本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 3:部署 Amazon EC2 執行個體以管理您的 AWS 受管 Microsoft AD 活動目錄
在這個實驗室中,我們使用具有公有 IP 地址的 Amazon EC2 執行個體,以便從任何地方輕鬆存取管理執行個體。在生產環境中,您可以使用只能透過 VPN 或 AWS Direct Connect 連結存取的私有 VPC 中的執行個體。具有公有 IP 地址的執行個體則沒有任何需求。
在本節中,您會使用新 EC2 執行個體上的 Windows Server,來演練讓用戶端電腦連線到您網域所需的各種部署後任務。在下一個步驟中,您會使用 Windows Server 來確認實驗室可運作。
可選:為您的目錄建立一個在 AWS-DS-VPC01 中設定的 DHCP 選項
在此選用程序中,您可以設定 DHCP 選項範圍,讓 VPC 中的 EC2 執行個體自動使用 AWS 受管 Microsoft AD 進行 DNS 解析。如需詳細資訊,請參閱 DHCP 選項集。
為目錄建立 DHCP 選項集
前往 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 DHCP Options Sets (DHCP 選項集),然後選擇 Create DHCP options set (建立 DHCP 選項集)。
-
在 Create DHCP options set (建立 DHCP 選項集) 頁面上,提供您目錄的下列值:
-
在 Name (名稱) 輸入
AWS DS DHCP
。 -
在 Domain name (網域名稱) 中輸入
corp.example.com
。 -
針對 Domain name servers (網域名稱伺服器),輸入您 AWS 所提供目錄之 DNS 伺服器的 IP 地址。
注意
若要尋找這些位址,請移至 [ AWS Directory Service 目錄] 頁面,然後選擇適用的目錄 ID。在詳細資訊頁面上,識別並使用 DNS 地址中顯示的 IP。
若要尋找這些地址,您也可以前往 AWS Directory Service 目錄 頁面,然後選擇相應的目錄 ID。然後,選擇擴展和共享。在域控制站下,識別並使用 IP 地址中顯示的 IP。
-
將 NTP servers (NTP 伺服器)、NetBIOS name servers (NetBIOS 名稱伺服器) 和 NetBIOS node type (NetBIOS 節點類型) 中的設定留白。
-
-
選擇建立 DHCP 選項集,然後選擇關閉。新的 DHCP 選項集會隨即出現在您的 DHCP 選項清單中。
-
記下新 DHCP 選項集的 ID (dopt-
xxxxxxxx
)。在此程序最後要建立新選項集與 VPC 的關聯時會用到。注意
無縫網域加入,無須設定 DHCP 選項集。
-
在導覽窗格中,選擇 Your VPCs (您的 VPC)。
-
在 VPC 清單中,選取 AWS DS VPC 並選擇動作,然後選擇編輯 DHCP 選項集。
-
在 Edit DHCP options set(編輯 DHCP 選項集) 頁面上,選取您在步驟 5 中記錄的選項集,然後選擇 Save (儲存)。
建立角色,將 Windows 執行個體加入您的 AWS 管理 Microsoft AD 網域
使用此程序設定將 Amazon EC2 Windows 執行個體加入網域的角色。如需詳細資訊,請參閱 將 Amazon EC2 Windows 執行個體加入您的 AWS Managed Microsoft AD Active Directory。
設定 EC2,將 Windows 執行個體加入您的網域
前往 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在 IAM 主控台的導覽窗格中,選擇角色,然後選擇建立角色。
-
在 Select type of trusted entity (選擇可信任執行個體類型) 下,選擇 AWS service ( 服務)。
-
緊接在 Choose the service that will use this role (選擇將使用此角色的服務) 下,選擇 EC2,然後選擇 Next: Permissions (下一步:許可)。
-
在 Attached permissions policy (連結許可政策) 頁面上,執行下列動作:
-
選取亞馬遜 SSM 管理策略旁邊的核ManagedInstanceCore取方塊。此政策提供使用 Systems Manager 服務所需的最低權限。
-
選取亞馬遜 SSM 受管理策略旁邊的核DirectoryServiceAccess取方塊。此政策提供將執行個體加入受 AWS Directory Service管理 Active Directory 的權限。
如需您可以連接至 Systems Manager IAM 執行個體設定檔的這些受管政策和其他政策的資訊,請參閱《AWS Systems Manager 使用者指南》中的建立 Systems Manager 的 IAM 執行個體設定檔。如需受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
-
-
選擇 Next: Tags (下一步:標籤)。
-
(選用) 新增一或多個標籤來組織鍵值對、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)。
-
在角色名稱中,輸入角色名稱,該名稱說明該角色用於將執行個體加入網域,例如 EC2 DomainJoin。
-
(選用) 針對 Role description (角色描述),輸入描述。
-
選擇 Create role (建立角色)。系統會讓您回到 Roles (角色) 頁面。
建立 Amazon EC2 執行個體並自動加入目錄
