Schritt 1: Ihre Umgebung für Vertrauensstellungen einrichten - AWS Directory Service
Eine EC2-Instance für Windows Server 2019 erstellenIhren Server zu einem Domain-Controller ernennenKonfigurieren Ihrer VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Ihre Umgebung für Vertrauensstellungen einrichten

In diesem Abschnitt richten Sie Ihre Amazon EC2 EC2-Umgebung ein, stellen Ihre neue Gesamtstruktur bereit und bereiten Ihre VPC auf Vertrauensstellungen mit vor. AWS

Amazon EC2 EC2-Umgebung mit Amazon VPC, Subnetzen und Internet Gateways zur Bereitstellung einer neuen Gesamtstruktur und zum Aufbau einer Vertrauensbeziehung.

Eine EC2-Instance für Windows Server 2019 erstellen

Gehen Sie wie folgt vor, um einen Mitgliedsserver für Windows Server 2019 in Amazon EC2 zu erstellen.

So erstellen Sie eine EC2-Instance für Windows Server 2019

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der Amazon-EC2-Konsole Instance starten aus.

  3. Suchen Sie auf der Seite Schritt 1 in der Liste nach Microsoft Windows Server 2019 Base – ami-xxxxxxxxxxxxxxxxx. Wählen Sie anschließend Select aus.

  4. Wählen Sie auf der Seite Step 2 die Option t2.large und wählen Sie dann Next: Configure Instance Details.

  5. Führen Sie auf der Seite Step 3 die folgenden Schritte aus:

  6. Behalten Sie auf der Seite Step 4 die Standardeinstellungen bei und wählen Sie dann Next: Add Tags.

  7. Wählen Sie auf der Seite Step 5 die Option Add Tag aus. Geben Sie unter Key die Zeichenfolge example.local-DC01 ein und wählen Sie dann Next: Configure Security Group.

  8. Wählen Sie auf der Seite Schritt 6 die Option Bestehende Sicherheitsgruppe auswählen, wählen Sie die AWS -On-Premises-Testumgebungs-Sicherheitsgruppe (die Sie zuvor im Base-Tutorial eingerichtet haben) und wählen Sie dann Überprüfen und starten, um Ihre Instance zu überprüfen.

  9. Überprüfen Sie auf der Seite Step 7 die Seite und wählen Sie dann Launch.

  10. Erledigen Sie im Dialogfeld Select an existing key pair or create a new key pair Folgendes:

    • Wählen Sie Vorhandenes Schlüsselpaar auswählen aus.

    • Wählen Sie unter Schlüsselpaar auswählen die Option AWS-DS-KP (die Sie zuvor im Base-Tutorial eingerichtet haben).

    • Markieren Sie das Kontrollkästchen I acknowledge....

    • Wählen Sie Instances starten aus.

  11. Wählen Sie Instances anzeigen aus, um zur Amazon-EC2-Konsole zurückzukehren und den Status der Bereitstellung anzuzeigen.

Ihren Server zu einem Domain-Controller ernennen

Bevor Sie Vertrauensbeziehungen erstellen können, müssen Sie den ersten Domain-Controller für einen neuen Forest erstellen und bereitstellen. Während dieses Prozesses konfigurieren Sie einen neuen Active Directory-Forest, installieren DNS und richten Sie diesen Server so ein, dass er den lokalen DNS-Server für die Namensauflösung verwendet. Nach Abschluss dieses Verfahrens müssen Sie den Server neu starten.

Anmerkung

Wenn Sie einen Domänencontroller erstellen möchten, der sich mit Ihrem lokalen Netzwerk repliziert AWS , müssen Sie die EC2-Instance zunächst manuell mit Ihrer lokalen Domäne verbinden. Anschließend können Sie den Server einem Domain-Controller bekanntgeben.

Ihren Server einem Domain-Controller bekanntgeben

  1. Wählen Sie in der Amazon-EC2-Konsole die Option Instances, wählen Sie die zuvor erstellte Instance und wählen Sie dann Verbinden.

