入门的先决条件 - FSx适用于 Windows 文件服务器的亚马逊
第 1 步。设置活动目录第 2 步:在亚马逊EC2控制台中启动 Windows 实例步骤 3:连接到您的实例步骤 4:将您的实例加入您的 AWS Directory Service 目录

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

入门的先决条件

在开始FSx适用于 Windows 文件服务器的入门练习之前,你必须已经有一个运行微软 Windows 的亚马逊EC2实例,该实例已加入你使用创建的 Active Directory AWS Directory Service。您在FSx入门练习中创建的 Windows 文件服务器文件系统也将加入同一 Active Directory。您还必须以目录管理员用户身份通过 Windows 远程桌面协议登录实例。以下过程向您展示了如何执行这些必需的先决条件。

第 1 步。设置活动目录

借助 AmazonFSx,您可以为基于 Windows 的工作负载操作完全托管的文件存储。同样, AWS Directory Service 还提供完全托管的目录,供您在工作负载部署中使用。如果您使用EC2实例在虚拟私有云 (VPC) AWS 中运行现有企业 Active Directory 域,则可以启用基于用户的身份验证和访问控制。您可以通过在 AWS 托管 Microsoft 活动目录和公司域之间建立信任关系来实现这一点。对于 Amazon 中的 Windows 身份验证FSx,您只需要单向林信任,即 AWS 托管林信任公司域林。

您的公司域扮演可信域的角色,而 AWS Directory Service 托管域则扮演信任域的角色。经过验证的身份验证请求只能在域之间单向传输,即允许企业域中的账户根据托管的域中共享的资源进行身份验证。在这种情况下,Amazon 仅与托管域进行FSx交互。然后,托管的域会将身份验证请求传递到您的企业域。

注意

您也可以将外部信任类型与 Amazon 一起FSx用于可信域。

您的 Active Directory 安全组必须允许来自亚马逊FSx文件系统的安全组的入站访问。

为微软 Active Directory 创建 AWS 目录服务

  • 如果你还没有,请使用创建你的 Microsoft 活动目录 AWS 托管目录。 AWS Directory Service 有关更多信息,请参阅《AWSAWS Directory Service 管理指南》中的 “创建您的托管 Microsoft 活动目录”。

    重要

    请记住您为管理员用户分配的密码;您稍后在本入门练习中需要使用该密码。如果您忘记了密码,则需要使用新 AWS Directory Service 目录和管理员用户重复本练习中的步骤。

  • 如果您已有活动目录,请在您的 AWS 托管 Microsoft 活动目录和现有活动目录之间创建信任关系。有关更多信息,请参阅《AWS Directory Service 管理指南》中的何时创建信任关系

第 2 步:在亚马逊EC2控制台中启动 Windows 实例

您可以使用启动 Windows 实例, AWS Management Console 如以下过程所述。本教程旨在帮助您快速启动第一个实例,因此不会涵盖所有可能的选项。有关高级选项的更多信息,请参阅启动实例

启动实例

  1. 打开亚马逊EC2控制台,网址为https://console.aws.amazon.com/ec2/

  2. 从控制台控制面板中,选择启动实例

  3. “选择亚马逊系统映像” (AMI) 页面显示名为 Amazon 系统映像 (AMIs) 的基本配置列表,这些配置可用作您的实例的模板。AMI为 Windows Server 2016 Base 或 Windows Server 2012 R2 Base 选择。请注意,这些标AMIs有 “符合免费套餐资格”。

  4. Choose an Instance Type (选择实例类型) 页面上,您可以选择实例的硬件配置。选择 t2.micro 类型 (预设情况下的选择)。请注意,此实例类型适用免费套餐。

  5. 选择 Review and Launch 让向导为您完成其它配置设置。

  6. 核查实例启动页面上的安全组下,您将看到向导为您创建并选择了安全组。使用以下步骤,您可以使用此安全组,也可以选择在设置时创建的安全组:

