As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Integração com o Microsoft Active Directory
As frotas e os construtores de imagens do Amazon AppStream 2.0 podem ser integrados ao Microsoft Active Directory. Dessa forma, você fornece um método centralizado para autenticação e autorização de usuários, além de aplicar políticas de grupo do Active Directory às instâncias do AppStream 2.0 associadas ao domínio. Use as frotas do AppStream unidas a um domínio para ter os mesmos benefícios administrativos de um ambiente local. Isso inclui gerenciamento centralizado de compartilhamentos de arquivos de rede, direitos de aplicativos de usuário, perfis de roaming, acesso à impressora e outras configurações com base em políticas.
Ao integrar um ambiente AppStream 2.0 com o Active Directory, é importante observar que a autenticação inicial na pilha do AppStream 2.0 ainda é gerenciada por um IdP SAML2.0. Depois que o usuário for autenticado com êxito no IdP, ao iniciar uma sessão, ele deverá inserir a senha do domínio ou uma autenticação por cartão inteligente para o domínio do Active Directory.
Ao projetar o ambiente dos Serviços de Domínio do Active Directory (ADDS) que será usado com o AppStream 2.0, há duas opções de serviço e muitos cenários de implantação disponíveis. Além disso, a rede do AppStream 2.0 deve ser analisada com o proprietário da topologia do site do Active Directory.
Opções de serviço
O Active Directory também pode ser implantado usando o Microsoft Active Directory (AD) gerenciado pela AWS. AWS O Microsoft AD é um serviço totalmente gerenciado que permite executar o Microsoft Active Directory. Ele também pode ser usado em um ambiente com hospedagem automática, executado no EC2 ou no local.
Cenários de implantação
Os seguintes cenários de implantação listados são opções de integração usadas e recomendadas para o AppStream 2.0 com o Microsoft Managed AD ou o Active Directory autogerenciado do cliente. Todos os diagramas de arquitetura listados abaixo usam as principais estruturas da Amazon.
-
Amazon Virtual Private Cloud (VPC): criação de uma Amazon VPC dedicada aos serviços AppStream 2.0 com pelo menos quatro sub-redes privadas espalhadas por quatro AZs. Duas das sub-redes privadas são usadas para frotas do AppStream e construtores de imagem. As duas sub-redes restantes são usadas para os controladores de domínio no EC2 ou no Microsoft Managed AD.
-
Conjunto de opções do Protocolo de Configuração Dinâmica de Host (DHCP): fornece um padrão para transmitir informações de configuração para a frota do AppStream 2.0 e os construtores de imagem que serão provisionados na VPC. O conjunto de opções do DHCP é definido no nível da VPC. Dessa forma, permite que os clientes definam um nome de domínio e configurações de DNS específicas que serão usadas com a instância do AppStream 2.0 após o provisionamento.
-
AWSServiços de diretório: o Amazon Microsoft Managed AD pode ser implantado em duas sub-redes privadas que serão usadas em conjunto com as cargas de trabalho do AppStream 2.0.
-
Frotas do AppStream 2.0: as frotas do AppStream 2.0 ou os construtores de imagem são hospedados na VPC gerenciada da AWS. Cada instância do AppStream 2.0 tem duas interfaces de rede elásticas (ENI). A interface primária (
eth0) é usada para fins de gerenciamento e intermediação da conexão do usuário final com a instância por meio do gateway de streaming. A interface secundária (eth1) é injetada na VPC do cliente e pode ser usada para acessar outros recursos na VPC personalizada ou no local.
Cenário 1: Serviços de Domínio do Active Directory (ADDS) implantados no local
Todo o tráfego de autenticação atravessa a conexão VPN ou Direct Connect da VPC do cliente até o gateway do cliente. A vantagem desse cenário é usar um ambiente do AD possivelmente já implantado sem precisar provisionar controladores de domínio adicionais na VPC do cliente. A desvantagem é a dependência exclusiva da VPN ou do Direct Connect com o objetivo de autenticar e autorizar usuários para a frota do AppStream 2.0. Se houver algum problema de conectividade de rede, a frota do AppStream 2.0 ou os construtores de imagem seriam diretamente afetados. Os túneis de VPN duplos ou conexões Direct Connect com caminhos diferentes reduzem esse risco potencial.
