Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Integrasi dengan Microsoft Active Directory
Amazon AppStream 2.0 Image Builders dan armada dapat diintegrasikan dengan Microsoft Active Directory. Ini memungkinkan Anda untuk menyediakan metode terpusat untuk otentikasi pengguna, otorisasi, dan untuk menerapkan kebijakan Grup Direktori Aktif ke instance 2.0 yang bergabung dengan AppStream domain. Menggunakan AppStream armada yang bergabung dengan domain memberikan manfaat administratif yang sama dengan lingkungan lokal. Ini termasuk manajemen terpusat dari berbagi file jaringan, hak pengguna-aplikasi, profil roaming, akses printer, dan pengaturan berbasis kebijakan lainnya.
Saat mengintegrasikan lingkungan AppStream 2.0 dengan Active Directory, penting untuk dicatat bahwa otentikasi awal ke tumpukan AppStream 2.0 masih dikelola oleh IDP SAML2.0. Setelah pengguna berhasil diautentikasi ke IDP, ketika pengguna meluncurkan sesi, mereka harus memasukkan kata sandi domain mereka atau otentikasi kartu pintar untuk domain Active Directory.
Saat merancang lingkungan Active Directory Domain Services (ADDS) yang akan digunakan dengan AppStream 2.0, ada dua opsi layanan dan banyak skenario penyebaran yang tersedia. Juga, pastikan bahwa jaringan AppStream 2.0 ditinjau dengan pemilik topologi situs Active Directory Anda.
Opsi layanan
Active Directory juga dapat digunakan menggunakan AWSManaged Microsoft Active Directory (AD). AWS Microsoft AD yang dikelola adalah layanan yang dikelola sepenuhnya yang memungkinkan Anda menjalankan Microsoft Active Directory. Microsoft Active Directory juga dapat digunakan di lingkungan yang dihosting sendiri, berjalan di EC2 atau lokal.
Skenario penyebaran
Skenario penerapan berikut yang tercantum adalah opsi integrasi yang umum digunakan dan direkomendasikan untuk AppStream 2.0 dengan Microsoft Managed AD atau Active Directory yang dikelola sendiri oleh pelanggan. Semua diagram arsitektur yang tercantum di bawah ini menggunakan konstruksi inti Amazon.
-
Amazon Virtual Private Cloud (VPC) - Pembuatan VPC Amazon yang didedikasikan untuk layanan AppStream 2.0 dengan setidaknya empat subnet pribadi yang tersebar di empat AZ. Dua subnet pribadi digunakan untuk AppStream armada dan Image Builder. Dua subnet yang tersisa digunakan untuk pengontrol domain pada EC2 atau Microsoft Managed AD).
-
Set Opsi Dynamic Host Configuration Protocol (DHCP) - Menyediakan standar untuk meneruskan info konfigurasi ke armada AppStream 2.0 dan Pembuat Gambar yang akan disediakan di VPC. Set Opsi DHCP didefinisikan pada tingkat VPC. Hal ini memungkinkan pelanggan untuk menentukan nama domain tertentu dan pengaturan DNS yang akan digunakan dengan AppStream 2.0 instance saat sedang disediakan.
-
AWSLayanan Direktori — Amazon Microsoft Managed AD dapat digunakan ke dalam dua subnet pribadi yang akan digunakan bersama dengan AppStream beban kerja 2.0.
-
AppStream Armada 2.0 - Armada AppStream 2.0 atau Pembangun Gambar di-host di AWS VPC Terkelola. Setiap instance AppStream 2.0 memiliki dua Elastic Network Interfaces (ENI). Antarmuka utama (
eth0) digunakan untuk tujuan manajemen dan menengahi koneksi pengguna akhir ke instance melalui gateway streaming. Antarmuka sekunder (eth1) disuntikkan ke VPC pelanggan dan dapat digunakan untuk mengakses sumber daya lain di VPC atau lokal yang dipesan lebih dahulu.
Skenario 1: Layanan Domain Direktori Aktif (ADDS) diterapkan di lokasi
Semua lalu lintas otentikasi melintasi koneksi VPN atau Direct Connect dari VPC pelanggan ke gateway pelanggan. Keuntungan dari skenario ini adalah manfaat menggunakan lingkungan AD yang mungkin sudah diterapkan tanpa harus menyediakan pengontrol domain tambahan di VPC pelanggan. Kerugiannya adalah ketergantungan tunggal pada VPN atau Direct Connect untuk mengautentikasi dan mengotorisasi pengguna untuk armada 2.0. AppStream Jika ada masalah konektivitas jaringan, armada AppStream 2.0 atau Image Builders akan terkena dampak langsung. Menyediakan terowongan VPN ganda atau koneksi Direct Connect dengan jalur yang berbeda mengurangi potensi risiko ini.
