Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Étape 3 : Déployer une instance Amazon EC2 pour gérer votre annuaire AWS Microsoft AD Active Directory géré
Pour cet atelier, nous utilisons des instances Amazon EC2 dotées d'adresses IP publiques afin de faciliter l'accès à l'instance de gestion où que vous soyez. Dans un environnement de production, vous pouvez utiliser des instances situées dans un VPC privé qui ne sont accessibles que via un VPN ou Direct Connect un lien. Il n'est pas nécessaire que l'instance possède une adresse IP publique.
Dans cette section, vous allez exécuter les différentes tâches post-déploiement nécessaires pour que les ordinateurs clients puissent se connecter à votre domaine à l'aide de Windows Server sur votre nouvelle instance EC2. Vous allez utiliser Windows Server dans l'étape suivante pour vérifier que votre atelier de test est opérationnel.
## Facultatif : créez un ensemble d'options DHCP dans AWS-DS- VPC01 pour votre répertoire
Dans cette procédure facultative, vous configurez une étendue d'options DHCP afin que les instances EC2 de votre VPC utilisent automatiquement votre AWS Microsoft AD géré pour la résolution DNS. Pour plus d'informations, veuillez consulter [DHCP options sets](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html) (français non garanti).
**Pour créer un jeu d'options DHCP défini pour votre annuaire**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **DHCP Options Sets**, puis sélectionnez **Create DHCP options set**.
1. Dans la page **Créer un jeu d'options DHCP**, entrez les valeurs suivantes pour votre annuaire :
+ Pour **Name (Nom)**, tapez **AWS DS DHCP**.
+ Pour **Domain name (Nom de domaine)**, tapez **corp.example.com**.
+ Pour **Domain name servers (Serveurs de noms de domaine)**, tapez les adresses IP des serveurs DNS de votre annuaire fourni par AWS .
**Note**
Pour trouver ces adresses, rendez-vous sur la page Directory Service **Répertoires**, puis choisissez l'ID de répertoire applicable. Sur la page **Détails**, identifiez et utilisez IPs les informations affichées dans l'**adresse DNS**.
Pour trouver ces adresses, rendez-vous sur la page Directory Service **Annuaires**, puis choisissez l'ID de répertoire applicable. Choisissez ensuite **Mettre à l'échelle et partager**. Sous **Contrôleurs de domaine**, identifiez et utilisez IPs ceux qui sont affichés dans l'**adresse IP**.
+ Ne renseignez aucune valeur dans les champs **Serveurs NTP**, **Serveurs de noms NetBIOS** et **Type de nœud NetBIOS**.
1. Choisissez **Créer un jeu d'options DHCP**, puis choisissez **Fermer**. Le nouveau jeu d'options DHCP apparaît dans votre liste d'options DHCP.
1. Notez l'ID du nouveau jeu d'options DHCP (**dopt- {{xxxxxxxx}}**). Vous en aurez besoin à la fin de cette procédure lorsque vous associerez le nouveau jeu d'options à votre VPC.
**Note**
La jonction transparente de domaines fonctionne sans qu'il soit nécessaire de configurer un jeu d'options DHCP.
1. Dans le volet de navigation, sélectionnez **Votre VPCs**.
1. Dans la liste de VPCs, sélectionnez **AWS DS VPC**, choisissez **Actions**, puis choisissez **Modifier le jeu d'options DHCP**.
1. Sur la page **Modifier le jeu d'options DHCP**, sélectionnez les options que vous avez enregistrées à l'étape 5, puis choisissez **Enregistrer**.
## Créez un rôle pour joindre des instances Windows à votre domaine Microsoft AD AWS géré
Utilisez cette procédure pour configurer un rôle qui joint une instance Windows Amazon EC2 à un domaine. Pour de plus amples informations, veuillez consulter [Joindre une instance Windows Amazon EC2 à votre répertoire AWS Microsoft AD Active Directory géré](launching_instance.md).
**Pour configurer EC2 afin de relier les instances Windows à votre domaine**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).
