![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.001-1024x576.jpeg)
Hello大家好,我们接下来讨论AWS Directory Service,AWS目录服务的内容。
什么是微软活动目录(AD)
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.002-1024x576.jpeg)
在认证考试中有很多的考点是关于微软AD部分的,也就是微软活动目录以及AWS活动目录服务—AWS Directory Service的内容。
微软活动目录知识面比较复杂,如果您完全不了解微软活动目录,那么学习本课时可能会有些吃力,建议先去看一些微软活动目录的基础知识。
那什么是微软活动目录呢?AD在Windows 2000 Server开始内置于Windows Server产品中。它是微软Windows Server中,负责架构中大型网络环境的集中式目录管理服务(Directory Services)。
负责处理以及存储在组织中的网络对象。对象可以是用户、组群、电脑、邮件、配置文件、打印机等等。
它是一种WINDOWS环境中集中管理方式,用于安全管理,创建账户,分配权限等等。
前面提到的这些对象,如用户、群组、电脑、打印机等等他们将被组织在一起,并组织成”树”,然后一组“树”被称为“森林”。
那么,我们为什么需要AD呢? 我举个简单例子:
例如,我们有一个域控制器存储和管理着张三的用户名和密码,然后还有一些其他的Microsoft电脑连接到此域控制器。我们就可以在这些任何一台电脑上使用张三的登陆凭证登陆WINDOWS。AD负责登陆验证并对用户进行管理。
当然这只是AD的一个非常简单的一个功能举例,AD还有客户端计算机管理,组策略,资源管理等等功能在这里就不在展开了。
什么是ADFS?(微软活动目录联合服务)
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.003-1024x576.jpeg)
那什么是ADFS呢?ADFS翻译过来是微软活动目录联合服务。它主要功能是提供了跨应用程序的单点登录。
所以这意味着可为任何支持ADFS提供如跨AWS控制台、Dropbox、Office365单点登录。
我们之前的课时介绍过这个流程:
用户连接到ADFS进行验证,ADFS 将使用您的 Microsoft AD 对用户进行身份验证,然后 ADFS 将返回一个响应,该响应将被传递到AWS 并与 STS 交换令牌,最终用户可以使用该临时凭证访问AWS管理控制台。在之后我们会讨论SSO,SSO使我们能够更轻松地做到这一点。
AWS Directory Services
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.004-1024x576.jpeg)
好的,接下来我们讨论AWS Directory Services,AWS目录服务。这是由AWS管理的服务,有三种目录类型。
**第一个叫做 AWS Managed Microsoft AD,**正如其名,它是搭建在AWS云端的Microsoft AD。
您可以使用它在AWS 中创建您自己的 AD**,**在AWS本地管理用户,并支持MFA。如果您想使其和本地 AD 之间建立连接,必须将AWS 托管的Microsoft AD与本地 AD 建立信任关系。我们看下这种信任是什么样的:
位于右侧的AWS托管 AD 连接到本地 AD,并建立了信任关系,它支持 MFA,用户可以在本地,或者在AWS托管的AD任意端进行身份验证。
**AWS目录服务的第二个叫做AD Connector,**它是一个代理服务,能够从云端重定向请求到您的本地AD。
注意在使用AD Connector场景时,管理用户只能够在本地端进行,我们来看一下:
所以在这种场景下,在AD Connector端的身份验证,因为AD Connector它是一个代理服务,这里的请求会被代理发送 到本地的AD获取响应。
所以,在前面讲的使用Microsoft 托管AD的情况下,我们可以在本地和云端两个地方管理用户,需要建立信任关系。
而使用 AD Connector,用户只能在本地管理,来自云端的请求会通过这个代理来访问本地的AD。
**最后一个服务叫做Simple AD,**是由Samba 4 提供支持的独立托管目录。现在使用的很多需要微软AD支持的应用程序和工具都可以与 Simple AD 一起使用。
注意它不能与本地 AD 连接。
使用 Simple AD 是一种更低成本的解决方案,它不支持太多的功能,例如,不支持 MFA。Simple AD与一些AWS的服务也不兼容,如RDS SQL Server等。
