Considerações sobre design - Melhores práticas para implantação WorkSpaces
Design em VPCActive Directory: sites e serviçosProtocoloAutenticação multifator (MFA)Recuperação de desastres/ Continuidade de negóciosWorkSpaces Interface VPC Endpoint (AWS PrivateLink) — Chamadas de APISuporte ao cartão inteligenteCA raizEm sessãoPré-sessãoImplantação do clienteSeleção de WorkSpaces endpoints da AmazonCliente de acesso à Web WorkSpaces Etiquetas da AmazonCotas WorkSpaces de serviços da AmazonAutomatizando a implantação da Amazon WorkSpaces Métodos comuns WorkSpaces de automaçãoWorkSpaces Melhores práticas de automação de implantação WorkSpaces Patches e atualizações locais da AmazonWorkSpace manutençãoAmazon Linux WorkSpacesAplicação de patches no Amazon WindowsAtualização local do Amazon WindowsPacotes de WorkSpaces idiomas da AmazonGerenciamento de WorkSpaces perfil da AmazonRedirecionamento de pastaPráticas recomendadasCoisa a evitarOutras consideraçõesConfigurações do perfil WorkSpaces Volumes da Amazon WorkSpaces Registro na Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Considerações sobre design

Uma implantação funcional do AD DS na AWS nuvem exige uma boa compreensão dos conceitos e AWS serviços específicos do Active Directory. Esta seção discute as principais considerações de design ao implantar o AD DS para Amazon, as melhores práticas de WorkSpaces VPC para AWS Directory Service, requisitos de DHCP e DNS, especificações do AD Connector e sites e serviços do AD.

Design em VPC

Conforme discutido anteriormente na seção Considerações de rede deste documento e documentado anteriormente para os cenários 2 e 3, os clientes devem implantar o AD DS na AWS nuvem em um par dedicado de sub-redes privadas, em duas AZs e separadas do AD Connector ou sub-redes. WorkSpaces Essa construção fornece acesso altamente disponível e de baixa latência aos serviços do AD DS WorkSpaces, mantendo as melhores práticas padrão de separação de funções ou funções na Amazon VPC.

A figura a seguir mostra a separação do AD DS e do AD Connector em sub-redes privadas dedicadas (cenário 3). Neste exemplo, todos os serviços residem na mesma Amazon VPC.

Exemplo de arquitetura que mostra a separação do AD DS e do AD Connector em sub-redes privadas dedicadas.

Figura 13: Separação de rede do AD DS

A figura a seguir mostra um design semelhante ao cenário 1; no entanto, nesse cenário, a parte local reside em uma Amazon VPC dedicada.

Exemplo de arquitetura mostrando um design semelhante ao cenário 1; no entanto, nesse cenário, a parte local reside em uma Amazon VPC dedicada.

Figura 14: WorkSpaces VPC dedicada

nota

Para clientes que já têm uma AWS implantação em que o AD DS está sendo usado, é recomendável que eles a WorkSpaces localizem em uma VPC dedicada e usem o emparelhamento de VPC para comunicações do AD DS.

Além da criação de sub-redes privadas dedicadas para o AD DS, os controladores de domínio e os servidores membros exigem várias regras do Grupo de Segurança para permitir tráfego para serviços, como replicação do AD DS, autenticação de usuário, serviços do Windows Time e sistema de arquivos distribuído (DFS).

nota

A melhor prática é restringir as regras de grupo de segurança necessárias às sub-redes WorkSpaces privadas e, no caso do cenário 2, permitir comunicações bidirecionais do AD DS no local de e para a AWS nuvem, conforme mostrado na tabela a seguir.

Tabela 1 — Comunicações bidirecionais do AD DS de e para a nuvem AWS

Protocolo Port Use Destino
TCP

53, 88, 135, 139, 389,

445, 464, 636

Autenticação (primária) Active Directory (data center privado ou Amazon EC2) *
TCP 49152 — 65535 Portas altas de RPC Active Directory (data center privado ou Amazon EC2) **
TCP 3268-3269 Confiança Active Directory (data center privado ou Amazon EC2) *
TCP 9389 Microsoft Windows remoto PowerShell (opcional) Active Directory (data center privado ou Amazon EC2) *
UDP

53, 88, 123, 137, 138,

389, 445, 464

Autenticação (primária) Active Directory (data center privado ou Amazon EC2) *
UDP 1812 Autenticação (MFA) (opcional) RADIUS (data center privado ou Amazon EC2) *

Para obter mais informações, consulte Requisitos de porta do Active Directory e dos Serviços de Domínio Active Directory e visão geral do serviço e requisitos de porta de rede para Windows

Para step-by-step obter orientação sobre a implementação de regras, consulte Adicionar regras a um grupo de segurança no Guia do usuário do Amazon Elastic Compute Cloud.

Design de VPC: DHCP e DNS

Com uma Amazon VPC, os serviços do Dynamic Host Configuration Protocol (DHCP) são fornecidos por padrão para suas instâncias. Por padrão, cada VPC fornece um servidor interno do Sistema de Nomes de Domínio (DNS) que pode ser acessado por meio do espaço de endereço Classless Inter-Domain Routing (CIDR) +2 e é atribuído a todas as instâncias por meio de um conjunto de opções DHCP padrão.

Os conjuntos de opções de DHCP são usados em uma Amazon VPC para definir opções de escopo, como o nome de domínio ou os servidores de nomes que devem ser entregues às instâncias do cliente via DHCP. A funcionalidade correta dos serviços do Windows em uma VPC do cliente depende dessa opção de escopo de DHCP. Em cada um dos cenários definidos anteriormente, os clientes criam e atribuem seu próprio escopo que define o nome de domínio e os servidores de nomes. Isso garante que as instâncias do Windows associadas ao domínio WorkSpaces estejam configuradas para usar o AD DNS.

A tabela a seguir é um exemplo de um conjunto personalizado de opções de escopo DHCP que devem ser criadas para que a Amazon WorkSpaces e o AWS Directory Services funcionem corretamente.

Tabela 2 — Conjunto personalizado de opções de escopo DHCP

Parâmetro Valor
Name tag

Cria uma tag com chave = nome e valor definidos para uma string específica

Exemplo: example.com

Nome de domínio exemplo.com
Servidores de nomes de domínio

Endereço do servidor DNS, separado por vírgulas

Exemplo: 192.0.2.10, 192.0.2.21

Servidores NTP Deixe esse campo em branco
Servidores de nomes NetBIOS

Insira os mesmos IPs separados por vírgula de acordo com os servidores de nomes de domínio

Exemplo: 192.0.2.10, 192.0.2.21

Tipo de nó NetBIOS 2

Para obter detalhes sobre como criar um conjunto de opções DHCP personalizado e associá-lo a uma Amazon VPC, consulte Como trabalhar com conjuntos de opções de DHCP no Guia do usuário da Amazon Virtual Private Cloud.

No cenário 1, o escopo do DHCP seria o DNS local ou o AD DS. No entanto, nos cenários 2 ou 3, esse seria o serviço de diretório implantado localmente (AD DS no Amazon EC2 AWS ou Directory Services: Microsoft AD). É recomendável que cada controlador de domínio que resida na AWS nuvem seja um catálogo global e um servidor DNS integrado ao diretório.

Active Directory: sites e serviços

Para o Cenário 2, sites e serviços são componentes essenciais para o funcionamento correto do AD DS. A topologia do site controla a replicação do AD entre controladores de domínio dentro do mesmo site e entre os limites do site. No cenário 2, pelo menos dois sites estão presentes: no local e a Amazon WorkSpaces na nuvem.

Definir a topologia correta do site garante a afinidade com o cliente, o que significa que os clientes (nesse caso WorkSpaces) usam seu controlador de domínio local preferido.

Exemplo de arquitetura mostrando a afinidade do cliente usando um controlador de domínio local.

Figura 15: Sites e serviços do Active Directory: afinidade com o cliente

Prática recomendada: defina o alto custo dos links de sites entre o AD DS local e a AWS nuvem. A figura a seguir é um exemplo de quais custos atribuir aos links do site (custo 100) para garantir a afinidade com o cliente independente do site.

