Active Directory（簡稱AD）是微軟Windows Server中，負責架構中大型網路環境的集中式目錄管理服務，在Windows 2000 Server開始內建於Windows Server產品中，它處理在組織中的網路物件，物件可以是使用者，群組，電腦，網域控制站，郵件，設定檔，組織單元，樹系等等，只要是在Active Directory結構定義檔（schema）中定義的物件，就可以儲存在Active Directory資料檔中，並利用Active Directory 服務介面來存取，實際上，許多Active Directory的管理工具都是利用這個介面來呼叫並使用Active Directory的資料。

Active Directory也被做為微軟部份伺服器軟體與網域構連的資料結構，例如Microsoft Exchange Server 2003-2007，均使用AD來儲存其個人信箱資料（透過建立新的Active Directory Schema），並將AD列為建置Exchange Server的必要條件。

請遵照我們的步驟，創建以下內容： EC2 instance x 2, VPC, subnet, Innternet Gateway , Security Group, route table, 和 DHCP Options Sets

大綱

• 情境
• 準備事項
• 創建Windows-EC2實體
• 連接Windows-EC2實體
• 創建Active-Directory網域服務
• 在AWS設定DHCP-Options-Sets
• 加入網域
• 清除資源
• 結論

情境

• 在本教程中，我們將創建EC2實體x2，一個用於託管AD DS，一個用於扮演新PC角色以加入我們創建的網域。 對於AD DS而言，我們可以方便地控制電腦和使用者。

準備事項

• 如果您使用Mac, 請先從App Store下載Remote Desktop.

• 如果您的作業系統是windows, 請下載Remote Desktop 或是在您的桌面左下角，按下搜尋，輸入遠端連線.

• AWS 帳號.

創建Windows-EC2實體

現在，我們創建兩個 EC2 Windows 實例來模擬場景，一個我們將用於託管 AD 服務，另一個用於加入我們創建的域。 想像一下，今天有數百個主機並加入網域，我們可以集中管理它們！多麽的方便的服務啊！

• 登入至 AWS主控台 AWS console

• 在主控台上方, 點選 Services -> EC2.

• 點選 Launch Instance.

• 選擇 Microsoft Windows Server 2012 R2 Base 作為AMI.

  

• 實體類型, 選擇 t2.micro and click Next: Configure Instance Details.

• 在 Number of instances 欄位, 輸入 2.

• 在 Network 欄位, 點選 Create new VPC.

• 在 IPv4 CIDR block 欄位, 輸入 172.31.0.0/16, 其他維持預設.

  

• 請記住你的 VPC ID.

• 回到 Configure Instance Details, 點選 Create new Subnet.

• 在 Name tag欄位, 輸入 AD Lab subnet, 選擇我們剛才創建的 VPC ID.

• 在 IPv4 CIDR block欄位, 輸入 172.31.0.0/16

  

• 在 VPC 的主控台, 點選 route table -> create route table.

  

• 在 Name Tag 欄位, 輸入 AD Lab route table 並且選擇我們剛才創建的VPC.

• 選擇我們剛才創建的 route table -> Actions -> Set Main Route Table.

• 在 VPC 主控台, 點選 Internet gateway, 然後 create internet gateway.

• 在 Name tag 欄位, 輸入 AD Lab Internet Gateway, 然後create.

  

• 點選我們剛才創立的 internet gateway -> Actions -> Attach to VPC.

  

• 選擇我們的 VPC -> Attach.

• 回到 route table 的主控台, 並且選擇我們創建的route table-> Edit routes,

  

• 回到 Configure Instance Details, 在 Auto-assign Public IP 欄位, 選擇 Enable.

  我們可以輕易的透過 Public IP 連接我們的實體.

• 回到 Configure Instance Details 保持其他設定為預設值, 直到 Step 5:Add Tags.

• 在 Key 欄位, 輸入 Name, Value 欄位, 輸入 AD Lab

• 在 Step 6 :Configure Security Group 選擇 create a new security group, security group name 輸入 AD-Lab-Security-Group

• Add Rule -> Type : All traffic, source : Custom 172.31.0.0/16

• Add rules -> Type : RDP, source : my IP -> Review and Launch.

• 點選 Launch.

• 點擊 Create a new key pair.

• 在 Key pair name 欄位, 輸入 ADLab.