但它会更简单,更低的成本,如果您的场景是需要一个简单的目录服务,用于支持基本AD功能的Windows 工作负载,那么Simple AD就会是一个更合适的方案。
好的 ,我们讨论了以上三种目录服务,也简单探讨了他们之间的区别,接下来我们将更加深入的探讨这三种目录服务,让大家非常清楚的了解他们之间的区别和使用场景。
AWS Directory Service – AWS Managed Microsoft AD
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.005-1024x576.jpeg)
首先,AWS Managed Microsoft AD,我们后面就称其为AWS托管微软AD。
选择 使用AWS托管微软AD,它会部署到您的VPC中,大致是这样:
两个可用区,就会创建两个连接到 Virtual Private Cloud (VPC) 的域控制器,分别部署在两个不同的可用区中以实现高可用性。
然后我们就可以创建 EC2 Windows 实例,并加入域。我们可以在这些实例上部署传统AD应用程序,例如,sharepoint。
还支持将多个AWS账户和VPC中的Windows EC2 实例无缝加入到域中。
它和很多AWS资源无缝集成,比如我们在云中部署托管微软AD,可以将其与 RDS for SQL Server,WorkSpaces, Quicksight 等无缝集成使用。
可以创建AWS SSO,提供对第三方应用程序的访问。
AWS托管微软AD支持在AWS作为一个独立的存储库,或者可以加入到您的本地 AD。
多可用区部署将至少是两个可用区,支持增加更多的域控制器以提供更高的可用性,所以在这个例子中,我可以在添加两个域控制器,一共四个域控制器,提高了可用性。
另外,AWS托管微软AD的数据复制、快照和软件更新是自动为您配置和管理的。
最后总结下,使用AWS托管微软AD,可以与其他服务无缝集成,支持无缝加入EC2 实例,多可用区部署。
AWS Managed Microsoft AD – 集成
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.006-1024x576.jpeg)
前面我们提到了AWS托管微软AD与很多资源和服务很好的集成,接下来让我们深入了解一下集成。
如:这是我们部署的AWS托管微软AD的域控,它可以和本地AD配置一个双向森林信任,就可以从云端扩展到使用您的本地的AD,后面我们会介绍这部分。
它还与一系列 AWS 服务集成,如最常用和重要的是:RDS for SQL Server,WorkSpaces,Quicksight,AWS Connect,WorkDocs,和AWS SSO单点登陆,
并且通过单点登录,我们可以访问更多 SAML 业务的应用程序, 例如 GitHub、Box、Dropbox、Office365 等,我们将在后面的课时看到这部分内容。
最后,您的传统 Active Directory 应用程序,例如您的 .NET 应用程序、SharePoint、以及您部署在 EC2 实例上的 SQL Server,显然都可以和AWS托管微软AD很好的集成。
所以大家可以看到,这将是与AWS产品集成度最高的目录服务。
连接到本地AD
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.007-1024x576.jpeg)
好的,接下来我们来讨论如何将AWS托管微软AD连接扩展到您的本地 Active Directory ,注意这部分在考试中有很多考点。
您可以将本地部署的AD连接扩展到AWS托管的微软AD。两者之间需要设置一个 Direct Connect,DX,或者是通过VPN连接。
我们来看一下:
左边是您本地部署的AD,右侧是您部署VPC的AWS托管的微软AD,我们已经在两者之间建立了连接。在本地部署的微软AD,它负责管理本地的用户;在AWS托管的微软AD,负责管理在AWS上的用户。
AWS托管微软 AD 支持所有三个信任关系方向:传入、传出和双向,分别表示本地到AWS单向信任,AWS到本地单向信任,以及双向森林信任。
这块有一个重要的知识点要注意,上面说到的信任关系,和同步不是一个概念,不要混淆。
AWS托管的微软AD是不支持复制的,这就意味着在这两个不同的微软AD上的用户是相互独立的,这一点大家要了解。
但如果本地AD和AWS托管微软 AD建立了信任关系后,如果在其中一个AD中找不到某个用户,也会询问这个用户在另一个AD是否存在,因为两个AD建立了信任关系。但这并不到等于数据复制,所以理解这一点非常重要。我们来看一下:
您的传统AD应用程序可以连接到本地的AD,您的 EC2 实例可以进行无缝域加入到您的AWS托管微软 AD。然后因为我们建立了双向森林信任,您传统的 Active Directory 应用程序,如果它试图请求一个属于 AWS的上的域,因为配置了信任关系,它就有权限和能力访问到右侧AWS的AD并检查其中的用户。这是双向森林信任的一个场景。
