Implementación de referencia

Active Directory Domain Services on AWS

Cree o amplíe su entorno de AD DS o use AD DS con AWS Directory Service

Ver la guía de despliegue

Esta solución de socio implementa Microsoft Active Directory Domain Services (AD DS) en la nube de Amazon Web Services (AWS). AD DS y el sistema de nombres de dominio (DNS) son servicios principales de Windows que sientan las bases para muchas soluciones empresariales basadas en Microsoft, como Microsoft SharePoint, Microsoft Exchange y aplicaciones basadas en .NET Framework.

Esta solución de socio es para organizaciones que ejecutan cargas de trabajo en la nube de AWS, para ayudarlas a configurar una conectividad segura y de baja latencia a AD DS y servicios DNS. Para todas las instalaciones de AD DS nuevas, la solución de socio despliega AD DS y DNS integrado en AD, y configura subredes y sitios de Active Directory.

La solución de socio admite tres escenarios:

  • Escenario 1: implementar un entorno de AD DS nuevo basado en la nube de AWS que puede administrar por su cuenta
  • Escenario 2: Ampliar un AD DS en las instalaciones existente a la nube de AWS
  • Escenario 3: Implementar Directory Service para Microsoft Active Directory (AWS Managed Microsoft AD)

En cada caso, tiene la opción de crear una Virtual Private Cloud (VPC) nueva o usar una infraestructura de VPC existente. También tiene la opción de implementar una infraestructura de claves públicas de Microsoft de una o dos capas.

AWS desarrolló esta solución.

Los administradores de AWS Service Catalog pueden agregar esta arquitectura a su propio catálogo.  

Uso en AWS Service Catalog
  •  Lo que creará

  • Escenario 1: implementar un AD autoadministrado

    En este escenario, la solución de socio configura lo siguiente (con una opción de implementar una autoridad de certificados en la zona de disponibilidad 1):

    • Una VPC configurada con subredes públicas y privadas en dos zonas de disponibilidad para lograr un nivel de disponibilidad alto.*
    • En las subredes públicas:
      • Gateways gestionadas mediante traducción de direcciones de red (NAT) para permitir el acceso saliente a Internet a recursos en las subredes privadas.*
      • Instancias de gateway de escritorio remoto (RD Gateway) en un grupo de Auto Scaling para ayudar proporcionar acceso remoto seguro a instancias en las subredes privadas.*
    • En las subredes privadas:
      • Nivel funcional de dominio y bosque de Windows Server, incluidos grupos de seguridad y reglas para el tráfico entre instancias.
    • Documentos de AWS Systems Manager Automation para establecer y configurar AD DS y los DNS incorporados a AD.
    • AWS Secrets Manager para almacenar contraseñas.

    * En la plantilla con la que se implementa la solución del socio en una VPC existente, se omiten las tareas marcadas con asteriscos y se le pide la configuración de su VPC existente.

    Escenario 2: ampliar su AD de forma local

    En este escenario, salvo por la puerta de enlace de red privada virtual (VPN), la conexión de VPN y la puerta de enlace de cliente, que tiene que crear manualmente, la solución de socio configura lo siguiente:

    • Una VPC configurada con subredes públicas y privadas en dos zonas de disponibilidad para lograr un nivel de disponibilidad alto.*
    • En las subredes públicas:
      • Gateways NAT administradas para que los recursos de las subredes privadas tengan acceso saliente a Internet.*
      • Instancias de gateway de escritorio remoto en un grupo de Auto Scaling en subredes públicas para proporcionar acceso remoto seguro a instancias en las subredes privadas.*
    • En las subredes privadas:
      • Nivel funcional de dominio y bosque de Windows Server, incluidos grupos de seguridad y reglas para el tráfico entre instancias.
    • Documentos de AWS Systems Manager Automation para establecer y configurar AD DS y los DNS incorporados a AD.
    • AWS Secrets Manager para almacenar contraseñas.

    * En la plantilla con la que se implementa la solución del socio en una VPC existente, se omiten las tareas marcadas con asteriscos y se le pide la configuración de su VPC existente.

    Escenario 3: implementar AWS Managed Microsoft AD

    En este escenario, la solución del socio configura lo siguiente:

    • Una VPC configurada con subredes públicas y privadas en dos zonas de disponibilidad para lograr un nivel de disponibilidad alto.*
    • En las subredes públicas:
      • Gateways NAT administradas para que los recursos de las subredes privadas tengan acceso saliente a Internet.*
      • Instancias de gateway de escritorio remoto en un grupo de Auto Scaling en subredes públicas para proporcionar acceso remoto seguro a instancias en las subredes privadas.*
    • En las subredes privadas:
      • (Opcional) Una instancia de Windows EC2 para actuar como instancia de administración, incluidos grupos y reglas de seguridad para el tráfico entre instancias.
    • Documentos de AWS Systems Manager Automation para establecer y configurar AD DS y los DNS incorporados a AD.
    • AWS Secrets Manager para almacenar contraseñas.
    • AWS Directory Service para aprovisionar y administrar AD DS en las subredes privadas.

    * En la plantilla con la que se implementa la solución del socio en una VPC existente, se omiten las tareas marcadas con asteriscos y se le pide la configuración de su VPC existente.

  •  Cómo implementar

  • Para crear el entorno de AD DS en AWS, siga las instrucciones de la guía de implementación. En el proceso de implementación se incluyen los siguientes pasos:

    1. Si aún no tiene una cuenta de AWS, regístrese en https://aws.amazon.com e inicie sesión en ella.
    2. Lance la solución del socio. Puede elegir una de las siguientes opciones:
    3. (Solo escenario 2) Realice algunas tareas de conexión y configuración para garantizar que su entorno híbrido esté funcionando correctamente.

    Amazon puede compartir la información de implementación de los usuarios con el socio de AWS que colaboró con AWS en esta solución.  

    Consulte la guía de implementación para obtener detalles
  •  Costos y licencias

  • Deberá pagar el costo de los servicios de AWS y las licencias de terceros que se utilicen para ejecutar esta implementación de referencia de la solución del socio. No hay costos adicionales por utilizar esta solución del socio.

    En las plantillas de AWS CloudFormation para esta solución de socio, se incluyen parámetros de configuración que puede personalizar. Algunas de estas configuraciones, como el tipo de instancia, afectan al costo de la implementación. Para hacer estimaciones de costos, consulte las páginas de precios de cada servicio de AWS que utilice. Los precios están sujetos a cambio.

    Sugerencia: Después de implementar la solución del socio, cree informes de costo y uso de AWS para hacer el seguimiento de los costos asociados a ella. Estos informes envían métricas de facturación a un bucket de Amazon Simple Storage Service (Amazon S3) en su cuenta. Proporcionan estimaciones de costos en función del uso de cada mes y agregan los datos a finales de mes. Para obtener más información, consulte What are AWS Cost and Usage Reports? (¿Qué son los informes de costo y uso de AWS?)

    La solución de socio lanza una imagen de máquina de Amazon (AMI) para Microsoft Windows Server 2019 e incluye la licencia para el sistema operativo Windows Server. La AMI se actualiza periódicamente con el último Service Pack del sistema operativo, de modo que no tiene que instalar ninguna actualización. La AMI de Windows Server no requiere licencias de acceso de cliente. Incluye dos licencias de Servicios de Escritorio remoto (RDS) de Microsoft. Para conocer más detalles, consulte Licencias de Microsoft en AWS.