Integrazione con Microsoft Active Directory

I generatori di immagini e le flotte di Amazon AppStream 2.0 possono essere integrati con Microsoft Active Directory. Ciò consente di fornire un metodo centralizzato per l'autenticazione e l'autorizzazione degli utenti e di applicare le politiche del gruppo Active Directory alle istanze 2.0 aggiunte AppStream al dominio. L'utilizzo di AppStream flotte unite a un dominio offre gli stessi vantaggi amministrativi di un ambiente locale. Ciò include la gestione centralizzata delle condivisioni di file di rete, dei diritti utente alle app, dei profili di roaming, dell'accesso alle stampanti e di altre impostazioni basate su policy.

Quando si integra un ambiente AppStream 2.0 con Active Directory, è importante notare che l'autenticazione iniziale allo stack AppStream 2.0 è ancora gestita da un IdP SAML2.0. Dopo che l'utente è stato autenticato con successo sull'IdP, quando avvia una sessione, deve inserire la password del dominio o un'autenticazione con smart card per il dominio Active Directory.

Durante la progettazione dell'ambiente Active Directory Domain Services (ADDS) che verrà utilizzato con la AppStream versione 2.0, sono disponibili due opzioni di servizio e molti scenari di distribuzione. Inoltre, assicuratevi che la rete AppStream 2.0 venga esaminata con il proprietario della topologia del sito Active Directory.

Opzioni di servizio

Active Directory può anche essere distribuito utilizzando AWSManaged Microsoft Active Directory (AD). AWS Managed Microsoft AD è un servizio completamente gestito che consente di eseguire Microsoft Active Directory. Microsoft Active Directory può essere utilizzato anche in un ambiente self-hosted, in esecuzione su EC2 o in locale.

Scenari di distribuzione

I seguenti scenari di distribuzione elencati sono opzioni di integrazione comunemente utilizzate e consigliate per AppStream 2.0 con Microsoft Managed AD o Active Directory autogestito del cliente. Tutti i diagrammi di architettura elencati di seguito utilizzano costrutti Amazon di base.

• Amazon Virtual Private Cloud (VPC): creazione di un Amazon VPC dedicato ai servizi AppStream 2.0 con almeno quattro sottoreti private distribuite su quattro AZ. Due delle sottoreti private vengono utilizzate per flotte e Image Builder. AppStream Le due sottoreti rimanenti vengono utilizzate per i controller di dominio su EC2 o Microsoft Managed AD).

• Set di opzioni DHCP (Dynamic Host Configuration Protocol): fornisce uno standard per il trasferimento delle informazioni di configurazione alla flotta AppStream 2.0 e agli Image Builder che verranno forniti nel VPC. Il set di opzioni DHCP è definito a livello di VPC. Consente ai clienti di definire un nome di dominio e impostazioni DNS specifici che verranno utilizzati con l'istanza AppStream 2.0 al momento del provisioning.

• AWSDirectory Services: Amazon Microsoft Managed AD può essere distribuito in due sottoreti private che verranno utilizzate insieme ai carichi di lavoro 2.0. AppStream

• AppStream Flotte 2.0: le flotte AppStream 2.0 o Image Builder sono ospitate nel VPC gestitoAWS. Ogni istanza AppStream 2.0 ha due Elastic Network Interface (ENI). L'interfaccia principale (eth0) viene utilizzata per scopi di gestione e intermediazione della connessione dell'utente finale all'istanza tramite il gateway di streaming. L'interfaccia secondaria (eth1) viene inserita nel Customer-VPC e può essere utilizzata per accedere ad altre risorse nel VPC personalizzato o in locale.

Scenario 1: Active Directory Domain Services (ADDS) distribuito in locale

Tutto il traffico di autenticazione attraversa la connessione VPN o Direct Connect dal VPC del cliente al gateway del cliente. Il vantaggio di questo scenario è il vantaggio di utilizzare un ambiente AD probabilmente già distribuito senza dover fornire controller di dominio aggiuntivi nel VPC del cliente. Lo svantaggio è l'unica dipendenza dalla VPN o da Direct Connect per autenticare e autorizzare gli utenti della flotta 2.0. AppStream In caso di problemi di connettività di rete, la flotta AppStream 2.0 o gli Image Builders ne risentirebbero direttamente. Fornire due tunnel VPN o connessioni Direct Connect con percorsi diversi mitiga questo rischio potenziale.

