Langkah 3: Menerapkan instans Amazon EC2 untuk mengelola Direktori Aktif Microsoft AD yang AWS Dikelola - AWS Directory Service
Opsional: Buat opsi DHCP diatur dalam AWS-DS-VPC01 untuk direktori AndaMembuat peran untuk menggabungkan instans Windows ke domain Microsoft AD AWS TerkelolaBuat instans Amazon EC2 dan secara otomatis bergabung dengan direktoriMenginstal alat Direktori Aktif pada instans EC2 Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 3: Menerapkan instans Amazon EC2 untuk mengelola Direktori Aktif Microsoft AD yang AWS Dikelola

Untuk lab ini, kami menggunakan instans Amazon EC2 yang memiliki alamat IP publik agar mudah mengakses instans manajemen dari mana saja. Dalam pengaturan produksi, Anda dapat menggunakan instance yang ada di VPC pribadi yang hanya dapat diakses melalui VPN AWS Direct Connect atau tautan. Tidak ada persyaratan instans memiliki alamat IP publik.

Di bagian ini, Anda menelusuri berbagai tugas pasca deployment yang diperlukan untuk komputer klien untuk terhubung ke domain Anda menggunakan Windows Server baru di instans EC2 baru Anda. Anda menggunakan Windows Server pada langkah berikutnya untuk memverifikasi bahwa laboratorium beroperasi.

Opsional: Buat opsi DHCP diatur dalam AWS-DS-VPC01 untuk direktori Anda

Dalam prosedur opsional ini, Anda menyiapkan cakupan opsi DHCP sehingga instans EC2 di VPC Anda secara otomatis menggunakan AD AWS Microsoft Terkelola untuk resolusi DNS. Untuk informasi selengkapnya, lihat Set pilihan DHCP.

Untuk membuat set opsi DHCP untuk direktori Anda

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Set Opsi DHCP, lalu pilih Buat set opsi DHCP.

  3. Pada halaman Buat set opsi DHCP, berikan nilai berikut untuk direktori Anda:

    • Untuk Nama, ketik AWS DS DHCP.

    • Untuk Nama domain, ketik corp.example.com.

    • Untuk Server nama domain, ketik alamat IP dari server DNS direktori yang disediakan AWS .

      catatan

      Untuk menemukan alamat ini, buka halaman AWS Directory Service Direktori, lalu pilih ID direktori yang berlaku. Pada halaman Detail, identifikasi dan gunakan IP yang ditampilkan di alamat DNS.

      Atau, untuk menemukan alamat ini, buka halaman AWS Directory Service Direktori, dan pilih ID direktori yang berlaku. Kemudian, pilih Skala & bagikan. Di bawah pengontrol Domain, identifikasi dan gunakan IP yang ditampilkan di alamat IP.

    • Biarkan pengaturan kosong untuk Server NTP, Server nama NetBIOS, dan Jenis simpul NetBIOS.

  4. Pilih Buat set opsi DHCP, lalu pilih Tutup. Set pilihan DHCP yang baru muncul dalam daftar pilihan DHCP Anda.

  5. Catat ID dari set pilihan DHCP yang baru (dopt-xxxxxxxx). Anda menggunakannya pada akhir prosedur ini ketika Anda mengasosiasikan set pilihan yang baru dengan VPC Anda.

    catatan

    Penggabungan domain yang mulus bekerja tanpa harus mengkonfigurasi Set Pilihan DHCP.

  6. Pada panel navigasi, pilih VPC Anda.

  7. Dalam daftar VPC, pilih VPC DS AWS , Pilih Tindakan, lalu pilih Edit set pilihan DHCP.

  8. Pada halaman Edit set pilihan DHCP, pilih set pilihan yang Anda catat di Langkah 5, dan kemudian pilih Simpan.

Membuat peran untuk menggabungkan instans Windows ke domain Microsoft AD AWS Terkelola

Gunakan prosedur ini untuk mengonfigurasi peran yang menggabungkan instans Amazon EC2 Windows ke domain. Untuk informasi selengkapnya, lihat Bergabunglah dengan instans Windows Amazon EC2 dengan mulus ke Microsoft AD yang AWS Dikelola Active Directory.

Untuk mengkonfigurasi EC2 untuk menggabungkan instans Windows ke domain Anda

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Peran, dan lalu pilih Buat peran.

  3. Di bawah Pilih jenis entitas terpercaya, pilih AWS layanan.

  4. Segera di bawah Pilih layanan yang akan menggunakan peran ini, pilih EC2, lalu pilih Berikutnya: Izin.

  5. Di halaman Kebijakan izin terlampir, lakukan hal berikut:

    • Pilih kotak di samping kebijakan terkelola AmazonSSM ManagedInstanceCore. Kebijakan ini menyediakan izin minimum yang diperlukan untuk menggunakan layanan Systems Manager.

    • Pilih kotak di samping kebijakan terkelola AmazonSSM DirectoryServiceAccess. Kebijakan ini menyediakan izin untuk menggabungkan instans ke Direktori Aktif yang dikelola oleh AWS Directory Service.

    Untuk informasi tentang kebijakan terkelola ini dan kebijakan lain yang dapat dilampirkan ke profil instans IAM untuk Systems Manager, lihat Buat profil instans IAM untuk Systems Manager dalam Panduan Pengguna AWS Systems Manager . Untuk informasi selengkapnya tentang kebijakan terkelola , lihat Kebijakan yang dikelola AWS dalam Panduan Pengguna IAM.

  6. Pilih Berikutnya: Tag.

  7. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Selanjutnya: Tinjau.

  8. Untuk nama Peran, masukkan nama untuk peran yang menjelaskan bahwa itu digunakan untuk menggabungkan instance ke domain, seperti DomainJoinEC2.

