Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Möglichkeiten, eine Amazon EC2 EC2-Instance mit Ihrem Simple AD zu verbinden
Sie können eine Amazon EC2 EC2-Instance nahtlos mit Ihrer Active Directory-Domain verbinden, wenn die Instance gestartet wird. Weitere Informationen finden Sie unter [Hinzufügen einer Amazon EC2 Windows-Instance zu Ihrem AWS verwalteten Microsoft AD Active Directory](launching_instance.md). [Mit Automation können Sie auch direkt von der Directory Service Konsole aus eine EC2-Instance starten und sie einer Active Directory-Domain hinzufügen.AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
Wenn Sie eine EC2-Instance manuell mit Ihrer Active Directory-Domäne verbinden müssen, müssen Sie die Instance in der richtigen Region und Sicherheitsgruppe oder dem richtigen Subnetz starten und dann die Instance der Domäne hinzufügen.
Um eine Remote-Verbindung zu diesen Instances herstellen zu können, benötigen Sie eine IP-Verbindung zu den Instances von dem Netzwerk aus, von dem aus Sie sich verbinden. In den meisten Fällen muss hierfür Ihrer VPC ein Internet-Gateway zugeordnet sein und die Instance muss eine öffentliche IP-Adresse haben.
**Topics**
+ [Hinzufügen einer Amazon EC2 EC2-Windows-Instance zu Ihrem Simple AD Active Directory](simple_ad_launching_instance.md)
+ [Fügen Sie Ihrem Simple AD Active Directory eine Amazon EC2 Linux-Instance hinzu](simple_ad_linux_domain_join.md)
+ [Delegieren von Verzeichnisbeitrittsberechtigungen für Simple AD](simple_ad_directory_join_privileges.md)
+ [Einen DHCP-Optionssatz für Simple AD erstellen](simple_ad_dhcp_options_set.md)
# Hinzufügen einer Amazon EC2 EC2-Windows-Instance zu Ihrem Simple AD Active Directory
Sie können eine Amazon EC2 Windows EC2-Instance starten und mit einem Simple AD verbinden. Alternativ können Sie eine bestehende Windows EC2-Instance manuell mit einem Simple AD verbinden
------
#### [ Seamlessly join an EC2 Windows ]
Für einen nahtlosen Domänenbeitritt zu einer EC2-Instance müssen Sie die folgenden Schritte ausführen:
**Voraussetzungen**
+ Über eine Simple AD verfügen Weitere Informationen finden Sie unter[Erstellen Sie Ihr Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad).
+ Sie benötigen die folgenden IAM-Berechtigungen, um einer Windows EC2-Instance problemlos beitreten zu können:
+ IAM-Instanzprofil mit den folgenden IAM-Berechtigungen:
+ `AmazonSSMManagedInstanceCore`
+ `AmazonSSMDirectoryServiceAccess`
+ Die Benutzerdomäne, die EC2 nahtlos mit Simple AD verbindet, benötigt die folgenden IAM-Berechtigungen:
+ Directory Service Berechtigungen:
+ `"ds:DescribeDirectories"`
+ `"ds:CreateComputer"`
+ Amazon VPC-Berechtigungen:
+ `"ec2:DescribeVpcs"`
+ `"ec2:DescribeSubnets"`
+ `"ec2:DescribeNetworkInterfaces"`
+ `"ec2:CreateNetworkInterface"`
+ `"ec2:AttachNetworkInterface"`
+ EC2-Berechtigungen:
+ `"ec2:DescribeInstances"`
+ `"ec2:DescribeImages"`
+ `"ec2:DescribeInstanceTypes"`
+ `"ec2:RunInstances"`
+ `"ec2:CreateTags"`
+ AWS Systems Manager Berechtigungen:
+ `"ssm:DescribeInstanceInformation"`
+ `"ssm:SendCommand"`
+ `"ssm:GetCommandInvocation"`
+ `"ssm:CreateBatchAssociation"`
Wenn Ihr Simple AD erstellt wird, wird eine Sicherheitsgruppe mit Regeln für eingehenden und ausgehenden Datenverkehr erstellt. Weitere Informationen zu diesen Regeln und Ports finden Sie unter. [Was wird mit Ihrem Simple AD erstellt](simple_ad_what_gets_created.md) Für einen nahtlosen Domänenbeitritt zu einer Windows EC2-Instance sollte Ihre VPC, in der Sie Ihre Instance starten, dieselben Ports zulassen, die in den eingehenden und ausgehenden Regeln Ihrer Simple AD-Sicherheitsgruppe zulässig sind.
+ Abhängig von Ihren Netzwerksicherheits- und Firewalleinstellungen müssen Sie möglicherweise zusätzlichen ausgehenden Datenverkehr zulassen. Dieser Datenverkehr würde über HTTPS (Port 443) zu den folgenden Endpunkten erfolgen:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/simple_ad_launching_instance.html)
+ Wir empfehlen, einen DNS-Server zu verwenden, der Ihren Simple AD AD-Domainnamen auflöst. Zu diesem Zweck können Sie einen DHCP-Optionssatz erstellen. Weitere Informationen finden Sie unter [Einen DHCP-Optionssatz für Simple AD erstellen](simple_ad_dhcp_options_set.md).
+ Wenn Sie sich dafür entscheiden, keinen DHCP-Optionssatz zu erstellen, sind Ihre DNS-Server statisch und werden von Ihrem Simple AD entsprechend konfiguriert.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie in der Navigationsleiste dasselbe Verzeichnis AWS-Region wie das bestehende Verzeichnis aus.
1. Wählen Sie auf dem **EC2-Dashboard** im Abschnitt **Instance starten** die Option **Instance starten** aus.
1. Geben Sie auf der Seite **Eine Instance starten** im Abschnitt **Name und Tags** den Namen ein, den Sie für Ihre Windows-EC2-Instance verwenden möchten.
1. (Optional) Wählen Sie **Zusätzliche Tags hinzufügen**, um ein oder mehrere Tag-Schlüsselwertpaare hinzuzufügen, um den Zugriff auf diese EC2-Instance zu organisieren, zu verfolgen oder zu steuern.
1. Wählen Sie im Abschnitt **Anwendungs- und Betriebssystem-Image (Amazon Machine Image)** **Windows** im **Schnellstartbereich** aus. Sie können das Windows Amazon Machine Image (AMI) in der Dropdown-Liste **Amazon Machine Image (AMI)** ändern.
1. Wählen Sie im Abschnitt **Instance-Typ** den Instance-Typ, den Sie verwenden möchten, aus der Dropdown-Liste **Instance-Typ** aus.
1. Im Abschnitt **Schlüsselpaar (Anmeldung)** können Sie entweder ein neues Schlüsselpaar erstellen oder aus einem vorhandenen Schlüsselpaar auswählen.
1. Um ein neues Schlüsselpaar zu erstellen, wählen Sie **Neues Schlüsselpaar erstellen**.
1. Geben Sie einen Namen für das Schlüsselpaar ein und wählen Sie eine Option für den **Schlüsselpaartyp** und das **Dateiformat des privaten Schlüssels**.
1. Um den privaten Schlüssel in einem Format zu speichern, das mit OpenSSH verwendet werden kann, wählen Sie **.pem**. Um den privaten Schlüssel in einem Format zu speichern, das mit PuTTY verwendet werden kann, wählen Sie **.ppk**.
1. Wählen Sie **Schlüsselpaar erstellen** aus.
1. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.
**Wichtig**
Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern.
1. Wählen Sie auf der Seite **Eine Instance starten** im Abschnitt **Netzwerkeinstellungen** die Option **Bearbeiten** aus. Wählen Sie die **VPC**, in der Ihr Verzeichnis erstellt wurde, aus der Dropdown-Liste **VPC –* erforderlich*** aus.
1. Wählen Sie eines der öffentlichen Subnetze in Ihrer VPC aus der Dropdown-Liste **Subnetz** aus. Das von Ihnen gewählte Subnetz muss den gesamten externen Datenverkehr an ein Internet-Gateway weiterleiten. Ist dies nicht der Fall, können Sie keine Remote-Verbindung zur Instance einrichten.
Weitere Informationen zur Verbindung mit einem Internet-Gateway finden Sie unter [Verbinden mit dem Internet über ein Internet-Gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) im *Amazon-VPC-Benutzerhandbuch*.
1. Wählen Sie unter **Öffentliche IP automatisch zuweisen** die Option **Aktivieren**.
Weitere Informationen zur öffentlichen und privaten IP-Adressierung finden Sie unter [Amazon EC2 EC2-Instance-IP-Adressierung](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
1. Für die Einstellungen zu **Firewall (Sicherheitsgruppen)** können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.
1. Für **Speichereinstellungen konfigurieren** können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.
1. Wählen Sie den Abschnitt **Erweiterte Details** aus und wählen Sie Ihre Domain aus der Dropdown-Liste für das **Domainverbindungs-Verzeichnis** aus.
**Anmerkung**
Nachdem Sie das Domain-Join-Verzeichnis ausgewählt haben, sehen Sie möglicherweise:
![\[Eine Fehlermeldung bei der Auswahl Ihres Domain-Join-Verzeichnisses. In Ihrem vorhandenen SSM-Dokument ist ein Fehler aufgetreten.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)
Dieser Fehler tritt auf, wenn der EC2-Startassistent ein vorhandenes SSM-Dokument mit unerwarteten Eigenschaften identifiziert. Sie können einen der folgenden Schritte ausführen:
Wenn Sie das SSM-Dokument zuvor bearbeitet haben und die Eigenschaften erwartet werden, wählen Sie Schließen und fahren Sie fort, um die EC2-Instance ohne Änderungen zu starten.
Wählen Sie den Link „Bestehendes SSM-Dokument hier löschen“, um das SSM-Dokument zu löschen. Dies ermöglicht die Erstellung eines SSM-Dokuments mit den richtigen Eigenschaften. Das SSM-Dokument wird automatisch erstellt, wenn Sie die EC2-Instance starten.
1. Für das **IAM-Instance-Profil** können Sie ein vorhandenes IAM-Instance-Profil auswählen oder ein neues erstellen. Wählen Sie aus der Dropdownliste für das IAM-Instance-Profil ein **IAM-Instance-Profil** aus, dem die AWS verwalteten Richtlinien **Amazon SSMManaged InstanceCore** **und Amazon SSMDirectory ServiceAccess** zugeordnet sind. Um ein neues zu erstellen, wählen Sie den Link **Neues IAM-Profil erstellen** und gehen Sie dann wie folgt vor:
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie unter **Vertrauenswürdige Entität auswählen** die Option **AWS -Service** aus.
1. Wählen Sie unter **Use case** (Anwendungsfall) die Option **EC2** aus.
1. Wählen **Sie unter Berechtigungen hinzufügen** in der Liste der Richtlinien die **Amazon SSMManaged InstanceCore - und **SSMDirectoryServiceAccessAmazon-Richtlinien**** aus. Geben Sie im Suchfeld **SSM** ein, um die Liste zu filtern. Wählen Sie **Weiter** aus.
**Anmerkung**
**Amazon SSMDirectory ServiceAccess** bietet die Berechtigungen zum Hinzufügen von Instances zu einem Active Directory, das von verwaltet wird Directory Service. **Amazon SSMManaged InstanceCore** stellt die Mindestberechtigungen bereit, die für die Nutzung des AWS Systems Manager Dienstes erforderlich sind. Weitere Informationen zum Erstellen einer Rolle mit diesen Berechtigungen und zu anderen Berechtigungen und Richtlinien, die Sie Ihrer IAM-Rolle zuweisen können, finden Sie unter [Ein IAM-Instance-Profil für Systems Manager erstellen](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) im *AWS Systems Manager -Benutzerhandbuch*.
1. Geben Sie auf der Seite **Benennen, überprüfen und erstellen** einen **Rollennamen** ein. Sie benötigen diesen Rollennamen, um mit der EC2-Instance verbunden zu werden.
1. (Optional) Sie können im Feld **Beschreibung** eine Beschreibung des IAM-Instance-Profils angeben.
1. Wählen Sie **Rolle erstellen** aus.
1. Kehren Sie zur Seite **Eine Instance starten** zurück und wählen Sie das Aktualisierungssymbol neben dem **IAM-Instance-Profil**. Ihr neues IAM-Instance-Profil sollte in der Dropdown-Liste **IAM-Instance-Profil** sichtbar sein. Wählen Sie das neue Profil und belassen Sie die restlichen Einstellungen auf den Standardwerten.
1. Wählen Sie **Launch Instance (Instance starten)** aus.
------
#### [ Manually join an EC2 Windows ]
Um eine bestehende Amazon EC2 Windows-Instance manuell mit einem Simple AD Active Directory zu verbinden, muss die Instance mit den unter angegebenen Parametern gestartet werden. [Hinzufügen einer Amazon EC2 EC2-Windows-Instance zu Ihrem Simple AD Active Directory](#simple_ad_launching_instance)
Sie benötigen die IP-Adressen der Simple AD DNS-Server. Diese Informationen finden Sie in den Abschnitten **Verzeichnisservices** > **Verzeichnisse** > dem **Verzeichnis-ID-Link** für Ihr Verzeichnis > **Verzeichnisdetails** und **Netzwerk und Sicherheit**.
![\[Auf der Directory Service Konsole auf der Seite mit den Verzeichnisdetails sind die IP-Adressen der Directory Service bereitgestellten DNS-Server hervorgehoben.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/directory_details_highlighted.png)
**So verbinden Sie eine Windows-Instanz mit einem Simple AD Active Directory**
1. Verbinden Sie die Instance mithilfe eines beliebigen Remote Desktop Protocol-Clients.
1. Öffnen Sie das IPv4 TCP/-Eigenschaftendialogfeld auf der Instanz.
1. Öffnen Sie **Network Connections**.
**Tipp**
Öffnen Sie **Network Connections** direkt, indem Sie folgenden Befehl über die Befehlszeile der Instance ausführen.
```
%SystemRoot%\system32\control.exe ncpa.cpl
```
1. Öffnen Sie für eine beliebige aktivierte Netzwerkverbindung per Rechtsklick das Kontextmenü und wählen Sie dann **Properties** aus.
1. Öffnen Sie im Dialogfeld für die Verbindungseigenschaften (per Doppelklick) **Internet Protocol Version 4**.
1. Wählen Sie **Folgende DNS-Serveradressen verwenden**, ändern Sie die **bevorzugten DNS-Server** - und **alternativen DNS-Serveradressen** in die IP-Adressen Ihrer von Simple AD bereitgestellten DNS-Server und wählen Sie **OK**.
![\[Das Dialogfeld mit den Eigenschaften von Internet Protocol Version 4 (TCP/IPv4), in dem die Felder für den bevorzugten DNS-Server und den alternativen DNS-Server hervorgehoben sind.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/dns_server_addresses.png)
1. Öffnen Sie das Dialogfeld **System Properties** für die Instance, wählen Sie die Registerkarte **Computer Name** und wählen Sie **Change**.
**Tipp**
Öffnen Sie das Dialogfeld **System Properties** direkt, indem Sie folgenden Befehl über die Befehlszeile der Instance ausführen.
