與 Microsoft 活動目錄集成 - 部署 Amazon AppStream 2.0 的最佳實踐
服務選項部署案例作用中 Directory Service 網站拓撲作用中目錄組織單位活動目錄計算機對象清理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

與 Microsoft 活動目錄集成

亞馬遜 AppStream 2.0 映像生成器和車隊可以與 Microsoft 活動目錄集成。這可讓您提供使用者驗證、授權的集中方法,以及將 Active Directory 群組原則套用至網域加入的 AppStream 2.0 執行個體。使用加入網域的 AppStream 叢集可提供與內部部署環境相同的管理優勢。這包括集中管理網路檔案共用、使用者應用程式權限、漫遊設定檔、印表機存取,以及其他原則式設定。

將 AppStream 2.0 環境與使用中目錄整合時,請務必注意 AppStream 2.0 堆疊的初始驗證仍由 SAML2.0 IdP 管理。使用者成功向 IdP 驗證後,當使用者啟動工作階段時,必須輸入 Active Directory 網域的網域密碼或智慧卡驗證。

當設計將與 AppStream 2.0 搭配使用的 Active Directory 網域服務 (ADDS) 環境時,有兩個服務選項和許多可用的部署案例。此外,請確定 AppStream 2.0 網路已與您的作用中目錄網站拓撲擁有者一起檢閱。

服務選項

活動目錄也可以使用AWS管理 Microsoft 活動目錄(AD)進行部署。 AWS託管 Microsoft AD 是一個完全託管的服務,允許您運行 Microsoft 活動目錄。Microsoft 活動目錄也可以在自託管環境中使用,在 EC2 或現場部署上運行。

部署案例

下列所列的部署案例是 AppStream 2.0 與 Microsoft 受管理 AD 或客戶自我管理的 Active Directory 的常用和建議整合選項。下面列出的所有架構圖都使用 Amazon 核心構造。

  • Amazon Virtual Private Cloud (VPC) — 建立專用於 AppStream 2.0 服務的 Amazon VPC,其中至少四個私有子網路分佈在四個 AZ 中。其中兩個私有子網路用於 AppStream 叢集和映像產生器。其餘的兩個子網路會用於 EC2 或 Microsoft 受管 AD 上的網域控制站)。

  • 動態主機設定通訊協定 (DHCP) 選項集 — 提供將組態資訊傳遞給將在 VPC 中佈建的 AppStream 2.0 叢集和映像產生器的標準。DHCP 選項組是在虛擬私人 VPC 層級定義的。它可讓客戶定義指定的網域名稱和 DNS 設定,以便在佈建時搭配實例化 AppStream 2.0 使用。

  • AWS目錄服務 — Amazon Microsoft 受管 AD 可部署到兩個私有子網路中,這些子網路將與 AppStream 2.0 個工作負載搭配使用。

  • AppStream 2.0 叢集 — AppStream 2.0 叢集或映像產生器託管於AWS受管理的 VPC 中。每個 AppStream 2.0 執行個體都有兩個彈性網路介面 (ENI)。主要介面 (eth0) 用於管理目的,並透過串流閘道代理終端使用者與執行個體的連線。次要介面 (eth1) 會插入至客戶-虛擬私人雲端,可用來存取自訂 VPC 或內部部署中的其他資源。

案例 1:在內部部署的作用中目錄網域服務 (ADDS)

所有驗證流量都會遍歷 VPN 或「直 Connect 連線」連線,從客戶 VPC 到客戶閘道。這種情況的優點是使用可能已部署的 AD 環境,而不必在客戶 VPC 中佈建其他網域控制站的好處。缺點是唯一依賴 VPN 或直接 Connect 來驗證和授權 AppStream 2.0 機隊的用戶。如果發生任何網路連線問題, AppStream 2.0 叢集或映像產生器會受到直接影響。提供雙 VPN 通道或具有不同路徑的直接 Connect 可以減輕此潛在風險。

部署在內部部署作用中目錄網域服務 (ADDS) 的圖表

案例 1 — 在內部部署作用中目錄網域服務 (ADDS)

案例 2:將作用中網域服務 (ADDS) 延伸至AWS客戶 VPC

活動目錄擴展到您的客戶 VPC。應為客戶 VPC 中的新網域控制站建立使用中目錄站台。驗證流量會路由至AWS客戶 VPC 中的網域控制站,而不是周遊 VPN 或直 Connect 連線連線。

顯示將活動域服務擴展到AWS客戶虛擬私有雲的圖

案例 2 — 將使用中網域服務延伸至AWS客戶虛擬私有雲

案例 3:AWS受管理的 Microsoft 活動目錄

AWS受管理的 Microsoft AD 部署在中,AWS 雲端並用作 AppStream 2.0 叢集和映像產生器的身分識別和資源網域。

AWS受管理的作用中目錄的圖表

案例 3 — AWS 受管理的使用中目錄

作用中 Directory Service 網站拓撲

使用中的目錄服務站台拓撲是您實體網路的邏輯表示法。

站台拓撲可協助您有效地路由用戶端查詢和 Active Directory 複寫流量。精心設計和維護的站台拓撲可協助您的組織達到下列優點:

  • 在內部部署和之間進行同步處理時,將複寫 Active Directory 資料的成本降到最低。AWS 雲端

  • 最佳化用戶端電腦尋找最近資源 (例如網域控制站) 的能力。這有助於減少慢速廣域網路 (WAN) 連結上的網路流量、改善登入和登出程序,以及加速資源存取作業。

引入 AppStream 2.0 服務時,請確定已將用於 AppStream 2.0 執行個體子網路的位址範圍指派給您環境的正確站台。

對於案例 1 和案例 2,站台和服務是最佳使用者體驗的關鍵元件,就登入時間和 Active Directory 資源存取的時間而言。

站點拓撲負責控制同一站點內及跨站點邊界的網域控制站之間的 Active Directory 複寫。

定義正確的站台拓撲可確保用戶端相似性,表示用戶端 (在此例中為 AppStream 2.0 串流執行個體) 會使用其慣用的本機網域控制站。

活動目錄站點和服務的 AD 圖-用戶端親和性

作用中目錄站台和服務 — 用戶端相關性

提示

最佳實務是為現場部署 AD DS 和 AWS 雲端之間的網站連結定義高成本。上圖是您應該指派給站台連結的成本範例 (成本 100),以確保與站台無關的用戶端相似性。

若要取得有關站台拓樸的更多資訊,請參閱設計站台拓樸

作用中目錄組織單位

AWS 建議將設定的組織單位 (OU) 存放在單一 AppStream 2.0 目錄設 Config 物件中。每個 AppStream 2.0 堆疊都擁有自己的 OU 是最佳作法。這可讓您彈性地在每個堆疊中擁有特定的 GPO。確定 OU 專用於 AppStream 2.0 電腦物件,以避免將 AppStream 2.0 特定原則與內部部署桌面混合使用。請考慮針對AWS 區域您將 AppStream 2.0 部署到的每一個使用子 OU。

活動目錄計算機對象清理

AppStream 2.0 實例是短暫的。當叢集向外擴充和擴充時,叢集會建立並重複使用 Active Directory 電腦物件。

AWS建議您建立 AD 清理程序,以刪除移除 AppStream 叢集之後可能存在的過時 Active Directory 電腦物件。