Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# AWS Tutorial gestiti per laboratori di test Microsoft AD
<a name="ms_ad_tutorial_test_lab"></a>

Questa sezione fornisce una serie di tutorial guidati per aiutarti a creare un ambiente di test lab in AWS cui sperimentare con Managed AWS Microsoft AD.

**Topics**
+ [Tutorial: configurazione del laboratorio di test Microsoft AD AWS gestito di base in AWS](ms_ad_tutorial_test_lab_base.md)
+ [Tutorial: creazione di un trust da AWS Managed Microsoft AD a un'installazione di Active Directory autogestita su Amazon EC2](ms_ad_tutorial_test_lab_trust.md)

# Tutorial: configurazione del laboratorio di test Microsoft AD AWS gestito di base in AWS
<a name="ms_ad_tutorial_test_lab_base"></a>

Questo tutorial ti insegna come configurare il tuo AWS ambiente per prepararti a una nuova installazione di AWS Managed Microsoft AD che utilizza una nuova istanza Amazon EC2 con Windows Server 2019. Ti insegna quindi a utilizzare gli strumenti di amministrazione tipici di Active Directory per gestire l'ambiente Microsoft AD AWS gestito dalla tua istanza EC2 Windows. Al termine del tutorial, avrai impostato i prerequisiti di rete e avrai configurato una nuova foresta Microsoft AD AWS gestita. 

Come illustrato nella figura seguente, il lab creato con questo tutorial è il componente fondamentale per l'apprendimento pratico di Managed AWS Microsoft AD. Successivamente, puoi aggiungere tutorial opzionali per ulteriore esperienza pratica. Questa serie di tutorial è ideale per tutti coloro che hanno iniziato da poco a utilizzare Microsoft AD gestito da AWS e che desiderano un laboratorio di sviluppo per scopi di valutazione. questo tutorial dura circa un'ora.

![\[Diagramma che mostra i passaggi del tutorial: 1 configurazione dell'ambiente, 2 creazione di AWS Managed Microsoft AD, 3 implementazione di Amazon EC2 e 4 test del laboratorio.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)


**[Fase 1: Configurare AWS l'ambiente per AWS Managed Microsoft AD Active Directory](microsoftadbasestep1.md)**  
Dopo aver completato le attività preliminari, crei e configuri un Amazon VPC nella tua istanza EC2.

**[Passaggio 2: creare la directory Microsoft AD Active Directory AWS gestita](microsoftadbasestep2.md)**  
In questo passaggio, configuri AWS Managed Microsoft AD AWS per la prima volta.

**[Fase 3: Implementa un'istanza Amazon EC2 per gestire la tua AWS Managed Microsoft AD Active Directory](microsoftadbasestep3.md)**  
Di seguito, ti guiderà attraverso le varie attività successive alla distribuzione necessarie per i computer dei client per connetterti al tuo nuovo dominio e configurare un nuovo sistema di Windows Server in EC2.

**[Fase 4: verifica che il laboratorio di sviluppo di base sia operativo](microsoftadbasestep4.md)**  
Infine, in qualità di amministratore, è necessario verificare se è possibile accedere e collegarsi a Microsoft AD gestito da AWS dal tuo sistema di Windows Server in EC2. Una volta che hai testato la funzionalità del tuo lab, puoi continuare ad aggiungere altri moduli di guide lab di sviluppo.

# Prerequisiti
<a name="microsoftadbaseprereq"></a>

Se prevedi di usare solo i passaggi dell'interfaccia utente descritti in questo tutorial per creare il tuo lab di sviluppo, è possibile ignorare questa sezione relativa ai prerequisiti e passare alla Fase 1. Tuttavia, se prevedi di utilizzare AWS CLI comandi o AWS Tools for Windows PowerShell moduli per creare il tuo ambiente di test lab, devi prima configurare quanto segue:
+ **Utente IAM con chiave di accesso e chiave di accesso segreta**: per utilizzare i AWS Tools for Windows PowerShell moduli AWS CLI or è necessario un utente IAM con una chiave di accesso. Se non si disponi di una chiave di accesso, consulta [Creazione, modifica e visualizzazione delle chiavi di accesso (Console di gestione AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey).
+ **AWS Command Line Interface (opzionale)**: [scaricalo e installalo AWS CLI su Windows](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). Una volta installato, apri il prompt dei comandi o la PowerShell finestra, quindi digita`aws configure`. Nota che è necessaria la chiave di accesso e la chiave segreta per completare la configurazione. Guarda i prerequisiti iniziali per le fasi relative alle modalità di esecuzione di questa operazione. Ti verrà richiesto:
  + AWS ID della chiave di accesso [Nessuno]: `AKIAIOSFODNN7EXAMPLE`
  + AWS chiave di accesso segreta [Nessuna]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
  + Il nome di default della regione [Nessuno]: `us-west-2`
  + Il formato di output di default: [Nessuno]: `json`
+ **AWS Tools for Windows PowerShell****(opzionale)**: scarica e installa la versione più recente AWS Tools for Windows PowerShell del modulo [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/), quindi esegui il comando seguente. Nota che è necessaria la tua chiave di accesso e la chiave segreta per completare la configurazione. Guarda i prerequisiti iniziali per le fasi relative alle modalità di esecuzione di questa operazione.

  `Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`

# Fase 1: Configurare AWS l'ambiente per AWS Managed Microsoft AD Active Directory
<a name="microsoftadbasestep1"></a>

Prima di poter creare AWS Managed Microsoft AD nel tuo laboratorio di AWS test, devi prima configurare la coppia di chiavi Amazon EC2 in modo che tutti i dati di accesso siano crittografati.

## Creazione di una coppia di chiavi
<a name="createkeypair2"></a>

Se già disponi una coppia di chiavi, questa fase può essere ignorata. Per ulteriori informazioni sulle coppie di chiavi Amazon EC2, consulta [Creare coppie di chiavi](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).

**Come creare una coppia di chiavi**

1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Nel pannello di navigazione, in **Network & Security** (Sicurezza e rete), scegli **Key Pairs** (Coppie di chiavi) e quindi scegliere **Crea Key Pair** (Crea coppia di chiavi).

1. Per **Nome coppia di chiavi**, digitare **AWS-DS-KP**. Per **Formato file coppia di chiavi**, selezionare **pem**, quindi scegliere **Crea**.

1. Il file della chiave privata viene automaticamente scaricato dal browser. Il nome di file è il nome che hai specificato quando hai creato la coppia di chiavi con estensione `.pem`. Salvare il file della chiave privata in un luogo sicuro.
**Importante**  
Questo è l'unico momento in cui salvare il file della chiave privata. È necessario fornire il nome della coppia di chiavi quando avvii un'istanza e la chiave privata corrispondente ogni volta che decripti la password per l'istanza.

## Crea, configura ed esegui il peering di due Amazon VPCs
<a name="createvpc"></a>

Come illustrato nella figura seguente, al termine di questo processo in più fasi, avrai creato e configurato due sottoreti pubbliche VPCs, due sottoreti pubbliche per VPC, un Internet Gateway per VPC e una connessione peering VPC tra. VPCs Abbiamo scelto di utilizzare reti pubbliche VPCs e sottoreti per motivi di semplicità e costi. Per i carichi di lavoro di produzione, ti consigliamo di utilizzare il formato privato. VPCs Per maggiori informazioni sul miglioramento della sicurezza VPC, consulta [Sicurezza in Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html).

