AD DS 部署方案 - 部署 Amazon WorkSpaces 的最佳实践

AD DS 部署方案

支持 Amazon WorkSpaces 的是 AWS Directory Service,正确设计和部署目录服务至关重要。以下三个方案基于 AWS 上的 Active Directory 域服务快速入门指南构建,并介绍了与 Amazon WorkSpaces 一起使用时 AD DS 的最佳实践部署选项。本文档的设计注意事项部分详细介绍了使用适用于 WorkSpaces 的 AD Connector 的具体要求和最佳实践,这是整个 WorkSpaces 设计概念不可或缺的一部分。

  • 方案 1:使用 AD Connector 将身份验证代理到本地部署 Active Directory 服务 – 在此方案中,已与客户建立网络连接(VPN/Direct Connect),并且通过 AWS Directory Service(AD Connector)将所有身份验证代理到客户本地部署 AD DS。

  • 方案 2:将本地部署 AD DS 扩展到 AWS(副本)– 此方案与方案 1 类似,但此处将客户 AD DS 的副本与 AD Connector 一起部署到 AWS 上,从而减少向 AD DS 和 AD DS 全局目录发出的身份验证/查询请求的延迟。

  • 方案 3:在 AWS 云中使用 AWS Directory Service 的独立隔离部署 – 这是一个隔离方案,不包括连接回客户进行身份验证。此方法使用 AWS Directory Service(Microsoft AD)和 AD Connector。尽管此方案不依赖连接到客户来进行身份验证,但它确实在需要时通过 VPN 或 Direct Connect 为应用程序流量做好了准备。

  • AWS Microsoft AD 以及与本地部署的双向可传递信任 – 此方案包括与本地部署 Microsoft AD 林具有双向可传递信任的 AWS Managed Microsoft Active Directory 服务(MAD)。

  • 方案 5:使用共享服务 Virtual Private Cloud(VPC)的 AWS Microsoft AD – 此方案使用共享服务 VPC 中的 AWS Managed Microsoft AD 作为多个 AWS 服务(Amazon EC2、Amazon WorkSpaces 等)的身份域,同时使用 AD Connector 将轻型目录访问协议(LDAP)用户身份验证请求代理到 AD 域控制器。

  • 方案 6:AWS Microsoft AD、共享服务 VPC 以及与本地部署的单向信任 – 此方案与方案 5 类似,但它包括使用与本地部署的单向信任的不同身份域和资源域。