Intégration à Microsoft Active Directory - Bonnes pratiques pour le déploiement d'Amazon AppStream 2.0
Options de serviceScénarios de déploiementTopologie du site Active Directory ServiceUnités organisationnelles Active DirectoryNettoyage d'objets informatiques Active Directory

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration à Microsoft Active Directory

Les constructeurs d'images et les flottes Amazon AppStream 2.0 peuvent être intégrés à Microsoft Active Directory. Cela vous permet de fournir une méthode centralisée pour l'authentification et l'autorisation des utilisateurs et d'appliquer les politiques de groupe Active Directory aux instances AppStream 2.0 jointes à un domaine. L'utilisation de AppStream flottes associées à un domaine offre les mêmes avantages administratifs qu'un environnement sur site. Cela inclut la gestion centralisée des partages de fichiers réseau, des droits des applications utilisateur, des profils d'itinérance, de l'accès aux imprimantes et d'autres paramètres basés sur des politiques.

Lors de l'intégration d'un environnement AppStream 2.0 à Active Directory, il est important de noter que l'authentification initiale auprès de la pile AppStream 2.0 est toujours gérée par un IdP SAML2.0. Une fois que l'utilisateur est authentifié auprès de l'IdP, lorsqu'il lance une session, il doit saisir son mot de passe de domaine ou une authentification par carte à puce pour le domaine Active Directory.

Lors de la conception de l'environnement des services de domaine Active Directory (ADDS) qui sera utilisé avec la AppStream version 2.0, deux options de service et de nombreux scénarios de déploiement sont disponibles. Assurez-vous également que la mise en réseau AppStream 2.0 est examinée avec le propriétaire de la topologie de votre site Active Directory.

Options de service

Active Directory peut également être déployé à l'aide de AWSManaged Microsoft Active Directory (AD). AWS Managed Microsoft AD est un service entièrement géré qui vous permet d'exécuter Microsoft Active Directory. Microsoft Active Directory peut également être utilisé dans un environnement auto-hébergé, exécuté sur EC2 ou sur site.

Scénarios de déploiement

Les scénarios de déploiement répertoriés ci-dessous sont des options d'intégration couramment utilisées et recommandées pour la AppStream version 2.0 avec Microsoft Managed AD ou Active Directory autogéré par un client. Tous les diagrammes d'architecture répertoriés ci-dessous utilisent les structures de base d'Amazon.

  • Amazon Virtual Private Cloud (VPC) — Création d'un Amazon VPC dédié aux services AppStream 2.0 avec au moins quatre sous-réseaux privés répartis sur quatre AZ. Deux des sous-réseaux privés sont utilisés pour les AppStream flottes et les générateurs d'images. Les deux sous-réseaux restants sont utilisés pour les contrôleurs de domaine sur EC2 ou Microsoft Managed AD).

  • Ensemble d'options DHCP (Dynamic Host Configuration Protocol) : fournit une norme pour transmettre les informations de configuration au parc AppStream 2.0 et aux générateurs d'images qui seront fournis dans le VPC. Le jeu d'options DHCP est défini au niveau du VPC. Il permet aux clients de définir un nom de domaine et des paramètres DNS spécifiques qui seront utilisés avec le AppStream 2.0 instancié lors de son approvisionnement.

  • AWSServices d'annuaire — Amazon Microsoft Managed AD peut être déployé sur deux sous-réseaux privés qui seront utilisés conjointement avec des charges de travail AppStream 2.0.

  • AppStream Flottes 2.0 — Les flottes AppStream 2.0 ou Image Builders sont hébergées dans le AWS VPC géré. Chaque instance AppStream 2.0 possède deux interfaces réseau élastiques (ENI). L'interface principale (eth0) est utilisée à des fins de gestion et pour négocier la connexion de l'utilisateur final à l'instance via la passerelle de streaming. L'interface secondaire (eth1) est injectée dans le VPC client et peut être utilisée pour accéder à d'autres ressources dans le VPC sur mesure ou sur site.

Scénario 1 : services de domaine Active Directory (ADDS) déployés sur site

Tout le trafic d'authentification passe par la connexion VPN ou Direct Connect entre le VPC du client et la passerelle client. L'avantage de ce scénario est l'avantage d'utiliser un environnement AD peut-être déjà déployé sans avoir à fournir de contrôleurs de domaine supplémentaires dans le VPC du client. L'inconvénient est la dépendance exclusive au VPN ou à Direct Connect pour authentifier et autoriser les utilisateurs de la flotte AppStream 2.0. En cas de problème de connectivité réseau, le parc AppStream 2.0 ou Image Builders seront directement concernés. La fourniture de deux tunnels VPN ou de connexions Direct Connect avec des chemins différents atténue ce risque potentiel.