Essas associações ajudam a garantir que o tráfego, como a replicação do AD DS e a autenticação do cliente, use o caminho mais eficiente para um controlador de domínio. No caso dos cenários 2 e 3, isso ajuda a garantir menor latência e tráfego de links cruzados.

Protocolo

O Amazon WorkSpaces Streaming Protocol (WSP) é um protocolo de streaming nativo da nuvem que permite uma experiência de usuário consistente em distâncias globais e redes não confiáveis. O WSP separa o protocolo do WorkSpaces descarregando a análise métrica, a codificação, o uso e a seleção do codec. O WSP usa a porta TCP/UDP 4195. Ao decidir se usar ou não o protocolo WSP, há várias perguntas importantes que devem ser respondidas antes da implantação. Consulte a matriz de decisão abaixo:

Pergunta VESPA PCoIP
Os WorkSpaces usuários identificados precisarão de áudio/vídeo bidirecional?
Zero clientes serão usados como endpoint remoto (dispositivo local)?
O Windows ou o macOS serão usados como endpoint remoto?
O Ubuntu 18.04 será usado para endpoint remoto?
Os usuários acessarão a Amazon WorkSpaces via acesso à web?
É necessário suporte para cartões inteligentes (PIC/CAC) antes da sessão ou durante a sessão?
WorkSpaces Será usado na região da China (Ningxia)?
A pré-autenticação do cartão inteligente ou o suporte durante a sessão serão necessários?
Os usuários finais estão usando conexões não confiáveis, de alta latência ou baixa largura de banda?

As perguntas anteriores são fundamentais para determinar o protocolo que deve ser usado. Informações adicionais sobre os casos de uso de protocolos recomendados podem ser revisadas aqui. O protocolo usado também pode ser alterado posteriormente usando o recurso Amazon WorkSpaces Migrate. Mais informações sobre o uso desse recurso podem ser revisadas aqui.

Ao implantar WorkSpaces usando o WSP, os Gateways WSP devem ser adicionados a uma lista de permissões para garantir a conectividade com o serviço. Além disso, para usuários que se conectam a um WorkSpaces usando WSP, o tempo de ida e volta (RTT) deve ser inferior a 250 ms para melhor desempenho. As conexões com um RTT entre 250 ms e 400 ms serão degradadas. Se a conexão do usuário estiver constantemente degradada, é recomendável implantar uma Amazon WorkSpaces em uma região com suporte de serviços mais próxima do usuário final, se possível.

Autenticação multifator (MFA)

A implementação do MFA exige WorkSpaces que a Amazon seja configurada com um Active Directory Connector (AD Connector) ou Managed AWS Microsoft AD (MAD) como seu Directory Service e tenha um servidor RADIUS acessível em rede pelo Directory Service. O Simple Active Directory não oferece suporte ao MFA.

Consulte a seção anterior, abordando as considerações sobre a implantação do Active Directory e dos Serviços de Diretório para as opções de design do AD e do RADIUS em cada cenário.

MFA — Autenticação de dois fatores

Depois que a MFA for ativada, os usuários deverão fornecer seu nome de usuário, senha e código de MFA ao WorkSpaces cliente para autenticação em seus respectivos desktops. WorkSpaces

Captura de tela do WorkSpaces console mostrando o MFA ativado

Figura 16: WorkSpaces cliente com MFA habilitado

nota

O AWS Directory Service não oferece suporte à MFA seletiva por usuário ou contextual: essa é uma configuração global por diretório. Se a MFA seletiva “por usuário” for necessária, os usuários deverão ser separados por um AD Connector, que pode apontar para a mesma origem do Active Directory.

WorkSpaces O MFA requer um ou mais servidores RADIUS. Normalmente, essas são soluções existentes que você já pode ter implantado, por exemplo, RSA ou Gemalto. Como alternativa, os servidores RADIUS podem ser implantados em sua VPC em instâncias EC2 (consulte a seção Cenários de implantação do AD DS deste documento para ver as opções de arquitetura). Se você estiver implantando uma nova solução RADIUS, existem várias implementações, como o FreeRADIUS, junto com ofertas de SaaS, como Duo Security ou Okta MFA.

É uma prática recomendada utilizar vários servidores RADIUS para garantir que sua solução seja resistente a falhas. Ao configurar seu Directory Service para MFA, você pode inserir vários endereços IP separando-os com uma vírgula (por exemplo, 192.0.0.0,192.0.0.12). O recurso MFA dos Serviços de Diretório tentará o primeiro endereço IP especificado e passará para o segundo endereço IP caso a conectividade de rede não possa ser estabelecida com o primeiro. A configuração do RADIUS para uma arquitetura de alta disponibilidade é exclusiva para cada conjunto de soluções, no entanto, a recomendação geral é colocar as instâncias subjacentes do seu recurso RADIUS em diferentes zonas de disponibilidade. Um exemplo de configuração é o Duo Security e, para o Okta MFA, você pode implantar vários agentes do servidor Okta RADIUS da mesma maneira.

Para obter etapas detalhadas para habilitar seu AWS Directory Service para MFA, consulte AD Connector e Managed AWS Microsoft AD.

Recuperação de desastres/ Continuidade de negócios

WorkSpaces Redirecionamento entre regiões

A Amazon WorkSpaces é um serviço regional que fornece acesso remoto ao desktop aos clientes. Dependendo dos requisitos de continuidade de negócios e recuperação de desastres (BC/DR), alguns clientes exigem um failover contínuo para outra região em que o serviço esteja disponível. WorkSpaces Esse requisito de BC/DR pode ser cumprido usando a opção de redirecionamento WorkSpaces entre regiões. Ele permite que os clientes usem um nome de domínio totalmente qualificado (FQDN) como código de WorkSpaces registro.

Uma consideração importante é determinar em que ponto um redirecionamento para uma região de failover deve ocorrer. Os critérios para essa decisão devem ser baseados na política da sua empresa, mas devem incluir o Objetivo de Tempo de Recuperação (RTO) e o Objetivo de Ponto de Recuperação (RPO). Um projeto de WorkSpaces arquitetura Well-Architected deve incluir o potencial de falha no serviço. A tolerância de tempo para a recuperação normal das operações comerciais também influenciará a decisão.

Quando seus usuários finais fazem login WorkSpaces com um FQDN como código de registro, um WorkSpaces registro DNS TXT é resolvido contendo um identificador de conexão que determina o diretório registrado para o qual o usuário será direcionado. A página inicial de login do WorkSpaces cliente será então apresentada com base no diretório registrado associado ao identificador de conexão retornado. Isso permite que os administradores direcionem seus usuários finais para diferentes WorkSpaces diretórios com base em suas políticas de DNS para o FQDN. Essa opção pode ser usada com zonas DNS públicas ou privadas, supondo que as zonas privadas possam ser resolvidas na máquina cliente. O redirecionamento entre regiões pode ser manual ou automatizado. Esses dois failovers podem ser obtidos alterando o registro TXT contendo o identificador de conexão a ser apontado para o diretório desejado.

Ao desenvolver sua estratégia de BC/DR, é importante considerar os dados do usuário, pois a opção de redirecionamento WorkSpaces entre regiões não sincroniza nenhum dado do usuário nem sincroniza suas imagens. WorkSpaces Suas WorkSpaces implantações em diferentes AWS regiões são entidades independentes. Portanto, você precisará tomar medidas adicionais para garantir que seus WorkSpaces usuários possam acessar seus dados quando ocorrer um redirecionamento para uma região secundária. Há muitas opções disponíveis para replicação de dados do usuário WorkSpaces, como o Windows FSx (DFS Share) ou utilitários de terceiros para sincronizar volumes de dados entre regiões. Da mesma forma, você precisará garantir que sua região secundária tenha acesso às WorkSpaces imagens necessárias, por exemplo, copiando as imagens entre regiões. Para obter mais informações, consulte Redirecionamento entre regiões da Amazon WorkSpaces no Guia de WorkSpaces Administração da Amazon e o exemplo no diagrama.

