AWS Managed Microsoft AD

概览

AWS Directory Service for Microsoft Active Directory，也称为 AWS Managed Microsoft AD，由 Windows 服务器 Active Directory 提供支持并由管理 AWS。您可以使用将各种支持 A AWS Managed Microsoft AD ctive Directory 的应用程序迁移到。 AWS 云 AWS Managed Microsoft AD 适用于各种本机 Active Directory 应用程序和服务。它还支持AWS 托管应用程序和服务。尽管 AWS Managed Microsoft AD 由于该服务及其计费机制，成本优化杠杆不多，但有一些设计原则可以帮助您将成本降至最低。

成本影响

由于 AWS Managed Microsoft AD 是基于当前的托管服务 SKUs，因此规模调整是一个相对简单的过程。目前有两种尺寸 SKUs 可供选择：标准版和企业版。其他 SKUs 包括目录共享、添加其他域控制器（包括其他区域）和跨区域数据传输。

成本优化建议

AWS Managed Microsoft AD 标准版和 AWS Managed Microsoft AD 企业版之间有区别。企业版最多支持 500,000 个 Active Directory 对象、125 个账户份额（软限制），并且支持多区域。标准版最多支持 30,000 个 Active Directory 对象、五个账户共享（软限制为最大约 30 个），并且不支持多区域。

在选择目录类型之前需要考虑的问题是：

是否需要多区域支持？
该目录是否会与 30 多个账户共享？
Active Directory 对象数量会超过 30,000 吗？

如果以上任何一个问题的答案为是，则需要使用企业版。如果所有问题的答案都是否定的，我们建议您从标准版开始。

注意

您可以将目录从标准版升级到企业版，但目录无法降级。部署标准版并不是单向的。如果您想将目录升级到企业版，请联系 AWS。

在 AWS Managed Microsoft AD 企业版中共享目录时，每次共享都需要付费。这低于在每个账户中部署目录的成本，但请记住，如果不加以控制，共享成本可能会攀升。我们建议您仅与包含亚马逊关系数据库服务 (Amazon RDS) 和亚马逊版 Windows 文件服务器 FSx 的账户共享目录，因为只有这些服务支持此功能。请记住，你可以选择将 Windows 文件服务器与自我管理 FSx 的 Active Directory 集成，包括。 AWS Managed Microsoft AD如果其他账户只需要亚马逊 FSx ，则 AWS Managed Microsoft AD 无需共享目录即可针对该账户进行自我管理的 Amazon FSx 部署。

在决定何时部署其他域控制器时，请记住，在同一 VPC 的不同可用区中仅 AWS Managed Microsoft AD 支持两个子网。添加其他域控制器不允许您添加其他子网。要确定是否由于性能问题而必须添加其他域控制器，请查看中的域控制器性能指标 CloudWatch。这会告诉您是否有一个或所有域控制器不堪重负。如果您确定只有一个域控制器不堪重负，那么添加额外的域控制器并不能减轻负载，您需要更深入地研究没有在当前可用的域控制器之间进行负载平衡的应用程序。如果所有域控制器都被大量使用，则添加额外的域控制器可以减少现有域控制器的负载。有关如何自动扩展的说明，请参阅 AWS 安全博客中的如何根据利用率指标自动 AWS Managed Microsoft AD 扩展。

如果您将目录扩展到多个区域，我们建议您不要使用 NETLOGON 或 SYSVOL 共享的目录来存储文件。所有域控制器都会复制这些共享的内容。不使用共享文件存储可以将数据传输成本降至最低。

您还可以选择通过注册企业协议 AWS。企业协议使您可以选择量身定制最适合自己需求的协议。有关更多信息，请参阅企业客户。

其他资源

AWS Managed Microsoft AD 配额（AWS Directory Service 文档）
AWS Directory Service 定价（AWS 网站）
活动目录域名服务 AWS（AWS 白皮书）

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Amazon 上自行管理的活动目录 EC2

AD Connector