Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tutorial: configurazione del laboratorio di test Microsoft AD AWS gestito di base in AWS
Questo tutorial ti insegna come configurare il tuo AWS ambiente per prepararti a una nuova installazione di AWS Managed Microsoft AD che utilizza una nuova istanza Amazon EC2 con Windows Server 2019. Ti insegna quindi a utilizzare gli strumenti di amministrazione tipici di Active Directory per gestire l'ambiente Microsoft AD AWS gestito dalla tua istanza EC2 Windows. Al termine del tutorial, avrai impostato i prerequisiti di rete e avrai configurato una nuova foresta Microsoft AD AWS gestita.
Come illustrato nella figura seguente, il lab creato con questo tutorial è il componente fondamentale per l'apprendimento pratico di Managed AWS Microsoft AD. Successivamente, puoi aggiungere tutorial opzionali per ulteriore esperienza pratica. Questa serie di tutorial è ideale per tutti coloro che hanno iniziato da poco a utilizzare Microsoft AD gestito da AWS e che desiderano un laboratorio di sviluppo per scopi di valutazione. questo tutorial dura circa un'ora.
![\[Diagramma che mostra i passaggi del tutorial: 1 configurazione dell'ambiente, 2 creazione di AWS Managed Microsoft AD, 3 implementazione di Amazon EC2 e 4 test del laboratorio.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)
**[Fase 1: Configurare AWS l'ambiente per AWS Managed Microsoft AD Active Directory](microsoftadbasestep1.md)**
Dopo aver completato le attività preliminari, crei e configuri un Amazon VPC nella tua istanza EC2.
**[Passaggio 2: creare la directory Microsoft AD Active Directory AWS gestita](microsoftadbasestep2.md)**
In questo passaggio, configuri AWS Managed Microsoft AD AWS per la prima volta.
**[Fase 3: Implementa un'istanza Amazon EC2 per gestire la tua AWS Managed Microsoft AD Active Directory](microsoftadbasestep3.md)**
Di seguito, ti guiderà attraverso le varie attività successive alla distribuzione necessarie per i computer dei client per connetterti al tuo nuovo dominio e configurare un nuovo sistema di Windows Server in EC2.
**[Fase 4: verifica che il laboratorio di sviluppo di base sia operativo](microsoftadbasestep4.md)**
Infine, in qualità di amministratore, è necessario verificare se è possibile accedere e collegarsi a Microsoft AD gestito da AWS dal tuo sistema di Windows Server in EC2. Una volta che hai testato la funzionalità del tuo lab, puoi continuare ad aggiungere altri moduli di guide lab di sviluppo.
# Prerequisiti
Se prevedi di usare solo i passaggi dell'interfaccia utente descritti in questo tutorial per creare il tuo lab di sviluppo, è possibile ignorare questa sezione relativa ai prerequisiti e passare alla Fase 1. Tuttavia, se prevedi di utilizzare AWS CLI comandi o AWS Tools for Windows PowerShell moduli per creare il tuo ambiente di test lab, devi prima configurare quanto segue:
+ **Utente IAM con chiave di accesso e chiave di accesso segreta**: per utilizzare i AWS Tools for Windows PowerShell moduli AWS CLI or è necessario un utente IAM con una chiave di accesso. Se non si disponi di una chiave di accesso, consulta [Creazione, modifica e visualizzazione delle chiavi di accesso (Console di gestione AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey).
+ **AWS Command Line Interface (opzionale)**: [scaricalo e installalo AWS CLI su Windows](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). Una volta installato, apri il prompt dei comandi o la PowerShell finestra, quindi digita`aws configure`. Nota che è necessaria la chiave di accesso e la chiave segreta per completare la configurazione. Guarda i prerequisiti iniziali per le fasi relative alle modalità di esecuzione di questa operazione. Ti verrà richiesto:
+ AWS ID della chiave di accesso [Nessuno]: `AKIAIOSFODNN7EXAMPLE`
+ AWS chiave di accesso segreta [Nessuna]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ Il nome di default della regione [Nessuno]: `us-west-2`
+ Il formato di output di default: [Nessuno]: `json`
+ **AWS Tools for Windows PowerShell****(opzionale)**: scarica e installa la versione più recente AWS Tools for Windows PowerShell del modulo [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/), quindi esegui il comando seguente. Nota che è necessaria la tua chiave di accesso e la chiave segreta per completare la configurazione. Guarda i prerequisiti iniziali per le fasi relative alle modalità di esecuzione di questa operazione.
`Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`
# Fase 1: Configurare AWS l'ambiente per AWS Managed Microsoft AD Active Directory
Prima di poter creare AWS Managed Microsoft AD nel tuo laboratorio di AWS test, devi prima configurare la coppia di chiavi Amazon EC2 in modo che tutti i dati di accesso siano crittografati.
## Creazione di una coppia di chiavi
Se già disponi una coppia di chiavi, questa fase può essere ignorata. Per ulteriori informazioni sulle coppie di chiavi Amazon EC2, consulta [Creare coppie di chiavi](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).
**Come creare una coppia di chiavi**
1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Nel pannello di navigazione, in **Network & Security** (Sicurezza e rete), scegli **Key Pairs** (Coppie di chiavi) e quindi scegliere **Crea Key Pair** (Crea coppia di chiavi).
1. Per **Nome coppia di chiavi**, digitare **AWS-DS-KP**. Per **Formato file coppia di chiavi**, selezionare **pem**, quindi scegliere **Crea**.
1. Il file della chiave privata viene automaticamente scaricato dal browser. Il nome di file è il nome che hai specificato quando hai creato la coppia di chiavi con estensione `.pem`. Salvare il file della chiave privata in un luogo sicuro.
**Importante**
Questo è l'unico momento in cui salvare il file della chiave privata. È necessario fornire il nome della coppia di chiavi quando avvii un'istanza e la chiave privata corrispondente ogni volta che decripti la password per l'istanza.
## Crea, configura ed esegui il peering di due Amazon VPCs
Come illustrato nella figura seguente, al termine di questo processo in più fasi, avrai creato e configurato due sottoreti pubbliche VPCs, due sottoreti pubbliche per VPC, un Internet Gateway per VPC e una connessione peering VPC tra. VPCs Abbiamo scelto di utilizzare reti pubbliche VPCs e sottoreti per motivi di semplicità e costi. Per i carichi di lavoro di produzione, ti consigliamo di utilizzare il formato privato. VPCs Per maggiori informazioni sul miglioramento della sicurezza VPC, consulta [Sicurezza in Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html).
![\[Ambiente Amazon VPC con sottoreti e Internet Gateway per creare un AWS Microsoft AD Active Directory gestito.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
Tutti gli PowerShell esempi utilizzano le informazioni VPC riportate di seguito e sono integrati in us-west-2. AWS CLI Puoi scegliere qualsiasi regione[ supportata](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) in cui creare l'ambiente. Per ulteriori informazioni, consulta [Cos'è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
**Passaggio 1: creane due VPCs**
In questo passaggio, è necessario crearne due VPCs nello stesso account utilizzando i parametri specificati nella tabella seguente. AWS Microsoft AD gestito supporta l'uso di account separati con [Condividi il tuo AWS Managed Microsoft AD](ms_ad_directory_sharing.md) questa funzionalità. Il primo VPC verrà utilizzato per Managed AWS Microsoft AD. Il secondo VPC verrà utilizzato per le risorse che possono essere utilizzate successivamente in [Tutorial: creazione di un trust da AWS Managed Microsoft AD a un'installazione di Active Directory autogestita su Amazon EC2](ms_ad_tutorial_test_lab_trust.md).
****
| Informazioni gestite su Active Directory VPC | Informazioni sul VPC on-premise |
| --- | --- |
| Targhetta con nome: AWS-DS- VPC01 IPv4 Blocco CIDR: 10.0.0.0/16 IPv6 Blocco CIDR: nessun blocco CIDR IPv6 Tenancy: predefinito | Targhetta con nome: AWS- - OnPrem VPC01 IPv4 Blocco CIDR: 10.100.0.0/16 IPv6 Blocco CIDR: nessun blocco CIDR IPv6 Tenancy: predefinito |
Per istruzioni dettagliate, consulta [Creazione di un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC).
**Passaggio 2: Creare due sottoreti per VPC**
Dopo aver creato il, sarà VPCs necessario creare due sottoreti per VPC utilizzando i parametri specificati nella tabella seguente. Per questo laboratorio di test ogni sottorete sarà /24. Ciò consente di emettere fino a 256 indirizzi per sottorete. Ogni sottorete deve essere un in una AZ separata. Mettere ogni sottorete in una AZ separata è uno dei [Prerequisiti per la creazione di un AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).
