亚马逊AWS官方博客

利用信任关系实现同时为两个目录中的用户创建 workspaces 虚拟桌面服务

一、背景介绍

借助 Amazon WorkSpaces,您可以快速创建基于云的虚拟桌面服务,满足远程办公的需求。 Amazon WorkSpaces 使用目录来存储和管理 WorkSpace 的用户信息,您可以选择AWS Directory Service for Microsoft Active Directory(也称为 AWS managed Microsoft AD)或者本地自建的Microsoft AD。此外,您可以通过在AWS managed Microsoft AD和本地 Microsoft AD 目录间建立信任关系,实现同时为两个目录用户创建Workspace服务。

在本文中,我们将详细描述使用信任关系如何使用一个链接目录为两个目录中的用户创建WorkSpace服务。

二、操作步骤

本文讲述通过建立AD信任关系,实现AWS Managed Microsoft AD和本地Microsoft AD目录之间的资源共享,只需要连接到AWS managed Microsoft AD就可以同时为两个目录中的用户创建workspaces虚拟桌面服务。整个部署流程包括环境准备、创建AWS Managed Microsoft AD、创建本地AD、建立信任关系、创建workspaces服务五个部分,如下图所示。

 

三、详细操作流程

本文操作环境选择宁夏区域,使用宁夏区域的workspaces服务,同时为两个相互信任的目录中的用户部署虚拟桌面。总体架构包括在宁夏区域创建AWS managed Microsoft AD(nxaws.com)服务,并模拟一套本地Microsoft AD(localaws.com)环境,通过双向信任关系实现两个目录之间资源共享。其中AWS  Managed Microsoft AD为nxaws.com、本地Microsoft AD为localaws.com,两个目录分别处于不同的VPC中,通过VPC peering实现网络互联。总体架构图如下:

创建环境主要包括:

  1. AWS managed Microsoft AD的VPC、subnet、安全组、路由表
  2. 管理AWS managed Microsoft AD 所需的subnet、安全组和EC2实例
  3. 本地Microsoft AD的VPC、subnet、安全组、路由表
  4. 两个vpc之间的VPC peering连接

3.1环境准备

为了实现AWS managed Microsoft AD(nxaws.com)和本地Microsoft AD(localaws.com)的部署和管理,需要在网络、安全方便进行相应的环境设置。

3.1.1 VPC设置

要创建 AWS Managed Microsoft AD 目录,需要一个满足以下条件的 VPC:

·  至少两个子网,每个子网必须位于不同的可用区。

·  VPC 必须具有默认硬件租户。

·  您不能使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建 AWS Managed Microsoft AD。

环境名称
Vpc
子网
路由表
管理AWS Managed Microsoft AD
Vpc-managed(10.0.0.0/16)
Public-Man1(10.0.1.0/24)
Public-man-rbt

(local、internetGateway、vpc peering)

Private-Man1(10.0.3.0/24)
Private-man-rbt
(local、vpc peering)
Private-Man2(10.0.4.0/24)
本地 Microsoft AD
Vpc-local(192.168.0.0/16)
Public-local(192.168.1.0/24)
Public-local-rbt(local、internetGateway、vpc peering)

3.1.3 安全设置

需要为AD服务访问打开相应的端口。

环境名称
安全组
方向
端口
管理AWS Managed Microsoft AD
Managed Microsoft AD服务自动创建的安全组
Inbound

TCP/UDP 53、TCP/UDP 88、UDP123

TCP 135

UDP137-138

TCP139

TCP/UDP 389

TCP/UDP 445

TCP/UDP 464

TCP636

TCP873

TCP3268-3269

TCP/UDP 1024-65535;

Outbound
ALL traffic
目录管理EC2的安全组

ManagedAD-sg

Inbound

TCP/UDP 53、TCP/UDP 88、UDP123

TCP 135

UDP137-138

TCP139

TCP/UDP 389

TCP/UDP 445

TCP 3389

Outbound
ALL Traffic
本地 Microsoft AD
LocalAD-sg
Inbound

TCP/UDP 53、TCP/UDP 88、

TCP 135

TCP/UDP 389

TCP/UDP 445

UDP123

TCP/UDP 464

TCP 3389

Outbound
ALL Traffic

 

3.1.4 目录管理EC2设置

            操作系统:Microsoft Windows Server 2016 Base (Chinese Traditional) – ami-01252d08bc28ffa6d

实例类型:t2.micro

网络:vpc-managed(10.0.0.0/16)

子网:Public-Man1(10.0.1.0/24)

安全组:localAD-sg

 

3.2创建AWS Managed Microsoft Directory

3.2.1创建AWS managed Microsoft AD

1.打开 AWS Directory Service console

2.在 Directories (目录) 页面上,选择设置目录。

3.选择目录类型为:AWS托管的Microsoft AD;

4.根据对象规模选择目录的版本:标准版/企业版。

5.选择目录服务所在的VPC和子网(必须包括两个位于不同AZ的子网)。

6.进行审核和创建。

7.创建完成后,选择选择您的 AWS Managed Microsoft AD ID。在目录详细信息页面上,记录域名、directory service ID和DNS服务器地址。

 

3.2.2更新vpc的DHCP options set设置

8.打开 AWS VPC 控制面板,选择DHCP选项集,创建DHCP选项集。

输入管理目录所在的域名,域名服务器地址等。

9.为VPC设置DHCP选项集,选择您的VPC,选择管理目录所在的VPC,选择操作—Edit DHCP options set。

选择刚才创建的DHCP options set。

 

3.2.3 创建AD管理EC2

10.打开AWS EC2 控制面板,选择EC2 实例,下载远程桌面文件和密码,连接到EC2.

