步驟 4：測試將適用於 Windows Server 的 EC2 執行個體無縫加入域

您可以使用以下兩種方法來測試將 EC2 執行個體無縫加入域。

方法 1：使用 Amazon EC2 主控台測試加入域

在目錄消費者帳戶中執行這些步驟。

1. 登入 AWS Management Console 並開啟 Amazon EC2 主控台，網址為 https://console.aws.amazon.com/ec2/。

2. 在導航欄中，選擇與現有目錄 AWS 區域 相同的目錄。

3. 在 EC2 儀表板的啟動執行個體區段中，選擇啟動執行個體。

4. 在啟動執行個體頁面上的名稱和標籤區段下，輸入您想要用於 Windows EC2 執行個體的名稱。

5. (選用) 針對新增標籤，新增一個或多個標籤鍵值對來組織、追蹤或控制對此 EC2 執行個體的存取。

6. 在應用程式和作業系統映像 (Amazon Machine Image) 區段中，選擇快速啟動窗格中的 Windows。您可以從 Amazon Machine Image (AMI)下拉式清單中變更 Windows Amazon Machine Image (AMI)。

7. 在執行個體類型區段中，從執行個體類型下拉式清單中選擇您要使用的執行個體類型。

8. 在金鑰對 (登入) 區段中，您可以選擇建立新金鑰對或從現有金鑰對中進行選擇。

   1. 若要建立新的金鑰對，請選擇建立新金鑰對。

   2. 輸入金鑰對的名稱，然後選取金鑰對類型和私有金鑰檔案格式的選項。

   3. 若要將私有金鑰儲存為可與 OpenSSH 搭配使用的格式，請選擇 .pem。若要將私有金鑰儲存為可與 PuTTY 搭配使用的格式，請選擇 .ppk。

   4. 選擇建立金鑰對。

   5. 您的瀏覽器會自動下載私有金鑰檔案。將私有金鑰檔案存放在安全的地方。

      重要

      這是您儲存私有金鑰檔案的唯一機會。

9. 在啟動執行個體頁面上的網路設定區段下，選擇編輯。從 VPC – required 下拉式清單中選擇在其中建立目錄的 VPC。

10. 從子網路下拉式清單中選擇 VPC 中的公有子網路之一。您所選取的子網路必須將所有外部流量路由到網際網路閘道。如果沒有，則將無法從遠端連線到執行個體。

    如需有關連線至網際網路閘道的詳細資訊，請參閱《Amazon VPC 使用者指南》中的使用網際網路閘道連線至網際網路一節。

11. 在自動指派公有 IP 下，選擇啟用。

    如需有關公有和私有 IP 定址的詳細資訊，請參閱 Amazon EC2 使用者指南中的 Amazon EC2 執行個體 IP 定址。

12. 對於防火牆 (安全群組)設定，您可以使用預設設定或根據需要進行變更。

13. 對於設定儲存設定，您可以使用預設設定或根據需要進行變更。

14. 選取進階詳細資訊區段，從域加入目錄下拉式清單中選取域。

    注意

    選擇網域加入目錄後，您可能會看到：

    

    如果 EC2 啟動精靈識別具有未預期屬性的現有 SSM 文件，就會發生此錯誤。您可以執行下列任一作業：

    • 如果您之前已編輯過 SSM 文件，且預期會有屬性，請選擇 [關閉] 並繼續啟動 EC2 執行個體而不進行任何變更。

    • 選取此處刪除現有 SSM 文件連結以刪除 SSM 文件。這將允許創建具有正確屬性的 SSM 文檔。SSM 文件會在您啟動 EC2 執行個體時自動建立。

15. 對於 IAM 執行個體設定檔，您可以選取現有的 IAM 執行個體設定檔或建立新的設定檔。從 IAM 執行個體設定檔下拉式清單中選取已DirectoryServiceAccess附加 AWS 受管政策 AmazonSSM ManagedInstanceCore 和 AmazonSSM 的 IAM 執行個體設定檔。若要建立新的 IAM 設定檔連結，請選擇 [建立新的 IAM 設定檔連結]，然後執行下列動作：

    1. 選擇建立角色。

    2. 在選取信任的實體下，選取 AWS 服務。

    3. 在 Use case (使用案例) 下，選擇 EC2。

    4. 在 [新增權限] 下方的原則清單中，選取 [亞馬遜 SSM] ManagedInstanceCore 和 [亞馬遜 SSM] 原則。DirectoryServiceAccess在搜尋方塊中，輸入 SSM 以篩選政策。選擇下一步。