![\[Ambiente Amazon VPC con sottoreti e Internet Gateway per creare un AWS Microsoft AD Active Directory gestito.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


Tutti gli PowerShell esempi utilizzano le informazioni VPC riportate di seguito e sono integrati in us-west-2. AWS CLI Puoi scegliere qualsiasi regione[ supportata](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) in cui creare l'ambiente. Per ulteriori informazioni, consulta [Cos'è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)

**Passaggio 1: creane due VPCs**

In questo passaggio, è necessario crearne due VPCs nello stesso account utilizzando i parametri specificati nella tabella seguente. AWS Microsoft AD gestito supporta l'uso di account separati con [Condividi il tuo AWS Managed Microsoft AD](ms_ad_directory_sharing.md) questa funzionalità. Il primo VPC verrà utilizzato per Managed AWS Microsoft AD. Il secondo VPC verrà utilizzato per le risorse che possono essere utilizzate successivamente in [Tutorial: creazione di un trust da AWS Managed Microsoft AD a un'installazione di Active Directory autogestita su Amazon EC2](ms_ad_tutorial_test_lab_trust.md).


****  

|  Informazioni gestite su Active Directory VPC  |  Informazioni sul VPC on-premise  | 
| --- | --- | 
|  Targhetta con nome: AWS-DS- VPC01 IPv4 Blocco CIDR: 10.0.0.0/16 IPv6 Blocco CIDR: nessun blocco CIDR IPv6  Tenancy: predefinito  |  Targhetta con nome: AWS- - OnPrem VPC01 IPv4 Blocco CIDR: 10.100.0.0/16 IPv6 Blocco CIDR: nessun blocco CIDR IPv6  Tenancy: predefinito  | 

Per istruzioni dettagliate, consulta [Creazione di un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC).

**Passaggio 2: Creare due sottoreti per VPC**

Dopo aver creato il, sarà VPCs necessario creare due sottoreti per VPC utilizzando i parametri specificati nella tabella seguente. Per questo laboratorio di test ogni sottorete sarà /24. Ciò consente di emettere fino a 256 indirizzi per sottorete. Ogni sottorete deve essere un in una AZ separata. Mettere ogni sottorete in una AZ separata è uno dei [Prerequisiti per la creazione di un AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).


****  

|  AWS Informazioni sulla sottorete -DS-: VPC01   |  AWS- OnPrem - VPC01 informazioni sulla sottorete  | 
| --- | --- | 
|  Targhetta con nome: AWS-DS- -Subnet01 VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona di disponibilità predefinita: us-west-2a IPv4 Blocco CIDR: 10.0.0.0/24  |  Tag con nome: - - -Subnet01 AWS OnPrem VPC01  VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona di disponibilità predefinita: us-west-2a IPv4 Blocco CIDR: 10.10.0.0/24  | 
|  Tag con nome: -DS- -Subnet02 AWS VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona di disponibilità: us-west-2b IPv4 Blocco CIDR: 10.0.1.0/24  |  Tag con nome: - - -Subnet02 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona di disponibilità: us-west-2b IPv4 Blocco CIDR: 10.10.1.0/24  | 

Per istruzioni dettagliate, consulta [Creazione di una sottorete nel VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).

**Fase 3: Creare e collegare un Internet Gateway al VPCs**

Dal momento che stiamo utilizzando VPC pubblici sarà necessario creare e collegare un gateway Internet ai VPC utilizzando i parametri specificati nella tabella seguente. Ciò consentirà di connettersi e gestire le istanze EC2.


****  

|  AWS-DS- Informazioni sull'VPC01 Internet Gateway  |  AWS- OnPrem - Informazioni sull'VPC01 Internet Gateway  | 
| --- | --- | 
|  Targhetta con nome: AWS-DS- VPC01 -IGW VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01  |  Targhetta con nome: - - -IGW AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

Per istruzioni dettagliate, consulta [Gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).

**Fase 4: Configurare una connessione peering VPC tra AWS-DS- e - - VPC01 AWS OnPrem VPC01**

Poiché ne hai già creati due VPCs in precedenza, dovrai collegarli in rete utilizzando il peering VPC utilizzando i parametri specificati nella tabella seguente. Sebbene ci siano molti modi per connettere il tuo VPCs, questo tutorial utilizzerà il peering VPC. AWS [Managed Microsoft AD supporta molte soluzioni per connettere il tuo VPCs, alcune di queste includono il [peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), il [Transit](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) Gateway e la VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html) 


****  

|  | 
| --- |
|  Denominazione della connessione peering: AWS-DS- VPC01 & - - -Peer AWS OnPrem VPC01 VPC (richiedente): vpc-xxxxxxxxxxxxxxxxx -DS- AWS VPC01 Account: il mio account Regione: questa regione VPC (accetta): vpc-xxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01  | 

Per istruzioni su come creare una connessione di peering VPC con un altro VPC dal tuo account, consulta [Creazione di una connessione di peering VPC con un altro VPC nell'account](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local).

**Passaggio 5: aggiungi due percorsi alla tabella di routing principale di ogni VPC**

Affinché i gateway Internet e la connessione peering VPC creati nei passaggi precedenti funzionino, è necessario aggiornare la tabella di routing principale di VPCs entrambi utilizzando i parametri specificati nella tabella seguente. Verranno aggiunti due route: 0.0.0.0/0 che sarà indirizzato a tutte le destinazioni non esplicitamente note alla tabella del percorso e 10.0.0.0/16 o 10.100.0.0/16 che verranno instradati a ciascun VPC tramite la connessione peering VPC stabilita sopra. 

Puoi trovare facilmente la tabella di routing corretta per ogni VPC filtrando il tag del nome VPC (AWS-DS- o - -). VPC01 AWS OnPrem VPC01


****  

|  AWS Informazioni sulla route 1 di -DS- VPC01   |  AWS-DS- informazioni VPC01 sulla route 2  |  AWS- OnPrem - Informazioni VPC01 sulla rotta 1  |  AWS- OnPrem - Informazioni sul VPC01 percorso 2  | 
| --- | --- | --- | --- | 
|  Destinazione: 0.0.0.0/0 Destinazione: igw-xxxxxxxxxxxxxxxxx -DS- -IGW AWS VPC01  |  Destinazione: 10.100.0.0/16 Obiettivo: pcx-xxxxxxxxxxxxxxxxx AWS-DS- e - - VPC01 -Peer AWS OnPrem VPC01  |  Destinazione: 0.0.0.0/0 Obiettivo: igw-xxxxxxxxxxxxxxxxx AWS-Onprem- VPC01  |  Destinazione: 10.0.0.0/16 Obiettivo: pcx-xxxxxxxxxxxxxxxxx AWS-DS- e - - -Peer VPC01 AWS OnPrem VPC01  | 

Per istruzioni su come aggiungere route a una tabella di route VPC, consulta [Aggiunta e rimozione di route da una tabella di route](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes).

## Crea gruppi di sicurezza per le istanze Amazon EC2
<a name="createsecuritygroup"></a>

Per impostazione predefinita, AWS Managed Microsoft AD crea un gruppo di sicurezza per gestire il traffico tra i relativi controller di dominio. In questa sezione, sarà necessario creare 2 gruppi di sicurezza (uno per ogni VPC) che verranno utilizzati per gestire il traffico all'interno del VPC per le istanze EC2, utilizzando i parametri specificati nelle tabelle seguenti. È inoltre possibile aggiungere una regola che consente l'ingresso di RDP (3389) da qualunque luogo e l'ingresso di tutti i tipi di traffico dal VPC locale. Per ulteriori informazioni, consulta [Gruppi di sicurezza Amazon EC2 per le istanze Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html).


