Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Nahtloses Hinzufügen einer Amazon EC2 EC2-Linux-Instance zu Ihrem AWS verwalteten Microsoft AD Active Directory
<a name="seamlessly_join_linux_instance"></a>

Durch dieses Verfahren wird eine Amazon EC2 EC2-Linux-Instance nahtlos mit Ihrem AWS verwalteten Microsoft AD Active Directory verbunden. Um dieses Verfahren abzuschließen, müssen Sie ein AWS Secrets Manager Geheimnis erstellen, für das zusätzliche Kosten anfallen können. Weitere Informationen finden Sie unter [AWS Secrets Manager  – Preise](https://aws.amazon.com/secrets-manager/pricing/).

Wenn Sie einen nahtlosen Domänenbeitritt über mehrere AWS Konten hinweg durchführen möchten, können Sie optional die [gemeinsame Nutzung von Verzeichnissen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html) aktivieren.

Die folgenden Linux-Instance-Distributionen und -Versionen werden unterstützt:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64-Bit x86)
+ Red Hat Enterprise Linux 8 (HVM) (64-Bit x86)
+ Ubuntu Server 18.04 LTS und Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1

**Anmerkung**  
Distributionen vor Ubuntu 14 und Red Hat Enterprise Linux 7 und 8 unterstützen die Funktion zum nahtlosen Domänenbeitritt nicht.

Eine Demonstration des Prozesses zum nahtlosen Hinzufügen einer Linux-Instanz zu Ihrem AWS verwalteten Microsoft AD Active Directory finden Sie im folgenden YouTube Video.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/NNUtdVVZVxU?si=_0zOiXhUObcW0_Wo/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NNUtdVVZVxU?si=_0zOiXhUObcW0_Wo)


## Voraussetzungen
<a name="seamless-linux-prereqs"></a>

Bevor Sie einen nahtlosen Domänenbeitritt zu einer EC2-Linux-Instance einrichten können, müssen Sie die Verfahren in diesen Abschnitten abschließen.

### Netzwerkvoraussetzungen für einen nahtlosen Domänenbeitritt
<a name="linux-domain-join-networking-prereqs"></a>

Für einen nahtlosen Domänenbeitritt zu einer EC2-Linux-Instance müssen Sie die folgenden Schritte ausführen: 
+ Sie benötigen die folgenden IAM-Berechtigungen, um einer EC2-Linux-Instance nahtlos beizutreten:
  + Haben Sie ein AWS verwaltetes Microsoft AD. Weitere Informationen hierzu finden Sie unter [Ihr AWS verwaltetes Microsoft AD erstellen](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
  + Sie benötigen die folgenden IAM-Berechtigungen, um einer Windows EC2-Instance problemlos beitreten zu können:
    + IAM-Instanzprofil mit den folgenden IAM-Berechtigungen:
      + `AmazonSSMManagedInstanceCore`
      + `AmazonSSMDirectoryServiceAccess`
    + Die Benutzerdomäne, die EC2 nahtlos mit dem AWS Managed Microsoft AD verbindet, benötigt die folgenden IAM-Berechtigungen:
      + Directory Service Berechtigungen:
        + `"ds:DescribeDirectories"`
        + `"ds:CreateComputer"`
      + Amazon VPC-Berechtigungen:
        + `"ec2:DescribeVpcs"`
        + `"ec2:DescribeSubnets"`
        + `"ec2:DescribeNetworkInterfaces"`
        + `"ec2:CreateNetworkInterface"`
        + `"ec2:AttachNetworkInterface"`
      + EC2-Berechtigungen:
        + `"ec2:DescribeInstances"`
        + `"ec2:DescribeImages"`
        + `"ec2:DescribeInstanceTypes"`
        + `"ec2:RunInstances"`
        + `"ec2:CreateTags"`
      + AWS Systems Manager Berechtigungen:
        + `"ssm:DescribeInstanceInformation"`
        + `"ssm:SendCommand"`
        + `"ssm:GetCommandInvocation"`
        + `"ssm:CreateBatchAssociation"`
+ Wenn Ihr AWS verwaltetes Microsoft AD erstellt wird, wird eine Sicherheitsgruppe mit Regeln für eingehenden und ausgehenden Datenverkehr erstellt. Weitere Informationen zu diesen Regeln und Ports finden Sie unter. [Was wird mit Ihrem AWS Managed Microsoft AD erstellt](ms_ad_getting_started_what_gets_created.md) Für einen nahtlosen Domänenbeitritt zu einer EC2-Linux-Instance sollte Ihre VPC, auf der Sie Ihre Instance starten, dieselben Ports zulassen, die in den eingehenden und ausgehenden Regeln Ihrer AWS Managed Microsoft AD-Sicherheitsgruppe zulässig sind.
  + Abhängig von Ihren Netzwerksicherheits- und Firewalleinstellungen müssen Sie möglicherweise zusätzlichen ausgehenden Datenverkehr zulassen. Dieser Datenverkehr würde über HTTPS (Port 443) zu den folgenden Endpunkten erfolgen:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/seamlessly_join_linux_instance.html)
+ Wir empfehlen, einen DNS-Server zu verwenden, der Ihren AWS verwalteten Microsoft AD-Domainnamen auflöst. Zu diesem Zweck können Sie einen DHCP-Optionssatz erstellen. Weitere Informationen finden Sie unter [Einen DHCP-Optionssatz für AWS Managed Microsoft AD erstellen oder ändern](dhcp_options_set.md).
  + Wenn Sie sich dafür entscheiden, keinen DHCP-Optionssatz zu erstellen, sind Ihre DNS-Server statisch und werden von Ihrem AWS verwalteten Microsoft AD entsprechend konfiguriert.

