Die Rolle des AWS AD Connectors mit Amazon WorkSpaces - Bewährte Methoden für die Bereitstellung von WorkSpaces
Die Bedeutung Ihrer Netzwerkverbindung zu AWS mit einem On-Premises-Active-DirectoryVerwenden der Multi-Faktor-Authentifizierung mit WorkSpacesTrennen von Konto und RessourcendomäneGroße Active-Directory-BereitstellungenVerwenden von Microsoft Azure Active Directory oder Active Directory Domain Services mit WorkSpacesGröße von AD Connector mit WorkSpacesGröße von AWS Managed Microsoft AD

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die Rolle des AWS AD Connectors mit Amazon WorkSpaces

Der AWS AD Connector ist ein - AWS Directory-Service, der als Proxy-Service für ein Active Directory fungiert. Es speichert oder speichert keine Benutzeranmeldeinformationen, sondern leitet Authentifizierungs- oder Suchanfragen an Ihr Active Directory weiter – On-Premises oder auf AWS. Sofern Sie nicht verwenden AWS Managed Microsoft AD, ist dies auch die einzige Möglichkeit, Ihr Active Directory (On-Premises oder erweitert auf AWS) für die Verwendung mit Amazon WorkSpaces () zu registrierenWorkSpaces.

Ein AD Connector kann auf Ihr On-Premises-Active-Directory, auf ein Active Directory verweisen, das auf AWS (AD-Domain-Controller auf Amazon EC2) erweitert wurde, oder auf ein AWS Managed Microsoft AD.

Der AD Connector spielt eine wichtige Rolle, wobei die meisten Bereitstellungsszenarien in den folgenden Abschnitten behandelt werden. Die Verwendung des AD Connectors mit WorkSpaces bietet eine Reihe von Vorteilen:

  • Wenn es auf Ihr Unternehmens-Active-Directory verweist, können sich Ihre Benutzer mit ihren vorhandenen Unternehmensanmeldeinformationen bei WorkSpaces und anderen -Services wie Amazon WorkDocs anmelden.

  • Sie können bestehende Sicherheitsrichtlinien (Passwortablauf, Kontosperren usw.) konsistent anwenden, unabhängig davon, ob Ihre Benutzer auf Ressourcen in Ihrer On-Premises-Infrastruktur oder in der zugreifen AWS Cloud, z. B. WorkSpaces.

  • Der AD Connector ermöglicht eine einfache Integration mit Ihrer vorhandenen RADIUS-basierten MFA-Infrastruktur, um eine zusätzliche Sicherheitsebene zu bieten.

  • Es ermöglicht die Trennung Ihrer Benutzer. Sie ermöglicht beispielsweise die Konfiguration einer Reihe von WorkSpaces Optionen pro Geschäftseinheit oder Persona, da mehrere AD Connectors zur Benutzerauthentifizierung auf dieselben Domain Controller (DNS-Server) von Active Directory verweisen können:

    • Zieldomäne oder Organisationseinheit für die gezielte Anwendung von Active-Directory-Gruppenrichtlinienobjekten (GPOs)

    • Verschiedene Sicherheitsgruppen zur Steuerung des Datenverkehrsflusses zu/von WorkSpaces

    • Verschiedene Zugriffskontrolloptionen (zulässige Client-Geräte) und IP-Zugriffskontrollgruppen (Zugriff auf IP-Bereiche beschränken)

    • Selektive Aktivierung von lokalen Administratorberechtigungen

    • Verschiedene Self-Service-Berechtigungen

    • Selektive Durchsetzung der Multi-Factor Authentication (MFA)

    • Platzierung Ihrer WorkSpaces Elastic Network Interfaces (ENI) in verschiedenen VPCs oder Subnetzen zur Isolierung

Mehrere AD Connectors ermöglichen es auch, eine größere Anzahl von Benutzern zu unterstützen, wenn Sie die Leistungsgrenze eines einzelnen kleinen oder großen AD Connectors erreichen. Weitere Informationen finden Sie im Größe von AWS Managed Microsoft AD Abschnitt .

Die Verwendung von AD Connectors mit WorkSpaces ist kostenlos, sofern Sie mindestens einen aktiven WorkSpaces Benutzer in einem kleinen AD Connector und mindestens 100 aktive WorkSpaces Benutzer in einem großen AD Connector haben. Weitere Informationen finden Sie auf der Seite AWS Directory Services – Preise.

