Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Langkah 1: Atur lingkungan Anda untuk kepercayaan
Di bagian ini, Anda mengatur lingkungan Amazon EC2, menyebarkan hutan baru, dan menyiapkan VPC Anda untuk dipercaya. AWS
## Membuat instans EC2 Windows Server 2019
Gunakan prosedur berikut untuk membuat server anggota Windows Server 2019 di Amazon EC2.
**Untuk membuat instans EC2 Windows Server 2019**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di konsol Amazon EC2, pilih **Luncurkan Instans**.
1. Pada halaman **Langkah 1**, cari **Microsoft Windows Server 2019 Base - ami- {{xxxxxxxxxxxxxxxxx}}** dalam daftar. Lalu pilih **Pilih**.
1. Pada halaman **Langkah 2**, pilih **t2.large**, lalu pilih **Berikutnya: Konfigurasi Detail Instans**.
1. Pada halaman **Langkah 3**, lakukan hal berikut:
+ Untuk **Jaringan**, pilih **vpc- {{xxxxxxxxxxxxxxxxx}} AWS- OnPrem - VPC01** (yang sebelumnya Anda atur di [tutorial Base](microsoftadbasestep1.md#createvpc)).
+ Untuk **Subnet**, pilih **subnet- {{xxxxxxxxxxxxxxxxx}} \| AWS- - VPC01 -Subnet01 \| OnPrem - -**. AWS OnPrem VPC01
+ Untuk daftar **Tetapkan Otomatis IP Publik**, pilih **Aktifkan** (jika pengaturan subnet tidak diatur ke **Aktifkan** secara default).
+ Biarkan pengaturan lainnya pada default.
+ Pilih **Berikutnya: Tambahkan Penyimpanan**.
1. Pada halaman **Langkah 4**, biarkan pengaturan default, kemudian pilih **Berikutnya: Tambahkan Tanda**.
1. Pada halaman **Langkah 5**, pilih **Tambahkan Tanda**. Di bawah **Kunci** ketik **example.local-DC01**, kemudian pilih **Berikutnya: Konfigurasi Grup Keamanan**.
1. Pada halaman **Langkah 6**, **pilih Pilih grup keamanan yang ada**, pilih **AWS On-Prem Test Lab Security Group** (yang sebelumnya Anda atur dalam [tutorial Dasar](microsoftadbasestep1.md#createsecuritygroup)), lalu pilih **Tinjau dan Luncurkan** untuk meninjau instance Anda.
1. Pada halaman **Langkah 7**, tinjau halaman, dan kemudian pilih **Luncurkan**.
1. Pada kotak dialog **Pilih key pair yang sudah ada atau buat key pair baru**, lakukan hal berikut:
+ Pilih **Pilih key pair yang sudah ada**.
+ Di bawah **Pilih key pair**, pilih **AWS-DS-KP** (yang sebelumnya Anda atur di [Tutorial dasar](microsoftadbasestep1.md#createkeypair2)).
+ Pilih kotak centang **Saya mengakui…**.
+ Pilih **Luncurkan Instans**.
1. Pilih **Lihat Instans** untuk kembali ke konsol Amazon EC2 dan melihat status deployment.
## Promosikan server Anda ke pengendali domain
Sebelum Anda dapat membuat kepercayaan, Anda harus membangun dan men-deploy pengendali domain pertama untuk forest baru. Selama proses ini Anda mengkonfigurasi forest Direktori Aktif baru, menginstal DNS, dan mengatur server ini untuk menggunakan server DNS lokal untuk resolusi nama. Anda harus me-reboot server pada akhir prosedur ini.
**catatan**
Jika Anda ingin membuat pengontrol domain dalam replikasi AWS tersebut dengan jaringan lokal, pertama-tama Anda akan menggabungkan instans EC2 secara manual ke domain lokal Anda. Setelah itu Anda dapat mempromosikan server ke pengendali domain.
