

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Integración con Microsoft Active Directory
<a name="integration-with-microsoft-active-directory"></a>

 Los generadores de imágenes y las flotas de Amazon WorkSpaces Applications se pueden integrar con Microsoft Active Directory. Esto le permite proporcionar un método centralizado para la autenticación y autorización de los usuarios y aplicar las políticas de grupo de Active Directory a las instancias de WorkSpaces aplicaciones unidas a un dominio. El uso de flotas de WorkSpaces aplicaciones unidas a un dominio proporciona las mismas ventajas administrativas que un entorno local. Esto incluye la administración centralizada de los recursos compartidos de archivos de red, los derechos de las aplicaciones de usuario, los perfiles móviles, el acceso a las impresoras y otros ajustes basados en políticas. 

 Al integrar un entorno de WorkSpaces aplicaciones con Active Directory, es importante tener en cuenta que un SAML2.0 IdP sigue administrando la autenticación inicial en la pila de WorkSpaces aplicaciones. Una vez que el usuario se haya autenticado correctamente en el IdP, al iniciar una sesión, debe introducir su contraseña de dominio o una autenticación con tarjeta inteligente para el dominio de Active Directory. 

 Al diseñar el entorno de servicios de dominio de Active Directory (ADDS) que se utilizará con WorkSpaces las aplicaciones, hay dos opciones de servicio y muchos escenarios de implementación disponibles. Además, asegúrese de revisar la red de WorkSpaces las aplicaciones con el propietario de la topología del sitio de Active Directory. 

## Opciones de servicio
<a name="service-options"></a>

 Active Directory también se puede implementar mediante [https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html). AWS Managed Microsoft AD es un servicio totalmente gestionado que le permite ejecutar Microsoft Active Directory. Microsoft Active Directory también se puede utilizar en un entorno autohospedado, que se ejecute en EC2 o en las instalaciones. 

## Escenarios de implementación
<a name="deployment-scenarios"></a>

 Los siguientes escenarios de implementación que se enumeran son las opciones de integración más utilizadas y recomendadas para WorkSpaces aplicaciones con Microsoft Managed AD o Active Directory autoadministrado por un cliente. Todos los diagramas de arquitectura que se muestran a continuación utilizan constructos de Amazon. 
+  **Amazon Virtual Private Cloud (VPC): creación de una Amazon VPC** dedicada a los servicios de WorkSpaces aplicaciones con al menos cuatro subredes privadas distribuidas en cuatro zonas de disponibilidad. Dos de las subredes privadas se utilizan para las flotas de WorkSpaces aplicaciones y los generadores de imágenes. Las dos subredes restantes se utilizan para los controladores de dominio de EC2 o Microsoft AD administrado. 
+  **Conjunto de opciones del Protocolo de configuración dinámica de host (DHCP)**: proporciona un estándar para pasar la información de configuración a la flota de WorkSpaces aplicaciones y a los creadores de imágenes que se aprovisionarán en la VPC. El conjunto de opciones de DHCP se define en el nivel de VPC. Permite a los clientes definir un nombre de dominio y una configuración de DNS específicos que se utilizarán con WorkSpaces las aplicaciones instanciadas una vez aprovisionadas. 
+  **AWS Servicios de directorio**: Amazon Microsoft Managed AD se puede implementar en dos subredes privadas que se utilizarán junto con WorkSpaces las cargas de trabajo de las aplicaciones. 
+  **WorkSpaces Flotas de aplicaciones**: las flotas de WorkSpaces aplicaciones o los generadores de imágenes se alojan en la AWS VPC gestionada. Cada instancia de WorkSpaces aplicaciones tiene dos interfaces de red elásticas (ENI). La interfaz principal (`eth0`) se usa con fines de administración y para hacer de intermediario entre la conexión del usuario final y la instancia a través de la puerta de enlace de transmisión. La interfaz secundaria (`eth1`) se inserta en la VPC del cliente y se puede usar para acceder a otros recursos en la VPC personalizada o en las instalaciones. 

### Escenario 1: los servicios de dominio de Active Directory (ADDS) se implementan en las instalaciones
<a name="scenario-1-active-directory-domain-services-adds-deployed-on--premises"></a>

 Todo el tráfico de autenticación atraviesa la conexión VPN o Direct Connect desde la VPC del cliente hasta la puerta de enlace de cliente. La ventaja de este escenario es la de utilizar un entorno de AD posiblemente ya implementado sin tener que aprovisionar controladores de dominio adicionales en la VPC del cliente. La desventaja es que solo se depende de la VPN o Direct Connect para autenticar y autorizar a los usuarios de la flota de WorkSpaces aplicaciones. Si hay algún problema de conectividad de red, la flota de WorkSpaces aplicaciones o los creadores de imágenes se verían directamente afectados. Proporcionar túneles VPN duales o conexiones Direct Connect con diferentes rutas mitiga este riesgo potencial. 

