implementazione di riferimento

Servizi di dominio Active Directory in AWS

Crea o estendi il tuo ambiente dei servizi di dominio Active Directory o utilizzali con AWS Directory Service

Consulta la guida alla distribuzione

Questa soluzione dei partner implementa i servizi di dominio Microsoft Active Directory (AD) sul cloud Amazon Web Services (AWS). I servizi di dominio Active Directory (AD) e sistema dei nomi di dominio (DNS) sono servizi Windows fondamentali che offrono alle aziende una struttura solida per più soluzioni basate su Microsoft, tra cui Microsoft SharePoint, Microsoft Exchange e applicazioni .NET Framework.

Questa soluzione dei partner si rivolge alle organizzazioni che eseguono carichi di lavoro nel Cloud AWS per aiutarle a impostare una connettività sicura, a bassa latenza per i servizi di dominio Active Directory (AD) e Domain Name Services (DNS). Inoltre, per tutte le nuove installazioni dei servizi di dominio Active Directory, la soluzione dei partner implementa i suddetti servizi e quelli DNS integrati con AD e imposta siti e sottoreti Active Directory.

La soluzione dei partner supporta tre scenari:

  • Scenario 1: implementazione di un nuovo ambiente di servizi di dominio AD basato sul Cloud AWS e gestibile in modo autonomo
  • Scenario 2: estensione dei servizi di dominio AD on-premise esistenti ad AWS
  • Scenario 3: implementazione di Directory Service per Microsoft Active Directory (noto anche come AWS Managed Microsoft AD)

Per ogni scenario, è possibile creare un nuovo cloud privato virtuale (VPC) o utilizzare l'infrastruttura VPC esistente. È inoltre possibile implementare un'infrastruttura a chiave pubblica Microsoft a uno o due livelli.

Questa soluzione è stata sviluppata da AWS.

Gli amministratori del Catalogo dei servizi AWS possono aggiungere questa architettura al proprio catalogo.  

Utilizza in AWS Service Catalog
  •  Cosa realizzerai

  • Scenario 1: implementazione di AD gestito autonomamente

    In questo scenario, la soluzione dei partner imposta quanto segue (con l'opzione di implementare un certificato di autorità nella zona di disponibilità 1):

    • Un VPC a elevata disponibilità, configurato con sottoreti pubbliche e private su due zone di disponibilità.*
    • Nelle sottoreti pubbliche:
      • Gateway NAT (Network Address Translation) gestiti che consentono l'accesso Internet in uscita alle risorse all'interno delle sottoreti private.*
      • Istanze di Gateway Desktop remoto (RD Gateway) in un gruppo Auto Scaling per consentire l'accesso remoto sicuro alle istanze nelle sottoreti private.*
    • Nelle sottoreti private:
      • Una foresta e un livello di funzionalità dominio di Windows Server, inclusi gruppi e regole di sicurezza per il traffico tra le istanze.
    • Documenti AWS Systems Manager Automation per la configurazione e l’impostazione di servizi di dominio Active Directory (AD) e DNS integrati con Active Directory.
    • Gestione dei segreti AWS per archiviare le password.

    *  Il modello che implementa la soluzione dei partner su un VPC esistente non include i componenti contrassegnati con asterisco e richiede la configurazione del VPC esistente.

    Scenario 2: estensione di Active Directory on-premise

    In questo scenario (tranne che per il gateway dekka rete privata virtuale (VPN), la connessione VPN e il gateway del cliente, che crei manualmente), la soluzione dei partner imposta quanto segue:

    • Un VPC a elevata disponibilità, configurato con sottoreti pubbliche e private su due zone di disponibilità.*
    • Nelle sottoreti pubbliche:
      • Gateway NAT gestiti per consentire l'accesso a Internet in uscita per le risorse nelle sottoreti private.*
      • Istanze di Gateway Desktop remoto (RD Gateway) in un gruppo Auto Scaling per consentire l'accesso remoto sicuro alle istanze nelle sottoreti private.*
    • Nelle sottoreti private:
      • Foresta e livello di funzionalità dominio di Windows Server, inclusi gruppi e regole di sicurezza per il traffico tra le istanze.
    • Documenti AWS Systems Manager Automation per la configurazione e l’impostazione di servizi di dominio Active Directory (AD) e DNS integrati con Active Directory.
    • Gestione dei segreti AWS per archiviare le password.

