使用EC2建置Windows Active Directory
Active Directory(簡稱AD)是微軟Windows Server中,負責架構中大型網路環境的集中式目錄管理服務,在Windows 2000 Server開始內建於Windows Server產品中,它處理在組織中的網路物件,物件可以是使用者,群組,電腦,網域控制站,郵件,設定檔,組織單元,樹系等等,只要是在Active Directory結構定義檔(schema)中定義的物件,就可以儲存在Active Directory資料檔中,並利用Active Directory 服務介面來存取,實際上,許多Active Directory的管理工具都是利用這個介面來呼叫並使用Active Directory的資料。
Active Directory也被做為微軟部份伺服器軟體與網域構連的資料結構,例如Microsoft Exchange Server 2003-2007,均使用AD來儲存其個人信箱資料(透過建立新的Active Directory Schema),並將AD列為建置Exchange Server的必要條件。
請遵照我們的步驟,創建以下內容: EC2 instance x 2, VPC, subnet, Innternet Gateway , Security Group, route table, 和 DHCP Options Sets
大綱
情境
- 在本教程中,我們將創建EC2實體x2,一個用於託管AD DS,一個用於扮演新PC角色以加入我們創建的網域。 對於AD DS而言,我們可以方便地控制電腦和使用者。
準備事項
-
如果您使用Mac, 請先從App Store下載Remote Desktop.
-
如果您的作業系統是windows, 請下載Remote Desktop 或是在您的桌面左下角,按下搜尋,輸入遠端連線.
-
AWS 帳號.
創建Windows-EC2實體
現在,我們創建兩個 EC2 Windows 實例來模擬場景,一個我們將用於託管 AD 服務,另一個用於加入我們創建的域。 想像一下,今天有數百個主機並加入網域,我們可以集中管理它們!多麽的方便的服務啊!
- 登入至 AWS主控台 AWS console
-
在主控台上方, 點選 Services -> EC2.
-
點選 Launch Instance.
-
選擇 Microsoft Windows Server 2012 R2 Base 作為AMI.
-
實體類型, 選擇 t2.micro and click Next: Configure Instance Details.
-
在 Number of instances 欄位, 輸入
2
. -
在 Network 欄位, 點選 Create new VPC.
-
在 IPv4 CIDR block 欄位, 輸入
172.31.0.0/16
, 其他維持預設. -
請記住你的 VPC ID.
-
回到 Configure Instance Details, 點選 Create new Subnet.
-
在 Name tag欄位, 輸入 AD Lab subnet, 選擇我們剛才創建的 VPC ID.
-
在 IPv4 CIDR block欄位, 輸入
172.31.0.0/16
-
在 VPC 的主控台, 點選 route table -> create route table.
-
在 Name Tag 欄位, 輸入 AD Lab route table 並且選擇我們剛才創建的VPC.
-
選擇我們剛才創建的 route table -> Actions -> Set Main Route Table.
-
在 VPC 主控台, 點選 Internet gateway, 然後 create internet gateway.
-
在 Name tag 欄位, 輸入 AD Lab Internet Gateway, 然後create.
-
點選我們剛才創立的 internet gateway -> Actions -> Attach to VPC.
-
選擇我們的 VPC -> Attach.
-
回到 route table 的主控台, 並且選擇我們創建的route table-> Edit routes,
-
回到 Configure Instance Details, 在 Auto-assign Public IP 欄位, 選擇 Enable.
我們可以輕易的透過 Public IP 連接我們的實體.
-
回到 Configure Instance Details 保持其他設定為預設值, 直到 Step 5:Add Tags.
-
在 Key 欄位, 輸入
Name
, Value 欄位, 輸入AD Lab
-
在 Step 6 :Configure Security Group 選擇 create a new security group, security group name 輸入
AD-Lab-Security-Group
-
Add Rule -> Type :
All traffic
, source :Custom
172.31.0.0/16
-
Add rules -> Type :
RDP
, source : my IP -> Review and Launch. -
點選 Launch.
-
點擊 Create a new key pair.
-
在 Key pair name 欄位, 輸入 ADLab.
-
點擊 Download Key Pair 下載你的密鑰檔案.
請注意,只有本次機會下載密鑰。創建後,您將無法再次下載該密鑰。
-
點擊 Launch Instances.