****  

|  AWS-DS- informazioni sul gruppo VPC01 di sicurezza:  | 
| --- | 
|  Nome del gruppo di sicurezza: AWS DS Test Lab Security Group Descrizione: AWS DS Test Lab Security Group VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01  | 

**Regole di sicurezza in entrata per -DS- AWS VPC01**


****  

| Tipo | Protocollo | Intervallo porte | Origine | Tipo di traffico | 
| --- | --- | --- | --- | --- | 
| Regola TCP personalizzata  | TCP | 3389 | Il mio IP | Remote Desktop (Desktop remoto) | 
| All Traffic | Tutti | Tutti | 10.0.0.0/16 | Tutto il traffico VPC locale | 

**Regole in uscita del gruppo di sicurezza per -DS- AWS VPC01**


****  

| Tipo | Protocollo | Intervallo porte | Destinazione | Tipo di traffico | 
| --- | --- | --- | --- | --- | 
| All Traffic | Tutti | Tutti | 0.0.0.0/0 | Tutto il traffico | 


****  

| AWS- OnPrem - informazioni sul gruppo VPC01 di sicurezza: | 
| --- | 
|  Nome del gruppo di sicurezza: AWS OnPrem Test Lab Security Group. Descrizione: AWS OnPrem Test Lab Security Group. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01  | 

**Regole di sicurezza in entrata per - - AWS OnPrem VPC01**


****  

| Tipo | Protocollo | Intervallo porte | Origine | Tipo di traffico | 
| --- | --- | --- | --- | --- | 
| Regola TCP personalizzata  | TCP | 3389 | Il mio IP | Remote Desktop (Desktop remoto) | 
| Regola TCP personalizzata  | TCP | 53 | 10.0.0.0/16 | DNS | 
| Regola TCP personalizzata  | TCP  | 88 | 10.0.0.0/16 | Kerberos | 
| Regola TCP personalizzata  | TCP  | 389 | 10.0.0.0/16 | LDAP | 
| Regola TCP personalizzata  | TCP | 464 | 10.0.0.0/16 | Kerberos cambia/imposta la password | 
| Regola TCP personalizzata  | TCP | 445 | 10.0.0.0/16 | SMB/CIFS | 
| Regola TCP personalizzata  | TCP | 135 | 10.0.0.0/16 | Replica | 
| Regola TCP personalizzata  | TCP | 636 | 10.0.0.0/16 | LDAP SSL | 
| Regola TCP personalizzata  | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC | 
| Regola TCP personalizzata  | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC & LDAP GC SSL | 
| Regola UDP personalizzata  | UDP | 53 | 10.0.0.0/16 | DNS | 
| Regola UDP personalizzata  | UDP | 88 | 10.0.0.0/16 | Kerberos | 
| Regola UDP personalizzata  | UDP | 123 | 10.0.0.0/16 | Ora di Windows | 
| Regola UDP personalizzata  | UDP | 389 | 10.0.0.0/16 | LDAP | 
| Regola UDP personalizzata  | UDP | 464 | 10.0.0.0/16 | Kerberos cambia/imposta la password | 
| All Traffic | Tutti | Tutti | 10.100.0.0/16 | Tutto il traffico VPC locale | 

**Regole dei gruppi di sicurezza in uscita per AWS- - OnPrem VPC01**


****  

| Tipo | Protocollo | Intervallo porte | Destinazione | Tipo di traffico | 
| --- | --- | --- | --- | --- | 
| All Traffic | Tutti | Tutti | 0.0.0.0/0 | Tutto il traffico | 

Per istruzioni dettagliate su come creare e aggiungere regole ai gruppi di sicurezza, consulta [Utilizzo dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups).

# Passaggio 2: creare la directory Microsoft AD Active Directory AWS gestita
<a name="microsoftadbasestep2"></a>

È possibile utilizzare tre metodi differenti per creare la tua directory. È possibile utilizzare la Console di gestione AWS procedura (consigliata per questo tutorial) oppure utilizzare AWS Tools for Windows PowerShell le procedure AWS CLI o per creare la directory.

**Metodo 1: per creare la directory AWS Managed Microsoft AD (Console di gestione AWS)**

1. Nel riquadro di navigazione della [Console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), scegli **Directory**, quindi seleziona **Configura directory**.

1. Nella pagina **Seleziona il tipo di directory**, scegli **Microsoft AD gestito da AWS **, quindi seleziona **Successivo**.

1. Nella pagina **Enter directory information (Inserisci le informazioni sulla directory)**, fornisci le seguenti informazioni, quindi seleziona **Next (Successivo)**.
   + Per **Edition (Edizione)**, scegli **Standard Edition** o **Enterprise Edition**. Per ulteriori informazioni sulle edizioni, consulta [Servizio di directory AWS per Microsoft Active Directory](what_is.md#microsoftad). 
   + In **Directory DNS name (Nome DNS directory)**, digita **corp.example.com**.
   + In **Directory NetBIOS name (Nome NetBIOS della directory)**, digita **corp**.
   + In **Directory description (Descrizione directory)**, digita **AWS DS Managed**.
   + Per **Admin password** (Amministratore password) digita la password da utilizzare per questo account e digitala nuovamente in **Confirm password** (Conferma password). Questo **Admin** (Amministratore) dell'account è creato automaticamente durante il processo di creazione della directory. La password non può includere la parola *admin*. La password dell'amministratore della directory applica la distinzione tra maiuscole e minuscole e deve contenere tra 8 e 64 caratteri, inclusi. Deve anche contenere un carattere di almeno tre delle seguenti quattro categorie:
     + Lettere minuscole (a-z)
     + Lettere maiuscole (A-Z)
     + Numeri (0-9)
     + Caratteri non alfanumerici (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

1. Nella pagina **Choose VPC and subnets (Scegli VPC e sottoreti)** fornire le seguenti informazioni, quindi selezionare **Next (Successivo)**.
   + Per **VPC**, scegli l'opzione che inizia con **AWS-DS- VPC01** e termina con **(**10.0.0.0/16).
   + Per **Sottoreti**, scegli le sottoreti pubbliche **10.0.0.0/24** e **10.0.1.0/24**.

1. Nella pagina **Review & create (Rivedi e crea)**, esaminare le informazioni relative alla directory ed eseguire eventuali modifiche. Quando le informazioni sono corrette, scegli **Create Directory (Crea directory)**. La creazione di una directory richiede dai 20 ai 40 minuti. Una volta creato, il valore **Status** cambia in **Active** (Attivo).

**Metodo 2: creare il tuo AWS Managed Microsoft AD (PowerShell) (opzionale)**

1. Aprire PowerShell.

1. Digita il seguente comando. Assicuratevi di utilizzare i valori forniti nel passaggio 4 della Console di gestione AWS procedura precedente.

   ```
   New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

**Metodo 3: per creare il tuo AWS Managed Microsoft AD (AWS CLI) (opzionale)**

1. Apri il AWS CLI.

1. Digita il seguente comando. Accertarsi di utilizzare i valori forniti nel passaggio 4 della Console di gestione AWS procedura precedente.

   ```
   aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

# Fase 3: Implementa un'istanza Amazon EC2 per gestire la tua AWS Managed Microsoft AD Active Directory
<a name="microsoftadbasestep3"></a>

Per questo laboratorio, utilizziamo istanze Amazon EC2 con indirizzi IP pubblici per semplificare l'accesso all'istanza di gestione da qualsiasi luogo. In un ambiente di produzione, puoi utilizzare istanze che si trovano in un VPC privato accessibili solo tramite una VPN Direct Connect o un collegamento. Non è necessario che l'istanza abbia un indirizzo IP pubblico.