**Untuk mempromosikan server Anda ke pengendali domain**
1. Di konsol Amazon EC2, pilih **Instans**, pilih Instans yang baru saja Anda buat, kemudian pilih **Hubungkan**.
1. Di kotak dialog **Hubungkan ke Instans Anda**, pilih **Unduh File Remote Desktop**.
1. Di kotak dialog **Keamanan Windows**, ketik kredensial administrator lokal Anda untuk komputer Windows Server untuk masuk (misalnya, **administrator**). Jika Anda belum memiliki kata sandi administrator lokal, kembali ke konsol Amazon EC2, klik kanan pada instans, dan pilih **Dapatkan Kata Sandi Windows**. Arahkan ke file `AWS DS KP.pem` Anda atau kunci `.pem` pribadi Anda, dan kemudian pilih **Dekripsi Kata sandi**.
1. Dari menu **Mulai**, pilih **Pengelola Server**.
1. Di **Dasbor**, pilih **Tambah Peran dan Fitur**.
1. Di **Tambahkan Wizard Peran dan Fitur**, pilih **Selanjutnya**.
1. Pada halaman **Pilih jenis instalasi**, pilih **Instalasi berbasis peran atau berbasis fitur**, lalu pilih **Selanjutnya**.
1. Pada halaman **Pilih server tujuan**, pastikan bahwa server lokal dipilih, dan kemudian pilih **Selanjutnya**.
1. Pada halaman **Pilih peran server**, pilih **Layanan Domain Direktori Aktif**. Di kotak dialog **Tambahkan Wizard Peran dan Fitur**, verifikasi bahwa kotak centang **Sertakan alat manajemen (jika ada)** dipilih. Pilih **Tambahkan Fitur**, lalu pilih **Selanjutnya**.
1. Pada halaman **Pilih fitur**, pilih **Selanjutnya**.
1. Pada halaman **Layanan Domain Direktori Aktif**, pilih **Selanjutnya**.
1. Pada halaman **Konfirmasi pilihan instalasi**, pilih **Instal**.
1. Setelah binari Direktori Aktif diinstal, pilih **Tutup**.
1. Ketika Pengelola Server terbuka, cari bendera di atas sebelah kata **Kelola**. Ketika bendera ini berubah kuning, server siap untuk dipromosikan.
1. Pilih bendera kuning, dan kemudian pilih **Mempromosikan server ini ke pengendali domain**.
1. Pada halaman **Konfigurasi Deployment**, pilih **Menambahkan forest baru**. Di **Nama domain root** ketik **example.local**, lalu pilih **Selanjutnya**.
1. Pada halaman **Opsi Pengendali Domain**, lakukan hal berikut:
+ Di **Tingkat fungsional forest** dan **Tingkat fungsional domain**, pilih **Windows Server 2016**.
+ Di bawah **Tentukan kemampuan pengontrol domain**, verifikasi bahwa **server DNS** dan **Katalog Global (GC) dipilih**.
+ Ketik dan kemudian konfirmasikan kata sandi Directory Services Restore Mode (DSRM). Lalu pilih **Selanjutnya**.
1. Pada halaman **Opsi DNS**, abaikan peringatan tentang delegasi dan pilih **Selanjutnya**.
1. Pada halaman **Opsi tambahan**, pastikan **EXAMPLE** terdaftar sebagai nama NetBios domain.
1. Pada halaman **Jalur**, biarkan default, dan kemudian pilih **Selanjutnya**.
1. Pada halaman **Tinjau opsi**, pilih **Selanjutnya**. Server sekarang memeriksa untuk memastikan semua prasyarat untuk pengendali domain terpenuhi. Anda mungkin melihat beberapa peringatan ditampilkan, namun Anda dapat mengabaikannya dengan aman.
