本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Active Directory
运行 Windows Server 的 Amazon Elastic Compute Cloud(Amazon EC2)是一个安全、可靠且高性能的环境,可用于部署基于 Windows 的应用程序和工作负载。您可以快速预调配实例,并根据需要纵向扩展或缩减,同时仅按实际用量付费。在 Windows Server 环境中,Active Directory 服务用作身份管理的主要来源。
**Topics**
+ [Amazon EC2 上的自行管理的 Active Directory](active-directory-self-managed.md)
+ [AWS Managed Microsoft AD](active-directory-aws-managed.md)
+ [AD Connector](active-directory-connector.md)
# Amazon EC2 上的自行管理的 Active Directory
## 概述
本节提供降低在 Amazon Elastic Compute Cloud(Amazon EC2)上运行 Active Directory 成本的建议。主要重点是确保您可以适当地调整 Active Directory 域控制器的大小,并利用的 AWS 云 灵活性根据环境的需要进行调整。 AWS 可以帮助您轻松停止实例并调整其大小以满足不断变化的需求,或者在扩展速度过快时缩小实例的大小。选择正确的实例大小和类型可以节省大量资金。
## 成本影响
下表显示了选择可爆发实例系列实例而不是通用实例之间的区别。此选择每月可为您节省大量资金。对您的实例进行适当的规划和规模调整可以帮助您管理成本。
****
| 实例类型 | 实例的数量 | vCPU | 内存 | 成本 |
| --- | --- | --- | --- | --- |
| t3a.medium | 2 | 2 | 8 | 大约每月 81.76 美元 |
| m5a.large | 2 | 2 | 8 | 大约每月 259.88 美元 |
有关成本的更多信息,请参阅 AWS 定价计算器 [估算值](https://calculator.aws/#/estimate?id=46db184a3e7cad0a089d0cc5b1f7435576192cbc)。
每月节省 178.12 美元,您的域控制器每年可节省超过 2,000 美元。请记住,这仅适用于一个账户中仅有两个域控制器的小型规模场景。当进行规模化部署,涉及多个账户和额外的域控制器时,此类节省可不断累积而显著降低成本。
## 成本优化建议
当您部署 Active Directory 环境时,Microsoft 会提供[容量规划建议](https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/capacity-planning-for-active-directory-domain-services)。我们建议您在规划或扩展 Active Directory 环境时考虑以下主要组成部分:
+ 内存
+ Network
+ 仓储服务
+ 处理器
牢记这些主要组成部分,您就可以选择适合您在 AWS上的 Active Directory 环境的实例类型。本节介绍 AWS 部署场景的几个活动目录示例。这些场景清楚地表明,如果您不打算像在本地环境中 AWS那样处理相同数量的用户和计算机,则没有必要在中复制本地环境。
下表重点介绍了与 vCPU、内存和磁盘有关的重要组件,以占用您的 AWS 占用空间。
****
| 组件 | 估算 |
| --- | --- |
| 存储/数据库大小 | 每位用户 40-60 KB |
| RAM | 数据库大小基本操作系统建议第三方应用程序 |
| Network | 1 GB |
| CPU | 每个核心 1000 个并发用户 |
### 混合部署场景
下图显示了 Active Directory 混合部署的示例架构。
![\[Active Directory 混合部署的架构\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/optimize-costs-microsoft-workloads/images/hybrid_deployment_ad.png)
如图所示,您通常会有一个本地环境,然后将其扩展到 AWS 云。在迁移的初始阶段中,您通常不会将所有用户和服务器都部署在 AWS中。因此,为了节省迁移工作的费用,最初部署较小规模的环境非常重要。
