As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Active Directory
O Amazon Elastic Compute Cloud (Amazon EC2) executando o Windows Server é um ambiente seguro, confiável e de alta performance para implantar aplicações e workloads com base no Windows. Você pode provisionar instâncias rapidamente e aumentar ou reduzir a escala verticalmente conforme necessário, pagando apenas pelo que usar. Os serviços do Active Directory são usados como a principal fonte de gerenciamento de identidades em ambientes do Windows Server.
**Topics**
+ [Active Directory autogerenciado no Amazon EC2](active-directory-self-managed.md)
+ [AWS Managed Microsoft AD](active-directory-aws-managed.md)
+ [AD Connector](active-directory-connector.md)
# Active Directory autogerenciado no Amazon EC2
## Visão geral do
Esta seção fornece recomendações para reduzir o custo de execução do Active Directory no Amazon Elastic Compute Cloud (Amazon EC2). O foco principal é garantir que você possa dimensionar adequadamente os controladores de domínio do Active Directory e usar a flexibilidade do Nuvem AWS para ajustá-los conforme necessário ao seu ambiente. AWS podem ajudá-lo a interromper facilmente uma instância e redimensioná-la para atender às suas necessidades em constante mudança, ou a reduzir o tamanho da instância se você aumentar a escala muito rápido. Escolher o tamanho e o tipo de instância corretos pode resultar em economias significativas.
## Impacto do custo
A tabela a seguir mostra a diferença entre escolher uma instância da família de instâncias expansíveis em vez de uma instância de uso geral. Essa opção pode gerar uma economia significativa para você todos os meses. O planejamento e o dimensionamento adequados da sua instância podem ajudar você a gerenciar os custos.
****
| Tipo de instância | Número de instâncias | vCPU | Memória | Custo |
| --- | --- | --- | --- | --- |
| t3a.medium | 2 | 2 | 8 | \$1USD 81,76/mês |
| m5a.large | 2 | 2 | 8 | \$1USD 259,88/mês |
Para obter mais informações sobre custos, consulte a AWS Calculadora de Preços [estimativa](https://calculator.aws/#/estimate?id=46db184a3e7cad0a089d0cc5b1f7435576192cbc).
Uma economia de USD 178,12 por mês acaba sendo uma economia de mais de USD 2.000 por ano para seus controladores de domínio. Lembre-se de que é para uma pequena pegada de apenas dois controladores de domínio em uma conta. Em grande escala, com várias contas e controladores de domínio adicionais, essa economia pode resultar em uma redução significativa de custos.
## Recomendações de otimização de custos
A Microsoft fornece [recomendações de planejamento de capacidade](https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/capacity-planning-for-active-directory-domain-services) para quando você estiver implementando seu ambiente do Active Directory. Recomendamos que você leve em consideração os seguintes componentes principais ao planejar ou escalar seu ambiente do Active Directory:
+ Memória
+ Rede
+ Armazenamento
+ Processador
Levando em consideração esses componentes principais, você pode selecionar um tipo de instância que faça sentido para o seu ambiente do Active Directory na AWS. Esta seção aborda alguns exemplos do Active Directory para cenários AWS de implantação. Esses cenários deixam claro que não é necessário replicar seu ambiente local em AWS, se você não planeja lidar com o mesmo número de usuários e computadores que você faz em seu ambiente local.
A tabela a seguir destaca componentes importantes relacionados à vCPU, memória e disco para seu AWS espaço físico.
****
| Componente | Estimativas |
| --- | --- |
| Tamanho do banco de dados/armazenamento | 40 a 60 KB para cada usuário |
| RAM | Tamanho do banco de dadosRecomendações do sistema operacional de baseAplicações de terceiros |
| Rede | 1 GB |
| CPU | 1.000 usuários simultâneos para cada núcleo |
### Cenário de implantação híbrida
O diagrama a seguir mostra uma arquitetura de exemplo para uma implantação híbrida do Active Directory.
![\[Arquitetura para implantação híbrida do Active Directory\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/optimize-costs-microsoft-workloads/images/hybrid_deployment_ad.png)
Conforme mostra o diagrama, você normalmente tem uma pegada on-premises e, em seguida, a expande para a Nuvem AWS. Nas fases iniciais de uma migração, você normalmente não terá todos os seus usuários e servidores implementados na AWS. Por isso é importante implantar inicialmente uma pegada menor para economizar dinheiro nos esforços de migração.
