Cenário 6: AWS Microsoft AD, VPC de serviços compartilhados e uma confiança unidirecional no local

Esse cenário, conforme mostrado na figura a seguir, usa um Active Directory local existente para usuários e introduz um Active Directory gerenciado separado na AWS nuvem para hospedar os objetos de computador associados ao. WorkSpaces Esse cenário permite que os objetos do computador e as políticas de grupo do Active Directory sejam gerenciados independentemente do Active Directory corporativo.

Esse cenário é útil quando um terceiro deseja gerenciar o Windows WorkSpaces em nome de um cliente, pois permite que o terceiro defina e controle as WorkSpaces políticas associadas a elas, sem a necessidade de conceder acesso ao AD do cliente. Nesse cenário, uma unidade organizacional (OU) específica do Active Directory é criada para organizar os objetos do WorkSpaces computador no AD do Shared Services.

nota

O Amazon Linux WorkSpaces exige que exista uma relação de confiança bidirecional para que eles sejam criados.

Para implantar o Windows WorkSpaces com os objetos de computador criados na VPC do Shared Services que hospeda o Active Directory Gerenciado usando usuários do domínio de identidade do cliente, implante um Conector do Active Directory (ADC) referenciando o AD corporativo. Use uma conta de serviço do ADC criada no AD corporativo (domínio de identidade) que tenha permissões delegadas para criar objetos de computador na Unidade Organizacional (OU) que foi configurada para o Windows WorkSpaces no AD gerenciado do Shared Services e que tenha permissões de leitura no Active Directory corporativo (domínio de identidade).

Para garantir que a função Localizador de Domínio seja capaz de autenticar WorkSpaces usuários no site do AD desejado para o domínio de identidade, nomeie os dois sites AD do domínio para as WorkSpaces sub-redes da Amazon de forma idêntica, conforme a documentação da Microsoft. É uma prática recomendada ter controladores de domínio AD do domínio de identidade e do domínio de Serviços Compartilhados na mesma AWS região da Amazon WorkSpaces.

Para obter instruções detalhadas sobre como configurar esse cenário, consulte o guia de implementação para configurar uma confiança unidirecional para a Amazon WorkSpaces com o AWS Directory Services

Nesse cenário, estabelecemos uma confiança transitiva unidirecional entre a AWS Managed Microsoft AD VPC do Shared Services e o AD local. A Figura 11 mostra a direção da confiança e do acesso e como o AWS AD Connector usa a conta de serviço do AD Connector para criar objetos de computador no domínio do recurso.

Uma relação de confiança florestal é usada de acordo com a recomendação da Microsoft para garantir que a autenticação Kerberos seja usada sempre que possível. Você WorkSpaces recebe Objetos de Política de Grupo (GPOs) do seu domínio de recursos no AWS Managed Microsoft AD. Além disso, você WorkSpaces realiza a autenticação Kerberos com seu domínio de identidade. Para que isso funcione de forma confiável, é uma prática recomendada estender seu domínio de identidade para, AWS conforme já explicado acima. Sugerimos que você analise o guia de implementação do Deploy Amazon WorkSpaces using a One-Way Trust Resource Domain com guia de AWS Directory Service implementação para obter mais detalhes.

Tanto o AD Connector quanto o seu WorkSpaces devem ser capazes de se comunicar com os controladores de domínio do seu domínio de identidade e do seu domínio de recursos. Para obter mais informações, consulte os requisitos de endereço IP e porta WorkSpaces no Guia de WorkSpaces Administração da Amazon.

Se você usa vários conectores AD, é uma prática recomendada que cada um dos conectores AD use sua própria conta de serviço do AD Connector.

Um exemplo de arquitetura mostrando um Windows WorkSpaces com os objetos de computador criados na VPC do Shared Services que hospeda o Managed Active Directory usando usuários do domínio de identidade do cliente.

Figura 11: AWS Microsoft, VPC de serviços compartilhados e uma confiança unidirecional no AD local

Essa arquitetura usa os seguintes componentes ou construções:

AWS

Amazon VPC — Criação de uma Amazon VPC com pelo menos duas sub-redes privadas em duas AZs — duas para AD Connector e. WorkSpaces
Conjunto de opções DHCP — Criação de um conjunto de opções DHCP da Amazon VPC. Isso permite que um cliente defina um nome de domínio e DNS especificados (Microsoft AD). Para obter mais informações, consulte Conjuntos de opções de DHCP.
Opcional: Amazon virtual private gateway — Habilite a comunicação com uma rede de propriedade do cliente por meio de um túnel VPN IPsec (VPN) ou conexão. AWS Direct Connect Use para acessar sistemas de back-end locais.
AWS Directory Service — Microsoft AD implantado em um par dedicado de sub-redes VPC (AD DS Managed Service), AD Connector.
Transit Gateway/VPC Peering — Habilite a conectividade entre o Workspaces VPC e o Shared Services VPC.
Amazon EC2 — Servidores RADIUS “opcionais” do cliente para MFA.
Amazon WorkSpaces — WorkSpaces são implantados nas mesmas sub-redes privadas do AD Connector. Para obter mais informações, consulte a seção Active Directory: Sites e Serviços deste documento.

Cliente

Conectividade de rede — VPN corporativa ou AWS Direct Connect endpoints.
Dispositivos de usuário final — dispositivos corporativos ou BYOL para usuários finais (como Windows, Macs, iPads, tablets Android, zero clients e Chromebooks) usados para acessar o serviço da Amazon. WorkSpaces Consulte esta lista de aplicativos cliente para dispositivos e navegadores da Web compatíveis.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Cenário 5: AWS Microsoft AD usando uma Virtual Private Cloud (VPC) de serviços compartilhados

Usando o Active Directory AWS gerenciado em várias regiões com a Amazon WorkSpaces