Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Tutorial lab uji Microsoft AD yang dikelola
Bagian ini menyediakan serangkaian tutorial terpandu untuk membantu Anda membangun lingkungan lab pengujian AWS tempat Anda dapat bereksperimen dengan Microsoft AD yang AWS Dikelola.
**Topics**
+ [Tutorial: Menyiapkan lab uji Microsoft AD AWS Terkelola basis Anda di AWS](ms_ad_tutorial_test_lab_base.md)
+ [Tutorial: Membuat kepercayaan dari Microsoft AD yang AWS Dikelola ke instalasi Direktori Aktif yang dikelola sendiri di Amazon EC2](ms_ad_tutorial_test_lab_trust.md)
# Tutorial: Menyiapkan lab uji Microsoft AD AWS Terkelola basis Anda di AWS
Tutorial ini mengajarkan Anda cara mengatur AWS lingkungan Anda untuk mempersiapkan instalasi Microsoft AD AWS Terkelola baru yang menggunakan instans Amazon EC2 baru yang menjalankan Windows Server 2019. Ini kemudian mengajarkan Anda untuk menggunakan alat administrasi Direktori Aktif khas untuk mengelola lingkungan Microsoft AD yang AWS Dikelola dari instans EC2 Windows Anda. Pada saat Anda menyelesaikan tutorial, Anda akan mengatur prasyarat jaringan dan telah mengkonfigurasi hutan AD AWS Microsoft yang Dikelola baru.
Seperti yang ditunjukkan dalam ilustrasi berikut, lab yang Anda buat dari tutorial ini adalah komponen dasar untuk pembelajaran langsung tentang Managed AWS Microsoft AD. Anda dapat menambahkan tutorial opsional nanti untuk pengalaman langsung yang lebih banyak. Seri tutorial ini sangat ideal untuk siapa saja yang baru akan Microsoft AD yang Dikelola AWS dan menginginkan laboratorium pengujian untuk tujuan evaluasi. Tutorial ini memakan waktu sekitar 1 jam untuk menyelesaikannya.
![\[Diagram yang menampilkan langkah-langkah tutorial: 1 mengatur lingkungan Anda, 2 buat Microsoft AD AWS Terkelola, 3 menerapkan Amazon EC2, dan 4 uji lab.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)
**[Langkah 1: Siapkan AWS lingkungan Anda untuk Direktori Aktif Microsoft AD yang AWS Dikelola](microsoftadbasestep1.md)**
Setelah menyelesaikan tugas prasyarat, Anda membuat dan mengonfigurasi VPC Amazon di instans EC2 Anda.
**[Langkah 2: Buat Direktori Aktif Microsoft AD AWS Terkelola](microsoftadbasestep2.md)**
Pada langkah ini, Anda mengatur iklan Microsoft yang AWS Dikelola AWS untuk pertama kalinya.
**[Langkah 3: Menerapkan instans Amazon EC2 untuk mengelola Direktori Aktif Microsoft AD yang AWS Dikelola](microsoftadbasestep3.md)**
Di sini, Anda menelusuri berbagai tugas pasca deployment yang diperlukan untuk komputer klien untuk terhubung ke domain baru Anda dan mengatur sistem Windows Server baru di EC2.
**[Langkah 4: Verifikasi bahwa laboratorium pengujian dasar beroperasi](microsoftadbasestep4.md)**
Akhirnya, sebagai administrator, Anda memverifikasi bahwa Anda dapat masuk dan terhubung ke Microsoft AD yang Dikelola AWS dari sistem Windows Server di EC2. Setelah Anda berhasil menguji bahwa laboratorium beroperasi, Anda dapat terus menambahkan modul panduan laboratorium pengujian lainnya.
# Prasyarat
Jika Anda berencana untuk menggunakan hanya langkah-langkah UI dalam tutorial ini untuk membuat laboratorium pengujian Anda, Anda dapat melewatkan bagian prasyarat ini dan melanjutkan ke Langkah 1. Namun, jika Anda berencana untuk menggunakan AWS CLI perintah atau AWS Tools for Windows PowerShell modul untuk membuat lingkungan lab pengujian Anda, Anda harus terlebih dahulu mengonfigurasi berikut ini:
+ **Pengguna IAM dengan akses dan kunci akses rahasia** — Pengguna IAM dengan kunci akses diperlukan jika Anda ingin menggunakan AWS CLI atau AWS Tools for Windows PowerShell modul. Jika Anda tidak memiliki access key, lihat [Membuat, memodifikasi, dan melihat access key (Konsol Manajemen AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey).
+ **AWS Command Line Interface (opsional)** - Unduh dan [Instal AWS CLI pada Windows](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). Setelah diinstal, buka prompt perintah atau PowerShell jendela, lalu ketik`aws configure`. Perhatikan bahwa Anda memerlukan access key dan kunci rahasia untuk menyelesaikan pengaturan. Lihat prasyarat pertama untuk langkah-langkah tentang cara melakukannya. Anda akan diminta hal berikut:
+ AWS ID kunci akses [Tidak ada]: `AKIAIOSFODNN7EXAMPLE`
+ AWS kunci akses rahasia [Tidak ada]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ Nama Region default [Tidak ada]: `us-west-2`
+ Format keluar default [Tidak ada]: `json`
+ **AWS Tools for Windows PowerShell****(opsional)** - Unduh dan instal versi terbaru AWS Tools for Windows PowerShell dari from [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/), lalu jalankan perintah berikut. Perhatikan bahwa Anda memerlukan access key dan kunci rahasia Anda untuk menyelesaikan pengaturan. Lihat prasyarat pertama untuk langkah-langkah tentang cara melakukannya.
`Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`
# Langkah 1: Siapkan AWS lingkungan Anda untuk Direktori Aktif Microsoft AD yang AWS Dikelola
Sebelum dapat membuat Microsoft AD AWS Terkelola di lab AWS pengujian, Anda harus terlebih dahulu menyiapkan key pair Amazon EC2 agar semua data login dienkripsi.
## Membuat key pair
Jika Anda sudah memiliki key pair, Anda dapat melewati langkah ini. Untuk informasi selengkapnya tentang pasangan kunci Amazon EC2, lihat [Membuat pasangan kunci](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).
**Untuk membuat pasangan kunci**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Pada panel navigasi, di bawah **Jaringan & Keamanan**, pilih **Key Pair**, dan kemudian pilih **Buat Key Pair**.
1. Untuk **Nama key pair**, ketik **AWS-DS-KP**. Untuk **Format file key pair**, pilih **pem**, lalu pilih **Buat**.
1. File kunci privat tersebut akan secara otomatis diunduh oleh peramban Anda. Nama file adalah nama yang Anda tentukan ketika Anda membuat key pair Anda dengan ekstensi `.pem`. Simpan file kunci privat di suatu tempat yang aman.
**penting**
Ini adalah satu-satunya kesempatan bagi Anda untuk menyimpan file kunci pribadi. Anda harus menyediakan nama key pair Anda saat meluncurkan sebuah instans dan kunci pribadi yang terkait setiap kali Anda mendekripsi kata sandi untuk instans tersebut.
