使用 AWS 托管的 Managed Directory 作为目录服务开通 Workspaces 云桌面 – PCMAN的技术博客

在4-5年前就编写过Workspaces服务开通并且是使用AD Connector与企业现有Active Directory对接的文章。由于界面升级变化，操作体验上和过去的博客文章有所差别了。所以这里新写一篇如何使用 AWS 托管的 Managed Directory 作为目录服务开通 Workspaces 云桌面的文章供参考。

一、背景

Amazon Workspaces是托管的云上桌面服务，专有的Workspaces客户端支持Windows、Mac、Linux和网页等多种形态的设备登录到云桌面，通过PCoverIP或者专有的WSP协议提供流畅的画面显示能力。

Workspaces的每个云桌面都是微软域环境，用户管理、Profile漫游等策略下发都通过域控制器进行，因此所有桌面都是域成员。Workspaces服务支持用户自建域也就是自己的Domain Controller，可通过名为AD Connector的服务进行连接；Workspaces也支持使用AWS云上托管的Managed Directory服务，可无需搭建域控制器，实现几乎开箱即用的体验。

本文介绍如何快速的创建AWS Managed Workspaces。主要步骤如下：

创建AWS托管的Directory
新建Workspaces并创建桌面用户
激活用户并下载
首次登录桌面

下面开始配置。

二、创建AWS Managed Directory

由于所有桌面都是加入域的，因此创建目录服务是强制要求。首先创建一个由AWS托管的Managed Directory服务。如果您希望使用现有Active Directory与Workspaces对接，那么请参考相应的产品文档。

进入AWS控制台，搜索关键字Workspaces，进入服务。如下截图。

确认当前使用的Region正确。例如本文使用东京Region。如下截图。

点击左侧的Directory目录服务，然后点击右侧的创建按钮Create Workspacs personal Directory。如下截图。

在目录类型下，选择AWS Managed Microsoft AD，也就是托管的AD服务。如下截图。

在目录类型三个，选择Standard Edition。在Organization Name位置，输入组织名称例如myad01，在Directory DNS name位置输入域名全名例如myad01.com。如下截图。

将页面向下移动。在域名简写位置留空（默认是CORP不用修改）。在目录表述位置留空。然后设置目录的管理员密码。注意这里不是设置桌面用户密码，这是设置整个目录的管理员密码。设置完毕后点击下一步继续。如下截图。

在目录绑定的网络位置，选择本Region的VPC和子网（一般使用默认VPC即可和对应的公有子网即可）。如下截图。

注意：这里选择使用公有子网是为了让本桌面可以直接访问外部互联网，例如连接Github下载代码、访问Google搜索，或者查询其他API服务。星创建的桌面默认只能被Workspaces客户端连接，是没有开放其他端口联入的，因此不用担心安全问题。如果您的公司规则强制要求所有桌面必须使用内网IP、并通过NAT网关统一进行出口地址映射，那么请咨询您的网络团队以选择正确的子网。

点击创建按钮。如下截图。

创建进行中。这里需要等待3-5分钟更，在Status这一列显示为绿色的Active就表示创建完成。如下截图。

创建成功后还要进行注册。选中刚才创建的目录，从操作下拉框上，选择Actions操作清单，点击里边的Register按钮进行注册。如下截图。

注册时候再次选择确认子网，选择和之前创建时候相同的子网即可。另外，在配置界面上，选中第一项Enable self-service permission，这表示允许Workspaces用户进行自助修改密码等操作。而第二个选项Enable Amazon Workdocs是Amazon针对云桌面的网盘产品，这个选项不需要开启。如下截图。

注册完毕，可以在目录服务中看到Registered变成True表示注册成功。

下来开始创建云桌面。

三、创建Workspaces云桌面

在完成了Directory目录服务的创建后，现在开始创建桌面。

Workspaces分成两种类型：1是用户持久化保存数据的Personal类型，每个桌面有且仅有唯一的用户，数据持久保存；2是Pool资源池类型，用户不持久化保存，一旦注销出去，上次访问数据自动清空。本文使用的场景是Personal场景也就是持久化保存个人数据的场景。

进入Workspaces服务，从左侧菜单中找打Personal，点击进入。点击右上角的Create按钮。如下截图。

在创建向导界面上，选择类型是Redcommend workspace，在Do your users need to access the same WorkSpace each time they sign into a session是否持久保留数据的选项位置选择Yes - presistent表示持久保存数据的个性化桌面。在What will your users use the workspace for使用场景下，选择Web browsing网页浏览。在操作系统位置从下拉框中选择Windows。然后继续向下滚动屏幕。如下截图。

向导本页其他无需修改，点击Next下一步按钮继续。

在向导第二步WorkSpaces type位置，选择Personal，在软件包Bundle位置，选择使用系统预置的OS镜像Use a public WorkSpaces bundle。下边下拉框已经有预先选中的Performance with Windows 10(Server)这个就不用再修改了。

这里添加一些额外解释，Workspaces使用的显示协议并不是微软RDP远程桌面协议，而是Amazon自己研发的WSP或者是有商业许可的PCoverIP协议。这两种协议都是给弱网条件进行优化的，且Workspaces客户端对这两种协议都支持。如果您保持全默认选项，那么Bundle这里默认会使用使用WSP协议的镜像。如果您希望切换显示协议为PCoverIP协议，那么您可以从Bundle下拉框里边，找到分组是PCoverIP下的配置，那么创建好的桌面就会是默认使用PCoverIP的协议。这两种显示协议镜像不同，桌面一旦创建好不能修改。

继续向下滚动页面。如下截图。

在页面下半部分，选择运行模式是Auto stop，闲置关闭时间是1小时。这表示如果桌面闲置达到一个小时，就会自动休眠，以节约成本。如下截图。接下来点击下一步。

在向导第三步，点击选择目录按钮，从目录清单中选择上一步创建的目录，然后点击下方的Create users按钮创建用户。如下截图。

在创建用户对话框位置，输入username这里后续会作为登录的用户名。继续输入First name和Last name未来只会作为友好显示名称。输入邮箱地址，激活用户和桌面的邮件会发送到这个地址。请务必确认这个地址输入正确。如果输入错误，只能删除掉本用户然后重新创建。这里使用国内邮件地址包括163等均可正常工作。另外本步骤不需要设置密码，后续创建完毕后系统会提供激活链接设置初始化密码。如下截图。