Referenzbereitstellung

Active Directory Domain Services in AWS

Erstellen oder erweitern Sie Ihre AD DS-Umgebung oder verwenden Sie AD DS mit AWS Directory Service.

Bereitstellungsanleitung anzeigen

Diese Partnerlösung stellt die Domänen-Services der Microsoft Active Directory (AD DS) in der Amazon Web Services (AWS)-Cloud bereit. AD DS und das Domain Name System (DNS) sind zentrale Windows-Dienste, die Grundlage für viele Microsoft-basierte Lösungen für das Unternehmen bilden, einschließlich Microsoft SharePoint, Microsoft Exchange und .NET Framework-Anwendungen.

Diese Partnerlösung ist für Organisationen gedacht, die Workloads in der AWS Cloud ausführen, um eine sichere Konnektivität mit geringer Latenz zu AD DS- und DNS-Services einzurichten. Bei allen neuen AD DS-Installationen stellt die Partnerlösung AD DS und AD-integriertes DNS bereit und richtet Active Directory-Standorte und -Subnetze ein.

Die Partnerlösung unterstützt drei Szenarien:

  • Szenario 1: Bereitstellung einer neuen AWS-Cloud-basierten AD-DS-Umgebung, die Sie selbst verwalten
  • Szenario 2: Erweiterung Ihrer vor Ort vorhandenen AD DS auf AWS
  • Szenario 3: Bereitstellen von Directory Service für Microsoft Active Directory (AWS Managed Microsoft AD)

Bei jedem Szenario haben Sie die Option, eine neue Virtual Private Cloud (VPC) zu erstellen oder Ihre bestehende VPC-Infrastruktur zu verwenden. Sie haben auch die Möglichkeit, eine ein- oder zweistufige Microsoft Public Key Infrastructure bereitzustellen.

Diese Lösung wurde von AWS entwickelt.

AWS-Service-Catalog-Administratoren können diese Architektur zu ihrem eigenen Katalog hinzufügen.  

Verwendung in AWS Service Catalog
  •  Ihre Möglichkeiten

  • Szenario 1: Selbstverwaltete AD bereitstellen

    In diesem Szenario richtet die Partnerlösung Folgendes ein (mit einer Option zum Bereitstellen einer Zertifizierungsstelle in Availability Zone 1):

    • Eine VPC, die mit öffentlichen und privaten Subnetzen in zwei Availability Zones für Hochverfügbarkeit konfiguriert ist.*
    • In den öffentlichen Subnetzen:
      • Verwaltete Network-Address-Translation(NAT)-Gateways ermöglichen den ausgehenden Internetzugriff für Ressourcen in den privaten Subnetzen.*
      • Remote-Desktop-Gateway(RD Gateway)-Instances in einer Auto-Scaling-Gruppe, um den Remotezugriff auf Instances in privaten Subnetzen zu sichern.*
    • In den privaten Subnetzen:
      • Eine Windows-Server-Gesamtstruktur und eine Domänenfunktionsebene, einschließlich Sicherheitsgruppen und Regeln für den Datenverkehr zwischen Instances.
    • AWS-Systems-Manager-Automation-Dokumente zum Einrichten und Konfigurieren von AD-DS- und AD-integriertem DNS.
    • AWS Secrets Manager zum Speichern von Kennwörtern.

    * Die Vorlage, die Partnerlösung in einer vorhandenen VPC bereitstellt, überspringt die mit Sternchen markierten Komponenten und fordert Sie zur Eingabe Ihrer vorhandenen VPC-Konfiguration auf.

    Szenario 2: Erweitern Sie Ihr On-Premises-AD

    In diesem Szenario – mit Ausnahme des Gateways für das Virtual Private Network (VPN), der VPN-Verbindung und des Kunden-Gateways, die Sie manuell erstellen – richtet die Partnerlösung Folgendes ein:

    • Eine VPC, die mit öffentlichen und privaten Subnetzen in zwei Availability Zones für Hochverfügbarkeit konfiguriert ist.*
    • In den öffentlichen Subnetzen:
      • Verwaltete NAT-Gateways, um ausgehenden Internetzugriff für Ressourcen in den privaten Subnetzen zuzulassen.*
      • RD-Gateway-Instances in einer Auto-Scaling-Gruppe, um den Remotezugriff auf Instances in privaten Subnetzen zu sichern.*
    • In den privaten Subnetzen:
      • Windows-Server-Gesamtstruktur und Domänenfunktionsebene, einschließlich Sicherheitsgruppen und Regeln für den Datenverkehr zwischen Instances.
    • AWS-Systems-Manager-Automation-Dokumente zum Einrichten und Konfigurieren von AD-DS- und AD-integriertem DNS.
    • AWS Secrets Manager zum Speichern von Kennwörtern.

