步驟 4:測試將 Windows Server EC2執行個體無縫加入網域 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 4:測試將 Windows Server EC2執行個體無縫加入網域

您可以使用下列兩種方法之一,測試將EC2執行個體無縫加入網域。

在目錄消費者帳戶中執行這些步驟。

  1. 登入 AWS Management Console 並在 開啟 Amazon EC2主控台https://console.aws.amazon.com/ec2/

  2. 在導覽列中,選擇 AWS 區域 與現有目錄相同的 。

  3. EC2儀表板 啟動執行個體區段中,選擇啟動執行個體

  4. 啟動執行個體頁面的名稱和標籤區段下,輸入您要用於 Windows EC2執行個體的名稱。

  5. (選用) 選擇新增其他標籤以新增一或多個標籤鍵值對,以組織、追蹤或控制此EC2執行個體的存取。

  6. 應用程式和作業系統映像 (Amazon Machine Image) 區段中,選擇快速啟動窗格中的 Windows。您可以從 Amazon Machine Image (AMI) 下拉式清單變更 Windows Amazon Machine Image (AMI)

  7. 執行個體類型區段中,從執行個體類型下拉式清單中選擇您要使用的執行個體類型。

  8. 金鑰對 (登入) 區段中,您可以選擇建立新金鑰對或從現有金鑰對中進行選擇。

    1. 若要建立新的金鑰對,請選擇建立新金鑰對

    2. 輸入金鑰對的名稱,然後選取金鑰對類型私有金鑰檔案格式的選項。

    3. 若要以可與 Open 搭配使用的格式儲存私有金鑰SSH,請選擇 .pem 。若要以可與 Pu 搭配使用的格式儲存私有金鑰TTY,請選擇 .ppk

    4. 選擇建立金鑰對

    5. 您的瀏覽器會自動下載私有金鑰檔案。將私有金鑰檔案存放在安全的地方。

      重要

      這是您儲存私有金鑰檔案的唯一機會。

  9. 啟動執行個體頁面上的網路設定區段下,選擇編輯。從 VPC 必要下拉式清單中選擇VPC在 中建立目錄的 。

  10. VPC 從子網路下拉式清單中選擇 中的其中一個公有子網路。您所選取的子網路必須將所有外部流量路由到網際網路閘道。如果沒有,則將無法從遠端連線到執行個體。

    如需如何連線至網際網路閘道的詳細資訊,請參閱 Amazon VPC使用者指南 中的使用網際網路閘道連線至網際網路

  11. 自動指派公有 IP 下,選擇啟用

    如需公有和私有 IP 定址的詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon EC2執行個體 IP 定址 EC2

  12. 對於防火牆 (安全群組)設定,您可以使用預設設定或根據需要進行變更。

  13. 對於設定儲存設定,您可以使用預設設定或根據需要進行變更。

  14. 選取進階詳細資訊區段,從域加入目錄下拉式清單中選取域。

    注意

    選擇網域聯結目錄後,您可能會看到:

    選取網域聯結目錄時的錯誤訊息。您現有的SSM文件發生錯誤。

    如果EC2啟動精靈識別具有非預期屬性的現有SSM文件,則會發生此錯誤。您可以執行下列任一作業:

    • 如果您先前已編輯SSM文件,且預期屬性,請選擇關閉,然後繼續啟動EC2執行個體,而不進行任何變更。

    • 選取此處的刪除現有SSM文件連結以刪除SSM文件。這將允許建立具有正確屬性SSM的文件。啟動EC2執行個體時,系統會自動建立SSM文件。

  15. 對於IAM執行個體設定檔 ,您可以選取現有的IAM執行個體設定檔或建立新的執行個體設定檔。從IAM執行個體設定檔下拉式清單中選取已連接受 AWS 管政策 A mazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccessIAM執行個體設定檔。若要建立新的設定檔,請選擇建立新的IAM設定檔連結,然後執行下列動作:

    1. 選擇建立角色

    2. 選取信任的實體下,選取 AWS 服務

    3. Use case (使用案例) 中,選擇 EC2

    4. 新增許可 下,在政策清單中,選取 AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess 政策。在搜尋方塊中,輸入 SSM 以篩選政策。選擇 Next (下一步)

      注意

      提供將執行個體加入 mazonSSMDirectoryServiceAccess的許可 Active Directory 由 管理 AWS Directory Service。mazonSSMManagedInstanceCore 提供使用 AWS Systems Manager 服務所需的最低許可。如需使用這些許可建立角色的詳細資訊,以及您可以指派給IAM角色的其他許可和政策的相關資訊,請參閱 AWS Systems Manager 使用者指南 中的為 Systems Manager 建立IAM執行個體設定檔

    5. 命名、檢閱和建立頁面上,針對角色名稱輸入角色名稱。您需要此角色名稱才能連接至EC2執行個體。

    6. (選用) 您可以在描述欄位中提供IAM執行個體設定檔的描述

    7. 選擇建立角色

    8. 返回啟動執行個體頁面,然後選擇IAM執行個體設定檔 旁的重新整理圖示。您的新IAM執行個體設定檔應該會顯示在IAM執行個體設定檔下拉式清單中。選擇這個新的設定檔並將其餘設定保留為預設值。

  16. 選擇啟動執行個體

在目錄消費者帳戶中執行這些步驟。若要完成此程序,您需要目錄擁有者帳戶的相關資訊,例如目錄 ID、目錄名稱和 DNS IP 地址。

先決條件

  • 設定 AWS Systems Manager。

  • 您要加入 AWS 受管 Microsoft Active Directory 網域的執行個體必須具有包含 AmazonSSMManagedInstanceCoreA mazonSSMDirectoryServiceAccess受管政策的連接IAM角色。

如需使用 Systems Manager 將EC2執行個體加入 AWS 受管 Microsoft Active Directory 網域的詳細資訊,請參閱如何使用 AWS Systems Manager 將執行中的 EC2 Windows 執行個體加入我的 AWS Directory Service 網域?

  1. 在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,於節點管理下方,選擇執行命令

  3. 選擇 執行命令

  4. 執行指令頁面上,搜尋 AWS-JoinDirectoryServiceDomain。顯示在搜尋結果時選擇 AWS-JoinDirectoryServiceDomain 選項。

  5. 向下捲動到 Command parameters (命令參數) 區段。您必須提供下列參數給:

    注意

    您可以返回 AWS Directory Service 主控台、選取與我共用的目錄,然後選取您的目錄,以找出目錄 ID目錄名稱DNS IP 地址目錄 ID 可以在共享目錄詳細資訊區段下找到。您可以在擁有者目錄詳細資訊區段下找到目錄名稱DNS IP 地址的值。

    • 針對目錄 ID ,輸入 AWS Managed Microsoft Active Directory 的名稱。

    • 針對目錄名稱,輸入 AWS Managed Microsoft Active Directory 名稱 (適用於目錄擁有者帳戶)。

    • 對於 DNS IP 地址 ,在 AWS Managed Microsoft Active Directory (適用於目錄擁有者帳戶) 中輸入DNS伺服器的 IP 地址。

  6. 對於目標,選擇手動選擇執行個體,然後選取要加入域的執行個體。

  7. 將表單其餘部分保留預設值,向下捲動頁面,然後選擇 Run (執行)

  8. 執行個體成功加入域後,指令狀態將從待定 變更為成功。您可以透過選取加入域的執行個體的執行個體 ID,然後選擇檢視輸出來檢視指令輸出。

完成其中一個步驟後,您現在應該能夠將EC2執行個體加入網域。完成此操作後,您可以使用遠端桌面通訊協定 (RDP) 用戶端,搭配來自 AWS Managed Microsoft AD 使用者帳戶的憑證來登入執行個體。