In questa sezione, procedi gradualmente nelle varie attività successive alla distribuzione, necessarie per i computer client per connettere il tuo dominio usando il Windows Server sulla tua nuova istanza EC2. Usa la Windows Server nella fase successiva per verificare che il lab sia operativo.

## Facoltativo: crea un set di opzioni DHCP in AWS-DS- per la tua directory VPC01
<a name="createdhcpoptionsset"></a>

In questa procedura facoltativa, configuri un ambito di opzioni DHCP in modo che le istanze EC2 nel tuo VPC utilizzino automaticamente il tuo Managed AWS Microsoft AD per la risoluzione DNS. Per ulteriori informazioni, consulta la pagina relativa ai [Set di opzioni DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).

**Creazione di un set opzioni DHCP per la tua directory**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, scegliere **DHCP Options Sets (Set di opzioni DHCP)**, quindi selezionare **Create DHCP options set (Crea set di opzioni DHCP)**.

1. Nella pagina **Create DHCP options set** (Crea set opzioni DHCP), fornire i seguenti valori per la directory:
   + In **Name (Nome)** digitare **AWS DS DHCP**.
   + Per **Domain name (Nome dominio)**, digitare **corp.example.com**.
   + Per **Domain name servers (Server dei nomi di dominio)**, digita gli indirizzi IP dei server DNS della tua directory fornita da AWS . 
**Nota**  
Per trovare questi indirizzi, vai alla pagina Directory Service **Directory, quindi scegli l'ID di directory** applicabile. Nella pagina **Dettagli**, identifica e utilizza IPs quelli visualizzati nell'indirizzo **DNS**.  
In alternativa, per trovare questi indirizzi, vai alla pagina **Directory** del Directory Service e scegli l'ID directory applicabile. Quindi, scegli **Dimensiona e condividi**. In **Controller di dominio**, identifica e utilizza IPs quelli visualizzati nell'**indirizzo IP**.
   + Lascia vuoto per le impostazioni **NTP servers** (Server NTP), **NetBIOS name servers** (Server dei nomi NetBIOS) e **NetBIOS node type** (Tipo di nodo NetBIOS).

1. Scegliere **Create DHCP options set (Crea set di opzioni DHCP)** e **Close (Chiudi)**. Il nuovo set di opzioni DHCP viene visualizzato nel tuo elenco delle opzioni DHCP.

1. Prendi nota dell'ID del nuovo set di opzioni DHCP (**dopt** -). *xxxxxxxx* Si utilizza al termine di questa procedura, quando si associa il nuovo set di opzioni al VPC.
**Nota**  
L'aggiunta ai domini uniforme funziona senza dover configurare un set di opzioni DHCP. 

1. **Nel riquadro di navigazione, scegli Your. VPCs**

1. Nell'elenco VPCs, seleziona **AWS DS VPC**, scegli **Azioni**, quindi scegli **Modifica set di opzioni DHCP**.

1. Nella pagina **Edit DHCP options set (Modifica set di opzioni DHCP)**, selezionare le opzioni registrate nella fase e scegliere**Save**.

## Crea un ruolo per aggiungere istanze Windows al tuo dominio Microsoft AD AWS gestito
<a name="configureec2"></a>

Utilizza questa procedura per configurare un ruolo che unisce un'istanza Amazon EC2 Windows a un dominio. Per ulteriori informazioni, consulta [Unire un'istanza Windows di Amazon EC2 alla tua directory gestita di AWS Microsoft AD Active Directory](launching_instance.md).

**Configurazione di EC2 per aggiungere le istanze Windows al tuo dominio**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.

1. In **Select type of trusted entity** (Seleziona tipo di entità attendibile), scegli **AWS service** (Servizio).

1. Sotto l'opzione **Choose the service that will use this role (Scegli il servizio che utilizzerà questo ruolo)** scegli **EC2**, quindi **Next: Permissions (Successivo: Autorizzazioni)**.

1. Nella pagina **Attached permissions policy (Policy autorizzazioni collegate)**, eseguire quanto segue:
   + Seleziona la casella accanto alla politica SSMManaged InstanceCore gestita da **Amazon**. Questa policy fornisce le autorizzazioni minime necessarie per utilizzare il servizio Systems Manager.
   + Seleziona la casella accanto a **Amazon SSMDirectory ServiceAccess** managed policy. La policy fornisce le autorizzazioni per collegare le istanze a una Active Directory gestita da Directory Service.

   Per informazioni su queste regole gestite e altre policy che puoi collegare a un profilo dell'istanza IAM per Systems Manager, consulta [Creazione di un profilo di istanza IAM per Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) nella *Guida per l'utente di AWS Systems Manager *. Per ulteriori informazioni sulle policy, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente IAM*.

1. Scegliere **Next: Tags (Successivo: Tag)**.

1. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegliere **Next: Review (Successivo: Rivedi)**. 

1. Per **Nome ruolo**, inserisci un nome per il ruolo che descrive che viene utilizzato per unire le istanze a un dominio, ad **EC2DomainJoin**esempio.

1. (Facoltativo) Per **Role Description (Descrizione ruolo)**, immetti una descrizione.

1. Scegliere **Create role** (Crea ruolo). Il sistema visualizza di nuovo la pagina **Ruoli**.

## Crea un'istanza Amazon EC2 e accedi automaticamente alla directory
<a name="deployec2instance"></a>

In questa procedura configuri un sistema Windows Server in un'istanza EC2 che può essere utilizzato in seguito per amministrare utenti, gruppi e politiche in Active Directory. 

**Creazione di un'istanza EC2 e aggiunta automatica della directory**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Scegliere **Launch Instance (Avvia istanza)**.

1. Nella pagina **Passaggio 1**, accanto a **Microsoft Windows Server 2019 Base, ami- *xxxxxxxxxxxxxxxxx*** scegli **Seleziona**.

1. Nella pagina **Fase 2**, seleziona **t3.micro** (nota, è possibile scegliere un tipo di istanza più grande) e quindi selezionare **Successivo: configura Dettagli istanza**.

1. Nella pagina **Step 3** (Fase 3), esegui le operazioni seguenti:
   + Per **Rete**, scegli il VPC che termina con **AWS-DS- VPC01** (ad esempio, **vpc- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS-**). VPC01
   + Per **Subnet** scegli **Public subnet 1**, che deve essere preconfigurata per la tua zona di disponibilità preferita (ad esempio, **subnet- \$1 -DS- -Subnet01** \$1). *xxxxxxxxxxxxxxxxx* AWS VPC01 *us-west-2a* 
   + Per **Auto-assign Public IP** (Assegna automaticamente IP pubblico), scegli **Enable** (Abilita) (se l'impostazione della sottorete non è configurata per l'abilitazione come impostazione predefinita).
   + **Per la **directory di accesso al dominio, scegliete corp.example.com** (d-). *xxxxxxxxxx***
   + Per il **ruolo IAM** scegli il nome a cui hai assegnato il ruolo dell'istanza, ad esempio. [Crea un ruolo per aggiungere istanze Windows al tuo dominio Microsoft AD AWS gestito](#configureec2) **EC2DomainJoin**
   + Lascia le altre impostazioni ai valori predefiniti.
   + Scegli **Passaggio successivo: aggiunta dello storage**.

