déploiement de référence

Active Directory Domain Services sur AWS

Créez ou étendez votre environnement AD DS, ou utilisez AD DS avec AWS Directory Service

Afficher le guide de déploiement

Cette solution partenaire déploie Microsoft Active Directory Domain Services (AD DS) sur le Cloud Amazon Web Services (AWS). AD DS et Domain Name System (DNS) sont des services Windows fondamentaux qui fournissent les bases de nombreuses solutions Microsoft pour l'entreprise, y compris les applications Microsoft SharePoint, Microsoft Exchange, et .NET Framework.

Cette solution partenaire est destinée aux organisations exécutant sur le Cloud AWS des charges de travail visant à obtenir une connexion sécurisée à faible latence aux services AD DS et DNS. Pour toutes les nouvelles installations AD DS, la solution partenaire déploie AD DS et un DNS intégré à AD, et configure les sites et sous-réseaux Active Directory.

La solution partenaire prend en charge trois scénarios :

  • Scénario 1 : Déployer un nouvel environnement AD DS basé sur le Cloud AWS géré par vous-même
  • Scénario 2 : Étendre vos services AD DS sur site existants vers AWS
  • Scénario 3 : Déployer Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)

Pour chaque scénario, vous avez la possibilité de créer un VPC ou d'utiliser votre infrastructure de VPC existante. Vous avez également la possibilité de déployer une infrastructure à clé publique Microsoft à un ou deux niveaux.

Cette solution a été développée par AWS.

Les administrateurs AWS Service Catalog peuvent ajouter cette architecture à leur propre catalogue.  

Utiliser dans AWS Service Catalog
  •  Votre projet de création

  • Scénario 1 : Déployer un AD auto-géré

    Dans ce scénario, la solution partenaire configure les éléments suivants (avec la possibilité de déployer une autorité de certification dans la zone de disponibilité 1) :

    • Un VPC configuré avec des sous-réseaux publics et privés sur deux zones de disponibilité pour offrir une haute disponibilité*.
    • Dans les sous-réseaux publics :
      • Des passerelles NAT (Network Address Translation) gérées pour autoriser l'accès Internet sortant pour les ressources des sous-réseaux privés.*
      • Des instances Remote Desktop Gateway (RD Gateway) dans un groupe Auto Scaling pour aider à sécuriser l'accès à distance aux instances des sous-réseaux privés.*
    • Dans les sous-réseaux privés :
      • Une forêt et un niveau fonctionnel du domaine Windows Server, y compris des groupes de sécurité et des règles de trafic entre les instances.
    • Des documents AWS Systems Manager Automation pour configurer les DNS intégrés à AD DS et AD.
    • Des AWS Secrets Manager pour stocker vos mots de passe.

    *  Le modèle qui déploie la solution partenaire dans un VPC existant ignore les tâches marquées d'un astérisque et vous demande d'indiquer la configuration de votre VPC existant.

    Scénario 2 : Étendre vos services AD sur site

    Dans ce scénario (à l'exception de la passerelle de réseau privé virtuel (VPN), de la connexion VPN et de la passerelle client, que vous devez créer manuellement), la solution partenaire configure les éléments suivants :

    • Un VPC configuré avec des sous-réseaux publics et privés sur deux zones de disponibilité pour offrir une haute disponibilité*.
    • Dans les sous-réseaux publics :
      • Des passerelles NAT gérées pour autoriser l'accès Internet sortant pour les ressources des sous-réseaux privés.*
      • Des instances RD Gateway dans un groupe Auto Scaling pour aider à sécuriser l'accès à distance aux instances des sous-réseaux privés.*
    • Dans les sous-réseaux privés :
      • Une forêt et un niveau fonctionnel du domaine Windows Server, y compris des groupes de sécurité et des règles de trafic entre les instances.
    • Des documents AWS Systems Manager Automation pour configurer les DNS intégrés à AD DS et AD.
    • Des AWS Secrets Manager pour stocker vos mots de passe.