Se você quiser manter uma pegada on-premises com servidores e usuários se autenticando on-premises, não precisará da mesma pegada para controladores de domínio na AWS. Seguindo as práticas recomendadas do Active Directory, você pode implementar [sites e serviços adequados do Active Directory](https://learn.microsoft.com/en-us/windows-server/remote/remote-access/ras/multisite/configure/step-2-configure-the-multisite-infrastructure) para autenticar usuários e computadores em sua pegada on-premises, ao mesmo tempo em que autentica sua pegada da AWS somente nos controladores de domínio na AWS. Isso permite que você evite sobredimensionar sua área de cobertura do Active Directory, AWS limitando o uso apenas aos AWS recursos e não a toda a sua infraestrutura local. Para obter orientação sobre como criar uma configuração híbrida, consulte [Proper placement of domain controllers and site considerations](https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/site-definition-considerations) na documentação da Microsoft.
### Otimize para uma AWS migração por meio do dimensionamento correto
Se você estiver implantando uma nova instância do Active Directory para seus usuários ou planeja migrar totalmente AWS para sua infraestrutura do Active Directory, recomendamos que você planeje o dimensionamento de acordo com as recomendações da Microsoft para vCPU, memória e espaço em disco para a escolha de instâncias na tabela anterior.
Se esta for uma nova pegada, você pode começar aos poucos e aproveitar a capacidade de [alterar facilmente os tipos de instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) para redimensionar seu ambiente à medida que ele cresce na AWS. A seção [Windows no Amazon EC2](windows-ec2.md) deste guia mostra como monitorar e analisar a utilização da CPU e da memória na AWS. Dessa forma, você sabe quando aumentar o tamanho da instância do EC2.
Se estiver migrando totalmente seu ambiente on-premises do Active Directory para a AWS, você poderá implementar os mesmos planos de dimensionamento para garantir a performance adequada. Antes de duplicar o que você tem no local AWS, recomendamos que você conclua uma análise completa do seu ambiente do Active Directory. Isso pode ajudar você a evitar o excesso de provisionamento. Certifique-se de usar o Monitor de Performance para coletar informações sobre o volume de tráfego e a utilização dos controladores de domínio existentes. Isso pode lhe dar uma compreensão do uso geral para que você possa dimensionar corretamente e, por fim, reduzir seus custos.
### Otimize o Active Directory em AWS
Se você estiver executando o Active Directory AWS, é importante também monitorar continuamente a utilização e alterar os tamanhos das instâncias conforme necessário para reduzir seus gastos. Você pode usar AWS Compute Optimizer para obter informações sobre os recursos que você está usando AWS. Para obter informações sobre como usar o Compute Optimizer para dimensionar corretamente suas workloads do Windows, consulte a seção [Windows no Amazon EC2](windows-ec2.md) deste guia. Para uma análise mais abrangente, você pode usar o Monitor de Performance para monitorar a utilização dos controladores de domínio do Active Directory, avaliar a performance e, em seguida, redimensionar adequadamente.
Você também pode usar CloudWatch para monitorar o desempenho dos controladores de domínio. Para otimizar seus controladores de domínio (aumentando ou diminuindo a escala), você pode usar as métricas disponíveis CloudWatch para ajudá-lo a tomar as decisões certas. Você pode usar o CloudWatch agente para configurar métricas personalizadas do Monitor de Desempenho a serem enviadas para coleta de dados. Para obter instruções, consulte [Como posso usar o CloudWatch agente para visualizar métricas do Monitor de Desempenho em um servidor Windows?](https://repost.aws/knowledge-center/cloudwatch-performance-monitor-windows) no Centro de AWS Conhecimento.
Depois de implantar o CloudWatch agente, você pode configurar as seguintes métricas no arquivo de configuração do agente em`metrics_collected`:
****
| Categoria métrica | Nome da métrica |
| --- | --- |
| Banco de dados para instâncias (NTDSA) | % de acertos no cache do banco de dados |
| Latência média das leituras do banco de dados de E/S | |
| I/O database reads/sec | |
| Latência média das gravações em log de E/S | |
| DirectoryServices (NTDS) | Tempo de vinculação de LDAP |
| Operações de replicação pendentes do DRA | |
| Sincronizações de replicação pendentes do DRA | |
| DNS | Consultas recursivas/segundo |
| Falhas de consultas recursivas/segundo | |
| Consultas de TCP recebidas/segundo | |
| Total de consultas recebidas/segundo | |
| Total de respostas enviadas/segundo | |
| Consultas de UDP recebidas/segundo | |
| LogicalDisk | Tamanho médio da fila de discos |
| % de espaço livre | |