  2. Wählen Sie im Dialogfeld Connect To Your Instance Download Remote Desktop File aus.

  3. Geben Sie im Dialogfeld Windows Security Ihre lokalen Administrator-Anmeldeinformationen für den Windows Server-Computer ein, um sich anzumelden (z. B. administrator). Wenn Sie das lokale Administratorpasswort noch nicht haben, gehen Sie zurück zur Amazon-EC2-Konsole, klicken Sie mit der rechten Maustaste auf die Instance und wählen Sie Windows-Passwort abrufen. Navigieren Sie zu Ihrer AWS DS KP.pem Datei oder Ihren persönlichen .pem Schlüssel, und wählen Sie dann Decrypt Password.

  4. Wählen Sie im Menü Start die Option Server Manager.

  5. Wählen Sie im Dashboard Add Roles and Features.

  6. Wählen Sie im Add Roles and Features Wizard Next.

  7. Wählen Sie auf der Seite Select installation type die Option Role-based or feature-based installation und wählen Sie Next.

  8. Stellen Sie sicher, dass auf der Seite Select destination server der lokale Server ausgewählt ist, und wählen Sie dann Next.

  9. Wählen Sie auf der Seite Select server roles die Option Active Directory Domain Services. Überprüfen Sie im Dialogfeld Add Roles and Features Wizard, ob das Kontrollkästchen Include management tools (if applicable) ausgewählt ist. Wählen Sie Add Features und anschließend Next aus.

  10. Wählen Sie auf der Seite Features auswählen die Option Weiter aus.

  11. Wählen Sie auf der Seite Active Directory Domain Services Next.

  12. Wählen Sie auf der Seite Confirm installation selections Install.

  13. Nachdem die Active Directory-Binärdateien installiert wurden, wählen Sie Close.

  14. Wenn Server Manager geöffnet wird, suchen Sie nach einem Flag oben neben dem Wort Manage. Wenn dieses Flag gelb wird, kann der Server bekanntgegeben werden.

  15. Wählen Sie das gelbe Flag und wählen Sie dann Promote this server to a domain controller.

  16. Wählen Sie auf der Seite Deployment Configuration Add a new forest. Geben Sie in Root domain name die Zeichenfolge example.local ein und wählen Sie Next.

  17. Erledigen Sie auf der Seite Domain Controller Options Folgendes:

    • Wählen Sie in Forest functional level und Domain functional level die Option Windows Server 2016.

    • Vergewissern Sie sich, dass unter Domänencontroller-Funktionen angeben sowohl DNS-Server als auch Global Catalog (GC) ausgewählt sind.

    • Geben Sie ein DSRM-Passwort (Directory Services Restore Mode) ein und bestätigen Sie es. Wählen Sie anschließend Weiter.

  18. Ignorieren Sie auf der Seite DNS Options die Warnung über die Delegation und wählen Sie Next.

  19. Vergewissern Sie sich, dass auf der Seite Zusätzliche Optionen EXAMPLE als NetBios Domainname aufgeführt ist.

  20. Behalten Sie auf der Seite Paths die Standardwerte bei, und wählen Sie dann Next.

  21. Wählen Sie auf der Seite Review Options Weiter. Der Server prüft jetzt, ob alle Voraussetzungen für den Domain-Controller erfüllt sind. Möglicherweise werden einige Warnungen angezeigt, Sie können sie jedoch einfach ignorieren.

  22. Wählen Sie Installieren aus. Nachdem die Installation abgeschlossen ist, wird der Server neu gestartet und wird dann zu einem funktionalen Domain-Controller.

Konfigurieren Ihrer VPC

Die folgenden drei Verfahren führen Sie durch die Schritte zum Konfigurieren Ihrer VPC für die Anbindung an AWS.

Konfigurieren Ihrer ausgehenden VPC-Regeln

  1. Notieren Sie sich in der AWS Directory Service Konsole die AWS verwaltete Microsoft AD-Verzeichnis-ID für corp.example.com, die Sie zuvor im Base-Tutorial erstellt haben.

