建立個 WorkSpaces 人目錄

透過 WorkSpaces 個人，您可以為您的使用者佈建虛擬、雲端的 Microsoft 視窗、Amazon Linux 2、Ubuntu Linux 或 RHEL 桌面平台。

個人 WorkSpaces 使用 WorkSpaces 個人目錄來存儲和管理您 WorkSpaces 和用戶的信息。以下是建立 WorkSpaces 個人目錄的選項：

• 建立 Simple AD 目錄。

• 創建 AWS Directory Service Microsoft 活動目錄，也被稱為 Microsoft AWS 管理 AD。

• 使用 Active Directory 連接器連線到現有的 Microsoft Active Directory。

• 建立 AWS Managed Microsoft AD 目錄與內部部署網域之間的信任關係。

識別電腦名稱

在 Amazon WorkSpaces 控制台 WorkSpace 中顯示的計算機名稱值會有所不同，具體取決於 WorkSpace 您啟動的類型（Amazon Linux，Ubuntu 或 Windows）。a 的電腦名稱 WorkSpace 可以是下列格式之一：

• Amazon Linux：A-xxxxxxxxxxxxx

• 紅帽企業版工作系統:R -

• Ubuntu：U-xxxxxxxxxxxxx

• Windows：IP-Cxxxxxx 或 WSAMZN-xxxxxxx 或 EC2AMAZ-xxxxxxx

對於 Windows WorkSpaces，電腦名稱格式由套裝軟體類型決定，如果是從公用套裝軟體或根據公用映像自訂套裝軟體 WorkSpaces 建立，則由建立公用映像的時間決定。

自 2020 年 6 月 22 日起，從公開組合包 WorkSpaces 啟動的視窗具有 WSAMZN-xxxxxxx 格式的電腦名稱，而不是 IP-C xxxxxx 格式。

對於以公用映像為基礎的自訂套件，如果公用映像是在 2020 年 6 月 22 日之前建立，則電腦名稱的格式為 EC2AMAZ-xxxxxxx。如果公用映像是在 2020 年 6 月 22 日當天或之後建立，則電腦名稱的格式為 WSAMZN-xxxxxxx。

若為自帶授權 (BYOL) 套件，電腦名稱預設會使用 DESKTOP-xxxxxxx 或 EC2AMAZ-xxxxxxx 格式。

如果您已為自訂或 BYOL 套件中的電腦名稱指定自訂格式，則自訂格式會覆寫這些預設值。若要指定自訂格式，請參閱 為 WorkSpaces 個人建立自訂 WorkSpaces 映像檔和套裝軟體。

重要

如果您 WorkSpace 透過 Windows 系統設定變更的電腦名稱，您將無法再存取 WorkSpace.

注意

• 共用目錄目前不支援與 Amazon 搭配使用 WorkSpaces。

• 如果您為多區域複寫設定 AWS 受管 Microsoft AD 目錄，則只能註冊主要區域中的目錄以便與 Amazon WorkSpaces 搭配使用。嘗試在複寫區域中註冊目錄以與 Amazon 搭配使用 WorkSpaces 將會失敗。在複寫區域內，不支援使用 AWS 受管 Microsoft AD 進 Amazon 多區 WorkSpaces 域複寫。

• 簡單的 AD 和 AD 連接器可供您免費使用 WorkSpaces。如果您的 Simple AD 或 AD Connector 目錄連續 30 天沒有使用，系統會自動取消註冊此目錄以供 Amazon 使用 WorkSpaces， WorkSpaces 而且我們會根據AWS Directory Service 定價條款向您收取此目錄的費用。

下列自學課程說明如何建立個 WorkSpaces 人目錄。

開始建立目錄之前

• WorkSpaces 並非所有地區都有提供。驗證支援的區域，然後為您的 WorkSpaces. 如需支援區域的詳細資訊，請參閱依 AWS 區域WorkSpaces 定價。