Scenario 1: Active Directory Domain Services (ADDS) distribuito in locale

Scenario 2: estensione di Active Domain Services (ADDS) nel AWS VPC del cliente

Active Directory è esteso al VPC del cliente. È necessario creare un sito Active Directory per i nuovi controller di dominio nel VPC del cliente. Il traffico di autenticazione viene indirizzato ai controller di dominio nel AWS VPC del cliente anziché attraversare la connessione VPN o Direct Connect.

Scenario 2 — Estendere Active Domain Services nel AWS cloud privato virtuale del cliente

Scenario 3: Microsoft Active Directory AWS gestita

AWSMicrosoft AD gestito viene distribuito e utilizzato come dominio di identità Cloud AWS e risorse per le flotte AppStream 2.0 e gli Image Builder.

Scenario 3 — Active AWS Directory gestita

Topologia del sito di Active Directory Service

La topologia del sito di servizio Active Directory è una rappresentazione logica della rete fisica.

La topologia del sito consente di indirizzare in modo efficiente le query dei client e il traffico di replica di Active Directory. Una topologia del sito ben progettata e gestita aiuta l'organizzazione a ottenere i seguenti vantaggi:

• Riduci al minimo il costo della replica dei dati di Active Directory durante la sincronizzazione tra sistemi locali e. Cloud AWS

• Ottimizza la capacità dei computer client di individuare le risorse più vicine, come i controller di dominio. Questo aiuta a ridurre il traffico di rete su collegamenti WAN (Wide Area Network) lenti, a migliorare i processi di accesso e disconnessione e ad accelerare le operazioni di accesso alle risorse.

Quando introduci i servizi AppStream 2.0, assicurati che gli intervalli di indirizzi utilizzati per le sottoreti delle istanze AppStream 2.0 siano assegnati al sito corretto per il tuo ambiente.

Per lo Scenario 1 e lo Scenario 2, i siti e i servizi sono componenti fondamentali per la migliore esperienza utente in termini di tempi di accesso e tempo di accesso alle risorse Active Directory.

La topologia del sito controlla la replica di Active Directory tra i controller di dominio all'interno dello stesso sito e tra i confini dei siti.

La definizione della topologia corretta del sito garantisce l'affinità con i client, il che significa che i client (in questo caso, le istanze di streaming AppStream 2.0) utilizzano il controller di dominio locale preferito.

Siti e servizi Active Directory: affinità con i clienti

Suggerimento

Come best practice, definisci costi elevati per i collegamenti di sito tra AD DS locali e il cloud AWS. La figura precedente è un esempio dei costi da assegnare ai collegamenti ai siti (costo 100) per garantire l'affinità dei client indipendentemente dal sito.

Per ulteriori informazioni sulla topologia del sito, fare riferimento a Progettazione della topologia del sito.

Unità organizzative di Active Directory

AWS consiglia di archiviare le unità organizzative (OU) configurate in un singolo AppStream oggetto Directory Config 2.0. È consigliabile che ogni stack AppStream 2.0 abbia una propria unità organizzativa. Ciò consente la flessibilità necessaria per disporre di GPO specifici per stack. Assicuratevi che le unità organizzative siano dedicate agli oggetti informatici AppStream 2.0 per evitare di combinare policy AppStream specifiche della versione 2.0 con desktop locali. Prendi in considerazione l'utilizzo di unità organizzative secondarie per ciascuna Regione AWS delle quali distribuisci la versione 2.0. AppStream

Pulizia degli oggetti del computer con Active Directory

AppStream Le istanze 2.0 sono effimere. Una flotta crea e riutilizza oggetti informatici di Active Directory man mano che le flotte si ridimensionano orizzontalmente e si espandono verso l'alto.

AWSconsiglia di creare un processo di pulizia AD per eliminare gli oggetti informatici obsoleti di Active Directory che possono esistere dopo la rimozione di un AppStream parco di oggetti.