HAQM WorkSpaces – Problemas de acceso al disco local (D:)

Por Caio Ribeiro Cesar, Arquitecto de Solciones Especializadas en Tecnología de Microsoft en la nube AWS
Daniel Pires, Sr. Technical Account Manager de AWS

Recientemente, se nos informó de que al instalar HAQM WorkSpaces en un entorno integrado con Active Directory existente, los usuarios finales recibían errores de “driver is not accessible”. En esta publicación, analizaremos cómo resolver este problema, cuando su organización tenga un entorno de HAQM WorkSpaces, utilizando AD Connector para dirigir las solicitudes a su propio Microsoft Active Directory local (sin almacenar en caché ninguna información en la nube) o incluso, utilizando el servicio administrado de AWS Active Directory denominado AWS Managed Microsoft AD.

HAQM WorkSpaces es una solución de desktop como servicio (DaaS) administrada y segura. Puede utilizar HAQM WorkSpaces para aprovisionar desktops, con sistema operativo Windows o Linux, en cuestión de minutos y escalar rápidamente a miles de usuarios en todo el mundo. HAQM WorkSpaces ayuda a simplificar su estrategia de entrega de desktops eliminando la complejidad de administrar el inventario de hardware, las versiones y parches del SO y la infraestructura de escritorio virtual (VDI).

Con HAQM WorkSpaces, los usuarios obtienen un desktop de su elección al que pueden acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo compatible con conexión a internet. Comprueba aquí si tu dispositivo es compatible.

HAQM WorkSpaces utiliza directorios para almacenar y administrar información de WorkSpaces y usuarios. Como servicio de directorio, puede elegir entre las siguientes opciones:

• Simple Active Directory (según disponibilidad en la región elegida).
• Active Directory Connector.
• AWS Directory Service para Microsoft Active Directory, también conocido como “AWS Managed AD”
• Directorios externos, como por ejemplo Azure Active Directory Domain Services.

El cliente de HAQM WorkSpaces, para Windows y macOS, soporta el uso de dispositivos de audio e impresoras USB y tanto teclados como mouses con conexión USB y Bluetooth. Para sistemas operativos Linux solo ofrece soporte para teclado y mouse USB. No se ofrece soporte para cámaras web y otros dispositivos de vídeo u otros periféricos conectados localmente, como los dispositivos de almacenamiento.

Cuando los administradores inician un entorno de HAQM Workspaces, este se integra con Active Directory y, en consecuencia, con las directivas de dominio aplicables a estos equipos (GPO aplicado a nivel de sitio, dominio o unidad organizativa). Un usuario puede conectarse a un WorkSpaces desde cualquier dispositivo compatible, mediante la aplicación cliente gratuita de HAQM WorkSpaces, incluyendo computadores con sistema operativo Windows y macOS, Chromebooks, iPads, Fire tablets, Android tablets o navegadores web Chrome y Firefox. Los usuarios iniciarán sesión con credenciales provistas por un administrador o con sus propias credenciales de Active Directory, siempre y cuando haya integrado HAQM WorkSpaces con un dominio de Active Directory existente. Una vez que el usuario ha iniciado sesión en un WorkSpace, puede realizar todas las tareas habituales que haría en un su equipo de escritorio.

En el escenario descripto en esta publicación, al iniciar sesión en HAQM WorkSpace, algunos usuarios recibieron el siguiente mensaje de error:

Al ejecutar un “Resultant Set of Policy” (RSoP) en los equipos afectados, encontramos una peculiaridad en un GPO específico:

El valor de “Computer Configuration\Admin templates\System\removable storage access\all removable storage classes” se encuentra configurado con la opción “Deny All access”.

¿Qué significa esto? A partir de Windows 7 y Windows Server 2008 R2, Microsoft ha agregado algunos controles adicionales para facilitar el bloqueo del acceso al almacenamiento extraíble, esto incluye unidades flash y unidades de DVD. Con esta política habilitada para “Deny all Access”, HAQM Workspaces no entregará acceso a los discos al usuario final.