****
| AWS Informazioni sulla sottorete -DS-: VPC01 | AWS- OnPrem - VPC01 informazioni sulla sottorete |
| --- | --- |
| Targhetta con nome: AWS-DS- -Subnet01 VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona di disponibilità predefinita: us-west-2a IPv4 Blocco CIDR: 10.0.0.0/24 | Tag con nome: - - -Subnet01 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona di disponibilità predefinita: us-west-2a IPv4 Blocco CIDR: 10.10.0.0/24 |
| Tag con nome: -DS- -Subnet02 AWS VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona di disponibilità: us-west-2b IPv4 Blocco CIDR: 10.0.1.0/24 | Tag con nome: - - -Subnet02 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona di disponibilità: us-west-2b IPv4 Blocco CIDR: 10.10.1.0/24 |
Per istruzioni dettagliate, consulta [Creazione di una sottorete nel VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).
**Fase 3: Creare e collegare un Internet Gateway al VPCs**
Dal momento che stiamo utilizzando VPC pubblici sarà necessario creare e collegare un gateway Internet ai VPC utilizzando i parametri specificati nella tabella seguente. Ciò consentirà di connettersi e gestire le istanze EC2.
****
| AWS-DS- Informazioni sull'VPC01 Internet Gateway | AWS- OnPrem - Informazioni sull'VPC01 Internet Gateway |
| --- | --- |
| Targhetta con nome: AWS-DS- VPC01 -IGW VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 | Targhetta con nome: - - -IGW AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Per istruzioni dettagliate, consulta [Gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
**Fase 4: Configurare una connessione peering VPC tra AWS-DS- e - - VPC01 AWS OnPrem VPC01**
Poiché ne hai già creati due VPCs in precedenza, dovrai collegarli in rete utilizzando il peering VPC utilizzando i parametri specificati nella tabella seguente. Sebbene ci siano molti modi per connettere il tuo VPCs, questo tutorial utilizzerà il peering VPC. AWS [Managed Microsoft AD supporta molte soluzioni per connettere il tuo VPCs, alcune di queste includono il [peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), il [Transit](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) Gateway e la VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)
****
| |
| --- |
| Denominazione della connessione peering: AWS-DS- VPC01 & - - -Peer AWS OnPrem VPC01 VPC (richiedente): vpc-xxxxxxxxxxxxxxxxx -DS- AWS VPC01 Account: il mio account Regione: questa regione VPC (accetta): vpc-xxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
Per istruzioni su come creare una connessione di peering VPC con un altro VPC dal tuo account, consulta [Creazione di una connessione di peering VPC con un altro VPC nell'account](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local).
**Passaggio 5: aggiungi due percorsi alla tabella di routing principale di ogni VPC**
Affinché i gateway Internet e la connessione peering VPC creati nei passaggi precedenti funzionino, è necessario aggiornare la tabella di routing principale di VPCs entrambi utilizzando i parametri specificati nella tabella seguente. Verranno aggiunti due route: 0.0.0.0/0 che sarà indirizzato a tutte le destinazioni non esplicitamente note alla tabella del percorso e 10.0.0.0/16 o 10.100.0.0/16 che verranno instradati a ciascun VPC tramite la connessione peering VPC stabilita sopra.
Puoi trovare facilmente la tabella di routing corretta per ogni VPC filtrando il tag del nome VPC (AWS-DS- o - -). VPC01 AWS OnPrem VPC01
****
| AWS Informazioni sulla route 1 di -DS- VPC01 | AWS-DS- informazioni VPC01 sulla route 2 | AWS- OnPrem - Informazioni VPC01 sulla rotta 1 | AWS- OnPrem - Informazioni sul VPC01 percorso 2 |
| --- | --- | --- | --- |
| Destinazione: 0.0.0.0/0 Destinazione: igw-xxxxxxxxxxxxxxxxx -DS- -IGW AWS VPC01 | Destinazione: 10.100.0.0/16 Obiettivo: pcx-xxxxxxxxxxxxxxxxx AWS-DS- e - - VPC01 -Peer AWS OnPrem VPC01 | Destinazione: 0.0.0.0/0 Obiettivo: igw-xxxxxxxxxxxxxxxxx AWS-Onprem- VPC01 | Destinazione: 10.0.0.0/16 Obiettivo: pcx-xxxxxxxxxxxxxxxxx AWS-DS- e - - -Peer VPC01 AWS OnPrem VPC01 |
Per istruzioni su come aggiungere route a una tabella di route VPC, consulta [Aggiunta e rimozione di route da una tabella di route](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes).
