步骤 1: 为 AWS Managed Microsoft AD 设置 AWS 环境 - AWS Directory Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 1: 为 AWS Managed Microsoft AD 设置 AWS 环境

您必须先设置 Amazon EC2 key pair 来对所有登录数据进行加密,然后才能在 AWS 测试实验室中创建 AWS 托管的 Microsoft AD。

创建密钥对

如果您已有已密钥对,可跳过本步骤。有关 Amazon EC2 密钥对的更多信息,请参阅http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

创建密钥对

  1. 登录 AWS 管理控制台,然后通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中的 Network & Security 下,选择 Key Pairs,然后选择 Create Key Pair

  3. 对于 Key pair name (密钥对名称),键入 AWS-DS-KP。对于 Key pair file format (密钥对文件格式),选择 pem,然后选择 Create (创建)

  4. 您的浏览器会自动下载私有密钥文件。该文件名是您在创建密钥对时指定的名称,扩展名为 .pem。将私有密钥文件保存在安全位置。

    重要

    这是您保存私有密钥文件的唯一机会。当您启动实例时,需要提供密钥对的名称;当您解密实例密码时,需要提供相应的私有密钥。

创建、配置和对等两个 VPC

如下图所示,在完成这一多步骤过程后,您就创建并配置了两个公有 VPC、每个 VPC 两个公有子网、每个 VPC 一个 Internet 网关以及这两个 VPC 之间的一个 VPC 对等连接。为了简化和降低成本,我们选择使用公有 VPC 和子网。对于生产工作负载,我们建议您使用私有 VPC。有关提高 VPC 安全性的更多信息,请参阅 Amazon Virtual Private Cloud 中的安全性

所有 AWS CLI 和 PowerShell 示例都使用下面的 VPC 信息并在 us-west-2 中构建。您可以选择任何支持的区域在中构建您的环境。有关一般信息,请参阅 Amazon VPC 是什么?

步骤 1: 创建两个 VPC

在此步骤中,您需要使用下表中的指定参数在同一账户中创建两个 VPC。AWS 托管的微软 AD 支持使用单独的账户共享您的目录功能。第一个 VPC 将用于 AWS Managed Microsoft AD。第二个 VPC 将用于以后可能在 教程:在 Amazon EC2 上创建从 AWS 托管的微软 AD 到自我管理的活动目录安装的信任中使用的资源。

托管 AD VPC 信息

本地 VPC 信息

名称标签:VPC01

IPv4 CIDR block:10.0.0.0/16

IPv6 CIDR 块:无 IPv6 CIDR 块

租赁:默认值

名称标签:AWS-OnPrem-VPC01

IPv4 CIDR block:10.100.0.0/16

IPv6 CIDR 块:无 IPv6 CIDR 块

租赁:默认值

有关详细说明,请参阅创建 VPC

步骤 2: 每个 VPC 创建两个子网

创建 VPC 后,您将需要使用下表中的指定参数为每个 VPC 创建两个子网。对于本测试实验室,每个子网将是 /24。这将允许每个子网最多发出 256 个地址。每个子网必须位于单独的可用区中。将每个子网单独放在可用区中是 AWS 托管的 Microsoft AD 先决条件之一。

AWS-DS-VPC01 子网信息:

AWS-OnPrem-VPC01 子网信息

名称标签:AWS-DS-VPC01-Subnet01

VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01

可用区:us-west-2a

IPv4 CIDR block:10.0.0.0/24

名称标签:AWS-OnPrem-VPC01-Subnet01

VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01

可用区:us-west-2a

IPv4 CIDR block:10.100.0.0.0/24

名称标签:AWS-DS-VPC01-Subnet02

VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01

可用区:us-west-2b

IPv4 CIDR block:10.0.1.0/24

名称标签:AWS-OnPrem-VPC01-Subnet02

VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01

可用区:us-west-2b

IPv4 CIDR block:10.100.1.0/24

有关详细说明,请参阅在 VPC 中创建子网

步骤 3: 创建 Internet Gateway 并将其连接到 VPC

由于我们使用的是公有 VPC,因此需要使用下表中的指定参数创建 Internet 网关并将其连接到 VPC。这将允许您连接和管理您的 EC2 实例。

AWS-DS-VPC01 Internet 网关信息

AWS-OnPrem-VPC01 Internet 网关信息

名称标签:VPC01-IGW

VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01

名称标签:AWS-OnPrem-VPC01-IGW

VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01

有关详细说明,请参阅 Internet 网关

步骤 4: 在 AWS-DS-VPC01 与 AWS OnPrem-VPC01 之间配置 VPC 对等连接

由于您之前已经创建了两个 VPC,因此您需要使用下表中的指定参数通过 VPC 对等方式将它们联网在一起。尽管有很多方法可以连接您的 VPC,但本教程将使用 VPC 对等。AWS 托管的 Microsoft AD 支持许多解决方案来连接您的 VPC,其中一些包括VPC 对等中转网关, 和VPN

