Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Tutorials für verwaltete Microsoft AD-Testlabore
<a name="ms_ad_tutorial_test_lab"></a>

Dieser Abschnitt enthält eine Reihe von geführten Tutorials, die Ihnen helfen, eine Testlabumgebung einzurichten, AWS in der Sie mit AWS Managed Microsoft AD experimentieren können.

**Topics**
+ [Tutorial: Einrichten Ihres AWS Managed Microsoft AD-Basis-Testlabors in AWS](ms_ad_tutorial_test_lab_base.md)
+ [Tutorial: Erstellen einer Vertrauensstellung von AWS Managed Microsoft AD zu einer selbstverwalteten Active Directory-Installation auf Amazon EC2](ms_ad_tutorial_test_lab_trust.md)

# Tutorial: Einrichten Ihres AWS Managed Microsoft AD-Basis-Testlabors in AWS
<a name="ms_ad_tutorial_test_lab_base"></a>

In diesem Tutorial erfahren Sie, wie Sie Ihre AWS Umgebung einrichten, um sich auf eine neue AWS Managed Microsoft AD-Installation vorzubereiten, die eine neue Amazon EC2 EC2-Instance verwendet, auf der Windows Server 2019 ausgeführt wird. Anschließend lernen Sie, typische Active Directory-Verwaltungstools zu verwenden, um Ihre AWS verwaltete Microsoft AD-Umgebung von Ihrer EC2-Windows-Instance aus zu verwalten. Wenn Sie das Tutorial abgeschlossen haben, haben Sie die Netzwerkvoraussetzungen eingerichtet und eine neue AWS verwaltete Microsoft AD-Gesamtstruktur konfiguriert. 

Wie in der folgenden Abbildung dargestellt, ist das Lab, das Sie anhand dieses Tutorials erstellen, die grundlegende Komponente für praktisches Lernen über AWS Managed Microsoft AD. Sie können später optionale Tutorials hinzufügen, um weitere praktische Erfahrungen zu sammeln. Diese Tutorialreihe ist ideal für alle Personen geeignet, die bei AWS Managed Microsoft AD einsteigen und eine Testumgebung zu Evaluierungszwecken benötigen. Für dieses Tutorial brauchen Sie ungefähr 1 Stunde.

![\[Diagramm mit den Schritten des Tutorials: 1 richten Sie Ihre Umgebung ein, 2 erstellen Sie Ihr AWS verwaltetes Microsoft AD, 3 stellen Sie ein Amazon EC2 bereit und 4 testen Sie das Lab.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)


**[Schritt 1: Richten Sie Ihre AWS Umgebung für AWS Managed Microsoft AD Active Directory ein](microsoftadbasestep1.md)**  
Nachdem Sie Ihre vorausgesetzten Aufgaben abgeschlossen haben, erstellen und konfigurieren Sie eine Amazon VPC in Ihrer EC2-Instance.

**[Schritt 2: Erstellen Sie Ihr AWS verwaltetes Microsoft AD Active Directory](microsoftadbasestep2.md)**  
In diesem Schritt richten Sie AWS Managed Microsoft AD AWS zum ersten Mal ein.

**[Schritt 3: Stellen Sie eine Amazon EC2 EC2-Instance bereit, um Ihr AWS verwaltetes Microsoft AD Active Directory zu verwalten](microsoftadbasestep3.md)**  
Hier durchlaufen Sie die verschiedenen Aufgaben nach der Bereitstellung, die für Client-Computer erforderlich sind, um eine Verbindung mit Ihrer neuen Domain herzustellen und ein neues Windows Server-System in EC2 einzurichten.

**[Schritt 4: Sicherstellen, dass die grundlegende Testumgebung funktional ist](microsoftadbasestep4.md)**  
Schließlich überprüfen Sie als Administrator, ob Sie sich von Ihrem Windows-Server-System in EC2 aus bei AWS Managed Microsoft AD anmelden und verbinden können. Nachdem Sie erfolgreich getestet haben, ob die Testumgebung funktional ist, können Sie weitere Module zu der Testumgebung hinzufügen.

# Voraussetzungen
<a name="microsoftadbaseprereq"></a>

Wenn Sie nur die UI-Schritte in diesem Tutorial nutzen wollen, um Ihre Testumgebung einzurichten, überspringen Sie diesen Abschnitt über die Voraussetzungen und fahren fort mit Schritt 1. Wenn Sie jedoch beabsichtigen, AWS CLI Befehle oder AWS Tools for Windows PowerShell Module zu verwenden, um Ihre Testlabumgebung zu erstellen, müssen Sie zunächst Folgendes konfigurieren:
+ **IAM-Benutzer mit dem Zugriffs- und geheimen Zugriffsschlüssel** — Ein IAM-Benutzer mit einem Zugriffsschlüssel ist erforderlich, wenn Sie die Module AWS CLI oder AWS Tools for Windows PowerShell verwenden möchten. Wenn Sie noch keinen Zugriffsschlüssel haben, lesen Sie bitte den Abschnitt [Erstellen, Ändern und Anzeigen von Zugriffsschlüsseln (AWS-Managementkonsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey).
+ **AWS Command Line Interface (optional)** — Laden Sie das herunter und [installieren Sie es AWS CLI unter Windows](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). Öffnen Sie nach der Installation die Eingabeaufforderung oder das PowerShell Fenster, und geben Sie dann Folgendes ein`aws configure`. Beachten Sie, dass Sie den Zugriffsschlüssels und den geheimen Schlüssel benötigen, um die Einrichtung abzuschließen. Weitere Informationen darüber finden Sie unter der ersten Voraussetzung für die Schritte. Die folgenden Informationen werden abgefragt:
  + AWS Zugriffsschlüssel-ID [Keine]: `AKIAIOSFODNN7EXAMPLE`
  + AWS geheimer Zugriffsschlüssel [Keine]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
  + Standardregionsname [Keiner]: `us-west-2`
  + Standardausgabeformat [Keines]: `json`
+ **AWS Tools for Windows PowerShell****(optional)** — Laden Sie die neueste Version von From herunter [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/), installieren Sie sie und führen Sie dann den folgenden Befehl AWS Tools for Windows PowerShell aus. Beachten Sie, dass Sie Ihren Zugriffsschlüssels und den geheimen Schlüssel benötigen, um die Einrichtung abzuschließen. Weitere Informationen darüber finden Sie unter der ersten Voraussetzung für die Schritte.

  `Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`

# Schritt 1: Richten Sie Ihre AWS Umgebung für AWS Managed Microsoft AD Active Directory ein
<a name="microsoftadbasestep1"></a>

Bevor Sie AWS Managed Microsoft AD in Ihrem AWS Testlabor erstellen können, müssen Sie zunächst Ihr Amazon EC2 EC2-Schlüsselpaar so einrichten, dass alle Anmeldedaten verschlüsselt werden.

## Erstellen eines Schlüsselpaares
<a name="createkeypair2"></a>

Wenn Sie bereits ein Schlüsselpaar haben, können Sie diesen Schritt überspringen. Weitere Informationen zu Amazon EC2 EC2-Schlüsselpaaren finden Sie unter [Schlüsselpaare erstellen](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).

**So erstellen Sie ein Schlüsselpaar**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich unter **Network & Security** **Key Pairs**, und wählen Sie dann **Create Key Pair**.

1. Geben Sie als **Schlüsselpaar-Name** **AWS-DS-KP** ein. Wählen Sie als **Schlüsselpaar-Dateiformat** die Option **pem** und dann **Erstellen** aus.

1. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Der Dateiname ist der Name, den Sie beim Erstellen Ihres Schlüsselpaars mit der Erweiterung `.pem` angegeben haben. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.
**Wichtig**  
Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern. Sie müssen den Namen für Ihr Schlüsselpaar beim Starten einer Instance angeben. Der entsprechende private Schlüssel muss jedes Mal angegeben werden, wenn Sie das Passwort für die Instance entschlüsseln.