## Crea gruppi di sicurezza per le istanze Amazon EC2
Per impostazione predefinita, AWS Managed Microsoft AD crea un gruppo di sicurezza per gestire il traffico tra i relativi controller di dominio. In questa sezione, sarà necessario creare 2 gruppi di sicurezza (uno per ogni VPC) che verranno utilizzati per gestire il traffico all'interno del VPC per le istanze EC2, utilizzando i parametri specificati nelle tabelle seguenti. È inoltre possibile aggiungere una regola che consente l'ingresso di RDP (3389) da qualunque luogo e l'ingresso di tutti i tipi di traffico dal VPC locale. Per ulteriori informazioni, consulta [Gruppi di sicurezza Amazon EC2 per le istanze Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html).
****
| AWS-DS- informazioni sul gruppo VPC01 di sicurezza: |
| --- |
| Nome del gruppo di sicurezza: AWS DS Test Lab Security Group Descrizione: AWS DS Test Lab Security Group VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 |
**Regole di sicurezza in entrata per -DS- AWS VPC01**
****
| Tipo | Protocollo | Intervallo porte | Origine | Tipo di traffico |
| --- | --- | --- | --- | --- |
| Regola TCP personalizzata | TCP | 3389 | Il mio IP | Remote Desktop (Desktop remoto) |
| All Traffic | Tutti | Tutti | 10.0.0.0/16 | Tutto il traffico VPC locale |
**Regole in uscita del gruppo di sicurezza per -DS- AWS VPC01**
****
| Tipo | Protocollo | Intervallo porte | Destinazione | Tipo di traffico |
| --- | --- | --- | --- | --- |
| All Traffic | Tutti | Tutti | 0.0.0.0/0 | Tutto il traffico |
****
| AWS- OnPrem - informazioni sul gruppo VPC01 di sicurezza: |
| --- |
| Nome del gruppo di sicurezza: AWS OnPrem Test Lab Security Group. Descrizione: AWS OnPrem Test Lab Security Group. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
**Regole di sicurezza in entrata per - - AWS OnPrem VPC01**
****
| Tipo | Protocollo | Intervallo porte | Origine | Tipo di traffico |
| --- | --- | --- | --- | --- |
| Regola TCP personalizzata | TCP | 3389 | Il mio IP | Remote Desktop (Desktop remoto) |
| Regola TCP personalizzata | TCP | 53 | 10.0.0.0/16 | DNS |
| Regola TCP personalizzata | TCP | 88 | 10.0.0.0/16 | Kerberos |
| Regola TCP personalizzata | TCP | 389 | 10.0.0.0/16 | LDAP |
| Regola TCP personalizzata | TCP | 464 | 10.0.0.0/16 | Kerberos cambia/imposta la password |
| Regola TCP personalizzata | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
| Regola TCP personalizzata | TCP | 135 | 10.0.0.0/16 | Replica |
| Regola TCP personalizzata | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| Regola TCP personalizzata | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| Regola TCP personalizzata | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC & LDAP GC SSL |
| Regola UDP personalizzata | UDP | 53 | 10.0.0.0/16 | DNS |
| Regola UDP personalizzata | UDP | 88 | 10.0.0.0/16 | Kerberos |
| Regola UDP personalizzata | UDP | 123 | 10.0.0.0/16 | Ora di Windows |
| Regola UDP personalizzata | UDP | 389 | 10.0.0.0/16 | LDAP |
| Regola UDP personalizzata | UDP | 464 | 10.0.0.0/16 | Kerberos cambia/imposta la password |
| All Traffic | Tutti | Tutti | 10.100.0.0/16 | Tutto il traffico VPC locale |
**Regole dei gruppi di sicurezza in uscita per AWS- - OnPrem VPC01**
****
| Tipo | Protocollo | Intervallo porte | Destinazione | Tipo di traffico |
| --- | --- | --- | --- | --- |
| All Traffic | Tutti | Tutti | 0.0.0.0/0 | Tutto il traffico |
Per istruzioni dettagliate su come creare e aggiungere regole ai gruppi di sicurezza, consulta [Utilizzo dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups).
# Passaggio 2: creare la directory Microsoft AD Active Directory AWS gestita
È possibile utilizzare tre metodi differenti per creare la tua directory. È possibile utilizzare la Console di gestione AWS procedura (consigliata per questo tutorial) oppure utilizzare AWS Tools for Windows PowerShell le procedure AWS CLI o per creare la directory.
