通过 Amazon Managed Microsoft Active Directory 运行混合 Active Directory 服务

2024-02-12 20:30

本文主要是介绍通过 Amazon Managed Microsoft Active Directory 运行混合 Active Directory 服务,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

企业客户通常需要构建混合 Active Directory 解决方案,以支持在现有本地企业数据中心和 Amazon Cloud 中运行的应用程序。这样做的理由有很多,例如,保持与本地旧版应用程序的集成、保持对基础设施资源的控制以及满足特定的行业合规性要求。为了将本地 Active Directory 环境扩展到 Amazon,一些客户在为两个环境设置连接后,选择在自行管理的 Amazon Elastic Compute Cloud(EC2,Elastic Compute Cloud)实例上部署 Active Directory 服务。尽管此设置很有用,但在 EC2 实例操作管理、Windows 操作系统以及 Active Directory 服务修补和备份方面,它也带来了管理和操作方面的挑战。这个时候 Amazon Directory Service for Microsoft Active Directory(Amazon Managed Microsoft AD)就可以发挥作用了。

亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、活动与竞赛等。帮助中国开发者对接世界最前沿技术,观点,和项目,并将中国优秀开发者或技术推荐给全球云社区。如果你还没有关注/收藏,看到这里请一定不要匆匆划过,点这里让它成为你的技术宝库!

使用 Amazon Managed Microsoft AD 的好处

借助 Amazon Managed Microsoft AD,您可以在云端启动 Amazon 托管目录,并利用企业目录服务的可扩展性和高可用性,同时添加与其他 Amazon 服务的无缝集成。

此外,您仍可以使用现有管理工具和方法访问 Amazon Managed Microsoft AD,例如,将管理权限委派给企业中的选定组。Amazon Directory Service 管理指南中描述了可委派的权限的完整列表。

使用单个 Amazon 账户设计 Active Directory 服务的注意事项
单个区域

单个 Amazon 账户是旅程的起点:一个简单的使用案例可能是您需要在云中从头开始部署新的解决方案的场景(图 1)。

图 1.单个 Amazon 账户和单区域模型

在单个 Amazon 账户和单区域模型中,本地 Active Directory 在本地数据中心配置了“company.com”域。在 Amazon 区域的两个可用区中设置 Amazon Managed Microsoft AD 以实现高可用性。它配置了单个域“na.company.com”。本地 Active Directory 配置为信任通过 Amazon Direct Connect 或 VPN 进行网络连接的 Amazon Managed Microsoft AD。在 EC2 实例上运行的 Active Directory 感知型应用程序已加入 na.company.com 域,选定的 Amazon 托管式服务(例如,适用于 SQL Server 的 Amazon Relational Database Service)也是如此。

多区域

随着您的云足迹扩展到更多 Amazon 区域,您还可以通过两种方式来扩展 Amazon Managed Microsoft AD,具体取决于所使用的 Amazon Managed Microsoft AD 版本(图 2):

  1. 借助 Amazon Managed Microsoft AD 企业版,您可以启用多区域复制功能来自动配置区域间网络连接、部署域控制器以及跨多个区域复制所有 Active Directory 数据。这可确保驻留在这些区域的 Active Directory 感知型工作负载能够以低延迟连接到和使用 Amazon Managed Microsoft AD,并实现高性能。

  1. 借助 Amazon Managed Microsoft AD 标准版,您需要通过在每个区域创建独立的 Amazon Managed Microsoft AD 目录来添加域。在图 2 中,添加了“eu.company.com”域,Amazon Transit Gateway 在两个 Amazon 区域内的 Active Directory 感知型应用程序之间路由流量。本地 Active Directory 配置为信任通过 Direct Connect 或 VPN 连接的 Amazon Managed Microsoft AD。

图 2.单个 Amazon 账户和多区域模型

使用多个 Amazon 账户设计 Active Directory 服务的注意事项

大型企业使用多个 Amazon 账户实施管理委托和计费。通常,这将通过 Amazon Control Tower 服务或 Amazon Control Tower 登录区解决方案来实施。