    1. 选择 Edit security groups

    2. Configure Security Group 页面上,确保 Select an existing security group 处于选中状态。

    3. 从现有安全组列表中选择您的安全组,然后选择 Review and Launch

  7. Review Instance Launch 页面上,选择 Launch

  8. 当系统提示提供密钥时,选择 Choose an existing key pair,然后选择您在进行设置时创建的密钥对。

    另外,您也可以新建密钥对。选择 Create a new key pair,输入密钥对的名称,然后选择 Download Key Pair。这是您保存私有密钥文件的唯一机会,因此务必单击进行下载。将私有密钥文件保存在安全位置。当您启动实例时,您将需要提供密钥对的名称;当您每次连接到实例时,您将需要提供相应的私有密钥。

    警告

    请勿选择在没有密钥对的情况下继续选项。如果您启动的实例没有密钥对,就不能连接到该实例。

    准备好后,选中确认复选框,然后选择 Launch Instances

  9. 确认页面会让您知道自己的实例已启动。选择 View Instances 以关闭确认页面并返回控制台。

  10. 实例屏幕上,您可以查看启动状态。启动实例只需很短的时间。启动实例时,其初始状态为 pending。实例启动后,其状态更改为,running并获得一个公共DNS名称。(如果隐藏 “公开” DNS (IPv4) 列,请选择页面右上角的 “显示/隐藏列”(齿轮形图标),然后选择 “公开 DNS”()。)IPv4

  11. 需要几分钟准备好实例,以便您能连接到实例。检查您的实例是否通过了状态检查;您可以在 Status Checks 列中查看此信息。

重要

请记住在您启动此实例时创建的安全组的 ID。在创建 Amazon FSx 文件系统时,您将需要它。

现在,实例已启动,您可以连接到实例了。

步骤 3:连接到您的实例

要连接到 Windows 实例,您必须检索初始管理员密码,然后在使用远程桌面连接到实例时指定此密码。

管理员账户的名称取决于操作系统的语言。例如,英语为 Administrator,法语为 Administrateur,葡萄牙语则为 Administrador。有关更多信息,请参阅 Microsoft TechNet Wiki 中的 Windows 管理员帐户的本地化名称

如果您已将实例加入到域,则可以使用您在 AWS Directory Service中定义的域凭证来连接到您的实例。在远程桌面登录屏幕上,不要使用本地计算机名称和生成的密码。相反,使用管理员的完全限定用户名和该账户的密码。例如,corp.example.com\Admin

借助适用于 Windows Server 操作系统(OS)的许可证,可以同时进行两个远程连接以进行管理。适用于 Windows Server 的许可证包含在您的 Windows 实例的价格中。如果您需要同时进行两个以上的远程连接,则必须购买远程桌面服务 (RDS) 许可证。如果尝试第三个连接,将产生错误。有关更多信息,请参阅 Configure the Number of Simultaneous Remote Connections Allowed for a Connection

使用RDP客户端连接到你的 Windows 实例

  1. 在亚马逊EC2控制台中,选择实例,然后选择 Connect

  2. 连接到您的实例对话框中,选择获取密码(密码在实例启动几分钟之后才可用)。

  3. 选择 Browse 并导航至您启动实例时所创建的私有密钥文件。选择文件并选择 Open (打开),以便将文件的全部内容复制到 Contents (内容) 字段。

  4. 选择 Decrypt Password。控制台将在连接到您的实例对话框中显示实例的默认管理员密码,会将先前显示的获取密码链接替换为实际密码。

  5. 记录下默认管理员密码,或将其复制到剪贴板。需要使用此密码连接实例。

  6. 选择 Download Remote Desktop File。您的浏览器会提示您打开或保存 .rdp 文件。两种选择都可以。完成后,可选择关闭,以关闭连接到您的实例对话框。