**Metodo 1: per creare la directory AWS Managed Microsoft AD (Console di gestione AWS)**
1. Nel riquadro di navigazione della [Console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), scegli **Directory**, quindi seleziona **Configura directory**.
1. Nella pagina **Seleziona il tipo di directory**, scegli **Microsoft AD gestito da AWS **, quindi seleziona **Successivo**.
1. Nella pagina **Enter directory information (Inserisci le informazioni sulla directory)**, fornisci le seguenti informazioni, quindi seleziona **Next (Successivo)**.
+ Per **Edition (Edizione)**, scegli **Standard Edition** o **Enterprise Edition**. Per ulteriori informazioni sulle edizioni, consulta [Servizio di directory AWS per Microsoft Active Directory](what_is.md#microsoftad).
+ In **Directory DNS name (Nome DNS directory)**, digita **corp.example.com**.
+ In **Directory NetBIOS name (Nome NetBIOS della directory)**, digita **corp**.
+ In **Directory description (Descrizione directory)**, digita **AWS DS Managed**.
+ Per **Admin password** (Amministratore password) digita la password da utilizzare per questo account e digitala nuovamente in **Confirm password** (Conferma password). Questo **Admin** (Amministratore) dell'account è creato automaticamente durante il processo di creazione della directory. La password non può includere la parola *admin*. La password dell'amministratore della directory applica la distinzione tra maiuscole e minuscole e deve contenere tra 8 e 64 caratteri, inclusi. Deve anche contenere un carattere di almeno tre delle seguenti quattro categorie:
+ Lettere minuscole (a-z)
+ Lettere maiuscole (A-Z)
+ Numeri (0-9)
+ Caratteri non alfanumerici (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
1. Nella pagina **Choose VPC and subnets (Scegli VPC e sottoreti)** fornire le seguenti informazioni, quindi selezionare **Next (Successivo)**.
+ Per **VPC**, scegli l'opzione che inizia con **AWS-DS- VPC01** e termina con **(**10.0.0.0/16).
+ Per **Sottoreti**, scegli le sottoreti pubbliche **10.0.0.0/24** e **10.0.1.0/24**.
1. Nella pagina **Review & create (Rivedi e crea)**, esaminare le informazioni relative alla directory ed eseguire eventuali modifiche. Quando le informazioni sono corrette, scegli **Create Directory (Crea directory)**. La creazione di una directory richiede dai 20 ai 40 minuti. Una volta creato, il valore **Status** cambia in **Active** (Attivo).
**Metodo 2: creare il tuo AWS Managed Microsoft AD (PowerShell) (opzionale)**
1. Aprire PowerShell.
1. Digita il seguente comando. Assicuratevi di utilizzare i valori forniti nel passaggio 4 della Console di gestione AWS procedura precedente.
```
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
```
**Metodo 3: per creare il tuo AWS Managed Microsoft AD (AWS CLI) (opzionale)**
1. Apri il AWS CLI.
1. Digita il seguente comando. Accertarsi di utilizzare i valori forniti nel passaggio 4 della Console di gestione AWS procedura precedente.
```
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
```
# Fase 3: Implementa un'istanza Amazon EC2 per gestire la tua AWS Managed Microsoft AD Active Directory
Per questo laboratorio, utilizziamo istanze Amazon EC2 con indirizzi IP pubblici per semplificare l'accesso all'istanza di gestione da qualsiasi luogo. In un ambiente di produzione, puoi utilizzare istanze che si trovano in un VPC privato accessibili solo tramite una VPN Direct Connect o un collegamento. Non è necessario che l'istanza abbia un indirizzo IP pubblico.
In questa sezione, procedi gradualmente nelle varie attività successive alla distribuzione, necessarie per i computer client per connettere il tuo dominio usando il Windows Server sulla tua nuova istanza EC2. Usa la Windows Server nella fase successiva per verificare che il lab sia operativo.
## Facoltativo: crea un set di opzioni DHCP in AWS-DS- per la tua directory VPC01
In questa procedura facoltativa, configuri un ambito di opzioni DHCP in modo che le istanze EC2 nel tuo VPC utilizzino automaticamente il tuo Managed AWS Microsoft AD per la risoluzione DNS. Per ulteriori informazioni, consulta la pagina relativa ai [Set di opzioni DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).