## Zwei Amazon erstellen, konfigurieren und miteinander verbinden VPCs
<a name="createvpc"></a>

Wie in der folgenden Abbildung dargestellt, haben Sie bis zum Abschluss dieses mehrstufigen Prozesses zwei öffentliche VPCs, zwei öffentliche Subnetze pro VPC, ein Internet Gateway pro VPC und eine VPC-Peering-Verbindung zwischen den erstellt und konfiguriert. VPCs Aus Gründen der Einfachheit und der Kosten haben wir uns für öffentliche Netze VPCs und Subnetze entschieden. Für Produktions-Workloads empfehlen wir, private Workloads zu verwenden. VPCs Weitere Informationen zur Verbesserung der VPC-Sicherheit finden Sie unter [Sicherheit in Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html).

![\[Amazon VPC-Umgebung mit Subnetzen und Internet-Gateways zur Erstellung eines AWS verwalteten Microsoft AD Active Directory.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


Alle PowerShell Beispiele verwenden die AWS CLI VPC-Informationen von unten und sind in us-west-2 erstellt. Sie können jede [unterstützte Region](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) auswählen, in der Sie Ihre Umgebung erstellen möchten. Allgemeine Informationen finden Sie unter [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).

**Schritt 1: Erstellen Sie zwei VPCs**

In diesem Schritt müssen Sie zwei VPCs in demselben Konto mithilfe der in der folgenden Tabelle angegebenen Parameter erstellen. AWS Managed Microsoft AD unterstützt die Verwendung separater Konten mit dieser [Teilen Sie Ihr AWS verwaltetes Microsoft AD](ms_ad_directory_sharing.md) Funktion. Die erste VPC wird für AWS Managed Microsoft AD verwendet. Die zweite VPC wird für Ressourcen verwendet, die später in [Tutorial: Erstellen einer Vertrauensstellung von AWS Managed Microsoft AD zu einer selbstverwalteten Active Directory-Installation auf Amazon EC2](ms_ad_tutorial_test_lab_trust.md) verwendet werden können.


****  

|  Informationen zur verwalteten Active Directory-VPC  |  On-Premises-VPC-Informationen  | 
| --- | --- | 
|  Namenskürzel: AWS-DS- VPC01 IPv4 CIDR-Block: 10.0.0.0/16 IPv6 CIDR-Block: Kein CIDR-Block IPv6  Tenancy: Standard  |  Namenskürzel: AWS- - OnPrem VPC01 IPv4 CIDR-Block: 10.100.0.0/16 IPv6 CIDR-Block: Kein CIDR-Block IPv6  Tenancy: Standard  | 

Detaillierte Anweisungen finden Sie unter [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC).

**Schritt 2: Zwei Subnetzen pro VPC erstellen**

Nachdem Sie das erstellt haben, müssen VPCs Sie zwei Subnetze pro VPC mit den angegebenen Parametern in der folgenden Tabelle erstellen. In dieser Testumgebung wird jedes Subnetz ein /24 sein. Dadurch können bis zu 256 Adressen pro Subnetz vergeben werden. Jedes Subnetz muss sich in einem separaten AZ befinden. Die Unterbringung jedes Subnetzes in einem separaten in AZ ist eine der [Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).


****  

|  AWS-DS- Subnetzinformationen: VPC01   |  AWS- OnPrem - Subnetzinformationen VPC01   | 
| --- | --- | 
|  Namenskürzel: AWS-DS- -Subnet01 VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Availability Zone: us-west-2a IPv4 CIDR-Block: 10.0.0.0/24  |  Namenskürzel: - - -Subnet01 AWS OnPrem VPC01  VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2a IPv4 CIDR-Block: 10.100.0.0/24  | 
|  Namenskürzel: -DS- -Subnet02 AWS VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Availability Zone: us-west-2b IPv4 CIDR-Block: 10.0.1.0/24  |  Namenskürzel: - - -Subnet02 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2b IPv4 CIDR-Block: 10.100.1.0/24  | 

Detaillierte Anweisungen finden Sie unter [Erstellen eines Subnetzes in Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).

**Schritt 3: Erstellen Sie ein Internet Gateway und schließen Sie es an Ihr VPCs**

Da wir öffentliche VPCs verwenden, müssen Sie ein Internet-Gateway erstellen und an Ihre VPCs anhängen, indem Sie die in der folgenden Tabelle angegebenen Parameter verwenden. Damit können Sie sich mit Ihren EC2-Instances verbinden und diese verwalten.


****  

|  AWS-DS- VPC01 Internet-Gateway-Informationen  |  AWS- OnPrem - VPC01 Internet-Gateway-Informationen  | 
| --- | --- | 
|  Namenskürzel: AWS-DS- VPC01 -IGW VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01  |  Namenskürzel: - - AWS-IGW OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

Detaillierte Anweisungen finden Sie unter [Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).

**Schritt 4: Konfigurieren Sie eine VPC-Peering-Verbindung zwischen AWS-DS- VPC01 und - - AWS OnPrem VPC01**

Da Sie bereits VPCs zuvor zwei erstellt haben, müssen Sie sie mithilfe von VPC-Peering mithilfe der in der folgenden Tabelle angegebenen Parameter miteinander vernetzen. Es gibt zwar viele Möglichkeiten VPCs, Ihre zu verbinden, aber in diesem Tutorial wird VPC Peering verwendet. AWS [Managed Microsoft AD unterstützt viele Verbindungslösungen. VPCs Einige davon umfassen [VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) und VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html) 


****  

|  | 
| --- |
|  Namensschild für die Peering-Verbindung: AWS-DS- VPC01 & - - -Peer AWS OnPrem VPC01 VPC (Antragsteller): AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Konto: Mein Konto Region: Diese Region VPC (Akzeptierer): AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

Anweisungen zum Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto finden Sie unter [Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local).

**Schritt 5: Fügen Sie der Hauptroutentabelle jeder VPC zwei Routen hinzu**

Damit die in den vorherigen Schritten erstellten Internet-Gateways und die VPC-Peering-Verbindung funktionieren, müssen Sie die Haupt-Routing-Tabelle von beiden VPCs mithilfe der in der folgenden Tabelle angegebenen Parameter aktualisieren. Sie fügen zwei Routen hinzu: 0.0.0.0/0, die zu allen Zielen führt, die der Routing-Tabelle nicht explizit bekannt sind, und 10.0.0.0/16 oder 10.100.0.0/16, die zu jeder VPC über die oben eingerichtete VPC-Peering-Verbindung führen. 

Sie können ganz einfach die richtige Routentabelle für jede VPC finden, indem Sie nach dem VPC-Namensschild (AWS-DS- VPC01 oder AWS- -OnPrem) filtern. VPC01


****  

|  AWS-DS- Informationen zu Route 1 VPC01   |  AWS-DS- Informationen zur VPC01 Route 2  |  AWS- OnPrem - Informationen VPC01 zur Route 1  |  AWS- OnPrem - Informationen zur VPC01 Route 2  | 
| --- | --- | --- | --- | 
|  Ziel: 0.0.0.0/0 Ziel: igw-xxxxxxxxxxxxxxxxx AWS-DS- -IGW VPC01  |  Ziel: 10.100.0.0/16 Ziel: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01  |  Ziel: 0.0.0.0/0 Ziel: igw-xxxxxxxxxxxxx AWS-Onprem- VPC01  |  Ziel: 10.0.0.0/16 Ziel: pcx-xxxxxxxxxxxxxxxxx -DS- & - - -Peer AWS VPC01 AWS OnPrem VPC01  | 

Anweisungen zum Hinzufügen von Routen zu einer VPC-Routing-Tabelle finden Sie unter [Hinzufügen und Entfernen von Routen aus einer Routing-Tabelle](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes).

