Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Schritt 1: Ihre Umgebung für Vertrauensstellungen einrichten
<a name="microsoftadtruststep1"></a>

In diesem Abschnitt richten Sie Ihre Amazon EC2 EC2-Umgebung ein, stellen Ihre neue Gesamtstruktur bereit und bereiten Ihre VPC auf Vertrauensstellungen mit vor. AWS

![\[Amazon EC2 EC2-Umgebung mit Amazon VPC, Subnetzen und Internet Gateways zur Bereitstellung einer neuen Gesamtstruktur und zum Aufbau einer Vertrauensbeziehung.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


## Eine EC2-Instance für Windows Server 2019 erstellen
<a name="createkeypair1"></a>

Gehen Sie wie folgt vor, um einen Mitgliedsserver für Windows Server 2019 in Amazon EC2 zu erstellen. 

**So erstellen Sie eine EC2-Instance für Windows Server 2019**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie in der Amazon-EC2-Konsole **Instance starten** aus.

1. Suchen Sie auf der Seite **Schritt 1** *xxxxxxxxxxxxxxxxx* in der Liste nach **Microsoft Windows Server 2019 Base - ami-**. Wählen Sie anschließend **Select** aus.

1. Wählen Sie auf der Seite **Step 2** die Option **t2.large** und wählen Sie dann **Next: Configure Instance Details**.

1. Führen Sie auf der Seite **Step 3** die folgenden Schritte aus:
   + Wählen Sie für **Netzwerk** die Option **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem -** aus VPC01 (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createvpc) eingerichtet haben).
   + Wählen Sie für **Subnetz subnet** **- *xxxxxxxxxxxxxxxxx* \$1 AWS- - -Subnet01 \$1 OnPrem - VPC01 -** aus. AWS OnPrem VPC01
   + Wählen Sie für **Auto-assign Public IP** die Option **Enable** (falls die Subnetz-Einstellung nicht standardmäßig auf **Enable** gesetzt ist).
   + Übernehmen Sie für die anderen Einstellungen die Standardwerte.
   + Wählen Sie **Next: Add Storage** aus.

1. Behalten Sie auf der Seite **Step 4** die Standardeinstellungen bei und wählen Sie dann **Next: Add Tags**.

1. Wählen Sie auf der Seite **Step 5** die Option **Add Tag** aus. Geben Sie unter **Key** die Zeichenfolge **example.local-DC01** ein und wählen Sie dann **Next: Configure Security Group**.

1. Wählen Sie auf der Seite **Schritt 6** die Option **Bestehende Sicherheitsgruppe auswählen**, wählen Sie die **AWS -On-Premises-Testumgebungs-Sicherheitsgruppe** (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createsecuritygroup) eingerichtet haben) und wählen Sie dann **Überprüfen und starten**, um Ihre Instance zu überprüfen.

1. Überprüfen Sie auf der Seite **Step 7** die Seite und wählen Sie dann **Launch**.

1. Erledigen Sie im Dialogfeld **Select an existing key pair or create a new key pair** Folgendes:
   + Wählen Sie **Vorhandenes Schlüsselpaar auswählen** aus.
   + Wählen Sie unter **Schlüsselpaar auswählen** die Option **AWS-DS-KP** (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createkeypair2) eingerichtet haben).
   + Markieren Sie das Kontrollkästchen **I acknowledge...**.
   + Wählen Sie **Instances starten** aus.

1. Wählen Sie **Instances anzeigen** aus, um zur Amazon-EC2-Konsole zurückzukehren und den Status der Bereitstellung anzuzeigen.

## Ihren Server zu einem Domain-Controller ernennen
<a name="promoteserver"></a>

Bevor Sie Vertrauensbeziehungen erstellen können, müssen Sie den ersten Domain-Controller für einen neuen Forest erstellen und bereitstellen. Während dieses Prozesses konfigurieren Sie einen neuen Active Directory-Forest, installieren DNS und richten Sie diesen Server so ein, dass er den lokalen DNS-Server für die Namensauflösung verwendet. Nach Abschluss dieses Verfahrens müssen Sie den Server neu starten.

**Anmerkung**  
Wenn Sie einen Domänencontroller erstellen möchten AWS , der sich mit Ihrem lokalen Netzwerk repliziert, müssen Sie die EC2-Instance zunächst manuell mit Ihrer lokalen Domäne verbinden. Anschließend können Sie den Server einem Domain-Controller bekanntgeben.

