Langkah 1: Atur lingkungan Anda untuk kepercayaan - AWS Directory Service
Membuat instans EC2 Windows Server 2019Promosikan server Anda ke pengendali domainMengkonfigurasi VPC Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1: Atur lingkungan Anda untuk kepercayaan

Di bagian ini, Anda mengatur lingkungan Amazon EC2, menyebarkan hutan baru, dan menyiapkan VPC Anda untuk dipercaya. AWS

Lingkungan Amazon EC2 dengan Amazon VPC, subnet, dan Internet Gateway untuk menyebarkan hutan baru dan membangun hubungan kepercayaan.

Membuat instans EC2 Windows Server 2019

Gunakan prosedur berikut untuk membuat server anggota Windows Server 2019 di Amazon EC2.

Untuk membuat instans EC2 Windows Server 2019

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di konsol Amazon EC2, pilih Luncurkan Instans.

  3. Pada halaman Langkah 1, temukan Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx di dalam daftar. Lalu pilih Pilih.

  4. Pada halaman Langkah 2, pilih t2.large, lalu pilih Berikutnya: Konfigurasi Detail Instans.

  5. Pada halaman Langkah 3, lakukan hal berikut:

  6. Pada halaman Langkah 4, biarkan pengaturan default, kemudian pilih Berikutnya: Tambahkan Tanda.

  7. Pada halaman Langkah 5, pilih Tambahkan Tanda. Di bawah Kunci ketik example.local-DC01, kemudian pilih Berikutnya: Konfigurasi Grup Keamanan.

  8. Pada halaman Langkah 6, pilih Pilih grup keamanan yang ada, pilih AWS On-Prem Test Lab Security Group (yang sebelumnya Anda atur dalam tutorial Dasar), lalu pilih Tinjau dan Luncurkan untuk meninjau instance Anda.

  9. Pada halaman Langkah 7, tinjau halaman, dan kemudian pilih Luncurkan.

  10. Pada kotak dialog Pilih key pair yang sudah ada atau buat key pair baru, lakukan hal berikut:

    • Pilih Pilih key pair yang sudah ada.

    • Di bawah Pilih key pair, pilih AWS-DS-KP (yang sebelumnya Anda atur di Tutorial dasar).

    • Pilih kotak centang Saya mengakui….

    • Pilih Luncurkan Instans.

  11. Pilih Lihat Instans untuk kembali ke konsol Amazon EC2 dan melihat status deployment.

Promosikan server Anda ke pengendali domain

Sebelum Anda dapat membuat kepercayaan, Anda harus membangun dan men-deploy pengendali domain pertama untuk forest baru. Selama proses ini Anda mengkonfigurasi forest Direktori Aktif baru, menginstal DNS, dan mengatur server ini untuk menggunakan server DNS lokal untuk resolusi nama. Anda harus me-reboot server pada akhir prosedur ini.

catatan

Jika Anda ingin membuat pengontrol domain dalam replikasi AWS tersebut dengan jaringan lokal, pertama-tama Anda akan menggabungkan instans EC2 secara manual ke domain lokal Anda. Setelah itu Anda dapat mempromosikan server ke pengendali domain.

Untuk mempromosikan server Anda ke pengendali domain

  1. Di konsol Amazon EC2, pilih Instans, pilih Instans yang baru saja Anda buat, kemudian pilih Hubungkan.

  2. Di kotak dialog Hubungkan ke Instans Anda, pilih Unduh File Remote Desktop.

  3. Di kotak dialog Keamanan Windows, ketik kredensial administrator lokal Anda untuk komputer Windows Server untuk masuk (misalnya, administrator). Jika Anda belum memiliki kata sandi administrator lokal, kembali ke konsol Amazon EC2, klik kanan pada instans, dan pilih Dapatkan Kata Sandi Windows. Arahkan ke file AWS DS KP.pem Anda atau kunci .pem pribadi Anda, dan kemudian pilih Dekripsi Kata sandi.

  4. Dari menu Mulai, pilih Pengelola Server.

  5. Di Dasbor, pilih Tambah Peran dan Fitur.

  6. Di Tambahkan Wizard Peran dan Fitur, pilih Selanjutnya.

  7. Pada halaman Pilih jenis instalasi, pilih Instalasi berbasis peran atau berbasis fitur, lalu pilih Selanjutnya.

  8. Pada halaman Pilih server tujuan, pastikan bahwa server lokal dipilih, dan kemudian pilih Selanjutnya.

  9. Pada halaman Pilih peran server, pilih Layanan Domain Direktori Aktif. Di kotak dialog Tambahkan Wizard Peran dan Fitur, verifikasi bahwa kotak centang Sertakan alat manajemen (jika ada) dipilih. Pilih Tambahkan Fitur, lalu pilih Selanjutnya.

  10. Pada halaman Pilih fitur, pilih Selanjutnya.

  11. Pada halaman Layanan Domain Direktori Aktif, pilih Selanjutnya.

  12. Pada halaman Konfirmasi pilihan instalasi, pilih Instal.

  13. Setelah binari Direktori Aktif diinstal, pilih Tutup.

  14. Ketika Pengelola Server terbuka, cari bendera di atas sebelah kata Kelola. Ketika bendera ini berubah kuning, server siap untuk dipromosikan.