Imagem mostrando o WorkSpaces redirecionamento entre regiões com o Route 53

Figura 17: Exemplo de WorkSpaces redirecionamento entre regiões com o Amazon Route 53

As APIs WorkSpaces públicas da Amazon são suportadas no. AWS PrivateLink AWS PrivateLink aumenta a segurança dos dados compartilhados com aplicativos baseados em nuvem, reduzindo a exposição dos dados à Internet pública. WorkSpaces O tráfego de API pode ser protegido dentro de uma VPC usando um endpoint de interface, que é uma interface de rede elástica com um endereço IP privado do intervalo de endereços IP da sua sub-rede que serve como ponto de entrada para o tráfego destinado a um serviço compatível. Isso permite que você acesse de forma privada os serviços de WorkSpaces API usando endereços IP privados.

O uso PrivateLink com APIs WorkSpaces públicas também permite que você exponha com segurança as APIs REST aos recursos somente dentro da sua VPC ou àqueles conectados aos seus data centers via. AWS Direct Connect

Você pode restringir o acesso a Amazon VPCs e VPC Endpoints selecionados e habilitar o acesso entre contas usando políticas específicas de recursos.

Certifique-se de que o grupo de segurança associado à interface de rede do endpoint permita a comunicação entre a interface da rede do endpoint e os recursos em sua VPC que se comunicam com o serviço. Se o grupo de segurança restringir o tráfego HTTPS de entrada (porta 443) de recursos na VPC, talvez você não consiga enviar tráfego pela interface de rede do endpoint. Um endpoint de interface é compatível somente com tráfego TCP.

  • Endpoints são compatíveis somente com tráfego de IPv4.

  • Ao criar um endpoint, você pode anexar uma política de endpoint a ele para controlar o acesso ao serviço ao qual está se conectando.

  • Você tem uma cota para o número de endpoints criados por você por VPC.

  • Os endpoints são compatíveis somente na mesma região. Você não pode criar um endpoint entre uma VPC e um serviço em uma região diferente.

Criar notificação para receber alertas sobre eventos de endpoint de interface — Você pode criar uma notificação para receber alertas de eventos específicos que ocorrem em seu endpoint de interface. Para criar uma notificação, é preciso associar um tópico do Amazon SNS a ela. Você pode se inscrever no tópico do SNS para receber uma notificação por e-mail quando ocorrer um evento do endpoint.

Crie uma política de endpoint de VPC para a Amazon WorkSpaces — Você pode criar uma política para endpoints de VPC da Amazon para a Amazon WorkSpaces para especificar o seguinte:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Conecte sua rede privada à sua VPC — Para chamar a WorkSpaces API da Amazon por meio de sua VPC, você precisa se conectar a partir de uma instância que esteja dentro da VPC ou conectar sua rede privada à sua VPC usando uma Amazon Virtual Private Network (VPN) ou. AWS Direct Connect Para obter informações sobre o Amazon VPN, consulte as conexões VPN no Guia do usuário da Amazon Virtual Private Cloud. Para obter informações sobre AWS Direct Connect, consulte Criar uma conexão no Guia do AWS Direct Connect usuário.

Para obter mais informações sobre o uso da WorkSpaces API da Amazon por meio de um endpoint de interface VPC, consulte Segurança de infraestrutura na Amazon. WorkSpaces

Suporte ao cartão inteligente

O suporte a cartões inteligentes está disponível para Microsoft Windows e Amazon Linux WorkSpaces. O suporte a cartões inteligentes por meio do Common Access Card (CAC) e da Verificação de Identidade Pessoal (PIV) está disponível exclusivamente na Amazon WorkSpaces usando o WorkSpaces Streaming Protocol (WSP). O suporte a cartões inteligentes no WSP WorkSpaces oferece uma postura de segurança aprimorada para autenticar usuários em terminais de conexão aprovados pela organização com hardware específico na forma de leitores de cartões inteligentes. É importante primeiro se familiarizar com o escopo de suporte disponível para cartões inteligentes e determinar como os cartões inteligentes funcionariam em WorkSpaces implantações existentes e futuras.

É uma prática recomendada determinar qual tipo de suporte de cartão inteligente é necessário, autenticação pré-sessão ou autenticação em sessão. A autenticação pré-sessão só está disponível no momento da redação deste artigo em AWS GovCloud (Oeste dos EUA), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda), Ásia-Pacífico (Tóquio) e Ásia-Pacífico (Sydney). A autenticação por cartão inteligente em sessão geralmente está disponível com algumas considerações, como:

  • Sua organização possui uma infraestrutura de cartão inteligente integrada ao seu Windows Active Directory?

  • Seu respondente do Online Certificate Status Protocol (OCSP) está acessível publicamente pela Internet?

  • Os certificados de usuário são emitidos com o nome principal do usuário (UPN) no campo Nome alternativo do assunto (SAN)?

  • Mais considerações são detalhadas para as seções em sessão e pré-sessão.

O suporte a cartões inteligentes é habilitado por meio da Política de Grupo. É uma prática recomendada adicionar o modelo administrativo da Política de WorkSpaces Grupo da Amazon para o WSP ao Armazenamento Central do seu domínio do Active Directory usado pelo Amazon WorkSpaces Directory (s). Ao aplicar essa política a uma WorkSpaces implantação existente da Amazon, todos WorkSpaces exigirão a atualização da política de grupo e uma reinicialização para que a alteração entre em vigor para todos os usuários, pois é uma política baseada em computador.

CA raiz

A natureza da portabilidade do WorkSpaces cliente e do usuário da Amazon exige a exigência de entregar remotamente um certificado de CA raiz de terceiros ao armazenamento confiável de certificados raiz de cada dispositivo que os usuários usam para se conectar à Amazon. WorkSpaces Os controladores de domínio do AD e os dispositivos de usuário com cartões inteligentes devem confiar nas CAs raiz. Consulte as diretrizes fornecidas pela Microsoft para habilitar CAs de terceiros para obter mais informações sobre os requisitos exatos.

Em ambientes associados a um domínio do AD, esses dispositivos atendem a esse requisito por meio da Política de Grupo que distribui certificados de CA raiz. Em cenários em que o Amazon WorkSpaces Client é usado a partir de non-domain-joined dispositivos, um método de entrega alternativo para as CAs raiz de terceiros deve ser determinado, como o Intune.

Em sessão

A autenticação na sessão simplifica e protege a autenticação do aplicativo após o início das sessões de WorkSpaces usuário da Amazon. Conforme mencionado anteriormente, o comportamento padrão da Amazon WorkSpaces desativa os cartões inteligentes e deve ser ativado por meio da Política de Grupo. Do ponto de vista da WorkSpaces administração da Amazon, a configuração é especificamente necessária para aplicativos que passam pela autenticação (como navegadores da web). Nenhuma alteração é necessária para os conectores e diretórios do AD.

Os aplicativos mais comuns que exigem suporte à autenticação em sessão são por meio de navegadores da Web, como o Mozilla Firefox e o Google Chrome. O Mozilla Firefox requer configuração limitada para suporte a cartões inteligentes em sessão. O Amazon Linux WSP WorkSpaces exige configuração adicional para suporte a cartões inteligentes em sessão para o Mozilla Firefox e o Google Chrome.

É uma prática recomendada garantir que as CAs raiz sejam carregadas no armazenamento de certificados pessoais do usuário antes da solução de problemas, pois o Amazon WorkSpaces Client pode não ter permissões para o computador local. Além disso, use o OpenSC para identificar dispositivos de cartão inteligente ao solucionar qualquer suspeita de problemas de autenticação na sessão com cartões inteligentes. Por fim, um Respondente do Online Certificate Status Protocol (OCSP) é recomendado para melhorar a postura de segurança da autenticação do aplicativo por meio de uma verificação de revogação de certificado.

Pré-sessão

O suporte para autenticação pré-sessão requer Windows WorkSpaces Client versão 3.1.1 e posterior, ou WorkSpaces cliente macOS versão 3.1.5 e posterior. A autenticação pré-sessão com cartões inteligentes é fundamentalmente diferente da autenticação padrão, exigindo que o usuário se autentique por meio de uma combinação da inserção do cartão inteligente e da inserção de um código PIN. Com esse tipo de autenticação, a duração das sessões do usuário é limitada pela vida útil do ticket Kerberos. Um guia de instalação completo pode ser encontrado aqui.

