案例 6： AWS Microsoft AD、共用服務 VPC，以及內部部署的單向信任

這個案例 (如下圖所示) 會針對使用者使用現有的內部部署 Active Directory，並在 AWS 雲端中引入個別的受管理 Active Directory 來裝載與 WorkSpaces. 這個案例可讓電腦物件和使用中目錄群組原則獨立於公司的使用中目錄進行管理。

當第三方想要代表客戶管理 Windows WorkSpaces 時，這個案例非常有用，因為它允許協力廠商定義和控制與他們相關聯的 WorkSpaces 和政策，而不需要授予第三方對客戶 AD 的存取權。在這個案例中，會建立特定的使用中目錄組織單位 (OU) 來組織共用服務 AD 中的 WorkSpaces 電腦物件。

注意

Amazon Linux WorkSpaces 需要雙向信任才能建立它們。

若要使 WorkSpaces 用來自客戶識別網域的使用者，將 Windows 部署在主控受管理 Active Directory 的共用服務 VPC 中建立的電腦物件，請部署參照公司 AD 的作用中目錄連接器 (ADC)。使用在企業 AD (身分識別網域) 中建立的 ADC 服務帳戶，該帳戶具有委派權限，在組織單位 (OU) 中建立電腦物件，該帳戶是 WorkSpaces 在共用服務受管理 AD 中針對 Windows 設定，且具有公司 Active Directory (身分識別網域) 的讀取權限。

若要確保網域定位器功能能夠驗證身分網域所需 AD 網站中的 WorkSpaces 使用者，請依照 Microsoft 的說明文件，將兩個網域的 Amazon WorkSpaces 子網路 AD 網站命名為相同。最佳做法是將身分識別網域和共用服務網域 AD 網域控制站與 Amazon 位於相同的 AWS 區域 WorkSpaces。

如需設定此案例的詳細指示，請參閱實作指南，以 WorkSpaces 使用 AWS 目錄服務為 Amazon 設定單向信任

在這個案例中，我們會在共用服務 VPC 和內部部署 AD 之間建立單向傳遞信任。 AWS Managed Microsoft AD 圖 11 顯示信任和存取的方向，以及 AWS AD Connector 器如何使用 AD Connector 服務帳戶在資源網域中建立電腦物件。

系統會根據 Microsoft 建議使用樹系信任，以確保盡可能使用 Kerberos 驗證。您從中的資源網域 WorkSpaces 接收群組原則物件 (GPO)。 AWS Managed Microsoft AD此外，您還可以使用您的身份識別域 WorkSpaces 執行 Kerberos 身份驗證。為了可靠地工作，最佳做法是將您的身份域擴展到上面已經解釋的那 AWS 樣。我們建議您查看 WorkSpaces 使用單向信任資源域與 AWS Directory Service實施指南部署 Amazon 以獲取更多詳細信息。

AD Connector 器和您的 WorkSpaces，都必須能夠與您的身分識別網域和資源網域的網域控制站通訊。如需詳細資訊，請參閱《Amazon WorkSpaces 管理指南》 WorkSpaces中的《IP 位址和連接埠需求》。

如果您使用多個 AD 連接器，最佳做法是讓每個 AD 連接器使用自己的 AD Connector 器服務帳戶。

A 範例架構顯示 Windows，其中 WorkSpaces 包含使用客戶識別網域中的使用者在主控受管理的 Active Directory 中建立的共用服務 VPC 中建立的電腦物件。

圖 11： AWS Microsoft、共用服務 VPC 和 AD 內部部署的單向信任

此架構使用下列元件或建構：

AWS

Amazon VPC — 建立具有跨兩個 AZ 至少兩個私有子網路的 Amazon VPC — 兩個用於 AD Connector 和. WorkSpaces
DHCP 選項集 — 建立一個 Amazon VPC DHCP 選項集。這可讓客戶定義指定的網域名稱和 DNS (Microsoft AD)。如需詳細資訊，請參閱 DHCP 選項集。
選用：Amazon 虛擬私有閘道 — 啟用透過 IPSec VPN 通道 (VPN) 或 AWS Direct Connect 連線與客戶擁有的網路進行通訊。用於存取內部部署後端系統。
AWS Directory Service — Microsoft AD 部署到一對專用的 VPC 子網路 (AD DS 受管理服務)、AD Connector 中。
傳@@ 輸道/VPC 對等 — 啟用 Workspace VPC 與共用服務 VPC 之間的連線。
Amazon EC2 — MFA 的客戶「可選」半徑伺服器。
Amazon WorkSpaces — 部署到與 AD Connector 相同的私 WorkSpaces 有子網中。如需詳細資訊，請參閱本文件的 Active Directory：網站與服務一節。

客戶

網路連線 — 企業 VPN 或 AWS Direct Connect 端點。
終端使用者裝置 — 用於存取 Amazon 服務的企業或 BYOL 終端使用者裝置 (例如視窗、Mac、iPads、安卓平板電腦、零用戶端和 Chromebook)。 WorkSpaces 如需支援的裝置和 Web 瀏覽器，請參閱此用戶端應用程式清單。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

案例 5： AWS Microsoft AD 使用共用服務 Virtual Private Cloud (VPC) (VPC)

在 Amazon 使用多區域 AWS 託管活動目錄 WorkSpaces