WorkSpaces stützt sich auf die Konnektivität zu Ihrem Active Directory. Daher ist die Verfügbarkeit der Netzwerkverbindung zu Ihrem Active Directory von entscheidender Bedeutung. Wenn Ihre Netzwerkverbindung in Szenario 1 beispielsweise ausgefallen ist, können sich Ihre Benutzer nicht authentifizieren und können daher ihre nicht verwenden WorkSpaces.

Wenn ein On-Premises-Active-Directory als Teil des Szenarios verwendet werden soll, müssen Sie Ausfallsicherheit, Latenz und Datenverkehrskosten Ihrer Netzwerkverbindung zu berücksichtigen AWS. Bei einer WorkSpaces Bereitstellung in mehreren Regionen kann dies mehrere Netzwerkverbindungen in verschiedenen AWS Regionen umfassen oder mehrere AWS Transit Gatewayen mit Peering zwischen ihnen, um Ihren AD-Datenverkehr an die VPC mit Konnektivität zu Ihrem On-Premises-AD weiterzuleiten. Diese Überlegungen zu Netzwerkverbindungen gelten für die meisten in den folgenden Abschnitten beschriebenen Szenarien, sind aber besonders wichtig für Szenarien, in denen Ihr AD-Datenverkehr von AD Connectors und die Netzwerkverbindung durchlaufen WorkSpaces muss, um Ihr On-Premises-Active-Directory zu erreichen. Szenario 1 hebt einige der Einschränkungen hervor.

Verwenden der Multi-Faktor-Authentifizierung mit WorkSpaces

Wenn Sie die Multi-Factor Authentication (MFA) mit verwenden möchten WorkSpaces, müssen Sie einen AWS AD Connector oder einen verwenden AWS Managed Microsoft AD, da nur diese Services die Registrierung des Verzeichnisses für die Verwendung mit WorkSpaces und Konfiguration von RADIUS zulassen. Für die Platzierung Ihrer RADIUS-Server gelten die im Die Bedeutung Ihrer Netzwerkverbindung zu AWS mit einem On-Premises-Active-Directory Abschnitt beschriebenen Überlegungen zur Netzwerkverbindung.

Trennen von Konto und Ressourcendomäne

Aus Sicherheitsgründen oder aus Gründen der besseren Verwaltbarkeit kann es sinnvoll sein, die Kontodomäne von der Ressourcendomäne zu trennen. Platzieren Sie beispielsweise die WorkSpaces Computerobjekte in einer separaten Ressourcendomäne, während die Benutzer Teil der Kontodomäne sind. Eine Implementierung wie diese kann verwendet werden, um einer Partnerorganisation zu ermöglichen, mithilfe WorkSpaces von AD-Gruppenrichtlinien in der Ressourcen-Domain zu verwalten, ohne die Kontrolle zu entziehen oder Zugriff auf die Konto-Domain zu gewähren. Dies kann durch die Verwendung von zwei Active Directories mit einer konfigurierten Active Directory Trust erreicht werden. In den folgenden Abschnitten wird dies ausführlicher behandelt:

Große Active-Directory-Bereitstellungen

Sie müssen sicherstellen, dass Active-Directory-Standorte und -Services entsprechend konfiguriert sind. Dies ist besonders wichtig, wenn Ihr Active Directory aus einer großen Anzahl von Domain-Controllern an verschiedenen geografischen Standorten besteht. Ihr Windows WorkSpaces verwendet den standardmäßigen Microsoft-Mechanismus, um ihren Domain-Controller für die Active-Directory-Website zu ermitteln, der sie zugewiesen sind. Dieser DC Locator-Prozess basiert auf DNS und kann erheblich verlängert werden, falls in der Anfangsphase des DC Locator-Prozesses eine langwierige Liste von Domain-Controllern mit unspezifischer Priorität und Gewichtung zurückgegeben wird. Wenn Ihr an einen suboptimalen Domain-Controller „angeheftet“ WorkSpaces wird, kann die gesamte nachfolgende Kommunikation mit diesem Domain-Controller unter Umständen an einer erhöhten Netzwerklatenz und einer geringeren Bandbreite leidet, wenn Netzwerkverbindungen über große Bereiche übertragen werden. Dies verlangsamt jede Kommunikation mit dem Domain-Controller, einschließlich der Verarbeitung einer potenziell großen Anzahl von Gruppenrichtlinienobjekten (GPOs) und Dateiübertragungen vom Domain-Controller. Abhängig von der Netzwerktopologie können sich auch Ihre Netzwerkkosten erhöhen, da die zwischen WorkSpaces und Domain-Controllern ausgetauschten Daten möglicherweise unnötigerweise einen kostengünstigeren Netzwerkpfad durchlaufen. In den Überlegungen zum Design Abschnitten VPC-Design und finden Sie Anleitungen zu DHCP und DNS mit Ihrem VPC-Design sowie Active Directory-Standorte und -Services.