  15. Pilih bendera kuning, dan kemudian pilih Mempromosikan server ini ke pengendali domain.

  16. Pada halaman Konfigurasi Deployment, pilih Menambahkan forest baru. Di Nama domain root ketik example.local, lalu pilih Selanjutnya.

  17. Pada halaman Opsi Pengendali Domain, lakukan hal berikut:

    • Di Tingkat fungsional forest dan Tingkat fungsional domain, pilih Windows Server 2016.

    • Di bawah Tentukan kemampuan pengontrol domain, verifikasi bahwa server DNS dan Katalog Global (GC) dipilih.

    • Ketik dan kemudian konfirmasikan kata sandi Directory Services Restore Mode (DSRM). Lalu pilih Selanjutnya.

  18. Pada halaman Opsi DNS, abaikan peringatan tentang delegasi dan pilih Selanjutnya.

  19. Pada halaman Opsi tambahan, pastikan EXAMPLE terdaftar sebagai nama NetBios domain.

  20. Pada halaman Jalur, biarkan default, dan kemudian pilih Selanjutnya.

  21. Pada halaman Tinjau opsi, pilih Selanjutnya. Server sekarang memeriksa untuk memastikan semua prasyarat untuk pengendali domain terpenuhi. Anda mungkin melihat beberapa peringatan ditampilkan, namun Anda dapat mengabaikannya dengan aman.

  22. Pilih Instal. Setelah instalasi selesai, server akan reboot dan kemudian menjadi pengendali domain fungsional.

Mengkonfigurasi VPC Anda

Tiga prosedur berikut memandu Anda melalui langkah-langkah untuk mengkonfigurasi VPC Anda untuk konektivitas dengan AWS.

Untuk mengkonfigurasi aturan keluar VPC Anda

  1. Di AWS Directory Service konsol, catat ID direktori Microsoft AD AWS Terkelola untuk corp.example.com yang sebelumnya Anda buat di tutorial Base.

  2. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  3. Di panel navigasi, pilih Grup Keamanan.

  4. Cari ID direktori Microsoft AD AWS Terkelola Anda. Di hasil pencarian, pilih item dengan deskripsi AWS membuat grup keamanan untuk pengendali direktori d-xxxxxx.

    catatan

    Grup keamanan ini secara otomatis dibuat ketika Anda awalnya membuat direktori Anda.

  5. Pilih tab Aturan Keluar di bawah grup keamanan tersebut. Pilih Edit, pilih Tambahkan aturan lain, dan kemudian tambahkan nilai-nilai berikut:

    • Untuk Jenis, pilih Semua lalu lintas.

    • Untuk Tujuan, ketik 0.0.0.0/0.

    • Biarkan pengaturan lainnya pada default.

    • Pilih Simpan.

Untuk memverifikasi praautentikasi kerberos diaktifkan

  1. Pada pengendali domain example.local, buka Pengelola Server.

  2. Pada menu Alat, pilih Pengguna dan komputer Direktori Aktif.

  3. Arahkan ke direktori Pengguna, klik kanan pada pengguna mana pun dan pilih Properti, dan kemudian pilih tab Akun. Di daftar Opsi akun, gulir ke bawah dan pastikan bahwa Tidak memerlukan praautentikasi Kerberos tidak dicentang.

  4. Lakukan langkah yang sama untuk domain corp.example.comdari instans corp.example.com-mgmt.

Untuk mengkonfigurasi DNS penerus bersyarat
catatan

Penerus bersyarat adalah server DNS pada jaringan yang digunakan untuk meneruskan kueri DNS sesuai dengan nama domain DNS dalam kueri tersebut. Sebagai contoh, server DNS dapat dikonfigurasi untuk meneruskan semua kueri yang diterima untuk nama yang berakhir dengan widgets.example.com ke alamat IP server DNS tertentu atau ke alamat IP dari beberapa server DNS.

  1. Buka konsol AWS Directory Service.

  2. Di panel navigasi, pilih Direktori.

  3. Pilih ID direktori iklan Microsoft AWS Terkelola Anda.

  4. Perhatikan nama domain yang memenuhi syarat (FQDN), corp.example.com, dan alamat DNS dari direktori Anda.

  5. Sekarang, kembali ke pengendali domain example.local, dan kemudian buka Pengelola Server.

  6. Pada menu Alat, pilih DNS.

  7. Pada pohon konsol, perluas server DNS dari domain di mana Anda mengatur kepercayaan, dan arahkan ke Penerus Bersyarat.

  8. Klik kanan Penerus Bersyarat, lalu pilih Penerus Bersyarat Baru.

  9. Dalam domain DNS, ketik corp.example.com.

  10. Di bawah alamat IP server utama, pilih <Klik di sini untuk menambahkan... >, ketik alamat DNS pertama dari direktori Microsoft AD AWS Terkelola Anda (yang Anda catat dalam prosedur sebelumnya), lalu tekan Enter. Lakukan hal yang sama untuk alamat DNS kedua. Setelah memasukkan alamat DNS, Anda mungkin mendapatkan kesalahan “timeout” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.

  11. Pilih kotak centang Menyimpan penerus bersyarat ini di Direktori Aktif dan mereplikasi sebagai berikut. Di menu drop-down, pilih Semua server DNS di Forest ini, lalu pilih OK.