• 建立至少有兩個私有子網路的虛擬私有雲端。如需詳細資訊，請參閱 為 WorkSpaces 個人設定 VPC。VPC 必須透過虛擬私有網路 (VPN) 連線或 AWS Direct Connect連線到您的現場部署網路。如需詳細資訊，請參閱《AWS Directory Service 管理指南》中的 AD Connector 先決條件。

• 提供從網際網路存取 WorkSpace。如需詳細資訊，請參閱 為 WorkSpaces 個人提供網際網路存取。

建立受 AWS 管理的 Microsoft AD 目錄

在本教程中，我們創建了一個 AWS 託管 Microsoft AD 目錄。如需使用其他選項的教學課程，請參閱 建立個 WorkSpaces 人目錄。

首先，創建一個 AWS 託管 Microsoft AD 目錄。 AWS Directory Service 會建立兩個目錄伺服器，每個 VPC 的私有子網路中各一個。請注意，目錄最初沒有任何使用者。當您啟動時，您將在下一個步驟中新增使用者 WorkSpace。

注意

• 共用目錄目前不支援與 Amazon 搭配使用 WorkSpaces。

• 如果您的 AWS 受管 Microsoft AD 目錄已設定為多區域複寫，則只能註冊主要區域中的目錄以便與 Amazon WorkSpaces 搭配使用。嘗試在複寫區域中註冊目錄以與 Amazon 搭配使用 WorkSpaces 將會失敗。在複寫區域內，不支援使用 AWS 受管 Microsoft AD 進 Amazon 多區 WorkSpaces 域複寫。

建立 AWS 受管理的 Microsoft AD 目錄

1. 開啟主 WorkSpaces 控台，網址為 https://console.aws.amazon.com/workspaces/。

2. 在導覽窗格中，選擇目錄。

3. 選擇設定目錄，建立 Microsoft AD。

4. 設定目錄，如下所示：

   1. 在「組織名稱」中，輸入目錄的唯一組織名稱 (例如， my-demo-directory)。此名稱的長度至少必須有 4 個字元，只能包含英數字元和連字號 (-)，而且以非連字號的字元開頭或結尾。

   2. 針對目錄 DNS，輸入目錄的完整名稱 (例如，workspaces.demo.com)。

      重要

      如果您需要在啟動 DNS 伺服器之後更新 DNS 伺服器 WorkSpaces，請遵循中的程序，更新 WorkSpaces 個人的 DNS 伺服器以確保您 WorkSpaces 已正確更新。

   3. 針對 NetBIOS 名稱，輸入目錄的簡短名稱 (例如，workspaces)。

   4. 針對管理員密碼和確認密碼，輸入目錄管理員帳戶的密碼。如需有關密碼需求的詳細資訊，請參閱《AWS 管理指南》中的建立受AWS Directory Service 管理的 Microsoft AD 目錄。

   5. (選用) 針對描述，輸入目錄的描述。

   6. 針對 VPC，選取您建立的 VPC。

   7. 針對子網路，選取兩個私用子網路 (具有 CIDR 區塊 10.0.1.0/24 和 10.0.2.0/24)。

   8. 選擇 Next Step (後續步驟)。

5. 選擇建立 Microsoft AD。

6. 選擇完成。目錄的初始狀態為 Creating。目錄建立完成時，狀態為 Active。

建立個 WorkSpaces 人目錄後，您可以建立個人目錄 WorkSpace。如需更多資訊，請參閱 WorkSpace 在 WorkSpaces 個人中創建

建立 Simple AD 目錄

在本教程中，我們啟動了 WorkSpace 使用 Simple AD。如需使用其他選項的教學課程，請參閱 建立個 WorkSpaces 人目錄。

注意

• 並非每個區域都可以使用 Simple AD。確認支援的區域，然後為您的 Simple AD 目錄選取一個區域。如需 Simple AD 支援區域的相關資訊，請參閱 AWS Directory Service 的區域可用性。

• 簡單的 AD 是提供給你免費與使用 WorkSpaces. 如果您 WorkSpaces 的 Simple AD 目錄連續 30 天沒有使用，則此目錄將自動取消註冊以在 Amazon 上使用 WorkSpaces，並且將根據AWS Directory Service 定價條款向您收取此目錄的費用。

