与 Microsoft Active Directory 集成 - 部署 Amazon AppStream 2.0 的最佳实践
服务选项部署方案Active Directory 服务站点拓扑Active Directory 组织单位Active Directory 计算机对象清理

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与 Microsoft Active Directory 集成

Amazon AppStream 2.0 映像生成器和实例集可以与 Microsoft Active Directory 集成。这使您能够提供一种集中的用户身份验证和授权方法,并可以将 Active Directory 组策略应用于已加入域的 AppStream 2.0 实例。使用加入域的 AppStream 实例集可获得与使用本地环境相同的管理优势。这包括集中管理网络文件共享、用户应用程序授权、漫游配置文件、打印机访问权限和其他基于策略的设置。

在将 AppStream 2.0 环境与 Active Directory 集成时,请务必注意,AppStream 2.0 堆栈的初始身份验证仍由 SAML2.0 IdP 管理。用户成功通过 IdP 身份验证后,当用户启动会话时,他们必须输入 Active Directory 域的域密码或进行智能卡身份验证。

在设计将与 AppStream 2.0 一起使用的 Active Directory 域服务 (ADDS) 环境时,有两个服务选项和许多部署方案可供选择。此外,请确保与 Active Directory 站点拓扑所有者一起审查 AppStream 2.0 的联网。

服务选项

Active Directory 也可以使用 AWS 托管的 Microsoft Active Directory (AD) 进行部署。AWS托管的 Microsoft AD 是一项可完全托管的服务,让您可以运行 Microsoft Active Directory。Microsoft Active Directory 也可以在自托管环境中使用,在 EC2 上或本地运行。

部署方案

以下列出的部署方案是 AppStream 2.0 与托管的 Microsoft AD 或客户自托管 Active Directory 进行集成的常用推荐选项。下面列出的所有架构图都使用 Amazon 的核心结构。

  • Amazon 虚拟私有云 (VPC) — 创建专用于 AppStream 2.0 服务的 Amazon VPC,其中至少有四个私有子网分布在四个可用区。其中两个私有子网用于 AppStream 实例集和映像生成器。其余两个子网用于 EC2 或托管的 Microsoft AD 上的域控制器。

  • 动态主机配置协议 (DHCP) 选项集 — 提供将配置信息传递给 AppStream 2.0 实例集和将在 VPC 中配置的映像生成器的标准。DHCP 选项集是在 VPC 级别定义的。它使客户能够定义指定的域名和 DNS 设置,这些设置将在配置后与 AppStream 2.0 实例一起使用。

  • AWS目录服务 — Amazon 托管的 Microsoft AD 可以部署到两个私有子网中,这两个子网将与 AppStream 2.0 工作负载配合使用。

  • AppStream 2.0 实例集 — AppStream 2.0 实例集或映像生成器托管在 AWS 托管 VPC 中。每个 AppStream 2.0 实例都有两个弹性网络接口 (ENI)。主接口 (eth0) 用于管理目的,并通过流网关代理最终用户与实例的连接。辅助接口 (eth1) 已接入客户 VPC,可用于访问定制 VPC 或本地的其他资源。

场景 1:本地部署的 Active Directory 域服务 (ADDS)

所有身份验证流量都会通过 VPN 或 Direct Connect 连接从客户 VPC 路由到客户网关。此场景的优势在于可以使用可能已经部署的 AD 环境,无需在客户 VPC 中配置其他域控制器。缺点是它只能依赖 VPN 或 Direct Connect 对用户进行身份验证和授权,获取 AppStream 2.0 实例集的访问权。如果存在任何网络连接问题,AppStream 2.0 实例集或映像生成器将受到直接影响。提供双 VPN 隧道或具有不同路径的 Direct Connect 连接可以降低这种潜在风险。

本地部署的 Active Directory 域服务 (ADDS) 示意图

场景 1 — 本地部署的 Active Directory 域服务 (ADDS)

场景 2:将 Active Directory 域服务 (ADDS) 扩展到 AWS 客户 VPC

Active Directory 已扩展到客户 VPC。应为客户 VPC 中的新域控制器创建 Active Directory 站点。身份验证流量将路由到 AWS 客户 VPC 中的域控制器,而不是通过 VPN 或 Direct Connect 连接。

显示将 Active Directory 域服务扩展到 AWS 客户虚拟私有云的示意图

场景 2 — 将 Active Directory 域服务扩展到 AWS 客户的虚拟私有云

场景 3:AWS 托管的 Microsoft Active Directory

AWS 托管的 Microsoft AD 部署在 AWS Cloud 中,用作 AppStream 2.0 实例集和映像生成器的身份和资源域。

AWS 托管的 Active Directory 示意图

场景 3 — AWS 托管的 Active Directory

Active Directory 服务站点拓扑

Active Directory 服务站点拓扑是物理网络的逻辑表示形式。

站点拓扑可以帮助您高效地路由客户端查询和 Active Directory 复制流量。精心设计和维护的站点拓扑可以帮助您的组织实现以下好处:

  • 在本地和 AWS Cloud 之间进行同步时,可最大限度地降低复制 Active Directory 数据的成本。

  • 可优化客户端计算机定位最近的资源(例如域控制器)的能力。这有助于减少缓慢广域网 (WAN) 链路的网络流量,改善登录和注销流程,并加快资源访问操作。

在引入 AppStream 2.0 服务时,请确保将用于 AppStream 2.0 实例子网的地址范围分配给适合您环境的正确站点。

对于场景 1 和场景 2,要获得登录时间和 Active Directory 资源访问时间方面的最佳用户体验,站点和服务是关键。

站点拓扑负责控制同一站点内和跨站点边界的域控制器之间的 Active Directory 复制。

定义正确的站点拓扑可确保客户端亲和性,这意味着客户端(在本例中为 AppStream 2.0 流式传输实例)可以使用其首选的本地域控制器。

Active Directory 站点和服务示意图 — 客户端亲和性

Active Directory 站点和服务 — 客户端亲和性

提示

最好是能为本地 AD DS 和 AWS Cloud 之间的站点链接定义高昂的成本。上图举例说明了为确保独立于站点的客户端亲和性,您应该为站点链接分配多少成本(成本 100)。

有关站点拓扑的更多信息,请参阅设计站点拓扑

Active Directory 组织单位

AWS 建议将配置的组织单位 (OU) 存储在单个 AppStream 2.0 Directory Config 对象中。最好让每个 AppStream 2.0 堆栈都拥有自己的组织单位。这样您就可以灵活地为每个堆栈设置特定的 GPO。确保 AppStream 2.0 计算机对象有专用的组织单位,以避免将特定于 AppStream 2.0 的策略与本地桌面混用。考虑为每个部署了 AppStream 2.0 的 AWS 区域 使用子组织单位。

Active Directory 计算机对象清理

AppStream 2.0 实例是短暂的。随着实例集扩展和缩减,实例集会创建并重复使用 Active Directory 计算机对象。

AWS 建议创建 AD 清理流程来删除在移除 AppStream 实例集后可能存在的陈旧的 Active Directory 计算机对象。