

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Schritt 3: Stellen Sie eine Amazon EC2 EC2-Instance bereit, um Ihre zu verwalten AWS Verwaltetes Microsoft AD Active Directory
<a name="microsoftadbasestep3"></a>

Für dieses Lab verwenden wir Amazon EC2 EC2-Instances mit öffentlichen IP-Adressen, um den Zugriff auf die Management-Instance von überall aus zu vereinfachen. In einer Produktionsumgebung können Sie Instances verwenden, die sich in einer privaten VPC befinden und auf die nur über ein VPN oder einen Direct Connect Link zugegriffen werden kann. Es ist nicht notwendig, dass die Instance über eine öffentliche IP-Adresse verfügt.

In diesem Abschnitt durchlaufen Sie die verschiedenen Aufgaben nach der Bereitstellung, die für Client-Computer erforderlich sind, um unter Verwendung des Windows Servers auf Ihrer neuen EC2-Instance eine Verbindung mit Ihrer neuen Domain herzustellen. Sie verwenden die Windows Server im nächsten Schritt, um sicherzustellen, dass die Testumgebung funktional ist.

## Optional: Erstellen Sie einen DHCP-Optionssatz in AWS- DS-VPC01 für Ihr Verzeichnis
<a name="createdhcpoptionsset"></a>

In diesem optionalen Verfahren richten Sie einen DHCP-Optionsbereich ein, sodass EC2-Instances in Ihrer VPC automatisch Ihr AWS verwaltetes Microsoft AD für die DNS-Auflösung verwenden. Weitere Informationen finden Sie unter [DHCP-Optionssets](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html).

**So erstellen Sie eine DHCP-Optionsliste für Ihr Verzeichnis**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **DHCP Options Sets** und anschließend **Create DHCP Options Set** aus.

1. Geben Sie auf der Seite **Create DHCP options set (DHCP-Optionsliste erstellen)** die folgenden Werte für Ihr Verzeichnis ein:
   + Geben Sie bei **Name** **AWS DS DHCP** ein.
   + Geben Sie für **Domainname** **corp.example.com** ein.
   + Geben Sie für **Domainnamen-Server** die IP-Adressen der DNS-Server Ihres von AWS bereitgestellten Verzeichnisses ein. 
**Anmerkung**  
Um diese Adressen zu finden, rufen Sie die Seite Directory Service **Verzeichnisse auf** und wählen Sie dann die entsprechende Verzeichnis-ID aus. Identifizieren und verwenden Sie auf der Seite **Details** die IP-Adressen, die in der **DNS-Adresse** angezeigt werden.  
Sie können diese Adressen auch finden, indem Sie die Directory Service -Seite **Verzeichnisse** aufrufen und die entsprechende Verzeichnis-ID auswählen. Wählen Sie dann **Skalieren und freigeben**. Identifizieren und verwenden Sie unter **Domain-Controller** die IP-Adressen, die unter **IP-Adresse** angezeigt werden.
   + Geben Sie nichts für die Einstellungen für **NTP servers**, **NetBIOS name servers** und **NetBIOS node type** an.

1. Wählen Sie **Create DHCP options set (DHCP-Optionsliste erstellen)** und anschließend **Close (Schließen)** aus. Die neue DHCP-Optionsliste wird in der Liste der DHCP-Optionen angezeigt.

1. Notieren Sie sich die ID des neuen Satzes von DHCP-Optionen (**dopt- {{xxxxxxxx}}**). Sie brauchen sie zum Schluss dieses Verfahrens, wenn Sie die neue Optionsliste Ihrer VPC zuordnen.
**Anmerkung**  
Die nahtlose Domainverbindung funktioniert, ohne dass ein DHCP-Optionssatz konfiguriert werden muss. 

1. Wählen Sie im Navigationsbereich **Your VPCs (Ihre VPCs)** aus.

1. Wählen Sie in der VPC-Liste **AWS DS VPC**, dann **Aktionen** und anschließend **DHCP-Optionsliste bearbeiten** aus.

1. Wählen Sie auf der Seite **Edit DHCP options set (DHCP-Optionsliste bearbeiten)** die Optionsliste aus, die Sie sich in Schritt 5 notiert haben, und wählen Sie dann **Save (Speichern)** aus.

## Erstellen Sie eine Rolle, um Windows-Instanzen mit Ihrem zu verbinden AWS Verwaltete Microsoft AD-Domäne
<a name="configureec2"></a>

Gehen Sie wie folgt vor, um eine Rolle zu konfigurieren, die eine Amazon EC2 EC2-Windows-Instance mit einer Domain verbindet. Weitere Informationen finden Sie unter [Hinzufügen einer Amazon EC2 EC2-Windows-Instance zu Ihrer AWS Verwaltetes Microsoft AD Active Directory](launching_instance.md).