**Ihren Server einem Domain-Controller bekanntgeben**

1. Wählen Sie in der Amazon-EC2-Konsole die Option **Instances**, wählen Sie die zuvor erstellte Instance und wählen Sie dann **Verbinden**. 

1. Wählen Sie im Dialogfeld **Connect To Your Instance** **Download Remote Desktop File** aus. 

1. Geben Sie im Dialogfeld **Windows Security** Ihre lokalen Administrator-Anmeldeinformationen für den Windows Server-Computer ein, um sich anzumelden (z. B. **administrator**). Wenn Sie das lokale Administratorpasswort noch nicht haben, gehen Sie zurück zur Amazon-EC2-Konsole, klicken Sie mit der rechten Maustaste auf die Instance und wählen Sie **Windows-Passwort abrufen**. Navigieren Sie zu Ihrer `AWS DS KP.pem` Datei oder Ihren persönlichen `.pem` Schlüssel, und wählen Sie dann **Decrypt Password**.

1. Wählen Sie im Menü **Start** die Option **Server Manager**.

1. Wählen Sie im **Dashboard** **Add Roles and Features**.

1. Wählen Sie im **Add Roles and Features Wizard** **Next**. 

1. Wählen Sie auf der Seite **Select installation type** die Option **Role-based or feature-based installation** und wählen Sie **Next**.

1. Stellen Sie sicher, dass auf der Seite **Select destination server** der lokale Server ausgewählt ist, und wählen Sie dann **Next**.

1. Wählen Sie auf der Seite **Select server roles** die Option **Active Directory Domain Services**. Überprüfen Sie im Dialogfeld **Add Roles and Features Wizard**, ob das Kontrollkästchen **Include management tools (if applicable)** ausgewählt ist. Wählen Sie **Add Features** und anschließend **Next ** aus.

1. Wählen Sie auf der Seite **Features auswählen** die Option **Weiter** aus. 

1. Wählen Sie auf der Seite **Active Directory Domain Services** **Next**.

1. Wählen Sie auf der Seite **Confirm installation selections** **Install**.

1. Nachdem die Active Directory-Binärdateien installiert wurden, wählen Sie **Close**.

1. Wenn Server Manager geöffnet wird, suchen Sie nach einem Flag oben neben dem Wort **Manage**. Wenn dieses Flag gelb wird, kann der Server bekanntgegeben werden. 

1. Wählen Sie das gelbe Flag und wählen Sie dann **Promote this server to a domain controller**.

1. Wählen Sie auf der Seite **Deployment Configuration** **Add a new forest**. Geben Sie in **Root domain name** die Zeichenfolge **example.local** ein und wählen Sie **Next**.

1. Erledigen Sie auf der Seite **Domain Controller Options** Folgendes:
   + Wählen Sie in **Forest functional level** und **Domain functional level** die Option **Windows Server 2016**.
   + Vergewissern Sie sich, dass unter **Domänencontroller-Funktionen angeben** sowohl **DNS-Server** als auch **Global Catalog (GC) ausgewählt** sind.
   + Geben Sie ein DSRM-Passwort (Directory Services Restore Mode) ein und bestätigen Sie es. Klicken Sie anschließend auf **Weiter**.

1. Ignorieren Sie auf der Seite **DNS Options** die Warnung über die Delegation und wählen Sie **Next**.

1. Vergewissern Sie sich, dass auf der Seite **Zusätzliche Optionen** **EXAMPLE** als NetBios Domainname aufgeführt ist.

1. Behalten Sie auf der Seite **Paths** die Standardwerte bei, und wählen Sie dann **Next**.

1. Wählen Sie auf der Seite **Review Options** **Weiter**. Der Server prüft jetzt, ob alle Voraussetzungen für den Domain-Controller erfüllt sind. Möglicherweise werden einige Warnungen angezeigt, Sie können sie jedoch einfach ignorieren. 

1. Wählen Sie **Installieren** aus. Nachdem die Installation abgeschlossen ist, wird der Server neu gestartet und wird dann zu einem funktionalen Domain-Controller.

## Konfigurieren Ihrer VPC
<a name="configurevpc1"></a>

Die folgenden drei Verfahren führen Sie durch die Schritte zum Konfigurieren Ihrer VPC für die Anbindung an AWS.