  2. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  3. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.

  4. Suchen Sie nach Ihrer AWS Managed Microsoft AD-Verzeichnis-ID. Wählen Sie in den Suchergebnissen das Element mit der Beschreibung AWS hat Sicherheitsgruppe für d-xxxxxx-Verzeichnis-Controller erstellt aus.

    Anmerkung

    Diese Sicherheitsgruppe wurde automatisch erstellt, als Sie Ihr Verzeichnis erstellt haben.

  5. Wählen Sie die Registerkarte Outbound Rules unter dieser Sicherheitsgruppe. Wählen Sie Edit, Add another rule und fügen Sie die folgenden Werte hinzu:

    • Wählen Sie für Type die Option All Traffic aus.

    • Geben Sie für Destination den Wert 0.0.0.0/0 ein.

    • Übernehmen Sie für die anderen Einstellungen die Standardwerte.

    • Wählen Sie Speichern.

So überprüfen Sie, ob die Kerberos-Vorauthentifizierung aktiviert ist

  1. Öffnen Sie auf dem Domain-Controller example.local Server Manager.

  2. Wählen Sie im Menü Tools den Eintrag Active Directory Users and Computers.

  3. Gehen Sie in das Verzeichnis Users (Benutzer), klicken Sie mit der rechten Maustaste auf einen Benutzer und wählen Sie Properties (Eigenschaften). Wählen Sie dann die Registerkarte Account (Konto). Scrollen Sie in der Liste Account options nach unten und stellen Sie sicher, dass Do not require Kerberos preauthentication nicht ausgewählt ist.

  4. Führen Sie dieselben Schritte für die Domain corp.example.com aus der Instance corp.example.com-mgmt aus.

So konfigurieren Sie DNS-bedingte Weiterleitungen
Anmerkung

Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragen entsprechend dem DNS-Domainnamen in der Anfrage weiterleitet. Ein DNS-Server kann beispielsweise so konfiguriert werden, dass er alle Anfragen, die er für Namen mit der Endung widgets.example.com erhält, an die IP-Adresse eines bestimmten DNS-Servers oder an die IP-Adressen mehrerer DNS-Server weiterleitet.

  1. Öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

  3. Wählen Sie die Verzeichnis-ID Ihres AWS Managed Microsoft AD aus.

  4. Notieren Sie sich den vollqualifizierten Domainnamen (FQDN), corp.example.com, und die DNS-Adressen Ihres Verzeichnisses.

  5. Jetzt kehren Sie zurück zu Ihrem Domain-Controller example.local und öffnen dann Server Manager.

  6. Wählen Sie im Menü Tools den Eintrag DNS.

  7. Erweitern Sie in der Konsolenstruktur den DNS-Server der Domain, für die Sie die Vertrauensbeziehung einrichten, und gehen Sie zu Conditional Forwarders.

  8. Klicken Sie mit der rechten Maustaste auf Conditional Forwarders, und wählen Sie dann New Conditional Forwarder.

  9. Geben Sie als DNS-Domain corp.example.com ein.

  10. Wählen Sie unter IP-Adressen der Primärserver die Option <Klicken Sie hier, um hinzuzufügen... >, geben Sie die erste DNS-Adresse Ihres AWS verwalteten Microsoft AD-Verzeichnisses ein (die Sie im vorherigen Verfahren notiert haben), und drücken Sie dann die EINGABETASTE. Wiederholen Sie diesen Schritt für die zweite DNS-Adresse. Nach der Eingabe der DNS-Adressen können ein „Timeout“- oder ein „unable to resolve“-Fehler auftreten. Sie können diese Fehler in der Regel ignorieren.

  11. Markieren Sie das Kontrollkästchen Store this conditional forwarder in Active Directory, and replicate as follows. Wählen Sie im Dropdown-Menü den Eintrag All DNS servers in this Forest und wählen Sie dann OK.