## Sicherheitsgruppen für Amazon EC2 EC2-Instances erstellen
<a name="createsecuritygroup"></a>

Standardmäßig erstellt AWS Managed Microsoft AD eine Sicherheitsgruppe, um den Verkehr zwischen seinen Domänencontrollern zu verwalten. In diesem Abschnitt müssen Sie 2 Sicherheitsgruppen erstellen (eine für jede VPC), die zur Verwaltung des Datenverkehrs innerhalb Ihrer VPC für Ihre EC2-Instances verwendet werden, wobei Sie die in den folgenden Tabellen angegebenen Parameter verwenden. Außerdem fügen Sie eine Regel hinzu, die eingehenden RDP (3389)-Datenverkehr aus jeder beliebigen Quelle und für alle aus der lokalen VPC eingehenden Verkehrstypen zulässt. Weitere Informationen finden Sie unter [Amazon-EC2-Sicherheitsgruppen für Windows-Instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html).


****  

|  AWS-DS- Informationen zur VPC01 Sicherheitsgruppe:  | 
| --- | 
|  Name der Sicherheitsgruppe: AWS DS Test Lab Security Group Beschreibung: AWS DS Test Lab Sicherheitsgruppe VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01  | 

**Sicherheitsgruppenregeln für eingehende Zugriffe für -DS- AWS VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Zielbereich  | TCP | 3389 | Meine IP | Remotedesktop | 
| Gesamter Datenverkehr | Alle | Alle | 10.0.0.0/16 | Gesamter lokaler VPC-Verkehr | 

**Regeln für ausgehende Sicherheitsgruppen für -DS- AWS VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Ziel | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Gesamter Datenverkehr | 


****  

| AWS- OnPrem - Informationen VPC01 zur Sicherheitsgruppe: | 
| --- | 
|  Name der Sicherheitsgruppe: AWS OnPrem Test Lab Security Group. Beschreibung: AWS OnPrem Test Lab Security Group. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

**Sicherheitsgruppenregeln für eingehenden Datenverkehr für - - AWS OnPrem VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Zielbereich  | TCP | 3389 | Meine IP | Remotedesktop | 
| Zielbereich  | TCP | 53 | 10.0.0.0/16 | DNS | 
| Zielbereich  | TCP  | 88 | 10.0.0.0/16 | Kerberos | 
| Zielbereich  | TCP  | 389 | 10.0.0.0/16 | LDAP | 
| Zielbereich  | TCP | 464 | 10.0.0.0/16 | Kerberos Passwort ändern/einrichten | 
| Zielbereich  | TCP | 445 | 10.0.0.0/16 | SMB/CIFS | 
| Zielbereich  | TCP | 135 | 10.0.0.0/16 | Replikation | 
| Zielbereich  | TCP | 636 | 10.0.0.0/16 | LDAP SSL | 
| Zielbereich  | TCP | 49152–65535 | 10.0.0.0/16 | RPC | 
| Zielbereich  | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC und LDAP GC SSL | 
| Benutzerdefinierte UDP-Regel  | UDP | 53 | 10.0.0.0/16 | DNS | 
| Benutzerdefinierte UDP-Regel  | UDP | 88 | 10.0.0.0/16 | Kerberos | 
| Benutzerdefinierte UDP-Regel  | UDP | 123 | 10.0.0.0/16 | Windows-Uhrzeit | 
| Benutzerdefinierte UDP-Regel  | UDP | 389 | 10.0.0.0/16 | LDAP | 
| Benutzerdefinierte UDP-Regel  | UDP | 464 | 10.0.0.0/16 | Kerberos Passwort ändern/einrichten | 
| Gesamter Datenverkehr | Alle | Alle | 10.100.0.0/16 | Gesamter lokaler VPC-Verkehr | 

**Regeln für ausgehende Sicherheitsgruppen für AWS- - OnPrem VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Ziel | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Gesamter Datenverkehr | 

Ausführliche Anweisungen zum Erstellen und Hinzufügen von Regeln zu Ihren Sicherheitsgruppen finden Sie unter [Mit Sicherheitsgruppen arbeiten](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups).

# Schritt 2: Erstellen Sie Ihr AWS verwaltetes Microsoft AD Active Directory
<a name="microsoftadbasestep2"></a>

Sie können Ihr Verzeichnis unter Verwendung von drei verschiedenen Methoden erstellen. Sie können das AWS-Managementkonsole Verfahren (für dieses Tutorial empfohlen) oder eines der AWS Tools for Windows PowerShell Verfahren AWS CLI oder verwenden, um Ihr Verzeichnis zu erstellen.

**Methode 1: So erstellen Sie Ihr AWS verwaltetes Microsoft AD-Verzeichnis (AWS-Managementkonsole)**

1. Wählen Sie im Navigationsbereich [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) den Eintrag **Verzeichnisse** und wählen Sie **Verzeichnis einrichten** aus.

1. Wählen Sie auf der Seite **Verzeichnistyp auswählen** die Option **AWS Managed Microsoft AD** aus und klicken Sie dann auf **Weiter**.

1. Geben Sie auf der Seite **Enter directory information (Verzeichnisinformationen eingeben)** die folgenden Informationen ejn und wählen Sie dann **Next (Weiter)** aus.
   + Wählen Sie in **Edition** entweder **Standard Edition** oder **Enterprise Edition** aus. Weitere Informationen zu Editionen finden Sie unter [AWS Directory Service für Microsoft Active Directory](what_is.md#microsoftad). 
   + Geben Sie in **Directory DNS name (DNS-Name des Verzeichnisses)** den Wert **corp.example.com** ein.
   + Geben Sie in **Directory NetBIOS name (Verzeichnis-NetBIOS-Name)** den Wert **corp** ein.
   + Geben Sie in **Destination (Ziel)** den Wert **AWS DS Managed** ein.
   + Geben Sie für **Admin password** das Passwort ein, das Sie für dieses Konto verwenden wollen, und wiederholen Sie die Passworteingabe in **Confirm password**. Dieses **Admin**-Konto wird automatisch erstellt, wenn das Verzeichnis erstellt wird. Das Passwort darf das Wort *admin* nicht beinhalten. Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und muss zwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:
     + Kleinbuchstaben (a – z)
     + Großbuchstaben (A – Z)
     + Zahlen (0 – 9)
     + Nicht-alphanumerische Zeichen (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

1. Geben Sie auf der Seite **Choose VPC and subnets (VPC und Subnetze wählen)** die folgenden Informationen an und wählen Sie dann **Next (Weiter)**.
   + Wählen Sie für **VPC** die Option, die mit **AWS-DS-** beginnt VPC01 und mit **(10.0.0.0/16**) endet.
   + Für **Subnetze** wählen Sie die öffentlichen Subnetze **10.0.0.0/24** and **10.0.1.0/24**.

1. Überprüfen Sie auf der Seite **Review & create (Überprüfen und erstellen)** die Verzeichnisinformationen und nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen Sie **Create directory (Verzeichnis erstellen)**. Das Erstellen des Verzeichnisses dauert 20 bis 40 Minuten. Sobald sie erstellt wurden, ändert sich der **Status** in **Active**.

**Methode 2: So erstellen Sie Ihr AWS verwaltetes Microsoft AD (PowerShell) (optional)**

1. Öffnen Sie PowerShell.

1. Geben Sie den folgenden Befehl ein: Stellen Sie sicher, dass Sie die in Schritt 4 des vorherigen AWS-Managementkonsole Verfahrens angegebenen Werte verwenden.

   ```
   New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

**Methode 3: So erstellen Sie Ihr AWS verwaltetes Microsoft AD (AWS CLI) (optional)**

1. Öffnen Sie das AWS CLI.

1. Geben Sie den folgenden Befehl ein: Stellen Sie sicher, dass Sie die in Schritt 4 des vorherigen AWS-Managementkonsole Verfahrens angegebenen Werte verwenden.

   ```
   aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

# Schritt 3: Stellen Sie eine Amazon EC2 EC2-Instance bereit, um Ihr AWS verwaltetes Microsoft AD Active Directory zu verwalten
<a name="microsoftadbasestep3"></a>

Für dieses Lab verwenden wir Amazon EC2 EC2-Instances mit öffentlichen IP-Adressen, um den Zugriff auf die Management-Instance von überall aus zu vereinfachen. In einer Produktionsumgebung können Sie Instances verwenden, die sich in einer privaten VPC befinden und auf die nur über ein VPN oder einen Direct Connect Link zugegriffen werden kann. Es ist nicht notwendig, dass die Instance über eine öffentliche IP-Adresse verfügt.

