Fase 3: Implementa un'istanza Amazon EC2 per gestire la tua AWS Managed Microsoft AD Active Directory - AWS Directory Service
Facoltativo: crea un set di opzioni DHCP in AWS-DS-VPC01 per la tua directoryCrea un ruolo per aggiungere istanze Windows al tuo dominio Microsoft AD AWS gestitoCrea un'istanza Amazon EC2 e accedi automaticamente alla directoryInstallazione degli strumenti di Active Directory sull'istanza EC2

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 3: Implementa un'istanza Amazon EC2 per gestire la tua AWS Managed Microsoft AD Active Directory

Per questo laboratorio, utilizziamo istanze Amazon EC2 con indirizzi IP pubblici per semplificare l'accesso all'istanza di gestione da qualsiasi luogo. In un ambiente di produzione, puoi utilizzare istanze che si trovano in un VPC privato accessibili solo tramite una VPN AWS Direct Connect o un collegamento. Non è necessario che l'istanza abbia un indirizzo IP pubblico.

In questa sezione, procedi gradualmente nelle varie attività successive alla distribuzione, necessarie per i computer client per connettere il tuo dominio usando il Windows Server sulla tua nuova istanza EC2. Usa la Windows Server nella fase successiva per verificare che il lab sia operativo.

Facoltativo: crea un set di opzioni DHCP in AWS-DS-VPC01 per la tua directory

In questa procedura facoltativa, configuri un ambito di opzioni DHCP in modo che le istanze EC2 nel tuo VPC utilizzino automaticamente il tuo Managed AWS Microsoft AD per la risoluzione DNS. Per ulteriori informazioni, consulta la pagina relativa ai Set di opzioni DHCP.

Creazione di un set opzioni DHCP per la tua directory

  1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere DHCP Options Sets (Set di opzioni DHCP), quindi selezionare Create DHCP options set (Crea set di opzioni DHCP).

  3. Nella pagina Create DHCP options set (Crea set opzioni DHCP), fornire i seguenti valori per la directory:

    • In Name (Nome) digitare AWS DS DHCP.

    • Per Domain name (Nome dominio), digitare corp.example.com.

    • Per Domain name servers (Server dei nomi di dominio), digita gli indirizzi IP dei server DNS della tua directory fornita da AWS .

      Nota

      Per trovare questi indirizzi, vai alla pagina AWS Directory Service Directory, quindi scegli l'ID di directory applicabile. Nella pagina Dettagli, identifica e utilizza gli IP visualizzati in Indirizzo DNS.

      In alternativa, per trovare questi indirizzi, vai alla pagina Directory del AWS Directory Service e scegli l'ID directory applicabile. Quindi, scegli Dimensiona e condividi. In Controller di dominio, identifica e utilizza gli IP visualizzati in indirizzo IP.

    • Lascia vuoto per le impostazioni NTP servers (Server NTP), NetBIOS name servers (Server dei nomi NetBIOS) e NetBIOS node type (Tipo di nodo NetBIOS).

  4. Scegliere Create DHCP options set (Crea set di opzioni DHCP) e Close (Chiudi). Il nuovo set di opzioni DHCP viene visualizzato nel tuo elenco delle opzioni DHCP.

  5. Annota l'ID del nuovo set di opzioni DHCP (dopt-xxxxxxxx). Si utilizza al termine di questa procedura, quando si associa il nuovo set di opzioni al VPC.

    Nota

    L'aggiunta ai domini uniforme funziona senza dover configurare un set di opzioni DHCP.

  6. Nel pannello di navigazione, scegli Your VPCs (I tuoi VPC).

  7. Nell'elenco di VPC, seleziona AWS DS VPC, scegli Operazioni e Modifica set di opzioni DHCP.

  8. Nella pagina Edit DHCP options set (Modifica set di opzioni DHCP), selezionare le opzioni registrate nella fase e scegliereSave.

