Blog de Amazon Web Services (AWS)

Replicación multiregional para Microsoft Active Directory administrado por AWS

Por Martin Beeby, Principal Advocate na AWS
Caio Ribeiro César, Arquitecto de Soluciones Especialista en Microsoft y 
Javier Gálvez Campanelli, Arquitecto de Soluciones

 

Nuestros clientes desarrollan aplicaciones que necesitan servir a usuarios que viven en cualquier lugar del mundo.  Escuchando comentarios de nuestros clientes,  ellos nos dijeron que, aunque se sienten cómodos creando aplicaciones compatibles con Active Directory (AD) en AWS, hacerlas funcionar a una escala global puede ser un verdadero desafío.

Los clientes nos dijeron que AWS Directory Service for Microsoft Active Directory les había ahorrado tiempo y dinero y les había proporcionado todas las capacidades que necesitaban para ejecutar sus aplicaciones compatibles con Active Directory. Sin embargo, si querían escalar a un nivel global, necesitaban crear directorios independientes de AWS Managed Microsoft AD en cada región. Y con esto, necesitarían crear otra solución adicional para sincronizar los datos del AD de cada región. Este tipo de solución trae una sobrecarga significativa de administración, que a su vez es complejo y costoso. Esto también desacelero a clientes que intentaban migrar sus cargas de trabajo basadas en AD a la nube.

Hoy queremos contarles sobre una nueva función que permite a nuestros clientes a implementar un único Microsoft Active Directory gestionado por AWS que corre en múltiple regiones. Esta nueva característica denominada multi-region replication configura automáticamente la conectividad de red entre regiones, implementa controladores de dominio y replica todos los datos del Active Directory en varias regiones, lo que garantiza que las cargas de trabajo de Windows y Linux que residen en esas regiones puedan conectarse y utilizar AWS Managed Microsoft AD con baja latencia y alto rendimiento. AWS Managed Microsoft AD hace que sea más rentable para los clientes migrar sus aplicaciones y cargas de trabajo compatibles con Active Directory a AWS y a su vez sea más fácil administrarlo globalmente. Además, la replicación automatizada de múltiples regiones proporciona resiliencia en múltiples regiones.

Con este nueva función, AWS ahora puede sincronizar todos los datos de su directorio, incluidos los usuarios, los grupos, los Group Policy Objects (GPO) y el esquema a través de múltiples regiones. AWS gestiona automáticamente las actualizaciones de software, la supervisión, la recuperación y la seguridad de la infraestructura subyacente del AD en todas las regiones, lo que permite a nuestros clientes a enfocarse en la creación de las aplicaciones del negocio. Gracias a la integración con Amazon CloudWatch Logs y Amazon Simple Notification Service (SNS) , AWS Managed Microsoft AD facilita a nuestros clientes la supervisión global del estado y logs de seguridad del directorio.

 

Cómo puedo crear un Multi-region AWS Managed Microsoft AD ?

Permítanme mostrarles cómo crear un Active Directory que abarque varias regiones mediante la consola de AWS Managed Microsoft AD. No es necesario crear un nuevo directorio para usar replicación de varias regiones , también funcionará con sus directorios existentes.

Primero, voy a crear un nuevo Directorio siguiendo los pasos tradicionales. Selecciono Enterprise Edition ya que esta es la única edición que soporta replicación multi-regiones.

 

 

Le doy a mi Directorio un nombre y una descripción y luego configuro la contraseña del administrador. Luego hago clic en Siguiente que me lleva a la configuración de red.

 

 

Selecciono una Amazon Amazon Virtual Private Cloud (VPC)  que en mi caso utilizo para demostraciones y, a continuación, elijo dos subredes que se encuentran en zonas de disponibilidad independientes. AWS Managed Microsoft AD implementa dos controladores de dominio por región y los coloca en subredes separadas que se encuentran en diferentes zonas de disponibilidad; esto se hace por motivos de resiliencia, de modo que el directorio pueda seguir funcionando incluso si una de las zonas de disponibilidad tiene problemas.

 

 

Una vez que hago clic en siguiente, se me presenta la pantalla de revisión y hago clic en la opción Crear directorio.

 

 

Este proceso tarda entre 20 y 45 minutos en terminar. Ahora podrá observar que hay una columna en la página de lista de directorios que dice Multi-región , este nuevo directorio tiene como valor establecido en No, lo que indica que este directorio no abarca varias regiones .