In diesem Abschnitt durchlaufen Sie die verschiedenen Aufgaben nach der Bereitstellung, die für Client-Computer erforderlich sind, um unter Verwendung des Windows Servers auf Ihrer neuen EC2-Instance eine Verbindung mit Ihrer neuen Domain herzustellen. Sie verwenden die Windows Server im nächsten Schritt, um sicherzustellen, dass die Testumgebung funktional ist.

## Optional: Erstellen Sie in AWS-DS- VPC01 einen DHCP-Optionssatz für Ihr Verzeichnis
<a name="createdhcpoptionsset"></a>

In diesem optionalen Verfahren richten Sie einen DHCP-Optionsbereich ein, sodass EC2-Instances in Ihrer VPC automatisch Ihr AWS verwaltetes Microsoft AD für die DNS-Auflösung verwenden. Weitere Informationen finden Sie unter [DHCP-Optionssets](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).

**So erstellen Sie eine DHCP-Optionsliste für Ihr Verzeichnis**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **DHCP Options Sets** und anschließend **Create DHCP Options Set** aus.

1. Geben Sie auf der Seite **Create DHCP options set (DHCP-Optionsliste erstellen)** die folgenden Werte für Ihr Verzeichnis ein:
   + Geben Sie bei **Name** **AWS DS DHCP** ein.
   + Geben Sie für **Domainname** **corp.example.com** ein.
   + Geben Sie für **Domainnamen-Server** die IP-Adressen der DNS-Server Ihres von AWS bereitgestellten Verzeichnisses ein. 
**Anmerkung**  
Um diese Adressen zu finden, rufen Sie die Seite Directory Service **Verzeichnisse auf** und wählen Sie dann die entsprechende Verzeichnis-ID aus. Identifizieren und verwenden Sie auf der Seite „**Details**“ IPs die in der **DNS-Adresse angezeigten Adressen**.  
Sie können diese Adressen auch finden, indem Sie die Directory Service -Seite **Verzeichnisse** aufrufen und die entsprechende Verzeichnis-ID auswählen. Wählen Sie dann **Skalieren und freigeben**. Identifizieren und verwenden Sie unter **Domänencontroller** IPs die, die unter **IP-Adresse** angezeigt werden.
   + Geben Sie nichts für die Einstellungen für **NTP servers**, **NetBIOS name servers** und **NetBIOS node type** an.

1. Wählen Sie **Create DHCP options set (DHCP-Optionsliste erstellen)** und anschließend **Close (Schließen)** aus. Die neue DHCP-Optionsliste wird in der Liste der DHCP-Optionen angezeigt.

1. Notieren Sie sich die ID des neuen Satzes von DHCP-Optionen (**dopt- *xxxxxxxx***). Sie brauchen sie zum Schluss dieses Verfahrens, wenn Sie die neue Optionsliste Ihrer VPC zuordnen.
**Anmerkung**  
Die nahtlose Domainverbindung funktioniert, ohne dass ein DHCP-Optionssatz konfiguriert werden muss. 

1. **Wählen Sie im Navigationsbereich Ihr aus. VPCs**

1. Wählen Sie in der Liste von VPCs **AWS DS VPC**, **Aktionen** und dann **DHCP-Optionssatz bearbeiten** aus.

1. Wählen Sie auf der Seite **Edit DHCP options set (DHCP-Optionsliste bearbeiten)** die Optionsliste aus, die Sie sich in Schritt 5 notiert haben, und wählen Sie dann **Save (Speichern)** aus.

## Erstellen Sie eine Rolle, um Windows-Instanzen mit Ihrer AWS verwalteten Microsoft AD-Domäne zu verbinden
<a name="configureec2"></a>

Gehen Sie wie folgt vor, um eine Rolle zu konfigurieren, die eine Amazon EC2 EC2-Windows-Instance mit einer Domain verbindet. Weitere Informationen finden Sie unter [Hinzufügen einer Amazon EC2 Windows-Instance zu Ihrem AWS verwalteten Microsoft AD Active Directory](launching_instance.md).

**So konfigurieren Sie EC2, um Windows-Instances mit Ihrer Domain zu verbinden**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.

1. Wählen Sie unter **Select type of trusted entity** (Typ der vertrauenswürdigen Entität auswählen) die Option **AWS -Service** aus.

1. Wählen Sie für **Choose the service that will use this role (Wählen Sie den Service aus, der diese Rolle verwendet)** die Option **EC2** und danach **Next: Permissions (Nächster Schritt: Berechtigungen)** aus.

1. Führen Sie auf der Seite **Attached permissions policy (Richtlinie für angefügte Berechtigungen)** die folgenden Schritte aus:
   + Wählen Sie das Kästchen neben der von **Amazon SSMManaged InstanceCore** verwalteten Richtlinie aus. Diese Richtlinie enthält die erforderlichen Mindestberechtigungen zum Verwenden des Systems-Managers-Dienstes.
   + Markieren Sie das Kästchen neben „Von **Amazon SSMDirectory ServiceAccess** verwaltete Richtlinie“. Die Richtlinie enthält die Berechtigungen zum Verbinden von Instances mit einem von Directory Service verwalteten Active Directory.

   Weitere Informationen zu diesen verwalteten Richtlinien und anderen Richtlinien zum Anfügen an ein IAM-Instance-Profil für Systems Manager finden Sie unter [Ein IAM-Instance-Profil für Systems Manager erstellen](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) im *AWS Systems Manager -Benutzerhandbuch*. Informationen über verwaltete Richtlinien finden Sie unter [AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

1. Wählen Sie **Next: Tags (Weiter: Tags (Markierungen))** aus.

1. (Optional) Fügen Sie ein oder mehrere Tag (Markierung)-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern, und wählen Sie dann **Next: Review** (Weiter: Prüfen) aus. 

1. Geben Sie **unter Rollenname** einen Namen für die Rolle ein, der beschreibt, dass sie verwendet wird, um Instances mit einer Domain zu verbinden, z. **EC2DomainJoin**B.

1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung ein.

1. Wählen Sie **Create role (Rolle erstellen)** aus. Das System leitet Sie zur Seite **Rollen** zurück.

## Erstellen Sie eine Amazon EC2 EC2-Instance und treten Sie dem Verzeichnis automatisch bei
<a name="deployec2instance"></a>

In diesem Verfahren richten Sie ein Windows Server-System in einer EC2-Instance ein, das später zur Verwaltung von Benutzern, Gruppen und Richtlinien in Active Directory verwendet werden kann. 

**So erstellen Sie eine EC2-Instance und verbinden automatisch das Verzeichnis**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie **Launch Instance** aus.

1. Wählen Sie auf der Seite **Schritt 1** neben **Microsoft Windows Server 2019 Base - ami** die *xxxxxxxxxxxxxxxxx* Option **Select aus**.

1. Wählen Sie auf der Seite **Schritt 2** den Eintrag **t3.micro** (beachten Sie, dass Sie einen größeren Instance-Typ wählen können) und wählen Sie dann **Weiter: Instance-Details konfigurieren** aus.

1. Führen Sie auf der Seite **Step 3** die folgenden Schritte aus:
   + Wählen Sie für **Network** die VPC aus, die mit **AWS-DS-** endet VPC01 (z. B. **vpc- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS-**). VPC01
   + Wählen Sie als **Subnetz Public Subnet** **1** aus, das für Ihre bevorzugte Availability Zone vorkonfiguriert sein sollte (z. B. **subnet** - \$1 -DS- -Subnetz01 \$1). *xxxxxxxxxxxxxxxxx* AWS VPC01 *us-west-2a* 
   + Wählen Sie für **Auto-assign Public IP** die Option **Enable** (falls die Subnetz-Einstellung nicht standardmäßig auf Enable gesetzt ist).
   + **Wählen Sie für **Domain Join Directory** die Option corp.example.com (d-) aus. *xxxxxxxxxx***
   + Wählen Sie für die **IAM-Rolle** den Namen aus, den Sie Ihrer Instance-Rolle gegeben haben, z. B. [Erstellen Sie eine Rolle, um Windows-Instanzen mit Ihrer AWS verwalteten Microsoft AD-Domäne zu verbinden](#configureec2) **EC2DomainJoin**
   + Übernehmen Sie für die anderen Einstellungen die Standardwerte.
   + Wählen Sie **Next: Add Storage** aus.