Debido a que este entorno de Active Directory se encuentra en producción, no es posible efectuar ningún cambio intrusivo para resolver este problema. Es decir, optaremos por utilizar un filtro WMI para remover de esta configuración de “Deny all Access” en “Removable Storage Classes” a los HAQM WorkSpaces desplegados.

En otras palabras, los clientes de AWS que deseen mantener esta configuración mientras ejecutan HAQM Workspaces en su entorno pueden optar por un filtro WMI.  Windows Management Instrumentation (WMI) es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), que es una iniciativa del sector para desarrollar una tecnología estándar para acceder a la información de administración en un entorno empresarial. WMI utiliza el estándar Common Information Model (CIM) para representar sistemas, aplicaciones, redes, dispositivos y otros componentes administrados. CIM es desarrollado y mantenido por el Distributed Management Task Force (DMTF).

Para crear el filtro WMI, accedemos a Group Policy Management Console > WMI Filter:

Creamos un nuevo filtro WMI:

Para comprender cómo se puede crear el filtro, hemos recopilado los datos de WMI de los equipos de HAQM WorkSpaces con PrimaryOwnerName de “EC2”.

Get-WmiObject -query "select * from Win32_ComputerSystem"

Obs.: Esta es una de las formas de filtrar un HAQM WorkSpaces; la mejor opción es siempre la qué se adapte mejor a su entorno de Active Directory.

En el filtro WMI, agregamos la entrada:

SELECT * FROM Win32_ComputerSystem Where PrimaryOwnerName='EC2'

Después de cerrar sesión y volver a iniciar sesión en HAQM WorkSpaces, podemos validar que el problema ha sido resuelto.

Además de la solución explicada anteriormente, HAQM WorkSpaces soporta el re direccionamiento a impresoras locales. Al imprimir desde una aplicación en su WorkSpace, es posible encontrar las impresoras locales en la lista de impresoras disponibles. Las impresoras locales tienen un atributo asociado al nombre para mostrar de la impresora. Normalmente, este atributo se puede encontrar con el nombre “Local”. Seleccione una de las impresoras locales y sus documentos se imprimirán en esta impresora.

Para esta configuración, debemos crear una nueva política que habilita el USB para la sesión PCoIP (teniendo siempre en cuenta los periféricos compatibles: teclados y ratones USB/Bluetooth, auriculares de audio USB e impresoras USB).

Configuramos la tabla de autorización USB en la opción “Allow All USB Format”:

Desactivamos la opción “allowed/unallowed device rules”:

Desde nuestra sesión de HAQM WorkSpaces seleccionamos la impresora local e imprimimos una página de prueba en la impresora local (USB) conectada al ordenador.

En esta publicación, analizamos HAQM WorkSpaces y la utilización de los métodos de administración utilizando Group Policy Object (GPO). HAQM WorkSpaces son ejecutados sobre instancias HAQM EC2 alojadas en una VPC. La comunicación entre EC2 y el cliente se gestiona mediante el protocolo PCoIP (PC sobre IP). La conexión del cliente debe permitir conexiones TCP y UDP salientes en el puerto 4172, junto con conexiones TCP salientes en el puerto 443.

Este artículo fue traducido del Blog de AWS en Portugués.

Sobre los autores

Caio Ribeiro Cesar trabaja actualmente como arquitecto de soluciones tecnológicas de Microsoft en la nube de AWS. Comenzó su carrera profesional como administrador de sistemas, que continuó durante más de 13 años en áreas como Seguridad de la Información, Identidad Online y Plataformas de Correo Electrónico Corporativo. Recientemente, se ha convertido en un fan de la informática en la nube de AWS y ayuda a los clientes a aprovechar el poder de la tecnología de Microsoft en AWS.

Daniel Pires trabaja actualmente como Sr. Gestor técnico de cuentas en HAQM Web Services. Ha trabajado con tecnologías de Microsoft durante más de 15 años (Active Directory, Hybrid Identity, Microsoft Azure).

Revisor

Maximiliano Kretowicz es Senior Arquitecto de Soluciones en AWS Chile.