### Ihr Servicekonto für die nahtlose Domainverbindung auswählen
<a name="seamless-linux-prereqs-select"></a>

Sie können Linux-Computer nahtlos mit Ihrer AWS verwalteten Microsoft AD Active Directory-Domäne verbinden. Dazu müssen Sie ein Benutzerkonto mit der Berechtigung zum Erstellen von Computerkonten verwenden, um die Rechner mit der Domain zu verbinden. Obwohl Mitglieder der *AWS delegierten Administratoren* oder anderer Gruppen über ausreichende Berechtigungen verfügen, um Computer mit der Domain zu verbinden, raten wir davon ab, diese zu verwenden. Als bewährte Methode empfehlen wir Ihnen, ein Servicekonto zu verwenden, das über die erforderlichen Mindestberechtigungen verfügt, um die Computer mit der Domain zu verbinden. 

Um ein Konto mit den Mindestberechtigungen zu delegieren, die für den Beitritt der Computer zur Domäne erforderlich sind, können Sie die folgenden PowerShell Befehle ausführen. Sie müssen diese Befehle von einem mit der Domain verbundenen Windows-Computer ausführen, auf dem [Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD](ms_ad_install_ad_tools.md) installiert ist. Darüber hinaus müssen Sie ein Konto verwenden, das die Berechtigung hat, die Berechtigungen für Ihre Computer-OU oder Ihren Container zu ändern. Der PowerShell Befehl legt Berechtigungen fest, die es dem Dienstkonto ermöglichen, Computerobjekte im Standardcomputercontainer Ihrer Domäne zu erstellen.

```
$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer"
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"
```

Wenn Sie eine grafische Benutzeroberfläche (GUI) bevorzugen, können Sie den manuellen Prozess verwenden, der unter [Zuweisen von Berechtigungen zu Ihrem Servicekonto](ad_connector_getting_started.md#connect_delegate_privileges) beschrieben wird.

### Die Secrets zum Speichern des Domain-Servicekontos erstellen
<a name="-create-secrets"></a>

Sie können AWS Secrets Manager es zum Speichern des Domänendienstkontos verwenden. Weitere Informationen finden Sie unter [Create an AWS Secrets Manager Secret](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html).

**Anmerkung**  
Für Secrets Manager fallen Gebühren an. Weitere Informationen finden Sie unter [Preise](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) im *AWS Secrets Manager Benutzerhandbuch*.

**So erstellen Sie Secrets und speichern die Kontoinformationen des Domainservices**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Secrets Manager Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Wählen Sie **Store a new secret** (Ein neues Secret speichern). 