1. Sous **Select type of trusted entity** (Sélectionner le type d'entité approuvée), choisissez ** service AWS **.
1. Immédiatement sous **Choisir le service qui utilisera ce rôle**, choisissez **EC2**, puis **Next: Permissions (Suivant : Autorisations)**.
1. Sur la page **Stratégie d'autorisations attachée**, procédez comme suit :
+ Cochez la case à côté de la politique SSMManaged InstanceCore gérée par **Amazon**. Cette stratégie fournit les autorisations minimales nécessaires pour pouvoir utiliser le service Systems Manager.
+ Cochez la case à côté de la politique SSMDirectory ServiceAccess gérée par **Amazon**. La stratégie fournit les autorisations nécessaires pour joindre des instances à un domaine Active Directory géré par Directory Service.
Pour plus d'informations sur ces politiques gérées et sur les autres politiques que vous pouvez attacher à un profil d'instance IAM pour Systems Manager consultez [Création d'un profil d'instance IAM pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) dans le *Guide de l'utilisateur AWS Systems Manager *. Pour plus d'informations sur les politiques gérées, veuillez consulter [AWS Managed policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) (français non garanti) dans le *Guide de l'utilisateur IAM*.
1. Sélectionnez **Suivant : Étiquettes**.
1. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis sélectionnez **Suivant : Vérifier.**
1. Dans **Nom du rôle**, entrez un nom pour le rôle qui décrit qu'il est utilisé pour joindre des instances à un domaine, tel que **EC2DomainJoin**.
1. (Facultatif) Pour **Role description (Description du rôle)**, entrez une description.
1. Sélectionnez **Créer un rôle**. Le système vous renvoie à la page **Rôles**.
## Créez une instance Amazon EC2 et rejoignez automatiquement le répertoire
Dans cette procédure, vous configurez un système Windows Server dans une instance EC2 qui pourra être utilisée ultérieurement pour administrer les utilisateurs, les groupes et les politiques dans Active Directory.
**Pour créer une instance EC2 et rejoindre automatiquement l'annuaire**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Choisissez **Launch Instances** (Lancer les instances).
1. Sur la page **Étape 1**, à côté de **Microsoft Windows Server 2019 Base - ami-**, {{xxxxxxxxxxxxxxxxx}} choisissez **Sélectionner**.
1. Sur la page **Step 2 (Étape 2)**, sélectionnez **t3.micro** (notez que vous pouvez choisir un type d'instance plus volumineux), puis cliquez sur **Next: Configure Instance Details (Suivant : Configurer les détails de l'instance)**.
1. Sur la page **Étape 3**, procédez comme suit :
+ Pour **Réseau**, choisissez le VPC qui se termine par **AWS-DS- VPC01** (par exemple, **vpc- {{xxxxxxxxxxxxxxxxx}} \| AWS-DS-**). VPC01
+ Pour **Sous-réseau**, choisissez le **sous-réseau public 1**, qui doit être préconfiguré pour votre zone de disponibilité préférée (par exemple, **sous-réseau- {{xxxxxxxxxxxxxxxxx}} \| AWS-DS- -Subnet01 \|**). VPC01 {{us-west-2a}}
+ Pour **Attribuer automatiquement l'adresse IP publique**, choisissez **Activer** (si le sous-réseau n'est pas défini sur Activer par défaut).
+ Pour le **répertoire de jointure de domaines**, choisissez **corp.example.com (d-). {{xxxxxxxxxx}}**
+ Pour le **rôle IAM**, choisissez le nom dans lequel vous avez attribué votre rôle d'instance[Créez un rôle pour joindre des instances Windows à votre domaine Microsoft AD AWS géré](#configureec2), par exemple. **EC2DomainJoin**
+ Conservez les valeurs par défaut des autres paramètres.
+ Choisissez **Next: Add Storage** (Suivant : Ajouter le stockage).