    • 如果已打开 .rdp 文件,您将看到 Remote Desktop Connection 对话框。

    • 如果已保存 .rdp 文件,请导航至下载目录,然后打开 .rdp 文件以显示该对话框。

  7. 您可能看到一条警告,指出远程连接发布者未知。您可以继续连接到您的实例。

  8. 当收到系统提示时,使用操作系统的管理员账户和您之前记录或复制的密码登录该实例。如果您的 Remote Desktop Connection (远程桌面连接) 已经设置了管理员账户,您可能需要选择 Use another account (使用其他账户) 选项,然后手动键入用户名和密码。

    注意

    有时复制和粘贴内容可能会损坏数据。如果您在登录时遇到“Password Failed (密码失败)”错误,请尝试手动键入密码。

  9. 由于自签名证书的固有特性,您可能会看到一条警告,指出无法验证该安全证书。请使用以下步骤验证远程计算机的标识;或者,如果您信任该证书,则直接选择 Yes (是)Continue (继续) 以继续操作。

    1. 如果您正在从 Windows PC 使用 Remote Desktop Connection,请选择 View certificate。如果您正在 Mac 上使用 Microsoft Remote Desktop,请选择 Show Certificate

    2. 选择 “详细信息” 选项卡,然后向下滚动到 Windows 电脑上的 “指” 条目或 Mac 上的 “SHA1指纹” 条目。这是远程计算机的安全证书的唯一标识符。

    3. 在 Amazon EC2 控制台中,选择实例,选择操作,然后选择获取系统日志

    4. 在系统日志输出中,查找标记为 RDPCERTIFICATE-THUMBPRINT 的条目。如果此值与证书的指纹匹配,则表示您已验证了远程计算机的标识。

    5. 如果您正在从 Windows PC 使用 Remote Desktop Connection,请返回到 Certificate 对话框并选择 OK。如果您正在 Mac 上使用 Microsoft Remote Desktop,请返回到 Verify Certificate 并选择 Continue

    6. [Windows] 在 Remote Desktop Connection 窗口中选择 Yes 连接到您的实例。

现在,您已连接到实例,您可以将实例加入 AWS Directory Service 目录。

步骤 4:将您的实例加入您的 AWS Directory Service 目录

以下过程向您展示如何手动将现有 Amazon EC2 Windows 实例加入您的 AWS Directory Service 目录。

将 Windows 实例加入你的 AWS Directory Service 目录

  1. 使用任何远程桌面协议客户端连接到实例。

  2. 在实例上打开TCP/IPv4属性对话框。

    1. 打开 Network Connections

      提示

      您可以在实例上从命令提示符运行以下命令,直接打开 Network Connections

      %SystemRoot%\system32\control.exe ncpa.cpl

    2. 打开任何已启用网络连接的上下文(右键单击)菜单,然后选择属性

    3. 在连接属性对话框中,打开 (双击) Internet Protocol Version 4

  3. (可选)选择使用以下DNS服务器地址,将首选DNS服务器备用DNS服务器地址更改 AWS Directory Service为提供的DNS服务器的 IP 地址,然后选择确定

  4. 打开实例的系统属性对话框,选择计算机名称选项卡,然后选择更改

    提示

    您可以在实例上从命令提示符运行以下命令,打开 System Properties 对话框。

    %SystemRoot%\system32\control.exe sysdm.cpl

  5. 在 “成员” 框中,选择 “”,输入 AWS Directory Service 目录的完全限定名称,然后选择 “确定”

  6. 当系统提示输入域管理员的名称和密码时,输入管理员账户的用户名和密码。

    注意

    您可以输入域的完全限定名称或 NetBios 名称,然后输入反斜杠 (\),然后输入用户名(在本例中为 Admin)。例如,corp.example.com\Admincorp\Admin

  7. 收到欢迎加入域的消息之后,重新启动实例使更改生效。

  8. 重新连接到您的实例RDP,然后使用 AWS Directory Service 目录管理员用户的用户名和密码登录实例。

现在,您的实例已加入该域,就可以创建您的 Amazon FSx 文件系统了。然后,您可以继续完成入门练习中的其他任务。有关更多信息,请参阅 开始使用FSx适用于 Windows 文件服务器的亚马逊