1. Behalten Sie auf der Seite **Step 4** die Standardeinstellungen bei und wählen Sie dann **Next: Add Tags**.

1. Wählen Sie auf der Seite **Step 5** die Option **Add Tag** aus. Geben Sie unter **Key** die Zeichenfolge **corp.example.com-mgmt** ein und wählen Sie dann **Next: Configure Security Group**.

1. Wählen Sie auf der Seite **Schritt 6** die Option **Bestehende Sicherheitsgruppe auswählen**, wählen Sie die **AWS -DS-Testumgebungs-Sicherheitsgruppe** (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createsecuritygroup) eingerichtet haben) und wählen Sie dann **Überprüfen und starten**, um Ihre Instance zu überprüfen.

1. Überprüfen Sie auf der Seite **Step 7** die Seite und wählen Sie dann **Launch**.

1. Erledigen Sie im Dialogfeld **Select an existing key pair or create a new key pair** Folgendes:
   + Wählen Sie **Vorhandenes Schlüsselpaar auswählen** aus.
   + Wählen Sie unter **Schlüsselpaar auswählen** die Option **AWS-DS-KP**.
   + Markieren Sie das Kontrollkästchen **I acknowledge...**.
   + Wählen Sie **Instances starten** aus.

1. Wählen Sie **Instances anzeigen** aus, um zur Amazon-EC2-Konsole zurückzukehren und den Status der Bereitstellung anzuzeigen.

## Die Active-Directory-Tools in Ihrer EC2-Instance installieren
<a name="installadtools"></a>

Sie haben die Wahl zwischen zwei Methoden zur Installation der Active Directory-Domain-Management-Tools für Ihre EC2-Instance. Sie können die Server Manager-Benutzeroberfläche (für dieses Tutorial empfohlen) oder PowerShell verwenden.

**So installieren Sie die Active-Directory-Tools in Ihrer EC2-Instance (Server Manager)**

1. Wählen Sie in der Amazon-EC2-Konsole die Option **Instances**, wählen Sie die zuvor erstellte Instance und wählen Sie dann **Verbinden**. 

1. Wählen **Sie im Dialogfeld Connect To Your Instance** die Option **Get Password** aus, um Ihr Passwort abzurufen, falls Sie das noch nicht getan haben, und wählen Sie dann **Remote Desktop-Datei herunterladen**. 

1. Geben Sie im Dialogfeld **Windows Security** Ihre lokalen Administrator-Anmeldeinformationen für den Windows Server-Computer ein, um sich anzumelden (z. B. **administrator**).

1. Wählen Sie im Menü **Start** die Option **Server Manager**.

1. Wählen Sie im **Dashboard** **Add Roles and Features**.

1. Wählen Sie im **Add Roles and Features Wizard** **Next**. 

1. Wählen Sie auf der Seite **Select installation type** die Option **Role-based or feature-based installation** und wählen Sie **Next**.

1. Stellen Sie sicher, dass auf der Seite **Select destination server** der lokale Server ausgewählt ist, und wählen Sie dann **Next**.

1. Wählen Sie auf der Seite **Select server roles** **Next**. 

1. Führen Sie auf der Seite **Select features** die folgenden Schritte aus:
   + Wählen Sie das Kontrollkästchen **Group Policy Management**.
   + Erweitern Sie **Remote Server Administration Tools** und erweitern Sie dann **Role Administration Tools**.
   + Wählen Sie das Kontrollkästchen **AD DS and AD LDS Tools**.
   + Wählen Sie das Kontrollkästchen **DNS Server Tools** .
   + Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Confirm installation selections** die Informationen und wählen Sie dann **Install**. Wenn die Installation des Features abgeschlossen ist, stehen die folgenden neuen Tools oder Snap-Ins über den Ordner Windows Administrative Tools im Start-Menü zur Verfügung. 
   + Active Directory Administrative Center
   + Active-Directory-Domain und -Vertrauensbeziehungen
   + Active Directory-Modul für PowerShell
   + Active Directory-Standorte und -Dienste
   + Active Directory-Benutzer und -Computer
   + ADSI bearbeiten
   + DNS
   + Gruppenrichtlinienverwaltung

**Um die Active Directory-Tools auf Ihrer EC2-Instance zu installieren (PowerShell) (optional)**

1. Starten PowerShell.

1. Geben Sie den folgenden Befehl ein: 

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```

# Schritt 4: Sicherstellen, dass die grundlegende Testumgebung funktional ist
<a name="microsoftadbasestep4"></a>

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die Testumgebung erfolgreich eingerichtet wurde, bevor Sie der Testumgebung weitere Module hinzufügen. Mit diesem Verfahren wird überprüft, ob Ihr Windows Server ordnungsgemäß konfiguriert ist, eine Verbindung zur Domäne corp.example.com herstellen kann und zur Verwaltung Ihrer AWS verwalteten Microsoft AD-Gesamtstruktur verwendet werden kann. 

**So stellen Sie sicher, dass die Testumgebung funktional ist**

1. Melden Sie sich von der EC2-Instance ab, bei der Sie als lokaler Administrator angemeldet waren. 

1. Wenn Sie wieder in der Amazon-EC2-Konsole sind, wählen Sie im Navigationsbereich **Instances** aus. Anschließend wählen Sie die Instance aus, die Sie erstellt haben. Wählen Sie **Connect** aus. 

1. Wählen Sie im Dialogfeld **Connect To Your Instance** **Download Remote Desktop File** aus. 

1. Geben Sie im Dialogfeld **Windows Security** Ihre Administrator-Anmeldeinformationen für die CORP-Domain ein, um sich anzumelden (z. B. **corp\$1admin**).

1. Sobald Sie angemeldet sind, wählen Sie im **Start**-Menü unter **Windows Administrative Tools** den Eintrag **Active Directory Users and Computers**. 

1. Sie sollten **corp.example.com** mit allen Standard OUs - und Konten, die mit einer neuen Domäne verknüpft sind, angezeigt werden. Beachten Sie unter **Domänencontroller** die Namen der Domänencontroller, die automatisch erstellt wurden, als Sie Ihr AWS verwaltetes Microsoft AD in Schritt 2 dieses Tutorials erstellt haben. 

Herzlichen Glückwunsch\$1 Ihre AWS verwaltete Microsoft AD-Basis-Testlabumgebung wurde jetzt konfiguriert. Sie können jetzt die nächsten Testumgebungen der Serie hinzufügen.

Nächstes Tutorial: [Tutorial: Erstellen einer Vertrauensstellung von AWS Managed Microsoft AD zu einer selbstverwalteten Active Directory-Installation auf Amazon EC2](ms_ad_tutorial_test_lab_trust.md)

# Tutorial: Erstellen einer Vertrauensstellung von AWS Managed Microsoft AD zu einer selbstverwalteten Active Directory-Installation auf Amazon EC2
<a name="ms_ad_tutorial_test_lab_trust"></a>

In diesem Tutorial erfahren Sie, wie Sie eine Vertrauensstellung zwischen der AWS Verzeichnisdienst-Gesamtstruktur für Microsoft Active Directory einrichten, die Sie im [Basis-Tutorial](ms_ad_tutorial_test_lab_base.md) erstellt haben. Sie erfahren außerdem, wie Sie einen neuen nativen Active-Directory-Forest auf einem Windows-Server in Amazon EC2 erstellen. Wie in der folgenden Abbildung dargestellt, ist das Lab, das Sie anhand dieses Tutorials erstellen, der zweite Baustein, der für die Einrichtung eines vollständigen AWS Managed Microsoft AD-Testlabors erforderlich ist. Sie können das Testlabor verwenden, um Ihre reinen Cloud- oder Hybrid-Cloud-basierten AWS Lösungen zu testen. 

