部署 AWS Managed Microsoft AD 管理实例

在本实验中,我们将使用SSM 自动化文档 <strong>AWS-CreateDSManagementInstance</strong> 部署一个加入到我们的 AWS Managed Microsoft AD 的 AD 管理 EC2 实例。此 SSM 文档简化了部署过程,因为它处理了设置管理实例的主要步骤。

此外,我们甚至不再需要保留一个实例进行 Active Directory 管理,而是在需要时提供一个按需实例。SSM 自动化文档为我们提供了无缝部署 AWS 托管 AD 的灵活性,为我们提供了关闭/终止不再需要的实例的灵活性。

记下 corp.example.comDirectory ID:

image-20240625221640655

打开 https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateDSManagementInstance/

使用Simple execution:

image-20240625221757391

设置以下输入参数并选择Execute:

       a. DirectoryId: 输入上一步的Directory ID。

       b. IamInstanceProfileName: 保留默认值 AmazonSSMDirectoryServiceInstanceProfileRole

       c. AutomationAssumeRole: 保留为空。

       d. InstanceType: 保留默认值 t3.medium

       e. Tags: 保留默认值 [{“Key”:“Description”,“Value”:“Created by AWS Systems Manager Automation”},{“Key”:“Created By”,“Value”:“AWS Systems Manager Automation”}]

       f. KeyPairName: 保留默认值 NoKeyPair

       g. SecurityGroupName: 输入 AD-ID-Domain-Member-SG

       h. AmiId: 输入 {{ssm:/aws/service/ami-windows-latest/Windows_Server-2022-English-Full-Base}}

       i. RemoteAccessCidr: 保留默认值 0.0.0.0/0

       i. MetadataOption: 保留默认值 {“HttpEndpoint”:“enabled”,“HttpTokens”:“optional”}

使用 0.0.0.0/0 作为 CIDR 从来都不推荐,这会使我们的实例面临严重的风险。生产中建议使用一个限制性的 CIDR。

image-20240625222032303

机器启动并加入 AWS Managed Microsoft AD域可能需要 5 到 10 分钟:

image-20240625222921704

登录新部署的管理实例

我们将使用AWS Systems Manager Fleet Manager - Remote Desktop 登录 AD 管理实例,并安装 Active Directory 管理工具。

image-20240625222612725

选择名为 d-xxxxxxxxxx_managementInstance 的节点,然后选择Connect:

image-20240625222715394

选择user credentials,输入以下内容,然后选择Connect:

用户名: 输入 corp\Admin

密码: 输入 MadAdminSecret Secret中的密码。

image-20240625222749808

登录成功后:

image-20240625223115218

输入 dsa.msc 并按键盘上的 Enter 键打开Active Directory Users and Computers

image-20240625223222752

展开域 corp.example.com:

image-20240625223336156

总结

我们已成功使用 SSM 启动了一个 EC2 实例,该实例加入了我们的 AWS 托管 Microsoft AD 域并安装了 Active Directory 管理工具。