Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 1: Configurare AWS l'ambiente per AWS Managed Microsoft AD Active Directory
Prima di poter creare AWS Managed Microsoft AD nel tuo laboratorio di AWS test, devi prima configurare la coppia di chiavi Amazon EC2 in modo che tutti i dati di accesso siano crittografati.
Creazione di una coppia di chiavi
Se già disponi una coppia di chiavi, questa fase può essere ignorata. Per ulteriori informazioni sulle coppie di chiavi Amazon EC2, consulta Creare coppie di chiavi.
Come creare una coppia di chiavi
Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. https://console.aws.amazon.com/ec2/
-
Nel pannello di navigazione, in Network & Security (Sicurezza e rete), scegli Key Pairs (Coppie di chiavi) e quindi scegliere Crea Key Pair (Crea coppia di chiavi).
-
Per Nome coppia di chiavi, digitare
AWS-DS-KP. Per Formato file coppia di chiavi, selezionare pem, quindi scegliere Crea. -
Il file della chiave privata viene automaticamente scaricato dal browser. Il nome di file è il nome che hai specificato quando hai creato la coppia di chiavi con estensione
.pem. Salvare il file della chiave privata in un luogo sicuro.Importante
Questo è l'unico momento in cui salvare il file della chiave privata. È necessario fornire il nome della coppia di chiavi quando avvii un'istanza e la chiave privata corrispondente ogni volta che decripti la password per l'istanza.
Crea, configura ed esegui il peering di due Amazon VPCs
Come illustrato nella figura seguente, al termine di questo processo in più fasi, avrai creato e configurato due sottoreti pubbliche VPCs, due sottoreti pubbliche per VPC, un Internet Gateway per VPC e una connessione peering VPC tra. VPCs Abbiamo scelto di utilizzare reti pubbliche VPCs e sottoreti per motivi di semplicità e costi. Per i carichi di lavoro di produzione, ti consigliamo di utilizzare il formato privato. VPCs Per maggiori informazioni sul miglioramento della sicurezza VPC, consulta Sicurezza in Amazon Virtual Private Cloud.
Tutti gli PowerShell esempi utilizzano le informazioni VPC riportate di seguito e sono integrati in us-west-2. AWS CLI Puoi scegliere qualsiasi regione supportata in cui creare l'ambiente. Per ulteriori informazioni, consulta Cos'è Amazon VPC?
Passaggio 1: creane due VPCs
In questo passaggio, è necessario crearne due VPCs nello stesso account utilizzando i parametri specificati nella tabella seguente. AWS Microsoft AD gestito supporta l'uso di account separati con Condividi il tuo AWS Managed Microsoft AD questa funzionalità. Il primo VPC verrà utilizzato per Managed AWS Microsoft AD. Il secondo VPC verrà utilizzato per le risorse che possono essere utilizzate successivamente in Tutorial: creazione di un trust da AWS Managed Microsoft AD a un'installazione di Active Directory autogestita su Amazon EC2.
|
Informazioni gestite su Active Directory VPC |
Informazioni sul VPC on-premise |
|---|---|
|
Targhetta con nome: AWS-DS- VPC01 IPv4 Blocco CIDR: 10.0.0.0/16 IPv6 Blocco CIDR: nessun blocco CIDR IPv6 Tenancy: predefinito |
Targhetta con nome: AWS- - OnPrem VPC01 IPv4 Blocco CIDR: 10.100.0.0/16 IPv6 Blocco CIDR: nessun blocco CIDR IPv6 Tenancy: predefinito |
Per istruzioni dettagliate, consulta Creazione di un VPC.
Passaggio 2: Creare due sottoreti per VPC
Dopo aver creato il, sarà VPCs necessario creare due sottoreti per VPC utilizzando i parametri specificati nella tabella seguente. Per questo laboratorio di test ogni sottorete sarà /24. Ciò consente di emettere fino a 256 indirizzi per sottorete. Ogni sottorete deve essere un in una AZ separata. Mettere ogni sottorete in una AZ separata è uno dei Prerequisiti per la creazione di un AWS Managed Microsoft AD.