1. Gehen Sie auf der Seite **Neues Geheimnis speichern** wie folgt vor:

   1. Wählen Sie unter **Geheimtyp** die Option **Andere Art von Geheimnissen aus**.

   1. Gehen Sie unter **Schlüssel/Wert-Paare** wie folgt vor:

      1. Geben Sie im ersten Feld **awsSeamlessDomainUsername** ein. Geben Sie in derselben Zeile im nächsten Feld den Benutzernamen für Ihr Dienstkonto ein. Wenn Sie den PowerShell Befehl beispielsweise zuvor verwendet haben, wäre der Name des Dienstkontos**awsSeamlessDomain**.
**Anmerkung**  
Sie müssen **awsSeamlessDomainUsername** genau so eingeben, wie er lautet. Stellen Sie sicher, dass keine führenden oder abschließenden Leerzeichen vorhanden sind. Andernfalls schlägt die Domainverbindung fehl.   
![\[In der AWS Secrets Manager Konsole auf der Seite „Geheimtyp auswählen“. Unter Geheimtyp wird ein anderer Geheimtyp ausgewählt und awsSeamlessDomainUsername als Schlüsselwert eingegeben.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/secrets_manager_1.png)

      1. Wählen Sie **Zeile hinzufügen**.

      1. Geben Sie in der neuen Zeile im ersten Feld **awsSeamlessDomainPassword** ein. Geben Sie in derselben Zeile im nächsten Feld das Passwort für Ihr Servicekonto ein.
**Anmerkung**  
Sie müssen **awsSeamlessDomainPassword** genau so eingeben, wie er lautet. Stellen Sie sicher, dass keine führenden oder abschließenden Leerzeichen vorhanden sind. Andernfalls schlägt die Domainverbindung fehl. 

      1. Behalten Sie unter **Verschlüsselungsschlüssel** den Standardwert bei`aws/secretsmanager`. AWS Secrets Manager verschlüsselt das Geheimnis immer, wenn Sie diese Option wählen. Sie können auch einen von Ihnen erstellten Schlüssel auswählen.

      1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Geheimer Name** einen geheimen Namen ein, der Ihre Verzeichnis-ID enthält. Verwenden Sie dabei das folgende Format und *d-xxxxxxxxx* ersetzen Sie ihn durch Ihre Verzeichnis-ID:

   ```
   aws/directory-services/d-xxxxxxxxx/seamless-domain-join
   ```

   Dies wird verwendet, um Secrets in der Anwendung abzurufen.
**Anmerkung**  
Sie müssen **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** genau so eingeben, wie er ist, aber durch Ihre Verzeichnis-ID *d-xxxxxxxxxx* ersetzen. Stellen Sie sicher, dass keine führenden oder abschließenden Leerzeichen vorhanden sind. Andernfalls schlägt die Domainverbindung fehl.   
![\[In der AWS Secrets Manager Konsole auf der Seite „Geheimes Passwort konfigurieren“. Der geheime Name wird eingegeben und hervorgehoben.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/secrets_manager_2.png)

1. Belassen Sie alles andere auf den eingestellten Standardwerte und wählen Sie dann **Weiter**.

1. Wählen Sie unter **Automatische Rotation konfigurieren** die Option **Automatische Rotation deaktivieren** und wählen Sie dann **Weiter**.

   Sie können die Rotation für dieses Geheimnis aktivieren, nachdem Sie es gespeichert haben.

1. Überprüfen Sie die Einstellungen und wählen Sie dann **Speichern**, um Ihre Änderungen zu speichern. Die Secrets-Manager-Konsole zeigt Ihnen wieder die Liste der Secrets in Ihrem Konto an, in der Ihr neues Secret nun enthalten ist. 

1. Wählen Sie Ihren neu erstellten Secret-Namen aus der Liste und notieren Sie sich den Wert des **Secret-ARN**. Sie brauchen diesen im nächsten Abschnitt.

### Schalten Sie die Rotation für das geheime Domänendienstkonto ein
<a name="seamless-linux-prereqs-turn-on-rotation"></a>

Wir empfehlen, dass Sie die geheimen Daten regelmäßig wechseln, um Ihre Sicherheitslage zu verbessern. 

