

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Schritt 1: Richten Sie Ihr AWS Umgebung für AWS Verwaltetes Microsoft AD Active Directory
<a name="microsoftadbasestep1"></a>

Bevor Sie AWS Managed Microsoft AD in Ihrem AWS Testlabor erstellen können, müssen Sie zunächst Ihr Amazon EC2 EC2-Schlüsselpaar so einrichten, dass alle Anmeldedaten verschlüsselt werden.

## Erstellen eines Schlüsselpaares
<a name="createkeypair2"></a>

Wenn Sie bereits ein Schlüsselpaar haben, können Sie diesen Schritt überspringen. Weitere Informationen zu Amazon EC2 EC2-Schlüsselpaaren finden Sie unter [Schlüsselpaare erstellen](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html).

**So erstellen Sie ein Schlüsselpaar**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich unter **Network & Security** **Key Pairs**, und wählen Sie dann **Create Key Pair**.

1. Geben Sie als **Schlüsselpaar-Name** **AWS-DS-KP** ein. Wählen Sie als **Schlüsselpaar-Dateiformat** die Option **pem** und dann **Erstellen** aus.

1. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Der Dateiname ist der Name, den Sie beim Erstellen Ihres Schlüsselpaars mit der Erweiterung `.pem` angegeben haben. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.
**Wichtig**  
Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern. Sie müssen den Namen für Ihr Schlüsselpaar beim Starten einer Instance angeben. Der entsprechende private Schlüssel muss jedes Mal angegeben werden, wenn Sie das Passwort für die Instance entschlüsseln.

## Zwei Amazon-VPCs erstellen, konfigurieren und miteinander verbinden
<a name="createvpc"></a>

Wie in der folgenden Abbildung zu sehen ist, haben Sie nach Abschluss dieses mehrstufigen Prozesses zwei öffentliche VPCs, zwei öffentliche Subnetze pro VPC, ein Internet-Gateway pro VPC und eine VPC-Peering-Verbindung zwischen den VPCs erstellt und konfiguriert. Wir haben uns aus Gründen der Einfachheit und der Kosten für die Verwendung öffentlicher VPCs und Subnetze entschieden. Für Produktions-Workloads empfehlen wir Ihnen, private VPCs zu verwenden. Weitere Informationen zur Verbesserung der VPC-Sicherheit finden Sie unter [Sicherheit in Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html).

![Amazon VPC-Umgebung mit Subnetzen und Internet-Gateways zur Erstellung eines AWS verwalteten Microsoft AD Active Directory.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


Alle PowerShell Beispiele verwenden die AWS CLI VPC-Informationen von unten und sind in us-west-2 erstellt. Sie können jede [unterstützte Region](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) auswählen, in der Sie Ihre Umgebung erstellen möchten. Allgemeine Informationen finden Sie unter [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).

**Schritt 1: Zwei VPCs erstellen**

In diesem Schritt müssen Sie zwei VPCs in demselben Konto mithilfe der in der folgenden Tabelle angegebenen Parameter erstellen. AWS Managed Microsoft AD unterstützt die Verwendung separater Konten mit dieser [Teile deine AWS Verwaltetes Microsoft AD](ms_ad_directory_sharing.md) Funktion. Die erste VPC wird für AWS Managed Microsoft AD verwendet. Die zweite VPC wird für Ressourcen verwendet, die später in [Tutorial: Vertrauensstellung aufbauen von AWS Verwaltetes Microsoft AD für eine selbstverwaltete Active Directory-Installation auf Amazon EC2](ms_ad_tutorial_test_lab_trust.md) verwendet werden können.


****  

|  Verwaltete Active Directory-VPC-Informationen  |  On-premises VPC-Informationen  | 
| --- | --- | 
| Namenskürzel: AWS- DS-VPC01<br />IPv4-CIDR-Block: 10.0.0. 0/16<br />IPv6-CIDR-Block: Kein IPv6-CIDR-Block<br />Tenancy: Standard | Namenskürzel: AWS- OnPrem-VPC01<br />IPv4-CIDR-Block: 10.100.0. 0/16<br />IPv6-CIDR-Block: Kein IPv6-CIDR-Block<br />Tenancy: Standard | 

Detaillierte Anweisungen finden Sie unter [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC).

**Schritt 2: Zwei Subnetzen pro VPC erstellen**

Nachdem Sie die VPCs erstellt haben, müssen Sie zwei Subnetze pro VPC erstellen und dabei die in der folgenden Tabelle angegebenen Parameter verwenden. In dieser Testumgebung wird jedes Subnetz ein /24 sein. Dadurch können bis zu 256 Adressen pro Subnetz vergeben werden. Jedes Subnetz muss sich in einem separaten AZ befinden. Die Unterbringung jedes Subnetzes in einem separaten in AZ ist eine der [Voraussetzungen für die Erstellung eines AWS Verwaltetes Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_prereqs).


