如何将 Amazon AWS Directory Service 和 Amazon Connect 与 Microsoft Active Directory 结合使用？

解决方法

按照以下步骤为 AWS Directory Service 配置 Amazon Connect：

1. 在 AWS Directory Service 中创建 Active Directory。
2. 创建 Amazon Elastic Compute Cloud（Amazon EC2）Windows 实例，以便您可以为该目录创建和管理用户。
3. 在该目录中创建新用户。
4. 使用新创建的目录创建一个 Amazon Connect 实例。
5. 在 Amazon Connect 中添加和管理新用户。

AWS Directory Service 提供三种类型的服务。这三种类型均可与 Amazon Connect 一起用于用户管理。有关 AWS Directory Service 的详细信息，请参阅什么是 AWS Directory Service？

先决条件

确保为 Amazon Virtual Private Cloud（Amazon VPC）设置了以下选项：

• 至少有两个子网，并且两个子网位于不同的可用区。
• VPC 正在使用默认硬件租赁。
• VPC 没有使用 198.18.0/15 地址空间中的 IP 地址。

要配置 Amazon VPC，请参阅 Amazon VPC 入门。

**注意：**有关上述先决条件的详细信息，请参阅 AWS Managed Microsoft AD 先决条件。有关与其他 AWS Directory Service 类型相关的先决条件的信息，请参阅 AD Connector 先决条件或 Simple AD 先决条件。

在 AWS Directory Service 中创建 Active Directory

按照以下步骤配置 AWS Managed Microsoft AD：

1. 在 AWS Directory Service 管理控制台中，选择设置目录。
2. 按如下所示填写表单：
   对于目录类型，选择 AWS Managed Microsoft AD。
   对于版本，选择您使用的版本：标准版或企业版。
   对于目录 DNS 名称，输入您选择的任何完全限定域名。
   对于目录 NetBIOS 名称（可选），输入域的短标识符。
   对于目录描述（可选），提供目录的简短描述（不超过 128 个字）。
   对于管理员密码，输入密码。请保存此密码，因为以后会使用它登录 EC2 实例。
   对于确认密码，重新输入密码。
3. 选择下一步继续。
4. 选择作为先决条件设置的 VPC 和子网。然后选择下一步继续。
5. 选择**创建目录。**这可能需要一些时间来生成和初始化。有关[此内容]的详细信息，请参阅创建 AWS Managed Microsoft AD 目录。
6. 使用您的新凭证以管理员身份登录该目录：
   用户名： Admin
   密码： [您在步骤 2 中创建的密码。]

为 Microsoft Windows Server 创建 Amazon EC2 实例

要管理创建的新目录中的用户，必须创建 EC2 实例。以后将使用此 EC2 实例添加、修改或删除用户。

创建实例的过程分为三步：

为实例设置 IAM 角色

EC2 实例需要 AWS Identity and Access Management（IAM）角色以便与 Directory Service 通信。按照以下步骤为实例创建 IAM 角色：

1. 在 IAM 控制台中，依次选择角色和创建角色。
2. 对于可信实体，选择 EC2。然后选择下一步。
3. 按如下所示配置权限和服务策略：
4. 对于权限策略，选择两个 AWS 托管策略：
   • AmazonSSMManagedInstanceCore
   • AmazonSSMDirectoryServiceAccess
5. 然后选择下一步。

为实例创建安全组

您必须为 EC2 实例创建安全组。以后创建实例时将使用此安全组。

1. 在 EC2 控制台中，依次选择**“安全组”和“创建安全组”**。
2. 输入安全组的名称。例如，您可能使用 AWSDirectoryEC2SecurityGroup。
3. 选择之前在其中创建 AWS Managed Microsoft AD 的 VPC。
4. 对于入站规则，选择添加规则。然后，按如下所示输入远程桌面协议（RDP）流量的 IP 范围：
   类型： RDP
   源： IP_range_to_allow_the_RDP_traffic
   **注意：**应将 IP_range_to_allow_the_RDP_traffic 替换为所需的范围。
5. 对于出站规则，选择添加规则，然后按如下所示输入内容：
   类型： 所有流量
   目标： 选择自定义，并选择目录的安全组。
   **注意：**默认情况下，目录的安全组的名称格式如下：
   directoryid_controllers。例如，如果目录 ID 为 d-9x1234abcd，则安全组为 d-9x1234abcd_controllers。
6. 选择创建安全组以创建安全组。

创建 EC2 实例

按照以下步骤创建 EC2 实例：

1. 在 EC2 控制台中，依次选择实例和启动实例。
2. 为 EC2 实例命名（可选）。
3. 然后，配置以下内容：
   对于应用程序和操作系统映像，选择 Windows。
   对于密钥对，从下拉列表中选择密钥对（如果已创建），或者为实例创建新的密钥对。
   对于网络设置，选择之前在其中创建 AWS Managed Microsoft AD 目录的 VPC。
   对于子网，选择与该目录关联的公有子网之一。启用自动分配公有 IP。
4. 对于防火墙（安全组），选择之前创建的安全组。
   例如 AWSDirectoryEC2SecurityGroup。
   **重要事项：**您可以选择任何安全组。但必须编辑与目录关联的安全组，以便可以在 EC2 实例和目录之间连接网络。
5. 展开高级详细信息选项卡。
   对于域加入目录，选择之前创建的目录。
   对于 IAM 角色配置文件，选择之前创建的角色 AWSDirectoryEC2Role。
6. 配置的其余部分保持不变，然后选择启动实例。有关创建 EC2 实例的详细信息，请参阅将 EC2 实例加入 AWS Managed Microsoft AD 目录。

