步驟 3:部署 EC2 執行個體以管理 AWS Managed Microsoft AD - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:部署 EC2 執行個體以管理 AWS Managed Microsoft AD

在此實驗室中,我們將使用具有公有 IP 地址的 EC2 執行個體,讓您輕鬆地從任何地方存取管理執行個體。在生產設定中,您可以使用位於私有 VPC 中的執行個體,這些執行個體只能透過 VPN 或 Amazon Direct Connect 連結存取。具有公有 IP 地址的執行個體則沒有任何需求。

在本節中,您會使用新 EC2 執行個體上的 Windows Server,來演練讓用戶端電腦連線到您網域所需的各種部署後任務。在下一個步驟中,您會使用 Windows Server 來確認實驗室可運作。

選用:針對您的目錄在 AWS-DS-VPC01 中建立 DHCP 選項集

在此選用程序中,您會設定 DHCP 選項範圍,讓您 VPC 中的 EC2 執行個體自動使用您的 AWS Managed Microsoft AD 進行 DNS 解析。如需詳細資訊,請參閱 DHCP 選項集

為目錄建立 DHCP 選項集
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 DHCP Options Sets (DHCP 選項集),然後選擇 Create DHCP options set (建立 DHCP 選項集)

  3. Create DHCP options set (建立 DHCP 選項集) 頁面上,提供您目錄的下列值:

    • Name (名稱) 輸入 AWS DS DHCP

    • Domain name (網域名稱) 中輸入 corp.example.com

    • 針對 Domain name servers (網域名稱伺服器),輸入您 AWS 所提供目錄之 DNS 伺服器的 IP 地址。

      注意

      若要尋找這些地址,請前往 AWS Directory Service 目錄 頁面,然後選擇相應的目錄 ID。在詳細資訊頁面上,識別並使用 DNS 地址中顯示的 IP。

      若要尋找這些地址,您也可以前往 AWS Directory Service 目錄 頁面,然後選擇相應的目錄 ID。然後,選擇擴展和共享。在域控制站下,識別並使用 IP 地址中顯示的 IP。

    • NTP servers (NTP 伺服器)、NetBIOS name servers (NetBIOS 名稱伺服器) 和 NetBIOS node type (NetBIOS 節點類型) 中的設定留白。

  4. 選擇建立 DHCP 選項集,然後選擇關閉。新的 DHCP 選項集會隨即出現在您的 DHCP 選項清單中。

  5. 記下新 DHCP 選項集的 ID (dopt-xxxxxxxx)。在此程序最後要建立新選項集與 VPC 的關聯時會用到。

    注意

    無縫網域加入,無須設定 DHCP 選項集。

  6. 在導覽窗格中,選擇 Your VPCs (您的 VPC)。

  7. 在 VPC 清單中,選取 AWS DS VPC 並選擇動作,然後選擇編輯 DHCP 選項集

  8. Edit DHCP options set(編輯 DHCP 選項集) 頁面上,選取您在步驟 5 中記錄的選項集,然後選擇 Save (儲存)

建立角色以將 Windows 執行個體加入您的 AWS Managed Microsoft AD 域

使用此程序設定角色,將 EC2 Windows 執行個體加入網域。如需詳細資訊,請參閱《Amazon EC2 Windows 執行個體使用者指南》中的無縫加入 Windows EC2 執行個體一節。

設定 EC2,將 Windows 執行個體加入您的網域
  1. 開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  3. Select type of trusted entity (選擇可信任執行個體類型) 下,選擇 AWS service ( 服務)。

  4. 緊接在 Choose the service that will use this role (選擇將使用此角色的服務) 下,選擇 EC2,然後選擇 Next: Permissions (下一步:許可)

  5. Attached permissions policy (連結許可政策) 頁面上,執行下列動作:

    • 選取亞馬遜 SSM 管理策略旁邊的核ManagedInstanceCore取方塊。此政策提供使用 Systems Manager 服務所需的最低權限。

    • 選取亞馬遜 SSM 受管理策略旁邊的核DirectoryServiceAccess取方塊。此政策提供將執行個體加入受 AWS Directory Service 管理 Active Directory 的權限。

    如需您可以連接至 Systems Manager IAM 執行個體設定檔的這些受管政策和其他政策的資訊,請參閱《AWS Systems Manager 使用者指南》中的建立 Systems Manager 的 IAM 執行個體設定檔。如需受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

  6. 選擇 Next: Tags (下一步:標籤)。

  7. (選用) 新增一或多個標籤來組織鍵值對、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)

  8. 角色名稱中,輸入角色名稱,該名稱說明該角色用於將執行個體加入網域,例如 EC2 DomainJoin

  9. (選用) 針對 Role description (角色描述),輸入描述。

  10. 選擇 Create role (建立角色)。系統會讓您回到 Roles (角色) 頁面。

建立 EC2 執行個體並自動加入目錄

在此程序中,您會在 Amazon EC2 中設定 Windows Server 系統,以便稍後用來管理 Active Directory 中的使用者、群組和政策。