**So aktivieren Sie die Rotation für das geheime Domänendienstkonto**
+ Folgen Sie den Anweisungen unter [Automatische Rotation für AWS Secrets Manager geheime Daten einrichten](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) im *AWS Secrets Manager Benutzerhandbuch*.

  Verwenden Sie für Schritt 5 die Rotationsvorlage [Microsoft Active Directory-Anmeldeinformationen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) im *AWS Secrets Manager Benutzerhandbuch*.

  Hilfe finden Sie im *AWS Secrets Manager Benutzerhandbuch* unter [Problembehandlung bei der AWS Secrets Manager Rotation](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html).

### Die erforderliche IAM-Richtlinie und -Rolle erstellen
<a name="seamless-linux-prereqs-create-policy"></a>

Gehen Sie wie folgt vor, um eine benutzerdefinierte Richtlinie zu erstellen, die nur Lesezugriff auf Ihren Secrets Manager Seamless Domain Join Secret (den Sie zuvor erstellt haben) ermöglicht, und um eine neue EC2 DomainJoin Linux-IAM-Rolle zu erstellen. 

#### Die IAM-Leserichtlinie zu Secrets Manager erstellen
<a name="seamless-linux-prereqs-create-policy-step1"></a>

Sie verwenden die IAM-Konsole, um eine Richtlinie zu erstellen, die schreibgeschützten Zugriff auf Ihr Secrets-Manager-Secret gewährt.