有关将 EC2 实例加入 AD Connector 目录的详细信息，请参阅无缝加入 Windows EC2 实例。有关将 EC2 实例加入 Simple AD 目录的详细信息，请参阅无缝加入 Windows EC2 实例。

在目录中创建新用户

启动后，在实例中打开远程会话以配置目录并在其中创建用户。

1. 使用目录凭证登录 EC2 实例：
   用户名： Admin@Domain。
   **注意：**例如，如果该目录的域为 article.awssupport.com，那么：
   用户名为 Admin@article.awssupport.com。
   密码为之前创建的管理员密码。
2. 打开远程会话。要使用凭证打开远程会话，请执行以下操作：
   • 确保与实例关联的安全组允许 RDP 流量。有关详细信息，请参阅使用 RDP 连接到您的 Windows 实例。
   • EC2 实例无缝加入 Directory Service。如果问题仍然存在，请尝试为 EC2 实例配置手动加入。有关详细信息，请参阅手动加入 Windows 实例。

会话变为活动状态后，按照以下步骤创建新用户：

1. 按照在 Windows Server 2012 到 Windows Server 2019 上安装 Active Directory 管理工具中所述步骤安装 Active Directory 工具。
2. 要打开 Windows 管理工具，请在 Windows EC2 实例远程会话上，选择启动。
3. 打开 Active Directory 用户和计算机。将在新窗口中显示目录域。
4. 从下拉列表中选择域、组织单位、用户。例如，如果域为 article.awssupport.com，则选择 article.awssupport.com、文章、用户。
   **注意：**屏幕上显示的用户为 Admin。使用其他名称创建另一个用户，因为 Admin 是 Amazon Connect 中的保留字。
5. 从下拉列表中选择操作、新建、用户
6. 输入名字、姓氏和用户的登录名。然后选择下一步继续。
7. 创建密码，然后确认该密码。
8. 取消选中用户下次登录时必须更改密码，并选中密码永不过期。然后选择下一步。
9. 选择完成。

有关在目录中创建新用户的步骤的详细信息，请参阅创建用户。现在，您就可以在 Amazon Connect 中创建实例了。

创建 Amazon Connect 实例

按照以下步骤创建实例：

1. 使用 AWS 凭证登录 Amazon Connect 控制台。
2. 选择添加实例。
   注意：如果这是 Amazon Connect 中的第一个实例，请选择开始使用。
3. 要进行身份管理，请选择链接到现有目录。从下拉列表中选择之前设置的目录。
4. 输入访问 URL。然后选择下一步继续。
5. 对于添加管理员，输入用户名（例如 Jane）。请勿输入用户的完整登录名（包括目录域）。
6. 配置的其余部分保持不变，然后选择创建实例。
7. 要登录实例，请使用用户名和密码。

在 Amazon Connect 实例中添加和管理新用户

之前在目录中创建了新用户。现在将该用户添加到 Amazon Connect 实例：

1. 使用 Connect 实例凭证启动 Connect 实例控制面板。
2. 在 Amazon Connect 实例控制面板中，依次选择**“用户”和“用户管理”**。
3. 从右上角选择添加新用户。
4. 从用户列表中选择之前创建的用户。
5. 为新用户选择安全配置文件、路由配置文件和电话配置。从右上角选择保存。
6. 测试新用户的凭证。使用选择的用户安全配置文件权限登录 Amazon Connect 实例。有关详细信息，请参阅将用户添加到 Amazon Connect。

设置过程中的常见问题

本节提供一些指南以帮助解决您在设置过程中可能遇到的常见问题。

无法使用目录的管理员凭证登录 Windows EC2 实例。

请考虑以下几点：

• EC2 实例的子网和目录可能不匹配。确保 EC2 实例位于属于目录的其中一个子网中。
• EC2 实例或目录的安全组不允许流量。创建目录时，系统会创建与该目录关联的默认安全组以允许流量。使用此安全组可以避免任何与安全组相关的问题。
• 有时，如果 EC2 无缝加入不起作用，凭证就不起作用。尝试手动将 EC2 实例加入目录

EC2 实例中不存在管理工具。

• 如果需要在 EC2 实例中使用管理工具，请按照在 Windows Server 2012 到 Windows Server 2019 上安装 Active Directory 管理工具中的步骤进行操作。

Windows EC2 实例中的目录域在 Active Directory 的用户和计算机屏幕中不可用。

• 确认目录和 EC2 实例已连接。确保按照将 EC2 实例加入 AWS Managed Microsoft AD 目录中所述步骤创建了实例。
• 确保目录的用户的状态为管理员并已登录 EC2 实例。

---