## Buat, konfigurasikan, dan peer dua Amazon VPCs
Seperti yang ditunjukkan dalam ilustrasi berikut, pada saat Anda menyelesaikan proses multi-langkah ini, Anda akan membuat dan mengonfigurasi dua publik VPCs, dua subnet publik per VPC, satu Internet Gateway per VPC, dan satu koneksi VPC Peering antara. VPCs Kami memilih untuk menggunakan publik VPCs dan subnet untuk tujuan kesederhanaan dan biaya. Untuk beban kerja produksi, kami sarankan Anda menggunakan pribadi VPCs. Untuk informasi selengkapnya tentang meningkatkan keamanan VPC, lihat [Keamanan dalam Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html).
![\[Lingkungan Amazon VPC dengan subnet, dan Internet Gateways untuk membuat Direktori Aktif AWS Microsoft AD Terkelola.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
Semua AWS CLI dan PowerShell contoh menggunakan informasi VPC dari bawah dan dibangun di us-west-2. Anda dapat memilih [Region yang didukung](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) mana pun untuk membangun lingkungan Anda. Untuk informasi umum, lihat [Apa yang Dimaksud dengan Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).
**Langkah 1: Buat dua VPCs**
Pada langkah ini, Anda perlu membuat dua VPCs di akun yang sama menggunakan parameter yang ditentukan dalam tabel berikut. AWS Microsoft AD yang dikelola mendukung penggunaan akun terpisah dengan [Bagikan iklan Microsoft yang AWS Dikelola](ms_ad_directory_sharing.md) fitur tersebut. VPC pertama akan digunakan untuk AWS Microsoft AD yang Dikelola. VPC kedua akan digunakan untuk sumber daya yang dapat digunakan nanti di [Tutorial: Membuat kepercayaan dari Microsoft AD yang AWS Dikelola ke instalasi Direktori Aktif yang dikelola sendiri di Amazon EC2](ms_ad_tutorial_test_lab_trust.md).
****
| Informasi VPC Direktori Aktif Terkelola | Informasi VPC lokal |
| --- | --- |
| Tag nama: AWS-DS- VPC01 IPv4 Blok CIDR: 10.0.0.0/16 IPv6 Blok CIDR: Tidak ada Blok IPv6 CIDR Penghunian: Default | Tag nama: AWS- OnPrem - VPC01 IPv4 Blok CIDR: 10.100.0.0/16 IPv6 Blok CIDR: Tidak ada Blok IPv6 CIDR Penghunian: Default |
Untuk instruksi detail, lihat [Membuat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC).
**Langkah 2: Buat dua subnet per VPC**
Setelah Anda membuat, VPCs Anda perlu membuat dua subnet per VPC menggunakan parameter yang ditentukan dalam tabel berikut. Untuk laboratorium pengujian ini setiap subnet akan menjadi /24. Ini akan memungkinkan hingga 256 alamat yang dikeluarkan per subnet. Setiap subnet harus dalam AZ terpisah. Menempatkan setiap subnet secara terpisah di AZ adalah salah satu [Prasyarat untuk membuat iklan Microsoft yang Dikelola AWS](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).
****
| AWS-DS- Informasi VPC01 subnet: | AWS- OnPrem - informasi VPC01 subnet |
| --- | --- |
| Tag nama: AWS-DS- -Subnet01 VPC01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AWS VPC01 Availability Zone: us-west-2a IPv4 Blok CIDR: 10.0.0.0/24 | Tag nama: AWS- OnPrem - VPC01 -Subnet01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2a IPv4 Blok CIDR: 10.100.0.0/24 |
| Tag nama: AWS-DS- -Subnet02 VPC01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AWS VPC01 Availability Zone: us-west-2b IPv4 Blok CIDR: 10.0.1.0/24 | Tag nama: AWS- OnPrem - VPC01 -Subnet02 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Availability Zone: us-west-2b IPv4 Blok CIDR: 10.100.1.0/24 |
Untuk instruksi detail, lihat [Membuat subnet dalam VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).
**Langkah 3: Buat dan lampirkan Internet Gateway ke Anda VPCs**
Karena kita menggunakan VPC publik Anda akan perlu untuk membuat dan melampirkan gateway Internet ke VPC Anda menggunakan parameter yang ditentukan dalam tabel berikut. Hal ini akan memungkinkan Anda untuk terhubung ke dan mengelola instans EC2 Anda.
****
| AWS-DS- Informasi VPC01 Internet Gateway | AWS- OnPrem - Informasi VPC01 Internet Gateway |
| --- | --- |
| Tag nama: AWS-DS- -IGW VPC01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AWS VPC01 | Tag nama: AWS- OnPrem - VPC01 -IGW VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Untuk instruksi detail, lihat [Gateway internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
**Langkah 4: Konfigurasikan koneksi peering VPC antara AWS-DS- dan - - VPC01 AWS OnPrem VPC01**
Karena Anda sudah membuat dua VPCs sebelumnya, Anda harus membuat jaringan mereka bersama-sama menggunakan VPC peering menggunakan parameter yang ditentukan dalam tabel berikut. Meskipun ada banyak cara untuk menghubungkan Anda VPCs, tutorial ini akan menggunakan VPC Peering. AWS [Microsoft AD yang dikelola mendukung banyak solusi untuk menghubungkan Anda VPCs, beberapa di antaranya termasuk [peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html), dan VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)
****
| |
| --- |
| Tag nama koneksi peering: AWS-DS- VPC01 &AWS- - OnPrem -Peer VPC01 VPC (Pemohon): vpc-xxxxxxxxxxxxxxxxxx -DS- AWS VPC01 Akun: Akun Saya Region: Region Ini VPC (Penerima): vpc-xxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
Untuk instruksi tentang cara membuat Koneksi Peering VPC dengan VPC lain dari dengan akun Anda, lihat [Membuat koneksi peering VPC dengan VPC lain di akun Anda](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local).
**Langkah 5: Tambahkan dua rute ke setiap tabel rute utama VPC**
Agar Internet Gateways dan VPC Peering Connection yang dibuat pada langkah-langkah sebelumnya berfungsi, Anda perlu memperbarui tabel rute utama keduanya VPCs menggunakan parameter yang ditentukan dalam tabel berikut. Anda akan menambahkan dua rute; 0.0.0.0/0 yang akan merutekan ke semua tujuan yang tidak diketahui secara eksplisit ke tabel rute dan 10.0.0.0/16 atau 10.100.0.0/16 yang akan merutekan ke setiap VPC melalui Koneksi Peering VPC yang dibangun di atas.
Anda dapat dengan mudah menemukan tabel rute yang benar untuk setiap VPC dengan memfilter pada tag nama VPC (AWS-DS- atau - -). VPC01 AWS OnPrem VPC01
****
| AWS-DS- informasi VPC01 rute 1 | AWS-DS- informasi VPC01 rute 2 | AWS- OnPrem - Informasi VPC01 rute 1 | AWS- OnPrem - Informasi VPC01 rute 2 |
| --- | --- | --- | --- |
| Tujuan: 0.0.0.0/0 Target: igw-xxxxxxxxxxxxxxxxxxxxxxxxx -IGW AWS VPC01 | Tujuan: 10.100.0.0/16 Target: pcx-xxxxxxxxxxxxxxxxxxxxxxxx AWS-ds-& - - -rekan VPC01 AWS OnPrem VPC01 | Tujuan: 0.0.0.0/0 Target: igw-xxxxxxxxxxxxxxxxxxx -Onprem- AWS VPC01 | Tujuan: 10.0.0.0/16 Target: pcx-xxxxxxxxxxxxxxxxxxxxxxxx AWS-ds-& - - -rekan VPC01 AWS OnPrem VPC01 |
Untuk instruksi tentang cara menambahkan rute ke tabel rute VPC, lihat [Menambahkan dan menghapus rute dari tabel rute](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes).
