Amazon WorkSpaces – Problemas de acceso al disco local (D:)

Por Caio Ribeiro Cesar, Arquitecto de Solciones Especializadas en Tecnología de Microsoft en la nube AWS
Daniel Pires, Sr. Technical Account Manager de AWS

Recientemente, se nos informó de que al instalar Amazon WorkSpaces en un entorno integrado con Active Directory existente, los usuarios finales recibían errores de “driver is not accessible”. En esta publicación, analizaremos cómo resolver este problema, cuando su organización tenga un entorno de Amazon WorkSpaces, utilizando AD Connector para dirigir las solicitudes a su propio Microsoft Active Directory local (sin almacenar en caché ninguna información en la nube) o incluso, utilizando el servicio administrado de AWS Active Directory denominado AWS Managed Microsoft AD.

Amazon WorkSpaces es una solución de desktop como servicio (DaaS) administrada y segura. Puede utilizar Amazon WorkSpaces para aprovisionar desktops, con sistema operativo Windows o Linux, en cuestión de minutos y escalar rápidamente a miles de usuarios en todo el mundo. Amazon WorkSpaces ayuda a simplificar su estrategia de entrega de desktops eliminando la complejidad de administrar el inventario de hardware, las versiones y parches del SO y la infraestructura de escritorio virtual (VDI).

Con Amazon WorkSpaces, los usuarios obtienen un desktop de su elección al que pueden acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo compatible con conexión a internet. Comprueba aquí si tu dispositivo es compatible.

Amazon WorkSpaces utiliza directorios para almacenar y administrar información de WorkSpaces y usuarios. Como servicio de directorio, puede elegir entre las siguientes opciones:

• Simple Active Directory (según disponibilidad en la región elegida).
• Active Directory Connector.
• AWS Directory Service para Microsoft Active Directory, también conocido como “AWS Managed AD”
• Directorios externos, como por ejemplo Azure Active Directory Domain Services.

El cliente de Amazon WorkSpaces, para Windows y macOS, soporta el uso de dispositivos de audio e impresoras USB y tanto teclados como mouses con conexión USB y Bluetooth. Para sistemas operativos Linux solo ofrece soporte para teclado y mouse USB. No se ofrece soporte para cámaras web y otros dispositivos de vídeo u otros periféricos conectados localmente, como los dispositivos de almacenamiento.

Cuando los administradores inician un entorno de Amazon Workspaces, este se integra con Active Directory y, en consecuencia, con las directivas de dominio aplicables a estos equipos (GPO aplicado a nivel de sitio, dominio o unidad organizativa). Un usuario puede conectarse a un WorkSpaces desde cualquier dispositivo compatible, mediante la aplicación cliente gratuita de Amazon WorkSpaces, incluyendo computadores con sistema operativo Windows y macOS, Chromebooks, iPads, Fire tablets, Android tablets o navegadores web Chrome y Firefox. Los usuarios iniciarán sesión con credenciales provistas por un administrador o con sus propias credenciales de Active Directory, siempre y cuando haya integrado Amazon WorkSpaces con un dominio de Active Directory existente. Una vez que el usuario ha iniciado sesión en un WorkSpace, puede realizar todas las tareas habituales que haría en un su equipo de escritorio.

En el escenario descripto en esta publicación, al iniciar sesión en Amazon WorkSpace, algunos usuarios recibieron el siguiente mensaje de error:

Al ejecutar un “Resultant Set of Policy” (RSoP) en los equipos afectados, encontramos una peculiaridad en un GPO específico:

El valor de “Computer Configuration\Admin templates\System\removable storage access\all removable storage classes” se encuentra configurado con la opción “Deny All access”.

¿Qué significa esto? A partir de Windows 7 y Windows Server 2008 R2, Microsoft ha agregado algunos controles adicionales para facilitar el bloqueo del acceso al almacenamiento extraíble, esto incluye unidades flash y unidades de DVD. Con esta política habilitada para “Deny all Access”, Amazon Workspaces no entregará acceso a los discos al usuario final.