Captura de tela mostrando a autenticação pré-sessão que requer o Windows WorkSpaces Client versão 3.1.1 e posterior ou o WorkSpaces cliente macOS versão 3.1.5 e posterior.

Figura 18: Visão geral da autenticação pré-sessão

  1. O usuário abre o Amazon WorkSpaces Client, insere o cartão inteligente e insere seu PIN. O PIN é usado pelo Amazon WorkSpaces Client para descriptografar o certificado X.509, que é enviado por proxy para o AD Connector por meio do Authentication Gateway.

  2. O AD Connector valida o Certificado X.509 em relação ao URL do Respondente OCSP acessível ao público especificado nas Configurações do Diretório para garantir que o certificado não tenha sido revogado.

  3. Se o certificado for válido, o Amazon WorkSpaces Client continuará o processo de autenticação solicitando que o usuário insira seu PIN pela segunda vez para descriptografar o certificado X.509 e o proxy para o AD Connector, onde ele é então combinado com os certificados raiz e intermediário do AD Connector para validação.

  4. Depois que a validação do certificado é correspondida com êxito, o Active Directory é usado pelo AD Connector para autenticar o usuário e um tíquete Kerberos é criado.

  5. O tíquete Kerberos é passado para a Amazon do usuário WorkSpace para autenticar e iniciar a sessão do WSP.

O Respondente OCSP deve estar acessível publicamente, pois a conexão é realizada pela rede AWS gerenciada e não pela rede gerenciada pelo cliente, portanto, não há roteamento para redes privadas nesta etapa.

Não é necessário inserir o nome do usuário, pois os certificados de usuário apresentados ao AD Connector incluem o userPrincipalName (UPN) do usuário no campo subjectAltName (SAN) do certificado. É uma prática recomendada automatizar todos os usuários que precisam de autenticação pré-sessão com Smartcards e ter seus objetos de usuário do AD atualizados para se autenticarem com o UPN previsto no certificado usando PowerShell, em vez de realizar isso individualmente nos Consoles de Gerenciamento Microsoft.

Captura de tela mostrando o WorkSpaces console de login

Figura 19: console de WorkSpaces login

Implantação do cliente

O Amazon WorkSpaces Client (versão 3.X+) usa arquivos de configuração padronizados que podem ser aproveitados pelos administradores para pré-configurar o cliente do usuário. WorkSpaces O caminho para os dois arquivos de configuração principais pode ser encontrado em:

SO Caminho do arquivo de configuração
Windows C:\Users\USERNAME\AppData\ Local\ Amazon Web Services\ Amazon WorkSpaces
macOS /Usuários/Nome de usuário/Biblioteca/Suporte de aplicativos/Amazon Web Services/Amazon WorkSpaces
Linux (Ubuntu 18.04) /home/ubuntu/.local/share/Amazon Web Services/Amazon/ WorkSpaces

Dentro desses caminhos, você encontrará os dois arquivos de configuração. O primeiro arquivo de configuração é UserSettings .json, que definirá coisas como registro atual, configuração de proxy, nível de registro e a capacidade de salvar a lista de registro. O segundo arquivo de configuração é RegistrationList .json. Esse arquivo conterá todas as informações do WorkSpaces diretório para o cliente usar para mapear para o WorkSpaces diretório correto. A pré-configuração do RegistrationList .json preencherá todos os códigos de registro do cliente para o usuário.

nota

Se seus usuários estiverem executando a versão 2.5.11 do WorkSpaces Client, o proxy.cfg será usado para as configurações de proxy do cliente e o client_settings.ini definirá o nível do log, bem como a capacidade de salvar a lista de registro. A configuração padrão do proxy usará o que está definido no sistema operacional.

Como esses arquivos são padronizados, os administradores podem baixar o WorkSpaces Cliente, definir todas as configurações aplicáveis e, em seguida, enviar os mesmos arquivos de configuração para todos os usuários finais. Para que as configurações entrem em vigor, o cliente deve ser iniciado após a definição das novas configurações. Se você alterar a configuração enquanto o cliente estiver em execução, nenhuma das alterações será definida no cliente.

A última configuração que pode ser definida para WorkSpaces os usuários é a atualização automática do Windows Client. Isso não é controlado por meio de arquivos de configuração, mas sim pelo Registro do Windows. Quando uma nova versão do cliente for lançada, você poderá criar uma chave de registro para ignorar essa versão. Isso pode ser definido criando uma string de nomes de entrada de registro SkipThisVersion com um valor do número completo da versão no caminho abaixo: Computer\ HKEY_CURRENT_USER\ Software\ Amazon Web Services. LLC\ Amazon WorkSpaces\ WinSparkle Essa opção também está disponível para macOS; no entanto, a configuração está dentro de um arquivo plist que requer software especial para edição. Se você ainda quiser realizar essa ação, isso pode ser feito adicionando uma SkippedVersion entrada SU no domínio com.amazon.workspaces localizado em: /Users/username/Library/Preferences

Seleção de WorkSpaces endpoints da Amazon

Escolhendo um endpoint para seu WorkSpaces

WorkSpaces A Amazon oferece suporte para vários dispositivos de endpoint, desde desktops Windows até iPads e Chromebooks. Você pode baixar os WorkSpaces clientes da Amazon disponíveis no site do Amazon Workspaces. Escolher o endpoint certo para seus usuários é uma decisão importante. Se seus usuários precisarem do uso de áudio/vídeo bidirecional e estiverem utilizando o protocolo de WorkSpaces streaming, eles deverão usar o cliente Windows ou macOS. Para todos os clientes, certifique-se de que os endereços IP e portas listados nos Requisitos de Endereço IP e Porta da Amazon WorkSpaces tenham sido configurados explicitamente para garantir que o cliente possa se conectar ao serviço. Aqui estão algumas considerações adicionais para ajudá-lo a escolher um dispositivo de endpoint:

  • Windows — Para utilizar o cliente Windows Amazon, o WorkSpaces cliente 4.x deve executar o desktop Microsoft Windows 8.1, Windows 10 de 64 bits necessário. Os usuários podem instalar o cliente apenas para seu perfil de usuário sem privilégios administrativos na máquina local. Os administradores do sistema podem implantar o cliente em endpoints gerenciados com a Política de Grupo, o Microsoft Endpoint Manager Configuration Manager (MEMCM) ou outras ferramentas de implantação de aplicativos usadas em um ambiente. O cliente Windows suporta no máximo quatro monitores e uma resolução máxima de 3840x2160.

  • macOS — Para implantar o cliente macOS Amazon mais recente WorkSpaces , os dispositivos macOS devem executar o macOS 10.12 (Sierra) ou posterior. Você pode implantar uma versão mais antiga do WorkSpaces cliente para se conectar ao PCoIP WorkSpaces se o endpoint estiver executando o OSX 10.8.1 ou posterior. O cliente macOS suporta até dois monitores com resolução 4K ou quatro monitores com resolução WUXGA (1920 x 1200).

  • Linux — O cliente Amazon WorkSpaces Linux requer o Ubuntu 18.04 (AMD64) de 64 bits para ser executado. Se seus endpoints Linux não executarem essa versão do sistema operacional, o cliente Linux não será suportado. Antes de implantar clientes Linux ou fornecer aos usuários seu código de registro, certifique-se de habilitar o acesso ao cliente Linux no nível do WorkSpaces diretório, pois isso está desabilitado por padrão e os usuários não poderão se conectar a partir de clientes Linux até que seja habilitado. O cliente Linux suporta até dois monitores com resolução 4K ou quatro monitores com resolução WUXGA (1920 x 1200).

  • iPad — O aplicativo cliente Amazon WorkSpaces iPad é compatível com PCoIP WorkSpaces. Os iPads compatíveis são o iPad2 ou posterior com iOS 8.0 ou posterior, iPad Retina com iOS 8.0 e posterior, iPad Mini com iOS 8.0 e posterior e iPad Pro com iOS 9.0 e posterior. Certifique-se de que o dispositivo a partir do qual os usuários se conectarão atenda a esses critérios. O aplicativo cliente para iPad suporta muitos gestos diferentes. (Consulte uma lista completa dos gestos compatíveis.) O aplicativo cliente Amazon WorkSpaces iPad também oferece suporte aos mouses Swiftpoint GT e PadPoint . ProPoint O Swiftpoint TRACPOINT PenPoint e os GoPoint mouses não são suportados.