## Membuat grup keamanan untuk instans Amazon EC2
Secara default, Microsoft AD yang AWS Dikelola membuat grup keamanan untuk mengelola lalu lintas di antara pengontrol domainnya. Pada bagian ini, Anda perlu membuat 2 grup keamanan (satu untuk setiap VPC) yang akan digunakan untuk mengelola lalu lintas dalam VPC Anda untuk instans EC2 Anda menggunakan parameter yang ditentukan dalam tabel berikut. Anda juga menambahkan aturan yang mengizinkan RDP (3389) masuk dari mana saja dan untuk semua jenis lalu lintas masuk dari VPC lokal. Untuk informasi selengkapnya, lihat [Grup keamanan Amazon EC2 untuk instans Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html).
****
| AWS-DS- Informasi kelompok VPC01 keamanan: |
| --- |
| Nama grup keamanan: AWS DS Test Lab Security Group Deskripsi: Grup Keamanan Lab Uji AWS DS VPC: vpc-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AWS VPC01 |
**Aturan Masuk Grup Keamanan untuk AWS-DS- VPC01**
****
| Tipe | Protokol | Rentang port | Sumber | Jenis lalu lintas |
| --- | --- | --- | --- | --- |
| Aturan TCP Kustom | TCP | 3389 | IP saya | Desktop Jarak Jauh |
| Semua Lalu Lintas | Semua | Semua | 10.0.0.0/16 | Semua lalu lintas VPC lokal |
**Aturan Keluar Grup Keamanan untuk AWS-DS- VPC01**
****
| Tipe | Protokol | Rentang Port | Destinasi | Jenis lalu lintas |
| --- | --- | --- | --- | --- |
| Semua Lalu Lintas | Semua | Semua | 0.0.0.0/0 | Semua Lalu lintas |
****
| AWS- OnPrem - informasi kelompok VPC01 keamanan: |
| --- |
| Nama grup keamanan: Grup Keamanan Lab AWS OnPrem Uji. Deskripsi: Kelompok Keamanan Lab AWS OnPrem Uji. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
**Aturan Masuk Grup Keamanan untuk AWS- - OnPrem VPC01**
****
| Tipe | Protokol | Rentang port | Sumber | Jenis lalu lintas |
| --- | --- | --- | --- | --- |
| Aturan TCP Kustom | TCP | 3389 | IP saya | Desktop Jarak Jauh |
| Aturan TCP Kustom | TCP | 53 | 10.0.0.0/16 | DNS |
| Aturan TCP Kustom | TCP | 88 | 10.0.0.0/16 | Kerberos |
| Aturan TCP Kustom | TCP | 389 | 10.0.0.0/16 | LDAP |
| Aturan TCP Kustom | TCP | 464 | 10.0.0.0/16 | Kerberos mengubah / mengatur kata sandi |
| Aturan TCP Kustom | TCP | 445 | 10.0.0.0/16 | SMB / CIFS |
| Aturan TCP Kustom | TCP | 135 | 10.0.0.0/16 | Replikasi |
| Aturan TCP Kustom | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| Aturan TCP Kustom | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| Aturan TCP Kustom | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC & LDAP GC SSL |
| Aturan UDP Kustom | UDP | 53 | 10.0.0.0/16 | DNS |
| Aturan UDP Kustom | UDP | 88 | 10.0.0.0/16 | Kerberos |
| Aturan UDP Kustom | UDP | 123 | 10.0.0.0/16 | Waktu Windows |
| Aturan UDP Kustom | UDP | 389 | 10.0.0.0/16 | LDAP |
| Aturan UDP Kustom | UDP | 464 | 10.0.0.0/16 | Kerberos mengubah / mengatur kata sandi |
| Semua Lalu Lintas | Semua | Semua | 10.100.0.0/16 | Semua lalu lintas VPC lokal |
**Aturan Keluar Grup Keamanan untuk AWS- - OnPrem VPC01**
****
| Tipe | Protokol | Rentang Port | Destinasi | Jenis lalu lintas |
| --- | --- | --- | --- | --- |
| Semua Lalu Lintas | Semua | Semua | 0.0.0.0/0 | Semua Lalu lintas |
Untuk intruksi detail tentang cara membuat dan menambahkan aturan ke grup keamanan Anda, lihat [Cara menggunakan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups).
# Langkah 2: Buat Direktori Aktif Microsoft AD AWS Terkelola
Anda dapat menggunakan tiga metode yang berbeda untuk membuat direktori Anda. Anda dapat menggunakan Konsol Manajemen AWS prosedur (direkomendasikan untuk tutorial ini) atau Anda dapat menggunakan AWS Tools for Windows PowerShell prosedur AWS CLI atau untuk membuat direktori Anda.
**Metode 1: Untuk membuat direktori Microsoft AD yang AWS Dikelola (Konsol Manajemen AWS)**
1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**, lalu pilih **Atur direktori**.
1. Di halaman **Pilih jenis direktori**, pilih **Microsoft AD yang Dikelola AWS **, lalu pilih **Selanjutnya**.
1. Pada halaman **Masukkan informasi direktori**, berikan informasi berikut, dan pilih **Selanjutnya**.
+ Untuk **Edisi**, pilih salah satu antara **Standard Edition** atau **Enterprise Edition**. Untuk informasi selengkapnya tentang edisi, lihat [Directory Service AWS untuk Microsoft Active Directory](what_is.md#microsoftad).
+ Untuk **Nama DNS direktori**, ketik **corp.example.com**.
+ Untuk **Nama NetBIOS direktori**, ketik **corp**.
+ Untuk **Deskripsi direktori**, ketik **AWS DS Managed**.
+ Untuk **Kata sandi admin**, ketik kata sandi yang ingin Anda gunakan untuk akun ini dan ketik lagi kata sandi di **Konfirmasi kata sandi**. Akun **Admin** ini secara otomatis dibuat selama proses pembuatan direktori. Kata sandi tidak dapat menyertakan kata *admin*. Kata sandi administrator direktori peka akan huruf besar kecil dan harus terdiri dari 8 sampai 64 karakter, inklusif. Kata sandi juga harus berisi minimal satu karakter dalam tiga dari empat kategori berikut:
+ Huruf kecil (a-z)
+ Huruf besar (A-Z)
+ Angka (0-9)
+ Karakter non-alfanumerik (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
1. Pada halaman **Pilih VPC dan subnet**, berikan informasi berikut ini, lalu pilih **Selanjutnya**.
+ Untuk **VPC**, pilih opsi yang dimulai dengan **AWS-DS- VPC01** dan diakhiri dengan **(**10.0.0.0/16).
+ Untuk **Subnet**, pilih subnet publik **10.0.0.0/24** dan **10.0.1.0/24**.
1. Pada halaman **Tinjau & buat**, tinjau informasi direktori dan buat perubahan yang diperlukan. Jika informasi sudah benar, pilih **Buat direktori**. Membuat direktori membutuhkan waktu 20 sampai 40 menit. Setelah dibuat, nilai **Status** berubah ke **Aktif**.