  9. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  10. Pilih Buat peran. Sistem mengembalikan Anda ke halaman Peran.

Buat instans Amazon EC2 dan secara otomatis bergabung dengan direktori

Dalam prosedur ini Anda mengatur sistem Windows Server dalam instans EC2 yang dapat digunakan nanti untuk mengelola pengguna, grup, dan kebijakan di Active Directory.

Untuk membuat instans EC2 dan menggabungkan direktori secara otomatis

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pilih Luncurkan Instans.

  3. Pada halaman Langkah 1, di sebelah Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx pilih Pilih.

  4. Pada halaman Langkah 2, pilih t3.micro (ingat, Anda dapat memilih jenis instans yang lebih besar), kemudian pilih Selanjutnya: Konfigurasi Detail Instans.

  5. Pada halaman Langkah 3, lakukan hal berikut:

    • Untuk Jaringan, pilih VPC yang diakhiri dengan AWS-DS-VPC01 (misalnya, vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01).

    • Untuk Subnet pilih Subnet publik 1, yang harus dikonfigurasikan sebelumnya untuk Availability Zone pilihan Anda (misalnya, subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a).

    • Untuk Tetapkan Otomatis IP Publik, pilih Aktifkan (jika pengaturan subnet tidak diatur untuk mengaktifkan secara default).

    • Untuk Direktori penggabungan domain, pilih corp.example.com (d-xxxxxxxxxx).

    • Untuk peran IAM pilih nama yang Anda berikan peran instans AndaMembuat peran untuk menggabungkan instans Windows ke domain Microsoft AD AWS Terkelola, seperti DomainJoinEC2.

    • Biarkan pengaturan lainnya pada default.

    • Pilih Berikutnya: Tambahkan Penyimpanan.

  6. Pada halaman Langkah 4, biarkan pengaturan default, kemudian pilih Berikutnya: Tambahkan Tanda.

  7. Pada halaman Langkah 5, pilih Tambahkan Tanda. Di bawah Kunci ketik corp.example.com-mgmt kemudian pilih Berikutnya: Konfigurasi Grup Keamanan.

  8. Pada halaman Langkah 6, pilih Pilih grup keamanan yang ada, pilih AWS DS Test Lab Security Group (yang sebelumnya Anda atur dalam tutorial Dasar), lalu pilih Tinjau dan Luncurkan untuk meninjau instance Anda.

  9. Pada halaman Langkah 7, tinjau halaman, dan kemudian pilih Luncurkan.

  10. Pada kotak dialog Pilih key pair yang sudah ada atau buat key pair baru, lakukan hal berikut:

    • Pilih Pilih key pair yang sudah ada.

    • Di bawah Pilih key pair, pilih AWS-DS-KP.

    • Pilih kotak centang Saya mengakuiā€¦.

    • Pilih Luncurkan Instans.

  11. Pilih Lihat Instans untuk kembali ke konsol Amazon EC2 dan melihat status deployment.

Menginstal alat Direktori Aktif pada instans EC2 Anda

Anda dapat memilih dari dua metode untuk menginstal Active Directory Domain Management Tools pada instans EC2 Anda. Anda dapat menggunakan UI Server Manager (direkomendasikan untuk tutorial ini) atauWindows PowerShell.

Untuk menginstal alat Direktori Aktif pada instans EC2 Anda (Pengelola Server)

  1. Di konsol Amazon EC2, pilih Instans, pilih Instans yang baru saja Anda buat, kemudian pilih Hubungkan.

  2. Di kotak dialog Hubungkan ke Instans Anda, pilih Dapatkan Kata sandi untuk mengambil kata sandi jika Anda belum melakukannya, kemudian pilih Unduh File Remote Desktop.

  3. Di kotak dialog Keamanan Windows, ketik kredensial administrator lokal Anda untuk Windows Server komputer untuk masuk (misalnya, administrator).

  4. Dari menu Mulai, pilih Pengelola Server.

  5. Di Dasbor, pilih Tambah Peran dan Fitur.

  6. Di Tambahkan Wizard Peran dan Fitur, pilih Selanjutnya.

  7. Pada halaman Pilih jenis instalasi, pilih Instalasi berbasis peran atau berbasis fitur, lalu pilih Selanjutnya.

  8. Pada halaman Pilih server tujuan, pastikan bahwa server lokal dipilih, dan kemudian pilih Selanjutnya.

  9. Pada halaman Pilih peran server, pilih Selanjutnya.

  10. Pada halaman Pilih fitur, lakukan hal berikut:

    • Pilih kotak centang Pengelolaan Kebijakan Grup.

    • Perluas Alat Administrasi Server Jarak Jauh, dan kemudian perluas Alat Administrasi Peran.

    • Pilih kotak centang Alat AD DS dan AD LDS.

    • Pilih kotak centang Alat Server DNS.

    • Pilih Berikutnya.

  11. Pada halaman Konfirmasi pilihan instalasi, tinjau informasi, lalu pilih Instal. Setelah penginstalan fitur selesai, alat baru berikut atau snap-in akan tersedia di folder Alat Administratif Windows di menu Mulai.

    • Pusat Administrasi Direktori Aktif

    • Domain dan Kepercayaan Direktori Aktif.

    • Modul Direktori Aktif untuk Windows PowerShell

    • Situs dan Layanan Direktori Aktif.

    • Pengguna dan Komputer Direktori Aktif

    • Edit ADSI

    • DNS

    • Pengelolaan Kebijakan Grup

Untuk menginstal alat Active Directory pada instans EC2 Anda (Windows PowerShell) (Opsional)

  1. Mulai Windows PowerShell.

  2. Ketik perintah berikut ini. 

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server