**So konfigurieren Sie EC2, um Windows-Instances mit Ihrer Domain zu verbinden**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.

1. Wählen Sie unter **Select type of trusted entity** (Typ der vertrauenswürdigen Entität auswählen) die Option **AWS -Service** aus.

1. Wählen Sie für **Choose the service that will use this role (Wählen Sie den Service aus, der diese Rolle verwendet)** die Option **EC2** und danach **Next: Permissions (Nächster Schritt: Berechtigungen)** aus.

1. Führen Sie auf der Seite **Attached permissions policy (Richtlinie für angefügte Berechtigungen)** die folgenden Schritte aus:
   + Wählen Sie das Kästchen neben der **AmazonSSMManagedInstanceCore**verwalteten Richtlinie aus. Diese Richtlinie enthält die erforderlichen Mindestberechtigungen zum Verwenden des Systems-Managers-Dienstes.
   + Wählen Sie das Kästchen neben der **AmazonSSMDirectoryServiceAccess**verwalteten Richtlinie aus. Die Richtlinie enthält die Berechtigungen zum Verbinden von Instances mit einem von Directory Service verwalteten Active Directory.

   Weitere Informationen zu diesen verwalteten Richtlinien und anderen Richtlinien zum Anfügen an ein IAM-Instance-Profil für Systems Manager finden Sie unter [Ein IAM-Instance-Profil für Systems Manager erstellen](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) im *AWS Systems Manager -Benutzerhandbuch*. Informationen über verwaltete Richtlinien finden Sie unter [AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

1. Wählen Sie **Next: Tags (Weiter: Tags (Markierungen))** aus.

1. (Optional) Fügen Sie ein oder mehrere Tag (Markierung)-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern, und wählen Sie dann **Next: Review** (Weiter: Prüfen) aus. 

1. Geben Sie **unter Rollenname** einen Namen für die Rolle ein, der beschreibt, dass sie verwendet wird, um Instanzen zu einer Domäne hinzuzufügen, z. **EC2DomainJoin**B.

1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung ein.

1. Wählen Sie **Create role (Rolle erstellen)** aus. Das System leitet Sie zur Seite **Rollen** zurück.

## Erstellen Sie eine Amazon EC2 EC2-Instance und treten Sie dem Verzeichnis automatisch bei
<a name="deployec2instance"></a>

In diesem Verfahren richten Sie ein Windows Server-System in einer EC2-Instance ein, das später zur Verwaltung von Benutzern, Gruppen und Richtlinien in Active Directory verwendet werden kann. 

**So erstellen Sie eine EC2-Instance und verbinden automatisch das Verzeichnis**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie **Launch Instance** aus.

1. Wählen Sie auf der Seite **Schritt 1** neben **Microsoft Windows Server 2019 Base - ami** die {{xxxxxxxxxxxxxxxxx}} Option **Select aus**.

1. Wählen Sie auf der Seite **Schritt 2** den Eintrag **t3.micro** (beachten Sie, dass Sie einen größeren Instance-Typ wählen können) und wählen Sie dann **Weiter: Instance-Details konfigurieren** aus.

1. Führen Sie auf der Seite **Step 3** die folgenden Schritte aus:
   + Wählen Sie für **Network** die VPC aus, die mit **AWS-** endet DS-VPC01 (z. B. **vpc- {{xxxxxxxxxxxxxxxxx}} \| AWS- DS-VPC01**).
   + Wählen Sie als **Subnetz** **Public Subnet 1** aus, das für Ihre bevorzugte Availability Zone vorkonfiguriert sein sollte (z. B. **subnet** - \| - \|). {{xxxxxxxxxxxxxxxxx}} AWS DS-VPC01-Subnet01 {{us-west-2a}} 
   + Wählen Sie für **Auto-assign Öffentliche IP** die Option **Aktivieren** aus (wenn die Subnetzeinstellung nicht standardmäßig auf Aktivieren gesetzt ist).
   + Wählen Sie für **Domain Join Directory** die Option **corp.example.com (**d-) aus. {{xxxxxxxxxx}}
   + Wählen Sie für die **IAM-Rolle** den Namen aus, den Sie Ihrer Instance-Rolle gegeben haben, z. B. [Erstellen Sie eine Rolle, um Windows-Instanzen mit Ihrem zu verbinden AWS Verwaltete Microsoft AD-Domäne](#configureec2) **EC2DomainJoin**
   + Übernehmen Sie für die anderen Einstellungen die Standardwerte.
   + Wählen Sie **Next: Add Storage** aus.