如果您打算保留本地环境(服务器和用户在本地进行身份验证),那么在 AWS中就不需要为域控制器部署相同的环境。通过遵循 Active Directory 最佳实践,您可以实施适当的 [Active Directory 站点和服务](https://learn.microsoft.com/en-us/windows-server/remote/remote-access/ras/multisite/configure/step-2-configure-the-multisite-infrastructure),对本地环境的用户和计算机进行身份验证,同时仅向 AWS中的域控制器验证您的 AWS 环境。这使您能够 AWS 通过仅使用 AWS 资源而不是所有本地基础架构来避免 Active Directory 占用空间过大。有关设计混合设置的指引,请参阅 Microsoft 文档中的 [Proper placement of domain controllers and site considerations](https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/site-definition-considerations)。
### 通过调整大小来优化 AWS 迁移
如果您要为用户部署新的 Active Directory 实例,或者计划完全迁移到 AWS Active Directory 基础架构,我们建议您根据上表中实例选择的 microsoft 对 vCPU、内存和磁盘空间的建议来规划规模。
如果这是一个新的环境,您可以从小规模开始,并利用可以轻松[更改实例类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)的功能,随着 AWS环境的发展调整其大小。本指南的 [Windows on Amazon EC2](windows-ec2.md) 部分向您展示了如何在 AWS上监控和查看您的 CPU 和内存使用率。这样,您就能知道何时增加 EC2 实例的大小。
如果您要将本地 Active Directory 环境完全迁移到 AWS,则可以实施相同的规模调整计划以确保适当的性能。在复制本地内容之前 AWS,我们建议您完成对 Active Directory 环境的全面审查。这可以帮助您防止过度预调配。务必使用性能监视器来收集有关现有域控制器的流量和利用率的信息。这可以让您了解总体使用情况,以便您可以合理调整大小并最终降低成本。
### 优化活动目录 AWS
如果您在上运行 Active Directory AWS,则还必须持续监控利用率并根据需要更改实例大小以减少开支。您可以使用 AWS Compute Optimizer 来获取有关您正在运行的资源的信息 AWS。有关使用 Compute Optimizer 合理调整您的 Windows 工作负载大小的信息,请参阅本指南的 [Windows on Amazon EC2](windows-ec2.md) 部分。要进行更全面的深入研究,您可以使用性能监视器来监控 Active Directory 域控制器的利用率,评估性能,然后相应地调整大小。
您还可以 CloudWatch 使用监控域控制器的性能。要优化您的域控制器(向上或向下扩展),您可以使用中提供的指标 CloudWatch 来帮助您做出正确的决策。您可以使用 CloudWatch代理配置要发送以收集数据的自定义性能监控指标。有关说明,请参阅[如何使用 CloudWatch 代理在 Windows 服务器上查看性能监控器的指标?](https://repost.aws/knowledge-center/cloudwatch-performance-monitor-windows) 在 AWS 知识中心。
部署 CloudWatch 代理后,可以在代理配置文件中的下配置以下指标`metrics_collected`:
****
| 指标类别 | 指标名称 |
| --- | --- |
| 数据库到实例(NTDSA) | 数据库缓存命中率 |
| I/O 数据库读取平均延迟 | |
| I/O database reads/sec | |
| I/O 日志写入平均延迟 | |
| DirectoryServices (NTDS) | LDAP 绑定时间 |
| DRA 挂起的复制操作 | |
| DRA 挂起的复制同步 | |
| DNS | 递归查询/秒 |
| 递归查询失败/秒 | |
| TCP 接收查询/秒 | |
| 总接收查询/秒 | |
| 总发送响应/秒 | |
| UDP 接收查询/秒 | |
| LogicalDisk | 平均磁盘队列长度 |
| 可用空间百分比 | |
| 内存 | 已提交字节数使用百分比 |
| 长期平均备用缓存生命周期(秒) | |
| 网络接口 | 发送的字节数/秒 |
| Bytes Received/sec | |
| 当前带宽 | |
| NTDS | ATQ 估计队列延迟 |
| ATQ 请求延迟 | |
| DS 目录读取/秒 | |
| DS 目录搜索/秒 | |
| DS 目录写入/秒 | |
| LDAP 客户端会话 | |
| LDAP 搜索/秒 | |
| LDAP 成功绑定/秒 | |
| 处理器 | 处理器时间百分比 |
| 安全系统范围的统计数据 | Kerberos 身份验证 |
| NTLM 身份验证 | |
## 其他资源
+ [Active Directory 域名服务 AWS:合作伙伴解决方案部署指南](https://aws-quickstart.github.io/quickstart-microsoft-activedirectory/)(AWS 文档)
