Arbeitsstationen in die Cloud auslagern und an Active Directory anbinden

So richten Sie Active Directory für AWS Workspaces ein

| Autor / Redakteur: Thomas Joos / Andreas Donner

Virtuelle Cloud-Desktops auf AWS-Basis lassen sich auch an lokale AD-Strukturen anknüpfen.
Virtuelle Cloud-Desktops auf AWS-Basis lassen sich auch an lokale AD-Strukturen anknüpfen. (Bild: Joos / AWS)

Amazon bietet in seinem Clouddienst AWS die Möglichkeit, Arbeitsstationen zu betreiben, die sich wiederum an lokale Active-Directory-Umgebungen anbinden lassen. Wir zeigen in diesem Beitrag was dabei wichtig ist.

Amazon WorkSpaces ermöglichen das Bereitstellen von virtuellen Desktops in der Cloud. Als Betriebssystem lässt sich hierfür vor allem Windows 10 und Linux nutzen. Administratoren können aber auch eigene Images erstellen, auf deren Basis die Desktops bereitgestellt werden.

Amazon stellt verschiedene Varianten zur Verfügung. Die Benutzerdaten werden im AWS-Dienst Amazon WorkDocs gespeichert. Workspaces werden in der AWS-Konsole in einem eigenen Bereich verwaltet.

Arbeitsstationen an Active Directory anbinden

Für Serverdienste, die sich im internen Netzwerk befinden, verhalten sich die Arbeitsstationen aus AWS wie lokal betriebene Arbeitsstationen. Bei der Anbindung der cloudbasierten Desktops an ein lokales Active Directory werden Computerobjekte genauso wie bei internen Arbeitsstationen auch erstellt. Solche Computerobjekte sind wie interne Objekte nutzbar und lassen sich auch so konfigurieren.

Die Anbindung an Active Directory erfolgt über den Menüpunkt „Directories“ innerhalb der Workspaces-Konsole. Hier sind die Directories zu sehen, die sich in AWS befinden. Außerdem kann hier eine Anbindung an lokale Active Directory-Umgebungen erfolgen. Dazu wird die Schaltfläche „Set up Directory“ genutzt.

Verwaltetes Active Directory, lokales AD oder Samba nutzen

Im Assistenten zur Anbindung von AWS Workspaces an ein Active Directory stehen drei Optionen zur Verfügung:

  • AWS Managed Microsoft AD
  • Simple AD
  • AD Connector

Bei der Auswahl von „AWS Managend Microsoft AD“ wird in der Cloud ein Microsoft Active Directory eingerichtet, für das kein eigener Domänencontroller betrieben werden muss. Das vollständig verwaltete Active Directory steht auch für andere Clouddienste in AWS zur Verfügung, zum Beispiel Amazon EC2, Amazon RDS für SQL Server, oder für selbst erstellte .NET-Anwendungen.

Die Option „Simple AD“ stellt ein Active Directory auf Basis von Linux Samba dar. Diese Option kann für AWS Workspaces genutzt werden, allerdings nur eingeschränkt mit anderen Diensten in AWS.

Mit „AD Connector“ wird AWS mit einem lokal betriebenen Active Directory verbunden. Alle Authentifizierungsanforderungen werden so an ein lokales Active Directory angebunden. Dabei speichert AWS keine Daten zwischen. Amazon bietet zwei Versionen des Connectors an. Die kleine Version unterstützt bis zu 500 Benutzer, die große Version bis zu 5.000 Benutzer. Im Rahmen der Auswahl wird auch das virtuelle Netzwerk für die Anbindung erstellt. Anschließend werden die Daten eingegeben, mit denen das lokale Active Directory über das virtuelle Netzwerk in AWS erreichbar ist. Danach erfolgt die Anbindung an das lokale AD.

Managed Active Directory in AWS

Über den Assistenten zur Anbindung von AWS Workspaces an Active Directory, kann durch Auswahl von „AWS Managed Microsoft AD“ ein vollständiges Active Directory in der Cloud eingerichtet werden. Hier stehen die beiden Optionen „Standard Edition“ und „Enterprise Edition“ zur Verfügung. Standardmäßig werden zwei virtuelle Domänencontroller erstellt. Natürlich lassen sich jederzeit weitere Domänencontroller hinzufügen. Die verschiedenen Möglichkeiten und Editionen werden bei der Einrichtung erläutert. Auch die Preise für die Einrichtung werden beim Anlegen eines Verzeichnisses angezeigt.

Beim Anlegen eines Active Directories lassen sich, wie bei lokalen Active-Directory-Umgebungen auch, DNS-Name und NetBIOS-Name der Active-Directory-Domäne anlegen. Der DNS-Name der Active-Directory-Umgebung ist nur innerhalb des VPC zugreifbar. Es ist kein öffentlicher Name notwendig.

Wurden alle Informationen im Assistenten angegeben, kann das Verzeichnis mit „Verzeichnis erstellen“ angelegt werden. Wer ein kostenloses AWS-Konto nutzt, kann das Verzeichnis bis zu 30 Tage kostenlos testen. Nach dem Anlegen wird das Verzeichnis in den registrierten Verzeichnissen angezeigt. Bei „Actions“ steht über „Directories“ in der Workstation-Konsole der Befehl zum registrieren und deregistrieren einer Domäne zur Verfügung.

Active Directory mit Samba anlegen

Auf dem gleichen Weg, wie das Anlegen eines verwalteten Active Directories auf Basis von Windows Servern, kann in AWS auch ein Verzeichnis auf Basis von Samba angelegt werden. Die Vorgehensweise ist identisch, allerdings ist der Funktionsumfang eingeschränkt. Das „Simple AD“ unterstützt folgende Funktionen nicht:

  • Amazon AppStream 2.0
  • Amazon Chime
  • Amazon RDS for SQL Server
  • AWS – Einmaliges Anmelden
  • Vertrauensstellungen mit anderen Domänen
  • Active Directory Administrative Center
  • PowerShell
  • Active Directory-Papierkorb
  • Gruppenverwaltete Service-Konten
  • Schemaerweiterungen für POSIX und Microsoft-Anwendungen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45947696 / Client-/Server-Administration)