1. Nella pagina **Step 4** (Fase 4), mantieni le impostazioni predefinite, quindi scegli **Next: Add Tags** (Successivo: aggiungi tag).

1. Nella pagina **Step 5** (Fase 5), scegli **Add tag** (Aggiungi tag). In **Key (Chiave)** digita **corp.example.com-mgmt** quindi scegli **Next: Configure Security Group (Successivo: configura gruppo di sicurezza)**.

1. Nella pagina **Fase 6**, scegli **Seleziona un gruppo di sicurezza esistente**, seleziona **Gruppo di sicurezza AWS DS Test Lab** (che hai già configurato nel [tutorial di base](microsoftadbasestep1.md#createsecuritygroup)), quindi scegli **Analizza e avvia** per analizzare l'istanza.

1. Nella pagina **Step 7** (Fase 7), analizza la pagina, quindi scegli **Launch** (Avvia).

1. Nella finestra di dialogo **Select an existing key pair or create a new key pair** (Seleziona una coppia di chiavi esistente o crea una nuova coppia di chiavi) esegui le operazioni seguenti:
   + Scegli **Choose an existing key pair** (Scegli una coppia di chiavi esistente).
   + In **Seleziona una coppia di chiavi**, scegli **AWS-DS-KP**.
   + Seleziona la casella di controllo **I acknowledge...** (Acconsento...).
   + Scegliere **Launch Instances** (Avvia istanze).

1. Scegli **Visualizza istanze** per tornare alla console Amazon EC2 e visualizzare lo stato dell'implementazione.

## Installazione degli strumenti di Active Directory sull'istanza EC2
<a name="installadtools"></a>

È possibile scegliere tra due metodi per installare gli strumenti di gestione del dominio di Active Directory sulla tua istanza EC2. Puoi utilizzare l'interfaccia utente di Server Manager (consigliata per questo tutorial) oPowerShell.

**Installazione degli strumenti di Active Directory sull'istanza EC2 (Server Manager)**

1. Nella console Amazon EC2, scegli **Istanze**, seleziona l'istanza appena creata, quindi scegli **Connetti**. 

1. Nella finestra **di dialogo Connect To Your Instance**, scegli **Ottieni password** per recuperare la password se non l'hai già fatto, quindi scegli **Scarica il file del desktop remoto**. 

1. Nella finestra di dialogo **Windows Security (Sicurezza di Windows)**, digita le credenziali dell'amministratore locale per il computer Windows Server per effettuare l'accesso (ad esempio, **administrator**).

1. Nel menu **Start** (Inizia), scegli **Server Manager**.

1. In **Dashboard** (Pannello di controllo), scegli **Add Roles and Features** (Aggiungi ruoli e funzionalità).

1. In **Add Roles and Features Wizard** (Procedura guidata aggiunta ruoli e funzionalità), scegli **Next** (Successivo). 

1. Nella pagina **Select installation type** (Seleziona tipo di installazione), scegli **Role-based or feature-based installation** (Installazione basata su ruoli o su funzionalità), quindi scegli **Next** (Successivo).

1. Nella pagina **Select destination server** (Seleziona server di destinazione), assicurati che sia selezionato il server locale, quindi scegli **Next** (Successivo).

1. Nella pagina **Select server roles** (Seleziona ruoli server), scegli **Next** (Successivo). 

1. Nella pagina **Select features** (Seleziona funzionalità), effettua le operazioni seguenti:
   + Seleziona la casella di **Group Policy Management** (Gestione di Group Policy).
   + Espandi **Remote Server Administration Tools** (Strumenti di amministrazione server remoti) e successivamente espandi **Role Administration Tools** (Strumenti amministrazione ruoli).
   + Seleziona la casella di controllo **AD DS and AD LDS Tools** (Strumenti AD DS e AD LDS).
   + Seleziona la casella di controllo **DNS Server Tools** (Strumenti del server DNS).
   + Scegli **Next (Successivo)**.

1. Nella pagina **Confirm installation selections** (Conferma selezioni di installazione), verifica l'informazione e quindi scegli **Install** (Installa). Quando la funzione di installazione è terminata, i seguenti nuovi strumenti o snap-in saranno disponibili nella cartella Strumenti di amministrazione di Windows nel menu Start. 
   + Centro di amministrazione di Active Directory
   + Dominio Active Directory e Trust
   + Modulo Active Directory per PowerShell
   + Siti di Active Directory e servizi
   + Utenti Active Directory e computer
   + Modifica ADSI
   + DNS
   + Gestione di Group Policy

**Per installare gli strumenti di Active Directory sulla tua istanza EC2 (PowerShell) (opzionale)**

1. Avvia PowerShell.

1. Digita il seguente comando. 

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```

# Fase 4: verifica che il laboratorio di sviluppo di base sia operativo
<a name="microsoftadbasestep4"></a>

Utilizza la procedura seguente per verificare che il lab di sicurezza sia stato impostato correttamente prima di aggiungere ulteriori moduli di guida di lab di sicurezza. Questa procedura verifica che Windows Server sia configurato correttamente, possa connettersi al dominio corp.example.com e che possa essere utilizzato per amministrare la foresta gestita di Microsoft AD. AWS 

**Verifica che il lab di sviluppo sia operativo**

1. Disconnettiti dall'istanza EC2 in cui hai effettuato l'accesso come amministratore locale. 

1. Torna nella console Amazon EC2, nel riquadro di navigazione scegli **Istanze**. Successivamente seleziona l'istanza che hai creato. Scegli **Connetti**. 

1. Nella finestra di dialogo **Connect To Your Instance** (Connetti all'istanza), scegli **Download Remote Desktop File** (Scarica file per il desktop remoto). 

1. Nella finestra di dialogo **Windows Security (Sicurezza di Windows)**, digita le credenziali del tuo amministratore per il dominio CORP per accedere (per esempio, **corp\$1admin**).

1. Una volta effettuato l'accesso, nel menu **Start** (Avvia), in **Windows Administrative Tools** (Strumenti di amministrazione di Windows) scegli **Active Directory Users and Computers** (Utenti Active Directory e computer). 

1. Dovresti vedere **corp.example.com** visualizzato con tutti gli account predefiniti e associati a un nuovo dominio. OUs In **Controllori di dominio**, nota i nomi dei controller di dominio che sono stati creati automaticamente quando hai creato il tuo AWS Managed Microsoft AD nel passaggio 2 di questo tutorial. 

Complimenti\$1 L'ambiente di test di base AWS Managed Microsoft AD è stato ora configurato. Sei pronto per iniziare ad aggiungere il prossimo lab di sicurezza nelle serie.

Tutorial successivo: [Tutorial: creazione di un trust da AWS Managed Microsoft AD a un'installazione di Active Directory autogestita su Amazon EC2](ms_ad_tutorial_test_lab_trust.md)

# Tutorial: creazione di un trust da AWS Managed Microsoft AD a un'installazione di Active Directory autogestita su Amazon EC2
<a name="ms_ad_tutorial_test_lab_trust"></a>

In questo tutorial, imparerai come creare un trust tra la foresta AWS Directory Service for Microsoft Active Directory creata nel [tutorial Base](ms_ad_tutorial_test_lab_base.md). Imparerai anche a creare una nuova foresta nativa Active Directory su un server Windows in Amazon EC2. Come illustrato nella figura seguente, il lab creato da questo tutorial è il secondo elemento costitutivo necessario per configurare un laboratorio di test AWS Managed Microsoft AD completo. Puoi utilizzare il laboratorio di test per testare le tue soluzioni basate AWS su cloud puro o ibrido. 

