步驟 1：設定建立信任的環境

在本節中，您可以設定 Amazon EC2 環境、部署新樹系，以及準備 VPC 以獲得信任。 AWS

建立 Windows Server 2019 EC2 執行個體

使用下列程序，在 Amazon EC2 中建立 Windows Server 2019 成員伺服器。

建立 Windows Server 2019 EC2 執行個體

1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

2. 在 Amazon EC2 主控台中，選擇啟動執行個體。

3. 在 Step 1 (步驟 1) 頁面上，於清單中找到 Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx。然後選擇選取。

4. 在 Step 2 (步驟 2) 頁面上，選取 t2.large，然後選擇 Next: Configure Instance Details (下一步：設定執行個體詳細資訊)。

5. 在 Step 3 (步驟 3) 頁面上，執行下列動作：

   • 對於「網路」，請選取「vpc-xxxxxxxxxxx AWS-OnPrem VPC01」(您先前在「基準」自學課程中設置)。

   • 如果是子網路，請選取子網路 AWS OnPrem AWS OnPrem

   • 針對 Auto-assign Public IP (自動指派公有 IP) 清單，選擇 Enable (啟用) (如果此子網路設定未預設為 Enable (啟用))。

   • 將其他設定保留為其預設值。

   • 選擇 Next: Add Storage (下一步：新增儲存體)。

6. 在 Step 4 (步驟 4) 頁面上，保留預設設定，然後選擇 Next: Add Tags (下一步：新增標籤)。

7. 在 Step 5 (步驟 5) 頁面上，選擇 Add Tag (新增標籤)。在 Key (金鑰) 下，輸入 example.local-DC01，然後選擇 Next: Configure Security Group (下一步：設定安全群組)。

8. 在步驟 6 頁面上，選擇選取現有安全群組並選取 AWS DS RDP 安全群組 (即您之前在基礎教學中設定的值)，然後選擇檢閱和啟動以檢閱您的執行個體。

9. 在 Step 7 (步驟 7) 頁面上，檢閱頁面，然後選擇 Launch (啟動)。

10. 在 Select an existing key pair or create a new key pair (選取現有金鑰對或建立新金鑰對) 對話方塊中，執行下列動作：

    • 選擇 Choose an existing key pair (選擇現有金鑰對)。

    • 在選取金鑰對下，選擇 AWS-DS-KP (您之前在基礎教學中設定的值)。

    • 選取 I acknowledge... (我確認...) 核取方塊。

    • 選擇 Launch Instances (啟動執行個體)。

11. 選擇 檢視執行個體返回 Amazon EC2 主控台並檢視部署的狀態。

將您的伺服器升級為域控制站

您必須為新樹系建立第一個網域控制站並加以部署，才能建立信任。在此過程中，您會設定新的 Active Directory 樹系、安裝 DNS，並設定此伺服器使用本機 DNS 伺服器進行名稱解析。您必須在此程序結束時重新啟動伺服器。

注意

如果您想要在其中建立與現場部署網路複 AWS 寫的網域控制站，您必須先手動將 EC2 執行個體加入現場部署網域。之後，您可以將伺服器升級為網域控制站。

將您的伺服器升級為網域控制站

1. 在 Amazon EC2 主控台中，選擇執行個體並選取您剛建立的執行個體，然後選擇連線。

2. 在 Connect To Your Instance (連線到您的執行個體) 對話方塊中，選擇 Download Remote Desktop File (下載遠端桌面檔)。

3. 在 Windows Security (Windows 安全性) 對話方塊中，輸入 Windows Server 電腦的本機管理員登入資料進行登入 (例如 administrator)。如果您還沒有本機管理員密碼，請回到 Amazon EC2 主控台，在執行個體上按一下滑鼠右鍵，然後選擇取得 Windows 密碼。導覽至您的 AWS DS KP.pem 檔案或您個人的 .pem 金鑰，然後選擇 Decrypt Password (解密密碼)。

4. 從開始選單，選擇伺服器管理員。

5. 在儀表板中，選擇新增角色及功能。

6. 在新增角色及功能精靈中，選擇下一步。

7. 在選取安裝類型頁面上，選擇角色型或功能型安裝，然後選擇下一步。

8. 在選取目的地伺服器頁面上，確定已選取本機伺服器，然後選擇下一步。

9. 在選取伺服器角色頁面上，選取 Active Directory Domain Services。在新增角色及功能精靈對話方塊中，確認已選取包含管理工具 (如適用) 核取方塊。選擇新增功能，然後選擇下一步。