-
點擊 View Instances.
-
現在我們連線至我們創建的 EC2實體, 在 EC2 主控台 -> instances, 我們可以將其中一台EC2的名字修改為 AD Lab PC01 另一台為 AD Lab AD.
連接Windows-EC2實體
連接到EC2 Windows instance,為我們所要建立的Active Directory服務做設定,首先是將Server Promote為DC,再加上Active Directory,然後創建我們自己的網域
-
在Amazon EC2主控台中, 選擇機器名稱為 AD Lab AD 的主機, 然後點擊 Connect.
-
在 Connect To Your Instance 對話框中,選擇Get Password(在密碼可用之前,實體啟動後需要幾分鐘)。
-
按下選擇檔案, 尋找您的密鑰檔案 -> 打開. -> Decrypt Password, 您需要這組密碼才可以連接至EC2實體, 可以將您的密碼複製至剪貼簿,方便您操作.
-
請記下 IPv4 Public IP 和 Private IPs 我們稍後會使用到, 打開 Microsoft Remote Desktop -> add Desktop -> 輸入您的IPv4 Public IP 在PC Name的欄位 -> Save.
-
雙擊您剛才新增的桌面
-
User Name :
Administrator
, Password : (從剪貼簿複製) -> Done. -
一個如下圖的警告會跳出, 只需點選 continue 即可.
若您無法成功連接至您的 EC2實體 , 請確認 IP and Password 輸入正確.
創建Active-Directory網域服務
建立您自己的網域並新增 AD 服務,以便透過 AD 管理任何加入到網域內的電腦。甚至可以透過AD管理,哪些使用者可以登入網域內的電腦,並且對網域內的電腦、使用者做權限設定
-
點選左下角 Server Manager 的圖示 -> 點擊 Add roles and Features.
-
點擊 Next 直到 Server Roles.
-
在 Server Roles 勾選 Active Directory Domain Services 和 DNS Server.
當您點擊了 DNS Server 且 add features, 一個警告會跳出來, 只需點擊 Continue.
- 點擊 Next 直到 Confirmation, 點擊 Install.
等待Windows EC2實體下載工具與服務.
-
點擊 close 繼續 -> 點擊在畫面右上角的旗幟-> Promote this server to a domain controller.
-
在 Deployment Configuration 選擇 Add a new forest, 在您輸入完您的網域名稱之後 (
ADLAB.com
) 點擊 Next -
在 Domain Control Option, 輸入 DSRM 的密碼
密碼需要是高強度,至少是大寫和小寫字母,數字和符號的組合。 DSRM密碼用於修復或還原Active Directory域服務(AD DS)的引導模式。用於在AD DS或需要恢復的AD DS後登錄設備AD節點.
-
點擊 Next 直到 Prerequisites Check -> Install
下載完成之後, Windows EC2實體會重新啟動. 現在我們再次連接到 EC2(AD Lab AD), 並且檢查它是否已經是AD(Active Directory)和DC(Domain Controller).
在AWS設定DHCP-Options-Sets
由於我們創建了 VPC 時還沒有創建網域,我們的 VPC 無法識別我們的網域。 通過設置 DHCP Options Sets,讓 VPC 知道我們創建的網域和網域伺服器。
-
打開 AWS 主控台 -> Service:VPC -> DHCP Options Sets
-
Create a DHCP Options Sets 設定參考底下圖示,
-
Name : AD Lab, Domain Name :
ADLAB.com
, Domain Name Server : Private IPs(AD LAB AD’s) -> 將其他欄位留空. -
請記住您的 DHCP Options set ID, 然後我們必須 Edit DHCP Options set in our VPC.
-
在 VPC 主控台 -> 選擇我們創建的VPC -> Actions -> Edit DHCP Options set -> 選擇我們剛才創建的 DHCP Option set t
加入網域
現在我們連接到另一個 EC2 並將其添加到我們創建的網域中,因此我們可以在加入網域後通過 AD 集中管理電腦或使用者,在這過程當中你會發現,如果要加入網域,需要經過網域管理者的確認 * 現在我們連接到 EC2(AD LAB PC01), 使用這台電腦加入到我們剛才創建的網域(Domain)
連接方法如前面所提及.