Es sollte nur einmal erforderlich sein, dieses Tutorial zu erstellen. Anschließend können Sie bei Bedarf weitere optionale Tutorials hinzufügen.

![\[Schritte zur Schaffung einer Vertrauensstellung von einem Microsoft Active Directory zu einem selbstverwalteten Active Directory: Richten Sie Ihre Umgebung ein, erstellen Sie Ihr Microsoft Active Directory, stellen Sie eine Amazon EC2 EC2-Instance bereit und testen Sie das Lab.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)


**[Schritt 1: Ihre Umgebung für Vertrauensstellungen einrichten](microsoftadtruststep1.md)**  
Bevor Sie Vertrauensstellungen zwischen einer neuen Active-Directory-Gesamtstruktur und der im [Basis-Tutorial](ms_ad_tutorial_test_lab_base.md) erstellten Gesamtstruktur von AWS Managed Microsoft AD einrichten können, müssen Sie Ihre Amazon-EC2-Umgebung vorbereiten. Dazu erstellen Sie zunächst einen Windows-Server-2019-Server, befördern diesen Server zu einem Domain-Controller und konfigurieren dann Ihre VPC entsprechend.

**[Schritt 2: Vertrauensstellungen erstellen](microsoftadtruststep2.md)**  
In diesem Schritt erstellen Sie eine bidirektionale Gesamtstruktur-Vertrauensstellung zwischen Ihrer neu erstellten Active Directory-Gesamtstruktur, die in Amazon EC2 gehostet wird, und Ihrer AWS verwalteten Microsoft AD-Gesamtstruktur in. AWS

**[Schritt 3: Die Vertrauensstellung überprüfen](microsoftadtruststep3.md)**  
Schließlich verwenden Sie als Administrator die Directory Service Konsole, um zu überprüfen, ob die neuen Trusts betriebsbereit sind.

# Schritt 1: Ihre Umgebung für Vertrauensstellungen einrichten
<a name="microsoftadtruststep1"></a>

In diesem Abschnitt richten Sie Ihre Amazon EC2 EC2-Umgebung ein, stellen Ihre neue Gesamtstruktur bereit und bereiten Ihre VPC auf Vertrauensstellungen mit vor. AWS

![\[Amazon EC2 EC2-Umgebung mit Amazon VPC, Subnetzen und Internet Gateways zur Bereitstellung einer neuen Gesamtstruktur und zum Aufbau einer Vertrauensbeziehung.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


## Eine EC2-Instance für Windows Server 2019 erstellen
<a name="createkeypair1"></a>

Gehen Sie wie folgt vor, um einen Mitgliedsserver für Windows Server 2019 in Amazon EC2 zu erstellen. 

**So erstellen Sie eine EC2-Instance für Windows Server 2019**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie in der Amazon-EC2-Konsole **Instance starten** aus.

1. Suchen Sie auf der Seite **Schritt 1** *xxxxxxxxxxxxxxxxx* in der Liste nach **Microsoft Windows Server 2019 Base - ami-**. Wählen Sie anschließend **Select** aus.

1. Wählen Sie auf der Seite **Step 2** die Option **t2.large** und wählen Sie dann **Next: Configure Instance Details**.

1. Führen Sie auf der Seite **Step 3** die folgenden Schritte aus:
   + Wählen Sie für **Netzwerk** die Option **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem -** aus VPC01 (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createvpc) eingerichtet haben).
   + Wählen Sie für **Subnetz subnet** **- *xxxxxxxxxxxxxxxxx* \$1 AWS- - -Subnet01 \$1 OnPrem - VPC01 -** aus. AWS OnPrem VPC01
   + Wählen Sie für **Auto-assign Public IP** die Option **Enable** (falls die Subnetz-Einstellung nicht standardmäßig auf **Enable** gesetzt ist).
   + Übernehmen Sie für die anderen Einstellungen die Standardwerte.
   + Wählen Sie **Next: Add Storage** aus.

1. Behalten Sie auf der Seite **Step 4** die Standardeinstellungen bei und wählen Sie dann **Next: Add Tags**.

1. Wählen Sie auf der Seite **Step 5** die Option **Add Tag** aus. Geben Sie unter **Key** die Zeichenfolge **example.local-DC01** ein und wählen Sie dann **Next: Configure Security Group**.

1. Wählen Sie auf der Seite **Schritt 6** die Option **Bestehende Sicherheitsgruppe auswählen**, wählen Sie die **AWS -On-Premises-Testumgebungs-Sicherheitsgruppe** (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createsecuritygroup) eingerichtet haben) und wählen Sie dann **Überprüfen und starten**, um Ihre Instance zu überprüfen.

1. Überprüfen Sie auf der Seite **Step 7** die Seite und wählen Sie dann **Launch**.

1. Erledigen Sie im Dialogfeld **Select an existing key pair or create a new key pair** Folgendes:
   + Wählen Sie **Vorhandenes Schlüsselpaar auswählen** aus.
   + Wählen Sie unter **Schlüsselpaar auswählen** die Option **AWS-DS-KP** (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createkeypair2) eingerichtet haben).
   + Markieren Sie das Kontrollkästchen **I acknowledge...**.
   + Wählen Sie **Instances starten** aus.

1. Wählen Sie **Instances anzeigen** aus, um zur Amazon-EC2-Konsole zurückzukehren und den Status der Bereitstellung anzuzeigen.

## Ihren Server zu einem Domain-Controller ernennen
<a name="promoteserver"></a>

Bevor Sie Vertrauensbeziehungen erstellen können, müssen Sie den ersten Domain-Controller für einen neuen Forest erstellen und bereitstellen. Während dieses Prozesses konfigurieren Sie einen neuen Active Directory-Forest, installieren DNS und richten Sie diesen Server so ein, dass er den lokalen DNS-Server für die Namensauflösung verwendet. Nach Abschluss dieses Verfahrens müssen Sie den Server neu starten.

**Anmerkung**  
Wenn Sie einen Domänencontroller erstellen möchten AWS , der sich mit Ihrem lokalen Netzwerk repliziert, müssen Sie die EC2-Instance zunächst manuell mit Ihrer lokalen Domäne verbinden. Anschließend können Sie den Server einem Domain-Controller bekanntgeben.

**Ihren Server einem Domain-Controller bekanntgeben**

1. Wählen Sie in der Amazon-EC2-Konsole die Option **Instances**, wählen Sie die zuvor erstellte Instance und wählen Sie dann **Verbinden**. 

1. Wählen Sie im Dialogfeld **Connect To Your Instance** **Download Remote Desktop File** aus. 

1. Geben Sie im Dialogfeld **Windows Security** Ihre lokalen Administrator-Anmeldeinformationen für den Windows Server-Computer ein, um sich anzumelden (z. B. **administrator**). Wenn Sie das lokale Administratorpasswort noch nicht haben, gehen Sie zurück zur Amazon-EC2-Konsole, klicken Sie mit der rechten Maustaste auf die Instance und wählen Sie **Windows-Passwort abrufen**. Navigieren Sie zu Ihrer `AWS DS KP.pem` Datei oder Ihren persönlichen `.pem` Schlüssel, und wählen Sie dann **Decrypt Password**.

1. Wählen Sie im Menü **Start** die Option **Server Manager**.

1. Wählen Sie im **Dashboard** **Add Roles and Features**.

1. Wählen Sie im **Add Roles and Features Wizard** **Next**. 

1. Wählen Sie auf der Seite **Select installation type** die Option **Role-based or feature-based installation** und wählen Sie **Next**.

1. Stellen Sie sicher, dass auf der Seite **Select destination server** der lokale Server ausgewählt ist, und wählen Sie dann **Next**.

1. Wählen Sie auf der Seite **Select server roles** die Option **Active Directory Domain Services**. Überprüfen Sie im Dialogfeld **Add Roles and Features Wizard**, ob das Kontrollkästchen **Include management tools (if applicable)** ausgewählt ist. Wählen Sie **Add Features** und anschließend **Next ** aus.

1. Wählen Sie auf der Seite **Features auswählen** die Option **Weiter** aus. 

1. Wählen Sie auf der Seite **Active Directory Domain Services** **Next**.

1. Wählen Sie auf der Seite **Confirm installation selections** **Install**.

1. Nachdem die Active Directory-Binärdateien installiert wurden, wählen Sie **Close**.

1. Wenn Server Manager geöffnet wird, suchen Sie nach einem Flag oben neben dem Wort **Manage**. Wenn dieses Flag gelb wird, kann der Server bekanntgegeben werden. 

1. Wählen Sie das gelbe Flag und wählen Sie dann **Promote this server to a domain controller**.

1. Wählen Sie auf der Seite **Deployment Configuration** **Add a new forest**. Geben Sie in **Root domain name** die Zeichenfolge **example.local** ein und wählen Sie **Next**.

1. Erledigen Sie auf der Seite **Domain Controller Options** Folgendes:
   + Wählen Sie in **Forest functional level** und **Domain functional level** die Option **Windows Server 2016**.
   + Vergewissern Sie sich, dass unter **Domänencontroller-Funktionen angeben** sowohl **DNS-Server** als auch **Global Catalog (GC) ausgewählt** sind.
   + Geben Sie ein DSRM-Passwort (Directory Services Restore Mode) ein und bestätigen Sie es. Klicken Sie anschließend auf **Weiter**.

1. Ignorieren Sie auf der Seite **DNS Options** die Warnung über die Delegation und wählen Sie **Next**.

1. Vergewissern Sie sich, dass auf der Seite **Zusätzliche Optionen** **EXAMPLE** als NetBios Domainname aufgeführt ist.

1. Behalten Sie auf der Seite **Paths** die Standardwerte bei, und wählen Sie dann **Next**.

1. Wählen Sie auf der Seite **Review Options** **Weiter**. Der Server prüft jetzt, ob alle Voraussetzungen für den Domain-Controller erfüllt sind. Möglicherweise werden einige Warnungen angezeigt, Sie können sie jedoch einfach ignorieren. 

1. Wählen Sie **Installieren** aus. Nachdem die Installation abgeschlossen ist, wird der Server neu gestartet und wird dann zu einem funktionalen Domain-Controller.

## Konfigurieren Ihrer VPC
<a name="configurevpc1"></a>

Die folgenden drei Verfahren führen Sie durch die Schritte zum Konfigurieren Ihrer VPC für die Anbindung an AWS.

**Konfigurieren Ihrer ausgehenden VPC-Regeln**

1. [Notieren Sie sich in der [AWS Directory Service Konsole](https://console.aws.amazon.com/directoryservicev2/) die AWS verwaltete Microsoft AD-Verzeichnis-ID für corp.example.com, die Sie zuvor im Base-Tutorial erstellt haben.](microsoftadbasestep2.md)

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Security Groups (Sicherheitsgruppen)** aus.

1. Suchen Sie nach Ihrer AWS Managed Microsoft AD-Verzeichnis-ID. Wählen Sie in den Suchergebnissen das Element mit der Beschreibung aus, die **Sicherheitsgruppe für *xxxxxx* D-Directory-Controller AWS erstellt wurde**.
**Anmerkung**  
Diese Sicherheitsgruppe wurde automatisch erstellt, als Sie Ihr Verzeichnis erstellt haben.

1. Wählen Sie die Registerkarte **Outbound Rules** unter dieser Sicherheitsgruppe. Wählen Sie **Edit**, **Add another rule** und fügen Sie die folgenden Werte hinzu:
   + Wählen Sie für **Type** die Option **All Traffic** aus.
   + Geben Sie für **Destination** den Wert **0.0.0.0/0** ein.
   + Übernehmen Sie für die anderen Einstellungen die Standardwerte.
   + Wählen Sie **Speichern** aus.

**So überprüfen Sie, ob die Kerberos-Vorauthentifizierung aktiviert ist**

1. Öffnen Sie auf dem Domain-Controller **example.local** **Server Manager**.

1. Wählen Sie im Menü **Tools** den Eintrag **Active Directory Users and Computers**.

1. Gehen Sie in das Verzeichnis **Users (Benutzer)**, klicken Sie mit der rechten Maustaste auf einen Benutzer und wählen Sie **Properties (Eigenschaften)**. Wählen Sie dann die Registerkarte **Account (Konto)**. Scrollen Sie in der Liste **Account options** nach unten und stellen Sie sicher, dass **Do not require Kerberos preauthentication** **nicht** ausgewählt ist.

1. Führen Sie dieselben Schritte für die Domain **corp.example.com** aus der Instance **corp.example.com-mgmt **aus.

**So konfigurieren Sie DNS-bedingte Weiterleitungen**
**Anmerkung**  
Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragen entsprechend dem DNS-Domainnamen in der Anfrage weiterleitet. Ein DNS-Server kann beispielsweise so konfiguriert werden, dass er alle Anfragen, die er für Namen mit der Endung widgets.example.com erhält, an die IP-Adresse eines bestimmten DNS-Servers oder an die IP-Adressen mehrerer DNS-Server weiterleitet.

1. Öffnen Sie die [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie die **Verzeichnis-ID** Ihres AWS Managed Microsoft AD aus.

1. Notieren Sie sich den vollqualifizierten Domainnamen (FQDN), **corp.example.com**, und die DNS-Adressen Ihres Verzeichnisses.

1. Jetzt kehren Sie zurück zu Ihrem Domain-Controller **example.local** und öffnen dann **Server Manager**.

1. Wählen Sie im Menü **Tools** den Eintrag **DNS**.

1. Erweitern Sie in der Konsolenstruktur den DNS-Server der Domain, für die Sie die Vertrauensbeziehung einrichten, und gehen Sie zu **Conditional Forwarders**.

1. Klicken Sie mit der rechten Maustaste auf **Conditional Forwarders**, und wählen Sie dann **New Conditional Forwarder**.

1. Geben Sie als DNS-Domain **corp.example.com** ein.

1. Wählen Sie unter **IP-Adressen der Primärserver** die Option **<Klicken Sie hier, um hinzuzufügen... **>, geben Sie die erste DNS-Adresse Ihres AWS verwalteten Microsoft AD-Verzeichnisses ein (die Sie im vorherigen Verfahren notiert haben), und drücken **Sie dann die EINGABETASTE**. Wiederholen Sie diesen Schritt für die zweite DNS-Adresse. Nach der Eingabe der DNS-Adressen können ein „Timeout“- oder ein „unable to resolve“-Fehler auftreten. Sie können diese Fehler in der Regel ignorieren.

1. Markieren Sie das Kontrollkästchen **Store this conditional forwarder in Active Directory, and replicate as follows**. Wählen Sie im Dropdown-Menü den Eintrag **All DNS servers in this Forest** und wählen Sie dann **OK**.

# Schritt 2: Vertrauensstellungen erstellen
<a name="microsoftadtruststep2"></a>

In diesem Abschnitt erstellen Sie zwei separate Forest-Vertrauensbeziehungen. Eine Vertrauensstellung wird von der Active Directory-Domäne auf Ihrer EC2-Instance und die andere von Ihrem AWS verwalteten Microsoft AD in AWS erstellt.

![\[Bidirektionale Vertrauensstellung zwischen corp.example.com und example.local\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)


**So stellen Sie das Vertrauen zwischen Ihrer EC2-Domain und Ihrem AWS verwalteten Microsoft AD her**

1. Melden Sie sich bei **example.local** an.

1. Öffnen Sie **Server Manager** und wählen Sie in der Konsolenstruktur **DNS**. Notieren Sie sich die für den Server IPv4 angegebene Adresse. Sie benötigen diese im nächsten Verfahren, wenn Sie eine bedingte Weiterleitung von **corp.example.com** zum Verzeichnis **example.local** erstellen.

1. Wählen Sie im Menü **Tools** den Eintrag **Active Directory Domains and Trusts**.

1. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf **example.local** und wählen Sie dann **Properties**.

