Unire un'istanza Amazon EC2 Windows al tuo Simple AD Active Directory - AWS Directory Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Unire un'istanza Amazon EC2 Windows al tuo Simple AD Active Directory

Puoi avviare e iscriverti a un Amazon EC2 Windows istanza di un Simple AD. In alternativa, puoi unire manualmente un esistente EC2 Windows istanza di un Simple AD

Seamlessly join an EC2 Windows

Per aggiungere facilmente un dominio a un' EC2 istanza, devi completare quanto segue:

Prerequisiti

  • Crea un Simple AD Per saperne di più, vediCrea il tuo Simple AD.

  • Avrai bisogno delle seguenti autorizzazioni IAM per partecipare senza problemi a un EC2 Windows esempio:

    • Profilo di istanza IAM con le seguenti autorizzazioni IAM:

      • AmazonSSMManagedInstanceCore

      • AmazonSSMDirectoryServiceAccess

    • Il dominio utente che si unisce perfettamente a Simple EC2 AD necessita delle seguenti autorizzazioni IAM:

      • AWS Directory Service Autorizzazioni:

        • "ds:DescribeDirectories"

        • "ds:CreateComputer"

      • Autorizzazioni Amazon VPC:

        • "ec2:DescribeVpcs"

        • "ec2:DescribeSubnets"

        • "ec2:DescribeNetworkInterfaces"

        • "ec2:CreateNetworkInterface"

        • "ec2:AttachNetworkInterface"

      • EC2 Autorizzazioni:

        • "ec2:DescribeInstances"

        • "ec2:DescribeImages"

        • "ec2:DescribeInstanceTypes"

        • "ec2:RunInstances"

        • "ec2:CreateTags"

      • AWS Systems Manager Autorizzazioni:

        • "ssm:DescribeInstanceInformation"

        • "ssm:SendCommand"

        • "ssm:GetCommandInvocation"

        • "ssm:CreateBatchAssociation"

Quando viene creato Simple AD, viene creato un gruppo di sicurezza con regole in entrata e in uscita. Per ulteriori informazioni su queste regole e porte, consulta. Cosa viene creato con il tuo Simple AD Per aggiungere un dominio senza problemi a un EC2 Windows ad esempio, il VPC su cui stai lanciando l'istanza dovrebbe consentire le stesse porte consentite nelle regole in entrata e in uscita del gruppo di sicurezza Simple AD.

  • A seconda della sicurezza di rete e delle impostazioni del firewall, potrebbe esserti richiesto di consentire traffico in uscita aggiuntivo. Questo traffico sarebbe destinato a HTTPS (porta 443) verso i seguenti endpoint:

    Endpoint Ruolo

    ec2messages.region.amazonaws.com

    Crea ed elimina i canali di sessione con il servizio Session Manager. Per ulteriori informazioni, consulta Endpoint e quote per AWS Systems Manager.

    ssm.region.amazonaws.com

    Endpoint per. AWS Systems Manager Session Manager Per ulteriori informazioni, consulta Endpoint e quote per AWS Systems Manager.

    ssmmessages.region.amazonaws.com

    Crea ed elimina i canali di sessione con il servizio Session Manager. Per ulteriori informazioni, consulta Endpoint e quote per AWS Systems Manager.

    ds.region.amazonaws.com

    Endpoint per. AWS Directory Service Per ulteriori informazioni, consulta Disponibilità regionale per AWS Directory Service.

  • Ti consigliamo di utilizzare un server DNS che risolva il tuo nome di dominio Simple AD. A tale scopo, è possibile creare un set di opzioni DHCP. Per ulteriori informazioni, consulta Creazione di un set di opzioni DHCP per Simple AD.

    • Se scegli di non creare un set di opzioni DHCP, i tuoi server DNS saranno statici e configurati dal tuo Simple AD.

  1. Accedi a AWS Management Console e apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nella barra di navigazione, scegli la Regione AWS stessa cartella esistente.

  3. Nella EC2 Dashboard, nella sezione Launch instance, scegli Launch instance.

  4. Nella pagina Avvia un'istanza, nella sezione Nome e tag, inserisci il nome che desideri utilizzare per l' EC2 istanza Windows.

  5. (Facoltativo) Scegli Aggiungi tag aggiuntivi per aggiungere una o più coppie chiave-valore di tag per organizzare, tracciare o controllare l'accesso per questa EC2 istanza.