Crea un ruolo per aggiungere istanze Windows al tuo dominio Microsoft AD AWS gestito

Utilizza questa procedura per configurare un ruolo che unisce un'istanza Amazon EC2 Windows a un dominio. Per ulteriori informazioni, consulta Unisci senza problemi un'istanza Amazon EC2 Windows alla tua AWS Microsoft AD gestito Active Directory.

Configurazione di EC2 per aggiungere le istanze Windows al tuo dominio

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.

  3. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

  4. Sotto l'opzione Choose the service that will use this role (Scegli il servizio che utilizzerà questo ruolo) scegli EC2, quindi Next: Permissions (Successivo: Autorizzazioni).

  5. Nella pagina Attached permissions policy (Policy autorizzazioni collegate), eseguire quanto segue:

    • Seleziona la casella accanto alla politica gestita di AmazonSSM ManagedInstanceCore. Questa policy fornisce le autorizzazioni minime necessarie per utilizzare il servizio Systems Manager.

    • Seleziona la casella accanto alla politica gestita da AmazonSSM DirectoryServiceAccess. La policy fornisce le autorizzazioni per collegare le istanze a una Active Directory gestita da AWS Directory Service.

    Per informazioni su queste regole gestite e altre policy che puoi collegare a un profilo dell'istanza IAM per Systems Manager, consulta Creazione di un profilo di istanza IAM per Systems Manager nella Guida per l'utente di AWS Systems Manager . Per ulteriori informazioni sulle policy, consulta Policy gestite da AWS nella Guida per l'utente IAM.

  6. Scegliere Next: Tags (Successivo: Tag).

  7. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegliere Next: Review (Successivo: Rivedi).

  8. Per Nome ruolo, inserisci un nome per il ruolo che descrive che viene utilizzato per unire le istanze a un dominio, ad esempio EC2. DomainJoin

  9. (Facoltativo) Per Role Description (Descrizione ruolo), immetti una descrizione.

  10. Scegliere Create role (Crea ruolo). Il sistema visualizza di nuovo la pagina Roles (Ruoli).

Crea un'istanza Amazon EC2 e accedi automaticamente alla directory

In questa procedura configuri un sistema Windows Server in un'istanza EC2 che può essere utilizzato in seguito per amministrare utenti, gruppi e politiche in Active Directory.

Creazione di un'istanza EC2 e aggiunta automatica della directory

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Scegliere Launch Instance (Avvia istanza).

  3. Nella pagina Fase 1, accanto a Microsoft Windows Server 2019 Base - ami-xxxxxxxx scegliere Seleziona.

  4. Nella pagina Fase 2, seleziona t3.micro (nota, è possibile scegliere un tipo di istanza più grande) e quindi selezionare Successivo: configura Dettagli istanza.

  5. Nella pagina Step 3 (Fase 3), esegui le operazioni seguenti:

    • Per Rete, scegli il VPC che termina con AWS-DS-VPC01 (ad esempio, vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01).

    • In Sottorete scegli Sottorete pubblica 1, che dovrebbe essere preconfigurata per la zona di disponibilità che preferisci (ad esempio, subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a).

    • Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegli Enable (Abilita) (se l'impostazione della sottorete non è configurata per l'abilitazione come impostazione predefinita).

    • Per Domain join directory (Directory aggiunta dominio), scegli corp.example.com (d-xxxxxxxxxx).

    • Per il ruolo IAM scegli il nome a cui hai assegnato il ruolo dell'istanzaCrea un ruolo per aggiungere istanze Windows al tuo dominio Microsoft AD AWS gestito, ad esempio EC2. DomainJoin

    • Lascia le altre impostazioni ai valori predefiniti.

    • Scegli Passaggio successivo: aggiunta dello storage.

  6. Nella pagina Step 4 (Fase 4), mantieni le impostazioni predefinite, quindi scegli Next: Add Tags (Successivo: aggiungi tag).

  7. Nella pagina Step 5 (Fase 5), scegli Add tag (Aggiungi tag). In Key (Chiave) digita corp.example.com-mgmt quindi scegli Next: Configure Security Group (Successivo: configura gruppo di sicurezza).