****  

|  AWS- DS-VPC01 Subnetzinformationen:  |  AWS- OnPrem-VPC01 Subnetzinformationen  | 
| --- | --- | 
| Namenskürzel: AWS- DS-VPC01-Subnet01<br />VPC: AWS vpc-xxxxxxxxxxxxxxxxx - DS-VPC01<br />Availability Zone: us-west-2a<br />IPv4-CIDR-Block: 10.0.0. 0/24 | Namenskürzel: AWS- OnPrem-VPC01-Subnet01 <br />VPC: AWS vpc-xxxxxxxxxxxxxxxxx - OnPrem-VPC01<br />Availability Zone: us-west-2a<br />IPv4-CIDR-Block: 10.100.0. 0/24 | 
| Namenskürzel: AWS- DS-VPC01-Subnet02<br />VPC: AWS vpc-xxxxxxxxxxxxxxxxx - DS-VPC01<br />Availability Zone: us-west-2b<br />IPv4-CIDR-Block: 10.0.1. 0/24 | Namenskürzel: AWS- OnPrem-VPC01-Subnet02<br />VPC: AWS vpc-xxxxxxxxxxxxxxxxx - OnPrem-VPC01<br />Availability Zone: us-west-2b<br />IPv4-CIDR-Block: 10.100.1. 0/24 | 

Detaillierte Anweisungen finden Sie unter [Erstellen eines Subnetzes in Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).

**Schritt 3 Ein Internet-Gateway erstellen und es an Ihre VPCs anhängen**

Da wir öffentliche VPCs verwenden, müssen Sie ein Internet-Gateway erstellen und an Ihre VPCs anhängen, indem Sie die in der folgenden Tabelle angegebenen Parameter verwenden. Damit können Sie sich mit Ihren EC2-Instances verbinden und diese verwalten.


****  

|  AWS- DS-VPC01 Internet-Gateway-Informationen  |  AWS- OnPrem-VPC01 Internet-Gateway-Informationen  | 
| --- | --- | 
| Namensschild: AWS- DS-VPC01-IGW<br />VPC: AWS vpc-xxxxxxxxxxxxxxxxx - DS-VPC01 | Namenskürzel: - AWS OnPrem-VPC01-IGW<br />VPC: AWS vpc-xxxxxxxxxxxxxxxxx - OnPrem-VPC01 | 

Detaillierte Anweisungen finden Sie unter [Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).

**Schritt 4: Konfigurieren Sie eine VPC-Peering-Verbindung zwischen AWS- und - DS-VPC01 AWS OnPrem-VPC01**

Da Sie zuvor bereits zwei VPCs erstellt haben, müssen Sie diese mithilfe von VPC-Peering unter Verwendung der in der folgenden Tabelle angegebenen Parameter miteinander vernetzen. Es gibt zwar viele Möglichkeiten, Ihre VPCs zu verbinden, aber in diesem Tutorial wird VPC Peering verwendet. AWS [Managed Microsoft AD unterstützt viele Lösungen zur Verbindung Ihrer VPCs. Einige davon umfassen [VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) und VPN.](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html) 


****  

|  | 
| --- |
| Namensschild für die Peering-Verbindung: - & - AWS DS-VPC01 AWS OnPrem-VPC01-Peer<br />VPC (Antragsteller): vpc-xxxxxxxxxxxxxxxxx - AWS DS-VPC01<br />Konto: Mein Konto<br />Region: Diese Region<br />VPC (Akzeptierer): vpc-xxxxxxxxxxxxxxxxx - AWS OnPrem-VPC01 | 

Anweisungen zum Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto finden Sie unter [Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local).

**Schritt 5: Fügen Sie der Hauptroutentabelle jeder VPC zwei Routen hinzu**

Damit die in den vorherigen Schritten erstellten Internet-Gateways und VPC-Peering-Verbindungen funktionieren, müssen Sie die Haupt-Routing-Tabelle beider VPCs mit den in der folgenden Tabelle angegebenen Parametern aktualisieren. Sie werden zwei Routen hinzufügen; 0.0.0. 0/0 welches zu allen Zielen weiterleitet, die der Routentabelle nicht explizit bekannt sind, und 10.0.0. 0/16 oder 10.100.0. 0/16 welches über die oben eingerichtete VPC-Peering-Verbindung zu jeder VPC weiterleitet. 

Sie können ganz einfach die richtige Routentabelle für jede VPC finden, indem Sie nach dem VPC-Namensschild (AWS- DS-VPC01 oder AWS-OnPrem-VPC01) filtern.


****  

|  AWS- Informationen zu DS-VPC01 Route 1  |  AWS- Informationen zu DS-VPC01 Route 2  |  AWS- Informationen OnPrem-VPC01 zur Route 1  |  AWS- Informationen OnPrem-VPC01 zur Route 2  | 
| --- | --- | --- | --- | 
| Ziel: 0.0.0. 0/0<br />Ziel: AWS igw-xxxxxxxxxxxxxxxxx - DS-VPC01-IGW | Ziel: 10.100.0. 0/16<br />Ziel: pcx-xxxxxxxxxxxxxxxxx - & - AWS DS-VPC01 AWS OnPrem-VPC01-Peer | Ziel: 0.0.0. 0/0<br />Ziel: AWS igw-xxxxxxxxxxxxxxxxx - Onprem-VPC01 | Ziel: 10.0.0. 0/16<br />Ziel: pcx-xxxxxxxxxxxxxxxxx - & - AWS DS-VPC01 AWS OnPrem-VPC01-Peer | 

Anweisungen zum Hinzufügen von Routen zu einer VPC-Routing-Tabelle finden Sie unter [Hinzufügen und Entfernen von Routen aus einer Routing-Tabelle](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes).