```
%SystemRoot%\system32\control.exe sysdm.cpl
```
1. Wählen Sie im Feld **Mitglied von** die Option **Domain** aus, geben Sie den vollqualifizierten Namen Ihres Simple AD Active Directory ein, und **klicken Sie auf OK**.
1. Wenn Sie zur Eingabe des Namens und des Kennworts für den Domänenadministrator aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Kontos ein, das über Domänenbeitrittsrechte verfügt. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für Simple AD](simple_ad_directory_join_privileges.md).
**Anmerkung**
Sie können entweder den vollqualifizierten Namen Ihrer Domäne oder den NetBIOS-Namen, gefolgt von einem umgekehrten Schrägstrich (\$1) und dann den Benutzernamen eingeben. **Der Benutzername wäre Administrator.** Zum Beispiel **corp.example.com\$1administrator** oder **corp\$1administrator**.
1. Nachdem Sie in der Domain willkommen geheißen wurden, starten Sie die Instance neu, damit die Änderungen übernommen werden.
Nachdem Ihre Instanz der Simple AD Active Directory-Domäne hinzugefügt wurde, können Sie sich remote bei dieser Instanz anmelden und Dienstprogramme zur Verwaltung des Verzeichnisses installieren, z. B. zum Hinzufügen von Benutzern und Gruppen. Die Active Directory-Verwaltungstools können verwendet werden, um Benutzer und Gruppen zu erstellen. Weitere Informationen finden Sie unter [Installieren der Active-Directory-Verwaltungstools für Simple AD](simple_ad_install_ad_tools.md).
------
# Fügen Sie Ihrem Simple AD Active Directory eine Amazon EC2 Linux-Instance hinzu
Sie können eine Amazon EC2 EC2-Linux-Instance starten und Ihrem Simple AD hinzufügen in. AWS-Managementkonsole Sie können die EC2-Linux-Instance auch manuell mit Ihrem Simple AD verbinden.
Die folgenden Linux-Instance-Distributionen und -Versionen werden unterstützt:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64-Bit x86)
+ Red Hat Enterprise Linux 8 (HVM) (64-Bit x86)
+ Ubuntu Server 18.04 LTS und Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1
**Anmerkung**
Distributionen vor Ubuntu 14 und Red Hat Enterprise Linux 7 und 8 unterstützen die Funktion zum nahtlosen Domänenbeitritt nicht.
**Topics**
+ [Fügen Sie eine Amazon EC2 EC2-Linux-Instance nahtlos zu Ihrem Simple AD Active Directory hinzu](simple_ad_seamlessly_join_linux_instance.md)
+ [Manuelles Hinzufügen einer Amazon EC2 EC2-Linux-Instance zu Ihrem Simple AD Active Directory](simple_ad_join_linux_instance.md)
# Fügen Sie eine Amazon EC2 EC2-Linux-Instance nahtlos zu Ihrem Simple AD Active Directory hinzu
Durch dieses Verfahren wird eine Amazon EC2 EC2-Linux-Instance nahtlos mit Ihrem Simple AD Active Directory verbunden.
Die folgenden Linux-Instance-Distributionen und -Versionen werden unterstützt:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64-Bit x86)
+ Red Hat Enterprise Linux 8 (HVM) (64-Bit x86)
+ Ubuntu Server 18.04 LTS und Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1
**Anmerkung**
Distributionen vor Ubuntu 14 und Red Hat Enterprise Linux 7 und 8 unterstützen die Funktion zum nahtlosen Domänenbeitritt nicht.
## Voraussetzungen
Bevor Sie einen nahtlosen Domänenbeitritt zu einer Linux-Instance einrichten können, müssen Sie die Verfahren in diesem Abschnitt abschließen.
### Ihr Servicekonto für die nahtlose Domainverbindung auswählen
Sie können Linux-Computer nahtlos mit Ihrer Simple-AD-Domain verbinden. Dazu müssen Sie ein Benutzerkonto mit der Berechtigung zum Erstellen eines Computerkontos erstellen, um die Computer mit der Domain zu verbinden. Mitglieder der *Domain-Admins* oder anderer Gruppen verfügen möglicherweise über ausreichende Rechte, um Computer mit der Domain zu verbinden, wir empfehlen dies jedoch nicht. Als bewährte Methode wird empfohlen, ein Servicekonto zu verwenden, das über die Mindestberechtigungen verfügt, die erforderlich sind, um die Computer mit der Domain zu verbinden.
Informationen zur Verarbeitung und Delegierung von Berechtigungen für Ihr Servicekonto zur Erstellung von Computerkonten finden Sie unter [Zuweisen von Berechtigungen zu Ihrem Servicekonto](ad_connector_getting_started.md#connect_delegate_privileges).
### Die Secrets zum Speichern des Domain-Servicekontos erstellen
Sie können das Domänendienstkonto AWS Secrets Manager zum Speichern verwenden. Weitere Informationen finden Sie unter [Create an AWS Secrets Manager Secret](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html).
**Anmerkung**
Für Secrets Manager fallen Gebühren an. Weitere Informationen finden Sie unter [Preise](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) im *AWS Secrets Manager Benutzerhandbuch*.
**So erstellen Sie Secrets und speichern die Kontoinformationen des Domainservices**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Secrets Manager Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).
1. Gehen Sie auf der Seite **Neues Geheimnis speichern** wie folgt vor:
1. Wählen Sie unter **Geheimtyp** die Option **Andere Art von Geheimnissen aus**.
1. Gehen Sie unter **Schlüssel/Wert-Paare** wie folgt vor:
1. Geben Sie im ersten Feld **awsSeamlessDomainUsername** ein. Geben Sie in derselben Zeile im nächsten Feld den Benutzernamen für Ihr Dienstkonto ein. Wenn Sie den PowerShell Befehl beispielsweise zuvor verwendet haben, wäre der Name des Dienstkontos**awsSeamlessDomain**.
**Anmerkung**
Sie müssen **awsSeamlessDomainUsername** genau so eingeben, wie er lautet. Stellen Sie sicher, dass keine führenden oder abschließenden Leerzeichen vorhanden sind. Andernfalls schlägt die Domainverbindung fehl.
![\[In der AWS Secrets Manager Konsole auf der Seite „Geheimtyp auswählen“. Unter Geheimtyp wird ein anderer Geheimtyp ausgewählt und awsSeamlessDomainUsername als Schlüsselwert eingegeben.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/secrets_manager_1.png)
1. Wählen Sie **Zeile hinzufügen**.
1. Geben Sie in der neuen Zeile im ersten Feld **awsSeamlessDomainPassword** ein. Geben Sie in derselben Zeile im nächsten Feld das Passwort für Ihr Servicekonto ein.
**Anmerkung**
Sie müssen **awsSeamlessDomainPassword** genau so eingeben, wie er lautet. Stellen Sie sicher, dass keine führenden oder abschließenden Leerzeichen vorhanden sind. Andernfalls schlägt die Domainverbindung fehl.
1. Behalten Sie unter **Verschlüsselungsschlüssel** den Standardwert bei`aws/secretsmanager`. AWS Secrets Manager verschlüsselt das Geheimnis immer, wenn Sie diese Option wählen. Sie können auch einen von Ihnen erstellten Schlüssel auswählen.
1. Wählen Sie **Weiter** aus.
1. Geben Sie unter **Geheimer Name** einen geheimen Namen ein, der Ihre Verzeichnis-ID enthält. Verwenden Sie dabei das folgende Format und *d-xxxxxxxxx* ersetzen Sie ihn durch Ihre Verzeichnis-ID:
```
aws/directory-services/d-xxxxxxxxx/seamless-domain-join
```
Dies wird verwendet, um Secrets in der Anwendung abzurufen.