  6. Nella sezione Applicazione e immagine del sistema operativo (Amazon Machine Image), scegli Windows nel riquadro Guida rapida. Puoi modificare l'Amazon Machine Image (AMI) di Windows dall'elenco a discesa Amazon Machine Image (AMI).

  7. Nella sezione Tipo di istanza, scegli il tipo di istanza che desideri utilizzare dall'elenco a discesa Tipo di istanza.

  8. Nella sezione Coppia di chiavi (accesso), puoi scegliere se creare una nuova coppia di chiavi o selezionare una coppia di chiavi esistente.

    1. Per creare una nuova coppia di chiavi, scegli Crea nuova coppia di chiavi.

    2. Inserisci un nome per la coppia di chiavi e seleziona un'opzione per il Tipo di coppia di chiavi e il Formato del file della chiave privata.

    3. Per salvare la chiave privata in un formato che può essere utilizzato con OpenSSH, scegli .pem. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegli .ppk.

    4. Scegli crea coppia di chiavi.

    5. Il file della chiave privata viene automaticamente scaricato dal browser. Salvare il file della chiave privata in un luogo sicuro.

      Importante

      Questo è l'unico momento in cui salvare il file della chiave privata.

  9. Nella pagina Avvia un'istanza, nella sezione Impostazioni di rete, scegli Modifica. Scegli il VPC in cui è stata creata la tua directory dall'elenco a discesa VPC - obbligatorio.

  10. Scegli una delle sottoreti pubbliche nel tuo VPC dall'elenco a discesa Sottorete. La sottorete scelta deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, non potrai connetterti in remoto all'istanza.

    Per ulteriori informazioni su come connettersi a un gateway Internet, consulta Eseguire la connessione a Internet utilizzando un gateway Internet nella Guida per l'utente di Amazon VPC.

  11. In Assegna automaticamente IP pubblico, scegli Abilita.

    Per ulteriori informazioni sull'indirizzamento IP pubblico e privato, consulta l'indirizzo IP delle EC2 istanze Amazon nella Amazon EC2 User Guide.

  12. Nelle impostazioni Firewall (gruppi di sicurezza), puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  13. Nelle impostazioni Configurazione dell'archiviazione, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  14. Seleziona la sezione Dettagli avanzati, scegli il tuo dominio dall'elenco a discesa Directory di aggiunta al dominio.

    Nota

    Dopo aver scelto la directory di accesso al dominio, potresti vedere:

    Un messaggio di errore quando si seleziona la directory di accesso al dominio. C'è un errore con il documento SSM esistente.

    Questo errore si verifica se la procedura guidata di EC2 avvio identifica un documento SSM esistente con proprietà impreviste. Puoi effettuare una delle seguenti operazioni:

    • Se hai già modificato il documento SSM e le proprietà sono previste, scegli chiudi e procedi all'avvio dell' EC2 istanza senza modifiche.

    • Seleziona qui il link Elimina il documento SSM esistente per eliminare il documento SSM. Ciò consentirà la creazione di un documento SSM con le proprietà corrette. Il documento SSM verrà creato automaticamente all'avvio dell' EC2 istanza.

  15. In Profilo dell'istanza IAM, puoi selezionare un profilo dell'istanza IAM esistente o crearne uno nuovo. Seleziona un profilo di istanza IAM a cui sono SSMDirectory ServiceAccess associate le policy AWS gestite Amazon SSMManaged InstanceCore e Amazon dall'elenco a discesa del profilo dell'istanza IAM. Per crearne uno nuovo, scegli il link Crea nuovo profilo IAM, quindi procedi come segue:

    1. Scegliere Crea ruolo.

    2. In Seleziona entità attendibile, scegli Servizio AWS .

    3. In Use case (Caso d'uso), scegli EC2.

    4. In Aggiungi autorizzazioni, nell'elenco delle politiche, seleziona le SSMDirectory ServiceAccess politiche di Amazon SSMManaged InstanceCore e Amazon. Nella casella di ricerca, digita SSM per filtrare l'elenco. Scegli Next (Successivo).

      Nota

      Amazon SSMDirectory ServiceAccess fornisce le autorizzazioni per unire le istanze a un Active Directory gestito da. AWS Directory ServiceAmazon SSMManaged InstanceCore fornisce le autorizzazioni minime necessarie per utilizzare il AWS Systems Manager servizio. Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che puoi assegnare al tuo ruolo IAM, consulta Creazione di un profilo dell'istanza IAM per Systems Manager nella Guida per l'utente di AWS Systems Manager .

