通过 Amazon Managed Microsoft Active Directory 运行混合 Active Directory 服务

本文主要是介绍通过 Amazon Managed Microsoft Active Directory 运行混合 Active Directory 服务，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

企业客户通常需要构建混合 Active Directory 解决方案，以支持在现有本地企业数据中心和 Amazon Cloud 中运行的应用程序。这样做的理由有很多，例如，保持与本地旧版应用程序的集成、保持对基础设施资源的控制以及满足特定的行业合规性要求。为了将本地 Active Directory 环境扩展到 Amazon，一些客户在为两个环境设置连接后，选择在自行管理的 Amazon Elastic Compute Cloud（EC2，Elastic Compute Cloud）实例上部署 Active Directory 服务。尽管此设置很有用，但在 EC2 实例操作管理、Windows 操作系统以及 Active Directory 服务修补和备份方面，它也带来了管理和操作方面的挑战。这个时候 Amazon Directory Service for Microsoft Active Directory（Amazon Managed Microsoft AD）就可以发挥作用了。

亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、活动与竞赛等。帮助中国开发者对接世界最前沿技术，观点，和项目，并将中国优秀开发者或技术推荐给全球云社区。如果你还没有关注/收藏，看到这里请一定不要匆匆划过，点这里让它成为你的技术宝库！

使用 Amazon Managed Microsoft AD 的好处

借助 Amazon Managed Microsoft AD，您可以在云端启动 Amazon 托管目录，并利用企业目录服务的可扩展性和高可用性，同时添加与其他 Amazon 服务的无缝集成。

此外，您仍可以使用现有管理工具和方法访问 Amazon Managed Microsoft AD，例如，将管理权限委派给企业中的选定组。Amazon Directory Service 管理指南中描述了可委派的权限的完整列表。

使用单个 Amazon 账户设计 Active Directory 服务的注意事项

单个区域

单个 Amazon 账户是旅程的起点：一个简单的使用案例可能是您需要在云中从头开始部署新的解决方案的场景（图 1）。

图 1.单个 Amazon 账户和单区域模型

在单个 Amazon 账户和单区域模型中，本地 Active Directory 在本地数据中心配置了“company.com”域。在 Amazon 区域的两个可用区中设置 Amazon Managed Microsoft AD 以实现高可用性。它配置了单个域“na.company.com”。本地 Active Directory 配置为信任通过 Amazon Direct Connect 或 VPN 进行网络连接的 Amazon Managed Microsoft AD。在 EC2 实例上运行的 Active Directory 感知型应用程序已加入 na.company.com 域，选定的 Amazon 托管式服务（例如，适用于 SQL Server 的 Amazon Relational Database Service）也是如此。

多区域

随着您的云足迹扩展到更多 Amazon 区域，您还可以通过两种方式来扩展 Amazon Managed Microsoft AD，具体取决于所使用的 Amazon Managed Microsoft AD 版本（图 2）：

借助 Amazon Managed Microsoft AD 企业版，您可以启用多区域复制功能来自动配置区域间网络连接、部署域控制器以及跨多个区域复制所有 Active Directory 数据。这可确保驻留在这些区域的 Active Directory 感知型工作负载能够以低延迟连接到和使用 Amazon Managed Microsoft AD，并实现高性能。

借助 Amazon Managed Microsoft AD 标准版，您需要通过在每个区域创建独立的 Amazon Managed Microsoft AD 目录来添加域。在图 2 中，添加了“eu.company.com”域，Amazon Transit Gateway 在两个 Amazon 区域内的 Active Directory 感知型应用程序之间路由流量。本地 Active Directory 配置为信任通过 Direct Connect 或 VPN 连接的 Amazon Managed Microsoft AD。

图 2.单个 Amazon 账户和多区域模型

使用多个 Amazon 账户设计 Active Directory 服务的注意事项

大型企业使用多个 Amazon 账户实施管理委托和计费。通常，这将通过 Amazon Control Tower 服务或 Amazon Control Tower 登录区解决方案来实施。

单个区域

您可以与一个 Amazon 区域内的多个 Amazon 账户共享一个 Amazon Managed Microsoft AD。利用此功能，可以更简单、更经济高效地跨账户和 Amazon Virtual Private Cloud（VPC）管理单个目录中的 Active Directory 感知型工作负载。此选项还允许您将适用于 Windows 的 EC2 实例无缝加入到 Amazon Managed Microsoft AD。

最佳实践是将 Amazon Managed Microsoft AD 置于单独的 Amazon 账户中，虽然仅具有有限的管理员访问权限，但可以与其他 Amazon 账户共享服务。共享服务并配置路由后，Active Directory 感知型应用程序（例如 Microsoft SharePoint）可无缝加入 Active Directory 域服务并保持对所有管理任务的控制。在共享 Amazon Managed AD 目录教程中查找有关共享 Amazon Managed Microsoft AD 的更多详细信息。

多区域

对于多个 Amazon 账户和多个 Amazon 区域模式，我们建议使用 Amazon 托管微软 AD 企业版。在图 3 中，Amazon Managed Microsoft AD 企业版支持在提供 Amazon Managed Microsoft AD 的所有 Amazon 区域中自动执行多区域复制。在 Amazon Managed Microsoft AD 多区域复制中，Active Directory 感知型应用程序使用本地目录来实现高性能，但仍保留多区域以实现高弹性。

图 3.多个 Amazon 账户和多区域模型

域名系统解析设计

要使 Active Directory 感知型应用程序能够在本地数据中心和 Amazon Cloud 之间进行通信，需要一个可靠的域名系统（DNS，Domain Name System）解析解决方案。您可以将 Amazon VPC 动态主机配置协议（DHCP，Dynamic Host Configuration Protocol）选项集设置为 Amazon Managed Microsoft AD 或本地 Active Directory；然后将它分配给所需的 Active Directory 感知型应用程序所在的每个 VPC。Amazon Virtual Private Cloud 用户指南中描述了使用 DHCP 选项集的选项的完整列表。

配置 DHCP 选项集的好处是，允许 VPC 中的任何 EC2 实例通过指向指定的域和 DNS 服务器来解析其域名。这样一来，便无需在 EC2 实例上手动配置 DNS 了。不过，由于无法跨 Amazon 账户共享 DHCP 选项集，因此，还需要在其他账户中创建 DHCP 选项集。

图 4.DHCP 选项集

另一种选择是创建 Amazon Route 53 Resolver。这使客户能够利用 Amazon 提供的 DNS 和 Route 53 Resolver 端点将 DNS 查询转发到本地 Active Directory 或 Amazon Managed Microsoft AD。这是多账户设置和需要 Hub/Spoke DNS 管理的客户的理想之选。

此替代解决方案采用托管式可扩展解决方案，消除了创建和管理作为 DNS 转发器运行的 EC2 实例的需求，因为可以与其他 Amazon 账户共享 Route 53 Resolver 转发规则。图 5 演示了 Route 53 Resolver 将 DNS 查询转发到本地 Active Directory。

图 5.Route 53 Resolver

结论

在本博文中，我们介绍了使用 Amazon Managed Microsoft AD 与本地 Active Directory 集成的好处。我们还讨论了在使用 Amazon Managed Microsoft AD 构建混合 Active Directory 服务时需要探究的一系列设计注意事项。从单个 Amazon 账户和区域到多个 Amazon 账户和多个区域，审查了不同的设计方案。我们还讨论了如何在 Amazon VPC DHCP 选项集和用于 DNS 解析的 Route 53 Resolver 之间做出选择。