Skenario 1 — Layanan Domain Direktori Aktif (ADDS) digunakan di lokasi
Skenario 2: Perluas Layanan Domain Aktif (ADDS) ke AWS VPC pelanggan
Direktori Aktif diperluas ke VPC pelanggan Anda. Situs Direktori Aktif harus dibuat untuk pengontrol domain baru di VPC pelanggan. Lalu lintas otentikasi diarahkan ke pengontrol domain di AWS VPC pelanggan alih-alih melintasi koneksi VPN atau Direct Connect.
Skenario 2 — Memperluas Layanan Domain Aktif ke Cloud Pribadi Virtual AWS pelanggan
Skenario 3: Direktori Aktif Microsoft yang AWS Dikelola
AWSMicrosoft AD yang dikelola digunakan di AWS Cloud dan digunakan sebagai domain identitas dan sumber daya untuk armada AppStream 2.0 dan Pembuat Gambar.
Skenario 3 - Direktori Aktif AWS Terkelola
Topologi Situs Active Directory Service
Topologi situs layanan Active Directory adalah representasi logis dari jaringan fisik Anda.
Topologi situs membantu Anda secara efisien merutekan kueri klien dan lalu lintas replikasi Direktori Aktif. Topologi situs yang dirancang dan dipelihara dengan baik membantu organisasi Anda mencapai manfaat berikut:
-
Minimalkan biaya replikasi data Active Directory saat menyinkronkan antara lokal dan. AWS Cloud
-
Optimalkan kemampuan komputer klien untuk menemukan sumber daya terdekat, seperti pengontrol domain. Ini membantu mengurangi lalu lintas jaringan melalui tautan jaringan area luas (WAN) yang lambat, meningkatkan proses logon dan logoff, dan mempercepat operasi akses sumber daya.
Saat memperkenalkan layanan AppStream 2.0, pastikan bahwa rentang alamat yang digunakan untuk subnet instance AppStream 2.0 ditetapkan ke situs yang benar untuk lingkungan Anda.
Untuk Skenario 1 dan Skenario 2, situs dan layanan adalah komponen penting untuk pengalaman pengguna terbaik dalam hal waktu masuk, dan waktu untuk akses sumber daya Direktori Aktif.
Topologi situs mengontrol replikasi Direktori Aktif antara pengontrol domain dalam situs yang sama dan melintasi batas situs.
Mendefinisikan topologi situs yang benar memastikan afinitas klien, yang berarti bahwa klien (dalam hal ini, instance streaming AppStream 2.0) menggunakan pengontrol domain lokal pilihan mereka.
Situs dan layanan Active Directory — afinitas klien
Tip
Sebagai praktik terbaik, tentukan biaya tinggi untuk tautan situs antara AD DS lokal dan AWS Cloud. Angka sebelumnya adalah contoh biaya yang harus Anda tetapkan ke tautan situs (biaya 100) untuk memastikan afinitas klien yang tidak bergantung pada situs.
Untuk informasi lebih lanjut tentang topologi situs, lihat Merancang Topologi Situs
Unit Organisasi Direktori Aktif
AWS merekomendasikan untuk menyimpan Unit Organisasi (OU) yang dikonfigurasi dalam satu objek Config Direktori AppStream 2.0. Ini adalah praktik terbaik untuk setiap tumpukan AppStream 2.0 untuk memiliki OU sendiri. Ini memungkinkan Anda fleksibilitas untuk memiliki GPO spesifik per tumpukan. Pastikan bahwa OU didedikasikan untuk AppStream 2.0 objek komputer untuk menghindari pencampuran kebijakan AppStream spesifik 2.0 dengan desktop lokal. Pertimbangkan untuk menggunakan Sub-OUS untuk setiap yang Wilayah AWS Anda gunakan AppStream 2.0.
Pembersihan objek komputer Active Directory
AppStream 2.0 instance bersifat fana. Armada membuat dan menggunakan kembali objek komputer Active Directory saat armada skala dan skala masuk.
AWSmerekomendasikan untuk membuat proses pembersihan AD untuk menghapus objek komputer Active Directory basi yang dapat ada setelah AppStream armada dihapus.