![Un diagrama de los servicios de dominio de Active Directory (ADDS) implementados en las instalaciones](http://docs.aws.amazon.com/es_es/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/images/adds-on-premises.png)


 *Escenario 1: los servicios de dominio de Active Directory (ADDS) se implementan en las instalaciones* 

### Escenario 2: Extienda los servicios de dominio activos (ADDS) a AWS VPC de cliente
<a name="scenario-2-extend-active-domain-services-adds-into-aws-customer-vpc"></a>

 El Active Directory se extiende a la VPC de su cliente. Debe crearse un sitio de Active Directory para los nuevos controladores de dominio de la VPC del cliente. El tráfico de autenticación se enruta a los controladores de dominio de la VPC del AWS cliente en lugar de atravesar la conexión VPN o Direct Connect. 

![Un diagrama que muestra cómo extender los servicios de dominio activo a la nube privada virtual del cliente AWS](http://docs.aws.amazon.com/es_es/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/images/extend-active-domain.png)


 *Escenario 2: Extienda los servicios de dominio activo a la nube privada virtual AWS del cliente* 

### Situación 3: AWS Microsoft Active Directory administrado
<a name="scenario-3-aws-managed-microsoft-active-directory"></a>

 AWS Microsoft AD administrado se implementa en las flotas de WorkSpaces aplicaciones Nube de AWS y los creadores de imágenes y se usa como dominio de identidad y recursos. 

![Un diagrama del Active AWS Directory administrado](http://docs.aws.amazon.com/es_es/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/images/aws-managed-directory.png)


 *Escenario 3: Active Directory AWS administrado* 

## Topología del sitio de servicio Active Directory
<a name="active-directory-service-site-topology"></a>

 La topología de un sitio de servicio Active Directory es una representación lógica de la red física. 

 La topología de un sitio le ayuda a encaminar de manera eficiente las consultas de los clientes y el tráfico de replica de Active Directory. Una topología de sitio bien diseñada y mantenida conforma los siguientes beneficios para su organización: 
+  Minimice el costo de replicar los datos de Active Directory al sincronizar entre sistemas locales y. Nube de AWS
+  Optimiza la capacidad de los ordenadores cliente para localizar los recursos más cercanos, tales como los controladores de dominio. Esto ayuda a reducir el tráfico de red a través de enlaces de red de área extendida (WAN) lentos, a mejorar los procesos de inicio y cierre de sesión y a acelerar las operaciones de acceso a los recursos. 

 Al introducir los servicios de WorkSpaces aplicaciones, asegúrese de que los rangos de direcciones utilizados para las subredes de WorkSpaces las instancias de aplicaciones estén asignados al sitio correcto para su entorno. 

 En los escenarios 1 y 2, los sitios y los servicios son componentes fundamentales para ofrecer la mejor experiencia de usuario en términos de horas de inicio de sesión y tiempo de acceso a los recursos de Active Directory. 

 La topología del sitio controla la replicación de Active Directory entre los controladores de dominio dentro del mismo sitio y a través de los límites del sitio. 

 Definir la topología de sitio correcta garantiza la afinidad entre los clientes, lo que significa que los clientes (en este caso, WorkSpaces las instancias de streaming de aplicaciones) utilizan su controlador de dominio local preferido. 

![Diagrama de AD de sitios y servicios de Active Directory: afinidad con los clientes](http://docs.aws.amazon.com/es_es/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/images/active-directory-client-affinity.png)


 *Sitios y servicios de Active Directory: afinidad con los clientes* 

**sugerencia**  
 Como práctica recomendada, defina el coste elevado de los enlaces de sitios entre AD DS en las instalaciones y la nube de AWS. La figura anterior es un ejemplo de los costes que debe asignarle a los enlaces a sitios (coste de 100€) para garantizar una afinidad con los clientes independiente del sitio. 

 Para obtener más información sobre la topología del sitio, consulte [https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/designing-the-site-topology](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/designing-the-site-topology). 

## Unidades organizativas de Active Directory
<a name="active-directory-organizational-units"></a>

AWS recomienda almacenar las unidades organizativas (OU) configuradas en un único objeto WorkSpaces Applications Directory Config. Se recomienda que cada pila de WorkSpaces aplicaciones tenga su propia unidad organizativa. Esto le permite disponer de la flexibilidad necesaria para disponer de GPO específicos por pila. Asegúrese de que las unidades organizativas estén dedicadas a los objetos informáticos de las WorkSpaces aplicaciones para evitar mezclar WorkSpaces Applications-specific políticas con escritorios locales. Considere la posibilidad de utilizar subunidades organizativas para cada aplicación en la Región de AWS que despliegue aplicaciones WorkSpaces .

## Limpieza de objetos de ordenador de Active Directory
<a name="active-directory-computer-object-cleanup"></a>

 WorkSpaces Las instancias de aplicaciones son efímeras. Una flota crea y reutiliza objetos de ordenador de Active Directory a medida que las flotas escalan horizontalmente y se reducen horizontalmente. 

 AWS recomienda crear un proceso de limpieza de AD para eliminar los objetos informáticos obsoletos de Active Directory que puedan existir después de eliminar una flota de WorkSpaces aplicaciones. 