**Creazione di un set opzioni DHCP per la tua directory**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegliere **DHCP Options Sets (Set di opzioni DHCP)**, quindi selezionare **Create DHCP options set (Crea set di opzioni DHCP)**.
1. Nella pagina **Create DHCP options set** (Crea set opzioni DHCP), fornire i seguenti valori per la directory:
+ In **Name (Nome)** digitare **AWS DS DHCP**.
+ Per **Domain name (Nome dominio)**, digitare **corp.example.com**.
+ Per **Domain name servers (Server dei nomi di dominio)**, digita gli indirizzi IP dei server DNS della tua directory fornita da AWS .
**Nota**
Per trovare questi indirizzi, vai alla pagina Directory Service **Directory, quindi scegli l'ID di directory** applicabile. Nella pagina **Dettagli**, identifica e utilizza IPs quelli visualizzati nell'indirizzo **DNS**.
In alternativa, per trovare questi indirizzi, vai alla pagina **Directory** del Directory Service e scegli l'ID directory applicabile. Quindi, scegli **Dimensiona e condividi**. In **Controller di dominio**, identifica e utilizza IPs quelli visualizzati nell'**indirizzo IP**.
+ Lascia vuoto per le impostazioni **NTP servers** (Server NTP), **NetBIOS name servers** (Server dei nomi NetBIOS) e **NetBIOS node type** (Tipo di nodo NetBIOS).
1. Scegliere **Create DHCP options set (Crea set di opzioni DHCP)** e **Close (Chiudi)**. Il nuovo set di opzioni DHCP viene visualizzato nel tuo elenco delle opzioni DHCP.
1. Prendi nota dell'ID del nuovo set di opzioni DHCP (**dopt** -). *xxxxxxxx* Si utilizza al termine di questa procedura, quando si associa il nuovo set di opzioni al VPC.
**Nota**
L'aggiunta ai domini uniforme funziona senza dover configurare un set di opzioni DHCP.
1. **Nel riquadro di navigazione, scegli Your. VPCs**
1. Nell'elenco VPCs, seleziona **AWS DS VPC**, scegli **Azioni**, quindi scegli **Modifica set di opzioni DHCP**.
1. Nella pagina **Edit DHCP options set (Modifica set di opzioni DHCP)**, selezionare le opzioni registrate nella fase e scegliere**Save**.
## Crea un ruolo per aggiungere istanze Windows al tuo dominio Microsoft AD AWS gestito
Utilizza questa procedura per configurare un ruolo che unisce un'istanza Amazon EC2 Windows a un dominio. Per ulteriori informazioni, consulta [Unire un'istanza Windows di Amazon EC2 alla tua directory gestita di AWS Microsoft AD Active Directory](launching_instance.md).
**Configurazione di EC2 per aggiungere le istanze Windows al tuo dominio**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.
1. In **Select type of trusted entity** (Seleziona tipo di entità attendibile), scegli **AWS service** (Servizio).
1. Sotto l'opzione **Choose the service that will use this role (Scegli il servizio che utilizzerà questo ruolo)** scegli **EC2**, quindi **Next: Permissions (Successivo: Autorizzazioni)**.
1. Nella pagina **Attached permissions policy (Policy autorizzazioni collegate)**, eseguire quanto segue:
+ Seleziona la casella accanto alla politica SSMManaged InstanceCore gestita da **Amazon**. Questa policy fornisce le autorizzazioni minime necessarie per utilizzare il servizio Systems Manager.
+ Seleziona la casella accanto a **Amazon SSMDirectory ServiceAccess** managed policy. La policy fornisce le autorizzazioni per collegare le istanze a una Active Directory gestita da Directory Service.
Per informazioni su queste regole gestite e altre policy che puoi collegare a un profilo dell'istanza IAM per Systems Manager, consulta [Creazione di un profilo di istanza IAM per Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) nella *Guida per l'utente di AWS Systems Manager *. Per ulteriori informazioni sulle policy, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente IAM*.
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegliere **Next: Review (Successivo: Rivedi)**.
1. Per **Nome ruolo**, inserisci un nome per il ruolo che descrive che viene utilizzato per unire le istanze a un dominio, ad **EC2DomainJoin**esempio.
1. (Facoltativo) Per **Role Description (Descrizione ruolo)**, immetti una descrizione.