**Anmerkung**
Sie müssen **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** genau so eingeben, wie er ist, aber durch Ihre Verzeichnis-ID *d-xxxxxxxxxx* ersetzen. Stellen Sie sicher, dass keine führenden oder abschließenden Leerzeichen vorhanden sind. Andernfalls schlägt die Domainverbindung fehl.
![\[In der AWS Secrets Manager Konsole auf der Seite „Geheimes Passwort konfigurieren“. Der geheime Name wird eingegeben und hervorgehoben.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/secrets_manager_2.png)
1. Belassen Sie alles andere auf den eingestellten Standardwerte und wählen Sie dann **Weiter**.
1. Wählen Sie unter **Automatische Rotation konfigurieren** die Option **Automatische Rotation deaktivieren** und wählen Sie dann **Weiter**.
Sie können die Rotation für dieses Geheimnis aktivieren, nachdem Sie es gespeichert haben.
1. Überprüfen Sie die Einstellungen und wählen Sie dann **Speichern**, um Ihre Änderungen zu speichern. Die Secrets-Manager-Konsole zeigt Ihnen wieder die Liste der Secrets in Ihrem Konto an, in der Ihr neues Secret nun enthalten ist.
1. Wählen Sie Ihren neu erstellten Secret-Namen aus der Liste und notieren Sie sich den Wert des **Secret-ARN**. Sie brauchen diesen im nächsten Abschnitt.
### Schalten Sie die Rotation für das geheime Domänendienstkonto ein
Wir empfehlen, dass Sie die geheimen Daten regelmäßig wechseln, um Ihre Sicherheitslage zu verbessern.
**Um die Rotation für das geheime Domänendienstkonto zu aktivieren**
+ Folgen Sie den Anweisungen unter [Automatische Rotation für AWS Secrets Manager geheime Daten einrichten](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) im *AWS Secrets Manager Benutzerhandbuch*.
Verwenden Sie für Schritt 5 die Rotationsvorlage [Microsoft Active Directory-Anmeldeinformationen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) im *AWS Secrets Manager Benutzerhandbuch*.
Hilfe finden Sie im *AWS Secrets Manager Benutzerhandbuch* unter [Problembehandlung bei der AWS Secrets Manager Rotation](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html).
### Die erforderliche IAM-Richtlinie und -Rolle erstellen
Gehen Sie wie folgt vor, um eine benutzerdefinierte Richtlinie zu erstellen, die nur Lesezugriff auf Ihren Secrets Manager Seamless Domain Join Secret (den Sie zuvor erstellt haben) ermöglicht, und um eine neue EC2 DomainJoin Linux-IAM-Rolle zu erstellen.
#### Die IAM-Leserichtlinie zu Secrets Manager erstellen
Sie verwenden die IAM-Konsole, um eine Richtlinie zu erstellen, die schreibgeschützten Zugriff auf Ihr Secrets-Manager-Secret gewährt.
**So erstellen Sie die IAM-Leserichtlinie zu Secrets Manager**
1. Melden Sie sich AWS-Managementkonsole als Benutzer an, der berechtigt ist, IAM-Richtlinien zu erstellen. Öffnen Sie dann die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Access Management** die Option **Policies** aus.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie die Registerkarte **JSON** aus und kopieren Sie den Text aus dem folgenden JSON-Richtliniendokument. Fügen Sie ihn dann in das **JSON-Textfeld** ein.
**Anmerkung**
Stellen Sie sicher, dass Sie die Region und den Ressourcen-ARN durch die tatsächliche Region und den ARN des Secrets ersetzen, den Sie zuvor erstellt haben.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
]
}
]
}
```
1. Wählen Sie danach **Next** aus. Die Richtlinienvalidierung meldet mögliche Syntaxfehler. Weitere Informationen finden Sie unter [Validierung von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html).
1. Geben Sie auf der Seite **Richtlinie überprüfen** einen Namen für die Richtlinie ein, z. B. **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Überprüfen Sie den Abschnitt **Zusammenfassung**, um die Berechtigungen einzusehen, die Ihre Richtlinie gewährt. Wählen Sie dann **Richtlinie erstellen** aus, um Ihre Änderungen zu speichern. Die neue Richtlinie erscheint in der Liste der verwalteten Richtlinien und ist nun bereit, einer Identität zugeordnet zu werden.
**Anmerkung**
Wir empfehlen Ihnen, eine Richtlinie pro Secret zu erstellen. Auf diese Weise wird sichergestellt, dass Instances nur auf das entsprechende Secret zugreifen können und die Auswirkungen einer Kompromittierung einer Instance minimiert werden.
#### Erstellen Sie die EC2 DomainJoin Linux-Rolle
Sie verwenden die IAM-Konsole, um die Rolle zu erstellen, die Sie für die Domainverbindung Ihrer Linux-EC2-Instance verwenden werden.
**Um die EC2 DomainJoin Linux-Rolle zu erstellen**
1. Melden Sie sich AWS-Managementkonsole als Benutzer an, der berechtigt ist, IAM-Richtlinien zu erstellen. Öffnen Sie dann die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich unter **Access Management** die Option **Rollen** aus.
1. Wählen Sie im Inhaltsbereich die Option **Rolle erstellen**.
1. Wählen Sie unter **Select type of trusted entity** (Typ der vertrauenswürdigen Entität auswählen) die Option **AWS -Service** aus.
1. Wählen **Sie unter Anwendungsfall** die Option **EC2** und dann **Weiter** aus.
![\[In der IAM-Konsole auf der Seite „Vertrauenswürdige Entität auswählen“. AWS Service und EC2 sind ausgewählt.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)
1. Gehen Sie für **Filterrichtlinien** wie folgt vor:
1. Geben Sie **AmazonSSMManagedInstanceCore** ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.
1. Geben Sie **AmazonSSMDirectoryServiceAccess** ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.
1. Geben Sie **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** ein (oder den Namen der Richtlinie, die Sie im vorherigen Verfahren erstellt haben). Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.
1. Nachdem Sie die drei oben aufgeführten Richtlinien hinzugefügt haben, wählen Sie **Rolle erstellen** aus.
**Anmerkung**
Amazon SSMDirectory ServiceAccess bietet die Berechtigungen zum Hinzufügen von Instances zu einem Active Directory, das von verwaltet wird Directory Service. Amazon SSMManaged InstanceCore stellt die Mindestberechtigungen bereit, die für die Nutzung des AWS Systems Manager Dienstes erforderlich sind. Weitere Informationen zum Erstellen einer Rolle mit diesen Berechtigungen und zu anderen Berechtigungen und Richtlinien, die Sie Ihrer IAM-Rolle zuweisen können, finden Sie unter [Ein IAM-Instance-Profil für Systems Manager erstellen](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) im *AWS Systems Manager -Benutzerhandbuch*.
1. Geben Sie im Feld Rollenname einen Namen für Ihre neue Rolle ein, z. B. **LinuxEC2DomainJoin** oder einen anderen **Namen**, den Sie bevorzugen.
1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung ein.
1. (Optional) Wählen Sie unter **Schritt 3: Stichwörter **hinzufügen die Option Neues Tag** hinzufügen** aus, um Stichwörter hinzuzufügen. Tag-Schlüssel-Wert-Paare werden verwendet, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu kontrollieren.
1. Wählen Sie **Rolle erstellen** aus.
## Fügen Sie eine Linux-Instance nahtlos zu Ihrem Simple AD Active Directory hinzu
**Um Ihrer Linux-Instance nahtlos beizutreten**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie aus der Regionsauswahl in der Navigationsleiste dasselbe Verzeichnis AWS-Region wie das bestehende Verzeichnis aus.
1. Wählen Sie auf dem **EC2-Dashboard** im Abschnitt **Instance starten** die Option **Instance starten** aus.
1. Geben Sie auf der Seite **Eine Instance starten** im Abschnitt **Name und Tags** den Namen ein, den Sie für Ihre Linux EC2-Instance verwenden möchten.