对等连接名称标记:AWS-DS-VPC01&AWS-DS-VPC01-Peer

VPC(请求者):vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01

账户:我的账户

区域: 此区域

VPC(接受者):vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01

有关如何在您账户中的两个 VPC 之间创建 VPC 对等连接的说明,请参阅在您账户中的两个 VPC 之间创建 VPC 对等连接

步骤 5:向每个 VPC 的主路由表添加两条路由

为了使在前面步骤中创建的 Internet 网关和 VPC 对等连接能够正常起作用,您需要使用下表中的指定参数更新这两个 VPC 的主路由表。您将添加两条路由:0.0.0.0/0(它将路由到路由表未明确知道的所有目的地)和 10.0.0.0/16 或 10.100.0.0/16(它将通过上面建立的 VPC 对等连接路由到每个 VPC)。

您可以通过筛选 VPC 名称标签(AWS-DS-VPC01 或 AWS-OnPrem-VPC01),轻松找到每个 VPC 的正确路由表。

AWS-DS-VPC01 路由 1 信息

AWS-DS-VPC01 路由 2 信息

AWS-OnPrem-VPC01 路由 1 信息

AWS-OnPrem-VPC01 路由 2 信息

目标:0.0.0.0/0

目标:igw-xxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW

目标:10.100.0.0/16

目标:pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer

目标:0.0.0.0/0

目标:igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01

目标:10.0.0.0/16

目标:pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer

有关如何向 VPC 路由表添加路由的说明,请参阅从路由表添加和删除路由

为 EC2 实例创建安全组

默认情况下,AWS Managed Microsoft AD 创建安全组用于管理其域控制器之间的流量。在本节中,您需要创建 2 个安全组(每个 VPC 一个),它们用于使用下表中的指定参数管理 EC2 实例的 VPC 内流量。您还需要添加规则,允许从任意位置的 RDP (3389) 入站,以及来自本地 VPC 的所有流量类型入站。有关更多信息,请参阅 。适用于 Windows 实例的 Amazon EC2 安全组

AWS-DS-VPC01 安全组信息:

安全组名称:AWS DS 测试实验室安全组

描述:AWS DS 测试实验室安全组

VPC:vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01

AWS-DS-VPC01 的安全组入站规则

类型 协议 端口范围 流量的类型
自定义 TCP 规则 TCP 3389 我的 IP 远程桌面
所有流量 全部 全部 10.0.0.0/16 所有本地 VPC 流量

AWS-DS-VPC01 的安全组出站规则

类型 协议 端口范围 流量的类型
所有流量 全部 全部 0.0.0.0/0 所有流量
AWS-OnPrem-VPC01 安全组信息:

安全组名称:AWS OnPrem 测试实验室安全组。

描述:AWS OnPrem 测试实验室安全组。

VPC:vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01

AWS-OnPrem-VPC01 的安全组入站规则

类型 协议 端口范围 流量的类型
自定义 TCP 规则 TCP 3389 我的 IP 远程桌面
自定义 TCP 规则 TCP 53 10.0.0.0/16 DNS
自定义 TCP 规则 TCP 88 10.0.0.0/16 Kerberos
自定义 TCP 规则 TCP 389 10.0.0.0/16 LDAP
自定义 TCP 规则 TCP 464 10.0.0.0/16 Kerberos 更改/设置密码
自定义 TCP 规则 TCP 445 10.0.0.0/16 SMB / CIFS
自定义 TCP 规则 TCP 135 10.0.0.0/16 复制
自定义 TCP 规则 TCP 636 10.0.0.0/16 LDAP SSL
自定义 TCP 规则 TCP 49152 - 65535 10.0.0.0/16 RPC
自定义 TCP 规则 TCP 3268 - 3269 10.0.0.0/16 LDAP GC 和 LDAP GC SSL
自定义 TCP 规则 UDP 53 10.0.0.0/16 DNS
自定义 UDP 规则 UDP 88 10.0.0.0/16 Kerberos
自定义 UDP 规则 UDP 123 10.0.0.0/16 Windows 时间
自定义 UDP 规则 UDP 389 10.0.0.0/16 LDAP
自定义 UDP 规则 UDP 464 10.0.0.0/16 Kerberos 更改/设置密码
所有流量 全部 全部 10.100.0.0/16 所有本地 VPC 流量

AWS-OnPrem-VPC01 的安全组出站规则

类型 协议 端口范围 流量的类型
所有流量 全部 全部 0.0.0.0/0 所有流量

有关如何创建规则并将规则添加到安全组的详细说明,请参阅使用安全组