1. Scegliere **Create role** (Crea ruolo). Il sistema visualizza di nuovo la pagina **Ruoli**.
## Crea un'istanza Amazon EC2 e accedi automaticamente alla directory
In questa procedura configuri un sistema Windows Server in un'istanza EC2 che può essere utilizzato in seguito per amministrare utenti, gruppi e politiche in Active Directory.
**Creazione di un'istanza EC2 e aggiunta automatica della directory**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Scegliere **Launch Instance (Avvia istanza)**.
1. Nella pagina **Passaggio 1**, accanto a **Microsoft Windows Server 2019 Base, ami- *xxxxxxxxxxxxxxxxx*** scegli **Seleziona**.
1. Nella pagina **Fase 2**, seleziona **t3.micro** (nota, è possibile scegliere un tipo di istanza più grande) e quindi selezionare **Successivo: configura Dettagli istanza**.
1. Nella pagina **Step 3** (Fase 3), esegui le operazioni seguenti:
+ Per **Rete**, scegli il VPC che termina con **AWS-DS- VPC01** (ad esempio, **vpc- *xxxxxxxxxxxxxxxxx* \$1 AWS-DS-**). VPC01
+ Per **Subnet** scegli **Public subnet 1**, che deve essere preconfigurata per la tua zona di disponibilità preferita (ad esempio, **subnet- \$1 -DS- -Subnet01** \$1). *xxxxxxxxxxxxxxxxx* AWS VPC01 *us-west-2a*
+ Per **Auto-assign Public IP** (Assegna automaticamente IP pubblico), scegli **Enable** (Abilita) (se l'impostazione della sottorete non è configurata per l'abilitazione come impostazione predefinita).
+ **Per la **directory di accesso al dominio, scegliete corp.example.com** (d-). *xxxxxxxxxx***
+ Per il **ruolo IAM** scegli il nome a cui hai assegnato il ruolo dell'istanza, ad esempio. [Crea un ruolo per aggiungere istanze Windows al tuo dominio Microsoft AD AWS gestito](#configureec2) **EC2DomainJoin**
+ Lascia le altre impostazioni ai valori predefiniti.
+ Scegli **Passaggio successivo: aggiunta dello storage**.
1. Nella pagina **Step 4** (Fase 4), mantieni le impostazioni predefinite, quindi scegli **Next: Add Tags** (Successivo: aggiungi tag).
1. Nella pagina **Step 5** (Fase 5), scegli **Add tag** (Aggiungi tag). In **Key (Chiave)** digita **corp.example.com-mgmt** quindi scegli **Next: Configure Security Group (Successivo: configura gruppo di sicurezza)**.
1. Nella pagina **Fase 6**, scegli **Seleziona un gruppo di sicurezza esistente**, seleziona **Gruppo di sicurezza AWS DS Test Lab** (che hai già configurato nel [tutorial di base](microsoftadbasestep1.md#createsecuritygroup)), quindi scegli **Analizza e avvia** per analizzare l'istanza.
1. Nella pagina **Step 7** (Fase 7), analizza la pagina, quindi scegli **Launch** (Avvia).
1. Nella finestra di dialogo **Select an existing key pair or create a new key pair** (Seleziona una coppia di chiavi esistente o crea una nuova coppia di chiavi) esegui le operazioni seguenti:
+ Scegli **Choose an existing key pair** (Scegli una coppia di chiavi esistente).
+ In **Seleziona una coppia di chiavi**, scegli **AWS-DS-KP**.
+ Seleziona la casella di controllo **I acknowledge...** (Acconsento...).
+ Scegliere **Launch Instances** (Avvia istanze).
1. Scegli **Visualizza istanze** per tornare alla console Amazon EC2 e visualizzare lo stato dell'implementazione.
## Installazione degli strumenti di Active Directory sull'istanza EC2
È possibile scegliere tra due metodi per installare gli strumenti di gestione del dominio di Active Directory sulla tua istanza EC2. Puoi utilizzare l'interfaccia utente di Server Manager (consigliata per questo tutorial) oPowerShell.
**Installazione degli strumenti di Active Directory sull'istanza EC2 (Server Manager)**
1. Nella console Amazon EC2, scegli **Istanze**, seleziona l'istanza appena creata, quindi scegli **Connetti**.
1. Nella finestra **di dialogo Connect To Your Instance**, scegli **Ottieni password** per recuperare la password se non l'hai già fatto, quindi scegli **Scarica il file del desktop remoto**.