+ [Capacity planning for Active Directory Domain Services](https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/capacity-planning-for-active-directory-domain-services)(Microsoft 文档)
+ 在 [EC2 实例上运行 Active Directory 的设计注意事项](https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services/design-considerations-for-running-active-directory-on-ec2-instances.html)(AWS 白皮书)
# AWS Managed Microsoft AD
## 概述
AWS Directory Service for Microsoft Active Directory,也称为 AWS Managed Microsoft AD,由 Windows 服务器 Active Directory 提供支持并由管理 AWS。您可以使用将各种支持 A AWS Managed Microsoft AD ctive Directory 的应用程序迁移到。 AWS 云 AWS Managed Microsoft AD 适用于各种本机 Active Directory 应用程序和服务。它还支持 [AWS 托管应用程序和服务](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_app_compatibility.html)。尽管 AWS Managed Microsoft AD 由于该服务及其计费机制,成本优化杠杆不多,但有一些设计原则可以帮助您将成本降至最低。
## 成本影响
由于 AWS Managed Microsoft AD 是基于当前的托管服务 SKUs,因此规模调整是一个相对简单的过程。目前有两种尺寸 SKUs 可供选择:标准版和企业版。其他 SKUs 包括目录共享、添加其他域控制器(包括其他区域)和跨区域数据传输。
## 成本优化建议
AWS Managed Microsoft AD 标准版和 AWS Managed Microsoft AD 企业版有区别。企业版最多支持 50 万个 Active Directory 对象、500 个账户共享(软限制),且支持多区域。标准版最多支持 3 万个 Active Directory 对象、5 个账户共享(软限制为最大约 25 个),且不支持多区域。
**注意**
Active Directory 对象的上限是近似值。根据对象大小及应用程序的行为和性能需求,您的目录支持的对象数可能更多,也可能更少。
在选择目录类型之前要考虑的问题是:
+ 是否需要多区域支持?
+ 该目录是否会与超过 25 个账户共享?
+ Active Directory 对象计数是否会超过 3 万?
如果以上任何一个问题的答案为“是”,则需要使用企业版。如果所有问题的答案都为“否”,我们建议您先从标准版开始。
**注意**
您可以将目录从标准版升级到企业版,但无法降级目录。部署标准版并非一条单行道。如果您想将目录升级到企业版,请联系 AWS。
在 AWS Managed Microsoft AD 企业版中共享目录时,每次共享都会产生费用。这比在每个账户中部署目录的成本更低,但请记住,如果不加以检查,共享成本可能会逐渐增加。我们建议您仅与包含亚马逊关系数据库服务 (Amazon RDS) 和亚马逊版 Windows 文件服务器 FSx 的账户共享目录,因为只有这些服务支持此功能。请记住,你可以选择将 Windows 文件服务器与自我管理 FSx 的 Active Directory 集成,包括。 AWS Managed Microsoft AD如果其他账户只需要亚马逊 FSx ,则 AWS Managed Microsoft AD 无需共享目录即可针对该账户进行自我管理的 Amazon FSx 部署。
在决定何时部署其他域控制器时,请记住,在同一 VPC 的不同可用区中 AWS Managed Microsoft AD 仅支持两个子网。添加其他域控制器不允许您添加其他子网。要确定是否由于性能问题而必须添加其他域控制器,请查看[中的域控制器性能指标 CloudWatch](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_monitor_dc_performance.html)。这会告诉您是否一个或所有域控制器不堪重负。如果您确定只有一个域控制器不堪重负,那么添加额外的域控制器并不能减轻负载,您需要更深入地研究没有在当前可用的域控制器之间进行负载均衡的应用程序。如果所有域控制器都处于高强度使用状态,则添加额外的域控制器可以减少现有域控制器的负载。有关如何自动扩展的说明,请参阅 AWS 安全博客中的[如何根据利用率指标自动 AWS Managed Microsoft AD 扩展](https://aws.amazon.com/blogs/security/how-to-automate-aws-managed-microsoft-ad-scaling-based-on-utilization-metrics/)。