在此程序中,您可以在 EC2 執行個體中設定 Windows 伺服器系統,稍後可用於管理使用中目錄中的使用者、群組和政策。
建立 EC2 執行個體並自動加入目錄
在 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 -
選擇 Launch Instance (啟動執行個體)。
-
在 Step 1 (步驟 1) 頁面上,選擇 Microsoft Windows Server 2019 Base - ami-
xxxxxxxxxxxxxxxxx
旁的 Select (選取)。 -
在 Step 2 (步驟 2) 頁面上,選取 t3.micro (請注意,您可以選擇更大的執行個體類型),然後選擇 Next: Configure Instance Details (下一步:設定執行個體詳細資訊)。
-
在 Step 3 (步驟 3) 頁面上,執行下列動作:
-
針對網路,選擇以 AWS-DS-VPC01 做為結尾的 VPC (例如 vpc-
xxxxxxxxxxxxxxxxx
| AWS-DS-VPC01))。 -
針對子網路,選擇應該已預先設定您慣用之可用區域的 Public subnet 1 (例如 subnet-
xxxxxxxxxxxxxxxxx
| AWS-DS-VPC01-Subnet01 |us-west-2a
)。 -
針對 Auto-assign Public IP (自動指派公有 IP),如果該子網路設定未預設為啟用,請選擇 Enable (啟用)。
-
針對 Domain join directory (網域加入目錄),選擇 corp.example.com (d-
xxxxxxxxxx
)。 -
對於 IAM 角色,請選擇您為執行個體角色指定的名稱建立角色,將 Windows 執行個體加入您的 AWS 管理 Microsoft AD 網域,例如 EC2 DomainJoin。
-
將其他設定保留為其預設值。
-
選擇 Next: Add Storage (下一步:新增儲存體)。
-
-
在 Step 4 (步驟 4) 頁面上,保留預設設定,然後選擇 Next: Add Tags (下一步:新增標籤)。
-
在 Step 5 (步驟 5) 頁面上,選擇 Add Tag (新增標籤)。在 Key (金鑰) 下,輸入
corp.example.com-mgmt
,然後選擇 Next: Configure Security Group (下一步:設定安全群組)。 -
在步驟 6 頁面上,選擇選取現有安全群組並選取 AWS DS RDP 安全群組 (即您之前在基礎教學中設定的值),然後選擇檢閱和啟動以檢閱您的執行個體。
-
在 Step 7 (步驟 7) 頁面上,檢閱頁面,然後選擇 Launch (啟動)。
-
在 Select an existing key pair or create a new key pair (選取現有金鑰對或建立新金鑰對) 對話方塊中,執行下列動作:
-
選擇 Choose an existing key pair (選擇現有金鑰對)。
-
在選取金鑰對下,選擇 AWS-DS-KP。
-
選取 I acknowledge... (我確認...) 核取方塊。
-
選擇 Launch Instances (啟動執行個體)。
-
-
選擇 檢視執行個體返回 Amazon EC2 主控台並檢視部署的狀態。
在您的 EC2 執行個體上安裝 Active Directory 工具
您可以從兩種方法中進行選擇,在您的 EC2 執行個體上安裝 Active Directory 網域管理工具。您可以使用伺服器管理員 UI (建議在本教學課程中使用) 或Windows PowerShell.
在您的 EC2 執行個體上安裝 Active Directory 工具 (伺服器管理員)
-
在 Amazon EC2 主控台中,選擇執行個體並選取您剛建立的執行個體,然後選擇連線。
-
如果您尚未取得密碼,請在 Connect To Your Instance (連接至您的執行個體) 對話方塊中,選擇 Get Password (取得密碼) 取回您的密碼,然後選擇 Download Remote Desktop File (下載遠端桌面檔)。
-
在 Windows Security (Windows 安全性) 對話方塊中,輸入 Windows Server 電腦的本機管理員登入資料進行登入 (例如
administrator
)。 -
從開始選單,選擇伺服器管理員。
-
在儀表板中,選擇新增角色及功能。
-
在新增角色及功能精靈中,選擇下一步。
-
在選取安裝類型頁面上,選擇角色型或功能型安裝,然後選擇下一步。
-
在選取目的地伺服器頁面上,確定已選取本機伺服器,然後選擇下一步。
-
在選取伺服器角色頁面上,選擇下一步。
-
在選取功能頁面上,執行下列動作:
-
選取群組原則管理核取方塊。
-
展開遠端伺服器管理工具,然後展開角色管理工具。
-
選取 AD DS 及 AD LDS 工具核取方塊。
-
選取 DNS 伺服器工具核取方塊。
-
選擇下一步。
-
-
在確認安裝選項頁面上,檢閱資訊,然後選擇安裝。功能安裝完成後,開始選單的 Windows 系統管理工具資料夾中將會提供下列新的工具或嵌入式管理單元。
-
Active Directory 管理中心
-
Active Directory 網域及信任
-
使用中的目錄模組 Windows PowerShell
-
Active Directory 站台及服務
-
Active Directory 使用者和電腦
-
ADSI 編輯器
-
DNS
-
群組原則管理
-
在 EC2 實例上安裝活動目錄工具(Windows PowerShell)(可選)
-
啟動 Windows PowerShell。
-
鍵入下列命令。
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server