**So erstellen Sie die IAM-Leserichtlinie zu Secrets Manager**

1. Melden Sie sich AWS-Managementkonsole als Benutzer an, der berechtigt ist, IAM-Richtlinien zu erstellen. Öffnen Sie dann die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Access Management** die Option **Policies** aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie die Registerkarte **JSON** aus und kopieren Sie den Text aus dem folgenden JSON-Richtliniendokument. Fügen Sie ihn dann in das **JSON-Textfeld** ein.
**Anmerkung**  
Stellen Sie sicher, dass Sie die Region und den Ressourcen-ARN durch die tatsächliche Region und den ARN des Secrets ersetzen, den Sie zuvor erstellt haben.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": [
                   "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
               ]
           }
       ]
   }
   ```

1. Wählen Sie danach **Next** aus. Die Richtlinienvalidierung meldet mögliche Syntaxfehler. Weitere Informationen finden Sie unter [Validierung von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html).

1. Geben Sie auf der Seite **Richtlinie überprüfen** einen Namen für die Richtlinie ein, z. B. **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Überprüfen Sie den Abschnitt **Zusammenfassung**, um die Berechtigungen einzusehen, die Ihre Richtlinie gewährt. Wählen Sie dann **Richtlinie erstellen** aus, um Ihre Änderungen zu speichern. Die neue Richtlinie erscheint in der Liste der verwalteten Richtlinien und ist nun bereit, einer Identität zugeordnet zu werden.

**Anmerkung**  
Wir empfehlen Ihnen, eine Richtlinie pro Secret zu erstellen. Auf diese Weise wird sichergestellt, dass Instances nur auf das entsprechende Secret zugreifen können und die Auswirkungen einer Kompromittierung einer Instance minimiert werden. 

#### Erstellen Sie die EC2 DomainJoin Linux-Rolle
<a name="seamless-linux-prereqs-create-policy-step2"></a>

Sie verwenden die IAM-Konsole, um die Rolle zu erstellen, die Sie für die Domainverbindung Ihrer Linux-EC2-Instance verwenden werden.

**Um die EC2 DomainJoin Linux-Rolle zu erstellen**

1. Melden Sie sich AWS-Managementkonsole als Benutzer an, der berechtigt ist, IAM-Richtlinien zu erstellen. Öffnen Sie dann die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich unter **Access Management** die Option **Rollen** aus.

1. Wählen Sie im Inhaltsbereich die Option **Rolle erstellen**.

1. Wählen Sie unter **Select type of trusted entity** (Typ der vertrauenswürdigen Entität auswählen) die Option **AWS -Service** aus.

1. Wählen **Sie unter Anwendungsfall** die Option **EC2** und dann **Weiter** aus.  
![\[In der IAM-Konsole auf der Seite „Vertrauenswürdige Entität auswählen“. AWS Service und EC2 sind ausgewählt.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)

1. Gehen Sie für **Filterrichtlinien** wie folgt vor:

   1. Geben Sie **AmazonSSMManagedInstanceCore** ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.

   1. Geben Sie **AmazonSSMDirectoryServiceAccess** ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.

   1. Geben Sie **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** ein (oder den Namen der Richtlinie, die Sie im vorherigen Verfahren erstellt haben). Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.

   1. Nachdem Sie die drei oben aufgeführten Richtlinien hinzugefügt haben, wählen Sie **Rolle erstellen** aus.
**Anmerkung**  
Amazon SSMDirectory ServiceAccess bietet die Berechtigungen zum Hinzufügen von Instances zu einem Active Directory, das von verwaltet wird Directory Service. Amazon SSMManaged InstanceCore stellt die Mindestberechtigungen bereit, die für die Nutzung des AWS Systems Manager Dienstes erforderlich sind. Weitere Informationen zum Erstellen einer Rolle mit diesen Berechtigungen und zu anderen Berechtigungen und Richtlinien, die Sie Ihrer IAM-Rolle zuweisen können, finden Sie unter [Ein IAM-Instance-Profil für Systems Manager erstellen](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) im *AWS Systems Manager -Benutzerhandbuch*.

1. Geben Sie im Feld Rollenname einen Namen für Ihre neue Rolle ein, z. B. **LinuxEC2DomainJoin** oder einen anderen **Namen**, den Sie bevorzugen.

1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung ein.

1. (Optional) Wählen Sie unter **Schritt 3: Stichwörter **hinzufügen die Option Neues Tag** hinzufügen** aus, um Stichwörter hinzuzufügen. Tag-Schlüssel-Wert-Paare werden verwendet, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu kontrollieren.

1. Wählen Sie **Rolle erstellen** aus.

## Treten Sie Ihrer Linux-Instance nahtlos bei
<a name="seamless-linux-join-instance"></a>

**Um Ihrer Linux-Instanz nahtlos beizutreten**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie in der Regionsauswahl in der Navigationsleiste dasselbe Verzeichnis aus AWS-Region wie das bestehende Verzeichnis.

1. Wählen Sie auf dem **EC2-Dashboard** im Abschnitt **Instance starten** die Option **Instance starten** aus.

1. Geben Sie auf der Seite **Eine Instance starten** im Abschnitt **Name und Tags** den Namen ein, den Sie für Ihre Linux EC2-Instance verwenden möchten.

