场景 6: AWS Microsoft AD、共享服务 VPC 和对本地的单向信任 - 部署的最佳实践 WorkSpaces
AWS客户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

场景 6: AWS Microsoft AD、共享服务 VPC 和对本地的单向信任

如下图所示,此场景使用现有的本地 Active Directory 供用户使用,并在 AWS 云中引入了一个单独的托管 Active Directory 来托管与关联的计算机对象 WorkSpaces。此方案允许计算机对象和 Active Directory 组策略独立于公司 Active Directory 进行管理。

当第三方想要代表客户管理 Windows WorkSpaces 时,此场景非常有用,因为它允许第三方定义和控制与其关联的 WorkSpaces 和策略,而无需向第三方授予对客户 AD 的访问权限。在这种情况下,将创建一个特定的 Active Directory 组织单位 (OU) 来组织共享服务 AD 中的 WorkSpaces 计算机对象。

注意

Amazon Linux WorkSpaces 需要建立双向信任才能创建它们。

要使用客户身份域中的用户在托管 Active Directory 的共享服务 VPC 中创建的计算机对象部署 Windows WorkSpaces ,请部署引用公司 AD 的 Active Directory 连接器 (ADC)。使用在企业 AD(身份域)中创建的 ADC 服务帐户,该帐户具有在共享服务托管 AD 中为 Windows 配置的组织单位 (OU) WorkSpaces 中创建计算机对象的委托权限,并且具有企业 Active Directory(身份域)的读取权限。

为确保域定位器功能能够对身份域所需 AD 站点中的 WorkSpaces 用户进行身份验证,请按照 Microsoft 的文档为两个域名的 Amazon WorkSpaces 子网的 Amazon Subnets 的广告站点命名。最佳做法是将身份域和共享服务域 AD 域控制器与 Amazon 位于同一 AWS 区域 WorkSpaces。

有关配置此场景的详细说明,请查看 WorkSpaces 使用 AWS 目录服务为 Amazon 设置单向信任的实施指南

在此场景中,我们在共享服务 VPC 和本 AWS Managed Microsoft AD 地 AD 之间建立单向传递信任。图 11 显示了信任和访问的方向,以及 AWS AD Connector 如何使用 AD Connector 服务帐户在资源域中创建计算机对象。

按照 Microsoft 的建议使用森林信任来确保尽可能使用 Kerberos 身份验证。您 WorkSpaces 将在中接收来自资源域的组策略对象 (GPO)。 AWS Managed Microsoft AD此外,您还可以使用您的身份域 WorkSpaces 执行 Kerberos 身份验证。为了使其可靠地运行,最佳做法是将您的身份域扩展到 AWS 如上所述。我们建议查看《 WorkSpaces 使用单向信任资源域部署 Amazon AWS Directory Service》以及实施指南,了解更多详情。

AD Connector 和您的 WorkSpaces,都必须能够与您的身份域和资源域的域控制器通信。有关更多信息,请参阅《Amazon WorkSpaces 管理指南》 WorkSpaces中的 IP 地址和端口要求

如果您使用多个 AD 连接器,则最好让每个 AD 连接器使用自己的 AD 连接器服务帐户。

aSample 架构显示了一个 Windows,其中 WorkSpaces 包含使用客户身份域中的用户在托管 Active Directory 的共享服务 VPC 中创建的计算机对象。

图 11: AWS 微软、共享服务 VPC 和对本地 AD 的单向信任

此架构使用以下组件或结构:

AWS

  • 亚马逊 VPC — 创建一个亚马逊 VPC,其中至少有两个私有子网横跨两个可用区,其中两个用于 AD Connector 和。 WorkSpaces

  • DHCP 选项集 — 创建亚马逊 VPC DHCP 选项集。这允许客户定义指定的域名和 DNS(Microsoft AD)。有关更多信息,请参阅 DHCP 选项集

  • 可选:Amazon 虚拟专用网关-允许通过 IPsec VPN 隧道 (VPN) 或 AWS Direct Connect 连接与客户拥有的网络进行通信。用于访问本地后端系统。

  • AWS Directory Ser vice — 微软 AD 部署到一对专用的 VPC 子网(AD DS 托管服务),即 AD Connector。

  • 传输网关/VPC 对等互连 — 启用工作空间 VPC 和共享服务 VPC 之间的连接。

  • 亚马逊 EC2 — 适用于 MFA 的客户 “可选” RADIUS 服务器。

  • 亚马逊 WorkSpaces — 部署 WorkSpaces 在与 AD Connector 相同的私有子网中。有关更多信息,请参阅本文档的 “活动目录:网站和服务” 部分。

客户