此合作夥伴解決方案會在 Amazon Web Services (AWS) 雲端上部署 Microsoft Active Directory Domain Services (AD DS)。AD DS 和網域名稱系統 (DNS) 是核心 Windows 服務,為許多企業用的 Microsoft 解決方案 (如 Microsoft SharePoint、Microsoft Exchange 和 .NET 架構應用程式) 提供基礎。
此合作夥伴解決方案適用於在 AWS 雲端中執行工作負載的組織,協助其設定與 AD DS 和 DNS 服務的安全、低延遲連接。就全部新的 AD DS 安裝而言,此合作夥伴解決方案部署 AD DS 和 AD 整合的 DNS,並且設定 Active Directory 網站和子網路。
本合作夥伴解決方案支援以下三項案例:
- 案例 1︰部署由您自己管理的全新 AWS 雲端 AD DS 環境
- 案例 2︰延伸現有的內部部署 AD DS 到 AWS
- 案例 3︰部署 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)
您可為每個案例選擇建立新的 虛擬私有雲端 (VPC),或使用現有的 VPC 基礎架構。您還可以選擇部署一層或兩層 Microsoft 公有金鑰基礎架構。
-
您將建置的項目
-
部署方式
-
成本和授權
-
您將建置的項目
-
案例 1:部署自我管理 AD
在此案例中,此合作夥伴解決方案設定下列內容 (包含在可用區域 1 部署憑證授權單位的選項):
- VPC 在兩個可用區域各有一個公有和私有子網路,以提供高可用性。*
- 在公有子網路中:
- 部署受管網路位址轉譯 (NAT) 閘道,允許對專用子網路中的資源進行對外網際網路存取。*
- 在 Auto Scaling 群組的 Remote Desktop Gateway (RD Gateway) 執行個體,以協助提供私有子網路執行緒個體的安全遠端存取。*
- 在私有子網路中:
- Windows Server 樹系和網域功能層級,包括安全群組和執行個體間的流量規則。
- AWS Systems Manager Automation 文件,用於安裝及設定 AD DS 和 AD 整合式 DNS。
- AWS Secrets Manager,用於存放密碼。
* 可將合作夥伴解決方案部署至現有 VPC 的範本,會略過標有星號的元件,並提示您輸入現有的 VPC 組態。
案例 2:擴展內部部署 AD
在此案例中,除了手動建立的虛擬私有網路 (VPN) 閘道、VPN 連接和客戶閘道之外,此合作夥伴解決方案還會設定下列內容:
- VPC 在兩個可用區域各有一個公有和私有子網路,以提供高可用性。*
- 在公有子網路中:
- 受管的 NAT 閘道可允許對私有子網路中的資源,進行向外的網際網路存取。*
- 在 Auto Scaling 群組的 RD Gateway 執行個體,可協助提供私有子網路執行緒個體的安全遠端存取。*
- 在私有子網路中:
- Windows Server 樹系和網域功能層級,包括安全群組和執行個體間的流量規則。
- AWS Systems Manager Automation 文件,用於安裝及設定 AD DS 和 AD 整合式 DNS。
- AWS Secrets Manager,用於存放密碼。
* 可將合作夥伴解決方案部署至現有 VPC 的範本,會略過標有星號的元件,並提示您輸入現有的 VPC 組態。
案例 3︰部署 AWS Managed Microsoft AD
在此案例下,此合作夥伴解決方案設定以下內容:
- VPC 在兩個可用區域各有一個公有和私有子網路,以提供高可用性。*
- 在公有子網路中:
- 受管的 NAT 閘道可允許對私有子網路中的資源,進行向外的網際網路存取。*
- 在 Auto Scaling 群組的 RD Gateway 執行個體,可協助提供私有子網路執行緒個體的安全遠端存取。*
- 在私有子網路中:
- (選用) 充當管理執行個體的 Windows EC2 執行個體,包括安全群組和執行個體間的流量規則。
- AWS Systems Manager Automation 文件,用於安裝及設定 AD DS 和 AD 整合式 DNS。
- AWS Secrets Manager,用於存放密碼。
- AWS Directory Service,用於佈建和管理私有子網路中的 AD DS。
* 可將合作夥伴解決方案部署至現有 VPC 的範本,會略過標有星號的元件,並提示您輸入現有的 VPC 組態。
-
部署方式
-
要在 AWS 上建立 AD DS 環境,請依照部署指南中的說明操作。部署程序包括以下步驟:
- 如果您尚未擁有 AWS 帳戶,請到 https://aws.amazon.com 註冊並登入您的帳戶。
- 啟動合作夥伴解決方案。下面選項可供您選擇:
- 案例 1︰部署自我管理 AD (約 60 分鐘)。
- 案例 2:擴展內部部署 AD (約 20 分鐘)。
- 案例 3︰部署 AWS Managed Microsoft AD (約 30 分鐘)。
- (僅限案例 2) 請完成幾個連線和設定任務,以確保混合環境正常運作。
Amazon 可能會與 AWS 合作夥伴 (與 AWS 在此解決方案上協作的合作夥伴) 分享使用者部署資訊。
-
成本和授權
-
執行此合作夥伴解決方案參考部署時,您須自行支付使用 AWS 服務和任何第三方授權的相關費用。使用此合作夥伴解決方案無須額外付費。
此合作夥伴解決方案的 AWS CloudFormation 範本包含可以自訂的組態參數。其中某些設定 (例如執行個體類型) 會影響到部署的費用。若要估算成本,請參閱您所使用每項 AWS 服務的定價頁面。定價可能會隨時變更。
提示:部署合作夥伴解決方案之後, 建立 AWS 成本和用量報告,來追蹤與合作夥伴解決方案關聯的成本。這些報告會向您帳戶中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體提供各個帳單指標。它們會根據每個月的用量提供成本估算,並在月底彙總正式的資料。如需詳細資訊,請參閱 什麼是 AWS 成本和用量報告?
本合作夥伴解決方案會啟動 Microsfot Windows Server 2019 的 Amazon Machine Image (AMI),並包含 Windows Server 作業系統的授權。AMI 會定期更新為作業系統最新的 Service Pack,因此您不必安裝任何更新。Windows Server AMI 不需要用戶端存取授權 (CAL)。它包括兩個 Microsoft 遠端桌面服務 (RDS) 授權。欲了解詳情,請參閱 AWS 上的 Microsoft 授權。