È necessario creare questo tutorial una sola volta. In seguito potrai aggiungere tutorial facoltativi quando necessario per ampliare l'esperienza.

![\[Passaggi per creare un trust da Microsoft Active Directory a un Active Directory autogestito: configura il tuo ambiente, crea Microsoft Active Directory, distribuisci un'istanza Amazon EC2 e testa il laboratorio.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)


**[Fase 1: configurazione dell'ambiente per i trust](microsoftadtruststep1.md)**  
Prima di stabilire trust tra una nuova foresta di Active Directory e quella di Microsoft AD gestito da AWS creata nel [tutorial di base](ms_ad_tutorial_test_lab_base.md), devi l'ambiente Amazon EC2. A tale scopo, crea un server di Windows Server 2019, promuovilo a controller di dominio, quindi configura il VPC di conseguenza.

**[Fase 2: creazione dei trust](microsoftadtruststep2.md)**  
In questo passaggio, crei una relazione di trust bidirezionale tra la foresta di Active Directory appena creata ospitata in Amazon EC2 e la foresta AWS gestita di Microsoft AD in. AWS

**[Fase 3: verifica del trust](microsoftadtruststep3.md)**  
Infine, in qualità di amministratore, utilizzi la Directory Service console per verificare che i nuovi trust siano operativi.

# Fase 1: configurazione dell'ambiente per i trust
<a name="microsoftadtruststep1"></a>

In questa sezione, configurerai il tuo ambiente Amazon EC2, distribuirai la tua nuova foresta e preparerai il tuo VPC per i trust. AWS

![\[Ambiente Amazon EC2 con Amazon VPC, sottoreti e Internet Gateway per implementare una nuova foresta e stabilire una relazione di fiducia.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


## Creazione di un'istanza EC2 di Windows Server 2019
<a name="createkeypair1"></a>

Utilizza la procedura seguente per creare un server membro di Windows Server 2019 in Amazon EC2. 

**Creazione di un'istanza EC2 di Windows Server 2019**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nella console Amazon EC2 scegli **Avvia istanza**.

1. Nella pagina **Passaggio 1**, individuare **Microsoft Windows Server 2019 Base - ami- *xxxxxxxxxxxxxxxxx*** nell'elenco. Quindi scegliere **Select (Seleziona)**.

1. Nella pagina **Step 2** (Fase 2), seleziona **t2.large**, quindi scegli **Next: Configure Instance Details** (Successivo: configura dettagli istanza).

1. Nella pagina **Step 3** (Fase 3), esegui le operazioni seguenti:
   + Per **Rete**, selezionate **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem - VPC01** (che avete precedentemente impostato nel [tutorial di Base](microsoftadbasestep1.md#createvpc)).
   + Per **Subnet**, selezionate **subnet- *xxxxxxxxxxxxxxxxx* \$1 AWS- - VPC01 -Subnet01 \$1 OnPrem - -**. AWS OnPrem VPC01
   + Nell'elenco **Auto-assign Public IP** (Assegna automaticamente IP pubblico), scegli **Enable** (Abilita) (se l'impostazione della sottorete non è configurata su **Enable** (Abilita) per impostazione predefinita).
   + Lascia le altre impostazioni ai valori predefiniti.
   + Scegli **Passaggio successivo: aggiunta dello storage**.

1. Nella pagina **Step 4** (Fase 4), mantieni le impostazioni predefinite, quindi scegli **Next: Add Tags** (Successivo: aggiungi tag).

1. Nella pagina **Step 5** (Fase 5), scegli **Add tag** (Aggiungi tag). In **Key (Chiave)** digita **example.local-DC01** quindi scegli **Next: Configure Security Group (Successivo: configura gruppo di sicurezza)**.

1. Nella pagina **Fase 6**, scegli **Seleziona un gruppo di sicurezza esistente**, seleziona **Gruppo di sicurezza AWS On-Prem Test Lab** (che hai già configurato nel [tutorial di base](microsoftadbasestep1.md#createsecuritygroup)), quindi scegli **Analizza e avvia** per analizzare l'istanza.

1. Nella pagina **Step 7** (Fase 7), analizza la pagina, quindi scegli **Launch** (Avvia).

1. Nella finestra di dialogo **Select an existing key pair or create a new key pair** (Seleziona una coppia di chiavi esistente o crea una nuova coppia di chiavi) esegui le operazioni seguenti:
   + Scegli **Choose an existing key pair** (Scegli una coppia di chiavi esistente).
   + In **Seleziona una coppia di chiavi**, scegli **AWS-DS-KP** (che hai già configurato nel [tutorial di base](microsoftadbasestep1.md#createkeypair2)).
   + Seleziona la casella di controllo **I acknowledge...** (Acconsento...).
   + Scegliere **Launch Instances** (Avvia istanze).

1. Scegli **Visualizza istanze** per tornare alla console Amazon EC2 e visualizzare lo stato dell'implementazione.

## Promozione del server a un controller di dominio
<a name="promoteserver"></a>

Prima di poter creare trust, è necessario creare e distribuire il primo controller di dominio per una nuova foresta. Durante questo processo puoi configurare una nuova foresta di Active Directory, installare il DNS e impostare questo server in modo da utilizzare il server DNS locale per la risoluzione dei nomi. È necessario riavviare il server al termine di questa procedura.

**Nota**  
Se desideri creare un controller di dominio AWS che si replichi con la tua rete locale, devi prima aggiungere manualmente l'istanza EC2 al tuo dominio locale. Dopo potrai promuovere il server a un controller di dominio.

**Promuovere il server a un controller di dominio**

1. Nella console Amazon EC2, scegli **Istanze**, seleziona l'istanza appena creata, quindi scegli **Connetti**. 

1. Nella finestra di dialogo **Connect To Your Instance** (Connetti all'istanza), scegli **Download Remote Desktop File** (Scarica file per il desktop remoto). 

1. Nella finestra di dialogo **Windows Security (Sicurezza di Windows)**, digita le credenziali dell'amministratore locale per il computer Windows Server per effettuare l'accesso (ad esempio, **administrator**). Se non disponi ancora della password di amministratore locale, ritorna alla console Amazon EC2, fai clic con il pulsante destro del mouse sull'istanza e scegli **Ottieni password di Windows**. Vai al file `AWS DS KP.pem` o alla tua chiave `.pem` personale, quindi scegli **Decrypt Password** (Decrittografa password).

1. Nel menu **Start** (Inizia), scegli **Server Manager**.

1. In **Dashboard** (Pannello di controllo), scegli **Add Roles and Features** (Aggiungi ruoli e funzionalità).

1. In **Add Roles and Features Wizard** (Procedura guidata aggiunta ruoli e funzionalità), scegli **Next** (Successivo). 

1. Nella pagina **Select installation type** (Seleziona tipo di installazione), scegli **Role-based or feature-based installation** (Installazione basata su ruoli o su funzionalità), quindi scegli **Next** (Successivo).

1. Nella pagina **Select destination server** (Seleziona server di destinazione), assicurati che sia selezionato il server locale, quindi scegli **Next** (Successivo).

