Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Integrazione con Microsoft Active Directory
I costruttori di immagini e le flotte di Amazon WorkSpaces Applications possono essere integrati con Microsoft Active Directory. Ciò consente di fornire un metodo centralizzato per l'autenticazione e l'autorizzazione degli utenti e di applicare le policy del gruppo Active Directory alle istanze di Applications aggiunte WorkSpaces al dominio. L'utilizzo di flotte di WorkSpaces applicazioni unite a un dominio offre gli stessi vantaggi amministrativi di un ambiente locale. Ciò include la gestione centralizzata delle condivisioni di file di rete, delle autorizzazioni utente alle app, dei profili di roaming, dell'accesso alla stampante e di altre impostazioni basate su policy.
Quando si integra un ambiente WorkSpaces Applicazioni con Active Directory, è importante notare che l'autenticazione iniziale allo stack WorkSpaces Applications è ancora gestita da un SAML2.0 IdP. Dopo che l'utente è stato autenticato con successo sull'IdP, quando avvia una sessione, deve inserire la password del dominio o un'autenticazione con smart card per il dominio Active Directory.
Durante la progettazione dell'ambiente Active Directory Domain Services (ADDS) che verrà utilizzato con WorkSpaces le applicazioni, sono disponibili due opzioni di servizio e molti scenari di distribuzione. Inoltre, assicuratevi che la rete WorkSpaces delle applicazioni venga esaminata con il proprietario della topologia del sito Active Directory.
Opzioni di servizio
Active Directory può anche essere distribuito utilizzando AWS Managed Microsoft Active Directory (AD). AWS Managed Microsoft AD è un servizio completamente gestito che consente di eseguire Microsoft Active Directory. Microsoft Active Directory può essere utilizzato anche in un ambiente self-hosted, in esecuzione su EC2 o in locale.
Scenari di distribuzione
I seguenti scenari di distribuzione elencati sono opzioni di integrazione comunemente utilizzate e consigliate per le WorkSpaces applicazioni con Microsoft Managed AD o Active Directory autogestito del cliente. Tutti i diagrammi di architettura elencati di seguito utilizzano costrutti Amazon di base.
-
Amazon Virtual Private Cloud (VPC): creazione di un Amazon VPC dedicato ai servizi WorkSpaces Applications con almeno quattro sottoreti private distribuite su quattro AZ. Due delle sottoreti private vengono utilizzate per flotte di applicazioni e Image Builder. WorkSpaces Le due sottoreti rimanenti vengono utilizzate per i controller di dominio su EC2 o Microsoft Managed AD).
-
Set di opzioni DHCP (Dynamic Host Configuration Protocol): fornisce uno standard per il trasferimento delle informazioni di configurazione al parco WorkSpaces applicazioni e agli Image Builder che verranno forniti nel VPC. Il set di opzioni DHCP è definito a livello di VPC. Consente ai clienti di definire un nome di dominio e impostazioni DNS specifici che verranno utilizzati con le istanze delle WorkSpaces applicazioni al momento del provisioning.
-
AWS Directory Services: Amazon Microsoft Managed AD può essere distribuito in due sottoreti private che verranno utilizzate insieme ai carichi di lavoro delle applicazioni. WorkSpaces
-
WorkSpaces Flotte di applicazioni: le flotte di WorkSpaces applicazioni o Image Builder sono ospitate nel VPC gestito AWS . Ogni istanza di WorkSpaces Applications ha due Elastic Network Interfaces (ENI). L'interfaccia principale (
eth0) viene utilizzata per scopi di gestione e intermediazione della connessione dell'utente finale all'istanza tramite il gateway di streaming. L'interfaccia secondaria (eth1) viene inserita nel Customer-VPC e può essere utilizzata per accedere ad altre risorse nel VPC personalizzato o in locale.
Scenario 1: Active Directory Domain Services (ADDS) distribuito in locale
Tutto il traffico di autenticazione attraversa la connessione VPN o Direct Connect dal VPC del cliente al gateway del cliente. Il vantaggio di questo scenario è il vantaggio di utilizzare un ambiente AD probabilmente già distribuito senza dover fornire controller di dominio aggiuntivi nel VPC del cliente. Lo svantaggio è l'unica dipendenza dalla VPN o da Direct Connect per autenticare e autorizzare gli utenti per il parco di applicazioni. WorkSpaces In caso di problemi di connettività di rete, il parco WorkSpaces applicazioni o gli Image Builder ne risentirebbero direttamente. Fornire due tunnel VPN o connessioni Direct Connect con percorsi diversi mitiga questo rischio potenziale.
