenn Sie Microsoft Remote Desktop auf einem Mac verwenden, navigieren Sie zurück zum Dialogfeld Verify Certificate und klicken Sie auf Continue.

   6. [Windows] Wählen Sie Yes im Fenster Remote Desktop Connection, um sich mit Ihrer Instance zu verbinden.

Nachdem Sie jetzt mit Ihrer Instance verbunden sind, können Sie die Instance IhrerAWS Directory Service-Verzeichnis.

Schritt 4: Treten Sie Ihrer Instanz zu IhremAWS Directory ServiceVerzeichnis

Im Folgenden erfahren Sie, wie Sie eine vorhandene Amazon EC2 Windows-Instance manuell mit IhrerAWS Directory Service-Verzeichnis.

So schließen Sie eine Windows-Instance mit IhrerAWS Directory ServiceVerzeichnis

1. Verbinden Sie die Instance mithilfe eines beliebigen Remote Desktop Protocol-Clients.

2. Öffnen Sie in der Instance das Dialogfeld mit den Eigenschaften für TCP/IPv4.

   1. Öffnen Sie Network Connections.

      Tipp

      Öffnen Sie Network Connections direkt, indem Sie folgenden Befehl über die Befehlszeile der Instance ausführen.

      %SystemRoot%\system32\control.exe ncpa.cpl

   2. Öffnen Sie für eine beliebige aktivierte Netzwerkverbindung per Rechtsklick das Kontextmenü und klicken Sie dann aufEigenschaftenaus.

   3. Öffnen Sie im Dialogfeld für die Verbindungseigenschaften (per Doppelklick) Internet Protocol Version 4.

3. (Optional) Wählen Sie ausVerwenden Sie die folgenden DNS-Serveradressenändern Sie dieBevorzugter DNS-ServerundAlternativer DNS-Serveradressen an die IP-Adressen desAWS Directory Service—bereitgestellte DNS-Server, und wählen SieOKAYaus.

4. Öffnen SieSystemeigenschaftenWählen Sie für die Instance die OptionName des ComputersTab, und wählen SieÄnderungaus.

   Tipp

   Öffnen Sie das Dialogfeld System Properties direkt, indem Sie folgenden Befehl über die Befehlszeile der Instance ausführen.

   %SystemRoot%\system32\control.exe sysdm.cpl

5. In derMitglied derWählen Sie danach aus-Domäne, geben Sie den vollständig qualifizierten Namen IhrerAWS Directory Service-Verzeichnis und wählen Sie danach ausOKAYaus.

6. Wenn Sie zur Eingabe des Namens und des Passworts für den Domänenadministrator aufgefordert werden, geben Sie den Benutzernamen und das Passwort des Admin-Kontos ein.

   Anmerkung

   Sie können entweder den vollqualifizierten Namen Ihrer Domain oder NetBios Name gefolgt von einem umgekehrten Schrägstrich (\) und dann dem Benutzernamen, in diesem FallAdminaus. Beispielsweise corp.example.com\Admin oder corp\Admin.

7. Nachdem Sie in der Domäne willkommen geheißen wurden, starten Sie die Instance neu, damit die Änderungen übernommen werden.

8. Verbinden Sie sich über RDP erneut mit Ihrer Instance und melden Sie sich mithilfe des Benutzernamens und des Passworts für Ihre Instance anAWS Directory ServiceAdmin-Benutzer des Verzeichnisses

Nachdem Ihre Instance der Domäne zugeordnet wurde, können Sie Ihr Amazon FSx-Dateisystem erstellen. Sie können dann die anderen Aufgaben in der Übung „Erste Schritte“ abschließen. Weitere Informationen finden Sie unter Erste Schritte mit Amazon FSx for Windows File Server.