Étape 3 : Déployer une EC2 instance Amazon pour gérer votre annuaire Microsoft AD Active Directory AWS géré - AWS Directory Service
Facultatif : créez un ensemble d'options DHCP dans AWS-DS-VPC01 pour votre répertoireCréez un rôle pour joindre des instances Windows à votre domaine Microsoft AD AWS géréCréez une EC2 instance Amazon et rejoignez automatiquement le répertoireInstallez les outils Active Directory sur votre EC2 instance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 3 : Déployer une EC2 instance Amazon pour gérer votre annuaire Microsoft AD Active Directory AWS géré

Pour cet atelier, nous utilisons des EC2 instances Amazon dotées d'adresses IP publiques afin de faciliter l'accès à l'instance de gestion où que vous soyez. Dans un environnement de production, vous pouvez utiliser des instances situées dans un VPC privé qui ne sont accessibles que via un VPN ou AWS Direct Connect un lien. Il n'est pas nécessaire que l'instance possède une adresse IP publique.

Dans cette section, vous allez passer en revue les différentes tâches post-déploiement nécessaires pour que les ordinateurs clients puissent se connecter à votre domaine à l'aide de Windows Server sur votre nouvelle EC2 instance. Vous allez utiliser Windows Server dans l'étape suivante pour vérifier que votre atelier de test est opérationnel.

Facultatif : créez un ensemble d'options DHCP dans AWS-DS-VPC01 pour votre répertoire

Dans cette procédure facultative, vous configurez une étendue d'options DHCP afin que les EC2 instances de votre VPC utilisent automatiquement votre Microsoft AD AWS géré pour la résolution DNS. Pour plus d'informations, veuillez consulter DHCP options sets (français non garanti).

Pour créer un jeu d'options DHCP défini pour votre annuaire

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez DHCP Options Sets, puis sélectionnez Create DHCP options set.

  3. Dans la page Créer un jeu d'options DHCP, entrez les valeurs suivantes pour votre annuaire :

    • Pour Name (Nom), tapez AWS DS DHCP.

    • Pour Domain name (Nom de domaine), tapez corp.example.com.

    • Pour Domain name servers (Serveurs de noms de domaine), tapez les adresses IP des serveurs DNS de votre annuaire fourni par AWS .

      Note

      Pour trouver ces adresses, rendez-vous sur la page AWS Directory Service Répertoires, puis choisissez l'ID de répertoire applicable. Sur la page Détails, identifiez et utilisez IPs les informations affichées dans l'adresse DNS.

      Pour trouver ces adresses, rendez-vous sur la page AWS Directory Service Annuaires, puis choisissez l'ID de répertoire applicable. Choisissez ensuite Mettre à l'échelle et partager. Sous Contrôleurs de domaine, identifiez et utilisez IPs ceux qui sont affichés dans l'adresse IP.

    • Ne renseignez aucune valeur dans les champs Serveurs NTP, Serveurs de noms NetBIOS et Type de nœud NetBIOS.

  4. Choisissez Créer un jeu d'options DHCP, puis choisissez Fermer. Le nouveau jeu d'options DHCP apparaît dans votre liste d'options DHCP.

  5. Notez l'ID du nouveau jeu d'options DHCP (dopt- xxxxxxxx). Vous en aurez besoin à la fin de cette procédure lorsque vous associerez le nouveau jeu d'options à votre VPC.

    Note

    La jonction transparente de domaines fonctionne sans qu'il soit nécessaire de configurer un jeu d'options DHCP.

  6. Dans le volet de navigation, sélectionnez Votre VPCs.

  7. Dans la liste de VPCs, sélectionnez AWS DS VPC, choisissez Actions, puis choisissez Modifier le jeu d'options DHCP.

  8. Sur la page Modifier le jeu d'options DHCP, sélectionnez les options que vous avez enregistrées à l'étape 5, puis choisissez Enregistrer.