1.  *(Optional)* Wählen Sie **Zusätzliche Tags hinzufügen**, um ein oder mehrere Tag-Schlüssel-Wert-Paare hinzuzufügen, um den Zugriff für diese EC2-Instance zu organisieren, zu verfolgen oder zu kontrollieren. 

1. Wählen Sie im Abschnitt **Anwendungs- und Betriebssystem-Image (Amazon Machine Image)** ein Linux-AMI aus, das Sie starten möchten.
**Anmerkung**  
Das verwendete AMI muss AWS Systems Manager (SSM Agent) Version 2.3.1644.0 oder höher haben. Um die installierte SSM-Agent-Version in Ihrem AMI zu überprüfen, indem Sie eine Instance von diesem AMI aus starten, lesen Sie den Abschnitt [Ermittlung der aktuell installierten SSM-Agent-Version](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Wenn Sie den SSM Agent aktualisieren müssen, lesen Sie den Abschnitt [Installieren und Konfigurieren von SSM Agent in EC2-Instances für Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).  
SSM verwendet das `aws:domainJoin` Plugin, wenn eine Linux-Instance einer Active Directory-Domäne hinzugefügt wird. Das Plugin ändert den Hostnamen für die Linux-Instanzen in das Format EC2 AMAZ-. *XXXXXXX* Weitere Informationen `aws:domainJoin` dazu finden Sie in der [Plugin-Referenz zum AWS Systems Manager Befehlsdokument](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) im *AWS Systems Manager Benutzerhandbuch*.

1. Wählen Sie im Abschnitt **Instance-Typ** den Instance-Typ, den Sie verwenden möchten, aus der Dropdown-Liste **Instance-Typ** aus.

1. Im Abschnitt **Schlüsselpaar (Anmeldung)** können Sie entweder ein neues Schlüsselpaar erstellen oder aus einem vorhandenen Schlüsselpaar auswählen. Um ein neues Schlüsselpaar zu erstellen, wählen Sie **Neues Schlüsselpaar erstellen**. Geben Sie einen Namen für das Schlüsselpaar ein und wählen Sie eine Option für den **Schlüsselpaartyp** und das **Dateiformat des privaten Schlüssels**. Um den privaten Schlüssel in einem Format zu speichern, das mit OpenSSH verwendet werden kann, wählen Sie **.pem**. Um den privaten Schlüssel in einem Format zu speichern, das mit PuTTY verwendet werden kann, wählen Sie **.ppk**. Wählen Sie **Schlüsselpaar erstellen** aus. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.
**Wichtig**  
Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern.

1. Wählen Sie auf der Seite **Eine Instance starten** im Abschnitt **Netzwerkeinstellungen** die Option **Bearbeiten** aus. Wählen Sie die **VPC**, in der Ihr Verzeichnis erstellt wurde, aus der Dropdown-Liste **VPC –* erforderlich*** aus.

1. Wählen Sie eines der öffentlichen Subnetze in Ihrer VPC aus der Dropdown-Liste **Subnetz** aus. Das von Ihnen gewählte Subnetz muss den gesamten externen Datenverkehr an ein Internet-Gateway weiterleiten. Ist dies nicht der Fall, können Sie keine Remote-Verbindung zur Instance einrichten.

   Weitere Informationen zur Verbindung mit einem Internet-Gateway finden Sie unter [Verbinden mit dem Internet über ein Internet-Gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) im *Amazon-VPC-Benutzerhandbuch*.

1. Wählen Sie unter **Öffentliche IP automatisch zuweisen** die Option **Aktivieren**.

   Weitere Informationen zur öffentlichen und privaten IP-Adressierung finden Sie unter [Amazon EC2 EC2-Instance-IP-Adressierung](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

1. Für die Einstellungen zu **Firewall (Sicherheitsgruppen)** können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen. 

1. Für **Speichereinstellungen konfigurieren** können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.

1. Wählen Sie den Abschnitt **Erweiterte Details** aus und wählen Sie Ihre Domain aus der Dropdown-Liste für das **Domainverbindungs-Verzeichnis** aus.
**Anmerkung**  
Nachdem Sie das Domain-Join-Verzeichnis ausgewählt haben, sehen Sie möglicherweise:   

![\[Eine Fehlermeldung bei der Auswahl Ihres Domain-Join-Verzeichnisses. In Ihrem vorhandenen SSM-Dokument ist ein Fehler aufgetreten.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Dieser Fehler tritt auf, wenn der EC2-Startassistent ein vorhandenes SSM-Dokument mit unerwarteten Eigenschaften identifiziert. Sie können einen der folgenden Schritte ausführen:  
Wenn Sie das SSM-Dokument zuvor bearbeitet haben und die Eigenschaften erwartet werden, wählen Sie Schließen und fahren Sie fort, um die EC2-Instance ohne Änderungen zu starten.
Wählen Sie den Link „Bestehendes SSM-Dokument hier löschen“, um das SSM-Dokument zu löschen. Dies ermöglicht die Erstellung eines SSM-Dokuments mit den richtigen Eigenschaften. Das SSM-Dokument wird automatisch erstellt, wenn Sie die EC2-Instance starten.

1. Wählen Sie für das **IAM-Instanzprofil** die IAM-Rolle aus, die Sie zuvor im Abschnitt Voraussetzungen erstellt haben. **Schritt 2: Linux-Rolle erstellen**. EC2 DomainJoin 

1. Wählen Sie **Launch Instance (Instance starten)** aus.

**Anmerkung**  
Wenn Sie eine nahtlose Domainverbindung mit SUSE Linux durchführen, ist ein Neustart erforderlich, bevor die Authentifizierungen funktionieren. Um SUSE vom Linux-Terminal aus neu zu starten, geben Sie **sudo reboot** ein.