**Konfigurieren Ihrer ausgehenden VPC-Regeln**

1. [Notieren Sie sich in der [AWS Directory Service Konsole](https://console.aws.amazon.com/directoryservicev2/) die AWS verwaltete Microsoft AD-Verzeichnis-ID für corp.example.com, die Sie zuvor im Base-Tutorial erstellt haben.](microsoftadbasestep2.md)

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Security Groups (Sicherheitsgruppen)** aus.

1. Suchen Sie nach Ihrer AWS Managed Microsoft AD-Verzeichnis-ID. Wählen Sie in den Suchergebnissen das Element mit der Beschreibung aus, die **Sicherheitsgruppe für *xxxxxx* D-Directory-Controller AWS erstellt wurde**.
**Anmerkung**  
Diese Sicherheitsgruppe wurde automatisch erstellt, als Sie Ihr Verzeichnis erstellt haben.

1. Wählen Sie die Registerkarte **Outbound Rules** unter dieser Sicherheitsgruppe. Wählen Sie **Edit**, **Add another rule** und fügen Sie die folgenden Werte hinzu:
   + Wählen Sie für **Type** die Option **All Traffic** aus.
   + Geben Sie für **Destination** den Wert **0.0.0.0/0** ein.
   + Übernehmen Sie für die anderen Einstellungen die Standardwerte.
   + Wählen Sie **Speichern** aus.

**So überprüfen Sie, ob die Kerberos-Vorauthentifizierung aktiviert ist**

1. Öffnen Sie auf dem Domain-Controller **example.local** **Server Manager**.

1. Wählen Sie im Menü **Tools** den Eintrag **Active Directory Users and Computers**.

1. Gehen Sie in das Verzeichnis **Users (Benutzer)**, klicken Sie mit der rechten Maustaste auf einen Benutzer und wählen Sie **Properties (Eigenschaften)**. Wählen Sie dann die Registerkarte **Account (Konto)**. Scrollen Sie in der Liste **Account options** nach unten und stellen Sie sicher, dass **Do not require Kerberos preauthentication** **nicht** ausgewählt ist.

1. Führen Sie dieselben Schritte für die Domain **corp.example.com** aus der Instance **corp.example.com-mgmt **aus.

**So konfigurieren Sie DNS-bedingte Weiterleitungen**
**Anmerkung**  
Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragen entsprechend dem DNS-Domainnamen in der Anfrage weiterleitet. Ein DNS-Server kann beispielsweise so konfiguriert werden, dass er alle Anfragen, die er für Namen mit der Endung widgets.example.com erhält, an die IP-Adresse eines bestimmten DNS-Servers oder an die IP-Adressen mehrerer DNS-Server weiterleitet.

1. Öffnen Sie die [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie die **Verzeichnis-ID** Ihres AWS Managed Microsoft AD aus.

1. Notieren Sie sich den vollqualifizierten Domainnamen (FQDN), **corp.example.com**, und die DNS-Adressen Ihres Verzeichnisses.

1. Jetzt kehren Sie zurück zu Ihrem Domain-Controller **example.local** und öffnen dann **Server Manager**.

1. Wählen Sie im Menü **Tools** den Eintrag **DNS**.

1. Erweitern Sie in der Konsolenstruktur den DNS-Server der Domain, für die Sie die Vertrauensbeziehung einrichten, und gehen Sie zu **Conditional Forwarders**.

1. Klicken Sie mit der rechten Maustaste auf **Conditional Forwarders**, und wählen Sie dann **New Conditional Forwarder**.

1. Geben Sie als DNS-Domain **corp.example.com** ein.

1. Wählen Sie unter **IP-Adressen der Primärserver** die Option **<Klicken Sie hier, um hinzuzufügen... **>, geben Sie die erste DNS-Adresse Ihres AWS verwalteten Microsoft AD-Verzeichnisses ein (die Sie im vorherigen Verfahren notiert haben), und drücken **Sie dann die EINGABETASTE**. Wiederholen Sie diesen Schritt für die zweite DNS-Adresse. Nach der Eingabe der DNS-Adressen können ein „Timeout“- oder ein „unable to resolve“-Fehler auftreten. Sie können diese Fehler in der Regel ignorieren.

1. Markieren Sie das Kontrollkästchen **Store this conditional forwarder in Active Directory, and replicate as follows**. Wählen Sie im Dropdown-Menü den Eintrag **All DNS servers in this Forest** und wählen Sie dann **OK**.