Schéma des services de domaine Active Directory (ADDS) déployés sur site

Scénario 1 — Services de domaine Active Directory (ADDS) déployés sur site

Scénario 2 : étendre les services de domaine actifs (ADDS) au AWS VPC du client

L'Active Directory est étendu au VPC de votre client. Un site Active Directory doit être créé pour les nouveaux contrôleurs de domaine dans le VPC du client. Le trafic d'authentification est acheminé vers les contrôleurs de domaine du VPC du AWS client au lieu de passer par la connexion VPN ou Direct Connect.

Schéma illustrant l'extension des services de domaine actifs au cloud privé virtuel AWS du client

Scénario 2 — Étendre les services de domaine actifs au cloud privé virtuel AWS du client

Scénario 3 : Microsoft Active Directory AWS géré

AWSManaged Microsoft AD est déployé dans AWS Cloud et est utilisé comme domaine d'identité et de ressources pour les flottes AppStream 2.0 et Image Builders.

Schéma du AWS Managed Active Directory

Scénario 3 — Active Directory AWS géré

Topologie du site Active Directory Service

La topologie d'un site de service Active Directory est une représentation logique de votre réseau physique.

Une topologie de site vous aide à acheminer efficacement les requêtes des clients et le trafic de réplication Active Directory. Une topologie de site bien conçue et bien entretenue permet à votre organisation de bénéficier des avantages suivants :

  • Minimisez le coût de réplication des données Active Directory lors de la synchronisation entre les données sur site et. AWS Cloud

  • Optimisez la capacité des ordinateurs clients à localiser les ressources les plus proches, telles que les contrôleurs de domaine. Cela permet de réduire le trafic réseau sur les liaisons réseau étendues (WAN) lentes, d'améliorer les processus d'ouverture et de fermeture de session et d'accélérer les opérations d'accès aux ressources.

Lorsque vous AppStream introduisez les services 2.0, assurez-vous que les plages d'adresses utilisées pour les sous-réseaux des instances AppStream 2.0 sont attribuées au site correspondant à votre environnement.

Pour les scénarios 1 et 2, les sites et les services sont des composants essentiels à la meilleure expérience utilisateur en termes de temps de connexion et de temps d'accès aux ressources Active Directory.

La topologie de site contrôle la réplication Active Directory entre les contrôleurs de domaine au sein du même site et au-delà des limites du site.

La définition de la topologie de site correcte garantit l'affinité avec les clients, ce qui signifie que les clients (dans ce cas, les instances de streaming AppStream 2.0) utilisent leur contrôleur de domaine local préféré.

Schéma AD des sites et services Active Directory — affinité avec les clients

Sites et services Active Directory : affinité avec les clients

Astuce

La meilleure pratique consiste à définir le coût élevé des liens entre les sites AD DS sur site et le cloud AWS. La figure précédente est un exemple des coûts que vous devez attribuer aux liens du site (coût 100) pour garantir une affinité client indépendante du site.

Pour plus d'informations sur la topologie du site, reportez-vous à la section Conception de la topologie du site.

Unités organisationnelles Active Directory

AWS recommande de stocker les unités organisationnelles (UO) configurées dans un seul objet Directory Config AppStream 2.0. Il est recommandé que chaque pile AppStream 2.0 possède sa propre unité d'organisation. Cela vous donne la flexibilité d'avoir des GPO spécifiques par pile. Assurez-vous que les unités d'organisation sont dédiées aux objets informatiques AppStream 2.0 afin d'éviter de mélanger des politiques AppStream spécifiques à la version 2.0 avec des bureaux sur site. Envisagez d'utiliser des sous-unités d'exploitation pour chaque unité dans Région AWS laquelle vous déployez la AppStream version 2.0.

Nettoyage d'objets informatiques Active Directory

AppStream Les instances 2.0 sont éphémères. Un parc crée et réutilise des objets informatiques Active Directory au fur et à mesure que les flottes s'agrandissent et s'intensifient.

AWSrecommande de créer un processus de nettoyage AD pour supprimer les objets informatiques Active Directory périmés qui peuvent exister après le retrait d'un AppStream parc.