    5. Nella pagina Denomina, rivedi e crea inserisci un Nome ruolo. Avrai bisogno di questo nome di ruolo da associare all' EC2istanza.

    6. (Facoltativo) Puoi fornire una descrizione del profilo dell'istanza IAM nel campo Descrizione.

    7. Scegliere Crea ruolo.

    8. Torna alla pagina Avvia un'istanza e scegli l'icona di aggiornamento accanto al profilo dell'istanza IAM. Il tuo nuovo profilo dell'istanza IAM dovrebbe essere visibile nell'elenco a discesa Profilo dell'istanza IAM. Scegli il nuovo profilo e lascia il resto delle impostazioni con i valori predefiniti.

  16. Scegliere Launch Instance (Avvia istanza).

Manually join an EC2 Windows

Per aggiungere manualmente un'istanza Amazon EC2 Windows esistente a un Simple AD Active Directory, l'istanza deve essere avviata utilizzando i parametri specificati inUnire un'istanza Amazon EC2 Windows al tuo Simple AD Active Directory.

Avrai bisogno degli indirizzi IP dei server DNS Simple AD. Queste informazioni sono disponibili nelle sezioni Servizi di directory > Directory > ID directory relativo alla directory > Dettagli della directory e Rete e sicurezza.

Nella AWS Directory Service console, nella pagina dei dettagli della directory, vengono evidenziati gli indirizzi IP dei server DNS AWS Directory Service forniti.
Per aggiungere un'istanza di Windows a un Active Directory Simple AD

  1. Connettiti all'istanza utilizzando qualsiasi client Remote Desktop Protocol.

  2. Aprire la finestra di dialogo TCP/ IPv4 properties sull'istanza.

    1. Apri Network Connections (Connessioni di rete).

      Suggerimento

      Puoi aprire le Network Connections (Connessioni di rete) direttamente eseguendo quanto segue da un prompt del comando sull'istanza.

      %SystemRoot%\system32\control.exe ncpa.cpl

    2. Apri il menu contestuale (fai clic con il pulsante destro del mouse) per qualsiasi connessione di rete abilitata e scegli Properties (Proprietà).

    3. Nella finestra di dialogo delle proprietà di connessione, apri (doppio clic) Internet Protocol Version 4 (Protocollo Internet versione 4).

  3. Seleziona Utilizza i seguenti indirizzi di server DNS, modifica gli indirizzi del server DNS preferito e del server DNS alternativo con gli indirizzi IP dei server DNS forniti da Simple AD e scegli OK.

    La finestra di dialogo delle proprietà del protocollo Internet versione 4 (TCP/IPv4) con i campi del server DNS preferito e del server DNS alternativo evidenziati.

  4. Apri la finestra di dialogo System Properties (Proprietà del sistema) per l'istanza, seleziona la scheda Computer Name (Nome computer) e scegli Change (Modifica).

    Suggerimento

    Puoi aprire la finestra di dialogo System Properties (Proprietà di sistema) direttamente eseguendo quanto segue da un prompt del comando sull'istanza.

    %SystemRoot%\system32\control.exe sysdm.cpl

  5. Nel campo Membro di, seleziona Dominio, inserisci il nome completo del tuo Simple AD Active Directory e scegli OK.

  6. Quando viene richiesto di specificare il nome e la password per l'amministratore del dominio, immetti il nome utente e la password di un account che dispone di privilegi di aggiunta di dominio. Per ulteriori informazioni sulla delega di questi privilegi, consulta Delega dei privilegi di accesso alle directory per Simple AD.

    Nota

    È possibile immettere il nome completo del dominio o il nome NetBIOS, seguito da una barra rovesciata (\) e quindi dal nome utente. Il nome utente sarebbe Administrator. Ad esempio corp.example.com\administrator o corp\administrator.

  7. Dopo aver ricevuto il messaggio che ti invita al dominio, riavvia l'istanza perché le modifiche diventino effettive.

Ora che l'istanza è stata aggiunta al dominio Simple AD Active Directory, puoi accedere all'istanza in remoto e installare le utilità per gestire la directory, ad esempio aggiungere utenti e gruppi. Gli strumenti di amministrazione di Active Directory possono essere utilizzati per creare utenti e gruppi. Per ulteriori informazioni, consulta Installazione degli strumenti di amministrazione di Active Directory per Simple AD.