|
AWS Informazioni sulla sottorete -DS-: VPC01 |
AWS- OnPrem - VPC01 informazioni sulla sottorete |
|---|---|
|
Targhetta con nome: AWS-DS- -Subnet01 VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona di disponibilità predefinita: us-west-2a IPv4 Blocco CIDR: 10.0.0.0/24 |
Tag con nome: - - -Subnet01 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona di disponibilità predefinita: us-west-2a IPv4 Blocco CIDR: 10.10.0.0/24 |
|
Tag con nome: -DS- -Subnet02 AWS VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 Zona di disponibilità: us-west-2b IPv4 Blocco CIDR: 10.0.1.0/24 |
Tag con nome: - - -Subnet02 AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 Zona di disponibilità: us-west-2b IPv4 Blocco CIDR: 10.10.1.0/24 |
Per istruzioni dettagliate, consulta Creazione di una sottorete nel VPC.
Fase 3: Creare e collegare un Internet Gateway al VPCs
Dal momento che stiamo utilizzando VPC pubblici sarà necessario creare e collegare un gateway Internet ai VPC utilizzando i parametri specificati nella tabella seguente. Ciò consentirà di connettersi e gestire le istanze EC2.
|
AWS-DS- Informazioni sull'VPC01 Internet Gateway |
AWS- OnPrem - Informazioni sull'VPC01 Internet Gateway |
|---|---|
|
Targhetta con nome: AWS-DS- VPC01 -IGW VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 |
Targhetta con nome: - - -IGW AWS OnPrem VPC01 VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Per istruzioni dettagliate, consulta Gateway Internet.
Fase 4: Configurare una connessione peering VPC tra AWS-DS- e - - VPC01 AWS OnPrem VPC01
Poiché ne hai già creati due VPCs in precedenza, dovrai collegarli in rete utilizzando il peering VPC utilizzando i parametri specificati nella tabella seguente. Sebbene ci siano molti modi per connettere il tuo VPCs, questo tutorial utilizzerà il peering VPC. AWS Managed Microsoft AD supporta molte soluzioni per connettere il tuo VPCs, alcune di queste includono il peering VPC, il Transit Gateway e la VPN.
|
Denominazione della connessione peering: AWS-DS- VPC01 & - - -Peer AWS OnPrem VPC01 VPC (richiedente): vpc-xxxxxxxxxxxxxxxxx -DS- AWS VPC01 Account: il mio account Regione: questa regione VPC (accetta): vpc-xxxxxxxxxxxxxxxxx - - AWS OnPrem VPC01 |
Per istruzioni su come creare una connessione di peering VPC con un altro VPC dal tuo account, consulta Creazione di una connessione di peering VPC con un altro VPC nell'account.
Passaggio 5: aggiungi due percorsi alla tabella di routing principale di ogni VPC
Affinché i gateway Internet e la connessione peering VPC creati nei passaggi precedenti funzionino, è necessario aggiornare la tabella di routing principale di VPCs entrambi utilizzando i parametri specificati nella tabella seguente. Verranno aggiunti due route: 0.0.0.0/0 che sarà indirizzato a tutte le destinazioni non esplicitamente note alla tabella del percorso e 10.0.0.0/16 o 10.100.0.0/16 che verranno instradati a ciascun VPC tramite la connessione peering VPC stabilita sopra.
Puoi trovare facilmente la tabella di routing corretta per ogni VPC filtrando il tag del nome VPC (AWS-DS- o - -). VPC01 AWS OnPrem VPC01
|
AWS Informazioni sulla route 1 di -DS- VPC01 |
AWS-DS- informazioni VPC01 sulla route 2 |
AWS- OnPrem - Informazioni VPC01 sulla rotta 1 |
AWS- OnPrem - Informazioni sul VPC01 percorso 2 |
|---|---|---|---|
|
Destinazione: 0.0.0.0/0 Destinazione: igw-xxxxxxxxxxxxxxxxx -DS- -IGW AWS VPC01 |
Destinazione: 10.100.0.0/16 Obiettivo: pcx-xxxxxxxxxxxxxxxxx AWS-DS- e - - VPC01 -Peer AWS OnPrem VPC01 |
Destinazione: 0.0.0.0/0 Obiettivo: igw-xxxxxxxxxxxxxxxxx AWS-Onprem- VPC01 |
Destinazione: 10.0.0.0/16 Obiettivo: pcx-xxxxxxxxxxxxxxxxx AWS-DS- e - - -Peer VPC01 AWS OnPrem VPC01 |
Per istruzioni su come aggiungere route a una tabella di route VPC, consulta Aggiunta e rimozione di route da una tabella di route.