1. *(Optional)* Wählen Sie **Zusätzliche Tags hinzufügen**, um ein oder mehrere Tag-Schlüssel-Wert-Paare hinzuzufügen, um den Zugriff für diese EC2-Instance zu organisieren, zu verfolgen oder zu kontrollieren.
1. Wählen Sie im Abschnitt **Anwendungs- und Betriebssystem-Image (Amazon Machine Image)** ein Linux-AMI aus, das Sie starten möchten.
**Anmerkung**
Das verwendete AMI muss AWS Systems Manager (SSM Agent) Version 2.3.1644.0 oder höher haben. Um die installierte SSM-Agent-Version in Ihrem AMI zu überprüfen, indem Sie eine Instance von diesem AMI aus starten, lesen Sie den Abschnitt [Ermittlung der aktuell installierten SSM-Agent-Version](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Wenn Sie den SSM Agent aktualisieren müssen, lesen Sie den Abschnitt [Installieren und Konfigurieren von SSM Agent in EC2-Instances für Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).
SSM verwendet das `aws:domainJoin` Plugin, wenn eine Linux-Instance einer Active Directory-Domäne hinzugefügt wird. Das Plugin ändert den Hostnamen für die Linux-Instanzen in das Format EC2 AMAZ-. *XXXXXXX* Weitere Informationen `aws:domainJoin` dazu finden Sie in der [Plugin-Referenz zum AWS Systems Manager Befehlsdokument](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) im *AWS Systems Manager Benutzerhandbuch*.
1. Wählen Sie im Abschnitt **Instance-Typ** den Instance-Typ, den Sie verwenden möchten, aus der Dropdown-Liste **Instance-Typ** aus.
1. Im Abschnitt **Schlüsselpaar (Anmeldung)** können Sie entweder ein neues Schlüsselpaar erstellen oder aus einem vorhandenen Schlüsselpaar auswählen. Um ein neues Schlüsselpaar zu erstellen, wählen Sie **Neues Schlüsselpaar erstellen**. Geben Sie einen Namen für das Schlüsselpaar ein und wählen Sie eine Option für den **Schlüsselpaartyp** und das **Dateiformat des privaten Schlüssels**. Um den privaten Schlüssel in einem Format zu speichern, das mit OpenSSH verwendet werden kann, wählen Sie **.pem**. Um den privaten Schlüssel in einem Format zu speichern, das mit PuTTY verwendet werden kann, wählen Sie **.ppk**. Wählen Sie **Schlüsselpaar erstellen** aus. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.
**Wichtig**
Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern.
1. Wählen Sie auf der Seite **Eine Instance starten** im Abschnitt **Netzwerkeinstellungen** die Option **Bearbeiten** aus. Wählen Sie die **VPC**, in der Ihr Verzeichnis erstellt wurde, aus der Dropdown-Liste **VPC –* erforderlich*** aus.
1. Wählen Sie eines der öffentlichen Subnetze in Ihrer VPC aus der Dropdown-Liste **Subnetz** aus. Das von Ihnen gewählte Subnetz muss den gesamten externen Datenverkehr an ein Internet-Gateway weiterleiten. Ist dies nicht der Fall, können Sie keine Remote-Verbindung zur Instance einrichten.
Weitere Informationen zur Verbindung mit einem Internet-Gateway finden Sie unter [Verbinden mit dem Internet über ein Internet-Gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) im *Amazon-VPC-Benutzerhandbuch*.
1. Wählen Sie unter **Öffentliche IP automatisch zuweisen** die Option **Aktivieren**.
Weitere Informationen zur öffentlichen und privaten IP-Adressierung finden Sie unter [Amazon EC2 EC2-Instance-IP-Adressierung](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
1. Für die Einstellungen zu **Firewall (Sicherheitsgruppen)** können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.
1. Für **Speichereinstellungen konfigurieren** können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.
1. Wählen Sie den Abschnitt **Erweiterte Details** aus und wählen Sie Ihre Domain aus der Dropdown-Liste für das **Domainverbindungs-Verzeichnis** aus.
**Anmerkung**
Nachdem Sie das Domain-Join-Verzeichnis ausgewählt haben, sehen Sie möglicherweise:
![\[Eine Fehlermeldung bei der Auswahl Ihres Domain-Join-Verzeichnisses. In Ihrem vorhandenen SSM-Dokument ist ein Fehler aufgetreten.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)
Dieser Fehler tritt auf, wenn der EC2-Startassistent ein vorhandenes SSM-Dokument mit unerwarteten Eigenschaften identifiziert. Sie können einen der folgenden Schritte ausführen:
Wenn Sie das SSM-Dokument zuvor bearbeitet haben und die Eigenschaften erwartet werden, wählen Sie Schließen und fahren Sie fort, um die EC2-Instance ohne Änderungen zu starten.
Wählen Sie den Link „Bestehendes SSM-Dokument hier löschen“, um das SSM-Dokument zu löschen. Dies ermöglicht die Erstellung eines SSM-Dokuments mit den richtigen Eigenschaften. Das SSM-Dokument wird automatisch erstellt, wenn Sie die EC2-Instance starten.
1. Wählen Sie für das **IAM-Instanzprofil** die IAM-Rolle aus, die Sie zuvor im Abschnitt Voraussetzungen erstellt haben. **Schritt 2: Linux-Rolle erstellen**. EC2 DomainJoin
1. Wählen Sie **Launch Instance (Instance starten)** aus.
**Anmerkung**
Wenn Sie eine nahtlose Domainverbindung mit SUSE Linux durchführen, ist ein Neustart erforderlich, bevor die Authentifizierungen funktionieren. Um SUSE vom Linux-Terminal aus neu zu starten, geben Sie **sudo reboot** ein.
# Manuelles Hinzufügen einer Amazon EC2 EC2-Linux-Instance zu Ihrem Simple AD Active Directory
Neben Amazon EC2 EC2-Windows-Instances können Sie auch bestimmte Amazon EC2 EC2-Linux-Instances zu Ihrem Simple AD Active Directory hinzufügen. Die folgenden Linux-Instance-Distributionen und -Versionen werden unterstützt:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64-Bit x86)
+ Amazon-Linux-2023-AMI
+ Red Hat Enterprise Linux 8 (HVM) (64-Bit x86)
+ Ubuntu Server 18.04 LTS und Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1
**Anmerkung**
Andere Linux-Distributionen und -Versionen können funktionieren, sind jedoch nicht getestet worden.
## Voraussetzungen
Bevor Sie eine Amazon-Linux-, CentOS-, Red-Hat- oder Ubuntu-Instance mit Ihrem Verzeichnis verbinden können, muss die Instance zunächst wie unter [Fügen Sie eine Amazon EC2 EC2-Linux-Instance nahtlos zu Ihrem Simple AD Active Directory hinzu](simple_ad_seamlessly_join_linux_instance.md) beschrieben gestartet werden.
**Wichtig**
Einige der folgenden Verfahren können, wenn sie nicht richtig durchgeführt werden, Ihre Instance nicht erreichbar oder unbrauchbar machen. Aus diesem Grund empfehlen wir dringend, eine Sicherung anzufertigen oder einen Snapshot der Instance zu machen, bevor diese Verfahren ausgeführt werden.
**So fügen Sie Ihrem Verzeichnis eine Linux-Instance hinzu**
Folgen Sie den Schritten für Ihre spezifische Linux-Instance unter Verwendung einer der folgenden Registerkarten:
------
#### [ Amazon Linux ]
1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.
1. Konfigurieren Sie die Linux-Instanz so, dass sie die DNS-Server-IP-Adressen der Directory Service bereitgestellten DNS-Server verwendet. Das können Sie entweder in den DHCP-Optionen der VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie im AWS -Wissenszentrum im Artikel zum Thema [Wie weise ich einen statischen DNS-Server zu einer privaten Amazon-EC2-Instance zu?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.
1. Überprüfen Sie, ob Ihre Amazon-Linux-64bit-Instance auf dem aktuellen Stand ist.
```
sudo yum -y update
```
1. Installieren Sie die erforderlichen Amazon-Linux-Pakete auf Ihrer Linux-Instance.
**Anmerkung**
Einige dieser Pakete sind möglicherweise bereits installiert.
Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirme gezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.
Amazon Linux
```
sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
```
**Anmerkung**
Hilfe bei der Bestimmung der Amazon-Linux-Version, die Sie verwenden, finden Sie unter [Identifizieren von Amazon-Linux-Images](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id) im *Amazon-EC2-Benutzerhandbuch für Linux-Instances*.
1. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.
```
sudo realm join -U join_account@EXAMPLE.COM example.com --verbose
```
*join\$1account@EXAMPLE.COM*
Ein Konto in der *example.com* Domäne, das über Domänenbeitrittsrechte verfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
*example.com*
Der vollständig berechtigte DNS-Name Ihres Verzeichnisses.
```
...
* Successfully enrolled machine in realm
```
1. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Text-Editor.
```
sudo vi /etc/ssh/sshd_config
```
1. Setzen Sie die Einstellung `PasswordAuthentication` auf `yes`.
```
PasswordAuthentication yes
```
1. Starten Sie den SSH-Service neu.
```
sudo systemctl restart sshd.service
```
Alternative Vorgehensweise:
```
sudo service sshd restart
```
1. Nachdem die Instance neu gestartet wurde, stellen Sie eine Verbindung zu einem SSH-Client her und fügen Sie dann die Domain-Administratorengruppe der sudoers-Liste hinzu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie die `sudoers` - Datei mit dem folgenden Befehl:
```
sudo visudo
```
1. Fügen Sie Folgendes am Ende der `sudoers`-Datei hinzu und speichern Sie die Datei.
```
## Add the "Domain Admins" group from the example.com domain.
%Domain\ Admins@example.com ALL=(ALL:ALL) ALL
```
(Im obigen Beispiel wird „\$1“ für das Linux-Leerzeichen verwendet.)
------
#### [ CentOS ]
1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.
1. Konfigurieren Sie die Linux-Instanz so, dass sie die DNS-Server-IP-Adressen der Directory Service bereitgestellten DNS-Server verwendet. Das können Sie entweder in den DHCP-Optionen der VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie im AWS -Wissenszentrum im Artikel zum Thema [Wie weise ich einen statischen DNS-Server zu einer privaten Amazon-EC2-Instance zu?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.
1. Überprüfen Sie, ob Ihre CentOS 7-Instance auf dem aktuellen Stand ist.
```
sudo yum -y update
```
1. Installieren Sie die erforderlichen CentOS 7-Pakete auf Ihre Linux-Instance.
**Anmerkung**
Einige dieser Pakete sind möglicherweise bereits installiert.
Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirme gezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.
```
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
```
1. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.
```
sudo realm join -U join_account@example.com example.com --verbose
```
*join\$1account@example.com*
Ein Konto in der *example.com* Domäne, das über Domänenbeitrittsrechte verfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
*example.com*
Der vollständig berechtigte DNS-Name Ihres Verzeichnisses.
```
...
* Successfully enrolled machine in realm
```
1. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Text-Editor.
```
sudo vi /etc/ssh/sshd_config
```
1. Setzen Sie die Einstellung `PasswordAuthentication` auf `yes`.
```
PasswordAuthentication yes
```
1. Starten Sie den SSH-Service neu.
```
sudo systemctl restart sshd.service
```
Alternative Vorgehensweise:
```
sudo service sshd restart
```
1. Nachdem die Instance neu gestartet wurde, stellen Sie eine Verbindung zu einem SSH-Client her und fügen Sie dann die Domain-Administratorengruppe der sudoers-Liste hinzu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie die `sudoers` - Datei mit dem folgenden Befehl:
```
sudo visudo
```
1. Fügen Sie Folgendes am Ende der `sudoers`-Datei hinzu und speichern Sie die Datei.
```
## Add the "Domain Admins" group from the example.com domain.
%Domain\ Admins@example.com ALL=(ALL:ALL) ALL
```
(Im obigen Beispiel wird „\$1“ für das Linux-Leerzeichen verwendet.)
------
#### [ Red hat ]
1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.
1. Konfigurieren Sie die Linux-Instanz so, dass sie die DNS-Server-IP-Adressen der Directory Service bereitgestellten DNS-Server verwendet. Das können Sie entweder in den DHCP-Optionen der VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie im AWS -Wissenszentrum im Artikel zum Thema [Wie weise ich einen statischen DNS-Server zu einer privaten Amazon-EC2-Instance zu?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.
1. Stellen Sie sicher, dass die Red Hat - 64bit-Instance auf dem neuesten Stand ist.
```
sudo yum -y update
```
1. Installieren Sie die erforderlichen Red Hat-Pakete auf Ihrer Linux-Instance.
**Anmerkung**
Einige dieser Pakete sind möglicherweise bereits installiert.
Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirme gezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.
```
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
```
1. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.
```
sudo realm join -v -U join_account example.com --install=/
```
*join\$1account*
Der **AMAccounts-Name** für ein Konto in der *example.com* Domäne, das über Domänenbeitrittsrechte verfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
*example.com*
Der vollständig berechtigte DNS-Name Ihres Verzeichnisses.
```
...
* Successfully enrolled machine in realm
```
1. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Text-Editor.
```
sudo vi /etc/ssh/sshd_config
```
1. Setzen Sie die Einstellung `PasswordAuthentication` auf `yes`.
```
PasswordAuthentication yes
```
1. Starten Sie den SSH-Service neu.
```
sudo systemctl restart sshd.service
```
Alternative Vorgehensweise:
```
sudo service sshd restart
```
1. Nachdem die Instance neu gestartet wurde, stellen Sie eine Verbindung zu einem SSH-Client her und fügen Sie dann die Domain-Administratorengruppe der sudoers-Liste hinzu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie die `sudoers` - Datei mit dem folgenden Befehl:
```
sudo visudo
```
1. Fügen Sie Folgendes am Ende der `sudoers`-Datei hinzu und speichern Sie die Datei.
```
## Add the "Domain Admins" group from the example.com domain.
%Domain\ Admins@example.com ALL=(ALL:ALL) ALL
```
(Im obigen Beispiel wird „\$1“ für das Linux-Leerzeichen verwendet.)
------
#### [ Ubuntu ]
1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.
1. Konfigurieren Sie die Linux-Instanz so, dass sie die DNS-Server-IP-Adressen der Directory Service bereitgestellten DNS-Server verwendet. Das können Sie entweder in den DHCP-Optionen der VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie im AWS -Wissenszentrum im Artikel zum Thema [Wie weise ich einen statischen DNS-Server zu einer privaten Amazon-EC2-Instance zu?](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.
1. Stellen Sie sicher, dass Ihre Ubuntu - 64bit-Instance auf dem neuesten Stand ist.
```
sudo apt-get update
sudo apt-get -y upgrade
```
1. Installieren Sie die erforderlichen Ubuntu-Pakete auf Ihrer Linux-Instance.
**Anmerkung**
Einige dieser Pakete sind möglicherweise bereits installiert.
Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirme gezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.
```
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
```
1. Deaktivieren Sie die Reverse DNS-Auflösung und legen Sie den Standardbereich auf den FQDN Ihrer Domain fest. Ubuntu-Instances **müssen** im DNS reverse-auflösbar sein, bevor der Bereich genutzt werden kann. Andernfalls müssen Sie Reverse DNS in der /etc/krb5.conf wie folgt deaktivieren:
```
sudo vi /etc/krb5.conf
```
```
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
```
1. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.
```
sudo realm join -U join_account example.com --verbose
```
*join\$1account@example.com*
Der **AMAccounts-Name** für ein Konto in der *example.com* Domäne, das über Domänenbeitrittsrechte verfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter [Delegieren von Verzeichnisbeitrittsberechtigungen für AWS Managed Microsoft AD](directory_join_privileges.md).
*example.com*
Der vollständig berechtigte DNS-Name Ihres Verzeichnisses.
```
...
* Successfully enrolled machine in realm
```
1. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.
1. Öffnen Sie die Datei `/etc/ssh/sshd_config` in einem Text-Editor.
```
sudo vi /etc/ssh/sshd_config
```
1. Setzen Sie die Einstellung `PasswordAuthentication` auf `yes`.
```
PasswordAuthentication yes
```
1. Starten Sie den SSH-Service neu.
```
sudo systemctl restart sshd.service
```
Alternative Vorgehensweise:
```
sudo service sshd restart
```
1. Nachdem die Instance neu gestartet wurde, stellen Sie eine Verbindung zu einem SSH-Client her und fügen Sie dann die Domain-Administratorengruppe der sudoers-Liste hinzu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie die `sudoers` - Datei mit dem folgenden Befehl:
```
sudo visudo
```
1. Fügen Sie Folgendes am Ende der `sudoers`-Datei hinzu und speichern Sie die Datei.
```
## Add the "Domain Admins" group from the example.com domain.
%Domain\ Admins@example.com ALL=(ALL:ALL) ALL
```
(Im obigen Beispiel wird „\$1“ für das Linux-Leerzeichen verwendet.)
------
**Anmerkung**
Wenn Sie bei der Verwendung von Simple AD ein Benutzerkonto auf einer Linux-Instance mit der Option „Änderung des Passworts bei der nächsten Anmeldung erzwingen“ erstellen, kann dieser Benutzer sein Passwort nicht sofort mit **kpasswd** ändern. Zur erstmaligen Änderung des Passworts muss ein Domain-Administrator das Benutzerpasswort über die Active-Directory-Verwaltungstools aktualisieren.
## Konten von eine Linux-Instance verwalten
Zum Verwalten von Konten in Simple AD über eine Linux-Instance müssen Sie spezifische Konfigurationsdateien folgendermaßen in Ihrer Linux-Instance aktualisieren:
1. ****Setzen Sie **krb5\$1use\$1kdcinfo** in der Datei/.conf auf False. etc/sssd/sssd**** Beispiel:
```
[domain/example.com]
krb5_use_kdcinfo = False
```
1. Damit diese Konfiguration wirksam wird, müssen Sie den sssd-Service neu starten:
```
$ sudo systemctl restart sssd.service
```
Alternativ können Sie:
```
$ sudo service sssd start
```
1. Falls Sie Benutzer aus einer CentOS-Linux-Instance verwalten, müssen Sie auch die Datei **/etc/smb.conf** bearbeiten, um Folgendes einzubeziehen:
```
[global]
workgroup = EXAMPLE.COM
realm = EXAMPLE.COM
netbios name = EXAMPLE
security = ads
```
## Einschränken des Kontoanmeldungszugriffs
Da alle Konten in Active Directory standardmäßig definiert sind, können sich alle Benutzer aus dem Verzeichnis bei der Instance anmelden. Mit **ad\$1access\$1filter** in **sssd.conf** können Sie festlegen, dass sich nur bestimmte Benutzer bei der Instance anmelden können. Beispiel:
```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
*memberOf*
Gibt an, dass Benutzer nur Zugriff auf die Instance haben, wenn sie Mitglied einer bestimmten Gruppe sind.
*cn*
Der allgemeine Name der Gruppe, die Zugriff haben soll. In diesem Beispiel lautet der Gruppenname. *admins*
*ou*
Dies ist die Organisationseinheit, in der sich die oben genannte Gruppe befindet. In diesem Beispiel ist die Organisationseinheit*Testou*.
*dc*
Dies ist die Domainkomponente Ihrer Domain. In diesem Beispiel *example*.
*dc*
Hierbei handelt es sich um eine zusätzliche Domainkomponente. In diesem Beispiel *com*.
Sie müssen **ad\$1access\$1filter** manuell zu **/etc/sssd/sssd.conf** hinzufügen.
Öffnen Sie die Datei **/etc/sssd/sssd.conf** in einem Text-Editor.
```
sudo vi /etc/sssd/sssd.conf
```
Danach sieht **sssd.conf** wie folgt aus:
```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
Damit die Konfiguration wirksam wird, müssen Sie den sssd-Service neu starten:
```
sudo systemctl restart sssd.service
```
Alternativ können Sie:
```
sudo service sssd restart
```
## ID-Zuordnung
Die ID-Zuordnung kann mit zwei Methoden durchgeführt werden, um eine einheitliche Benutzererfahrung zwischen UNIX/Linux User Identifier (UID) und Group Identifier (GID) sowie Windows- und Active Directory Security Identifier (SID) -Identitäten zu gewährleisten. Diese Methoden sind:
1. Zentralisiert
1. Verteilt
**Anmerkung**
Für die zentrale Zuordnung von Benutzeridentitäten in Active Directory ist ein Portable Operating System Interface oder POSIX erforderlich.
**Zentralisierte Zuordnung von Benutzeridentitäten**
Active Directory oder ein anderer LDAP-Dienst (Lightweight Directory Access Protocol) stellt den Linux-Benutzern UID und GID zur Verfügung. In Active Directory werden diese Bezeichner in den Benutzerattributen gespeichert, wenn die POSIX-Erweiterung konfiguriert ist:
+ UID — Der Linux-Benutzername (Zeichenfolge)
+ UID-Nummer — Die Linux-Benutzer-ID-Nummer (Integer)
+ GID-Nummer — Die Linux-Gruppen-ID-Nummer (Integer)
Um eine Linux-Instanz für die Verwendung der UID und GID aus Active Directory zu konfigurieren, legen Sie diese `ldap_id_mapping = False` in der Datei sssd.conf fest. Bevor Sie diesen Wert festlegen, stellen Sie sicher, dass Sie den Benutzern und Gruppen in Active Directory eine UID, UID-Nummer und GID-Nummer hinzugefügt haben.
**Zuordnung verteilter Benutzeridentitäten**
Wenn Active Directory nicht über die POSIX-Erweiterung verfügt oder wenn Sie die Identitätszuweisung nicht zentral verwalten möchten, kann Linux die UID- und GID-Werte berechnen. Linux verwendet den eindeutigen Security Identifier (SID) des Benutzers, um die Konsistenz aufrechtzuerhalten.
Um die verteilte Benutzer-ID-Zuordnung zu konfigurieren, legen Sie dies `ldap_id_mapping = True` in der Datei sssd.conf fest.
**Häufige Probleme**
Wenn Sie dies festlegen`ldap_id_mapping = False`, schlägt das Starten des SSSD-Dienstes manchmal fehl. Der Grund für diesen Fehler liegt darin, dass Änderungen UIDs nicht unterstützt werden. Wir empfehlen Ihnen, den SSSD-Cache zu löschen, wenn Sie von ID-Zuordnung zu POSIX-Attributen oder von POSIX-Attributen zu ID-Zuordnung wechseln. Weitere Informationen zur ID-Zuordnung und den ldap\$1id\$1mapping-Parametern finden Sie in der Manpage sssd-ldap (8) in der Linux-Befehlszeile.
## Connect zur Linux-Instanz her
Wenn ein Benutzer die Verbindung zur Instance über einen SSH-Client herstellt, wird er zur Eingabe des Benutzernamens aufgefordert. Der Benutzer kann den Benutzernamen entweder im Format `username@example.com` oder `EXAMPLE\username` eingeben. Je nachdem, welche Linux-Distribution Sie verwenden, wird die Antwort etwa wie folgt aussehen:
**Amazon Linux, Red Hat Enterprise Linux und CentOS Linux**
```
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
```
**SUSE Linux**
```
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)
As "root" (sudo or sudo -i) use the:
- zypper command for package management
- yast command for configuration management
Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud
Have a lot of fun...
```
**Ubuntu Linux**
```
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Sat Apr 18 22:03:35 UTC 2020
System load: 0.01 Processes: 102
Usage of /: 18.6% of 7.69GB Users logged in: 2
Memory usage: 16% IP address for eth0: 10.24.34.1
Swap usage: 0%
```
# Delegieren von Verzeichnisbeitrittsberechtigungen für Simple AD
Wenn Sie einen Computer mit Ihrem Verzeichnis verbinden möchten, muss Ihr Konto über die entsprechenden Berechtigungen verfügen.
Bei Simple AD haben alle Mitglieder der Gruppe **Domain-Admins** alle erforderlichen Berechtigungen, um Computer mit einem Verzeichnis zu verbinden.
Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestens erforderlichen Berechtigungen hat. Die folgenden Schritte veranschaulichen, wie Sie eine neue Gruppe mit dem Namen `Joiners` erstellen und die Berechtigungen, die für die Verbindung von Computern mit dem Verzeichnis erforderlich sind, an diese Gruppe delegieren.
Sie müssen diesen Vorgang auf einem Computer durchführen, der mit Ihrem Verzeichnis verbunden ist und auf dem das MMC-Snap-In **Active Directory Benutzer und Computer** installiert ist. Außerdem müssen Sie als Domain-Administrator angemeldet sein.
**So delegieren Sie Berechtigungen zum Verbinden eines Verzeichnisses für Simple AD**
1. Öffnen Sie **Active Directory User und Computer** und wählen Sie in der Navigationsbaumstruktur Ihre Domain-Root aus.
1. Öffnen Sie links in der Navigationsstruktur mit einem Rechtsklick das Kontextmenü von **Users** und wählen Sie **New** und dann **Group** aus.
1. Geben Sie im Dialogfeld **New Object - Group** Folgendes ein und klicken Sie auf **OK**.
+ Geben Sie in **Group Name (Gruppenname)** **Joiners** ein.
+ Wählen Sie für **Group scope** die Option **Global**.
+ Wählen Sie für **Group type** die Option **Security**.
1. Wählen Sie in der Navigationsstruktur Ihre Domain Root aus. Wählen Sie im Menü **Action** die Option **Delegate Control** aus.
1. Wählen Sie auf der Seite **Delegation of Control Wizard** **Next** und dann **Add**.
1. Geben Sie in das Dialogfeld **Select Users, Computers, or Groups** `Joiners` ein und klicken Sie auf **OK**. Wenn mehr als ein Objekt gefunden wurde, wählen Sie die oben erstellte Gruppe `Joiners`. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Tasks to Delegate** **Create a custom task to delegate** und dann **Next**.
1. Wählen Sie **Only the following objects in the folder** und dann **Computer objects**.
1. Wählen Sie **Create selected objects in this folder** und **Delete selected objects in this folder**. Klicken Sie anschließend auf **Weiter**.
![\[Dialogfeld „Active Directory-Objekttyp“ mit nur den folgenden Objekten im Ordner „Ausgewählte Benutzerobjekte“, „Ausgewählte Objekte in diesem Ordner erstellen“ und „Ausgewählte Objekte in diesem Ordner löschen“.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)
1. Wählen Sie **Read** und **Write** und dann **Next**.
![\[Dialogfeld „Delegierung von Berechtigungen des Assistenten“, wobei die folgenden Berechtigungen als „Allgemein“, „Eigenschaftsspezifisch“ und „Lesen“ ausgewählt sind.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)
1. Überprüfen Sie auf der Seite **Den Assistenten für die Delegation der Kontrolle abschließen** die Informationen und wählen Sie **Fertigstellen**.
1. Erstellen Sie einen Benutzer mit einem sicheren Passwort und fügen Sie diesen Benutzer zur Gruppe `Joiners` hinzu. Der Benutzer verfügt dann über ausreichende Rechte, um eine Verbindung mit dem Directory Service Verzeichnis herzustellen.
# Einen DHCP-Optionssatz für Simple AD erstellen
AWS empfiehlt, dass Sie einen DHCP-Optionssatz für Ihr Directory Service Verzeichnis erstellen und den DHCP-Optionssatz der VPC zuweisen, in der sich Ihr Verzeichnis befindet. So können alle Instances in der entsprechenden VPC auf die angegebene Domain und die festgelegten DNS-Server verweisen, um ihre Domainnamen aufzulösen.
Weitere Informationen zur DHCP-Optionsliste finden Sie unter [DHCP-Optionsliste](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) im *Amazon-VPC-Benutzerhandbuch*.
**So erstellen Sie eine DHCP-Optionsliste für Ihr Verzeichnis**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **DHCP Options Sets** und anschließend **Create DHCP Options Set** aus.
1. Geben Sie auf der Seite **DHCP-Optionsliste erstellen** die folgenden Werte für Ihr Verzeichnis ein:
**Name**
Ein optionales Tag für die Optionsliste
**Domainname**
Den vollständig qualifizierten Namen Ihres Verzeichnisses, z. B. `corp.example.com`
**Domainnamenserver**
Die IP-Adressen der DNS-Server des von Ihnen AWS bereitgestellten Verzeichnisses.
Sie finden diese Adressen, indem Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) die Option **Verzeichnisse** und anschließend die ID des gewünschten Verzeichnisses auswählen.
**NTP-Server**
Lassen Sie dieses Feld leer.
**NetBIOS-Namenserver**
Lassen Sie dieses Feld leer.
**NetBIOS-Knotentyp**
Lassen Sie dieses Feld leer.
1. Wählen Sie **Create DHCP Options Set (DHCP-Optionsliste erstellen)**. Die neue DHCP-Optionsliste wird in der Liste der DHCP-Optionen angezeigt.
1. Notieren Sie sich die ID des neuen Satzes von DHCP-Optionen (dopt-). *xxxxxxxx* Sie verwenden dies, um die neue Optionsliste mit Ihrer VPC zu verknüpfen.
**So ändern Sie die DHCP-Optionsliste, die mit einer VPC verknüpft ist**
Nach dem Erstellen einer DHCP-Optionsliste sind keine Änderungen an den Optionen mehr möglich. Falls Ihre VPC verschiedene DHCP-Optionslisten nutzen soll, müssen Sie eine neue Liste erstellen und diese dann mit der VPC verknüpfen. Sie können Ihre VPC auch so einrichten, dass keine DHCP-Optionen verwendet werden.
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Wählen Sie im Navigationsbereich Ihr aus. VPCs**
1. Wählen Sie die VPC und dann **Aktionen**, **VPC-Einstellungen bearbeiten** aus.
1. Wählen Sie unter **DHCP-Optionssatz** einen Optionssatz aus oder wählen Sie **Kein DHCP-Optionssatz** und dann **Speichern**.
Um den mit einer VPC verknüpften DHCP-Optionssatz über die Befehlszeile zu ändern, gehen Sie wie folgt vor:
+ **AWS CLI**: [associate-dhcp-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html)
+ **AWS Tools for Windows PowerShell**: [Register-EC2DhcpOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html)