1. Nella pagina **Select server roles** (Seleziona ruoli server), seleziona **Active Directory Domain Services** (Servizi di dominio di Active Directory). Nella finestra di dialogo **Add Roles and Features Wizard** (Procedura guidata aggiunta ruoli e funzionalità), verifica che la casella di controllo **Include management tools (if applicable)** (Includi strumenti di gestione (se applicabile)) sia selezionata. Scegli **Add Features** (Aggiungi funzionalità), quindi scegli **Next** (Successivo).

1. Nella pagina **Select features** (Seleziona funzionalità), scegli **Next** (Successivo). 

1. Nella pagina **Active Directory Domain Services** (Servizi di dominio di Active Directory), scegli **Next** (Successivo).

1. Nella pagina **Confirm installation selections** (Conferma selezioni di installazione), scegli **Install** (Installa).

1. Dopo aver installato i binari di Active Directory, scegli **Close** (Chiudi).

1. Quando Server Manager si apre, scegli un flag nella parte superiore, accanto alla parola **Manage** (Gestisci). Quando il flag diventa giallo, il server è pronto per essere promosso. 

1. Scegli il flag giallo, quindi scegli **Promote this server to a domain controller** (Promuovi questo server a un controller di dominio).

1. Nella pagina **Deployment Configuration** (Configurazione di distribuzione), scegli **Add a new forest** (Aggiungi una nuova foresta). In **Root domain name (Nome dominio root)**, digita **example.local**, quindi scegli **Next (Successivo)**.

1. Nella pagina **Domain Controller Options** (Opzioni controller di dominio), esegui le operazioni seguenti:
   + Sia in **Forest functional level** (Livello funzionale foresta) che in **Domain functional level** (Livello funzionale dominio), scegli **Windows Server 2016**.
   + In **Specificare le funzionalità del controller di dominio**, verifica che siano selezionati sia il **server DNS** che il **Global Catalog (**GC).
   + Digita e conferma una password di Directory Services Restore Mode (DSRM). Quindi scegli **Successivo**.

1. Nella pagina **DNS Options** (Opzioni DNS), ignora l'avviso sulla delegazione e scegli **Next** (Successivo).

1. Nella pagina **Opzioni aggiuntive**, assicurati che **EXAMPLE** sia elencato come NetBios nome di dominio.

1. Nella pagina **Paths** (Percorsi), mantieni le impostazioni predefinite, quindi scegli **Next** (Successivo).

1. Nella pagina **Review Options** (Analizza opzioni), scegli **Next** (Successivo). Il server effettuerà ora delle verifiche per accertarsi che tutti i prerequisiti del controller di dominio siano soddisfatti. Potrebbero essere visualizzati dei messaggi di errore, mai puoi ignorarli senza rischi per la sicurezza. 

1. Scegli **Installa**. Una volta completata l'installazione, il server si riavvia e diventa un controller di dominio funzionale.

## Configura il VPC
<a name="configurevpc1"></a>

Le tre procedure seguenti ti guidano attraverso le fasi di configurazione del VPC per la connettività di AWS.

**Configurazione delle regole in uscita del VPC**

1. [Nella [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), prendi nota dell'ID di directory Microsoft AD AWS gestito per corp.example.com creato in precedenza nel tutorial di Base.](microsoftadbasestep2.md)

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Fai clic su **Gruppi di sicurezza** nel riquadro di navigazione.

1. Cerca il tuo ID di directory AWS Managed Microsoft AD. Nei risultati della ricerca, seleziona l'elemento con la descrizione **AWS ha creato il gruppo di sicurezza per i controller d- *xxxxxx* directory**.
**Nota**  
Questo gruppo di sicurezza è stato creato automaticamente quando hai creato la directory all'inizio.

1. Scegli la scheda **Outbound Rules** (Regole in uscita) per tale gruppo di sicurezza. Scegli **Edit** (Modifica), scegli **Add another rule** (Aggiungi un'altra regola), quindi aggiungi i seguenti valori:
   + In **Type** (Tipo), scegli **All Traffic** (Tutto il traffico).
   + In **Destination (Destinazione)**, digitare **0.0.0.0/0**.
   + Lascia le altre impostazioni ai valori predefiniti.
   + Seleziona **Salva**.

**Per verifica che la preautenticazione Kerberos sia abilitata**

1. Nel controller di dominio **example.local**, apri **Server Manager**.

1. Nel menu **Tools** (Strumenti), scegli **Active Directory Users and Computers** (Strumento Users and Computers (Utenti e computer) di Active Directory).

1. Passa alla directory **Utenti**, fai clic con il pulsante destro del mouse su un utente, seleziona **Proprietà** e scegli la scheda **Account**. Nell'elenco **Opzioni account**, scorri verso il basso e verifica che **Non richiedere l'autenticazione preliminare Kerberos** **non** sia selezionato.

1. Esegui la stessa procedura per il dominio **corp.example.com** dall'istanza **corp.example.com-mgmt **.

**Configurazione dei server d'inoltro condizionale DNS**
**Nota**  
Un server di inoltro condizionale è un server DNS in una rete che viene utilizzato per inoltrare query DNS in base al nome di dominio DNS nella query. Ad esempio, un server DNS può essere configurato per inoltrare tutte le query ricevute per i nomi che terminano con widgets.example.com all'indirizzo IP di un server DNS specifico o agli indirizzi IP di più server DNS.

1. Apri la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).

1. Nel riquadro di navigazione, seleziona **Directory**.

1. Seleziona l'**ID della directory** del tuo AWS Managed Microsoft AD.

1. Annota il nome di dominio completo (FQDN), **corp.example.com** e gli indirizzi DNS della directory.

1. Ora, torna al controller di dominio **example.local**, quindi apri **Server Manager**.

1. Nel menu **Tools** (Strumenti), seleziona **DNS**.

1. Nella struttura della console, espandi il server DNS del dominio per il quale configuri il trust e vai a **Conditional Forwarders** (Server d'inoltro condizionale).

1. Fai clic con il pulsante destro del mouse su **Conditional Forwarders**(Server d'inoltro condizionale), quindi scegli **New Conditional Forwarder** (Nuovo server d'inoltro condizionale).

1. Nel dominio DNS digita **corp.example.com**.

1. In **Indirizzi IP dei server primari**, scegli **<Fai clic qui per aggiungere... **>, digitare il primo indirizzo DNS della directory AWS Managed Microsoft AD (di cui si è preso nota nella procedura precedente), quindi premere **Invio**. Esegui la stessa procedura per il secondo indirizzo DNS. Dopo aver digitato gli indirizzi DNS, potresti visualizzare un errore del tipo "timeout" o "impossibile risolvere". In genere, puoi ignorare questi errori.

1. Seleziona la casella di controllo **Store this conditional forwarder in Active Directory, and replicate it as follows** (Memorizza questo server d'inoltro condizionale in Active Directory e replicalo come segue). Nel menu a discesa, scegli **All DNS servers in this Forest** (Tutti i server DNS di questa foresta), quindi scegli **OK**.

# Fase 2: creazione dei trust
<a name="microsoftadtruststep2"></a>

In questa sezione crei due trust tra foreste separati. Un trust viene creato dal dominio Active Directory sulla tua istanza EC2 e l'altro dal tuo AWS Managed Microsoft AD in AWS.

![\[Trust bidirezionale tra corp.example.com ed example.local\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)


**Per creare la fiducia dal tuo dominio EC2 al tuo AWS Managed Microsoft AD**

1. Accedi a **example.local**.

1. Apri **Server Manager** e nella struttura della console scegli **DNS**. Prendi nota dell' IPv4 indirizzo indicato per il server. Ne avrai bisogno nella procedura successiva, quando creerai un server d'inoltro condizionale da **corp.example.com** nella directory **example.local**.

