Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Integration mit Microsoft Active Directory
Amazon AppStream 2.0 Image Builders und Fleets können in Microsoft Active Directory integriert werden. Auf diese Weise können Sie eine zentralisierte Methode für die Benutzerauthentifizierung und Autorisierung bereitstellen und Active Directory-Gruppenrichtlinien auf domänengebundene AppStream 2.0-Instances anwenden. Die Verwendung von AppStream Flotten, die zu einer Domäne gehören, bietet dieselben administrativen Vorteile wie eine lokale Umgebung. Dazu gehört die zentrale Verwaltung von Netzwerkdateifreigaben, Benutzeranwendungsberechtigungen, Roaming-Profilen, Druckerzugriffen und anderen richtlinienbasierten Einstellungen.
Bei der Integration einer AppStream 2.0-Umgebung mit Active Directory ist es wichtig zu beachten, dass die anfängliche Authentifizierung für den AppStream 2.0-Stack weiterhin von einem SAML2.0-IdP verwaltet wird. Nachdem der Benutzer erfolgreich beim IdP authentifiziert wurde und eine Sitzung startet, muss er sein Domänenkennwort oder eine Smartcard-Authentifizierung für die Active Directory-Domäne eingeben.
Beim Entwerfen der Active Directory Domain Services (ADDS) -Umgebung, die mit AppStream 2.0 verwendet werden soll, stehen zwei Dienstoptionen und viele Bereitstellungsszenarien zur Verfügung. Stellen Sie außerdem sicher, dass das AppStream 2.0-Netzwerk mit Ihrem Besitzer der Active Directory-Standorttopologie besprochen wurde.
Dienstoptionen
Active Directory kann auch mithilfe von AWSManaged Microsoft Active Directory (AD) bereitgestellt werden. AWS Managed Microsoft AD ist ein vollständig verwalteter Dienst, mit dem Sie Microsoft Active Directory ausführen können. Microsoft Active Directory kann auch in einer selbst gehosteten Umgebung verwendet werden, die auf EC2 oder lokal ausgeführt wird.
Bereitstellungsszenarien
Die folgenden aufgelisteten Bereitstellungsszenarien sind häufig verwendete und empfohlene Integrationsoptionen für AppStream 2.0 mit Microsoft Managed AD oder dem selbstverwalteten Active Directory eines Kunden. Alle unten aufgeführten Architekturdiagramme verwenden Kernkonstrukte von Amazon.
-
Amazon Virtual Private Cloud (VPC) — Erstellung einer Amazon VPC für AppStream 2.0-Services mit mindestens vier privaten Subnetzen, die auf vier AZs verteilt sind. Zwei der privaten Subnetze werden für AppStream Flotten und Image Builders verwendet. Die verbleibenden zwei Subnetze werden für die Domänencontroller auf EC2 (oder Microsoft Managed AD) verwendet.
-
DHCP-Optionssatz (Dynamic Host Configuration Protocol) — Stellt einen Standard für die Weitergabe von Konfigurationsinformationen an die AppStream 2.0-Flotte und die Image Builders bereit, die in der VPC bereitgestellt werden. Der DHCP-Optionssatz wird auf VPC-Ebene definiert. Es ermöglicht Kunden, einen bestimmten Domainnamen und DNS-Einstellungen zu definieren, die bei der Bereitstellung mit der AppStream 2.0-Instanz verwendet werden.
-
AWSVerzeichnisdienste — Amazon Microsoft Managed AD kann in zwei privaten Subnetzen bereitgestellt werden, die in Verbindung mit AppStream 2.0-Workloads verwendet werden.
-
AppStream 2.0-Flotten — Die AppStream 2.0-Flotten oder Image Builders werden in der AWS Managed VPC gehostet. Jede AppStream 2.0-Instance verfügt über zwei Elastic Network Interfaces (ENI). Die primäre Schnittstelle (
eth0) wird für Verwaltungszwecke und für die Vermittlung der Endbenutzerverbindung zur Instance über das Streaming-Gateway verwendet. Die sekundäre Schnittstelle (eth1) wird in die Kunden-VPC eingefügt und kann für den Zugriff auf andere Ressourcen in der maßgeschneiderten VPC oder vor Ort verwendet werden.
Szenario 1: Active Directory-Domänendienste (ADDS) werden vor Ort bereitgestellt
Der gesamte Authentifizierungsverkehr durchläuft die VPN- oder Direct Connect-Verbindung von der Kunden-VPC zum Kunden-Gateway. Der Vorteil dieses Szenarios besteht darin, dass eine möglicherweise bereits bereitgestellte AD-Umgebung verwendet wird, ohne dass zusätzliche Domänencontroller in der Kunden-VPC bereitgestellt werden müssen. Der Nachteil ist die alleinige Abhängigkeit von VPN oder Direct Connect, um Benutzer für die AppStream 2.0-Flotte zu authentifizieren und zu autorisieren. Wenn es ein Problem mit der Netzwerkkonnektivität gibt, wären die AppStream 2.0-Flotte oder Image Builders direkt betroffen. Die Bereitstellung von dualen VPN-Tunneln oder Direct Connect-Verbindungen mit unterschiedlichen Pfaden mindert dieses potenzielle Risiko.