Cenário 1: Serviços de Domínio do Active Directory (ADDS) implantados no local
Cenário 2: estender os serviços de domínio ativo (ADDS) à VPC do cliente da AWS
O Active Directory é estendido à VPC do cliente. Um site do Active Directory deve ser criado para os novos controladores de domínio na VPC do cliente. O tráfego de autenticação é roteado para os controladores de domínio na VPC do cliente da AWS em vez de atravessar a conexão VPN ou do Direct Connect.
Cenário 2: extensão dos serviços de domínio ativo na nuvem privada virtual do cliente da AWS
Cenário 3: Microsoft Active Directory gerenciado pela AWS
O Microsoft AD gerenciado pela AWS é implantado no Nuvem AWS e usado como domínio de identidade e recurso para as frotas do AppStream 2.0 e os construtores de imagens.
Cenário 3: Active Directory gerenciado pela AWS
Topologia do site do serviço do Active Directory
A topologia do site de serviços do Active Directory é uma representação lógica da sua rede física.
A topologia do site ajuda você a rotear com eficiência as consultas do cliente e o tráfego de replicação do Active Directory. Com uma topologia do site bem projetada e mantida, a organização pode obter os seguintes benefícios:
-
Minimize o custo da replicação de dados do Active Directory ao sincronizar entre locais e Nuvem AWS.
-
Otimize a capacidade dos computadores clientes de localizar os recursos mais próximos, como controladores de domínio. Isso ajuda a reduzir o tráfego de rede em links lentos de rede de longa distância (WAN), melhorar os processos de logon e logoff, além de acelerar as operações de acesso a recursos.
Ao introduzir os serviços do AppStream 2.0, os intervalos de endereços usados para as sub-redes das instâncias do AppStream 2.0 devem ser atribuídos ao site correto para o ambiente.
Para os cenários 1 e 2, sites e serviços são componentes essenciais para a melhor experiência do usuário em termos de horários de logon e tempo de acesso aos recursos do Active Directory.
A topologia do site controla a replicação do Active Directory entre os controladores de domínio dentro do mesmo site e entre limites do site.
A definição da topologia correta do site garante a afinidade com o cliente, o que significa que os clientes (nesse caso, instâncias de streaming do AppStream 2.0) usam seu controlador de domínio local preferido.
Sites e serviços do Active Directory: afinidade com o cliente
dica
Como prática recomendada, defina o alto custo dos links de sites entre o AD DS local e a Nuvem AWS. A figura anterior é um exemplo de quais custos você deve atribuir aos links do site (custo 100) para garantir a afinidade com o cliente de modo independente do site.
Para obter mais informações sobre a topologia do site, consulte Como projetar a topologia do site
Unidades organizacionais do Active Directory
A AWS recomenda armazenar as unidades organizacionais (OUs) configuradas em um único objeto de configuração de diretório do AppStream 2.0. Como prática recomendada, cada pilha do AppStream 2.0 deve ter sua própria OU. Isso permite a flexibilidade de ter GPOs específicos por pilha. As OUs devem ser dedicadas aos objetos de computador do AppStream 2.0 para evitar misturar políticas específicas do AppStream 2.0 com desktops locais. Considere usar sub-OUs para cada Região da AWS em que você implanta o AppStream 2.0.
Limpeza de objetos no computador do Active Directory
As instâncias do AppStream 2.0 são efêmeras. Uma frota cria e reutiliza objetos de computador do Active Directory à medida que as frotas aumentam e reduzem a escala horizontalmente.
A AWS recomenda criar um processo de limpeza do AD para excluir objetos de computador obsoletos do Active Directory que possam existir após a remoção de uma frota do AppStream.