1. Pilih **Instal**. Setelah instalasi selesai, server akan reboot dan kemudian menjadi pengendali domain fungsional.
## Mengkonfigurasi VPC Anda
Tiga prosedur berikut memandu Anda melalui langkah-langkah untuk mengkonfigurasi VPC Anda untuk konektivitas dengan AWS.
**Untuk mengkonfigurasi aturan keluar VPC Anda**
1. [Di [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/), catat ID direktori Microsoft AD AWS Terkelola untuk corp.example.com yang sebelumnya Anda buat di tutorial Base.](microsoftadbasestep2.md)
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Grup Keamanan**.
1. Cari ID direktori Microsoft AD AWS Terkelola Anda. Dalam hasil pencarian, pilih item dengan deskripsi yang **AWS dibuat grup keamanan untuk pengontrol {{xxxxxx}} direktori d**.
**catatan**
Grup keamanan ini secara otomatis dibuat ketika Anda awalnya membuat direktori Anda.
1. Pilih tab **Aturan Keluar** di bawah grup keamanan tersebut. Pilih **Edit**, pilih **Tambahkan aturan lain**, dan kemudian tambahkan nilai-nilai berikut:
+ Untuk **Jenis**, pilih **Semua lalu lintas**.
+ Untuk **Tujuan**, ketik **0.0.0.0/0**.
+ Biarkan pengaturan lainnya pada default.
+ Pilih **Simpan**.
**Untuk memverifikasi praautentikasi kerberos diaktifkan**
1. Pada pengendali domain **example.local**, buka **Pengelola Server**.
1. Pada menu **Alat**, pilih **Pengguna dan komputer Direktori Aktif**.
1. Arahkan ke direktori **Pengguna**, klik kanan pada pengguna mana pun dan pilih **Properti**, dan kemudian pilih tab **Akun**. Di daftar **Opsi akun**, gulir ke bawah dan pastikan bahwa **Tidak memerlukan praautentikasi Kerberos** **tidak** dicentang.
1. Lakukan langkah yang sama untuk domain **corp.example.com**dari instans **corp.example.com-mgmt**.
**Untuk mengkonfigurasi DNS penerus bersyarat**
**catatan**
Penerus bersyarat adalah server DNS pada jaringan yang digunakan untuk meneruskan kueri DNS sesuai dengan nama domain DNS dalam kueri tersebut. Sebagai contoh, server DNS dapat dikonfigurasi untuk meneruskan semua kueri yang diterima untuk nama yang berakhir dengan widgets.example.com ke alamat IP server DNS tertentu atau ke alamat IP dari beberapa server DNS.
1. Buka [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Di panel navigasi, pilih **Direktori**.
1. Pilih **ID direktori** iklan Microsoft AWS Terkelola Anda.
1. Perhatikan nama domain yang memenuhi syarat (FQDN), **corp.example.com**, dan alamat DNS dari direktori Anda.
1. Sekarang, kembali ke pengendali domain **example.local**, dan kemudian buka **Pengelola Server**.
1. Pada menu **Alat**, pilih **DNS**.
1. Pada pohon konsol, perluas server DNS dari domain di mana Anda mengatur kepercayaan, dan arahkan ke **Penerus Bersyarat**.
1. Klik kanan **Penerus Bersyarat**, lalu pilih **Penerus Bersyarat Baru**.
1. Dalam domain DNS, ketik **corp.example.com**.
1. Di bawah **alamat IP server utama**, pilih **, ketik alamat DNS pertama dari direktori Microsoft AD AWS Terkelola Anda (yang Anda catat dalam prosedur sebelumnya), lalu tekan **Enter**. Lakukan hal yang sama untuk alamat DNS kedua. Setelah memasukkan alamat DNS, Anda mungkin mendapatkan kesalahan “timeout” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.
1. Pilih kotak centang **Menyimpan penerus bersyarat ini di Direktori Aktif dan mereplikasi sebagai berikut**. Di menu drop-down, pilih **Semua server DNS di Forest ini**, lalu pilih **OK**.