• 點擊 Download Key Pair 下載你的密鑰檔案.

請注意，只有本次機會下載密鑰。創建後，您將無法再次下載該密鑰。

• 點擊 Launch Instances.

• 點擊 View Instances.

• 現在我們連線至我們創建的 EC2實體, 在 EC2 主控台 -> instances, 我們可以將其中一台EC2的名字修改為 AD Lab PC01 另一台為 AD Lab AD.

  

連接Windows-EC2實體

連接到EC2 Windows instance，為我們所要建立的Active Directory服務做設定，首先是將Server Promote為DC，再加上Active Directory，然後創建我們自己的網域

• 在Amazon EC2主控台中, 選擇機器名稱為 AD Lab AD 的主機, 然後點擊 Connect.

• 在 Connect To Your Instance 對話框中，選擇Get Password（在密碼可用之前，實體啟動後需要幾分鐘）。

• 按下選擇檔案, 尋找您的密鑰檔案 -> 打開. -> Decrypt Password, 您需要這組密碼才可以連接至EC2實體, 可以將您的密碼複製至剪貼簿,方便您操作.

  

• 請記下 IPv4 Public IP 和 Private IPs 我們稍後會使用到, 打開 Microsoft Remote Desktop -> add Desktop -> 輸入您的IPv4 Public IP 在PC Name的欄位 -> Save.

  

• 雙擊您剛才新增的桌面

• User Name : Administrator, Password : (從剪貼簿複製) -> Done.

  

• 一個如下圖的警告會跳出, 只需點選 continue 即可.

  

若您無法成功連接至您的 EC2實體 , 請確認 IP and Password 輸入正確.

創建Active-Directory網域服務

建立您自己的網域並新增 AD 服務，以便透過 AD 管理任何加入到網域內的電腦。甚至可以透過AD管理，哪些使用者可以登入網域內的電腦，並且對網域內的電腦、使用者做權限設定

• 點選左下角 Server Manager 的圖示 -> 點擊 Add roles and Features.

• 點擊 Next 直到 Server Roles.

• 在 Server Roles 勾選 Active Directory Domain Services 和 DNS Server.

當您點擊了 DNS Server 且 add features, 一個警告會跳出來, 只需點擊 Continue.

• 點擊 Next 直到 Confirmation, 點擊 Install.

等待Windows EC2實體下載工具與服務.

• 點擊 close 繼續 -> 點擊在畫面右上角的旗幟-> Promote this server to a domain controller.

  

• 在 Deployment Configuration 選擇 Add a new forest, 在您輸入完您的網域名稱之後 (ADLAB.com) 點擊 Next

  

• 在 Domain Control Option, 輸入 DSRM 的密碼

  密碼需要是高強度，至少是大寫和小寫字母，數字和符號的組合。 DSRM密碼用於修復或還原Active Directory域服務（AD DS）的引導模式。用於在AD DS或需要恢復的AD DS後登錄設備AD節點.

• 點擊 Next 直到 Prerequisites Check -> Install

下載完成之後, Windows EC2實體會重新啟動. 現在我們再次連接到 EC2(AD Lab AD), 並且檢查它是否已經是AD(Active Directory)和DC(Domain Controller).

在AWS設定DHCP-Options-Sets

由於我們創建了 VPC 時還沒有創建網域，我們的 VPC 無法識別我們的網域。 通過設置 DHCP Options Sets，讓 VPC 知道我們創建的網域和網域伺服器。

• 打開 AWS 主控台 -> Service:VPC -> DHCP Options Sets

  

• Create a DHCP Options Sets 設定參考底下圖示,

  

• Name : AD Lab, Domain Name : ADLAB.com, Domain Name Server : Private IPs(AD LAB AD’s) -> 將其他欄位留空.

• 請記住您的 DHCP Options set ID, 然後我們必須 Edit DHCP Options set in our VPC.

• 在 VPC 主控台 -> 選擇我們創建的VPC -> Actions -> Edit DHCP Options set -> 選擇我們剛才創建的 DHCP Option set t

加入網域

現在我們連接到另一個 EC2 並將其添加到我們創建的網域中，因此我們可以在加入網域後通過 AD 集中管理電腦或使用者，在這過程當中你會發現，如果要加入網域，需要經過網域管理者的確認 * 現在我們連接到 EC2(AD LAB PC01), 使用這台電腦加入到我們剛才創建的網域(Domain)

連接方法如前面所提及.