-
登入 EC2(AD LAb PC01) -> 打開 Server Manager -> 點擊位於左邊屏幕的 local Server -> 點擊 WORKGROUP -> 點擊 Change.
-
Computer name 輸入
PC01
, Domain:ADLAB.com
. -
我們必須輸入 AD’s user name and password 才能加入網域
ADLAB.com
-> 按下 OK.
現在, 我們輸入 EC2(AD LAB AD) 的使用者名稱 :
Administrator
andPassword
: (密碼應該在您的剪貼簿) .
- 系統將要求您重新啟動電腦以應用這些更改,因此請點擊Restart.
檢查 PC01 是否已經存在 ADLAB.com
網域內.
-
現在我們連接到 AD LAB AD -> 打開 Server Manager -> 點擊 tools 它位於旗子旁邊 -> 點擊 Active Directory Users and Computers.
-
在 ADLAB Domain之下, 點擊 Computers , 您可以看到PC01 已經成功被加進此網域了.
創建組織單位(Organizational Units)
- 右鍵點擊
ADLAB.com
– > New -> Organizational Unit -> 命名這個物件, 在這裏我們創建一個 TEST 物件 -> OK.
組織單位的構成取決於您的設計、規劃, 也可以透過部門來分類
在OU當中創建使用者
-
右鍵點擊 TEST -> New -> User.
-
輸入使用者的相關資訊以及登入名稱->按下 Next.
-
為使用者設置密碼, 在本教程當中我們不採用底下的四種規則, 所以請記得取消勾選. >> 密碼須為高強度密碼
您還可以勾選規則以強制用戶在首次登錄此電腦時更改其密碼。
-
點擊 Next -> Finish.
-
檢查使用者是否成功被創立在 TEST(OU) 之下.
-
右鍵點擊 JonnyDD this user -> add to a group -> 輸入 remote -> Check Names -> Remote Desktop Users.
-
現在我們連接到 PC01 ->
User Name
: Administrator,Password
: (從剪貼簿複製). -
我們必須使用 Administrator 的身份登入到EC2當中, 並且新增 JonnyDD 這位使用者至 Remote Desktop Users 群組當中. (因為是虛擬機的關係,若以上設定在本地端的話則不需要做這個步驟)
-
打開 Control Panel -> System and Security -> Allow remote access
-
Select Users -> Add -> 輸入 Jonny -> Check Names -> 一個視窗會彈跳出來,就像下圖一樣
-
這個動作需要 AD’s Administrator 許可,
User name
:Administrator
和Password
(在剪貼簿當中)若您之前尚未複製, 請到 AWS EC2 Console -> 選擇 EC2(AD LAB AD) -> Connect -> Get Password -> Choose File -> Select the Key Pair we create before -> Decrypt Password -> 密碼.
-
按下 OK -> 現在我們先斷開連結 Disconnect 並且使用 JonnyDD 這個用戶身份再次登入我們的EC2(AD Lab PC01).
- 您成功創建了自己的網域!並且在此網域當中新增了一位使用者!
清除資源
- 關閉您剛才創建的EC2實體
- 刪除 VPC, subnet, security group, route table, DHCP Options sets, internet gateway.
結論
你學會了: 設定自己的 VPC, subnet, security group, route table, DHCP Options Sets, internet gateway,並且使用EC2 Windows實體架設Widows Active Directory,並且創建自己的網域,管理網域當中的使用者以及電腦。
使用Windows Active Directory管理網路環境對您有什麼好處呢? 您的電腦帳號密碼集中伺服器管理,強化電腦安全性,並且透過Active Directory建立完整公司員工資料,還能控管所有電腦的軟體安裝避免員工安裝了具有危險性的軟體,造成資料外流、被竊取,然而公司必備軟體還能夠透過Active Directory的管理者統一由伺服器派送軟體安裝到電腦,也能統一為網域內的電腦做版本更新。集中式管理還能減少公司網路環境的維運人員減少管理時間與成本,就連印表機、網路磁碟機也能統一由Active Directory伺服器集中管理,透過網路分 享的資料夾和電腦資料夾的權限控制,增加公司網路環境的安全性。若為跨區域的公司,也能透過統一連線Active Directory伺服器做集中管理。