Debido a que este entorno de Active Directory se encuentra en producción, no es posible efectuar ningún cambio intrusivo para resolver este problema. Es decir, optaremos por utilizar un filtro WMI para remover de esta configuración de “Deny all Access” en “Removable Storage Classes” a los Amazon WorkSpaces desplegados.

En otras palabras, los clientes de AWS que deseen mantener esta configuración mientras ejecutan Amazon Workspaces en su entorno pueden optar por un filtro WMI.  Windows Management Instrumentation (WMI) es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), que es una iniciativa del sector para desarrollar una tecnología estándar para acceder a la información de administración en un entorno empresarial. WMI utiliza el estándar Common Information Model (CIM) para representar sistemas, aplicaciones, redes, dispositivos y otros componentes administrados. CIM es desarrollado y mantenido por el Distributed Management Task Force (DMTF).

Para crear el filtro WMI, accedemos a Group Policy Management Console > WMI Filter:

Creamos un nuevo filtro WMI:

Para comprender cómo se puede crear el filtro, hemos recopilado los datos de WMI de los equipos de Amazon WorkSpaces con PrimaryOwnerName de “EC2”.

Get-WmiObject -query "select * from Win32_ComputerSystem"

Obs.: Esta es una de las formas de filtrar un Amazon WorkSpaces; la mejor opción es siempre la qué se adapte mejor a su entorno de Active Directory.

En el filtro WMI, agregamos la entrada:

SELECT * FROM Win32_ComputerSystem Where PrimaryOwnerName='EC2'

Después de cerrar sesión y volver a iniciar sesión en Amazon WorkSpaces, podemos validar que el problema ha sido resuelto.

Además de la solución explicada anteriormente, Amazon WorkSpaces soporta el re direccionamiento a impresoras locales. Al imprimir desde una aplicación en su WorkSpace, es posible encontrar las impresoras locales en la lista de impresoras disponibles. Las impresoras locales tienen un atributo asociado al nombre para mostrar de la impresora. Normalmente, este atributo se puede encontrar con el nombre “Local”. Seleccione una de las impresoras locales y sus documentos se imprimirán en esta impresora.

Para esta configuración, debemos crear una nueva política que habilita el USB para la sesión PCoIP (teniendo siempre en cuenta los periféricos compatibles: teclados y ratones USB/Bluetooth, auriculares de audio USB e impresoras USB).

Configuramos la tabla de autorización USB en la opción “Allow All USB Format”:

Desactivamos la opción “allowed/unallowed device rules”:

Desde nuestra sesión de Amazon WorkSpaces seleccionamos la impresora local e imprimimos una página de prueba en la impresora local (USB) conectada al ordenador.

En esta publicación, analizamos Amazon WorkSpaces y la utilización de los métodos de administración utilizando Group Policy Object (GPO). Amazon WorkSpaces son ejecutados sobre instancias Amazon EC2 alojadas en una VPC. La comunicación entre EC2 y el cliente se gestiona mediante el protocolo PCoIP (PC sobre IP). La conexión del cliente debe permitir conexiones TCP y UDP salientes en el puerto 4172, junto con conexiones TCP salientes en el puerto 443.

Este artículo fue traducido del Blog de AWS en Portugués.

Sobre los autores

Caio Ribeiro Cesar trabaja actualmente como arquitecto de soluciones tecnológicas de Microsoft en la nube de AWS. Comenzó su carrera profesional como administrador de sistemas, que continuó durante más de 13 años en áreas como Seguridad de la Información, Identidad Online y Plataformas de Correo Electrónico Corporativo. Recientemente, se ha convertido en un fan de la informática en la nube de AWS y ayuda a los clientes a aprovechar el poder de la tecnología de Microsoft en AWS.

Daniel Pires trabaja actualmente como Sr. Gestor técnico de cuentas en Amazon Web Services. Ha trabajado con tecnologías de Microsoft durante más de 15 años (Active Directory, Hybrid Identity, Microsoft Azure).

Revisor

Maximiliano Kretowicz es Senior Arquitecto de Soluciones en AWS Chile.