implantação de referência

Active Directory Domain Services na AWS

Crie ou estenda seu ambiente AD DS ou use o AD DS com o AWS Directory Service

Essa solução de parceiro implanta o Microsoft Active Directory Domain Services (AD DS) na Nuvem Amazon Web Services (AWS). O AD DS e Sistema de Nomes de Domínio (DNS) são serviços de núcleo do Windows que fornecem a estrutura básica para diversas soluções de classe empresarial baseadas na Microsoft, como as aplicações Microsoft SharePoint, Microsoft Exchange e .NET Framework.

Essa solução de parceiro é destinada a organizações que executam workloads na Nuvem AWS para ajudar a configurar a conectividade segura e de baixa latência aos serviços AD DS e DNS. Para todas as novas instalações de AD DS, a solução de parceiro implanta AD DS e DNS integrado ao AD e configura sites e sub-redes do Active Directory.

A solução de parceiro é compatível com três cenários:

  • Cenário 1: implanta um novo ambiente AD DS baseado na Nuvem AWS que você pode gerenciar por conta própria
  • Cenário 2: estende seu AD DS on-premises existente para AWS
  • Cenário 3: implanta o Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)

Para cada cenário, você tem a opção de criar uma nova virtual private cloud (VPC) ou usar a sua infraestrutura VPC existente. Você também tem a opção de implantar uma infraestrutura de chave pública da Microsoft de um ou dois níveis.

Esta solução foi desenvolvida pela AWS.


Administradores do AWS Service Catalog podem adicionar esta arquitetura a seus próprios catálogos.  

  •  O que você criará
  • Cenário 1: implantar o AD autogerenciado

    Nesse cenário, a solução de parceiro configura o seguinte (com uma opção para implantar uma autoridade de certificação na zona de disponibilidade 1):

    • Uma VPC configurada com sub-redes públicas e privadas em duas zonas de disponibilidade para alta disponibilidade.*
    • Nas sub-redes públicas:
      • Gateways gerenciados de Network Address Translation (NAT, Conversão de endereço de rede) para permitir o acesso de saída à Internet para recursos nas sub-redes privadas.*
      • Instâncias do Remote Desktop Gateway (RD Gateway) em um grupo do Auto Scaling para ajudar a proteger o acesso remoto a instâncias em sub-redes privadas.*
    • Nas sub-redes privadas:
      • Uma floresta do Windows Server e um nível funcional de domínio, incluindo grupos de segurança e regras para tráfego entre instâncias.
    • Documentos do AWS Systems Manager Automation para definir e configurar o AD DS e o DNS integrado ao AD.
    • AWS Secrets Manager para armazenar senhas.

    * O modelo que implanta a solução de parceiro em uma VPC existente ignora os componentes marcados com asteriscos e solicita a configuração dessa VPC existente.

    Cenário 2: estender seu AD on-premises

    Neste cenário: exceto para o gateway de rede privada virtual (VPN), conexão VPN e gateway do cliente, que você cria manualmente, a solução de parceiro configura o seguinte:

    • Uma VPC configurada com sub-redes públicas e privadas em duas zonas de disponibilidade para alta disponibilidade.*
    • Nas sub-redes públicas:
      • Gateways NAT gerenciados para permitir o acesso de saída para a Internet para recursos em sub-redes privadas.*
      • Instâncias de gateway RD em um grupo do Auto Scaling para ajudar a proteger o acesso remoto a instâncias em sub-redes privadas.*
    • Nas sub-redes privadas:
      • Uma floresta do Windows Server e um nível funcional de domínio, incluindo grupos de segurança e regras para tráfego entre instâncias.
    • Documentos do AWS Systems Manager Automation para definir e configurar o AD DS e o DNS integrado ao AD.
    • AWS Secrets Manager para armazenar senhas.

    *  O modelo que implanta a solução de parceiro em uma VPC existente ignora os componentes marcados com asteriscos e solicita a configuração dessa VPC existente.

    Cenário 3: implantar o AWS Managed Microsoft AD

    Nesse cenário, a solução de parceiro estabelece o seguinte:

    • Uma VPC configurada com sub-redes públicas e privadas em duas zonas de disponibilidade para alta disponibilidade.*
    • Nas sub-redes públicas:
      • Gateways NAT gerenciados para permitir o acesso de saída para a Internet para recursos em sub-redes privadas.*
      • Instâncias de gateway RD em um grupo do Auto Scaling para ajudar a proteger o acesso remoto a instâncias em sub-redes privadas.*
    • Nas sub-redes privadas:
      • (Opcional) Uma instância do Windows EC2 para atuar como uma instância de gerenciamento, incluindo grupos de segurança e regras para o tráfego entre instâncias.
    • Documentos do AWS Systems Manager Automation para definir e configurar o AD DS e o DNS integrado ao AD.
    • AWS Secrets Manager para armazenar senhas.
    • O AWS Directory Service para provisionar e gerenciar o AD DS nas sub-redes privadas.

    *  O modelo que implanta a solução de parceiro em uma VPC existente ignora os componentes marcados com asteriscos e solicita a configuração dessa VPC existente.

  •  Como implantar
  • Para criar seu ambiente do AD DS na AWS, siga as instruções do guia de implantação. O processo de implantação inclui as seguintes etapas:

    1. Caso ainda não tenha uma conta da AWS, cadastre-se em https://aws.amazon.com e acesse sua conta.
    2. Execute a solução de parceiro. Você pode escolher entre as seguintes opções:
    3. (Cenário 2 apenas) Conclua algumas tarefas de conexão e configuração para garantir que seu ambiente híbrido funcione corretamente.

    A Amazon pode compartilhar informações sobre implantações de usuários com o parceiro da AWS que colaborou com a AWS nesta solução.  

  •  Custos e licenças
  • Você é responsável pelo custo dos serviços da AWS e de licenças de terceiros usadas durante a execução da implantação de referência da solução de parceiro. Não há custos adicionais pelo uso da solução de parceiro.

    O modelo do AWS CloudFormation para essa solução de parceiro inclui parâmetros de configuração personalizáveis. Algumas dessas configurações, como o tipo de instância, afetam os custos de implantação. Para obter estimativas de custo, consulte as páginas de preço de cada produto da AWS que você utiliza. Os preços estão sujeitos a alterações.

    Dica: após a implantação da solução de parceiro, crie Relatórios de Custos e Uso da AWS para acompanhar os custos associados à solução de parceiro. Esses relatórios fornecem métricas de faturamento para um bucket do Amazon Simple Storage Service (Amazon S3) em sua conta. Eles fornecem estimativas de custo baseadas no uso ao longo de cada mês e agregam os dados no fim do mês. Para obter mais informações, consulte  What are AWS Cost and Usage Reports? (O que são Relatórios de Custos e Uso da AWS?)

    Essa solução de parceiro inicia a imagem de máquina da Amazon (AMI) para o Microsoft Windows Server 2019 e inclui a licença para o sistema operacional Windows Server. A AMI é atualizada regularmente com o pacote de serviços mais recente para o sistema operacional. Dessa forma, não é necessário instalar atualizações. O Windows Server AMI não requer licenças de acesso para cliente (CALs). Inclui duas licenças dos Serviços de Área de Trabalho Remota da Microsoft (RDS). Para obter detalhes, consulte Licenciamento da Microsoft na AWS.