    * Die Vorlage, die Partnerlösung in einer bestehenden VPC einrichtet, sorgt dafür, dass die mit Sternchen gekennzeichneten Vorgänge übersprungen werden, und fordert Sie zur Eingabe Ihrer bestehenden VPC-Konfiguration auf.

    Szenario 3: Bereitstellen von AWS Managed Microsoft AD

    In diesem Szenario richtet die Partnerlösung Folgendes ein:

    • Eine VPC, die mit öffentlichen und privaten Subnetzen in zwei Availability Zones für Hochverfügbarkeit konfiguriert ist.*
    • In den öffentlichen Subnetzen:
      • Verwaltete NAT-Gateways, um ausgehenden Internetzugriff für Ressourcen in den privaten Subnetzen zuzulassen.*
      • RD-Gateway-Instances in einer Auto-Scaling-Gruppe, um den Remotezugriff auf Instances in privaten Subnetzen zu sichern.*
    • In den privaten Subnetzen:
      • (Optional) Eine Windows-EC2-Instance, die als Verwaltungsinstance fungiert, einschließlich Sicherheitsgruppen und Regeln für den Datenverkehr zwischen Instances.
    • AWS-Systems-Manager-Automation-Dokumente zum Einrichten und Konfigurieren von AD-DS- und AD-integriertem DNS.
    • AWS Secrets Manager zum Speichern von Kennwörtern.
    • AWS Directory Service zum Bereitstellen und Verwalten von AD DS in den privaten Subnetzen.

    * Die Vorlage, die Partnerlösung in einer bestehenden VPC einrichtet, sorgt dafür, dass die mit Sternchen gekennzeichneten Vorgänge übersprungen werden, und fordert Sie zur Eingabe Ihrer bestehenden VPC-Konfiguration auf.

  •  Bereitstellungsleitfaden

  • Zum Aufbau Ihrer AD DS-Umgebung in AWS befolgen Sie bitte die Anweisungen im Bereitstellungshandbuch. Der Bereitstellungsprozess umfasst folgende Schritte:

    1. Wenn Sie noch kein AWS-Konto haben, registrieren Sie sich unter https://aws.amazon.com und melden Sie sich bei Ihrem Konto an.
    2. Starten Sie die Partnerlösung. Sie können zwischen folgenden Optionen wählen:
    3. (Nur Szenario 2) Führen Sie einige Verbindungs- und Konfigurationsaufgaben durch, um sicherzustellen, dass Ihre Hybrid-Umgebung ordnungsgemäß funktioniert.

    Amazon kann Informationen zur Benutzerbereitstellung an den AWS-Partner weitergeben, der mit AWS an dieser Lösung zusammengearbeitet hat.  

    Bereitstellungs-Leitfaden mit Details anzeigen
  •  Kosten und Lizenzen

  • Sie sind für die Kosten der AWS-Services und sämtlicher Drittanbieter-Lizenzen verantwortlich, die bei der Ausführung dieser Partnerlösung verwendet werden. Die Verwendung dieser Partnerlösung ist mit keinen zusätzlichen Kosten verbunden.

    Die AWS-CloudFormation-Vorlagen für diese Partnerlösung enthält Konfigurationsparameter, die Sie anpassen können. Einige dieser Einstellungen, beispielsweise der Instance-Typ, wirken sich auf die Bereitstellungskosten aus. Kostenvoranschläge finden Sie auf den Preisseiten der einzelnen AWS-Services, die Sie nutzen. Preisänderungen sind vorbehalten.

    Tipp: Erstellen Sie nach Bereitstellung der Partnerlösung AWS-Kosten- und Nutzungsberichte, um den Überblick über die mit der Partnerlösung verbundenen Kosten zu behalten. Diese Berichte liefern Abrechnungsmetriken an einen Amazon-Simple-Storage-Service (Amazon S3)-Bucket in Ihrem Konto. Sie liefern Kostenschätzungen auf der Grundlage der Nutzung während jedes Monats und aggregieren die Daten am Ende des Monats. Weitere Informationen finden Sie unter  Was sind AWS-Kosten- und Nutzungsberichte?

    Diese Partnerlösung startet das Amazon Machine Image (AMI) für Microsoft Windows Server 2019 und enthält die Lizenz für das Windows-Server-Betriebssystem. Das AMI wird regelmäßig mit dem neuesten Service Pack für das Betriebssystem aktualisiert, sodass Sie keine Updates installieren müssen. Das Windows-Server-AMI erfordert keine Clientzugriffslizenzen (Client Access Licenses – CALs). Es enthält zwei Lizenzen für Microsoft Remote Desktop Services (RDS). Weitere Einzelheiten finden Sie unter Microsoft-Lizenzierung in AWS.