 

 

Una vez que se ha creado el directorio, hago clic en el ID del directorio y vamos a ver los detalles. Ahora podrán ver que tengo una nueva sección llamada replicación multi-región y hay un botón llamado Agregar región . Si hago clic en este botón, entonces puedo configurar una Región adicional.

 

 

Selecciono la región que quiero agregar a mi directorio, en este ejemplo US West (Oregon) us-west-2,  luego selecciono una VPC en esa región y dos subredes que deben residir en zonas de disponibilidad separadas. Finalmente, hago clic en el  botón Agregar para agregar esta nueva Región para mi directorio.

 

 

Ahora de vuelta en la página de detalles del directorio veo que hay dos regiones enumeradas una en US East (N. Virginia) y otra  US West (Oregon), de nuevo el proceso puede tardar hasta 45 minutos, pero una vez que se haya completado tendré mi directorio replicado en dos regiones.

 

 

Custos

Usted pagara por hora de consumo por los controladores de dominio de cada región, además de la transferencia de datos entre regiones. Es importante entender que esta nueva característica del servicio creará dos controladores de dominio por cada región que se agregue, por lo tanto las aplicaciones que residen en estas regiones ahora pueden comunicarse con un directorio local, y esto ayudara a reducir los costos ya que se minimiza la necesidad de transferencia de datos entre regiones. Para obtener más información, visite la página de precios.

Disponible ahora

Esta nueva función se puede utilizar hoy en día y está disponible para directorios nuevos y existentes que utilizan Enterprise Edition en cualquiera de las siguientes regiones: US East (N. Virginia), US East (Ohio), US West (N. California), US West (Oregon), AWS GovCloud (US-East), US West (Oregon), Asia Pacific (Mumbai), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), Asia Pacific (Tokyo), Canada (Central), Europe (Frankfurt), Europe (Ireland), Europe (London), Europe (Paris), Europe (Stockholm), and South America (São Paulo).

Vaya a la página del producto para obtener más información, para ver precios y comenzar a crear directorios que abarcan múltiples regiones de AWS.

 

 

La replicación multi-region admite varios sitios de Active Directory (un sitio de AD por región). Cuando se agrega una nueva zona, se le da el mismo nombre que la zona donde fue creado, por ejemplo, us-east-1. Este nombre se podria cambiar más adelante usando herramientas nativas de Active Directory (Sitios y Servicios).

En caso de que todos los controladores de dominio de una región estén inactivos, AWS Managed Microsoft AD recuperara los controladores de dominio y replicara automáticamente los datos del directorio. Mientras tanto, los controladores de dominio en otras regiones seguirán funcionando.

En el siguiente video vamos a explicar un poco más en profundidad cómo habilitar el servicio y sus funcionalidades.

 

 

Este artículo fue traducido del Blog de AWS en Inglés

 


Sobre los autores

Martin es uno de los principales defensores de Amazon Web Services y viaja por todo el mundo presentando las capacidades transformacionales de AWS. En su tiempo en AWS, Martin habló de más de 200 eventos y reuniones, así como de blogs, tutoriales y transmisiones producidas. Martin lleva desarrollando aplicaciones desde los 16 años y, en los últimos 20 años, ha trabajado en proyectos con muchas empresas y marcas importantes. Su principal foco está en las aplicaciones.NET y ha estado trabajando como desarrollador de C # y VB desde 2001.

 

 

 

Caio Ribeiro César trabaja actualmente como arquitecto de soluciones especializadas en tecnología de Microsoft en la nube de AWS. Comenzó su carrera profesional como administrador de sistemas, quien continuó durante más de 14 años en áreas como Seguridad de la Información, Identidad Online y Plataformas de correo electrónico empresarial. Recientemente se convirtió en un fan de la computación en la nube de AWS y ayuda a los clientes a aprovechar el poder de la tecnología de Microsoft en AWS.

 

 

 

Javier Gálvez trabaja actualmente como arquitecto de soluciones y ha trabajado en tecnología de la información durante más de 22 años, comenzando como administrador de sistemas especializado en tecnologías de Microsoft para grandes instituciones financieras siendo especialista en plataformas de correo e intranets corporativa para luego mas tarde en su carrera pasar a tecnologías de virtualización y soluciones de código abierto como Kubernetes.
En la actualidad, se centra principalmente en el diseño y la entrega de nuevas soluciones hibridas sobre la nube AWS, así como en el desarrollo de actividades técnicas con demostraciones y sesiones interactivas para nuestros clientes.