當您創建一個簡單的 AD 目錄。 AWS Directory Service 會建立兩個目錄伺服器，每個 VPC 的私有子網路中各一個。目錄中最初沒有使用者。在建立之後新增使用者 WorkSpace。如需更多資訊，請參閱 WorkSpace 在 WorkSpaces 個人中創建

建立 Simple AD 目錄

1. 開啟主 WorkSpaces 控台，網址為 https://console.aws.amazon.com/workspaces/。

2. 在導覽窗格中，選擇目錄。

3. 選擇設定目錄、Simple AD 和下一步。

4. 設定目錄，如下所示：

   1. 在「組織名稱」中，輸入目錄的唯一組織名稱 (例如， my-example-directory)。此名稱的長度至少必須有 4 個字元，只能包含英數字元和連字號 (-)，而且以非連字號的字元開頭或結尾。

   2. 針對目錄 DNS 名稱，輸入目錄的完整名稱 (例如，example.com)。

      重要

      如果您需要在啟動 DNS 伺服器之後更新 DNS 伺服器 WorkSpaces，請遵循中的程序，更新 WorkSpaces 個人的 DNS 伺服器以確保您 WorkSpaces 已正確更新。

   3. 針對 NetBIOS 名稱，輸入目錄的簡短名稱 (例如，example)。

   4. 針對管理員密碼和確認密碼，輸入目錄管理員帳戶的密碼。如需密碼需求的相關資訊，請參閱《AWS Directory Service 管理指南》中的如何建立 Microsoft AD 目錄。

   5. (選用) 針對描述，輸入目錄的描述。

   6. 針對目錄大小，選擇小型。

   7. 針對 VPC，選取您建立的 VPC。

   8. 針對子網路，選取兩個私用子網路 (具有 CIDR 區塊 10.0.1.0/24 和 10.0.2.0/24)。

   9. 選擇下一步。

5. 選擇建立目錄。

6. 目錄的初始狀態為 Requested，然後是 Creating。目錄建立完成時 (這可能需要幾分鐘)，狀態為 Active。

建立目錄期間發生的事

WorkSpaces 代表您完成下列工作：

• 建立 IAM 角色以允許 WorkSpaces 服務建立彈性網路介面並列出您的 WorkSpaces 目錄。此角色具有名稱 workspaces_DefaultRole。

• 在 VPC 中設定用於儲存使用者和WorkSpace 資訊的 Simple AD 目錄。此目錄有一個具使用者名稱 Administrator 與指定密碼的管理員帳戶。

• 建立兩個安全群組，一個用於目錄控制器，另一個用 WorkSpaces 於目錄中。

建立個 WorkSpaces 人目錄後，您可以建立個人目錄 WorkSpace。如需更多資訊，請參閱 WorkSpace 在 WorkSpaces 個人中創建

建立 AD Connector

在本教學課程中，我們會建立 AD Connector。如需使用其他選項的教學課程，請參閱 建立個 WorkSpaces 人目錄。

建立 AD Connector

注意

AD Connector 可供您免費使用 WorkSpaces。如果連續 30 天沒 WorkSpaces 有與 AD Connector 目錄使用，則此目錄將自動取消註冊以在 Amazon 上使用 WorkSpaces，並且將根據AWS Directory Service 定價條款向您收取此目錄的費用。

若要刪除空目錄，請參閱 刪除個 WorkSpaces 人目錄。如果您刪除 AD Connector 目錄，當您想要 WorkSpaces 再次開始使用時，隨時都可以建立新的 AD 連接器目錄。

建立 AD Connector

1. 開啟主 WorkSpaces 控台，網址為 https://console.aws.amazon.com/workspaces/。

2. 在導覽窗格中，選擇目錄。

3. 選擇設定目錄、建立 AD Connector。

4. 在「組織名稱」中，輸入目錄的唯一組織名稱 (例如， my-example-directory)。此名稱的長度至少必須有 4 個字元，只能包含英數字元和連字號 (-)，而且以非連字號的字元開頭或結尾。