单个区域

您可以与一个 Amazon 区域内的多个 Amazon 账户共享一个 Amazon Managed Microsoft AD。利用此功能,可以更简单、更经济高效地跨账户和 Amazon Virtual Private Cloud(VPC)管理单个目录中的 Active Directory 感知型工作负载。此选项还允许您将适用于 Windows 的 EC2 实例无缝加入到 Amazon Managed Microsoft AD。

最佳实践是将 Amazon Managed Microsoft AD 置于单独的 Amazon 账户中,虽然仅具有有限的管理员访问权限,但可以与其他 Amazon 账户共享服务。共享服务并配置路由后,Active Directory 感知型应用程序(例如 Microsoft SharePoint)可无缝加入 Active Directory 域服务并保持对所有管理任务的控制。在共享 Amazon Managed AD 目录教程中查找有关共享 Amazon Managed Microsoft AD 的更多详细信息。

多区域

对于多个 Amazon 账户和多个 Amazon 区域模式,我们建议使用 Amazon 托管微软 AD 企业版。在图 3 中,Amazon Managed Microsoft AD 企业版支持在提供 Amazon Managed Microsoft AD 的所有 Amazon 区域中自动执行多区域复制。在 Amazon Managed Microsoft AD 多区域复制中,Active Directory 感知型应用程序使用本地目录来实现高性能,但仍保留多区域以实现高弹性。

图 3.多个 Amazon 账户和多区域模型

域名系统解析设计

要使 Active Directory 感知型应用程序能够在本地数据中心和 Amazon Cloud 之间进行通信,需要一个可靠的域名系统(DNS,Domain Name System)解析解决方案。您可以将 Amazon VPC 动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)选项集设置为 Amazon Managed Microsoft AD 或本地 Active Directory;然后将它分配给所需的 Active Directory 感知型应用程序所在的每个 VPC。Amazon Virtual Private Cloud 用户指南中描述了使用 DHCP 选项集的选项的完整列表。

配置 DHCP 选项集的好处是,允许 VPC 中的任何 EC2 实例通过指向指定的域和 DNS 服务器来解析其域名。这样一来,便无需在 EC2 实例上手动配置 DNS 了。不过,由于无法跨 Amazon 账户共享 DHCP 选项集,因此,还需要在其他账户中创建 DHCP 选项集。

图 4.DHCP 选项集

另一种选择是创建 Amazon Route 53 Resolver。这使客户能够利用 Amazon 提供的 DNS 和 Route 53 Resolver 端点将 DNS 查询转发到本地 Active Directory 或 Amazon Managed Microsoft AD。这是多账户设置和需要 Hub/Spoke DNS 管理的客户的理想之选。

此替代解决方案采用托管式可扩展解决方案,消除了创建和管理作为 DNS 转发器运行的 EC2 实例的需求,因为可以与其他 Amazon 账户共享 Route 53 Resolver 转发规则。图 5 演示了 Route 53 Resolver 将 DNS 查询转发到本地 Active Directory。

图 5.Route 53 Resolver

结论

在本博文中,我们介绍了使用 Amazon Managed Microsoft AD 与本地 Active Directory 集成的好处。我们还讨论了在使用 Amazon Managed Microsoft AD 构建混合 Active Directory 服务时需要探究的一系列设计注意事项。从单个 Amazon 账户和区域到多个 Amazon 账户和多个区域,审查了不同的设计方案。我们还讨论了如何在 Amazon VPC DHCP 选项集和用于 DNS 解析的 Route 53 Resolver 之间做出选择。

延伸阅读

  • 将目录服务的 DNS 解析与 Amazon Route 53 Resolver 集成

  • 带 Active Directory 的 Amazon 混合 DNS

Lewis Tang

Lewis Tang 是澳大利亚悉尼的 Amazon Web Services 高级解决方案架构师。Lewis 为合作伙伴提供有关各种 Amazon 服务的指导,并帮助合作伙伴加快 Amazon 业务的发展。

文章来源:https://dev.amazoncloud.cn/column/article/6309923aafd24c6ba216ff8b?sc_channel=CSDN

这篇关于通过 Amazon Managed Microsoft Active Directory 运行混合 Active Directory 服务的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/703520