1. Sur la page **Étape 4**, conservez les paramètres par défaut, puis choisissez **Next: Add Tags**.
1. Sur la page **Étape 5**, choisissez **Add Tag**. Sous **Key (Clé)**, saisissez **corp.example.com-mgmt**, puis choisissez **Next: Configure Security Group (Suivant : Configurer le groupe de sécurité)**.
1. Sur la page **Étape 6**, choisissez **Sélectionner un groupe de sécurité existant**, sélectionnez **AWS DS Test Lab Security Group** (que vous avez précédemment défini dans le [didacticiel de base](microsoftadbasestep1.md#createsecuritygroup)), puis choisissez **Vérifier et lancer** pour vérifier votre instance.
1. Sur la page **Étape 7**, vérifiez la page, puis choisissez **Lancer**.
1. Dans la boîte de dialogue **Sélectionner une paire de clés existante ou créer une nouvelle paire de clés**, procédez comme suit :
+ Choisissez **Choisir une paire de clés existante**.
+ Sous **Sélectionner une paire de clés**, choisissez **AWS-DS-KP**.
+ Cochez la case **I acknowledge...**.
+ Choisissez **Launch Instances** (Démarrer les instances).
1. Sélectionnez **Afficher les instances** pour revenir à la console Amazon EC2 et consulter l'état du déploiement.
## Installation des outils Active Directory sur votre instance EC2
Vous avez le choix entre deux méthodes pour installer les outils de gestion de domaines Active Directory sur votre instance EC2. Vous pouvez utiliser l'interface utilisateur du gestionnaire de serveur (recommandée pour ce didacticiel) ouPowerShell.
**Pour installer les outils Active Directory sur votre instance EC2 (avec Server Manager)**
1. Dans la console Amazon EC2, choisissez **Instances**, sélectionnez l'instance que vous venez de créer, puis sélectionnez **Connecter**.
1. Dans la boîte de dialogue **Connect To Your Instance**, choisissez **Obtenir le mot de passe** pour récupérer votre mot de passe si ce n'est pas déjà fait, puis choisissez **Télécharger le fichier Remote Desktop**.
1. Dans la boîte de dialogue **Windows Security (Sécurité Windows)** saisissez vos informations d'identification d'administrateur local pour que l'ordinateur Windows Server puisse se connecter (par exemple : **administrator**).
1. Dans le menu **Démarrer**, choisissez **Server Manager**.
1. Dans le **Tableau de bord**, choisissez **Ajouter des rôles et des fonctionnalités**.
1. Dans l'**Assistant Ajouter des rôles et des fonctionnalités**, choisissez **Suivant**.
1. Sur la page **Sélectionner le type d'installation**, choisissez **Installation basée sur un rôle ou une fonctionnalité**, puis choisissez **Suivant**.
1. Sur la page **Sélectionner le serveur de destination**, assurez-vous que le serveur local est sélectionné, puis choisissez **Suivant**.
1. Sur la page **Sélectionner des rôles de serveur**, cliquez sur **Suivant**.
1. Sur la page **Sélectionner les fonctionnalités**, procédez comme suit :
+ Cochez la case **Gestion des stratégies de groupe**.
+ Développez **Outils d'administration de serveur distant**, puis **Outils d'administration de rôles**.
+ Cochez la case **Outils AD DS et AD LDS**.
+ Cochez la case **DNS Server Tools**.
+ Choisissez **Suivant**.
1. Sur la page **Confirmer les sélections d'installation**, vérifiez les informations, puis cliquez sur **Installer**. Une fois l'installation des fonctionnalités terminée, les nouveaux outils ou composants suivants seront disponibles dans le dossier Outils d'administration Windows, via le menu Démarrer.
+ Centre d'administration Active Directory
+ Domaines et approbations Active Directory
+ Module Active Directory pour PowerShell
+ Sites et services Active Directory
+ Utilisateurs et ordinateurs Active Directory
+ ADSI Edit
+ DNS
+ Gestion des stratégies de groupe
**Pour installer les outils Active Directory sur votre instance EC2 (PowerShell) (facultatif)**
1. Démarrer PowerShell.
1. Saisissez la commande suivante.
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```