1. Nella finestra di dialogo **Windows Security (Sicurezza di Windows)**, digita le credenziali dell'amministratore locale per il computer Windows Server per effettuare l'accesso (ad esempio, **administrator**).
1. Nel menu **Start** (Inizia), scegli **Server Manager**.
1. In **Dashboard** (Pannello di controllo), scegli **Add Roles and Features** (Aggiungi ruoli e funzionalità).
1. In **Add Roles and Features Wizard** (Procedura guidata aggiunta ruoli e funzionalità), scegli **Next** (Successivo).
1. Nella pagina **Select installation type** (Seleziona tipo di installazione), scegli **Role-based or feature-based installation** (Installazione basata su ruoli o su funzionalità), quindi scegli **Next** (Successivo).
1. Nella pagina **Select destination server** (Seleziona server di destinazione), assicurati che sia selezionato il server locale, quindi scegli **Next** (Successivo).
1. Nella pagina **Select server roles** (Seleziona ruoli server), scegli **Next** (Successivo).
1. Nella pagina **Select features** (Seleziona funzionalità), effettua le operazioni seguenti:
+ Seleziona la casella di **Group Policy Management** (Gestione di Group Policy).
+ Espandi **Remote Server Administration Tools** (Strumenti di amministrazione server remoti) e successivamente espandi **Role Administration Tools** (Strumenti amministrazione ruoli).
+ Seleziona la casella di controllo **AD DS and AD LDS Tools** (Strumenti AD DS e AD LDS).
+ Seleziona la casella di controllo **DNS Server Tools** (Strumenti del server DNS).
+ Scegli **Next (Successivo)**.
1. Nella pagina **Confirm installation selections** (Conferma selezioni di installazione), verifica l'informazione e quindi scegli **Install** (Installa). Quando la funzione di installazione è terminata, i seguenti nuovi strumenti o snap-in saranno disponibili nella cartella Strumenti di amministrazione di Windows nel menu Start.
+ Centro di amministrazione di Active Directory
+ Dominio Active Directory e Trust
+ Modulo Active Directory per PowerShell
+ Siti di Active Directory e servizi
+ Utenti Active Directory e computer
+ Modifica ADSI
+ DNS
+ Gestione di Group Policy
**Per installare gli strumenti di Active Directory sulla tua istanza EC2 (PowerShell) (opzionale)**
1. Avvia PowerShell.
1. Digita il seguente comando.
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```
# Fase 4: verifica che il laboratorio di sviluppo di base sia operativo
Utilizza la procedura seguente per verificare che il lab di sicurezza sia stato impostato correttamente prima di aggiungere ulteriori moduli di guida di lab di sicurezza. Questa procedura verifica che Windows Server sia configurato correttamente, possa connettersi al dominio corp.example.com e che possa essere utilizzato per amministrare la foresta gestita di Microsoft AD. AWS
**Verifica che il lab di sviluppo sia operativo**
1. Disconnettiti dall'istanza EC2 in cui hai effettuato l'accesso come amministratore locale.
1. Torna nella console Amazon EC2, nel riquadro di navigazione scegli **Istanze**. Successivamente seleziona l'istanza che hai creato. Scegli **Connetti**.
1. Nella finestra di dialogo **Connect To Your Instance** (Connetti all'istanza), scegli **Download Remote Desktop File** (Scarica file per il desktop remoto).
1. Nella finestra di dialogo **Windows Security (Sicurezza di Windows)**, digita le credenziali del tuo amministratore per il dominio CORP per accedere (per esempio, **corp\$1admin**).
1. Una volta effettuato l'accesso, nel menu **Start** (Avvia), in **Windows Administrative Tools** (Strumenti di amministrazione di Windows) scegli **Active Directory Users and Computers** (Utenti Active Directory e computer).
1. Dovresti vedere **corp.example.com** visualizzato con tutti gli account predefiniti e associati a un nuovo dominio. OUs In **Controllori di dominio**, nota i nomi dei controller di dominio che sono stati creati automaticamente quando hai creato il tuo AWS Managed Microsoft AD nel passaggio 2 di questo tutorial.
Complimenti\$1 L'ambiente di test di base AWS Managed Microsoft AD è stato ora configurato. Sei pronto per iniziare ad aggiungere il prossimo lab di sicurezza nelle serie.
Tutorial successivo: [Tutorial: creazione di un trust da AWS Managed Microsoft AD a un'installazione di Active Directory autogestita su Amazon EC2](ms_ad_tutorial_test_lab_trust.md)