  • Android/Chromebook — Ao implantar um dispositivo Android ou Chromebook como endpoint para seus usuários finais, há algumas considerações que devem ser levadas em consideração. Certifique-se de que WorkSpaces os usuários se conectarão sejam PCoIP WorkSpaces, pois esse cliente suporta apenas PCoIP. WorkSpaces Esse cliente suporta apenas um único monitor. Se os usuários precisarem de suporte para vários monitores, utilize um endpoint diferente. Se você quiser implantar um Chromebook, certifique-se de que o modelo implantado seja compatível com a instalação de aplicativos Android. O suporte completo a recursos é suportado somente no cliente Android, e não no cliente antigo do Chromebook. Normalmente, isso é apenas uma consideração para Chromebooks feitos antes de 2019. O suporte para Android é fornecido para tablets e telefones, desde que o Android esteja executando o OS 4.4 e posterior. No entanto, é recomendável que o dispositivo Android execute o OS 9 ou superior para utilizar o cliente WorkSpace Android mais recente. Se seus Chromebooks estiverem executando a versão 3.0.1 ou superior do WorkSpaces cliente, seus usuários agora podem aproveitar os recursos de autoatendimento. WorkSpaces Além disso, como administrador, você pode utilizar certificados de dispositivos confiáveis para restringir o WorkSpaces acesso a dispositivos confiáveis com certificados válidos.

  • Acesso à Web — Os usuários podem acessar o Windows WorkSpaces de qualquer local usando um navegador da Web. Isso é ideal para usuários que precisam usar um dispositivo bloqueado ou uma rede restritiva. Em vez de usar uma solução de acesso remoto tradicional e instalar a aplicação cliente apropriada, os usuários podem visitar o site e acessar seus recursos de trabalho. Os usuários podem utilizar o WorkSpaces Web Access para se conectar ao non-graphics-based Windows PCoIP WorkSpaces executando o Windows 10 ou o Windows Server 2016 com o Desktop Experience. Os usuários devem se conectar usando o Chrome 53 ou posterior ou o Firefox 49 ou posterior. Para sistemas baseados em WSP WorkSpaces, os usuários podem utilizar o WorkSpaces Web Access para se conectar a sistemas gráficos não baseados em Windows. WorkSpaces Esses usuários devem se conectar usando o Microsoft Edge 91 ou posterior ou o Google Chrome 91 ou posterior. A resolução mínima de tela suportada é 960 x 720 com uma resolução máxima suportada de 2560 x 1600. Não há suporte para vários monitores. Para a melhor experiência do usuário, quando possível, é recomendável que os usuários usem uma versão do sistema operacional do cliente.

  • PCoIP Zero Client — Você pode implantar clientes zero PCoIP para usuários finais que tenham ou terão WorkSpaces PCoIP atribuído a eles. O cliente zero Tera2 deve ter uma versão de firmware 6.0.0 ou posterior para se conectar diretamente ao. WorkSpace Para usar a autenticação multifator com a Amazon WorkSpaces, o dispositivo zero client Tera2 deve executar a versão 6.0.0 ou posterior do firmware. O suporte e a solução de problemas do hardware de cliente zero devem ser feitos com o fabricante.

  • IGEL OS — Você pode utilizar o sistema operacional IGEL em dispositivos terminais para se conectar ao PCoIP, WorkSpaces desde que a versão do firmware seja 11.04.280 ou superior. Os recursos suportados correspondem aos do cliente Linux existente atualmente. Antes de implantar clientes do sistema operacional IGEL ou fornecer aos usuários seu código de registro, certifique-se de habilitar o acesso do cliente Linux no nível do WorkSpaces diretório, pois isso está desativado por padrão e os usuários não poderão se conectar a partir dos clientes do sistema operacional IGEL até que ele seja ativado. O cliente LGel OS suporta até dois monitores com resolução 4K ou quatro monitores com resolução WUXGA (1920x1200).

Cliente de acesso à Web

Projetado para dispositivos bloqueados, o cliente Web Access fornece acesso à Amazon WorkSpaces sem a necessidade de implantar software cliente. O cliente Web Access é recomendado somente em configurações em que a Amazon WorkSpaces é do sistema operacional Windows (OS) e é usado para fluxos de trabalho de usuários limitados, como um ambiente de quiosque. A maioria dos casos de uso se beneficia do conjunto de recursos disponível no WorkSpaces cliente da Amazon. O cliente do Web Access só é recomendado em casos de uso específicos em que dispositivos e restrições de rede exigem um método de conexão alternativo.

Exemplo de arquitetura mostrando os requisitos de rede do cliente de acesso à web.

Figura 20: Arquitetura do cliente de acesso à Web

Conforme mostrado no diagrama, o cliente do Web Access tem requisitos de rede diferentes para transmitir a sessão aos usuários. O Web Access está disponível para Windows WorkSpaces usando o protocolo PCoIP ou WSP. DNS e HTTP/HTTPS são necessários para autenticação e registro nos gateways. WorkSpaces Para WorkSpaces usar o protocolo WSP, é necessário que a conexão direta do UDP/TCP 4195 seja aberta aos intervalos de endereços IP do WSP Gateway. O tráfego de streaming não é alocado para uma porta fixa, como acontece com o WorkSpaces cliente Amazon completo; em vez disso, é alocado dinamicamente. O UDP é preferível para tráfego de streaming; no entanto, o navegador retornará ao TCP quando o UDP for restrito. Em ambientes em que a porta TCP/UDP 4172 está bloqueada e não pode ser desbloqueada devido a restrições organizacionais, o cliente do Web Access fornece um método de conexão alternativo para os usuários.

Por padrão, o cliente do Web Access está desativado no nível do Diretório. Para permitir que os usuários acessem sua Amazon WorkSpaces por meio de um navegador da web, use o AWS Management Console para atualizar as configurações do diretório ou use programaticamente a WorkspaceAccessProperties API para modificar DeviceTypeWeb para Permitir. Além disso, o administrador deve garantir que as configurações da Política de Grupo não entrem em conflito com os requisitos de login.

WorkSpaces Etiquetas da Amazon

Tags enable you to associate metadata with AWS resources. Tags can be used with Amazon WorkSpaces to registered directories, 
  bundles, IP Access Control Groups, or images. Tags assist with cost allocation to internal cost centers. Before using tags with Amazon WorkSpaces, 
  refer to the Tagging Best Practices whitepaper.

Tag restrictions

  • Número máximo de tags por recurso: 50

  • Comprimento máximo da chave: 127 caracteres Unicode

  • Comprimento máximo de valor: 255 caracteres Unicode

  • As chaves e os valores de tags diferenciam maiúsculas de minúsculas. Os caracteres permitidos são letras, espaços e números representáveis em UTF-8, além dos seguintes caracteres especiais: + - = . _ : / @. Não use espaços no início nem no fim.

  • Não use os prefixos aws: ou aws:workspaces: nos nomes ou valores de suas tags porque eles estão reservados para uso. AWS Não é possível editar nem excluir nomes ou valores de tag com esses prefixos.

Recursos que você pode marcar

  • Você pode adicionar tags aos seguintes recursos ao criá-los: imagens WorkSpaces importadas e grupos de controle de acesso IP.

  • Você pode adicionar tags aos recursos existentes dos seguintes tipos: diretórios registrados WorkSpaces, pacotes personalizados, imagens e grupos de controle de acesso IP.

    Usando a tag de alocação de custos

Para visualizar suas tags de WorkSpaces recursos no Cost Explorer, ative as tags que você aplicou aos seus WorkSpaces recursos seguindo as instruções em Ativando Tags de Alocação de Custos Definidas pelo Usuário no Guia do Usuário do Gerenciamento de Faturamento e Custos da AWS Cost Management.