**Metode 2: Untuk membuat Microsoft AD yang AWS Dikelola (PowerShell) (Opsional)**
1. Buka PowerShell.
1. Ketik perintah berikut ini. Pastikan untuk menggunakan nilai yang disediakan pada Langkah 4 dari prosedur sebelumnya. Konsol Manajemen AWS
```
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
```
**Metode 3: Untuk membuat Microsoft AD yang AWS Dikelola (AWS CLI) (Opsional)**
1. Buka AWS CLI.
1. Ketik perintah berikut ini. Pastikan untuk menggunakan nilai yang disediakan pada Langkah 4 dari prosedur sebelumnya. Konsol Manajemen AWS
```
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
```
# Langkah 3: Menerapkan instans Amazon EC2 untuk mengelola Direktori Aktif Microsoft AD yang AWS Dikelola
Untuk lab ini, kami menggunakan instans Amazon EC2 yang memiliki alamat IP publik agar mudah mengakses instans manajemen dari mana saja. Dalam pengaturan produksi, Anda dapat menggunakan instance yang ada di VPC pribadi yang hanya dapat diakses melalui VPN Direct Connect atau tautan. Tidak ada persyaratan instans memiliki alamat IP publik.
Di bagian ini, Anda menelusuri berbagai tugas pasca deployment yang diperlukan untuk komputer klien untuk terhubung ke domain Anda menggunakan Windows Server baru di instans EC2 baru Anda. Anda menggunakan Windows Server pada langkah berikutnya untuk memverifikasi bahwa laboratorium beroperasi.
## Opsional: Buat opsi DHCP diatur dalam AWS-DS- VPC01 untuk direktori Anda
Dalam prosedur opsional ini, Anda menyiapkan cakupan opsi DHCP sehingga instans EC2 di VPC Anda secara otomatis menggunakan AD AWS Microsoft Terkelola untuk resolusi DNS. Untuk informasi selengkapnya, lihat [Set pilihan DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).
**Untuk membuat set opsi DHCP untuk direktori Anda**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Set Opsi DHCP**, lalu pilih **Buat set opsi DHCP**.
1. Pada halaman **Buat set opsi DHCP**, berikan nilai berikut untuk direktori Anda:
+ Untuk **Nama**, ketik **AWS DS DHCP**.
+ Untuk **Nama domain**, ketik **corp.example.com**.
+ Untuk **Server nama domain**, ketik alamat IP dari server DNS direktori yang disediakan AWS .
**catatan**
Untuk menemukan alamat ini, buka halaman Directory Service **Direktori**, lalu pilih ID direktori yang berlaku. Pada halaman **Detail**, identifikasi dan gunakan IPs yang ditampilkan di **alamat DNS**.
Atau, untuk menemukan alamat ini, buka halaman Directory Service **Direktori**, dan pilih ID direktori yang berlaku. Kemudian, pilih **Skala & bagikan**. Di bawah **pengontrol Domain**, identifikasi dan gunakan IPs yang ditampilkan di **alamat IP**.
+ Biarkan pengaturan kosong untuk **Server NTP**, **Server nama NetBIOS**, dan **Jenis simpul NetBIOS**.
1. Pilih **Buat set opsi DHCP**, lalu pilih **Tutup**. Set pilihan DHCP yang baru muncul dalam daftar pilihan DHCP Anda.
1. Catat ID set baru opsi DHCP (**dopt- *xxxxxxxx***). Anda menggunakannya pada akhir prosedur ini ketika Anda mengasosiasikan set pilihan yang baru dengan VPC Anda.
**catatan**
Penggabungan domain yang mulus bekerja tanpa harus mengkonfigurasi Set Pilihan DHCP.
1. Di panel navigasi, pilih **Your VPCs**.
1. Dalam daftar VPCs, pilih **AWS DS VPC**, pilih **Tindakan**, lalu pilih **Edit opsi DHCP set**.
1. Pada halaman **Edit set pilihan DHCP**, pilih set pilihan yang Anda catat di Langkah 5, dan kemudian pilih **Simpan**.
## Membuat peran untuk menggabungkan instans Windows ke domain Microsoft AD AWS Terkelola
Gunakan prosedur ini untuk mengonfigurasi peran yang menggabungkan instans Amazon EC2 Windows ke domain. Untuk informasi selengkapnya, lihat [Bergabung dengan instans Windows Amazon EC2 ke Direktori Aktif AWS Microsoft AD Terkelola](launching_instance.md).
**Untuk mengkonfigurasi EC2 untuk menggabungkan instans Windows ke domain Anda**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.
1. Di bawah **Pilih jenis entitas terpercaya**, pilih **AWS layanan**.
1. Segera di bawah **Pilih layanan yang akan menggunakan peran ini**, pilih **EC2**, lalu pilih **Berikutnya: Izin**.
1. Di halaman **Kebijakan izin terlampir**, lakukan hal berikut:
+ Pilih kotak di sebelah kebijakan SSMManaged InstanceCore terkelola **Amazon**. Kebijakan ini menyediakan izin minimum yang diperlukan untuk menggunakan layanan Systems Manager.
+ Pilih kotak di samping kebijakan SSMDirectory ServiceAccess terkelola **Amazon**. Kebijakan ini menyediakan izin untuk menggabungkan instans ke Direktori Aktif yang dikelola oleh Directory Service.
Untuk informasi tentang kebijakan terkelola ini dan kebijakan lain yang dapat dilampirkan ke profil instans IAM untuk Systems Manager, lihat [Buat profil instans IAM untuk Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) dalam *Panduan Pengguna AWS Systems Manager *. Untuk informasi selengkapnya tentang kebijakan terkelola , lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
1. Pilih **Berikutnya: Tag**.
1. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih** Selanjutnya: Tinjau**.
1. Untuk **nama Peran**, masukkan nama untuk peran yang menjelaskan bahwa itu digunakan untuk menggabungkan instance ke domain, seperti **EC2DomainJoin**.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.
1. Pilih **Buat peran**. Sistem mengembalikan Anda ke halaman **Peran**.
## Buat instans Amazon EC2 dan secara otomatis bergabung dengan direktori
Dalam prosedur ini Anda mengatur sistem Windows Server dalam instans EC2 yang dapat digunakan nanti untuk mengelola pengguna, grup, dan kebijakan di Active Directory.
**Untuk membuat instans EC2 dan menggabungkan direktori secara otomatis**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Pilih **Luncurkan Instans**.
1. Pada halaman **Langkah 1**, di sebelah **Microsoft Windows Server 2019 Base - ami- *xxxxxxxxxxxxxxxxx*** pilih **Pilih**.
1. Pada halaman **Langkah 2**, pilih **t3.micro** (ingat, Anda dapat memilih jenis instans yang lebih besar), kemudian pilih **Selanjutnya: Konfigurasi Detail Instans**.
1. Pada halaman **Langkah 3**, lakukan hal berikut:
+ Untuk **Jaringan**, pilih VPC yang diakhiri dengan **AWS-DS- VPC01** (misalnya, **vpc- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS-**). VPC01
+ Untuk **Subnet** pilih **Public subnet 1**, yang harus dikonfigurasi sebelumnya untuk Availability Zone pilihan Anda (misalnya, **subnet- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS- -Subnet01 \$1**). VPC01 *us-west-2a*
+ Untuk **Tetapkan Otomatis IP Publik**, pilih **Aktifkan** (jika pengaturan subnet tidak diatur untuk mengaktifkan secara default).