| Memória | % de bytes em uso confirmados |
| Tempos de vida médios do cache em espera de longo prazo | |
| Interface de rede | Bytes enviados/segundo |
| Bytes recebidos/segundo | |
| Largura de banda atual | |
| NTDS | Atraso estimado na fila de ATQ |
| Latência da solicitação de ATQ | |
| Leituras de diretório DS/segundo | |
| Pesquisas de diretório DS/segundo | |
| Gravações em diretório DS/segundo | |
| Sessões do cliente LDAP | |
| Pesquisas LDAP/segundo | |
| Vinculações de LDAP bem-sucedidas/segundo | |
| Processador | % do tempo do processador |
| Estatísticas abrangendo todo o sistema de segurança | Autenticações Kerberos |
| Autenticações NTLM | |
## Recursos adicionais do
+ [Serviços de domínio do Active Directory em AWS: Guia de implantação da solução de parceiro](https://aws-quickstart.github.io/quickstart-microsoft-activedirectory/) (AWS documentação)
+ [Capacity planning for Active Directory Domain Services](https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/capacity-planning-for-active-directory-domain-services) (documentação da Microsoft)
+ [Considerações de design para executar o Active Directory em instâncias do EC2](https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services/design-considerations-for-running-active-directory-on-ec2-instances.html) (AWS whitepapers)
# AWS Managed Microsoft AD
## Visão geral do
AWS Directory Service for Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, é alimentado por um Active Directory do Windows Server e gerenciado por AWS. Você pode usar AWS Managed Microsoft AD para migrar uma ampla variedade de aplicativos compatíveis com o Active Directory para o. Nuvem AWS AWS Managed Microsoft AD funciona com uma variedade de aplicativos e serviços nativos do Active Directory. Ele também é compatível com [aplicações e serviços gerenciados pela AWS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_app_compatibility.html). Embora não existam muitas alavancas de otimização de custos AWS Managed Microsoft AD devido ao serviço e seus mecanismos de cobrança, existem alguns princípios de design que podem ajudar você a manter os custos no mínimo.
## Impacto do custo
Como AWS Managed Microsoft AD é um serviço gerenciado com base no presente SKUs, o dimensionamento é um processo relativamente simples. Atualmente, existem dois tamanhos SKUs disponíveis: edições Standard e Enterprise. Outros SKUs incluem compartilhamento de diretórios, adição de controladores de domínio adicionais (incluindo regiões adicionais) e transferência de dados entre regiões.
## Recomendações de otimização de custos
Há diferenças entre a AWS Managed Microsoft AD Standard Edition e a AWS Managed Microsoft AD Enterprise Edition. A edição Enterprise tem suporte para até 500 mil objetos do Active Directory, 500 compartilhamentos de contas (limite flexível) e tem suporte multirregional. A edição Standard tem suporte para até 30 mil objetos do Active Directory, cinco compartilhamentos de conta (limite flexível de aproximadamente 25 no máximo) e não tem suporte multirregional.
**nota**
Os limites superiores dos objetos do Active Directory são aproximações. Seu diretório pode oferecer suporte a mais ou menos objetos, dependendo do tamanho deles e do comportamento e das necessidades de performance das suas aplicações.
As questões a serem consideradas antes de selecionar seu tipo de diretório são:
+ O suporte multirregional é necessário?
+ O diretório será compartilhado com mais de 25 contas?
+ A quantidade de objetos do Active Directory será superior a 30 mil?
Se a resposta for sim para qualquer uma das perguntas acima, então a edição Enterprise é necessária. Se a resposta para todas as perguntas for não, recomendamos que você comece com a edição Standard.
**nota**
Você pode atualizar um diretório da edição Standard para a edição Enterprise, mas um diretório não pode sofrer downgrade. Implantar a edição Standard não é não é uma decisão sem volta. Se você deseja atualizar seu diretório para a Enterprise Edition, entre em contato com AWS.
Há um custo para cada compartilhamento quando você compartilha diretórios na edição Enterprise do AWS Managed Microsoft AD . Isso é menor do que o custo de implantar um diretório em cada conta, mas lembre-se de que os custos de compartilhamento podem aumentar se não forem verificados. Recomendamos que você compartilhe somente diretórios com contas que contenham Amazon Relational Database Service (Amazon RDS) e FSx Amazon for Windows File Server, já que somente esses serviços oferecem suporte a esse recurso. Lembre-se de que você tem a opção de integrar FSx o Windows File Server ao seu Active Directory autogerenciado, incluindo um AWS Managed Microsoft AD. Se apenas a Amazon FSx for necessária em outra conta, você poderá fazer uma FSx implantação autogerenciada da Amazon na AWS Managed Microsoft AD sem a necessidade de compartilhar o diretório.