11.安装AD DS和AD LDS工具和DNS服务器工具

12.选择开始—控制面板—-系统和安全—系统

 

选择更改配置

 

13.在计算机名/域更改页面中,输入域名:nxaws.com。

 

14.输入具有加入域权限的域用户名和密码,加入成功,重启windows server。

3.3创建本地Microsoft AD

3.3.1 安装本地AD服务

15.打开AWS EC2 控制面板,选择本地Microsoft AD EC2 实例,下载远程桌面文件和密码,连接到EC2.

16.选择服务器管理器、添加角色和功能

 

17.选择Active Directory 域服务、DNS服务器

 

18.进行相关工具和服务安装

19.安装完成后,将此服务器升级为域控制器。

 

3.3.2本地AD中设置DNS 条件转发器

设置DNS条件转发器,用于解析其他域名,实现同时对localaws.com和nxaws.com域名的解析。

20.选择服务器管理器—工具—DNS。

21.选择条件转发器,右键选择新建条件转发器。

22.输入DNS域名:nxaws.com;输入nxaws.com。

 

3.4 设置信任关系

为了实现两个域中资源共享,需要在两个域之间建立信任关系。

3.4.1 在本地AD上创建信任关系

23.选择服务器管理器—工具—Active Directory 域和信任关系

24.选中本地域名:localaws.com,右键选择 属性。

 

25.在属性页面中,选择信任—新建信任。

26.输入信任名称。

27.选择信任类型:外部信任是两个域之间的不可传递的信任关系,如果林中有多个域,需要重复创建多次;林信任是两个林之间的信任关系,可以传递。为了简便,此处我们选择林信任。

 

28.设置信任方向,可选单向、双向;此处选择双向。

29.选择只是这个域作为信任方。

 

30.选择全林性身份认证。

31.设置信任密码,并且记录下来,在对端域中设置信任关系时使用。

 

32.设置传出、传入信任。



33.创建完毕。


3.4.2 在AWS managed Microsoft AD中创建信任关系

AWS Managed directory service 中建立信任关系

34.打开directory service console页面,选择已经创建的目录—网络和安全性,选择添加信任关系。

36.选择林信任,输入远程域名:localaws.com;输入前面设置信任密码。

 

37.选择双向信任关系。

38.信任关系开始创建。

3.5 创建workspaces服务

39.打开workspaces页面,选择启动workspaces。

40.选择AWS Managed Microsoft AD目录:nxaws.com

41.目录连接成功后,可以看到我们有两个域可选:nxaws.com和localaws.com。

42.选择本地Microsoft AD域,显示所有用户,可以看到本地AD中的所有用户。

 

43.选中需要创建workspaces服务的用户名称,选择添加所选项。

 

44.选择用户成功,选择下一步。

45.为用户选择服务包,我们选择standard with windows 10。

46.启动workspaces 服务。

47.创建完成, workspaces服务状态变为Available。

48.workspaces服务会为用户发送一封注册邮件(包括客户端下载链接和注册码);或者在workspaces页面,选择刚刚创建的Workspaces 服务,可以看到客户端下载链接和注册代码。

 

49.启动客户端软件,输入注册码。

50.输入本地Microsoft AD域的用户名和密码,到远程桌面

51.登录成功。

四、总结

本文示例可以看到管理员可以通过Amazon managed Microsoft Directory和本地Microsoft AD的信任关系,通过Amazon managed Microsoft Directory服务为两个irectory中用户方便的创建Workspaces服务,不仅简化了创建workspaces服务的步骤,并且实现了不同的目录之间的资源分享和统一管理。

 

五、参考资料

《AWS Directory Service 管理指南》

https://docs.thinkwithwp.com/directory-service/index.html

《Amazon Workspaces 管理指南》

https://docs.thinkwithwp.com/zh_cn/workspaces/latest/adminguide/amazon-workspaces.html

《Amazon Workspaces 用户指南》

https://docs.thinkwithwp.com/zh_cn/workspaces/latest/userguide/workspaces-user-getting-started.html

 

 

 

本篇作者

郭瑞

AWS解决方案架构师,负责基于AWS云计算方案架构的咨询和设计,在国内推广AWS云平台技术和各种解决方案。曾就职于Microsoft公司担任技术支持工程师,负责企业私有云、公有云方案咨询和架构设计,在基础架构方面有丰富经验。