如果您将目录扩展到多个区域,我们建议您不要使用 NETLOGON 或 SYSVOL 目录共享进行文件存储。所有域控制器都会复制这些共享的内容。不使用共享文件存储可将数据传输成本降至最低。
您还可以选择通过注册企业协议 AWS。企业协议让您可以选择定制最适合您需求的协议。有关更多信息,请参阅[企业客户](https://aws.amazon.com/pricing/enterprise/)。
## 其他资源
+ [AWS Managed Microsoft AD 配额](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_limits.html)(AWS Directory Service 文档)
+ [AWS Directory Service 定价](https://aws.amazon.com/directoryservice/pricing/)(AWS 网站)
+ [AWS上的 Active Directory 域服务](https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services/active-directory-domain-services.html)(AWS 白皮书)
# AD Connector
## 概述
[AD Connec](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) tor 是一项代理服务,它提供了一种简单的方法,可以将你现有的本地 Microsoft Active Directory 连接到兼容的[AWS 应用程序](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_app_compatibility.html),例如亚马逊 WorkSpaces、Amazon Quick,以及亚马逊弹性计算云 (Amazon EC2) 实例的无缝域加入,而无需在云中缓存任何信息。您可以使用 AD Connector 将一个服务账户添加到 Active Directory。AD Connector 可以避免目录同步的需求,也避免了托管联合身份基础设施的成本和复杂性。由于 AD Connector 服务及其账单机制的性质,其成本优化方法并不多,但您可以遵循本节中的设计建议,将成本降至最低。
## 成本影响
AD Connector 是一项基于预设的托管服务 SKUs。这使得调整大小成为一个简单的过程。有两种尺寸 SKUs 可供选择:小号和大号。您可以使用 [AWS 定价计算器](https://calculator.aws/#/addService/DirectoryService)来估算涉及 AD Connector 的成本。
## 成本优化建议
除了后端计算资源之外,小号和大号连接器大小没有区别。
在选择目录类型之前要考虑的问题是:
+ 是否有大量(10,000 多个)活跃用户在使用与 AD Connector 集成的 AWS 应用程序?
+ 用户是否属于多个、深层或循环嵌套组的成员?
如果所有问题的答案都为“否”,我们建议您从小号开始。如果您对上述任一问题的回答为“是”,那么大号可能值得考虑。您可以从小号 AD Connector 开始,如果目录因性能而受损,则可以请求将该目录升级到大号。
**注意**
您可以将 AD Connector 从小号升级到大号,但是 AD Connector 无法降级。
大多数性能问题与 AD Connector 无关,而是由于许多用户属于许多嵌套很深或循环嵌套的组,导致本地 Active Directory 域控制器不堪重负。
您还可以选择通过注册企业协议 AWS。企业协议让您可以选择定制最适合您需求的协议。有关更多信息,请参阅[企业客户](https://aws.amazon.com/pricing/enterprise/)。
## 其他资源
+ [AD Connector 配额](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_limits.html)(AWS Directory Service 文档)
+ [其他目录类型定价](https://aws.amazon.com/directoryservice/other-directories-pricing/)(AWS 网站)
+ [AWS上的 Active Directory 域服务](https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services/active-directory-domain-services.html)(AWS 白皮书)