1. Wählen Sie auf der Registerkarte **Trusts** die Option **New Trust** und dann **Next**.

1. Geben Sie auf der Seite **Trust Name** den Namen **corp.example.com** ein und wählen Sie dann **Next**.

1. Wählen Sie auf der Seite **Trust Type** die Option **Forest trust** und wählen Sie dann **Next**.
**Anmerkung**  
AWS Managed Microsoft AD unterstützt auch externe Vertrauensstellungen. Für dieses Tutorial erstellen Sie jedoch eine bidirektionale Gesamtstruktur-Vertrauensstellung.

1. Wählen Sie auf der Seite **Direction of Trust** die Option **Two-way** und wählen Sie dann **Next**.
**Anmerkung**  
Wenn Sie sich später entscheiden, dies stattdessen mit einer einseitigen Vertrauensstellung zu versuchen, vergewissern Sie sich, dass die Richtungen der Vertrauensstellung korrekt eingerichtet sind (ausgehend von der Trusting Domain, eingehend auf der Trusted Domain). Allgemeine Informationen finden Sie auf der Website von Microsoft unter [Verstehen der Vertrauensstellungs-Richtung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)).

1. Wählen Sie auf der Seite **Sides of Trust** die Option **This domain only** und dann **Next**.

1. Wählen Sie auf der Seite **Outgoing Trust Authentication Level** die Option **Forest-wide authentication** und dann **Next**.
**Anmerkung**  
Die **selektive Authentifizierung** ist zwar eine Option, aber der Einfachheit halber empfehlen wir, sie hier nicht zu aktivieren. Wenn diese Funktion konfiguriert ist, beschränkt sie den Zugriff über eine externe oder Gesamtstruktur-Vertrauensstellung auf diejenigen Benutzer in einer Trusted Domain oder Gesamtstruktur, denen explizit die Berechtigung zur Authentifizierung für Computerobjekte (Ressourcencomputer) in der Trusting Domain oder Gesamtstruktur erteilt wurde. Weitere Informationen finden Sie unter [Konfigurieren der Einstellungen für die selektive Authentifizierung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).

1. Geben Sie auf der Seite **Trust Password** zweimal das Passwort für die Vertrauensbeziehung ein, und wählen Sie dann **Next**. Im nächsten Verfahren verwenden Sie dasselbe Passwort.

1. Sehen Sie sich auf der Seite **Trust Selections Complete** die Ergebnisse an, und wählen Sie dann **Next**.

1. Sehen Sie sich auf der Seite **Trust Creation Complete** die Ergebnisse an, und wählen Sie dann **Next**.

1. Wählen Sie auf der Seite **Confirm Outgoing Trust** die Option **No, do not confirm the outgoing trust**. Wählen Sie anschließend **Weiter**.

1. Wählen Sie auf der Seite **Confirm Incoming Trust** die Option **No, do not confirm the incoming trust**. Wählen Sie anschließend **Weiter**.

1. Wählen Sie auf der Seite **Completing the New Trust Wizard** die Option **Finish**.

**Anmerkung**  
Vertrauensbeziehungen sind eine globale Funktion von AWS Managed Microsoft AD. Wenn Sie [Konfiguration der regionsübergreifenden Replikation für AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md) verwenden, müssen die folgenden Verfahren in [Primäre -Region](multi-region-global-primary-additional.md#multi-region-primary) ausgeführt werden. Die Änderungen werden automatisch auf alle replizierten Regionen angewendet. Weitere Informationen finden Sie unter [Globale und regionale Features](multi-region-global-region-features.md).

**So stellen Sie das Vertrauen zwischen Ihrem AWS verwalteten Microsoft AD und Ihrer EC2-Domain her**

1. Öffnen Sie die [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/).

1. Wählen Sie das Verzeichnis **corp.example.com**.

1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
   + Wenn Sie unter **Multi-Region-Replikation** mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
   + Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.

1. Wählen Sie im Abschnitt **Trust relationships (Vertrauensstellungen)** die Option **Actions (Aktionen)** und dann **Add trust relationship (Vertrauensstellung hinzufügen** aus.

1. Führen Sie im Dialogfeld **Add a trust relationship** die folgenden Schritte aus:
   + Wählen Sie unter **Vertrauenstyp** die Option **Gesamtstruktur-Vertrauenstellung** aus.
**Anmerkung**  
Stellen Sie sicher, dass der **Vertrauenstyp**, den Sie hier auswählen, mit dem gleichen Vertrauenstyp übereinstimmt, der im vorherigen Verfahren konfiguriert wurde (Um die Vertrauensstellung zwischen Ihrer EC2-Domäne und Ihrem AWS verwalteten Microsoft AD zu erstellen).
   + Geben Sie für **Bestehender oder neuer Name der Remote Domain** **example.local** ein.
   + Geben Sie für **Trust password** dasselbe Passwort ein, das Sie im vorigen Verfahren verwendet haben.
   + Wählen Sie für **Vertrauensstellungs-Richtung** die Option **Bidirektional**.
**Anmerkung**  
Wenn Sie sich später entscheiden, dies stattdessen mit einer einseitigen Vertrauensstellung zu versuchen, vergewissern Sie sich, dass die Richtungen der Vertrauensstellung korrekt eingerichtet sind (ausgehend von der Trusting Domain, eingehend auf der Trusted Domain). Allgemeine Informationen finden Sie auf der Website von Microsoft unter [Verstehen der Vertrauensstellungs-Richtung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)).
Die **selektive Authentifizierung** ist zwar eine Option, aber der Einfachheit halber empfehlen wir, sie hier nicht zu aktivieren. Wenn diese Funktion konfiguriert ist, beschränkt sie den Zugriff über eine externe oder Gesamtstruktur-Vertrauensstellung auf diejenigen Benutzer in einer Trusted Domain oder Gesamtstruktur, denen explizit die Berechtigung zur Authentifizierung für Computerobjekte (Ressourcencomputer) in der Trusting Domain oder Gesamtstruktur erteilt wurde. Weitere Informationen finden Sie unter [Konfigurieren der Einstellungen für die selektive Authentifizierung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
   + Geben Sie für **Conditional forwarder** die IP-Adresse Ihres DNS-Servers in der **example.local**-Gesamtstruktur ein (die Sie im vorigen Verfahren notiert haben). 
**Anmerkung**  
Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragen entsprechend dem DNS-Domainnamen in der Anfrage weiterleitet. Ein DNS-Server kann beispielsweise so konfiguriert werden, dass er alle Anfragen, die er für Namen mit der Endung widgets.example.com erhält, an die IP-Adresse eines bestimmten DNS-Servers oder an die IP-Adressen mehrerer DNS-Server weiterleitet.

1. Wählen Sie **Hinzufügen** aus. 

# Schritt 3: Die Vertrauensstellung überprüfen
<a name="microsoftadtruststep3"></a>

In diesem Abschnitt testen Sie, ob die Vertrauensstellungen zwischen AWS und Active Directory auf Amazon EC2 erfolgreich eingerichtet wurden.

**So überprüfen Sie die Vertrauensbeziehung**

1. Öffnen Sie die [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/).

1. Wählen Sie das Verzeichnis **corp.example.com**.

1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
   + Wenn Sie unter **Multi-Region-Replikation** mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
   + Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.

1. Wählen Sie im Abschnitt **Trust relationships (Vertrauensstellungen)** die gerade erstellte Vertrauensstellung aus.

1. Wählen Sie **Actions** und dann **Verify trust relationship**.

Nachdem die Überprüfung abgeschlossen ist, sollte **Verified** in der Spalte **Status** angezeigt werden. 

Herzlichen Glückwunsch\$1 Sie haben dieses Tutorial abgeschlossen\$1 Sie verfügen jetzt über eine voll funktionsfähige Active Directory-Multiforest-Umgebung, in der Sie verschiedene Szenarien testen können. Zusätzliche Testlabor-Tutorials sind für 2018 geplant. Sehen Sie deshalb gelegentlich nach, ob es Neuigkeiten gibt.