

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Cenário 2: Estendendo o AD DS local para AWS (réplica)
<a name="scenario-2-extending-on-premises-ad-ds-into-aws-replica"></a>

 Esse cenário é semelhante ao cenário 1. No entanto, nesse cenário, uma réplica do AD DS do cliente é implantada AWS em combinação com o AD Connector. Isso reduz a latência das solicitações de autenticação ou consulta para o AD DS em execução no Amazon Elastic Compute Cloud (Amazon EC2). A figura a seguir mostra uma visão de alto nível de cada um dos componentes e do fluxo de autenticação do usuário. 

![\[Exemplo de arquitetura mostrando uma réplica do cliente em que o AD DS está implantado AWS em combinação com o AD Connector.\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/best-practices-deploying-amazon-workspaces/images/extend-customer-ad-cloud.png)


 Como no cenário 1, o AD Connector é usado para todas as autenticações de usuários ou MFA, que, por sua vez, são enviadas por proxy para o AD DS do cliente (consulte [a](scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.md#fig5) figura anterior). Nesse cenário, o AD DS do cliente é implantado em AZs em instâncias do Amazon EC2 que são promovidas a controladoras de domínio na floresta [AD local do cliente, em execução](https://ipwithease.com/what-is-a-forest-in-active-directory/) na nuvem. AWS Cada controlador de domínio é implantado em sub-redes privadas da VPC para tornar o AD DS altamente disponível na nuvem. AWS Para obter as melhores práticas para implantar o AD DS em AWS, consulte a seção [Considerações de design](using-multi-region-aws-managed-active-directory-with-amazon-workspaces.md) deste documento. 

 Depois que as WorkSpaces instâncias são implantadas, elas têm acesso aos controladores de domínio baseados em nuvem para serviços de diretório e DNS seguros e de baixa latência. Todo o tráfego de rede, incluindo comunicação do AD DS, solicitações de autenticação e replicação do AD, é protegido nas sub-redes privadas ou no túnel VPN do cliente ou no Direct Connect. 

 Essa arquitetura usa os seguintes componentes ou construções: 

## AWS
<a name="aws-1"></a>
+  **Amazon VPC** — Criação de uma Amazon VPC com pelo menos quatro sub-redes privadas em duas AZs — duas para o cliente AD DS, duas para o AD Connector ou Amazon. WorkSpaces 
+  **Conjunto de opções DHCP** — Criação de um conjunto de opções DHCP da Amazon VPC. Isso permite que o cliente defina um nome de domínio e DNSs específicos (AD DS local). Para obter mais informações, consulte [Conjuntos de opções de DHCP](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html). 
+  **Amazon Virtual Private Gateway** — Habilite a comunicação com uma rede de propriedade do cliente por meio de um túnel ou conexão VPN IPsec. AWS Direct Connect 
+  **Amazon EC2** 
  +  Controladores de domínio AD DS corporativos do cliente implantados em instâncias do Amazon EC2 em sub-redes VPC privadas dedicadas. 
  +  Servidores RADIUS do cliente (opcionais) para MFA em instâncias do Amazon EC2 em sub-redes VPC privadas dedicadas. 
+  **AWS Serviços de diretório** — O AD Connector é implantado em um par de sub-redes privadas da Amazon VPC. 
+  **Amazon WorkSpaces** — WorkSpaces são implantados nas mesmas sub-redes privadas do AD Connector. Para obter mais informações, consulte a seção [Active Directory: Sites e Serviços](design-considerations.md#active-directory-sites-and-services) deste documento. 

## Cliente
<a name="customer-1"></a>
+  **Conectividade de rede** — VPN corporativa ou AWS Direct Connect endpoints. 
+  **AD DS** — AD DS corporativo (necessário para replicação). 
+  **MFA (opcional)** — servidor RADIUS corporativo. 
+  Dispositivos de **usuário final — dispositivos** de usuário final corporativos ou BYOL (como Windows, Macs, iPads, tablets Android, zero clients e Chromebooks) usados para acessar o serviço da Amazon. WorkSpaces Consulte a [lista de aplicativos cliente para dispositivos e navegadores da Web compatíveis](https://docs.aws.amazon.com/workspaces/latest/userguide/workspaces-user-getting-started.html#choose-client). Essa solução não tem as mesmas ressalvas do cenário 1. A Amazon WorkSpaces e o AWS Directory Service não dependem da conectividade existente. 
+  **Confiança na conectividade** — Se a conectividade com o data center do cliente for perdida, os usuários finais poderão continuar trabalhando porque a autenticação e a MFA *opcional* são processadas localmente. 
+  **Latência** — Com exceção do tráfego de replicação, toda autenticação é local e tem baixa latência. Consulte a seção [Active Directory: Sites e Serviços](design-considerations.md#active-directory-sites-and-services) deste documento. 
+  **Custos de tráfego** — Nesse cenário, a autenticação é local, com apenas a replicação do AD DS precisando atravessar o link da VPN ou do Direct Connect, reduzindo a transferência de dados. 

 Em geral, a WorkSpaces experiência é aprimorada e não depende muito da conectividade com os controladores de domínio locais, conforme mostrado na figura anterior. Esse também é o caso quando um cliente deseja escalar WorkSpaces para milhares de desktops, especialmente em relação às consultas do catálogo global do AD DS, pois esse tráfego permanece local para o WorkSpaces ambiente.