

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 场景 5： AWS 微软 AD 使用共享服务虚拟私有云 (VPC) Private Cloud
<a name="scenario-5-aws-microsoft-ad-using-a-shared-services-virtual-private-cloud-vpc"></a>

 如下图所示，该场景在 AWS 云中部署了 AWS 托管 AD，为已经托管在更广泛的迁移中 AWS 或计划作为更广泛迁移的一部分的工作负载提供身份验证服务。最佳实践建议是将 Amazon 置 WorkSpaces 于专用 VPC 中。客户还应创建特定的 AD OU 来整理 WorkSpaces 计算机对象。

 要 WorkSpaces 使用托管托管 AD 的共享服务 VPC 进行部署，请使用在托管 AD 中创建的 ADC 服务账户部署 AD Connector (ADC)。服务帐户需要权限才能在共享服务 Managed AD 的 WorkSpaces指定 OU 中创建计算机对象。

![示例架构显示， WorkSpaces 使用共享服务 VPC 托管托管 AD，部署 AD Connector。](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/best-practices-deploying-amazon-workspaces/images/microsoft-ad-shared-services-vpc.png)


 此架构使用以下组件或结构。

## AWS
<a name="aws-4"></a>
+  **亚马逊 VPC** — 创建在两个可用区中至少有两个私有子网的亚马逊 VPC（两个用于 AD Connector 和 WorkSpaces）。
+  **DHCP 选项集** — 创建亚马逊 VPC DHCP 选项集。这允许客户定义指定的域名和 DNS（Microsoft AD）。有关更多信息，请参阅 [DHCP 选项集](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)。
+  **可选：Amazon 虚拟专用网关**-允许通过 IPsec VPN 隧道 (VPN) 或 AWS Direct Connect 连接与客户拥有的网络进行通信。用于访问本地后端系统。
+  **AWS Directory Ser** vice — 部署到一对专用的 VPC 子网（AD DS 托管服务）、AD Connector 中的微软 AD 
+  **AWS Transit Gateway/VPC 对等互连** — 启用工作空间 VPC 和共享服务 VPC 之间的连接 
+  **亚马逊 EC2** — 客户*可选* RADIUS 服务器，适用于 MFA。
+  **亚马逊 WorkSpaces** — 部署 WorkSpaces 在与 AD Connector 相同的私有子网中。有关更多信息，请参阅本文档的 “[活动目录：网站和服务](design-considerations.md#active-directory-sites-and-services)” 部分。

## 客户
<a name="customer-4"></a>
+  **网络连接**-企业 VPN 或 AWS Direct Connect 端点。
+  **最终用户设备** — 用于访问亚马逊服务的企业或自带终端用户设备（例如 Windows、Mac、iPad、安卓平板电脑、零客户端和 Chromebook）。 WorkSpaces 请参阅[支持的设备和 Web 浏览器的客户端应用程序列表](https://docs.aws.amazon.com/workspaces/latest/userguide/workspaces-user-getting-started.html#choose-client)。