解决方案-AD复制
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.008-1024x576.jpeg)
好的,接下来我们看一个相关的解决方案架构,可能稍微有点复杂,大家要掌握这部分内容。
这个架构的场景是您想要部署在您本地的微软AD在AWS中建立一个副本,当本地和AWS之间的DX或者VPN出现故障时,仍然希望用户能够正常连接和访问。
这需要在AWS和本地AD之间建立信任关系,我们来看一下:
左边是我们的本地的微软AD,包括一个域;右侧是AWS VPC下有一个AWS托管的AD DC包括另一个域,他们之间没办法直接设置复制,设置复制的唯一方法,是启动一个EC2实例,在一个EC2 Windows实例上部署一个AD,并设置它与本地AD的复制。
通过配置这些复制,我们将在VPC上拥有一个本地微软AD的副本,这样将有助于最大程度的减少延迟,并且也有助于灾备恢复。
最后,我们可以在我们这个VPC中的EC2实例,和这个AWS托管的微软AD DC之间建立一个双向信任。从而达到我们上面提到的需求。
好的,这是一种解决方案架构,考试的时候可以会出现这个考点,希望大家能够掌握。
以上就是所有aws托管的微软AD的全部内容。
AWS Directory Service – AD Connector
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.009-1024x576.jpeg)
接下里我们讨论 AD Connector ,这部分就简单的多了。
AD Connector是一个网关,一个代理, 它可以重定向您的请求到您本地的微软AD。
不支持缓存功能,不支持MFA,用户仅在本地进行管理,无法配置信任关系,需要VPN或者DX连接。
没有和 SQL Server做集成,也不能进行无缝连接,不能共享目录。
所以AD Connector是一个比较基础的组件,所以在考试中如果遇到需要目录服务代理的场景,就需要使用AD Connector。
使用AD Connector如果连接断开了基本上就废了。
那么它是如何工作的呢?我们来看一下:
左边是本地网路,右边是AWS,然后在两者之间通过一个DX或者VPN连接,我们已经配置了AD Connector,因此,如果我们的用户通过 AD Connector连接,AD Connector 收到用户的请求,然后访问本地的AD,代理身份验证并取回登陆信息回 给用户,所以这就是它的工作方式,在这种场景下可能会有一些延迟。
AWS Directory Service – Simple AD
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.010-1024x576.jpeg)
最后我们讨论下Simple AD,这是一个非常具有成本效益的AD服务,并且它具备和兼容常见的目录功能。它支持加入EC2 实例,管理用户和组,但不支持MFA,也不支持RDS SQL Server 的集成,以及AWS SSO。
它只支持少量用户的场景,适合500-5000个用户,它由 Samba 4 提供支持,并且在API方面与Microsoft AD兼容;但它的成本更低,规模小,它只有基本的 AD 功能,或 LDAP 兼容性。
不支持配置与本地AD的信任关系。
以上我们讨论了AWS的目录服务的三种目录类型,考点最多的显然是第一个。希望大家可以掌握针对不同的场景选择适合的目录类型,在考试中也会有相应的考点。
好的,以上就是AWS目录服务的内容,希望能够给大家带来帮助。
![](https://resource.iloveaws.cn/wp-content/uploads/2023/01/13-AWS-Directory-Service.011-1024x576.jpeg)
希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:
- 如果您想获取本课程全部课时,请扫PPT的二维码加入。
- AWS爱好者的网址是www.iloveaws.cn,认证视频课程,免费的认证考试仿真题以及认证课程文章,都可以在网站找得到
- 可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章。
- 加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识。
我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。
0 responses on "AWS Directory Service"