• 登入 EC2(AD LAb PC01) -> 打開 Server Manager -> 點擊位於左邊屏幕的 local Server -> 點擊 WORKGROUP -> 點擊 Change.

• Computer name 輸入 PC01, Domain: ADLAB.com.

  

• 我們必須輸入 AD’s user name and password 才能加入網域 ADLAB.com -> 按下 OK.

現在, 我們輸入 EC2(AD LAB AD) 的使用者名稱 : Administrator and Password : (密碼應該在您的剪貼簿) .

• 系統將要求您重新啟動電腦以應用這些更改，因此請點擊Restart.

檢查 PC01 是否已經存在 ADLAB.com 網域內.

• 現在我們連接到 AD LAB AD -> 打開 Server Manager -> 點擊 tools 它位於旗子旁邊 -> 點擊 Active Directory Users and Computers.

  

• 在 ADLAB Domain之下, 點擊 Computers , 您可以看到PC01 已經成功被加進此網域了.

  

創建組織單位(Organizational Units)

• 右鍵點擊 ADLAB.com – > New -> Organizational Unit -> 命名這個物件, 在這裏我們創建一個 TEST 物件 -> OK.

組織單位的構成取決於您的設計、規劃, 也可以透過部門來分類

在OU當中創建使用者

• 右鍵點擊 TEST -> New -> User.

• 輸入使用者的相關資訊以及登入名稱->按下 Next.

  

• 為使用者設置密碼, 在本教程當中我們不採用底下的四種規則, 所以請記得取消勾選. >> 密碼須為高強度密碼

您還可以勾選規則以強制用戶在首次登錄此電腦時更改其密碼。

• 點擊 Next -> Finish.

• 檢查使用者是否成功被創立在 TEST(OU) 之下.

• 右鍵點擊 JonnyDD this user -> add to a group -> 輸入 remote -> Check Names -> Remote Desktop Users.

  

• 現在我們連接到 PC01 -> User Name : Administrator, Password : (從剪貼簿複製).

• 我們必須使用 Administrator 的身份登入到EC2當中, 並且新增 JonnyDD 這位使用者至 Remote Desktop Users 群組當中. (因為是虛擬機的關係，若以上設定在本地端的話則不需要做這個步驟)

  

• 打開 Control Panel -> System and Security -> Allow remote access

  

• Select Users -> Add -> 輸入 Jonny -> Check Names -> 一個視窗會彈跳出來,就像下圖一樣

• 這個動作需要 AD’s Administrator 許可, User name : Administrator 和 Password （在剪貼簿當中）

  若您之前尚未複製, 請到 AWS EC2 Console -> 選擇 EC2(AD LAB AD) -> Connect -> Get Password -> Choose File -> Select the Key Pair we create before -> Decrypt Password -> 密碼.

  

• 按下 OK -> 現在我們先斷開連結 Disconnect 並且使用 JonnyDD 這個用戶身份再次登入我們的EC2(AD Lab PC01).

  



• 您成功創建了自己的網域！並且在此網域當中新增了一位使用者！

清除資源

• 關閉您剛才創建的EC2實體
• 刪除 VPC, subnet, security group, route table, DHCP Options sets, internet gateway.

結論

你學會了: 設定自己的 VPC, subnet, security group, route table, DHCP Options Sets, internet gateway，並且使用EC2 Windows實體架設Widows Active Directory，並且創建自己的網域，管理網域當中的使用者以及電腦。

使用Windows Active Directory管理網路環境對您有什麼好處呢？ 您的電腦帳號密碼集中伺服器管理，強化電腦安全性，並且透過Active Directory建立完整公司員工資料，還能控管所有電腦的軟體安裝避免員工安裝了具有危險性的軟體，造成資料外流、被竊取，然而公司必備軟體還能夠透過Active Directory的管理者統一由伺服器派送軟體安裝到電腦，也能統一為網域內的電腦做版本更新。集中式管理還能減少公司網路環境的維運人員減少管理時間與成本，就連印表機、網路磁碟機也能統一由Active Directory伺服器集中管理，透過網路分 享的資料夾和電腦資料夾的權限控制，增加公司網路環境的安全性。若為跨區域的公司，也能透過統一連線Active Directory伺服器做集中管理。