1. Nel menu **Tools** (Strumenti), scegli **Active Directory Domains and Trust** (Domini e trust di Active Directory).

1. Nella struttura della console, fai clic con il pulsante destro del mouse su **example.local**, quindi scegli **Properties** (Proprietà).

1. Nella scheda **Trusts** (Trust), scegli **New Trust** (Nuovo trust), quindi scegli **Next** (Successivo).

1. Nella pagina **Trust Name (Nome trust)**, digita **corp.example.com**, quindi scegli **Next (Successivo)**.

1. Nella pagina **Trust Type** (Tipo di trust), scegli **Forest trust** (Trust tra foreste), quindi scegli **Next** (Successivo).
**Nota**  
AWS Managed Microsoft AD supporta anche i trust esterni. Tuttavia, ai fini di questo tutorial, verrà creato un trust tra foreste bidirezionale.

1. Nella pagina **Direction of Trust** (Direzione del trust), scegli **Two-way** (Bidirezionale), quindi scegli **Next** (Successivo).
**Nota**  
Se in seguito si decide di provare questa operazione con un trust unidirezionale, assicurarsi che le istruzioni di attendibilità siano configurate correttamente (in uscita sul dominio trusting, in entrata sul dominio trusted). Per informazioni generali, consulta [Informazioni sulla direzione del trust](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) nel sito Web di Microsoft.

1. Nella pagina **Sides of Trust** (Lato del trust), scegli **This domain only** (Solo per questo dominio), quindi scegli **Next** (Successivo).

1. Nella pagina **Outgoing Trust Authentication Level** (Livello di autenticazione del trust in uscita), scegli **Forest-wide authentication** (Autenticazione a livello di foresta), quindi scegli **Next** (Successivo).
**Nota**  
Sebbene **Selective authentication (Autenticazione selettiva)** in un'opzione, per la semplicità di questo tutorial si consiglia di non abilitarlo qui. Quando configurato, limita l'accesso tramite un trust esterno o di foresta solo agli utenti di un dominio o di una foresta attendibili a cui sono state concesse esplicitamente autorizzazioni di autenticazione agli oggetti computer (computer delle risorse) che risiedono nel dominio trusting o nella foresta. Per ulteriori informazioni, consulta [Configurazione delle impostazioni di autenticazione selettiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).

1. Nella pagina **Trust Password** (Password del trust), digita la password del trust due volte, quindi scegli **Next** (Successivo). Utilizzerai questa stessa password nella prossima procedura.

1. Nella pagina **Trust Selections Complete** (Selezione dei trust completa), verifica i risultati, quindi scegli **Next** (Successivo).

1. Nella pagina **Trust Creation Complete** (Creazione dei trust completa), verifica i risultati, quindi scegli **Next** (Successivo).

1. Nella pagina **Confirm Outgoing Trust** (Conferma trust in uscita), scegli **No, do not confirm the outgoing trust** (Non confermare trust in uscita). quindi scegliere **Next**.

1. Nella pagina **Confirm Incoming Trust** (Conferma trust in entrata), scegli **No, do not confirm the incoming trust** (Non confermare trust in entrata). quindi scegliere **Next**.

1. Nella pagina **Completing the New Trust Wizard** (Completamento procedura guidata del nuovo trust), scegli **Finish** (Fine).

**Nota**  
Le relazioni di fiducia sono una funzionalità globale di AWS Managed Microsoft AD. Se utilizzi [Configurazione della replica multiarea per Managed AWS Microsoft AD](ms_ad_configure_multi_region_replication.md), è necessario eseguire le seguenti procedure in [Regione principale](multi-region-global-primary-additional.md#multi-region-primary). Le modifiche verranno applicate automaticamente in tutte le Regioni replicate. Per ulteriori informazioni, consulta [Funzionalità globali e regionali](multi-region-global-region-features.md).

**Per creare la fiducia dal tuo AWS Managed Microsoft AD al tuo dominio EC2**

1. Apri la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).

1. Scegli la directory **corp.example.com**.

1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
   + Se nella sezione **Replica multiregione** sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
   + Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.

1. Nella sezione **Trust relationships (Relazioni di trust)**, scegli **Actions (Azioni)**, quindi seleziona **Add trust relationship (Aggiungi relazione di trust)**.

1. Nella finestra di dialogo **Add a trust relationship** (Aggiungi una relazione di trust), esegui le operazioni seguenti:
   + In **Tipo di trust** selezionare **Trust tra foreste**.
**Nota**  
Assicurati che il **tipo di fiducia** che scegli qui corrisponda allo stesso tipo di fiducia configurato nella procedura precedente (per creare la fiducia dal tuo dominio EC2 al tuo AWS Managed Microsoft AD).
   + Per **Nome di dominio remoto esistente o nuovo**, digitare **example.local**.
   + In **Trust password** (Password di trust), digita la stessa password fornita nella procedura precedente.
   + In **Direzione trust**, seleziona **A due vie**.
**Nota**  
Se in seguito si decide di provare questa operazione con un trust unidirezionale, assicurarsi che le istruzioni di attendibilità siano configurate correttamente (in uscita sul dominio trusting, in entrata sul dominio trusted). Per informazioni generali, consulta [Informazioni sulla direzione del trust](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) nel sito Web di Microsoft.
Sebbene **Selective authentication (Autenticazione selettiva)** in un'opzione, per la semplicità di questo tutorial si consiglia di non abilitarlo qui. Quando configurato, limita l'accesso tramite un trust esterno o di foresta solo agli utenti di un dominio o di una foresta attendibili a cui sono state concesse esplicitamente autorizzazioni di autenticazione agli oggetti computer (computer delle risorse) che risiedono nel dominio trusting o nella foresta. Per ulteriori informazioni, consulta [Configurazione delle impostazioni di autenticazione selettiva](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
   + In **Server d'inoltro condizionale**, digita l'indirizzo IP del server DNS della foresta **example.local** (che hai annotato nella procedura precedente). 
**Nota**  
Un server di inoltro condizionale è un server DNS in una rete che viene utilizzato per inoltrare query DNS in base al nome di dominio DNS nella query. Ad esempio, un server DNS può essere configurato per inoltrare tutte le query ricevute per i nomi che terminano con widgets.example.com all'indirizzo IP di un server DNS specifico o agli indirizzi IP di più server DNS.

1. Scegliere **Aggiungi**. 

# Fase 3: verifica del trust
<a name="microsoftadtruststep3"></a>

In questa sezione verifichi se i trust sono stati configurati correttamente tra AWS e Active Directory su Amazon EC2.

**Verifica del trust**

1. Apri la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).

1. Scegli la directory **corp.example.com**.

1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
   + Se nella sezione **Replica multiregione** sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
   + Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.

1. Nella sezione **Trust relationships (Relazioni di trust)**, seleziona la relazione di trust creata.

1. Scegli **Actions** (Operazioni), quindi scegli **Verify trust relationship** (Verifica relazione di trust).

Una volta completata la verifica, dovresti visualizzare **Verified** (Verificato) nella colonna **Status** (Stato). 

Complimenti, hai completato questo tutorial\$1 Ora disponi di un ambiente Active Directory con una multiforesta completamente funzionale dal quale puoi iniziare a provare diversi scenari. Sono stati programmati dei tutorial di lab di sviluppo aggiuntivi per il 2018, ti consigliamo dunque di controllare di tanto in tanto per vedere gli aggiornamenti.