       注意

       AmazonSSM DirectoryServiceAccess 提供將執行個Active Directory體加入至管理的權限。 AWS Directory Service亞馬遜 SSM ManagedInstanceCore 提供了使用該服務所需的最低權限。 AWS Systems Manager 有關建立具有這些許可的角色的更多資訊，以及有關可以指派給 IAM 角色的其他許可和政策的資訊，請參閱《AWS Systems Manager 使用者指南》中的為 Systems Manager 建立 IAM 執行個體設定檔一節。

    5. 在命名、檢閱和建立頁面上，針對角色名稱輸入角色名稱。您將需要此角色名稱來連接到 EC2 執行個體。

    6. (選用) 您可以在描述欄位中提供 IAM 執行個體設定檔的描述。

    7. 選擇建立角色。

    8. 返回啟動執行個體頁面，然後選擇 IAM 執行個體設定檔旁的重新整理圖示。剛剛建立的 IAM 執行個體設定檔應顯示在 IAM 執行個體設定檔下拉式清單中。選擇這個新的設定檔並將其餘設定保留為預設值。

16. 選擇啟動執行個體。

方法 2：使用測試域加入 AWS Systems Manager

在目錄消費者帳戶中執行這些步驟。若要完成此程序，您需要有關目錄擁有者帳戶的一些資訊，例如目錄 ID、目錄名稱和 DNS IP 地址。

先決條件

• 設置 AWS Systems Manager。

  • 如需有關 Systems Manager 的詳細資訊，請參閱AWS Systems Manager的一般設定。

• 您希望加入 AWS 受管 Microsoft 活動目錄域的實例必須具有附加的 IAM 角色，其中包含亞馬遜 SSM ManagedInstanceCore 和亞馬遜 SSM 託管政策。DirectoryServiceAccess

  • 如需您可以連接至 Systems Manager IAM 執行個體設定檔的這些受管政策和其他政策的詳細資訊，請參閱《AWS Systems Manager 使用者指南》中的建立 Systems Manager 的 IAM 執行個體設定檔。如需受管政策的詳細資訊，請參閱《IAM 使用者指南》中的 AWS 受管政策。

如需有關使用 Systems Manager 將 EC2 執行個體加入到 AWS 受管 Microsoft Active Directory 網域的詳細資訊，請參閱如 AWS Systems Manager 何使用將執行中的 EC2 Windows 執行個體加入我的 AWS Directory Service 網域？ 。

1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/。

2. 在導覽窗格中，於節點管理下方，選擇執行命令。

3. 選擇 執行命令。

4. 在執行指令頁面上，搜尋 AWS-JoinDirectoryServiceDomain。顯示在搜尋結果時選擇 AWS-JoinDirectoryServiceDomain 選項。

5. 向下捲動到 Command parameters (命令參數) 區段。您必須提供下列參數給：

   注意

   您可以返回 AWS Directory Service 主控台，選取與我共用的目錄，然後選取您的目錄，來尋找目錄 ID、目錄名稱和 DNS IP 位址。目錄 ID 可以在共享目錄詳細資訊區段下找到。您可以在擁有者目錄詳細資訊區段下找到目錄名稱和 DNS IP 地址的值。

   • 針對目錄識別碼，輸入 AWS 受管理的 Microsoft 作用中目錄的名稱。

   • 針對目錄名稱，輸入 AWS Managed Microsoft Active Directory 名稱 (適用於目錄擁有者帳戶)。

   • 對於 DNS IP 位址，請在 AWS 受管理的 Microsoft 活動目錄中輸入 DNS 伺服器的 IP 位址 (針對目錄擁有者帳戶)。

6. 對於目標，選擇手動選擇執行個體，然後選取要加入域的執行個體。

7. 將表單其餘部分保留預設值，向下捲動頁面，然後選擇 Run (執行)。

8. 執行個體成功加入域後，指令狀態將從待定 變更為成功。您可以透過選取加入域的執行個體的執行個體 ID，然後選擇檢視輸出來檢視指令輸出。

完成上述任一步驟後，您現在應該可以加入您的 EC2 執行個體至網域。完成此操作之後，您就可以使用遠端桌面通訊協定 (RDP) 用戶端使用 AWS 受管理 Microsoft AD 使用者帳戶的認證登入執行個體。