Crea gruppi di sicurezza per le istanze Amazon EC2
Per impostazione predefinita, AWS Managed Microsoft AD crea un gruppo di sicurezza per gestire il traffico tra i relativi controller di dominio. In questa sezione, sarà necessario creare 2 gruppi di sicurezza (uno per ogni VPC) che verranno utilizzati per gestire il traffico all'interno del VPC per le istanze EC2, utilizzando i parametri specificati nelle tabelle seguenti. È inoltre possibile aggiungere una regola che consente l'ingresso di RDP (3389) da qualunque luogo e l'ingresso di tutti i tipi di traffico dal VPC locale. Per ulteriori informazioni, consulta Gruppi di sicurezza Amazon EC2 per le istanze Windows.
|
AWS-DS- informazioni sul gruppo VPC01 di sicurezza: |
|---|
|
Nome del gruppo di sicurezza: AWS DS Test Lab Security Group Descrizione: AWS DS Test Lab Security Group VPC: AWS vpc-xxxxxxxxxxxxxxxxx -DS- VPC01 |
Regole di sicurezza in entrata per -DS- AWS VPC01
| Tipo | Protocollo | Intervallo porte | Origine | Tipo di traffico |
|---|---|---|---|---|
| Regola TCP personalizzata | TCP | 3389 | Il mio IP | Remote Desktop (Desktop remoto) |
| All Traffic | Tutti | Tutti | 10.0.0.0/16 | Tutto il traffico VPC locale |
Regole in uscita del gruppo di sicurezza per -DS- AWS VPC01
| Tipo | Protocollo | Intervallo porte | Destinazione | Tipo di traffico |
|---|---|---|---|---|
| All Traffic | Tutti | Tutti | 0.0.0.0/0 | Tutto il traffico |
| AWS- OnPrem - informazioni sul gruppo VPC01 di sicurezza: |
|---|
|
Nome del gruppo di sicurezza: AWS OnPrem Test Lab Security Group. Descrizione: AWS OnPrem Test Lab Security Group. VPC: AWS vpc-xxxxxxxxxxxxxxxxx - - OnPrem VPC01 |
Regole di sicurezza in entrata per - - AWS OnPrem VPC01
| Tipo | Protocollo | Intervallo porte | Origine | Tipo di traffico |
|---|---|---|---|---|
| Regola TCP personalizzata | TCP | 3389 | Il mio IP | Remote Desktop (Desktop remoto) |
| Regola TCP personalizzata | TCP | 53 | 10.0.0.0/16 | DNS |
| Regola TCP personalizzata | TCP | 88 | 10.0.0.0/16 | Kerberos |
| Regola TCP personalizzata | TCP | 389 | 10.0.0.0/16 | LDAP |
| Regola TCP personalizzata | TCP | 464 | 10.0.0.0/16 | Kerberos cambia/imposta la password |
| Regola TCP personalizzata | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
| Regola TCP personalizzata | TCP | 135 | 10.0.0.0/16 | Replica |
| Regola TCP personalizzata | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| Regola TCP personalizzata | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC |
| Regola TCP personalizzata | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC & LDAP GC SSL |
| Regola UDP personalizzata | UDP | 53 | 10.0.0.0/16 | DNS |
| Regola UDP personalizzata | UDP | 88 | 10.0.0.0/16 | Kerberos |
| Regola UDP personalizzata | UDP | 123 | 10.0.0.0/16 | Ora di Windows |
| Regola UDP personalizzata | UDP | 389 | 10.0.0.0/16 | LDAP |
| Regola UDP personalizzata | UDP | 464 | 10.0.0.0/16 | Kerberos cambia/imposta la password |
| All Traffic | Tutti | Tutti | 10.100.0.0/16 | Tutto il traffico VPC locale |
Regole dei gruppi di sicurezza in uscita per AWS- - OnPrem VPC01
| Tipo | Protocollo | Intervallo porte | Destinazione | Tipo di traffico |
|---|---|---|---|---|
| All Traffic | Tutti | Tutti | 0.0.0.0/0 | Tutto il traffico |
Per istruzioni dettagliate su come creare e aggiungere regole ai gruppi di sicurezza, consulta Utilizzo dei gruppi di sicurezza.