+ Untuk **direktori Gabung Domain**, pilih **corp.example.com (**d-). *xxxxxxxxxx*
+ Untuk **peran IAM** pilih nama yang Anda berikan peran instans Anda[Membuat peran untuk menggabungkan instans Windows ke domain Microsoft AD AWS Terkelola](#configureec2), seperti **EC2DomainJoin**.
+ Biarkan pengaturan lainnya pada default.
+ Pilih **Berikutnya: Tambahkan Penyimpanan**.
1. Pada halaman **Langkah 4**, biarkan pengaturan default, kemudian pilih **Berikutnya: Tambahkan Tanda**.
1. Pada halaman **Langkah 5**, pilih **Tambahkan Tanda**. Di bawah **Kunci** ketik **corp.example.com-mgmt** kemudian pilih **Berikutnya: Konfigurasi Grup Keamanan**.
1. Pada halaman **Langkah 6**, **pilih Pilih grup keamanan yang ada**, pilih **AWS DS Test Lab Security Group** (yang sebelumnya Anda atur dalam [tutorial Dasar](microsoftadbasestep1.md#createsecuritygroup)), lalu pilih **Tinjau dan Luncurkan** untuk meninjau instance Anda.
1. Pada halaman **Langkah 7**, tinjau halaman, dan kemudian pilih **Luncurkan**.
1. Pada kotak dialog **Pilih key pair yang sudah ada atau buat key pair baru**, lakukan hal berikut:
+ Pilih **Pilih key pair yang sudah ada**.
+ Di bawah **Pilih key pair**, pilih **AWS-DS-KP**.
+ Pilih kotak centang **Saya mengakui…**.
+ Pilih **Luncurkan Instans**.
1. Pilih **Lihat Instans** untuk kembali ke konsol Amazon EC2 dan melihat status deployment.
## Menginstal alat Direktori Aktif pada instans EC2 Anda
Anda dapat memilih dari dua metode untuk menginstal Active Directory Domain Management Tools pada instans EC2 Anda. Anda dapat menggunakan UI Server Manager (direkomendasikan untuk tutorial ini) atauPowerShell.
**Untuk menginstal alat Direktori Aktif pada instans EC2 Anda (Pengelola Server)**
1. Di konsol Amazon EC2, pilih **Instans**, pilih Instans yang baru saja Anda buat, kemudian pilih **Hubungkan**.
1. Di kotak dialog **Connect To Your Instance**, pilih **Dapatkan Kata Sandi** untuk mengambil kata sandi jika Anda belum melakukannya, lalu pilih **Unduh File Desktop Jarak Jauh**.
1. Di kotak dialog **Keamanan Windows**, ketik kredensial administrator lokal Anda untuk Windows Server komputer untuk masuk (misalnya, **administrator**).
1. Dari menu **Mulai**, pilih **Pengelola Server**.
1. Di **Dasbor**, pilih **Tambah Peran dan Fitur**.
1. Di **Tambahkan Wizard Peran dan Fitur**, pilih **Selanjutnya**.
1. Pada halaman **Pilih jenis instalasi**, pilih **Instalasi berbasis peran atau berbasis fitur**, lalu pilih **Selanjutnya**.
1. Pada halaman **Pilih server tujuan**, pastikan bahwa server lokal dipilih, dan kemudian pilih **Selanjutnya**.
1. Pada halaman **Pilih peran server**, pilih **Selanjutnya**.
1. Pada halaman **Pilih fitur**, lakukan hal berikut:
+ Pilih kotak centang **Pengelolaan Kebijakan Grup**.
+ Perluas **Alat Administrasi Server Jarak Jauh**, dan kemudian perluas **Alat Administrasi Peran**.
+ Pilih kotak centang **Alat AD DS dan AD LDS**.
+ Pilih kotak centang **Alat Server DNS**.
+ Pilih **Berikutnya**.
1. Pada halaman **Konfirmasi pilihan instalasi**, tinjau informasi, lalu pilih **Instal**. Setelah penginstalan fitur selesai, alat baru berikut atau snap-in akan tersedia di folder Alat Administratif Windows di menu Mulai.
+ Pusat Administrasi Direktori Aktif
+ Domain dan Kepercayaan Direktori Aktif.
+ Modul Direktori Aktif untuk PowerShell
+ Situs dan Layanan Direktori Aktif.
+ Pengguna dan Komputer Direktori Aktif
+ Edit ADSI
+ DNS
+ Pengelolaan Kebijakan Grup
**Untuk menginstal alat Active Directory pada instans EC2 Anda (PowerShell) (Opsional)**
1. Mulai PowerShell.
1. Ketik perintah berikut ini.
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```
# Langkah 4: Verifikasi bahwa laboratorium pengujian dasar beroperasi
Gunakan prosedur berikut untuk memverifikasi bahwa laboratorium pengujian telah diatur dengan sukses sebelum menambahkan modul panduan laboratorium pengujian tambahan. Prosedur ini memverifikasi bahwa Windows Server Anda dikonfigurasi dengan tepat, dapat terhubung ke domain corp.example.com, dan digunakan untuk mengelola hutan AD Microsoft Terkelola Anda. AWS
**Untuk memverifikasi bahwa laboratorium pengujian dasar beroperasi**
1. Keluar dari instans EC2 di mana Anda masuk sebagai administrator lokal.
1. Kembali ke konsol Amazon EC2, pilih **Instans** pada panel navigasi. Kemudian pilih instans yang Anda buat. Pilih **Hubungkan**.
1. Di kotak dialog **Hubungkan ke Instans Anda**, pilih **Unduh File Remote Desktop**.
1. Di kotak dialog **Keamanan Windows**, ketik kredensial administrator Anda untuk domain CORP untuk masuk (misalnya, **corp\$1admin**).
1. Setelah Anda masuk, di menu **Mulai**, di bawah **Alat Administratif Windows**, pilih **Pengguna dan Komputer Direktori Aktif**.
1. Anda akan melihat **corp.example.com** ditampilkan dengan semua default OUs dan akun yang terkait dengan domain baru. Di bawah **Pengontrol Domain**, perhatikan nama pengontrol domain yang dibuat secara otomatis saat Anda membuat AD AWS Microsoft Terkelola kembali di Langkah 2 tutorial ini.
Selamat\$1 Lingkungan lab pengujian dasar Microsoft AD AWS Terkelola Anda kini telah dikonfigurasi. Anda siap untuk mulai menambahkan laboratorium pengujian berikutnya dalam seri.
Tutorial berikutnya: [Tutorial: Membuat kepercayaan dari Microsoft AD yang AWS Dikelola ke instalasi Direktori Aktif yang dikelola sendiri di Amazon EC2](ms_ad_tutorial_test_lab_trust.md)
# Tutorial: Membuat kepercayaan dari Microsoft AD yang AWS Dikelola ke instalasi Direktori Aktif yang dikelola sendiri di Amazon EC2
Dalam tutorial ini, Anda belajar cara membuat kepercayaan antara AWS Directory Service untuk Microsoft Active Directory forest yang Anda buat di [tutorial Base](ms_ad_tutorial_test_lab_base.md). Anda juga belajar untuk membuat forest Direktori Aktif asli yang baru pada Windows Server di Amazon EC2. Seperti yang ditunjukkan pada ilustrasi berikut, lab yang Anda buat dari tutorial ini adalah blok bangunan kedua yang diperlukan saat menyiapkan lab pengujian Microsoft AD AWS Terkelola lengkap. Anda dapat menggunakan lab uji untuk menguji solusi berbasis cloud murni atau cloud hybrid. AWS
Anda hanya perlu membuat tutorial ini sekali. Setelah itu Anda dapat menambahkan tutorial opsional bila diperlukan untuk pengalaman lebih.
![\[Langkah-langkah untuk membuat kepercayaan dari Microsoft Active Directory ke Active Directory yang dikelola sendiri: Siapkan lingkungan, buat Microsoft Active Directory, Menerapkan instans Amazon EC2, dan menguji lab.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)
**[Langkah 1: Atur lingkungan Anda untuk kepercayaan](microsoftadtruststep1.md)**
Sebelum Anda dapat membuat kepercayaan antara forest Direktori Aktif baru dan forest Microsoft AD yang Dikelola AWS yang Anda buat di [Tutorial dasar](ms_ad_tutorial_test_lab_base.md), Anda perlu mempersiapkan lingkungan Amazon EC2 Anda. Untuk melakukannya, pertama Anda membuat server Windows Server 2019, promosikan server tersebut ke pengendali domain, dan kemudian konfigurasi VPC Anda sesuai dengannya.
**[Langkah 2: Buat trust](microsoftadtruststep2.md)**
Pada langkah ini, Anda membuat hubungan kepercayaan hutan dua arah antara hutan Direktori Aktif yang baru dibuat yang dihosting di Amazon EC2 dan hutan Microsoft AD AWS Terkelola di. AWS
**[Langkah 3: Verifikasi kepercayaan](microsoftadtruststep3.md)**
Terakhir, sebagai administrator, Anda menggunakan Directory Service konsol untuk memverifikasi bahwa trust baru beroperasi.
# Langkah 1: Atur lingkungan Anda untuk kepercayaan
Di bagian ini, Anda mengatur lingkungan Amazon EC2, menyebarkan hutan baru, dan menyiapkan VPC Anda untuk dipercaya. AWS
![\[Lingkungan Amazon EC2 dengan Amazon VPC, subnet, dan Internet Gateway untuk menyebarkan hutan baru dan membangun hubungan kepercayaan.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
## Membuat instans EC2 Windows Server 2019
Gunakan prosedur berikut untuk membuat server anggota Windows Server 2019 di Amazon EC2.
**Untuk membuat instans EC2 Windows Server 2019**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di konsol Amazon EC2, pilih **Luncurkan Instans**.
1. Pada halaman **Langkah 1**, cari **Microsoft Windows Server 2019 Base - ami- *xxxxxxxxxxxxxxxxx*** dalam daftar. Lalu pilih **Pilih**.
1. Pada halaman **Langkah 2**, pilih **t2.large**, lalu pilih **Berikutnya: Konfigurasi Detail Instans**.
1. Pada halaman **Langkah 3**, lakukan hal berikut:
+ Untuk **Jaringan**, pilih **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem - VPC01** (yang sebelumnya Anda atur di [tutorial Base](microsoftadbasestep1.md#createvpc)).
+ Untuk **Subnet**, pilih **subnet- *xxxxxxxxxxxxxxxxx* \$1 AWS- - VPC01 -Subnet01 \$1 OnPrem - -**. AWS OnPrem VPC01
+ Untuk daftar **Tetapkan Otomatis IP Publik**, pilih **Aktifkan** (jika pengaturan subnet tidak diatur ke **Aktifkan** secara default).
+ Biarkan pengaturan lainnya pada default.
+ Pilih **Berikutnya: Tambahkan Penyimpanan**.
1. Pada halaman **Langkah 4**, biarkan pengaturan default, kemudian pilih **Berikutnya: Tambahkan Tanda**.
1. Pada halaman **Langkah 5**, pilih **Tambahkan Tanda**. Di bawah **Kunci** ketik **example.local-DC01**, kemudian pilih **Berikutnya: Konfigurasi Grup Keamanan**.
1. Pada halaman **Langkah 6**, **pilih Pilih grup keamanan yang ada**, pilih **AWS On-Prem Test Lab Security Group** (yang sebelumnya Anda atur dalam [tutorial Dasar](microsoftadbasestep1.md#createsecuritygroup)), lalu pilih **Tinjau dan Luncurkan** untuk meninjau instance Anda.
1. Pada halaman **Langkah 7**, tinjau halaman, dan kemudian pilih **Luncurkan**.
1. Pada kotak dialog **Pilih key pair yang sudah ada atau buat key pair baru**, lakukan hal berikut:
+ Pilih **Pilih key pair yang sudah ada**.
+ Di bawah **Pilih key pair**, pilih **AWS-DS-KP** (yang sebelumnya Anda atur di [Tutorial dasar](microsoftadbasestep1.md#createkeypair2)).
+ Pilih kotak centang **Saya mengakui…**.
+ Pilih **Luncurkan Instans**.
1. Pilih **Lihat Instans** untuk kembali ke konsol Amazon EC2 dan melihat status deployment.
## Promosikan server Anda ke pengendali domain
Sebelum Anda dapat membuat kepercayaan, Anda harus membangun dan men-deploy pengendali domain pertama untuk forest baru. Selama proses ini Anda mengkonfigurasi forest Direktori Aktif baru, menginstal DNS, dan mengatur server ini untuk menggunakan server DNS lokal untuk resolusi nama. Anda harus me-reboot server pada akhir prosedur ini.
**catatan**
Jika Anda ingin membuat pengontrol domain dalam replikasi AWS tersebut dengan jaringan lokal, pertama-tama Anda akan menggabungkan instans EC2 secara manual ke domain lokal Anda. Setelah itu Anda dapat mempromosikan server ke pengendali domain.
**Untuk mempromosikan server Anda ke pengendali domain**
1. Di konsol Amazon EC2, pilih **Instans**, pilih Instans yang baru saja Anda buat, kemudian pilih **Hubungkan**.
1. Di kotak dialog **Hubungkan ke Instans Anda**, pilih **Unduh File Remote Desktop**.
1. Di kotak dialog **Keamanan Windows**, ketik kredensial administrator lokal Anda untuk komputer Windows Server untuk masuk (misalnya, **administrator**). Jika Anda belum memiliki kata sandi administrator lokal, kembali ke konsol Amazon EC2, klik kanan pada instans, dan pilih **Dapatkan Kata Sandi Windows**. Arahkan ke file `AWS DS KP.pem` Anda atau kunci `.pem` pribadi Anda, dan kemudian pilih **Dekripsi Kata sandi**.
1. Dari menu **Mulai**, pilih **Pengelola Server**.
1. Di **Dasbor**, pilih **Tambah Peran dan Fitur**.
1. Di **Tambahkan Wizard Peran dan Fitur**, pilih **Selanjutnya**.
1. Pada halaman **Pilih jenis instalasi**, pilih **Instalasi berbasis peran atau berbasis fitur**, lalu pilih **Selanjutnya**.
1. Pada halaman **Pilih server tujuan**, pastikan bahwa server lokal dipilih, dan kemudian pilih **Selanjutnya**.
1. Pada halaman **Pilih peran server**, pilih **Layanan Domain Direktori Aktif**. Di kotak dialog **Tambahkan Wizard Peran dan Fitur**, verifikasi bahwa kotak centang **Sertakan alat manajemen (jika ada)** dipilih. Pilih **Tambahkan Fitur**, lalu pilih **Selanjutnya**.
1. Pada halaman **Pilih fitur**, pilih **Selanjutnya**.
1. Pada halaman **Layanan Domain Direktori Aktif**, pilih **Selanjutnya**.
1. Pada halaman **Konfirmasi pilihan instalasi**, pilih **Instal**.
1. Setelah binari Direktori Aktif diinstal, pilih **Tutup**.
1. Ketika Pengelola Server terbuka, cari bendera di atas sebelah kata **Kelola**. Ketika bendera ini berubah kuning, server siap untuk dipromosikan.
1. Pilih bendera kuning, dan kemudian pilih **Mempromosikan server ini ke pengendali domain**.
1. Pada halaman **Konfigurasi Deployment**, pilih **Menambahkan forest baru**. Di **Nama domain root** ketik **example.local**, lalu pilih **Selanjutnya**.
1. Pada halaman **Opsi Pengendali Domain**, lakukan hal berikut:
+ Di **Tingkat fungsional forest** dan **Tingkat fungsional domain**, pilih **Windows Server 2016**.
+ Di bawah **Tentukan kemampuan pengontrol domain**, verifikasi bahwa **server DNS** dan **Katalog Global (GC) dipilih**.
+ Ketik dan kemudian konfirmasikan kata sandi Directory Services Restore Mode (DSRM). Lalu pilih **Selanjutnya**.
1. Pada halaman **Opsi DNS**, abaikan peringatan tentang delegasi dan pilih **Selanjutnya**.
1. Pada halaman **Opsi tambahan**, pastikan **EXAMPLE** terdaftar sebagai nama NetBios domain.
1. Pada halaman **Jalur**, biarkan default, dan kemudian pilih **Selanjutnya**.
1. Pada halaman **Tinjau opsi**, pilih **Selanjutnya**. Server sekarang memeriksa untuk memastikan semua prasyarat untuk pengendali domain terpenuhi. Anda mungkin melihat beberapa peringatan ditampilkan, namun Anda dapat mengabaikannya dengan aman.
1. Pilih **Instal**. Setelah instalasi selesai, server akan reboot dan kemudian menjadi pengendali domain fungsional.
## Mengkonfigurasi VPC Anda
Tiga prosedur berikut memandu Anda melalui langkah-langkah untuk mengkonfigurasi VPC Anda untuk konektivitas dengan AWS.
**Untuk mengkonfigurasi aturan keluar VPC Anda**
1. [Di [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/), catat ID direktori Microsoft AD AWS Terkelola untuk corp.example.com yang sebelumnya Anda buat di tutorial Base.](microsoftadbasestep2.md)
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Grup Keamanan**.
1. Cari ID direktori Microsoft AD AWS Terkelola Anda. Dalam hasil pencarian, pilih item dengan deskripsi yang **AWS dibuat grup keamanan untuk pengontrol *xxxxxx* direktori d**.
**catatan**
Grup keamanan ini secara otomatis dibuat ketika Anda awalnya membuat direktori Anda.
1. Pilih tab **Aturan Keluar** di bawah grup keamanan tersebut. Pilih **Edit**, pilih **Tambahkan aturan lain**, dan kemudian tambahkan nilai-nilai berikut:
+ Untuk **Jenis**, pilih **Semua lalu lintas**.
+ Untuk **Tujuan**, ketik **0.0.0.0/0**.
+ Biarkan pengaturan lainnya pada default.
+ Pilih **Simpan**.
**Untuk memverifikasi praautentikasi kerberos diaktifkan**
1. Pada pengendali domain **example.local**, buka **Pengelola Server**.
1. Pada menu **Alat**, pilih **Pengguna dan komputer Direktori Aktif**.
1. Arahkan ke direktori **Pengguna**, klik kanan pada pengguna mana pun dan pilih **Properti**, dan kemudian pilih tab **Akun**. Di daftar **Opsi akun**, gulir ke bawah dan pastikan bahwa **Tidak memerlukan praautentikasi Kerberos** **tidak** dicentang.
1. Lakukan langkah yang sama untuk domain **corp.example.com**dari instans **corp.example.com-mgmt**.
**Untuk mengkonfigurasi DNS penerus bersyarat**
**catatan**
Penerus bersyarat adalah server DNS pada jaringan yang digunakan untuk meneruskan kueri DNS sesuai dengan nama domain DNS dalam kueri tersebut. Sebagai contoh, server DNS dapat dikonfigurasi untuk meneruskan semua kueri yang diterima untuk nama yang berakhir dengan widgets.example.com ke alamat IP server DNS tertentu atau ke alamat IP dari beberapa server DNS.
1. Buka [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Di panel navigasi, pilih **Direktori**.
1. Pilih **ID direktori** iklan Microsoft AWS Terkelola Anda.
1. Perhatikan nama domain yang memenuhi syarat (FQDN), **corp.example.com**, dan alamat DNS dari direktori Anda.
1. Sekarang, kembali ke pengendali domain **example.local**, dan kemudian buka **Pengelola Server**.
1. Pada menu **Alat**, pilih **DNS**.
1. Pada pohon konsol, perluas server DNS dari domain di mana Anda mengatur kepercayaan, dan arahkan ke **Penerus Bersyarat**.
1. Klik kanan **Penerus Bersyarat**, lalu pilih **Penerus Bersyarat Baru**.
1. Dalam domain DNS, ketik **corp.example.com**.
1. Di bawah **alamat IP server utama**, pilih **, ketik alamat DNS pertama dari direktori Microsoft AD AWS Terkelola Anda (yang Anda catat dalam prosedur sebelumnya), lalu tekan **Enter**. Lakukan hal yang sama untuk alamat DNS kedua. Setelah memasukkan alamat DNS, Anda mungkin mendapatkan kesalahan “timeout” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.
1. Pilih kotak centang **Menyimpan penerus bersyarat ini di Direktori Aktif dan mereplikasi sebagai berikut**. Di menu drop-down, pilih **Semua server DNS di Forest ini**, lalu pilih **OK**.
# Langkah 2: Buat trust
Di bagian ini, Anda membuat dua kepercayaan forest yang terpisah. Satu kepercayaan dibuat dari domain Direktori Aktif pada instans EC2 Anda dan yang lainnya dari Microsoft AD yang AWS Dikelola. AWS
![\[Kepercayaan dua arah antara corp.example.com dan example.local\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)
**Untuk membuat kepercayaan dari domain EC2 Anda ke Microsoft AD yang AWS Dikelola**
1. Masuk ke **example.local**.
1. Buka **Pengelola Server** dan di pohon konsol pilih **DNS**. Catat IPv4 alamat yang tercantum untuk server. Anda akan membutuhkan ini dalam prosedur berikutnya ketika Anda membuat penerus bersyarat dari **corp.example.com** ke direktori **example.local**.
