参考部署

在 AWS 上部署 Active Directory DS

创建或扩展 AD DS 环境,或将 AD DS 与 AWS Directory Service 一起使用

查看部署指南

此合作伙伴解决方案将在 Amazon Web Services (AWS) Cloud 上部署 Microsoft Active Directory 域服务(AD DS)。AD DS 和域名系统(DNS)是核心 Windows 服务,为许多适用于企业的 Microsoft 解决方案(如 Microsoft SharePoint、Microsoft Exchange 和 .NET Framework 应用程序)提供基础。

本合作伙伴解决方案适用于在 AWS Cloud 中运行工作负载的组织,以帮助设置到 AD DS 和 DNS 服务的安全、低延迟的连接。对于所有新的 AD DS 安装,此合作伙伴解决方案将部署 AD DS 和集成 AD 的 DNS,并设置 Active Directory 站点和子网。

此合作伙伴解决方案支持三种场景:

  • 场景 1:部署自行管理且基于 AWS Cloud 的新 AD DS 环境
  • 场景 2:将现有的本地 AD DS 扩展至 AWS
  • 场景 3:适用于 Microsoft Active Directory 的 AWS Directory Service (AWS Managed Microsoft AD)

对于每种应用场景,您可以选择创建新的 Virtual Private Cloud (VPC) 或使用现有的 VPC 基础设施。您还可以选择部署一层或两层 Microsoft 公钥基础设施

本解决方案由 AWS 开发。

AWS Service Catalog 管理员可以将此架构添加到他们自己的目录中。 

在 AWS Service Catalog 中使用
  •  构建内容

  • 场景 1:部署自行管理的 AD

    在此场景中,合作伙伴解决方案会设置以下内容(使用在可用区 1 中部署证书颁发机构的选项):

    • 一个配置有跨两个可用区的公有子网和私有子网的 VPC,以提供高可用性。*
    • 在公有子网中:
      • 托管网络地址转换 (NAT) 网关,允许对私有子网中的资源进行出站互联网访问。*
      • Auto Scaling 组中的 Remote Desktop Gateway (RD Gateway) 实例,以帮助对私有子网中的实例的安全远程访问。*
    • 在私有子网中:
      • Windows Server 林和域功能级别,包括安全组和实例之间的流量规则。
    • AWS Systems Manager Automation 文档,用于设置和配置 AD DS 和集成了 AD 的 DNS。
    • AWS Secrets Manager,用于存储密码。

    * 将此合作伙伴解决方案部署到现有 VPC 中的模板会跳过标有星号的组件,并提示您使用现有 VPC 配置。

    场景 2:扩展本地 AD

    在此场景中(您手动创建的虚拟专用网络(VPN)网关、VPN 连接和客户网关除外),合作伙伴解决方案设置以下内容:

    • 一个配置有跨两个可用区的公有子网和私有子网的 VPC,以提供高可用性。*
    • 在公有子网中:
      • 托管 NAT 网关,支持对私有子网中的资源进行出站互联网访问。*
      • Auto Scaling 组中的 RD Gateway 实例,以帮助对私有子网中的实例的安全远程访问。*
    • 在私有子网中:
      • Windows Server 林和域功能级别,包括安全组和实例之间的流量规则。
    • AWS Systems Manager Automation 文档,用于设置和配置 AD DS 和集成了 AD 的 DNS。
    • AWS Secrets Manager,用于存储密码。

    *  将此合作伙伴解决方案部署到现有 VPC 中的模板会跳过标有星号的组件,并提示您使用现有 VPC 配置。

    场景 3:部署 AWS Managed Microsoft AD

    在此场景中,合作伙伴解决方案设置以下内容:

    • 一个配置有跨两个可用区的公有子网和私有子网的 VPC,以提供高可用性。*
    • 在公有子网中:
      • 托管 NAT 网关,支持对私有子网中的资源进行出站互联网访问。*
      • Auto Scaling 组中的 RD Gateway 实例,以帮助对私有子网中的实例的安全远程访问。*
    • 在私有子网中:
      • (可选)Windows EC2 实例,作为管理实例,包括安全组和实例之间的通信规则。
    • AWS Systems Manager Automation 文档,用于设置和配置 AD DS 和集成了 AD 的 DNS。
    • AWS Secrets Manager,用于存储密码。
    • AWS Directory Service,在私有子网中预配置和管理 AD DS。

    *  将此合作伙伴解决方案部署到现有 VPC 中的模板会跳过标有星号的组件,并提示您使用现有 VPC 配置。

  •  如何部署

  • 要在 AWS 上构建 AD DS 环境,请遵循部署指南中的说明操作。部署过程包括以下步骤:

    1. 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
    2. 启动合作伙伴解决方案。您可以从以下选项中选择:
    3. (仅限场景 2)请完成相应的连接和配置任务,以确保混合环境工作正常。

    Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。  

    查看部署指南,了解详细信息
  •  费用和许可证

  • 您需要支付在运行此合作伙伴解决方案参考部署期间使用的 AWS 服务和任何第三方许可证所产生的费用。使用此合作伙伴解决方案无需额外付费。

    本合作伙伴解决方案的 AWS CloudFormation 模板包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。

    提示:部署合作伙伴解决方案后,请创建 AWS 成本和使用情况报告,以跟踪与本合作伙伴解决方案相关的费用。这些报告会将账单指标发送至您账户中的 Amazon Simple Storage Service (Amazon S3) 桶。它们根据每个月的使用情况提供成本估算,并在月末汇总数据。有关更多信息,请参阅 什么是 AWS 成本和使用情况报告?

    本合作伙伴解决方案可启动适用于 Microsoft Windows Server 2019 的亚马逊云机器镜像(AMI),并包括适用于 Windows Server 操作系统的许可证。该 AMI 通过适用于操作系统的最新 Service Pack 进行定期更新,因此您无需安装任何更新。Windows Server AMI 不需要客户端访问许可证 (CAL)。它包括两个 Microsoft Remote Desktop Services (RDS) 许可证。有关详细信息,请参阅 AWS 上的 Microsoft 许可