步驟 1：設定建立信任的環境

在本節中，您會設定 Amazon EC2 環境、部署新的樹系，並準備好要與 AWS 建立信任的 VPC。

建立 Windows Server 2019 EC2 執行個體

使用下列程序，在 Amazon EC2 中建立 Windows Server 2019 成員伺服器。

建立 Windows Server 2019 EC2 執行個體

1. 在 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

2. 在 Amazon EC2 主控台中，選擇啟動執行個體。

3. 在 Step 1 (步驟 1) 頁面上，於清單中找到 Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx。然後選擇選取。

4. 在 Step 2 (步驟 2) 頁面上，選取 t2.large，然後選擇 Next: Configure Instance Details (下一步：設定執行個體詳細資訊)。

5. 在 Step 3 (步驟 3) 頁面上，執行下列動作：

   • 對於「網路」，請選取「vpc-xxxxxxxxxxx AWS-OnPrem VPC01」(您先前在「基準」自學課程中設置)。

   • 對於子網路，請選取子網路-AWS OnPrem AWS OnPrem

   • 針對 Auto-assign Public IP (自動指派公有 IP) 清單，選擇 Enable (啟用) (如果此子網路設定未預設為 Enable (啟用))。

   • 將其他設定保留為其預設值。

   • 選擇 Next: Add Storage (下一步：新增儲存體)。

6. 在 Step 4 (步驟 4) 頁面上，保留預設設定，然後選擇 Next: Add Tags (下一步：新增標籤)。

7. 在 Step 5 (步驟 5) 頁面上，選擇 Add Tag (新增標籤)。在 Key (金鑰) 下，輸入 example.local-DC01，然後選擇 Next: Configure Security Group (下一步：設定安全群組)。

8. 在步驟 6 頁面上，選擇選取現有安全群組並選取 AWS DS RDP 安全群組 (即您之前在基礎教學中設定的值)，然後選擇檢閱和啟動以檢閱您的執行個體。

9. 在 Step 7 (步驟 7) 頁面上，檢閱頁面，然後選擇 Launch (啟動)。

10. 在 Select an existing key pair or create a new key pair (選取現有金鑰對或建立新金鑰對) 對話方塊中，執行下列動作：

    • 選擇 Choose an existing key pair (選擇現有金鑰對)。

    • 在選取金鑰對下，選擇 AWS-DS-KP (您之前在基礎教學中設定的值)。

    • 選取 I acknowledge... (我確認...) 核取方塊。

    • 選擇 Launch Instances (啟動執行個體)。

11. 選擇 檢視執行個體返回 Amazon EC2 主控台並檢視部署的狀態。

將您的伺服器升級為域控制站

您必須為新樹系建立第一個網域控制站並加以部署，才能建立信任。在此過程中，您會設定新的 Active Directory 樹系、安裝 DNS，並設定此伺服器使用本機 DNS 伺服器進行名稱解析。您必須在此程序結束時重新啟動伺服器。

注意

如果您想要在 AWS 中建立域控制站並複寫為您的內部部署網路，您必須先手動將 EC2 執行個體加入您的內部部署域。之後，您可以將伺服器升級為網域控制站。

將您的伺服器升級為網域控制站

1. 在 Amazon EC2 主控台中，選擇執行個體並選取您剛建立的執行個體，然後選擇連線。

2. 在 Connect To Your Instance (連線到您的執行個體) 對話方塊中，選擇 Download Remote Desktop File (下載遠端桌面檔)。

3. 在 Windows Security (Windows 安全性) 對話方塊中，輸入 Windows Server 電腦的本機管理員登入資料進行登入 (例如 administrator)。如果您還沒有本機管理員密碼，請回到 Amazon EC2 主控台，在執行個體上按一下滑鼠右鍵，然後選擇取得 Windows 密碼。導覽至您的 AWS DS KP.pem 檔案或您個人的 .pem 金鑰，然後選擇 Decrypt Password (解密密碼)。

4. 從開始選單，選擇伺服器管理員。

5. 在儀表板中，選擇新增角色及功能。

6. 在新增角色及功能精靈中，選擇下一步。

7. 在選取安裝類型頁面上，選擇角色型或功能型安裝，然後選擇下一步。

8. 在選取目的地伺服器頁面上，確定已選取本機伺服器，然後選擇下一步。

9. 在選取伺服器角色頁面上，選取 Active Directory Domain Services。在新增角色及功能精靈對話方塊中，確認已選取包含管理工具 (如適用) 核取方塊。選擇新增功能，然後選擇下一步。