  8. Nella pagina Fase 6, scegli Seleziona un gruppo di sicurezza esistente, seleziona Gruppo di sicurezza AWS DS Test Lab (che hai già configurato nel tutorial di base), quindi scegli Analizza e avvia per analizzare l'istanza.

  9. Nella pagina Step 7 (Fase 7), analizza la pagina, quindi scegli Launch (Avvia).

  10. Nella finestra di dialogo Select an existing key pair or create a new key pair (Seleziona una coppia di chiavi esistente o crea una nuova coppia di chiavi) esegui le operazioni seguenti:

    • Scegli Choose an existing key pair (Scegli una coppia di chiavi esistente).

    • In Seleziona una coppia di chiavi, scegli AWS-DS-KP.

    • Seleziona la casella di controllo I acknowledge... (Acconsento...).

    • Scegliere Launch Instances (Avvia istanze).

  11. Scegli Visualizza istanze per tornare alla console Amazon EC2 e visualizzare lo stato dell'implementazione.

Installazione degli strumenti di Active Directory sull'istanza EC2

È possibile scegliere tra due metodi per installare gli strumenti di gestione del dominio di Active Directory sulla tua istanza EC2. Puoi utilizzare l'interfaccia utente di Server Manager (consigliata per questo tutorial) oppureWindows PowerShell.

Installazione degli strumenti di Active Directory sull'istanza EC2 (Server Manager)

  1. Nella console Amazon EC2, scegli Istanze, seleziona l'istanza appena creata, quindi scegli Connetti.

  2. Nella casella di dialogo Connect To Your Instance (Connetti all’istanza), scegliere Get Password (Ottieni password) per recuperare la password se non è stato già fatto e scegliere Download Remote Desktop File (Scarica file Desktop remoto).

  3. Nella finestra di dialogo Windows Security (Sicurezza di Windows), digita le credenziali dell'amministratore locale per il computer Windows Server per effettuare l'accesso (ad esempio, administrator).

  4. Nel menu Start (Inizia), scegli Server Manager.

  5. In Dashboard (Pannello di controllo), scegli Add Roles and Features (Aggiungi ruoli e funzionalità).

  6. In Add Roles and Features Wizard (Procedura guidata aggiunta ruoli e funzionalità), scegli Next (Successivo).

  7. Nella pagina Select installation type (Seleziona tipo di installazione), scegli Role-based or feature-based installation (Installazione basata su ruoli o su funzionalità), quindi scegli Next (Successivo).

  8. Nella pagina Select destination server (Seleziona server di destinazione), assicurati che sia selezionato il server locale, quindi scegli Next (Successivo).

  9. Nella pagina Select server roles (Seleziona ruoli server), scegli Next (Successivo).

  10. Nella pagina Select features (Seleziona funzionalità), effettua le operazioni seguenti:

    • Seleziona la casella di Group Policy Management (Gestione di Group Policy).

    • Espandi Remote Server Administration Tools (Strumenti di amministrazione server remoti) e successivamente espandi Role Administration Tools (Strumenti amministrazione ruoli).

    • Seleziona la casella di controllo AD DS and AD LDS Tools (Strumenti AD DS e AD LDS).

    • Seleziona la casella di controllo DNS Server Tools (Strumenti del server DNS).

    • Seleziona Successivo.

  11. Nella pagina Confirm installation selections (Conferma selezioni di installazione), verifica l'informazione e quindi scegli Install (Installa). Quando la funzione di installazione è terminata, i seguenti nuovi strumenti o snap-in saranno disponibili nella cartella Strumenti di amministrazione di Windows nel menu Start.

    • Centro di amministrazione di Active Directory

    • Dominio Active Directory e Trust

    • Modulo Active Directory per Windows PowerShell

    • Siti di Active Directory e servizi

    • Utenti Active Directory e computer

    • Modifica ADSI

    • DNS

    • Gestione di Group Policy

Per installare gli strumenti di Active Directory sulla tua istanza EC2 (Windows PowerShell) (opzionale)

  1. Avvia Windows PowerShell.

  2. Digita il seguente comando. 

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server