场景 5： AWS 微软 AD 使用共享服务虚拟私有云 (VPC) Private Cloud

如下图所示，该场景在 AWS 云中部署了 AWS 托管 AD，为已经托管在更广泛的迁移中 AWS 或计划作为更广泛迁移的一部分的工作负载提供身份验证服务。最佳实践建议是将 Amazon 置 WorkSpaces 于专用 VPC 中。客户还应创建特定的 AD OU 来整理 WorkSpaces 计算机对象。

要 WorkSpaces 使用托管托管 AD 的共享服务 VPC 进行部署，请使用在托管 AD 中创建的 ADC 服务账户部署 AD Connector (ADC)。服务帐户需要权限才能在共享服务 Managed AD 的 WorkSpaces指定 OU 中创建计算机对象。

图 10：使用共享服务 VPC 的 AWS 微软 AD

此架构使用以下组件或结构。

AWS

• 亚马逊 VPC — 创建在两个可用区中至少有两个私有子网的亚马逊 VPC（两个用于 AD Connector 和 WorkSpaces）。

• DHCP 选项集 — 创建亚马逊 VPC DHCP 选项集。这允许客户定义指定的域名和 DNS（Microsoft AD）。有关更多信息，请参阅 DHCP 选项集。

• 可选：Amazon 虚拟专用网关-允许通过 IPsec VPN 隧道 (VPN) 或 AWS Direct Connect 连接与客户拥有的网络进行通信。用于访问本地后端系统。

• AWS Directory Ser vice — 部署到一对专用的 VPC 子网（AD DS 托管服务）、AD Connector 中的微软 AD

• AWS Transit Gateway/VPC 对等互连 — 启用工作空间 VPC 和共享服务 VPC 之间的连接

• 亚马逊 EC2 — 客户可选 RADIUS 服务器，适用于 MFA。

• 亚马逊 WorkSpaces — 部署 WorkSpaces 在与 AD Connector 相同的私有子网中。有关更多信息，请参阅本文档的 “活动目录：网站和服务” 部分。

客户

• 网络连接-企业 VPN 或 AWS Direct Connect 端点。

• 最终用户设备 — 用于访问亚马逊服务的企业或自带终端用户设备（例如 Windows、Mac、iPad、安卓平板电脑、零客户端和 Chromebook）。 WorkSpaces 请参阅支持的设备和 Web 浏览器的客户端应用程序列表。