Szenario 1 — Active Directory-Domänendienste (ADDS) werden lokal bereitgestellt
Szenario 2: Erweitern Sie Active Domain Services (ADDS) auf AWS Kunden-VPC
Das Active Directory wird auf Ihre Kunden-VPC erweitert. Ein Active Directory-Standort sollte für die neuen Domänencontroller in der Kunden-VPC erstellt werden. Der Authentifizierungsverkehr wird an die Domänencontroller in der AWS Kunden-VPC weitergeleitet, anstatt die VPN- oder Direct Connect-Verbindung zu durchqueren.
Szenario 2 — Erweitern Sie Active Domain Services auf die Virtual Private Cloud des AWS Kunden
Szenario 3: AWS Verwaltetes Microsoft Active Directory
AWSManaged Microsoft AD wird in der bereitgestellt AWS Cloud und als Identitäts- und Ressourcendomäne für die AppStream 2.0-Flotten und Image Builders verwendet.
Szenario 3 — AWS Verwaltetes Active Directory
Standorttopologie Directory Service
Eine Standorttopologie des Active Directory-Dienstes ist eine logische Darstellung Ihres physischen Netzwerks.
Eine Standorttopologie hilft Ihnen dabei, Clientabfragen und Active Directory-Replikationsverkehr effizient weiterzuleiten. Eine gut konzipierte und gepflegte Standorttopologie hilft Ihrem Unternehmen, die folgenden Vorteile zu erzielen:
-
Minimiert die Kosten für die Replikation von Active Directory-Daten bei der Synchronisation zwischen lokalen und. AWS Cloud
-
Optimieren Sie die Fähigkeit von Client-Computern, die nächstgelegenen Ressourcen wie Domänencontroller zu finden. Dies trägt dazu bei, den Netzwerkverkehr über langsame WAN-Verbindungen (Wide Area Network) zu reduzieren, Anmelde- und Abmeldeprozesse zu verbessern und den Ressourcenzugriff zu beschleunigen.
Stellen Sie bei der Einführung von AppStream 2.0-Diensten sicher, dass die für die Subnetze der AppStream 2.0-Instances verwendeten Adressbereiche dem richtigen Standort für Ihre Umgebung zugewiesen sind.
In Szenario 1 und Szenario 2 sind Standorte und Dienste wichtige Komponenten für ein optimales Benutzererlebnis in Bezug auf Anmeldezeiten und Zeit für den Zugriff auf Active Directory-Ressourcen.
Die Active Directory-Replikation zwischen Domänencontrollern am Standort und über Standortgrenzen hinweg wird von der Standorttopologie bestimmt.
Durch die Definition der richtigen Standorttopologie wird die Clientaffinität gewährleistet, was bedeutet, dass Clients (in diesem Fall AppStream 2.0-Streaming-Instances) ihren bevorzugten lokalen Domänencontroller verwenden.
Active Directory-Standorte und -Dienste — Kundenaffinität
Tipp
Es hat sich bewährt, hohe Kosten für Standortverknüpfungen zwischen lokalem AD DS und der AWS-Cloud zu definieren. Die obige Abbildung ist ein Beispiel dafür, welche Kosten Sie den Site-Links zuordnen sollten (Kosten 100), um eine standortunabhängige Kundenaffinität sicherzustellen.
Weitere Informationen zur Standorttopologie finden Sie unter Entwerfen
Active Directory-Organisationseinheiten
AWS empfiehlt, die konfigurierten Organisationseinheiten (OUs) in einem einzigen AppStream 2.0-Verzeichniskonfigurationsobjekt zu speichern. Es hat sich bewährt, dass jeder AppStream 2.0-Stack über eine eigene Organisationseinheit verfügt. Dies bietet Ihnen die Flexibilität, spezifische GPOs pro Stack zu haben. Stellen Sie sicher, dass die Organisationseinheiten für AppStream 2.0-Computerobjekte reserviert sind, um zu vermeiden, dass AppStream 2.0-spezifische Richtlinien mit lokalen Desktops kombiniert werden. Erwägen Sie die Verwendung von Unter-OUs für jede Bereitstellung von AWS-Region AppStream 2.0.
Säuberung von Active Directory-Computerobjekten
AppStream 2.0-Instanzen sind kurzlebig. Eine Flotte erstellt Active Directory-Computerobjekte und verwendet sie wieder, während Flotten nach oben und unten skalieren.
AWSempfiehlt, einen AD-Bereinigungsprozess zu erstellen, um veraltete Active Directory-Computerobjekte zu löschen, die nach dem Entfernen einer AppStream Flotte noch vorhanden sein können.