Embora as tags apareçam 24 horas após a ativação, pode levar de quatro a cinco dias para que os valores associados a essas tags apareçam no Cost Explorer, apareçam e forneçam dados de custo no Cost Explorer. Os WorkSpaces recursos que foram marcados devem ser cobrados durante esse período. O Cost Explorer mostra somente os dados de custo do momento em que as tags foram ativadas posteriormente. Não há dados de histórico disponíveis no momento.

Como gerenciar tags

Para atualizar as tags de um recurso existente usando o AWS CLI, use os comandos create-tags e delete-tags. Para atualizações em massa e para automatizar a tarefa em um grande número de WorkSpaces recursos, a Amazon WorkSpaces adiciona suporte ao Editor de AWS Resource Groups tags. AWS Resource Groups O Editor de tags permite que você adicione, edite ou exclua AWS tags do seu WorkSpaces junto com seus outros AWS recursos.

Cotas WorkSpaces de serviços da Amazon

As Cotas de Serviço facilitam a pesquisa do valor de uma cota específica, também chamada de limite. Você também pode pesquisar todas as cotas de um serviço específico.

Para ver suas cotas para WorkSpaces

  1. Navegue até o console Service Quotas.

  2. No painel de navegação à esquerda, escolha serviços. AWS

  3. Selecione Amazon na WorkSpaces lista ou insira Amazon WorkSpaces no campo de pesquisa de digitação antecipada.

  4. Para ver informações adicionais sobre uma cota, como sua descrição e Amazon Resource Name (ARN), escolha o nome da cota.

WorkSpaces A Amazon fornece diferentes recursos que você pode usar em sua conta em uma determinada região, incluindo imagens WorkSpaces, pacotes, diretórios, aliases de conexão e grupos de controle de IP. Quando você cria sua conta da Amazon Web Services, as cotas padrão são definidas (também chamadas de limites) no número de recursos que você pode criar.

Você pode usar o console de Cotas de Serviço para visualizar as Cotas de Serviço padrão ou solicitar aumentos de cotas para cotas ajustáveis.

Para obter mais informações, consulte Como visualizar cotas de serviço e Solicitar um aumento de cota no Guia do usuário de cotas de serviço.

Automatizando a implantação da Amazon WorkSpaces

Com a Amazon WorkSpaces, você pode iniciar um desktop Microsoft Windows ou Amazon Linux em minutos, conectar-se e acessar seu software de desktop no local ou em uma rede externa de forma segura, confiável e rápida. Você pode automatizar o provisionamento da Amazon WorkSpaces para permitir que você integre a Amazon aos seus fluxos de trabalho de provisionamento existentes. WorkSpaces

Métodos comuns WorkSpaces de automação

Os clientes podem usar várias ferramentas para permitir a rápida WorkSpaces implantação da Amazon. As ferramentas podem ser usadas para simplificar o gerenciamento WorkSpaces, reduzir custos e possibilitar um ambiente ágil que pode ser expandido e movido rapidamente.

AWS CLI e API

Existem operações de WorkSpaces API da Amazon que você pode usar para interagir com o serviço de forma segura e em grande escala. Todas as APIs públicas estão disponíveis com o AWS CLI SDK e o Tools for PowerShell, enquanto as APIs privadas, como a criação de imagens, estão disponíveis somente por meio do. AWS Management Console Ao considerar o gerenciamento operacional e o autoatendimento comercial para a Amazon WorkSpaces, considere que as WorkSpaces APIs exigem conhecimento técnico e permissões de segurança para serem usadas.

As chamadas de API podem ser feitas usando o AWS SDK. AWS O Tools for Windows PowerShell e o AWS Tools for PowerShell Core são PowerShell módulos criados com base na funcionalidade exposta pelo AWS SDK for .NET. Esses módulos permitem que você crie scripts de operações em AWS recursos a partir da linha de PowerShell comando e se integre às ferramentas e serviços existentes. Por exemplo, as chamadas de API podem permitir que você gerencie automaticamente o WorkSpaces ciclo de vida por meio da integração com o AD para provisionar e descomissionar com WorkSpaces base na associação de um usuário ao grupo AD.

AWS CloudFormation

AWS CloudFormation permite que você modele toda a sua infraestrutura em um arquivo de texto. Esse modelo se torna a única fonte confiável para sua infraestrutura. Isso ajuda você a padronizar os componentes de infraestrutura usados em toda a sua organização, permitindo a conformidade da configuração e a solução de problemas mais rápida.

AWS CloudFormation provisiona seus recursos de forma segura e reproduzível, permitindo que você crie e reconstrua sua infraestrutura e seus aplicativos. Você pode usar CloudFormation para comissionar e descomissionar ambientes, o que é útil quando você tem várias contas que deseja criar e descomissionar de forma repetível. Ao considerar o gerenciamento operacional e o autoatendimento comercial para a Amazon WorkSpaces, considere que isso AWS CloudFormationrequer conhecimento técnico e permissões de segurança para uso.

Portal de autoatendimento WorkSpaces

Os clientes podem usar comandos de WorkSpaces API de compilação e outros AWS serviços para criar um portal de WorkSpaces autoatendimento. Isso ajuda os clientes a simplificar o processo de implantação e recuperação em grande escala. WorkSpaces Usando um WorkSpaces portal, você pode permitir que sua força de trabalho provisione sua própria força de trabalho WorkSpaces com um fluxo de trabalho de aprovação integrado que não exija intervenção de TI para cada solicitação. Isso reduz os custos operacionais de TI, ao mesmo tempo em que ajuda os usuários finais a começar a trabalhar com WorkSpaces mais rapidez. O fluxo de trabalho adicional de aprovação integrado simplifica o processo de aprovação por desktop para empresas. Um portal dedicado pode oferecer uma ferramenta automatizada para provisionar desktops em nuvem Windows ou Linux e permitir que os usuários os reconstruam, reiniciem ou migrem WorkSpace, além de fornecer um recurso para redefinições de senha.

Há exemplos guiados de criação de WorkSpaces portais de autoatendimento mencionados na seção Leitura adicional deste documento. AWS Os parceiros fornecem portais WorkSpaces de gerenciamento pré-configurados por meio do. AWS Marketplace

Integração com o gerenciamento de serviços de TI corporativos

À medida que as empresas adotam a Amazon WorkSpaces como sua solução de desktop virtual em grande escala, é necessário implementar ou integrar sistemas de gerenciamento de serviços de TI (ITSM). A integração do ITSM permite ofertas de autoatendimento para provisionamento e operações. O Service Catalog permite que você gerencie AWS serviços comumente implantados e produtos de software provisionados de forma centralizada. Esse serviço ajuda sua organização a alcançar requisitos consistentes de governança e conformidade, ao mesmo tempo em que permite que os usuários implantem somente os AWS serviços aprovados de que precisam. O Service Catalog pode ser usado para permitir uma oferta de gerenciamento de ciclo de vida de autoatendimento para a WorkSpaces Amazon a partir de ferramentas de gerenciamento de serviços de TI, como. ServiceNow

WorkSpaces Melhores práticas de automação de implantação

Você deve considerar os princípios da Well Architected para selecionar e projetar a automação WorkSpaces de implantação.

  • Design para automação — Projete para fornecer a menor intervenção manual possível no processo para permitir repetibilidade e escala.

  • Design para otimização de custos — Ao criar e recuperar automaticamente WorkSpaces, você pode reduzir o esforço administrativo necessário para fornecer recursos e evitar que recursos ociosos ou não utilizados gerem custos desnecessários.

  • Design para eficiência — Minimize os recursos necessários para criar e finalizar. WorkSpaces Sempre que possível, forneça recursos de autoatendimento de nível 0 para que a empresa melhore a eficiência.

  • Design para flexibilidade — Crie um mecanismo de implantação consistente que possa lidar com vários cenários e escalar com o mesmo mecanismo (personalizado usando identificadores marcados de caso de uso e perfil).

  • Design para produtividade — Projete suas WorkSpaces operações para permitir a autorização e a validação corretas para adicionar ou remover recursos.

  • Design para escalabilidade — O modelo pay-as-you go que a Amazon WorkSpaces usa pode gerar economia de custos criando recursos conforme necessário e removendo-os quando não forem mais necessários.