10. 在選取功能頁面上，選擇下一步。

11. 在 Active Directory Domain Services 頁面上，選擇下一步。

12. 在確認安裝選項頁面上，選擇安裝。

13. 安裝 Active Directory 二進位檔案之後，選擇關閉。

14. 當伺服器管理員開啟時，尋找管理文字頂端附近的標記。當此標記變成黃色時，即表示伺服器已準備好升級。

15. 選擇黃色標記，然後選擇將此伺服器升級為網域控制站。

16. 在部署設定頁面上，選擇新增樹系。在根網域名稱中，輸入 example.local，然後選擇 下一步。

17. 在網域控制站選項頁面上，執行下列動作：

    • 在樹系功能等級和網域功能等級中，選擇 Windows Server 2016。

    • 在指定網域控制站功能下，確認已選取網域名稱系統 (DNS) 伺服器和通用類別目錄 (GC)。

    • 輸入目錄服務還原模式 (DSRM) 密碼並確認。然後選擇 Next (下一步)。

18. 在 DNS 選項頁面上，忽略委派的相關警告，然後選擇下一步。

19. 在 [其他選項] 頁面上，確定 [範例] 列為 NetBios 網域名稱。

20. 在路徑頁面上，保留預設值，然後選擇下一步。

21. 在檢閱選項頁面上，選擇下一步。伺服器現在會檢查以確認是否滿足網域控制站的所有必要條件。您可能會看到一些警告，但可以放心地忽略。

22. 選擇 Install (安裝)。一旦安裝完成，伺服器會重新啟動並成為可運作的網域控制站。

設定您的 VPC

下列三個程序將引導您完成設定 VPC 以連線到 AWS 的步驟。

設定您的 VPC 輸出規則

1. 在 AWS Directory Service 主控台中，記下您之前在基礎教學中建立之 corp.example.com 的 AWS Managed Microsoft AD 目錄 ID。

2. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

3. 在導覽窗格中，選擇安全群組。

4. 搜尋您的 AWS Managed Microsoft AD 目錄 ID。在搜尋結果中，選取描述為 AWS created security group for d-xxxxxx directory controllers 的項目。

   注意

   此安全群組會在您一開始建立目錄時自動建立。

5. 在該安全群組下，選擇 Outbound Rules (輸出規則) 標籤。依序選擇 Edit (編輯) 和 Add another rule (新增其他規則)，然後新增下列值：

   • 針對 Type (類型)，選擇 All Traffic (所有流量)。

   • 針對 Destination (目標)，輸入 0.0.0.0/0。

   • 將其他設定保留為其預設值。

   • 選取 Save (儲存)。

確認已啟用 Kerberos 預先驗證

1. 在 example.local 網域控制站上，開啟伺服器管理員。

2. 在 Tools (工具) 選單上，選擇 Active Directory Users and Computers (Active Directory 使用者和電腦)。

3. 導覽至使用者目錄，在任何使用者上按一下滑鼠右鍵並選取內容，然後選擇帳戶標籤。在帳戶選項清單中，向下捲動並確定 未選取不需要 Kerberos 預先驗證。

4. 對 corp.example.com-mgmt 執行個體中的 corp.example.com 網域執行相同步驟。

設定 DNS 條件式轉寄站

注意

條件式轉寄站是網路上的 DNS 伺服器，可根據查詢中的 DNS 網域名稱來轉寄 DNS 查詢。例如，您可以設定 DNS 伺服器，將其收到的名稱以 widgets.example.com 結尾的所有查詢轉寄至特定 DNS 伺服器的 IP 地址，或轉寄至多個 DNS 伺服器的 IP 地址。

1. 開啟 AWS Directory Service 主控台。

2. 在導覽窗格中，選擇 Directories (目錄)。

3. 選取 AWS Managed Microsoft AD 的目錄 ID。

4. 記下您目錄的完整域名稱 (FQDN) corp.example.com 和 DNS 地址。

5. 現在，返回您的 example.local 網域控制站，然後開啟伺服器管理員。

6. 在工具選單上，選擇 DNS。

7. 在主控台樹狀目錄中，展開您要設定信任之網域的 DNS 伺服器，然後導覽至條件式轉寄站。

8. 在條件式轉寄站上按一下滑鼠右鍵，然後選擇新增條件式轉寄站。

9. 在 DNS 網域中，輸入 corp.example.com。

10. 在主要伺服器的 IP 地址下，選擇 按一下這裡新增...，輸入您 AWS Managed Microsoft AD 目錄的第一個 DNS 地址 (您在上一個程序中記下的值)，然後按 Enter 鍵。對第二個 DNS 地址執行相同步驟。輸入 DNS 地址之後，您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。

11. 選取 Store this conditional forwarder in Active Directory, and replicate as follows (在 Active Directory 中儲存此條件式轉寄站，並複寫如下) 核取方塊。在下拉式選單中，選擇這個樹系中的所有 DNS 伺服器，然後選擇確定。