    *  Il modello che implementa la soluzione dei partner su un VPC esistente non include i componenti contrassegnati con asterisco e richiede la configurazione del VPC esistente.

    Scenario 3: implementazione di AWS Managed Microsoft AD

    In questo scenario, la soluzione dei partner prevede quanto segue:

    • Un VPC a elevata disponibilità, configurato con sottoreti pubbliche e private su due zone di disponibilità.*
    • Nelle sottoreti pubbliche:
      • Gateway NAT gestiti per consentire l'accesso a Internet in uscita per le risorse nelle sottoreti private.*
      • Istanze di Gateway Desktop remoto (RD Gateway) in un gruppo Auto Scaling per consentire l'accesso remoto sicuro alle istanze nelle sottoreti private.*
    • Nelle sottoreti private:
      • Un'istanza EC2 Windows che funge da istanza di gestione, inclusi gruppi e regole di sicurezza per il traffico tra le istanze.
    • Documenti AWS Systems Manager Automation per la configurazione e l’impostazione di servizi di dominio Active Directory (AD) e DNS integrati con Active Directory.
    • AWS Secrets Manager per archiviare le password.
    • Servizio di directory AWS per effettuare il provisioning e gestire servizi di dominio Active Directory nelle sottoreti private.

    *  Il modello che implementa la soluzione dei partner su un VPC esistente non include i componenti contrassegnati con asterisco e richiede la configurazione del VPC esistente.

  •  Come effettuare l'implementazione

  • Per creare l'ambiente di servizi di dominio Active Directory (AD) in AWS, segui le istruzioni nella guida alla distribuzione. Il processo di implementazione include i seguenti passaggi:

    1. Se non disponi ancora di un account AWS, registrati su https://aws.amazon.com e accedi al tuo account.
    2. Avvia la soluzione dei partner. Puoi scegliere tra le seguenti opzioni:
    3. Completa alcune attività di connessione e configurazione volte a garantire che l'ambiente ibrido funzioni correttamente (solo scenario 2).

    Amazon può condividere informazioni relative all'implementazione con il Partner AWS che ha collaborato con AWS a questa soluzione.  

    Per ulteriori dettagli, consulta la guida all’implementazione
  •  Costi e licenze

  • Sei responsabile dei costi dei servizi AWS e di eventuali licenze di terze parti utilizzate durante l'esecuzione di questa implementazione di riferimento della soluzione dei partner. L'utilizzo della soluzione dei partner non prevede costi aggiuntivi.

    I modelli AWS CloudFormation per questa soluzione dei partner includono alcuni parametri di configurazione personalizzabili. Alcune di queste impostazioni, ad esempio il tipo di istanza, incideranno sul costo dell'implementazione. Per una stima dei costi di ogni servizio AWS utilizzato, consulta la pagina dei prezzi. I prezzi sono soggetti a modifiche.

    Suggerimento: dopo l'implementazione della soluzione dei partner, crea report di costi e utilizzo di AWS per monitorare i costi associati alla soluzione dei partner. Questi report forniscono i parametri di fatturazione a un bucket Amazon Simple Storage Service (Amazon S3) nel tuo account. Forniscono i costi stimati in base al consumo con cadenza mensile e aggregano i dati al termine del mese. Per ulteriori informazioni, consulta Che cosa sono gli AWS Cost and Usage Reports?

    Questa soluzione dei partner avvia l'Amazon Machine Image (AMI) per Microsoft Windows Server 2019 e include la licenza per il sistema operativo Windows Server. L'AMI viene aggiornata regolarmente con il service pack più recente disponibile per il sistema operativo, quindi non è necessario installare alcun aggiornamento. L'AMI Windows Server non richiede CAL (Client Access Licenses). Include due licenze Microsoft Remote Desktop Services (RDS). Per informazioni, consulta la sezione Opzioni di licenza Microsoft in AWS.