Créez un rôle pour joindre des instances Windows à votre domaine Microsoft AD AWS géré

Utilisez cette procédure pour configurer un rôle qui joint une instance Amazon EC2 Windows à un domaine. Pour de plus amples informations, veuillez consulter Joindre une instance Amazon EC2 Windows à votre compte Microsoft AD AWS géré Active Directory.

Pour configurer EC2 l'association d'instances Windows à votre domaine

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

  3. Sous Select type of trusted entity (Sélectionner le type d'entité approuvée), choisissez service AWS .

  4. Immédiatement sous Choisissez le service qui utilisera ce rôle, choisissez EC2, puis cliquez sur Suivant : Autorisations.

  5. Sur la page Stratégie d'autorisations attachée, procédez comme suit :

    • Cochez la case à côté de la politique SSMManaged InstanceCore gérée par Amazon. Cette stratégie fournit les autorisations minimales nécessaires pour pouvoir utiliser le service Systems Manager.

    • Cochez la case à côté de la politique SSMDirectory ServiceAccess gérée par Amazon. La stratégie fournit les autorisations nécessaires pour joindre des instances à un domaine Active Directory géré par AWS Directory Service.

    Pour plus d'informations sur ces politiques gérées et sur les autres politiques que vous pouvez attacher à un profil d'instance IAM pour Systems Manager consultez Création d'un profil d'instance IAM pour Systems Manager dans le Guide de l'utilisateur AWS Systems Manager . Pour plus d'informations sur les politiques gérées, veuillez consulter AWS Managed policies (français non garanti) dans le Guide de l'utilisateur IAM.

  6. Sélectionnez Suivant : Étiquettes.

  7. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis sélectionnez Suivant : Vérifier.

  8. Dans Nom du rôle, entrez un nom pour le rôle qui décrit qu'il est utilisé pour joindre des instances à un domaine, tel que EC2DomainJoin.

  9. (Facultatif) Pour Role description (Description du rôle), entrez une description.

  10. Sélectionnez Créer un rôle. Le système vous renvoie à la page Rôles.

Créez une EC2 instance Amazon et rejoignez automatiquement le répertoire

Dans cette procédure, vous configurez un système Windows Server dans une EC2 instance qui pourra être utilisée ultérieurement pour administrer les utilisateurs, les groupes et les politiques dans Active Directory.

Pour créer une EC2 instance et rejoindre automatiquement le répertoire

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Choisissez Launch Instances (Lancer les instances).

  3. Sur la page Étape 1, à côté de Microsoft Windows Server 2019 Base - ami-, xxxxxxxxxxxxxxxxx choisissez Sélectionner.

  4. Sur la page Step 2 (Étape 2), sélectionnez t3.micro (notez que vous pouvez choisir un type d'instance plus volumineux), puis cliquez sur Next: Configure Instance Details (Suivant : Configurer les détails de l'instance).

  5. Sur la page Étape 3, procédez comme suit :

    • Pour Réseau, choisissez le VPC qui se termine par -DS-VPC01 (par exemple, AWS vpc- | -DS-VPC01). xxxxxxxxxxxxxxxxx AWS

    • Pour Sous-réseau, choisissez le sous-réseau public 1, qui doit être préconfiguré pour votre zone de disponibilité préférée (par exemple, subnet- xxxxxxxxxxxxxxxxx | -DS-VPC01-subnet01 | AWS). us-west-2a

    • Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer (si le sous-réseau n'est pas défini sur Activer par défaut).

    • Pour le répertoire de jointure de domaines, choisissez corp.example.com (d-). xxxxxxxxxx

    • Pour le rôle IAM, choisissez le nom dans lequel vous avez attribué votre rôle d'instanceCréez un rôle pour joindre des instances Windows à votre domaine Microsoft AD AWS géré, par exemple. EC2DomainJoin

    • Conservez les valeurs par défaut des autres paramètres.

    • Choisissez Next: Add Storage (Suivant : Ajouter le stockage).