    *Le modèle qui déploie la solution partenaire dans un VPC existant ignore les tâches marquées d'un astérisque et vous demande d'indiquer la configuration de votre VPC existant.

    Scénario 3 : Déployer AWS Managed Microsoft AD

    Dans ce scénario, la solution partenaire met en place les éléments suivants :

    • Un VPC configuré avec des sous-réseaux publics et privés sur deux zones de disponibilité pour offrir une haute disponibilité*.
    • Dans les sous-réseaux publics :
      • Des passerelles NAT gérées pour autoriser l'accès Internet sortant pour les ressources des sous-réseaux privés.*
      • Des instances RD Gateway dans un groupe Auto Scaling pour aider à sécuriser l'accès à distance aux instances des sous-réseaux privés.*
    • Dans les sous-réseaux privés :
      • (Facultatif) Une instance EC2 Windows pour agir en tant qu'instance de gestion, y compris des groupes de sécurité et des règles de trafic entre les instances.
    • Des documents AWS Systems Manager Automation pour configurer les DNS intégrés à AD DS et AD.
    • Des AWS Secrets Manager pour stocker vos mots de passe.
    • AWS Directory Service pour mettre en service et gérer AD DS dans les sous-réseaux privés.

    *Le modèle qui déploie la solution partenaire dans un VPC existant ignore les tâches marquées d'un astérisque et vous demande d'indiquer la configuration de votre VPC existant.

  •  Procédure de déploiement

  • Pour créer votre environnement AD DS sur AWS, suivez les instructions du guide de déploiement. Le processus de déploiement comprend les étapes suivantes :

    1. Si vous n'avez pas encore de compte AWS, inscrivez-vous sur https://aws.amazon.com et connectez-vous à votre compte.
    2. Lancez la solution partenaire. Vous pouvez choisir parmi les options suivantes :
    3. (Scénario 2 uniquement) Effectuez quelques tâches de connexion et de configuration pour vous assurer que votre environnement hybride fonctionne comme il se doit.

    Amazon peut être amené à partager les informations relatives au déploiement des utilisateurs avec le partenaire AWS qui a élaboré cette solution en collaboration avec AWS.  

    Pour plus d'informations, consultez le guide de déploiement
  •  Coût et licences

  • Vous êtes responsable du coût des services AWS et des licences tierces utilisées pendant l'exécution du déploiement de référence de cette solution partenaire. L'utilisation de cette solution partenaire n'entraîne aucun coût supplémentaire.

    Les modèles AWS CloudFormation pour cette solution partenaire incluent des paramètres de configuration que vous pouvez personnaliser. Certains de ces paramètres, comme le type d'instance, affectent le coût du déploiement. Reportez-vous aux pages de tarification pour les estimations de coûts de chaque service AWS que vous utilisez. Les prix sont susceptibles d'être modifiés.

    Conseil : Après avoir déployé la solution partenaire, créez des Rapports de Coût et d'Utilisation AWS pour suivre les coûts associés à la solution partenaire. Ces rapports fournissent des métriques de facturation à un compartiment Amazon Simple Storage Service (Amazon S3) dans votre compte. Ils fournissent des estimations de coûts basées sur l'utilisation pendant le mois et regroupent les données à la fin du mois. Pour en savoir plus, consultez la section Présentation des rapports de coût et d'utilisation AWS.

    Cette solution partenaire lance l'AMI (Amazon Machine Image) pour Microsoft Windows Server 2019 et inclut la licence pour le système d'exploitation Windows Server. L’AMI est régulièrement mise à jour avec le service pack le plus récent pour le système d’exploitation. Vous n’avez donc pas à installer de mises à jour. L'AMI Windows Server ne nécessite aucune licence d'accès client (CAL). Elle inclut deux licences Microsoft Remote Desktop Services (RDS). Pour plus de détails, consultez la rubrique Licences Microsoft sur AWS.