5. 針對連線的目錄 DNS，輸入內部部署目錄的完整名稱 (例如，example.com)。

6. 針對連線的目錄 NetBIOS 名稱，輸入內部部署目錄的簡短名稱 (例如，example)。

7. 針對連接器帳戶使用者名稱，輸入內部部署目錄中使用者的使用者名稱。使用者必須具有讀取使用者和群組、建立電腦物件以及將電腦加入網域的許可。

8. 針對連接器帳戶密碼和確認密碼，輸入內部部署使用者的密碼。

9. 針對 DNS 位址，輸入內部部署目錄中至少一個 DNS 伺服器的 IP 地址。

   重要

   如果您需要在啟動之後更新 DNS 伺服器 IP 位址 WorkSpaces，請按照中的程序執行，更新 WorkSpaces 個人的 DNS 伺服器以確保您 WorkSpaces 已正確更新。

10. (選用) 針對描述，輸入目錄的描述。

11. 將大小保持為小。

12. 針對 VPC，選取您的 VPC。

13. 針對子網路，選取您的子網路。您指定的 DNS 伺服器必須可從每個子網路存取。

14. 選擇 Next Step (後續步驟)。

15. 選擇建立 AD Connector。連線您的目錄需要幾分鐘的時間。目錄的初始狀態為 Requested，然後是 Creating。目錄建立完成時，狀態為 Active。

在 AWS 受管理的 Microsoft AD 目錄與內部部署網域之間建立信任關係

在本教學課程中，我們會在 AWS 受管理的 Microsoft AD 目錄與內部部署網域之間建立信任關係。如需使用其他選項的教學課程，請參閱 建立個 WorkSpaces 人目錄。

注意

AWS 帳戶 在個別 WorkSpaces 的受信任網域中啟動時，如果 AWS 受管理的 Microsoft AD 設定為與您的內部部署目錄的信任關係，則可以使用受管理的 Microsoft AD 不過， WorkSpaces 使用簡單 AD 或 AD Connector 無法 WorkSpaces 為來自信任網域的使用者啟動。

設定信任關係

1. 在您的虛擬私有雲（VPC）中設置 AWS 託管 Microsoft AD。如需詳細資訊，請參閱《AWS 管理指南》中的建立受AWS Directory Service 管理的 Microsoft AD 目錄。

   注意

   • 共用目錄目前不支援與 Amazon 搭配使用 WorkSpaces。

   • 如果您的 AWS 受管 Microsoft AD 目錄已設定為多區域複寫，則只能註冊主要區域中的目錄以便與 Amazon WorkSpaces 搭配使用。嘗試在複寫區域中註冊目錄以與 Amazon 搭配使用 WorkSpaces 將會失敗。不支援使用 AWS 受管 Microsoft AD 進行多區域複寫，不支援在複寫區域 WorkSpaces 內與 Amazon 搭配使用。

2. 在 AWS 受管理的 Microsoft AD 與內部部署網域之間建立信任關係。確定信任已設定為雙向信任。如需詳細資訊，請參閱《管理指南》中的教學課程：在 AWS 受管理的 Microsoft AD 與內部部署網域之間建立信任關係。AWS Directory Service

單向或雙向信任可用於管理和驗證 WorkSpaces， WorkSpaces 以便佈建給內部部署使用者和群組。如需詳細資訊，請參閱 WorkSpaces 使用具有 AWS Directory Service 的單向信任資源網域部署 Amazon。

注意

• RHEL 和 Ubuntu WorkSpaces 使用系統安全服務守護程序（SSSD）進行活動目錄集成，SSSD 不支持樹系信任。請改為設定外部信任。建議在 Amazon Linux、Ubuntu 和紅帽企業 Linux 上使用雙向信任 WorkSpaces。

• 您無法使用網頁瀏覽器 (網頁存取) 來連線到 Linux WorkSpaces。

若要刪除空目錄，請參閱 刪除個 WorkSpaces 人目錄。如果您刪除 Simple AD 或 AD Connector 目錄，當您想要 WorkSpaces 重新開始使用時，隨時都可以建立新的目錄。