1. Pada menu **Alat**, pilih **Domain Direktori Aktif dan Kepercayaan**.
1. Pada pohon konsol tersebut, klik kanan **example.local** lalu pilih **Properti**.
1. Pada tab **Kepercayaan**, pilih **Kepercayaan Baru**, lalu pilih **Selanjutnya**.
1. Pada halaman **Nama Kepercayaan**, ketik **corp.example.com**, lalu pilih **Selanjutnya**.
1. Pada halaman **Jenis kepercayaan**, pilih **Kepercayaan forest**, lalu pilih **Selanjutnya**.
**catatan**
AWS Microsoft AD yang dikelola juga mendukung kepercayaan eksternal. Namun, untuk tujuan tutorial ini, Anda akan membuat kepercayaan forest dua arah.
1. Pada halaman **Arah kepercayaan**, pilih **Dua arah**, lalu pilih **Selanjutnya**.
**catatan**
Jika nanti Anda memutuskan untuk mencoba ini dengan kepercayaan satu arah, pastikan arah kepercayaan diatur dengan benar (Keluar pada domain terpercaya, Masuk pada domain terpercaya). Untuk informasi umum, lihat [Memahami arah kepercayaan](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) pada situs web Microsoft.
1. Pada halaman **Sisi Kepercayaan**, pilih **Hanya domain ini**, lalu pilih **Selanjutnya**.
1. Pada halaman **Autentikasi Kepercayaan Keluar**, pilih **Autentikasi seluruh forest**, lalu pilih **Selanjutnya**.
**catatan**
Meskipun **Autentikasi selektif** dalam pilihan, untuk kesederhanaan dari tutorial ini kami sarankan Anda tidak mengaktifkannya di sini. Saat dikonfigurasi itu membatasi akses melalui kepercayaan eksternal atau forest hanya untuk pengguna di domain terpercaya atau forest yang telah secara eksplisit diberikan izin autentikasi ke objek komputer (komputer sumber daya) yang berada di domain atau forest terpercaya. Untuk informasi selengkapnya, lihat [Mengkonfigurasi pengaturan autentikasi selektif](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
1. Pada halaman **Kata sandi Kepercayaan**, ketik kata sandi kepercayaan dua kali, dan kemudian pilih **Selanjutnya**. Anda akan menggunakan kata sandi yang sama ini pada prosedur berikutnya.
1. Pada halaman **Pilihan Kepercayaan Selesai**, tinjau hasilnya, dan kemudian pilih **Selanjutnya**.
1. Pada halaman **Pembuatan Kepercayaan Selesai**, tinjau hasilnya, dan kemudian pilih **Selanjutnya**.
1. Pada halaman **Konfirmasi Kepercayaan Keluar**, pilih **Tidak, jangan konfirmasikan kepercayaan keluar**. Lalu pilih **Selanjutnya**
1. Pada halaman **Konfirmasi Kepercayaan Masuk**, pilih **Tidak, jangan konfirmasikan kepercayaan masuk**. Lalu pilih **Selanjutnya**
1. Pada halaman **Menyelesaikan Wizard Kepercayaan Baru**, pilih **Selesai**.
**catatan**
Hubungan kepercayaan adalah fitur global dari Microsoft AD yang AWS Dikelola. Jika Anda menggunakan [Konfigurasikan replikasi Multi-Wilayah untuk AWS Microsoft AD yang Dikelola](ms_ad_configure_multi_region_replication.md), prosedur berikut harus dilakukan di [Region primer](multi-region-global-primary-additional.md#multi-region-primary). Perubahan akan diterapkan di semua Region yang direplikasi secara otomatis. Untuk informasi selengkapnya, lihat [Fitur Global vs Regional](multi-region-global-region-features.md).
**Untuk membuat kepercayaan dari Microsoft AD yang AWS Dikelola ke domain EC2 Anda**
1. Buka [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Pilih direktori **corp.example.com**.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi multi-Region**, pilih Region primer, dan kemudian pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Hubungan kepercayaan**, pilih **Tindakan**, dan kemudian pilih **Tambahkan hubungan kepercayaan**.
1. Di kotak dialog **Tambahkan hubungan kepercayaan**, lakukan hal berikut:
+ Di bawah **Jenis kepercayaan** pilih **Kepercayaan forest**.
**catatan**
Pastikan **jenis Trust** yang Anda pilih di sini cocok dengan jenis kepercayaan yang sama yang dikonfigurasi dalam prosedur sebelumnya (Untuk membuat kepercayaan dari domain EC2 Anda ke Microsoft AD yang AWS Dikelola).
+ Untuk **Nama domain jarak jauh yang ada atau baru**, ketik **example.local**.
+ Untuk **Kata sandi kepercayaan**, ketik kata sandi yang sama yang Anda berikan dalam prosedur sebelumnya.
+ Di bawah **Arah kepercayaan**, pilih **Dua Arah**.
**catatan**
Jika nanti Anda memutuskan untuk mencoba ini dengan kepercayaan satu arah, pastikan arah kepercayaan diatur dengan benar (Keluar pada domain terpercaya, Masuk pada domain terpercaya). Untuk informasi umum, lihat [Memahami arah kepercayaan](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) pada situs web Microsoft.
Meskipun **Autentikasi selektif** dalam pilihan, untuk kesederhanaan dari tutorial ini kami sarankan Anda tidak mengaktifkannya di sini. Saat dikonfigurasi itu membatasi akses melalui kepercayaan eksternal atau forest hanya untuk pengguna di domain terpercaya atau forest yang telah secara eksplisit diberikan izin autentikasi ke objek komputer (komputer sumber daya) yang berada di domain atau forest terpercaya. Untuk informasi selengkapnya, lihat [Mengkonfigurasi pengaturan autentikasi selektif](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
+ Untuk **Penerus bersyarat**, ketik alamat IP server DNS Anda di forest **example.local** (yang Anda catat dalam prosedur sebelumnya).
**catatan**
Penerus bersyarat adalah server DNS pada jaringan yang digunakan untuk meneruskan kueri DNS sesuai dengan nama domain DNS dalam kueri tersebut. Sebagai contoh, server DNS dapat dikonfigurasi untuk meneruskan semua kueri yang diterima untuk nama yang berakhir dengan widgets.example.com ke alamat IP server DNS tertentu atau ke alamat IP dari beberapa server DNS.
1. Pilih **Tambahkan**.
# Langkah 3: Verifikasi kepercayaan
Di bagian ini, Anda menguji apakah kepercayaan berhasil diatur antara AWS dan Direktori Aktif di Amazon EC2.
**Untuk memverifikasi kepercayaan**
1. Buka [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Pilih direktori **corp.example.com**.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi multi-Region**, pilih Region primer, dan kemudian pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Hubungan kepercayaan**, pilih hubungan kepercayaan yang baru saja Anda buat.
1. Pilih **Tindakan**, lalu pilih **Verifikasi hubungan kepercayaan**.
Setelah verifikasi selesai, Anda akan melihat **Diverifikasi**ditampilkan di bawah kolom **Status**.
Selamat telah menyelesaikan tutorial ini\$1 Anda sekarang memiliki lingkungan multiforest Direktori Aktif berfungsi penuh dari mana Anda dapat mulai menguji berbagai skenario. Tutorial laboratorium pengujian tambahan direncanakan pada tahun 2018, jadi periksa kembali sesekali untuk melihat apa yang baru.