Verwenden von Microsoft Azure Active Directory oder Active Directory Domain Services mit WorkSpaces

Wenn Sie Microsoft Azure Active Directory mit verwenden möchten WorkSpaces, können Sie Azure AD Connect verwenden, um Ihre Identität mit Ihrem lokalen Active Directory oder mit Ihrem Active Directory in AWS (Domain Controller auf Amazon EC2 oder ) zu synchronisieren AWS Managed Microsoft AD. Auf diese Weise können Sie jedoch nicht WorkSpaces mit Ihrem Azure Active Directory verbunden werden. Weitere Informationen finden Sie in der Microsoft Hybrid Identity-Dokumentation in der Microsoft Azure-Dokumentation.

Wenn Sie Ihr WorkSpaces mit Ihrem Azure Active Directory verbinden möchten, müssen Sie Microsoft Azure Active Directory Domain Services (Azure AD DS) bereitstellen, Konnektivität zwischen AWS und Azure herstellen und einen AWS AD Connector verwenden, der auf Ihre Azure AD DS Domain Controller verweist. Weitere Informationen zur Einrichtung finden Sie im Blogbeitrag Hinzufügen Ihrer WorkSpaces zu Azure AD mithilfe von Azure Active Directory Domain Services.

Wenn Sie AWS Directory Services mit verwenden WorkSpaces, müssen Sie die Größe Ihrer WorkSpaces Bereitstellung und das erwartete Wachstum berücksichtigen, um die AWS Directory Service angemessen zu dimensionieren. Dieser Abschnitt enthält Anleitungen zur Dimensionierung der AWS Directory Service für die Verwendung mit WorkSpaces. Wir empfehlen Ihnen auch, die Abschnitte Bewährte Methoden für AD Connector und Bewährte Methoden für AWS Managed Microsoft AD im AWS Directory Service -Administratorhandbuch zu lesen.

Größe von AD Connector mit WorkSpaces

Der Active Directory Connector (AD Connector) ist in zwei Größen verfügbar: Small und Large. Obwohl es keine erzwungenen Benutzer- oder Verbindungslimits gibt, empfehlen wir, einen kleinen AD Connector für bis zu 500 WorkSpaces berechtigte Benutzer und einen großen AD Connector für bis zu 5000 WorkSpaces berechtigte Benutzer zu verwenden. Sie können Anwendungslasten auf mehrere AD Connector verteilen, um sie an Ihre Leistungsanforderungen anzupassen. Wenn Sie beispielsweise 1 500 WorkSpaces Benutzer unterstützen müssen, können Sie Ihre WorkSpaces gleichmäßig auf drei kleine AD Connector verteilen, die jeweils 500 Benutzer unterstützen. Wenn sich alle Ihre Benutzer in derselben Domain befinden, kann AD Connector alle auf denselben Satz von DNS-Servern verweisen, die Ihre Active-Directory-Domain auflösen.

Beachten Sie, dass Sie, wenn Sie mit einem kleinen AD Connector begonnen haben und Ihre WorkSpaces Bereitstellung im Laufe der Zeit wächst, ein Supportticket ausstellen können, damit sich die Größe Ihres AD Connectors von klein zu groß ändert, um die größere Anzahl WorkSpaces berechtigter Benutzer zu bewältigen.

Größe von AWS Managed Microsoft AD

AWS Managed Microsoft AD Mit können Sie Microsoft Active Directory als verwalteten Service ausführen. Sie können beim Starten des Services zwischen Standard Edition und Enterprise Edition wählen. Die Standard Edition wird für kleine und mittelgroße Unternehmen mit bis zu 5 000 Benutzern empfohlen und unterstützt bis zu 30 000 Verzeichnisobjekte wie Benutzer, Gruppen und Computer. Die Enterprise Edition wurde für die Unterstützung von bis zu 500.000 Verzeichnisobjekten entwickelt und bietet auch ein zusätzliches Feature, z. B. die Multi-Region-Replikation .

Wenn Sie mehr als 500.000 Verzeichnisobjekte unterstützen müssen, sollten Sie die Bereitstellung von Domain-Controllern für Microsoft Active Directory auf Amazon EC2 in Betracht ziehen. Die Größe dieser Domain-Controller finden Sie im Dokument Kapazitätsplanung für Active Directory Domain Services von Microsoft.