O blog da AWS

Integrando o AWS Directory Service com o AWS Console – AD Connector

Por Caio Ribeiro César, AWS SA, Microsoft Tech

 

Neste post, iremos compartilhar o modelo de integração do Active Directory Connector com o console da AWS.

O que é o Active Directory Connector? O AD Connector é um gateway de diretório com o qual você pode redirecionar solicitações para seu Microsoft Active Directory local, sem armazenar nenhuma informação em cache na nuvem.

O AD Connector é fornecido em dois tamanhos: “small” e “large”. Um AD Connector “large” é executado em recursos computacionais mais poderosos, dependendo do volume de tráfego para ser encaminhado pelo AD Connector, selecione o tamanho apropriado para as suas necessidades.

• Small – O AD Connector Small aceita até 5.000 usuários e 150 operações de autenticação ou LDAP por minuto. No entanto, altos níveis de atividade entre vários aplicativos podem aumentar a latência operacional e afetar o número total de usuários.
• Large – O AD Connector Large aceita até 75.000 usuários e 2.500 operações de autenticação ou LDAP por minuto. No entanto, altos níveis de atividade entre vários aplicativos podem aumentar a latência operacional e afetar o número total de usuários.

Você pode distribuir cargas de aplicativo entre vários AD Connectors para dimensionar às suas necessidades de desempenho.

Quando criamos um AD Connector, estamos estendendo nosso ambiente de identidade para a nuvem AWS. Neste modelo, podemos ter uma conexão VPN ou DirectConnect para que o AD Connector se comunique diretamente com os Domain Controllers onpremises, ou até promover instâncias EC2 em diferentes subnets da VPC e trabalhar com estes Domain Controllers atuando como se o ambiente AWS fosse um site (topologia de site do AD).

A recomendação da Microsoft para baixa latência é de possuir um Domain Controller em cada site. Quando falamos de réplica e extensão de Active Directory, outro modelo que comentamos é manter um fleet de domain controllers (ou um DC) no ambiente onpremises e ter uma “extensão” na nuvem. Neste modelo, teríamos um Domain Controller promovido na nuvem.

Os passos para esta extensão seriam:

a) Promover dois Domain Controllers (Multi AZ, Private Subnet) em duas instâncias EC2, tendo AWS Direct Connect ou VPN para conectividade. Consequentemente, testar a latência de autenticação e validar se está tão rápida quanto onpremises.

b) AD Connector no AWS para funcionalidades como: aplicações AWS autenticarem, EC2 instance com seamless domain join, MFA e até acesso à console com AWS SSO.

c) Manter o DC onsite para baixa latência e testar ao passar do tempo; Esta é uma recomendação da Microsoft para download de perfil, GPO e login.

O trabalho de escolher o DC que irá autenticar (mais próximo) será feito pelo Client Windows via DCLocator. O DCLocator irá se conectar com o DC mais proximo (ou seja com menor latencia via DNS [SRV record _ldap]). O Windows Client fará uma comunicação com esse DC (LDAP UDP) e posteriormente NetLogon.

Passo 1) Criando o AD Connector

 

Passo 2) Integrando o AD Connector com o AWS Console

 

Modelo de arquitetura discutido neste post:


Sobre o autor

Caio atualmente trabalha como arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS. Ele iniciou sua carreira profissional como administrador de sistemas, que continuou por mais de 13 anos em áreas como Segurança da Informação, Identity Online e Plataformas de Email Corporativo. Recentemente, se tornou fã da computação em nuvem da AWS e auxilia os clientes a utilizar o poder da tecnologia da Microsoft na AWS.