1. Behalten Sie auf der Seite **Step 4** die Standardeinstellungen bei und wählen Sie dann **Next: Add Tags**.

1. Wählen Sie auf der Seite **Step 5** die Option **Add Tag** aus. Geben Sie unter **Key** die Zeichenfolge **corp.example.com-mgmt** ein und wählen Sie dann **Next: Configure Security Group**.

1. Wählen Sie auf der Seite **Schritt 6** die Option **Bestehende Sicherheitsgruppe auswählen**, wählen Sie die **AWS -DS-Testumgebungs-Sicherheitsgruppe** (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createsecuritygroup) eingerichtet haben) und wählen Sie dann **Überprüfen und starten**, um Ihre Instance zu überprüfen.

1. Überprüfen Sie auf der Seite **Step 7** die Seite und wählen Sie dann **Launch**.

1. Erledigen Sie im Dialogfeld **Select an existing key pair or create a new key pair** Folgendes:
   + Wählen Sie **Vorhandenes Schlüsselpaar auswählen** aus.
   + **Wählen Sie unter key pair** auswählen die Option **AWS-** ausDS-KP.
   + Markieren Sie das Kontrollkästchen **I acknowledge...**.
   + Wählen Sie **Instances starten** aus.

1. Wählen Sie **Instances anzeigen** aus, um zur Amazon-EC2-Konsole zurückzukehren und den Status der Bereitstellung anzuzeigen.

## Die Active-Directory-Tools in Ihrer EC2-Instance installieren
<a name="installadtools"></a>

Sie haben die Wahl zwischen zwei Methoden zur Installation der Active Directory-Domain-Management-Tools für Ihre EC2-Instance. Sie können die Server-Manager-Benutzeroberfläche (für dieses Tutorial empfohlen) oder verwendenPowerShell.

**So installieren Sie die Active-Directory-Tools in Ihrer EC2-Instance (Server Manager)**

1. Wählen Sie in der Amazon-EC2-Konsole die Option **Instances**, wählen Sie die zuvor erstellte Instance und wählen Sie dann **Verbinden**. 

1. Wählen **Sie im Dialogfeld Connect To Your Instance** die Option **Get Password** aus, um Ihr Passwort abzurufen, falls Sie dies noch nicht getan haben, und wählen Sie dann **Remote Desktop-Datei herunterladen**. 

1. Geben Sie im Dialogfeld **Windows Security** Ihre lokalen Administrator-Anmeldeinformationen für den Windows Server-Computer ein, um sich anzumelden (z. B. **administrator**).

1. Wählen Sie im Menü **Start** die Option **Server Manager**.

1. Wählen Sie im **Dashboard** **Add Roles and Features**.

1. Wählen Sie im **Add Roles and Features Wizard** **Next**. 

1. **Wählen Sie auf der Seite „Installationstyp** **auswählen“ die Option **Role-based oder funktionsbasierte Installation** aus und klicken Sie dann auf Weiter.**

1. Stellen Sie sicher, dass auf der Seite **Select destination server** der lokale Server ausgewählt ist, und wählen Sie dann **Next**.

1. Wählen Sie auf der Seite **Select server roles** **Next**. 

1. Führen Sie auf der Seite **Select features** die folgenden Schritte aus:
   + Wählen Sie das Kontrollkästchen **Group Policy Management**.
   + Erweitern Sie **Remote Server Administration Tools** und erweitern Sie dann **Role Administration Tools**.
   + Wählen Sie das Kontrollkästchen **AD DS and AD LDS Tools**.
   + Wählen Sie das Kontrollkästchen **DNS Server Tools** .
   + Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Confirm installation selections** die Informationen und wählen Sie dann **Install**. Wenn die Installation des Features abgeschlossen ist, stehen die folgenden neuen Tools oder Snap-Ins über den Ordner Windows Administrative Tools im Start-Menü zur Verfügung. 
   + Active Directory Administrative Center
   + Active-Directory-Domain und -Vertrauensbeziehungen
   + Active Directory-Modul für PowerShell
   + Active Directory-Standorte und -Dienste
   + Active Directory-Benutzer und -Computer
   + ADSI bearbeiten
   + DNS
   + Gruppenrichtlinienverwaltung

**Um die Active Directory-Tools auf Ihrer EC2-Instance zu installieren (PowerShell) (Optional)**

1. Starten PowerShell.

1. Geben Sie den folgenden Befehl ein: 

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```