  6. Sur la page Étape 4, conservez les paramètres par défaut, puis choisissez Next: Add Tags.

  7. Sur la page Étape 5, choisissez Add Tag. Sous Key (Clé), saisissez corp.example.com-mgmt, puis choisissez Next: Configure Security Group (Suivant : Configurer le groupe de sécurité).

  8. Sur la page Étape 6, choisissez Sélectionner un groupe de sécurité existant, sélectionnez AWS DS Test Lab Security Group (que vous avez précédemment défini dans le didacticiel de base), puis choisissez Vérifier et lancer pour vérifier votre instance.

  9. Sur la page Étape 7, vérifiez la page, puis choisissez Lancer.

  10. Dans la boîte de dialogue Sélectionner une paire de clés existante ou créer une nouvelle paire de clés, procédez comme suit :

    • Choisissez Choisir une paire de clés existante.

    • Sous Sélectionner une paire de clés, choisissez AWS-DS-KP.

    • Cochez la case I acknowledge....

    • Choisissez Launch Instances (Démarrer les instances).

  11. Choisissez View Instances pour revenir à la EC2 console Amazon et consulter l'état du déploiement.

Installez les outils Active Directory sur votre EC2 instance

Vous pouvez choisir entre deux méthodes pour installer les outils de gestion de domaine Active Directory sur votre EC2 instance. Vous pouvez utiliser l'interface utilisateur du gestionnaire de serveur (recommandée pour ce didacticiel) ou Windows PowerShell.

Pour installer les outils Active Directory sur votre EC2 instance (Gestionnaire de serveur)

  1. Dans la EC2 console Amazon, choisissez Instances, sélectionnez l'instance que vous venez de créer, puis sélectionnez Connect.

  2. Dans la boîte de dialogue Connectez-vous à votre instance, sélectionnez Obtenir le mot de passe pour récupérer votre mot de passe si vous ne l'avez pas déjà fait, puis choisissez Télécharger le fichier Bureau à distance.

  3. Dans la boîte de dialogue Windows Security (Sécurité Windows) saisissez vos informations d'identification d'administrateur local pour que l'ordinateur Windows Server puisse se connecter (par exemple : administrator).

  4. Dans le menu Démarrer, choisissez Server Manager.

  5. Dans le Tableau de bord, choisissez Ajouter des rôles et des fonctionnalités.

  6. Dans l'Assistant Ajouter des rôles et des fonctionnalités, choisissez Suivant.

  7. Sur la page Sélectionner le type d'installation, choisissez Installation basée sur un rôle ou une fonctionnalité, puis choisissez Suivant.

  8. Sur la page Sélectionner le serveur de destination, assurez-vous que le serveur local est sélectionné, puis choisissez Suivant.

  9. Sur la page Sélectionner des rôles de serveur, cliquez sur Suivant.

  10. Sur la page Sélectionner les fonctionnalités, procédez comme suit :

    • Cochez la case Gestion des stratégies de groupe.

    • Développez Outils d'administration de serveur distant, puis Outils d'administration de rôles.

    • Cochez la case Outils AD DS et AD LDS.

    • Cochez la case DNS Server Tools.

    • Choisissez Suivant.

  11. Sur la page Confirmer les sélections d'installation, vérifiez les informations, puis cliquez sur Installer. Une fois l'installation des fonctionnalités terminée, les nouveaux outils ou composants suivants seront disponibles dans le dossier Outils d'administration Windows, via le menu Démarrer.

    • Centre d'administration Active Directory

    • Domaines et approbations Active Directory

    • Module Active Directory pour Windows PowerShell

    • Sites et services Active Directory

    • Utilisateurs et ordinateurs Active Directory

    • ADSI Edit

    • DNS

    • Gestion des stratégies de groupe

Pour installer les outils Active Directory sur votre EC2 instance (Windows PowerShell) (Facultatif)

  1. Démarrer Windows PowerShell.

  2. Saisissez la commande suivante. 

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server