本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 场景 2：将本地 AD DS 扩展到 AWS （副本）
<a name="scenario-2-extending-on-premises-ad-ds-into-aws-replica"></a>

 此场景与场景 1 类似。但是，在这种情况下，将客户 AD DS 的副本与 AD Connec AWS tor 结合部署。这减少了向在亚马逊弹性计算云 (Amazon EC2) 上运行的 AD DS 发出的身份验证或查询请求的延迟。下图显示了每个组件和用户身份验证流程的高级视图。

![\[示例架构显示了与 AD Connector 结合部署 AWS 的客户 AD DS 的副本。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/best-practices-deploying-amazon-workspaces/images/extend-customer-ad-cloud.png)


 与场景 1 一样，AD Connector 用于所有用户或 MFA 身份验证，这反过来又被代理给客户 AD DS（参见[上](scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.md#fig5)图）。在这种情况下，客户 AD DS 跨可用区部署在 Amazon EC2 实例上，这些实例被提升为客户本地 A [D 林](https://ipwithease.com/what-is-a-forest-in-active-directory/)中的域控制器，在 AWS 云中运行。每个域控制器都部署到 VPC 私有子网中，以使 AD DS 在 AWS 云中具有高可用性。有关在上部署 AD DS 的最佳实践 AWS，请参阅本文档的[设计注意事项](using-multi-region-aws-managed-active-directory-with-amazon-workspaces.md)部分。

 部署 WorkSpaces 实例后，它们可以访问基于云的域控制器，以获得安全、低延迟的目录服务和 DNS。所有网络流量，包括 AD DS 通信、身份验证请求和 AD 复制，均在私有子网内或通过客户 VPN 隧道或 Direct Connect 进行保护。

 此架构使用以下组件或结构：

## AWS
<a name="aws-1"></a>
+  **亚马逊 VPC** — 创建一个亚马逊 VPC，在两个可用区中至少有四个私有子网，两个用于客户 AD DS，两个用于 AD Connector 或亚马逊。 WorkSpaces
+  **DHCP 选项集** — 创建亚马逊 VPC DHCP 选项集。这允许客户定义指定的域名和 DNS（本地 AD DS）。有关更多信息，请参阅 [DHCP 选项集](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)。
+  **Amazon 虚拟专用网关**-允许通过 IPsec VPN 隧道或 AWS Direct Connect 连接与客户拥有的网络进行通信。
+  **Amazon EC2** 
  +  客户企业 AD DS 域控制器部署在 Amazon EC2 实例上的专用私有 VPC 子网中。
  +  用于专用私有 VPC 子网中的 Amazon EC2 实例上的 MFA 的客户（可选）RADIUS 服务器。
+  **AWS 目录服务** — AD Connector 部署到一对 Amazon VPC 私有子网中。
+  **亚马逊 WorkSpaces** — 部署 WorkSpaces 在与 AD Connector 相同的私有子网中。有关更多信息，请参阅本文档的 “[活动目录：网站和服务](design-considerations.md#active-directory-sites-and-services)” 部分。

## 客户
<a name="customer-1"></a>
+  **网络连接**-企业 VPN 或 AWS Direct Connect 端点。
+  **AD DS** — 企业 AD DS（复制所必需的）。
+  **MFA（可选）**-企业 RADIUS 服务器。
+  **最终用户设备** — 用于访问亚马逊服务的企业或自带终端用户设备（例如 Windows、Mac、iPad、安卓平板电脑、零客户端和 Chromebook）。 WorkSpaces 请参阅[支持的设备和 Web 浏览器的客户端应用程序列表](https://docs.aws.amazon.com/workspaces/latest/userguide/workspaces-user-getting-started.html#choose-client)。此解决方案与场景 1 没有相同的注意事项。Amazon WorkSpaces 和 AWS Directory Service 不依赖现有的连接。
+  对@@ **连接的依赖** — 如果与客户数据中心的连接中断，最终用户可以继续工作，因为身份验证和*可选*的 MFA 是在本地处理的。
+  **延迟**-除复制流量外，所有身份验证均为本地身份验证且延迟较低。请参阅本文档的 “[活动目录：网站和服务](design-considerations.md#active-directory-sites-and-services)” 部分。
+  **流量成本** — 在这种情况下，身份验证是本地的，只有 AD DS 复制必须通过 VPN 或 Direct Connect 链路，从而减少了数据传输。

 总的来说， WorkSpaces 体验会得到增强，并且不会高度依赖与本地域控制器的连接，如上图所示。当客户想要扩展 WorkSpaces 到数千台台式机时，情况也是如此，尤其是在与 AD DS 全球目录查询相关的情况下，因为这种流量仍然是 WorkSpaces 环境本地的。