Scenario 1: Active Directory Domain Services (ADDS) distribuito in locale
Scenario 2: estensione di Active Domain Services (ADDS) in AWS VPC del cliente
Active Directory è esteso al VPC del cliente. È necessario creare un sito Active Directory per i nuovi controller di dominio nel VPC del cliente. Il traffico di autenticazione viene indirizzato ai controller di dominio nel AWS VPC del cliente anziché attraversare la connessione VPN o Direct Connect.
Scenario 2 — Estendere Active Domain Services nel AWS cloud privato virtuale del cliente
Scenario 3: AWS Microsoft Active Directory gestita
AWS Microsoft AD gestito viene distribuito e utilizzato come dominio di identità Cloud AWS e risorse per le flotte di WorkSpaces applicazioni e gli Image Builder.
Scenario 3 — Active AWS Directory gestita
Topologia del sito di Active Directory Service
La topologia del sito di servizio Active Directory è una rappresentazione logica della rete fisica.
La topologia del sito consente di indirizzare in modo efficiente le query dei client e il traffico di replica di Active Directory. Una topologia del sito ben progettata e gestita aiuta l'organizzazione a ottenere i seguenti vantaggi:
-
Riduci al minimo il costo della replica dei dati di Active Directory durante la sincronizzazione tra sistemi locali e. Cloud AWS
-
Ottimizza la capacità dei computer client di individuare le risorse più vicine, come i controller di dominio. Questo aiuta a ridurre il traffico di rete su collegamenti WAN (Wide Area Network) lenti, a migliorare i processi di accesso e disconnessione e ad accelerare le operazioni di accesso alle risorse.
Quando introduci i servizi WorkSpaces Applications, assicurati che gli intervalli di indirizzi utilizzati per le sottoreti delle istanze delle WorkSpaces Applicazioni siano assegnati al sito corretto per il tuo ambiente.
Per lo Scenario 1 e lo Scenario 2, i siti e i servizi sono componenti fondamentali per la migliore esperienza utente in termini di tempi di accesso e tempo di accesso alle risorse Active Directory.
La topologia del sito controlla la replica di Active Directory tra i controller di dominio all'interno dello stesso sito e tra i confini dei siti.
La definizione della topologia corretta del sito garantisce l'affinità con i client, il che significa che i client (in questo caso, WorkSpaces le istanze di streaming delle applicazioni) utilizzano il controller di dominio locale preferito.
Siti e servizi Active Directory: affinità con i clienti
Suggerimento
Come best practice, definisci costi elevati per i collegamenti di sito tra AD DS locali e il cloud AWS. La figura precedente è un esempio dei costi da assegnare ai collegamenti ai siti (costo 100) per garantire l'affinità dei client indipendentemente dal sito.
Unità organizzative di Active Directory
AWS consiglia di archiviare le unità organizzative (OU) configurate in un unico oggetto WorkSpaces Applications Directory Config. È consigliabile che ogni stack di WorkSpaces applicazioni abbia una propria unità organizzativa. Ciò consente la flessibilità necessaria per disporre di GPO specifici per stack. Assicurati che le unità organizzative siano dedicate agli oggetti informatici WorkSpaces delle Applicazioni per evitare di mescolare WorkSpaces Applications-specific le policy con i desktop locali. Prendi in considerazione l'utilizzo di unità organizzative secondarie per ciascuna delle quali Regione AWS distribuisci le applicazioni WorkSpaces .
Pulizia degli oggetti del computer con Active Directory
WorkSpaces Le istanze delle applicazioni sono effimere. Una flotta crea e riutilizza oggetti informatici di Active Directory man mano che le flotte si ridimensionano orizzontalmente e si espandono verso l'alto.
AWS consiglia di creare un processo di pulizia AD per eliminare gli oggetti informatici obsoleti di Active Directory che possono esistere dopo la rimozione di un parco WorkSpaces applicazioni.