10. 在選取功能頁面上，選擇下一步。

11. 在 Active Directory Domain Services 頁面上，選擇下一步。

12. 在確認安裝選項頁面上，選擇安裝。

13. 安裝 Active Directory 二進位檔案之後，選擇關閉。

14. 當伺服器管理員開啟時，尋找管理文字頂端附近的標記。當此標記變成黃色時，即表示伺服器已準備好升級。

15. 選擇黃色標記，然後選擇將此伺服器升級為網域控制站。

16. 在部署設定頁面上，選擇新增樹系。在根網域名稱中，輸入 example.local，然後選擇 下一步。

17. 在網域控制站選項頁面上，執行下列動作：

    • 在樹系功能等級和網域功能等級中，選擇 Windows Server 2016。

    • 在 [指定網域控制站功能] 下，確認已選取 DNS 伺服器和通用類別目錄 (GC)。

    • 輸入目錄服務還原模式 (DSRM) 密碼並確認。然後選擇下一步。

18. 在 DNS 選項頁面上，忽略委派的相關警告，然後選擇下一步。

19. 在 [其他選項] 頁面上，確定 [範例] 列為 NetBios 網域名稱。

20. 在路徑頁面上，保留預設值，然後選擇下一步。

21. 在檢閱選項頁面上，選擇下一步。伺服器現在會檢查以確認是否滿足網域控制站的所有必要條件。您可能會看到一些警告，但可以放心地忽略。

22. 選擇 Install (安裝)。一旦安裝完成，伺服器會重新啟動並成為可運作的網域控制站。

設定您的 VPC

下列三個程序將引導您完成設定 VPC 以連線到 AWS的步驟。

設定您的 VPC 輸出規則

1. 在AWS Directory Service 主控台中，記下您先前在基本教學課程中建立的 corp.example.com 的 AWS 受管理 Microsoft AD 目錄識別碼。

2. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

3. 在導覽窗格中，選擇安全群組。

4. 搜尋您 AWS 管理的 Microsoft AD 目錄識別碼。在搜尋結果中，選取描述為 AWS created security group for d-xxxxxx directory controllers 的項目。

   注意

   此安全群組會在您一開始建立目錄時自動建立。

5. 在該安全群組下，選擇 Outbound Rules (輸出規則) 標籤。依序選擇 Edit (編輯) 和 Add another rule (新增其他規則)，然後新增下列值：

   • 針對 Type (類型)，選擇 All Traffic (所有流量)。

   • 針對 Destination (目標)，輸入 0.0.0.0/0。

   • 將其他設定保留為其預設值。

   • 選取 Save (儲存)。

確認已啟用 Kerberos 預先驗證

1. 在 example.local 網域控制站上，開啟伺服器管理員。

2. 在 Tools (工具) 選單上，選擇 Active Directory Users and Computers (Active Directory 使用者和電腦)。

3. 導覽至使用者目錄，在任何使用者上按一下滑鼠右鍵並選取內容，然後選擇帳戶標籤。在帳戶選項清單中，向下捲動並確定 未選取不需要 Kerberos 預先驗證。

4. 對 corp.example.com-mgmt 執行個體中的 corp.example.com 網域執行相同步驟。

設定 DNS 條件式轉寄站

注意

條件式轉寄站是網路上的 DNS 伺服器，可根據查詢中的 DNS 網域名稱來轉寄 DNS 查詢。例如，您可以設定 DNS 伺服器，將其收到的名稱以 widgets.example.com 結尾的所有查詢轉寄至特定 DNS 伺服器的 IP 地址，或轉寄至多個 DNS 伺服器的 IP 地址。

1. 開啟 AWS Directory Service 主控台。

2. 在導覽窗格中，選擇目錄。

3. 選取 AWS 管理 Microsoft AD 的目錄識別碼。

4. 記下您目錄的完整域名稱 (FQDN) corp.example.com 和 DNS 地址。

5. 現在，返回您的 example.local 網域控制站，然後開啟伺服器管理員。

6. 在工具選單上，選擇 DNS。

7. 在主控台樹狀目錄中，展開您要設定信任之網域的 DNS 伺服器，然後導覽至條件式轉寄站。

8. 在條件式轉寄站上按一下滑鼠右鍵，然後選擇新增條件式轉寄站。

9. 在 DNS 網域中，輸入 corp.example.com。

10. 在主要伺服器的 IP 位址下，選擇 < 按一下此處新增... >，輸入您 AWS 受管理的 Microsoft AD 目錄 (您在上一個程序中記下這個位址) 的第一個 DNS 位址，然後按 Enter。對第二個 DNS 地址執行相同步驟。輸入 DNS 地址之後，您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。

11. 選取 Store this conditional forwarder in Active Directory, and replicate as follows (在 Active Directory 中儲存此條件式轉寄站，並複寫如下) 核取方塊。在下拉式選單中，選擇這個樹系中的所有 DNS 伺服器，然後選擇確定。