本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 案例 1 ︰使用 AD 連接器對內部部署作用中 Directory Service 的代理驗證
<a name="scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service"></a>

 這個案例適用於不想要擴充其內部部署 AD 服務 AWS，或 AD DS 的新部署不是選項的客戶。下圖顯示了高級別，每個組件和用戶身份驗證流程。

![\[在每個元件和使用者驗證流程中顯示的高階架構範例。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/best-practices-deploying-amazon-workspaces/images/ad-connector-to-onprem.png)


 在這個案例中， AWS Directory Service (AD Connector) 會用於透過 AD 連接器代理至客戶內部部署 AD DS 的所有使用者或 MFA 驗證 (如下圖所示)。如需有關驗證程序所使用之通訊協定或加密的詳細資訊，請參閱本文件的[安全](security.md)章節。

![\[範例架構顯示如何將 AD Connector 用於透過 AD 連接器代理至客戶內部部署 AD DS 的所有使用者或 MFA 驗證。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/best-practices-deploying-amazon-workspaces/images/user-authentication-auth-gateway.png)


 案例 1 顯示客戶可能已經擁有資源的混合式架構 AWS，以及可透過 Amazon 存取的現場部署資料中心中的資源 WorkSpaces。客戶可以利用現有的內部部署 AD DS 和 RADIUS 伺服器進行使用者和 MFA 驗證。

 此架構使用下列元件或建構：

## AWS
<a name="aws"></a>
+  **Amazon VPC** — 建立具有跨兩個 AZ 的至少兩個私有子網路的 Amazon VPC。
+  **DHCP 選項集** — 建立一個 Amazon VPC 端 DHCP 選項集。這可讓您定義客戶指定的網域名稱和網域名稱伺服器 (DNS) (內部部署服務)。如需詳細資訊，請參閱 [DHCP 選項集](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)。
+  **Amazon 虛擬私有閘**道 — 啟用透過 IPSec VPN 通道或 AWS Direct Connect 連線與您自己的網路通訊。
+  **AWS Directory Service** — AD Connector 部署到一對 Amazon VPC 私有子網路中。
+  **Amazon WorkSpaces** — 部署 WorkSpaces 在與 AD Connector 相同的私有子網中。如需詳細資訊，請參閱本文件的 [Active Directory：網站與服務](design-considerations.md#active-directory-sites-and-services)一節。

## 客戶
<a name="customer"></a>
+  **網路連線** — 企業 VPN 或直 Connect 線端點。
+  **廣告 DS** — 企業廣告 DS.
+  **MFA（可選）**— 公司 RADIUS 服務器。
+  **終端使用者裝置** — 用於存取 Amazon 服務的企業或自攜授權 (BYOL) 使用者裝置 (例如 Windows、Mac、iPads、安卓平板電腦、零用戶端和 Chromebook)。 WorkSpaces 如需[支援的裝置和 Web 瀏覽器，請參閱此用戶端應用程式清](https://docs.aws.amazon.com/workspaces/latest/userguide/workspaces-user-getting-started.html#choose-client)單。

 雖然此解決方案對於不想將 AD DS 部署到雲端的客戶來說非常有用，但確實有一些警告：
+  **依賴連**線 — 如果與資料中心的連線中斷，使用者將無法登入各自的連線 WorkSpaces，而且在 Kerberos /票證授權票證 (TGT) 期間，現有的連線將保持作用中。
+  **延遲** — 如果透過連線存在延遲 (VPN 比直 Connect 線更多)，則 WorkSpaces 驗證和任何 AD DS 相關活動 (例如群組原則 (GPO) 強制執行，將會花費更多時間。
+  **流量成本** — 所有驗證都必須遍歷 VPN 或直接 Connect 鏈接，因此它取決於連接類型。這可能是從 Amazon EC2 傳出到網際網路的資料傳輸，也可以是資料傳出 (直 Connect)。

**注意**  
 AD Connector 是代理服務。它不存儲或緩存用戶憑據。相反地，所有驗證、查詢和管理要求都會由 AD 處理。目錄服務中需要具有委派權限的帳戶，並具有讀取所有使用者資訊並將電腦加入網域的權限。

 一般而言，體 WorkSpaces 驗高度依賴於上圖所示的 Active Directory 驗證程序。在此案例中，驗 WorkSpaces 證體驗高度依賴於客戶 AD 和 WorkSpaces VPC 之間的網路連結。客戶應確保鏈接具有高可用性。