本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Active Directory
執行 Windows Server 的 Amazon Elastic Compute Cloud (Amazon EC2) 是部署 Windows 應用程式和工作負載的安全、可靠且高效能的環境。您可以快速佈建執行個體,並視需要擴展或縮減規模,同時只需支付使用量的費用。Active Directory 服務是做為 Windows Server 環境中身分管理的主要來源。
**Topics**
+ [Amazon EC2 上的自我管理 Active Directory](active-directory-self-managed.md)
+ [AWS Managed Microsoft AD](active-directory-aws-managed.md)
+ [AD Connector](active-directory-connector.md)
# Amazon EC2 上的自我管理 Active Directory
## 概觀
本節提供在 Amazon Elastic Compute Cloud (Amazon EC2) 上執行 Active Directory 的成本降低建議。主要重點是確保您可以適當地調整 Active Directory 網域控制站的大小,並根據您的環境使用 的彈性 AWS 雲端 進行調整。 AWS 可協助您輕鬆停止執行個體並調整大小以符合不斷變化的需求,或者如果您的擴展速度太快,則縮減執行個體的大小。選擇正確的執行個體大小和類型可以大幅節省成本。
## 成本影響
下表顯示選擇爆量執行個體系列執行個體與一般用途執行個體之間的差異。此選項每月可以為您節省大量金錢。適當規劃和調整執行個體的大小可協助您管理成本。
****
| 執行個體類型 | 執行個體的數目 | vCPU | 記憶體 | Cost |
| --- | --- | --- | --- | --- |
| t3a.medium | 2 | 2 | 8 | 每月 81.76 美元 |
| m5a.large | 2 | 2 | 8 | 每月 259.88 美元 |
如需成本的詳細資訊,請參閱 AWS 定價計算工具 [預估](https://calculator.aws/#/estimate?id=46db184a3e7cad0a089d0cc5b1f7435576192cbc)值。
每月節省 178.12 USD,最終您的網域控制站每年節省超過 2,000 USD。請記住,對於一個帳戶中只有兩個網域控制站的一小部分足跡。使用多個帳戶和其他網域控制站進行擴展時,此類節省可能會大幅降低成本。
## 成本最佳化建議
Microsoft 會在您部署 Active Directory 環境時提供[容量規劃建議](https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/capacity-planning-for-active-directory-domain-services)。我們建議您在規劃或擴展 Active Directory 環境時,將下列主要元件納入考量:
+ 記憶體
+ 網路
+ 儲存
+ 處理器
請記住這些主要元件時,您可以選取對 Active Directory 環境有意義的執行個體類型 AWS。本節涵蓋 AWS 幾個部署案例的範例 Active Directory。這些案例明確表示,如果您不打算處理與現場部署環境相同的使用者和電腦數量 AWS,則不需要在 中複寫您的現場部署環境。
下表重點介紹 vCPU、記憶體和磁碟的重要元件,以因應您的 AWS 使用量。
****
| 元件 | 估算 |
| --- | --- |
| 儲存體/資料庫大小 | 每個使用者 40–60 KB |
| RAM | 資料庫大小基本作業系統建議第三方應用程式 |
| 網路 | 1 GB |
| CPU | 每個核心有 1,000 個並行使用者 |
### 混合部署案例
下圖顯示 Active Directory 混合部署的範例架構。
![\[Active Directory 混合部署的架構\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/optimize-costs-microsoft-workloads/images/hybrid_deployment_ad.png)
如圖所示,您通常具有內部部署足跡,然後將其擴展到 中 AWS 雲端。在遷移的初始階段,您通常不會在其中部署所有使用者和伺服器 AWS。這就是為什麼一開始部署較小大小的足跡很重要,以節省遷移工作的成本。
如果您要與在內部部署驗證的伺服器和使用者維持內部部署足跡,則網域控制站不需要相同的足跡 AWS。透過遵循 Active Directory 最佳實務,您可以實作適當的 [Active Directory 網站和服務](https://learn.microsoft.com/en-us/windows-server/remote/remote-access/ras/multisite/configure/step-2-configure-the-multisite-infrastructure),以對內部部署足跡的使用者和電腦進行身分驗證,同時僅向其中的網域控制站驗證您的 AWS 足跡 AWS。這可讓您避免在 上過度調整 Active Directory 使用量, AWS 方法是限制只使用 AWS 資源,而不是所有內部部署基礎設施。如需設計混合式設定的指引,請參閱 Microsoft 文件中的[正確放置網域控制站和網站考量](https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/site-definition-considerations)事項。
### 透過適當調整大小來最佳化 AWS 遷移
如果您要為使用者部署新的 Active Directory 執行個體,或計劃完全遷移到 Active Directory 基礎設施 AWS 的 ,我們建議您根據 Microsoft 針對上表中執行個體選擇的 vCPU、記憶體和磁碟空間的建議來規劃大小。
如果這是一個新的足跡,您可以開始小規模,並利用輕鬆[變更執行個體類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)的能力來調整環境的大小 AWS。本指南的 [Windows on Amazon EC2](windows-ec2.md) 一節說明如何監控和檢閱 CPU 和記憶體使用率 AWS。如此一來,您就可以知道何時增加 EC2 執行個體的大小。
如果您要將內部部署 Active Directory 環境完全遷移至 AWS,您可以實作相同的調整大小計劃,以確保適當的效能。在複寫現場部署的內容之前 AWS,建議您先完成 Active Directory 環境的徹底檢閱。這可協助您避免過度佈建。請務必使用效能監控來收集現有網域控制站的流量和使用率的相關資訊。這可讓您了解整體用量,以便正確調整大小並最終降低成本。
### 在 上最佳化 Active Directory AWS
如果您正在執行 Active Directory AWS,也請務必持續監控使用率並視需要變更執行個體大小,以減少支出。您可以使用 AWS Compute Optimizer 來取得您正在執行之資源的相關資訊 AWS。如需使用 Compute Optimizer 正確調整 Windows 工作負載大小的詳細資訊,請參閱本指南的 [Windows on Amazon EC2](windows-ec2.md) 一節。如需更全面的深入探討,您可以使用效能監視器來監控 Active Directory 網域控制站的使用率、評估效能,然後相應地調整大小。
您也可以使用 CloudWatch 來監控網域控制站的效能。若要最佳化網域控制站 (向上或向下擴展),您可以使用 CloudWatch 中可用的指標來協助您做出正確的決策。您可以使用 CloudWatch 代理程式來設定要傳送以進行資料收集的自訂效能監控指標。如需說明,請參閱 AWS 知識中心中的[如何使用 CloudWatch 代理程式在 Windows 伺服器上檢視效能監控的指標?](https://repost.aws/knowledge-center/cloudwatch-performance-monitor-windows)。
部署 CloudWatch 代理程式之後,您可以在 下的代理程式組態檔案中設定下列指標`metrics_collected`:
****
| 指標類別 | 指標名稱 |
| --- | --- |
| 資料庫到執行個體 (NTDSA) | 資料庫快取 % 命中 |
| I/O 資料庫讀取平均延遲 | |
| I/O 資料庫讀取/秒 | |
| I/O 日誌寫入平均延遲 | |
| DirectoryServices (NTDS) | LDAP 繫結時間 |
| DRA 待定複寫操作 | |
| DRA 等待複寫同步 | |
| DNS | 遞迴查詢/秒 |
| 遞迴查詢失敗/秒 | |
| 每秒收到的 TCP 查詢 | |
| 收到的查詢總數/秒 | |
| 傳送的總回應數/秒 | |
| 收到的 UDP 查詢/秒 | |
| LogicalDisk | 平均磁碟佇列長度 |
| % 可用空間 | |
| 記憶體 | % 的已遞交位元組使用中 |
| 長期平均待命快取生命週期 (s) | |
| 網路介面 | 傳送的位元組數/秒 |
| 接收的位元組/秒 | |
| 目前頻寬 | |
| NTDS | ATQ 估計佇列延遲 |
| ATQ 請求延遲 | |
| DS 目錄讀取/秒 | |
| DS 目錄搜尋/秒 | |
| DS 目錄寫入/秒 | |
| LDAP 用戶端工作階段 | |
| LDAP 搜尋/秒 | |
| LDAP 成功繫結/秒 | |
| 處理器 | % 處理器時間 |
| 整個安全系統統計資料 | Kerberos 身分驗證 |
| NTLM 身分驗證 | |
## 其他資源
+ [Active Directory Domain Services on AWS:合作夥伴解決方案部署指南](https://aws-quickstart.github.io/quickstart-microsoft-activedirectory/) (AWS 文件)
+ [Active Directory Domain Services 的容量規劃](https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/capacity-planning-for-active-directory-domain-services) (Microsoft 文件)
+ 在[ EC2 執行個體上執行 Active Directory 的設計考量](https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services/design-considerations-for-running-active-directory-on-ec2-instances.html) (AWS 白皮書)
# AWS Managed Microsoft AD
## 概觀
AWS Directory Service for Microsoft Active Directory也稱為 AWS Managed Microsoft AD,由 Windows Server Active Directory 提供支援,並由 管理 AWS。您可以使用 AWS Managed Microsoft AD 將範圍廣泛的 Active Directory 感知應用程式遷移到 AWS 雲端。 AWS Managed Microsoft AD 可與各種原生 Active Directory 應用程式和服務搭配使用。它還支援[AWS 受管應用程式和服務](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_app_compatibility.html)。雖然由於 服務及其計費機制 AWS Managed Microsoft AD , 的成本最佳化控制桿不多,但有一些設計原則可協助您將成本降至最低。
## 成本影響
由於 AWS Managed Microsoft AD 是基於目前 SKUs受管服務,調整大小是一個相對簡單的程序。目前提供兩種規模調整 SKUs:標準版和企業版。其他 SKUs包括目錄共用、新增其他網域控制站 (包括其他區域),以及跨區域資料傳輸。
## 成本最佳化建議
AWS Managed Microsoft AD Standard Edition 和 AWS Managed Microsoft AD Enterprise Edition 之間存在差異。Enterprise Edition 最多支援 500,000 個 Active Directory 物件、500 個 帳戶共用 (軟性限制),並支援多區域。Standard Edition 最多支援 30,000 個 Active Directory 物件、5 個帳戶共用 (軟性限制最多約 25 個 ),而且沒有多區域支援。
**注意**
Active Directory 物件的上限是近似值。視物件的大小以及應用程式的行為和效能需求而定,您的目錄可能支援更多或更少的物件。
選取目錄類型之前要考慮的問題如下:
+ 是否需要多區域支援?
+ 目錄是否會與超過 25 個 帳戶共用?
+ Active Directory 物件計數是否會超過 30,000 個?
如果上述任何問題的答案為是,則需要 Enterprise Edition。如果所有問題的答案都是否,建議您從 Standard Edition 開始。
**注意**
您可以將目錄從 Standard Edition 升級至 Enterprise Edition,但無法降級目錄。部署 Standard Edition 不會經過單向門。如果您想要將目錄升級至 Enterprise Edition,請聯絡 AWS。
當您在 Enterprise Edition 中 AWS Managed Microsoft AD 共用目錄時,每個共用都會產生費用。這低於在每個帳戶中部署目錄的成本,但請記住,如果不勾選,共享成本可能會上升。我們建議您只與包含 Amazon Relational Database Service (Amazon RDS) 和 Amazon FSx for Windows File Server 的帳戶共用目錄,因為只有這些服務支援此功能。請記住,您可以選擇將 FSx for Windows File Server 與您的自我管理 Active Directory 整合,包括 AWS Managed Microsoft AD。如果另一個帳戶中只需要 Amazon FSx,則您可以針對 執行自我管理的 AWS Managed Microsoft AD Amazon FSx 部署,而不需要共用目錄。
決定何時部署其他網域控制站時,請記住, 在相同 VPC 的個別可用區域中僅 AWS Managed Microsoft AD 支援兩個子網路。新增其他網域控制站不允許您新增其他子網路。若要判斷您是否因為效能問題而必須新增其他網域控制站,請檢閱 [ CloudWatch 中的網域控制站效能指標](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_monitor_dc_performance.html)。這會告訴您一個或所有網域控制站是否不堪重負。如果您判斷只有一個網域控制站不堪重負,新增其他網域控制站就無法減輕負載,而且您需要深入了解應用程式,而不是在目前可用的網域控制站之間進行負載平衡。如果大量使用所有網域控制站,新增額外的網域控制站可以減少現有網域控制站的負載。如需如何自動化擴展的說明,請參閱 AWS 安全部落格中的[如何根據使用率指標自動化 AWS Managed Microsoft AD 擴展](https://aws.amazon.com/blogs/security/how-to-automate-aws-managed-microsoft-ad-scaling-based-on-utilization-metrics/)。
如果您將目錄擴展到多個區域,建議您不要將目錄 NETLOGON 或 SYSVOL 共用用於檔案儲存。所有網域控制站都會複寫這些共用的內容。不使用共用進行檔案儲存會將資料傳輸成本降至最低。
您也可以選擇向 註冊 Enterprise 協議 AWS。Enterprise 協議可讓您選擇量身打造最符合您需求的協議。如需詳細資訊,請參閱[企業客戶](https://aws.amazon.com/pricing/enterprise/)。
## 其他資源
+ [AWS Managed Microsoft AD 配額](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_limits.html) (AWS Directory Service 文件)
+ [AWS Directory Service 定價](https://aws.amazon.com/directoryservice/pricing/) (AWS 網站)
+ [上的 Active Directory 網域服務 AWS](https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services/active-directory-domain-services.html) (AWS 白皮書)
# AD Connector
## 概觀
[AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) 是一種代理服務,可讓您輕鬆地將現有的現場部署 Microsoft Active Directory 連線至相容的[AWS 應用程式](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_app_compatibility.html),例如 Amazon WorkSpaces、Amazon Quick,以及 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的無縫網域聯結,而無需在雲端中快取任何資訊。您可以使用 AD Connector 將一個服務帳戶新增至 Active Directory。AD Connector 消除了目錄同步或託管聯合基礎設施的成本和複雜性的需求。雖然由於服務的性質及其計費機制, AD Connector 的成本最佳化控制桿不多,但您可以遵循本節的設計建議,將成本降至最低。
## 成本影響
AD Connector 是一種以預設 SKUs為基礎的受管服務。這使得調整大小的過程簡單明瞭。有兩種大小 SKUs可用:小型和大型。您可以使用 [AWS 定價計算工具](https://calculator.aws/#/addService/DirectoryService)進行涉及 AD Connector 的成本估算。
## 成本最佳化建議
除了後端運算資源之外,小型和大型連接器大小沒有差異。
選取目錄類型之前要考慮的問題如下:
+ 是否有大量 (10,000\$1) 作用中使用者使用與 AD Connector 整合 AWS 的應用程式?
+ 使用者是否為許多、深度或循環巢狀群組的成員?
如果兩個問題的答案都是否,我們建議您從小號開始。如果您對上述任何問題回答是,那麼大型可能值得考慮。您可以從小型 AD Connector 開始,如果目錄因為效能而受損,您可以請求將目錄升級至大型。
**注意**
您可以將 AD Connector 從小型升級至大型,但 AD Connector 無法降級。
大多數效能問題與 AD Connector 無關,但內部部署 Active Directory 網域控制站因為許多使用者是許多、深度或循環巢狀群組的成員而不堪重負。
您也可以選擇向 註冊 Enterprise 協議 AWS。Enterprise 協議可讓您選擇量身打造最符合您需求的協議。如需詳細資訊,請參閱[企業客戶](https://aws.amazon.com/pricing/enterprise/)。
## 其他資源
+ [AD Connector 配額](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_limits.html) (AWS Directory Service 文件)
+ [其他目錄類型定價](https://aws.amazon.com/directoryservice/other-directories-pricing/)AWS (網站)
+ [上的 Active Directory 網域服務 AWS](https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services/active-directory-domain-services.html) (AWS 白皮書)