  • Design para segurança — Projete suas WorkSpaces operações para permitir a autorização e a validação corretas para adicionar ou remover recursos.

  • Design para suporte — Projete suas WorkSpaces operações para permitir mecanismos e processos de suporte e recuperação não invasivos.

WorkSpaces Patches e atualizações locais da Amazon

Com a Amazon WorkSpaces, você pode gerenciar patches e atualizações usando ferramentas de terceiros existentes, como o Microsoft System Center Configuration Manager (SCCM), o Puppet Enterprise ou o Ansible. A implantação local de patches de segurança normalmente mantém um ciclo mensal de patches, com processos adicionais para escalonamento ou implantação rápida. No entanto, no caso de atualizações de sistema operacional ou de recursos no local, muitas vezes são necessárias considerações especiais.

WorkSpace manutenção

A Amazon WorkSpaces tem uma janela de manutenção padrão durante a qual WorkSpace instala as atualizações do WorkSpaces agente Amazon e todas as atualizações disponíveis do sistema operacional. WorkSpaces não estarão disponíveis para as conexões do usuário durante a janela de manutenção programada.

  • AlwaysOn WorkSpaces a janela de manutenção padrão é das 00h00 às 04h00, no fuso horário do WorkSpace, todos os domingos de manhã.

  • AutoStop WorkSpaces são iniciados automaticamente uma vez por mês para instalar atualizações importantes. A partir da terceira segunda-feira do mês e por até duas semanas, a janela de manutenção está aberta todos os dias, das 00h00 às 05h00, no fuso horário da AWS Região para o. WorkSpace Eles WorkSpace podem ser mantidos em qualquer dia na janela de manutenção.

  • As janelas de manutenção manual podem ser definidas com base em sua programação preferida, definindo o estado do WorkSpace como ADMIN_MAINTENANCE.

  • O AWS CLI comando modify-workspace-statepode ser usado para modificar o WorkSpace estado para ADMIN_MAINTENANCE.

Amazon Linux WorkSpaces

Para considerações, pré-requisitos e padrões sugeridos para gerenciar atualizações e patches em imagens WorkSpaces personalizadas do Amazon Linux, consulte o whitepaper Best Practices to Prepare your Amazon for Linux Images. WorkSpaces

Pré-requisitos e considerações sobre a aplicação de patches no Linux

Aplicação de patches no Amazon Windows

Por padrão, seu Windows WorkSpaces está configurado para receber atualizações do Windows Update que exigem acesso à Internet de sua WorkSpaces VPC. Para configurar seus próprios mecanismos de atualização automática para o Windows, consulte a documentação do Windows Server Update Services (WSUS) e do Configuration Manager.

Atualização local do Amazon Windows

  • Se você planeja criar uma imagem a partir de um Windows 10 WorkSpace, observe que a criação de imagens não é suportada em sistemas Windows 10 que foram atualizados de uma versão anterior (uma atualização de recurso/versão do Windows). No entanto, as atualizações cumulativas ou de segurança do Windows são suportadas pelo processo de criação e captura de WorkSpaces imagens.

Pré-requisitos de atualização in-loco do Windows

  • Se você adiou ou pausou as atualizações do Windows 10 usando a Política de Grupo do Active Directory ou o SCCM, habilite as atualizações do sistema operacional para o Windows 10. WorkSpaces

  • Se WorkSpace for um AutoStop WorkSpace, altere o AutoStop horário para pelo menos três horas para acomodar a janela de upgrade.

  • O processo de atualização in-loco recria o perfil do usuário fazendo uma cópia do Usuário padrão (C:\Users\Default). Não use o perfil de usuário padrão para fazer personalizações. Em vez disso, é recomendável fazer qualquer personalização no perfil do usuário por meio de Objetos de Política de Grupo (GPOs). As personalizações feitas por meio de GPOs podem ser facilmente modificadas ou revertidas e são menos propensas a erros.

  • O processo de atualização no local pode fazer backup e recriar somente um perfil de usuário. Se você tiver vários perfis de usuário na unidade D, exclua todos os perfis, exceto aquele que você precisa.

Considerações sobre a atualização in-loco do Windows

  • O processo de atualização in-loco usa dois scripts de registro (enable-inplace-upgrade.ps1 e update-pvdrivers.ps1) para fazer as alterações necessárias no seu e permitir que o processo do Windows Update seja executado. WorkSpaces Essas alterações envolvem a criação de um perfil de usuário temporário na unidade C em vez da unidade D. Se um perfil de usuário já existir na unidade D, os dados desse perfil de usuário original permanecerão na unidade D.

  • Depois que a atualização in-loco for implantada, você deverá restaurar os perfis de usuário na unidade D para garantir que você possa reconstruir ou migrar sua WorkSpaces e para evitar possíveis problemas com o redirecionamento da pasta shell do usuário. Você pode fazer isso usando a chave de registro PostUpgradeRestoreProfileOnD, conforme explicado na página de referência de atualização do BYOL.

Pacotes de WorkSpaces idiomas da Amazon

WorkSpaces Os pacotes da Amazon que oferecem a experiência de desktop do Windows 10 oferecem suporte para inglês (EUA), francês (canadense), coreano e japonês. No entanto, você pode incluir pacotes de idiomas adicionais para espanhol, italiano, português e muitas outras opções de idiomas. Para obter mais informações, consulte Como faço para criar uma nova WorkSpace imagem do Windows com um idioma de cliente diferente do inglês? .

Gerenciamento de WorkSpaces perfil da Amazon

A Amazon WorkSpaces separa o perfil do usuário do sistema operacional (OS) básico redirecionando todas as gravações do perfil para um volume separado do Amazon Elastic Block Store (Amazon EBS). No Microsoft Windows, o perfil do usuário é armazenado em D:\Users\username. No Amazon Linux, o perfil do usuário é armazenado em /home. O volume do EBS é capturado automaticamente a cada 12 horas. O snapshot é armazenado automaticamente em um bucket AWS gerenciado do S3, para ser usado no caso de uma Amazon ser reconstruída ou WorkSpace restaurada.

Para a maioria das organizações, ter instantâneos automáticos a cada 12 horas é superior à implantação de desktop existente, sem backups para perfis de usuário. No entanto, os clientes podem exigir um controle mais granular sobre os perfis de usuário; por exemplo, migração do desktop para WorkSpaces um novo sistema AWS operacional/região, suporte para DR e assim por diante. Existem métodos alternativos para gerenciamento de perfis disponíveis para a Amazon WorkSpaces.

Redirecionamento de pasta

Embora o redirecionamento de pastas seja uma consideração de design comum nas arquiteturas de infraestrutura de desktop virtual (VDI), não é uma prática recomendada nem mesmo um requisito comum nos projetos da Amazon. WorkSpaces A razão para isso é que a Amazon WorkSpaces é uma solução persistente de desktop como serviço (DaaS), com dados de aplicativos e usuários persistindo imediatamente.

Há cenários específicos em que o redirecionamento de pastas para pastas do shell do usuário (por exemplo, D:\Users\username\Desktop redirecionado para\\ Server\ RedirectionShare $\ username\ Desktop) é necessário, como objetivo de ponto de recuperação imediata (RPO) para dados de perfil de usuário em ambientes de recuperação de desastres (DR).

Práticas recomendadas

As práticas recomendadas a seguir estão listadas para um redirecionamento robusto de pastas:

  • Hospede os servidores de arquivos do Windows na mesma AWS região e AZ em que a Amazon WorkSpaces é lançada.

  • Certifique-se de que as regras de entrada do grupo de segurança do AD incluam o grupo de segurança do servidor de arquivos do Windows ou endereços IP privados; caso contrário, certifique-se de que o firewall local permita o mesmo tráfego baseado em portas TCP e UDP.

  • Certifique-se de que as regras de entrada do grupo de segurança do Windows File Server incluam TCP 445 (SMB) para todos os grupos de segurança da Amazon. WorkSpaces

  • Crie um grupo de segurança do AD para WorkSpaces usuários da Amazon para autorizar o acesso dos usuários ao Compartilhamento de arquivos do Windows.

