Integración con Microsoft Active Directory - Prácticas recomendadas para la implementación de Amazon AppStream 2.0
Opciones de servicioEscenarios de implementaciónTopología del sitio de servicio Active DirectoryUnidades organizativas de Active DirectoryLimpieza de objetos de ordenador de Active Directory

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración con Microsoft Active Directory

Los generadores de imágenes y las flotas de Amazon AppStream 2.0 se pueden integrar con Microsoft Active Directory. Esto le permite proporcionar un método centralizado para la autenticación y autorización de los usuarios y aplicar políticas de grupo de Active Directory a las instancias de AppStream 2.0 unidas a un dominio. El uso de flotas de AppStream unidas a un dominio proporciona las mismas ventajas administrativas que un entorno en las instalaciones. Esto incluye la administración centralizada de los recursos compartidos de archivos de red, los derechos de las aplicaciones de usuario, los perfiles móviles, el acceso a las impresoras y otros ajustes basados en políticas.

Al integrar un entorno de AppStream 2.0 con Active Directory, es importante tener en cuenta que la autenticación inicial de la pila de AppStream 2.0 sigue siendo gestionada por un IdP de SAML2.0. Una vez que el usuario se haya autenticado correctamente en el IdP, al iniciar una sesión, debe introducir su contraseña de dominio o una autenticación con tarjeta inteligente para el dominio de Active Directory.

Para el diseño del entorno de Servicios de dominio de Active Directory (ADDS) que se utilizará con AppStream 2.0, hay dos opciones de servicio y muchos escenarios de implementación disponibles. Además, asegúrese de revisar la red de AppStream 2.0 con el propietario de la topología del sitio de Active Directory.

Opciones de servicio

Active Directory también puede implementarse a través de Microsoft Active Directory (AD) AWS administrado. AWS Microsoft AD administrado es un servicio totalmente gestionado que le permite ejecutar Microsoft Active Directory. Microsoft Active Directory también se puede utilizar en un entorno autohospedado, que se ejecute en EC2 o en las instalaciones.

Escenarios de implementación

Los siguientes escenarios de implementación que se enumeran son las opciones de integración más utilizadas y recomendadas para AppStream 2.0 con Microsoft AD administrado o Active Directory autogestionado por un cliente. Todos los diagramas de arquitectura que se muestran a continuación utilizan constructos de Amazon.

  • Nube privada virtual (VPC) de Amazon: creación de una Amazon VPC dedicada a los servicios de AppStream 2.0 con al menos cuatro subredes privadas distribuidas en cuatro zonas de disponibilidad. Dos de las subredes privadas se utilizan para las flotas de AppStream y los generadores de imágenes. Las dos subredes restantes se utilizan para los controladores de dominio de EC2 o Microsoft AD administrado.

  • Conjunto de opciones del Protocolo de configuración dinámica de host (DHCP): proporciona un estándar para pasar la información de configuración a la flota de AppStream 2.0 y a los generadores de imágenes que se aprovisionarán en la VPC. El conjunto de opciones de DHCP se define en el nivel de VPC. Permite a los clientes definir un nombre de dominio y una configuración de DNS específicos que se utilizarán con la instancia de AppStream 2.0 cuando se aprovisione.

  • Servicios de directorio AWS: Amazon Microsoft AD administrado se puede implementar en dos subredes privadas que se utilizarán junto a las cargas de trabajo de AppStream 2.0.

  • Flotas de AppStream 2.0: las flotas o los generadores de imágenes de AppStream 2.0 se alojan en la VPC gestionada de AWS. Cada instancia de AppStream 2.0 tiene dos interfaces de red elásticas (ENI). La interfaz principal (eth0) se usa con fines de administración y para hacer de intermediario entre la conexión del usuario final y la instancia a través de la puerta de enlace de transmisión. La interfaz secundaria (eth1) se inserta en la VPC del cliente y se puede usar para acceder a otros recursos en la VPC personalizada o en las instalaciones.

Escenario 1: los servicios de dominio de Active Directory (ADDS) se implementan en las instalaciones

Todo el tráfico de autenticación atraviesa la conexión VPN o Direct Connect desde la VPC del cliente hasta la puerta de enlace de cliente. La ventaja de este escenario es la de utilizar un entorno de AD posiblemente ya implementado sin tener que aprovisionar controladores de dominio adicionales en la VPC del cliente. La desventaja es que solo se depende de la VPN o Direct Connect para autenticar y autorizar a los usuarios de la flota de AppStream 2.0. Si hay algún problema de conectividad de red afectará directamente a la flota de AppStream 2.0 o lmage Builders. Proporcionar túneles VPN duales o conexiones Direct Connect con diferentes rutas mitiga este riesgo potencial.