相关文章

如何用Docker运行Django项目

本章教程,介绍如何用Docker创建一个Django,并运行能够访问。 一、拉取镜像 这里我们使用python3.11版本的docker镜像 docker pull python:3.11 二、运行容器 这里我们将容器内部的8080端口,映射到宿主机的80端口上。 docker run -itd --name python311 -p

【区块链 + 人才服务】可信教育区块链治理系统 | FISCO BCOS应用案例

伴随着区块链技术的不断完善,其在教育信息化中的应用也在持续发展。利用区块链数据共识、不可篡改的特性, 将与教育相关的数据要素在区块链上进行存证确权,在确保数据可信的前提下,促进教育的公平、透明、开放,为教育教学质量提升赋能,实现教育数据的安全共享、高等教育体系的智慧治理。 可信教育区块链治理系统的顶层治理架构由教育部、高校、企业、学生等多方角色共同参与建设、维护,支撑教育资源共享、教学质量评估、

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

跨系统环境下LabVIEW程序稳定运行

在LabVIEW开发中,不同电脑的配置和操作系统(如Win11与Win7)可能对程序的稳定运行产生影响。为了确保程序在不同平台上都能正常且稳定运行,需要从兼容性、驱动、以及性能优化等多个方面入手。本文将详细介绍如何在不同系统环境下,使LabVIEW开发的程序保持稳定运行的有效策略。 LabVIEW版本兼容性 LabVIEW各版本对不同操作系统的支持存在差异。因此,在开发程序时,尽量使用

如何在运行时修改serialVersionUID

优质博文:IT-BLOG-CN 问题 我正在使用第三方库连接到外部系统,一切运行正常,但突然出现序列化错误 java.io.InvalidClassException: com.essbase.api.base.EssException; local class incompatible: stream classdesc serialVersionUID = 90314637791991

基于SpringBoot的宠物服务系统+uniapp小程序+LW参考示例

系列文章目录 1.基于SSM的洗衣房管理系统+原生微信小程序+LW参考示例 2.基于SpringBoot的宠物摄影网站管理系统+LW参考示例 3.基于SpringBoot+Vue的企业人事管理系统+LW参考示例 4.基于SSM的高校实验室管理系统+LW参考示例 5.基于SpringBoot的二手数码回收系统+原生微信小程序+LW参考示例 6.基于SSM的民宿预订管理系统+LW参考示例 7.基于

Golang支持平滑升级的HTTP服务

前段时间用Golang在做一个HTTP的接口,因编译型语言的特性,修改了代码需要重新编译可执行文件,关闭正在运行的老程序,并启动新程序。对于访问量较大的面向用户的产品,关闭、重启的过程中势必会出现无法访问的情况,从而影响用户体验。 使用Golang的系统包开发HTTP服务,是无法支持平滑升级(优雅重启)的,本文将探讨如何解决该问题。 一、平滑升级(优雅重启)的一般思路 一般情况下,要实现平滑

Golang服务平滑重启

与重载配置相同的是我们也需要通过信号来通知server重启,但关键在于平滑重启,如果只是简单的重启,只需要kill掉,然后再拉起即可。平滑重启意味着server升级的时候可以不用停止业务。 我们先来看下Github上有没有相应的库解决这个问题,然后找到了如下三个库: facebookgo/grace - Graceful restart & zero downtime deploy for G

win7+ii7+tomcat7运行javaWeb开发的程序

转载请注明出处:陈科肇 1.前提准备: 操作系统:windows 7 旗舰版   x64 JDK:jdk1.7.0_79_x64(安装目录:D:\JAVA\jdk1.7.0_79_x64) tomcat:32-bit64-bit Windows Service Installer(安装目录:D:\0tomcat7SerV) tomcat-connectors:tomcat-connect

android java.io.IOException: open failed: ENOENT (No such file or directory)-api23+权限受权

问题描述 在安卓上,清单明明已经受权了读写文件权限,但偏偏就是创建不了目录和文件 调用mkdirs()总是返回false. <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/><uses-permission android:name="android.permission.READ_E