  • Use o Namespace DFS (DFS-N) e a Replicação DFS (DFS-R) para garantir que seu compartilhamento de arquivos do Windows seja ágil, não vinculado a nenhum servidor de arquivos específico do Windows, e que todos os dados do usuário sejam replicados automaticamente entre os servidores de arquivos do Windows.

  • Anexe '$' ao final do nome do compartilhamento para ocultar o compartilhamento que hospeda os dados do usuário ao navegar pelos compartilhamentos de rede no Windows Explorer.

  • Crie o compartilhamento de arquivos seguindo as orientações da Microsoft para pastas redirecionadas: Implantar redirecionamento de pastas com arquivos off-line. Siga atentamente as orientações sobre permissões de segurança e configuração de GPO.

  • Se sua WorkSpaces implantação na Amazon for Bring Your Own License (BYOL), você também deverá especificar a desativação de arquivos off-line seguindo a orientação da Microsoft: Desativar arquivos off-line em pastas redirecionadas individuais.

  • Instale e execute a desduplicação de dados (comumente chamada de “desduplicação”) se o Windows File Server for o Windows Server 2016 ou mais recente para reduzir o consumo de armazenamento e otimizar os custos. Consulte Instalar e ativar a desduplicação de dados e Executar a desduplicação de dados.

  • Faça backup dos compartilhamentos de arquivos do Windows File Server usando as soluções de backup organizacional existentes.

Coisa a evitar

  • Não use servidores de arquivos do Windows que sejam acessíveis somente por meio de uma conexão de rede de longa distância (WAN), pois o protocolo SMB não foi projetado para esse uso.

  • Não use o mesmo compartilhamento de arquivos do Windows usado nos diretórios pessoais para reduzir as chances de os usuários excluírem acidentalmente suas pastas do User Shell.

  • Embora a ativação do Volume Shadow Copy Service (VSS) seja recomendada para facilitar a restauração de arquivos, isso por si só não elimina a necessidade de fazer backup dos compartilhamentos de arquivos do Windows File Server.

Outras considerações

  • O Amazon FSx for Windows File Server oferece um serviço gerenciado para compartilhamentos de arquivos do Windows e simplifica a sobrecarga operacional do redirecionamento de pastas, incluindo backups automáticos.

  • Utilize AWS Storage Gateway o SMB File Share para fazer backup de seus compartilhamentos de arquivos se não houver uma solução de backup organizacional existente.

Configurações do perfil

Políticas de grupo

Uma prática recomendada comum em implantações corporativas do Microsoft Windows é definir as configurações do ambiente do usuário por meio das configurações de Objeto de Política de Grupo (GPO) e Preferências de Política de Grupo (GPP). Configurações como atalhos, mapeamentos de unidades, chaves do registro e impressoras são definidas por meio do Console de Gerenciamento de Política de Grupo. Os benefícios de definir o ambiente do usuário por meio de GPOs incluem, mas não estão limitados a:

  • Gerenciamento centralizado de configurações

  • Perfil de usuário definido pela associação ao grupo de segurança do AD ou pelo posicionamento da OU

  • Proteção contra exclusão de configurações

  • Automatize a criação e a personalização do perfil no primeiro login

  • Facilidade de atualização futura

nota

Siga as melhores práticas da Microsoft para otimizar o desempenho da Política de Grupo.

As políticas de grupo de banners de login interativos não devem ser usadas, pois não são suportadas na Amazon. WorkSpaces Os banners são apresentados no Amazon WorkSpaces Client por meio de solicitações de AWS suporte. Além disso, dispositivos removíveis não devem ser bloqueados pela política de grupo, pois são necessários para a Amazon WorkSpaces.

Os GPOs podem ser usados para gerenciar o Windows WorkSpaces. Para obter mais informações, consulte Gerenciar seu Windows WorkSpaces.

WorkSpaces Volumes da Amazon

Cada WorkSpaces instância da Amazon contém dois volumes: um volume do sistema operacional e um volume do usuário.

  • Amazon Windows WorkSpaces — A unidade C:\ é usada para o sistema operacional (OS) e a unidade D:\ é o volume do usuário. O perfil do usuário está localizado no volume do usuário (DocumentosAppData, Imagens, Downloads etc.).

  • Amazon Linux WorkSpaces — Com um Amazon Linux WorkSpace, o volume do sistema (/dev/xvda1) é montado como a pasta raiz. O volume do usuário é para dados e aplicativos do usuário; /dev/xvdf1 é montado como /home.

Para volumes do sistema operacional, você pode selecionar um tamanho inicial para essa unidade de 80 GB ou 175 GB. Para volumes de usuários, você pode selecionar um tamanho inicial de 10 GB, 50 GB ou 100 GB. Ambos os volumes podem ser aumentados em até 2 TB conforme necessário; no entanto, para aumentar o volume do usuário além de 100 GB, o volume do sistema operacional deve ser 175 GB. As alterações de volume só podem ser realizadas uma vez a cada seis horas por volume. Para obter informações adicionais sobre como modificar o tamanho do WorkSpaces volume, consulte a WorkSpace seção Modificar a do Guia de Administração.

WorkSpaces melhores práticas de volumes

Ao planejar uma WorkSpaces implantação da Amazon, é recomendável considerar os requisitos mínimos para instalação do sistema operacional, atualizações no local e aplicativos principais adicionais que serão adicionados à imagem no volume do sistema operacional. Para o volume do usuário, é recomendável começar com uma alocação de disco menor e aumentar gradativamente o tamanho do volume do usuário conforme necessário. Minimizar o tamanho dos volumes de disco reduz o custo de execução do WorkSpace.

nota

Embora o tamanho do volume possa ser aumentado, ele não pode ser diminuído.

WorkSpaces Registro na Amazon

Em um WorkSpaces ambiente Amazon, há muitas fontes de log que podem ser capturadas para solucionar problemas e monitorar o WorkSpaces desempenho geral.

Amazon WorkSpaces Client 3.x Em cada WorkSpaces cliente da Amazon, os registros do cliente estão localizados nos seguintes diretórios:

  • Windows — %LOCALAPPDATA%\ Amazon Web Services\ Amazon\ logs WorkSpaces

  • macOS — ~/Library/"Application Support” /"Amazon Web Services” /"Amazon “/logs WorkSpaces

  • Linux (Ubuntu 18.04 ou posterior) — /opt/workspacesclient/workspacesclient

Há muitos casos em que detalhes de diagnóstico ou depuração podem ser necessários para uma WorkSpaces sessão do lado do cliente. Os registros avançados do cliente também podem ser habilitados adicionando um “-l3 “ao arquivo executável do espaço de trabalho. Por exemplo: . 

"C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"
workspaces.exe -l3

WorkSpaces Serviço Amazon

O WorkSpaces serviço Amazon é integrado com Amazon CloudWatch Metrics, CloudWatch Events CloudTrail e. Essa integração permite que os dados de desempenho e as chamadas de API sejam registrados no AWS serviço central.

Ao gerenciar um WorkSpaces ambiente Amazon, é importante monitorar constantemente determinadas CloudWatch métricas para determinar o status geral da saúde do ambiente. Métricas

Embora existam outras CloudWatch métricas disponíveis para a Amazon WorkSpaces (consulte Monitore suas CloudWatch métricas de WorkSpaces uso), as três métricas a seguir ajudarão a manter a disponibilidade da WorkSpace instância:

  • Insalubre — O número WorkSpaces que retornou um status insalubre.

  • SessionLaunchTime— A quantidade de tempo necessária para iniciar uma WorkSpaces sessão.

  • InSessionLatency— O tempo de ida e volta entre o WorkSpaces cliente e o. WorkSpace

Para obter mais informações sobre as opções de WorkSpaces registro, consulte Logging Amazon WorkSpaces API Calls by Using CloudTrail. Os CloudWatch eventos adicionais ajudarão a capturar o IP do lado do cliente da sessão do usuário, quando o usuário se conectou à WorkSpaces sessão e qual endpoint foi usado durante a conexão. Todos esses detalhes ajudam a isolar ou identificar problemas relatados pelo usuário durante as sessões de solução de problemas.

nota

Algumas CloudWatch métricas estão disponíveis somente com o AD AWS gerenciado.