Ao decidir quando implantar controladores de domínio adicionais, lembre-se de que o AWS Managed Microsoft AD oferece suporte a apenas duas sub-redes em zonas de disponibilidade separadas na mesma VPC. Adicionar mais controladores de domínio não permite que você adicione mais sub-redes. Para determinar se você deve adicionar outros controladores de domínio devido a problemas de desempenho, revise as [métricas de desempenho do controlador de domínio em CloudWatch](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_monitor_dc_performance.html). Isso informa se um ou todos os controladores de domínio estão sobrecarregados. Se você determinar que apenas um controlador de domínio está sobrecarregado, adicionar outros controladores de domínio não aliviará a carga e você precisará investigar as aplicações que não estão balanceando a carga nos controladores de domínio atualmente disponíveis. Se todos os controladores de domínio estiverem com uso elevado, adicionar um controlador de domínio extra poderá reduzir a carga nos controladores de domínio existentes. Para obter instruções sobre como automatizar a escalabilidade, consulte [Como automatizar a AWS Managed Microsoft AD escalabilidade com base nas métricas de utilização no blog de segurança](https://aws.amazon.com/blogs/security/how-to-automate-aws-managed-microsoft-ad-scaling-based-on-utilization-metrics/). AWS
Se você estendeu seu diretório para várias regiões, recomendamos que não use os compartilhamentos NETLOGON ou SYSVOL do diretório para armazenamento de arquivos. Todos os controladores de domínio replicam o conteúdo desses compartilhamentos. Não usar os compartilhamentos para armazenamento de arquivos reduz os custos de transferência de dados ao mínimo.
Você também tem a opção de se inscrever em um Contrato Enterprise com AWS. Os contratos empresariais oferecem a você a opção de personalizar os contratos que melhor atendam às suas necessidades. Para obter mais informações, consulte [Enterprise Customers](https://aws.amazon.com/pricing/enterprise/).
## Recursos adicionais do
+ [AWS Managed Microsoft AD cotas](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_limits.html) (AWS Directory Service documentação)
+ [AWS Directory Service Preços](https://aws.amazon.com/directoryservice/pricing/) (AWS site)
+ [Active Directory Domain Services on AWS](https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services/active-directory-domain-services.html) (AWS Whitepapers)
# AD Connector
## Visão geral do
O [AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) é um serviço de proxy que fornece uma maneira fácil de conectar seu Microsoft Active Directory local existente a [AWS aplicativos](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_app_compatibility.html) compatíveis, como Amazon WorkSpaces, Amazon Quick e união de domínio perfeita para instâncias do Amazon Elastic Compute Cloud (Amazon EC2), sem armazenar em cache nenhuma informação na nuvem. Você pode usar o AD Connector para adicionar uma conta de serviço ao seu Active Directory. O AD Connector elimina a necessidade de sincronização de diretórios ou o custo e a complexidade da hospedagem de uma infraestrutura de federação. Embora não haja muitas formas de otimizar os custos para o AD Connector devido à natureza do serviço e aos seus mecanismos de faturamento, você pode seguir as recomendações de design nesta seção para reduzir os custos ao mínimo.
## Impacto do custo
O AD Connector é um serviço gerenciado baseado em predefinições SKUs. Isso torna o dimensionamento um processo simples. Há dois tamanhos SKUs disponíveis: tamanhos pequenos e grandes. Você pode usar a [AWS Calculadora de Preços](https://calculator.aws/#/addService/DirectoryService) para estimativas de custo envolvendo o AD Connector.
## Recomendações de otimização de custos
Além dos recursos de computação de backend, não há diferença entre os conectores pequenos e grandes.
As questões a serem consideradas antes de selecionar seu tipo de diretório são:
+ Há um grande número (mais de 10.000) de usuários ativos usando AWS aplicativos integrados ao AD Connector?
+ O usuário pertence a muitos grupos aninhados, grupos com aninhamento profundo ou grupos com aninhamento circular?
Se a resposta para as duas perguntas for não, recomendamos que você comece com o tamanho pequeno. Se você responder sim a alguma das perguntas acima, talvez seja válido considerar um tamanho grande. Você pode começar com um AD Connector pequeno e, se o diretório ficar deficiente devido à performance, você pode solicitar que ele seja atualizado para um grande.
**nota**
Você pode atualizar um AD Connector de pequeno para grande, mas um AD Connector não pode sofrer downgrade.
A maioria dos problemas de performance não está relacionada ao AD Connector, mas aos controladores de domínio do Active Directory on-premises que estão sobrecarregados devido ao fato de muitos usuários pertencerem a muitos grupos aninhados, grupos com aninhamento profundo ou grupos com aninhamento circular.
Você também tem a opção de se inscrever em um Contrato Enterprise com AWS. Os contratos empresariais oferecem a você a opção de personalizar os contratos que melhor atendam às suas necessidades. Para obter mais informações, consulte [Enterprise Customers](https://aws.amazon.com/pricing/enterprise/).
## Recursos adicionais do
+ [Cotas do AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_limits.html) (AWS Directory Service documentação)
+ [Preços de outros tipos de diretório](https://aws.amazon.com/directoryservice/other-directories-pricing/) (AWS site)
+ [Active Directory Domain Services on AWS](https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services/active-directory-domain-services.html) (AWS Whitepapers)