Un diagrama de los servicios de dominio de Active Directory (ADDS) implementados en las instalaciones

Escenario 1: los servicios de dominio de Active Directory (ADDS) se implementan en las instalaciones

Escenario 2: Extienda los servicios de dominio activos (ADDS) a la VPC del cliente AWS

El Active Directory se extiende a la VPC de su cliente. Debe crearse un sitio de Active Directory para los nuevos controladores de dominio de la VPC del cliente. El tráfico de autenticación se encamina a los controladores de dominio de la VPC del cliente AWS en lugar de atravesar la conexión VPN o Direct Connect.

Un diagrama que muestra la extensión de los servicios de dominio activo a la nube privada virtual del cliente AWS

Escenario 2: Amplíe los servicios del dominio Active a la nube privada virtual del cliente AWS

Escenario 3: Microsoft Active Directory administrado AWS

Microsoft AD administrado AWS se implementa en el Nube de AWS y se usa como dominio de identidad y recursos para las flotas de AppStream 2.0 y los creadores de imágenes.

Un diagrama del Active Directory administrado AWS

Escenario 3: Active Directory administrado AWS

Topología del sitio de servicio Active Directory

La topología de un sitio de servicio Active Directory es una representación lógica de la red física.

La topología de un sitio le ayuda a encaminar de manera eficiente las consultas de los clientes y el tráfico de replica de Active Directory. Una topología de sitio bien diseñada y mantenida conforma los siguientes beneficios para su organización:

  • Minimiza el costo de replicar los datos de Active Directory a través de la sincronización entre sistemas en las instalaciones y Nube de AWS.

  • Optimiza la capacidad de los ordenadores cliente para localizar los recursos más cercanos, tales como los controladores de dominio. Esto ayuda a reducir el tráfico de red a través de enlaces de red de área extendida (WAN) lentos, a mejorar los procesos de inicio y cierre de sesión y a acelerar las operaciones de acceso a los recursos.

Al introducir los servicios de AppStream 2.0, asegúrese de que los rangos de direcciones utilizados para las subredes de las instancias de AppStream 2.0 estén asignados al sitio correcto para su entorno.

En los escenarios 1 y 2, los sitios y los servicios son componentes fundamentales para ofrecer la mejor experiencia de usuario en términos de horas de inicio de sesión y tiempo de acceso a los recursos de Active Directory.

La topología del sitio controla la replicación de Active Directory entre los controladores de dominio dentro del mismo sitio y a través de los límites del sitio.

La definición de la topología de sitio correcta garantiza la afinidad de los clientes, lo que significa que los clientes (en este caso, las instancias de streaming de AppStream 2.0) utilizan su controlador de dominio local preferido.

Diagrama de AD de sitios y servicios de Active Directory: afinidad con los clientes

Sitios y servicios de Active Directory: afinidad con los clientes

sugerencia

Como práctica recomendada, defina el coste elevado de los enlaces de sitios entre AD DS en las instalaciones y la nube de AWS. La figura anterior es un ejemplo de los costes que debe asignarle a los enlaces a sitios (coste de 100€) para garantizar una afinidad con los clientes independiente del sitio.

Para obtener más información sobre la topología del sitio, consulte Diseño de la topología del sitio.

Unidades organizativas de Active Directory

AWS recomienda almacenar las unidades organizativas (OU) configuradas en un único objeto de AppStream 2.0 Directory Config. Se recomienda que cada pila de AppStream 2.0 tenga su propia unidad organizativa. Esto le permite disponer de la flexibilidad necesaria para disponer de GPO específicos por pila. Asegúrese de que las unidades organizativas estén dedicadas a los objetos informáticos de AppStream 2.0 para evitar mezclar políticas específicas de AppStream 2.0 con escritorios en las instalaciones. Valore la posibilidad de utilizar subunidades organizativas para cada Región de AWS en la que implemente AppStream 2.0.

Limpieza de objetos de ordenador de Active Directory

Las instancias AppStream 2.0 son efímeras. Una flota crea y reutiliza objetos informáticos de Active Directory a medida que las flotas escalan y se reducen horizontalmente.

AWS recomienda crear un proceso de limpieza de AD para eliminar los objetos informáticos obsoletos de Active Directory que puedan existir después de eliminar una flota de AppStream.