建立 EC2 執行個體並自動加入目錄
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 選擇 Launch Instance (啟動執行個體)

  3. Step 1 (步驟 1) 頁面上,選擇 Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx 旁的 Select (選取)

  4. Step 2 (步驟 2) 頁面上,選取 t3.micro (請注意,您可以選擇更大的執行個體類型),然後選擇 Next: Configure Instance Details (下一步:設定執行個體詳細資訊)

  5. Step 3 (步驟 3) 頁面上,執行下列動作:

    • 針對網路,選擇以 AWS-DS-VPC01 做為結尾的 VPC (例如 vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01))。

    • 針對子網路,選擇應該已預先設定您慣用之可用區域的 Public subnet 1 (例如 subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a)。

    • 針對 Auto-assign Public IP (自動指派公有 IP),如果該子網路設定未預設為啟用,請選擇 Enable (啟用)。

    • 針對 Domain join directory (網域加入目錄),選擇 corp.example.com (d-xxxxxxxxxx)

    • 對於 IAM 角色,請選擇您為執行個體角色指定的名稱建立角色以將 Windows 執行個體加入您的 AWS Managed Microsoft AD 域,例如 EC2 DomainJoin

    • 將其他設定保留為其預設值。

    • 選擇 Next: Add Storage (下一步:新增儲存體)

  6. Step 4 (步驟 4) 頁面上,保留預設設定,然後選擇 Next: Add Tags (下一步:新增標籤)。

  7. Step 5 (步驟 5) 頁面上,選擇 Add Tag (新增標籤)。在 Key (金鑰) 下,輸入 corp.example.com-mgmt,然後選擇 Next: Configure Security Group (下一步:設定安全群組)

  8. 步驟 6 頁面上,選擇選取現有安全群組並選取 AWS DS RDP 安全群組 (即您之前在基礎教學中設定的值),然後選擇檢閱和啟動以檢閱您的執行個體。

  9. Step 7 (步驟 7) 頁面上,檢閱頁面,然後選擇 Launch (啟動)。

  10. Select an existing key pair or create a new key pair (選取現有金鑰對或建立新金鑰對) 對話方塊中,執行下列動作:

    • 選擇 Choose an existing key pair (選擇現有金鑰對)。

    • 選取金鑰對下,選擇 AWS-DS-KP

    • 選取 I acknowledge... (我確認...) 核取方塊。

    • 選擇 Launch Instances (啟動執行個體)。

  11. 選擇 檢視執行個體返回 Amazon EC2 主控台並檢視部署的狀態。

在您的 EC2 執行個體上安裝 Active Directory 工具

您可以從兩種方法中進行選擇,在您的 EC2 執行個體上安裝 Active Directory 網域管理工具。您可以使用伺服器管理員 UI (本教學課程建議使用) 或 Windows PowerShell。

在您的 EC2 執行個體上安裝 Active Directory 工具 (伺服器管理員)
  1. 在 Amazon EC2 主控台中,選擇執行個體並選取您剛建立的執行個體,然後選擇連線

  2. 如果您尚未取得密碼,請在 Connect To Your Instance (連接至您的執行個體) 對話方塊中,選擇 Get Password (取得密碼) 取回您的密碼,然後選擇 Download Remote Desktop File (下載遠端桌面檔)

  3. Windows Security (Windows 安全性) 對話方塊中,輸入 Windows Server 電腦的本機管理員登入資料進行登入 (例如 administrator)。

  4. 開始選單,選擇伺服器管理員

  5. 儀表板中,選擇新增角色及功能

  6. 新增角色及功能精靈中,選擇下一步

  7. 選取安裝類型頁面上,選擇角色型或功能型安裝,然後選擇下一步

  8. 選取目的地伺服器頁面上,確定已選取本機伺服器,然後選擇下一步

  9. 選取伺服器角色頁面上,選擇下一步

  10. 選取功能頁面上,執行下列動作:

    • 選取群組原則管理核取方塊。

    • 展開遠端伺服器管理工具,然後展開角色管理工具

    • 選取 AD DS 及 AD LDS 工具核取方塊。

    • 選取 DNS 伺服器工具核取方塊。

    • 選擇下一步

  11. 確認安裝選項頁面上,檢閱資訊,然後選擇安裝。功能安裝完成後,開始選單的 Windows 系統管理工具資料夾中將會提供下列新的工具或嵌入式管理單元。

    • Active Directory 管理中心

    • Active Directory 網域及信任

    • 活動目錄模塊視窗 PowerShell

    • Active Directory 站台及服務

    • Active Directory 使用者和電腦

    • ADSI 編輯器

    • DNS

    • 群組原則管理

在 EC2 實例上安裝活動目錄工具(Windows PowerShell)(可選)
  1. 啟動視窗 PowerShell。

  2. 輸入下列命令。

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server