## Sicherheitsgruppen für Amazon EC2 EC2-Instances erstellen
<a name="createsecuritygroup"></a>

Standardmäßig erstellt AWS Managed Microsoft AD eine Sicherheitsgruppe, um den Verkehr zwischen seinen Domänencontrollern zu verwalten. In diesem Abschnitt müssen Sie 2 Sicherheitsgruppen erstellen (eine für jede VPC), die zur Verwaltung des Datenverkehrs innerhalb Ihrer VPC für Ihre EC2-Instances verwendet werden, wobei Sie die in den folgenden Tabellen angegebenen Parameter verwenden. Außerdem fügen Sie eine Regel hinzu, die eingehenden RDP (3389)-Datenverkehr aus jeder beliebigen Quelle und für alle aus der lokalen VPC eingehenden Verkehrstypen zulässt. Weitere Informationen finden Sie unter [Amazon-EC2-Sicherheitsgruppen für Windows-Instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html).


****  

|  AWS- Informationen zur DS-VPC01 Sicherheitsgruppe:  | 
| --- | 
| Name der Sicherheitsgruppe: AWS DS Test Lab Security Group<br />Beschreibung: AWS DS Test Lab Sicherheitsgruppe<br />VPC: AWS vpc-xxxxxxxxxxxxxxxxx - DS-VPC01 | 

**Sicherheitsgruppenregeln für eingehenden Datenverkehr für - AWS DS-VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Zielbereich  | TCP | 3389 | Meine IP | Remotedesktop | 
| Gesamter Datenverkehr | Alle | Alle | 10.0.0. 0/16 | Gesamter lokaler VPC-Verkehr | 

**Regeln für ausgehende Sicherheitsgruppen für AWS- DS-VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Ziel | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Gesamter Datenverkehr | Alle | Alle | 0.0.0. 0/0 | Gesamter Datenverkehr | 


****  

| AWS- Informationen zur OnPrem-VPC01 Sicherheitsgruppe: | 
| --- | 
| Name der Sicherheitsgruppe: AWS OnPrem Test Lab Security Group.<br />Beschreibung: AWS OnPrem Test Lab Security Group.<br />VPC: AWS vpc-xxxxxxxxxxxxxxxxx - OnPrem-VPC01 | 

**Sicherheitsgruppenregeln für eingehenden Datenverkehr für - AWS OnPrem-VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Zielbereich  | TCP | 3389 | Meine IP | Remotedesktop | 
| Zielbereich  | TCP | 53 | 10.0.0. 0/16 | DNS | 
| Zielbereich  | TCP  | 88 | 10.0.0. 0/16 | Kerberos | 
| Zielbereich  | TCP  | 389 | 10.0.0. 0/16 | LDAP | 
| Zielbereich  | TCP | 464 | 10.0.0. 0/16 | Kerberos Passwort ändern/einrichten | 
| Zielbereich  | TCP | 445 | 10.0.0. 0/16 | SMB/CIFS | 
| Zielbereich  | TCP | 135 | 10.0.0. 0/16 | Replikation | 
| Zielbereich  | TCP | 636 | 10.0.0. 0/16 | LDAP SSL | 
| Zielbereich  | TCP | 49152–65535 | 10.0.0. 0/16 | RPC | 
| Zielbereich  | TCP | 3268 - 3269 | 10.0.0. 0/16 | LDAP GC und LDAP GC SSL | 
| Benutzerdefinierte UDP-Regel  | UDP | 53 | 10.0.0. 0/16 | DNS | 
| Benutzerdefinierte UDP-Regel  | UDP | 88 | 10.0.0. 0/16 | Kerberos | 
| Benutzerdefinierte UDP-Regel  | UDP | 123 | 10.0.0. 0/16 | Windows-Uhrzeit | 
| Benutzerdefinierte UDP-Regel  | UDP | 389 | 10.0.0. 0/16 | LDAP | 
| Benutzerdefinierte UDP-Regel  | UDP | 464 | 10.0.0. 0/16 | Kerberos Passwort ändern/einrichten | 
| Gesamter Datenverkehr | Alle | Alle | 10,100,0. 0/16 | Gesamter lokaler VPC-Verkehr | 

**Regeln für ausgehende Sicherheitsgruppen für AWS- OnPrem-VPC01**


****  

| Typ | Protocol (Protokoll) | Port-Bereich | Ziel | Datenverkehrstyp | 
| --- | --- | --- | --- | --- | 
| Gesamter Datenverkehr | Alle | Alle | 0.0.0. 0/0 | Gesamter Datenverkehr | 

Ausführliche Anweisungen zum Erstellen und Hinzufügen von Regeln zu Ihren Sicherheitsgruppen finden Sie unter [Mit Sicherheitsgruppen arbeiten](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups).