【技术分享】丨本地 AD 扩展到亚马逊云

2023-11-24 17:30

AWS Managed Microsoft AD

以下简称-AD

企业客户通常需要构建混合 Active Directory 解决方案,以支持在现有本地企业数据中心和 AWS Cloud 中运行的应用程序。比如需要保持与本地旧版应用程序的集成、保持对基础设施资源的控制以及满足特定的行业合规性要求。为了将本地 Active Directory 环境扩展到 亚马逊云,这时候就可以借助 AWS Managed Microsoft AD,在云端启动亚马逊云托管目录,并利用企业目录服务的可扩展性和高可用性,同时添加与其他亚马逊云服务的无缝集成。





方案架构说明:本次测试环境为EC2内部署的AD比作本地AD,扩展到AWS Directory Service,实现本地AD与云上AD互通。

前置准备:

EC2 AD域:cloud****.com

AWS Directory Service域:***ch.com

DNS 地址:10.0.3.97   10.0.24.90





01

配置对等连接


先将两个AD域网络进行打通,本次作为测试环境,会通过对等连接将网络进行打通,如在生产环境可通过其他vpn将其网络打通。

创建完成后点击操作,接收请求

在两个VPC的子网路由表内添加一条路由指向对等连接

目标均为对等连接另一方VPC段




02

创建Directory Service目录

左右滑动查看




03

部署本地AD域

本次测试环镜会在Windows Server 2019 系统内部署,生产环境可自行选择系统

连接服务器

将服务器提升为域控制器

打开服务管理器

查找顶部单词 Manage 旁边的标记,当此标记变成黄色后,即可提升服务器

左右滑动查看


NetBIOS为Root Domain前缀(自动识别)

左右滑动查看




04

配置专有网络安全组

查找Directory Service所使用的安全组,编辑出站规则




05

配置DNS条件转发器

IP地址为Directory Service目录内的DNS地址,默认地址删除,然后点击ok




06

创建从EC2域到亚马逊云托管的Miscrosoft AD的信任

填写AWS Directory Service目录 DNS 名称

左右滑动查看


信任密码需记住,在下一步操作中将使用这个相同的新密码。

左右滑动查看




07

创建从亚马逊云托管

Microsoft AD 到 EC2 域的信任

远程域为EC2内填写的域

信任密码为上一步创建信任时的密码,请填写一样

IP地址为服务器的私网IP地址




08

验证

至此,信任关系已建立,云上云下AD已打通,可以使用其本地 AD 凭证访问 AD 感知应用程序和亚马逊云应用程序,无需同步用户、组或密码


参考资料

https://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab_trust.html


云与应用现代化
——
扫描关注微信公众号
获取更多云端资讯
联系我们
——

模板表单-2(1)

  • 姓名*

  • 电话*

  • 邮箱*

  • 公司*

  • 职称*

  • 地址*

  • 需求*