こんにちは。ヒガシです。
デスクトップもクラウドで調達したいよっていう意識高い系のお客様なら、AD なんてとっくの昔に AWS 上に構築しちゃってますよね。
今回は、既存の AD をつかって WorkSpaces を利用する方法を書きました。
目次
WorkSpaces するにはディレクトリが必要
WorkSpaces を利用するためにディレクトリと呼ばれるものが必要です。
ディレクトリとはIT用語辞典によると下記の通りです。
ディレクトリサービスとは、ネットワーク上の資源とその所在や属性、設定などの情報を収集・記録し、検索できるようにしたシステム。そのような機能をを提供するコンピュータやソフトウェアのことを「ディレクトリサーバ」(directory server)という。 ( IT用語辞典 より )
Active Directory ( AD ) のことですね。WorkSpaces を利用するために何かしらのディレクトリーサビスが必要です。
AWS では 3 つ用意されています。
- AD Connector
- Microsoft AD
- Simple AD
今回は既存のオンプレミス Microsoft Acitive Directory と接続する AD Connector を利用します。
オンプレミスと書いてますが、EC2 上の AD と接続するときも AD Connector を利用します。
他のディレクトリサービスについては AWS ドキュメントを参照ください。
Amazon WorkSpaces のディレクトリの管理
AD の構成を確認する
AD サーバの構成は下記のとおりです。
Hostname: HIGASHI-AD
IP Address: 10.0.2.5
ドメイン: east.local
OS: Windows Server 2016
あと、忘れがちですが、 AD Connector から下記のポートにアクセスできるように Security Group の設定も忘れないでください。
- TCP/UDP 53 – DNS
- TCP/UDP 88 – Kerberos authentication
- TCP/UDP 389 – LDAP
AD Connector 用のアカウントを用意する
AD の操作権限のあるアカウントがあれば問題ないですが、可能でしたら AD Connector 用のアカウントを用意しましょう。
詳細は AWS のドキュメントに書いてありますが、説明が English 版の UI をもとに書かれているので一応スクショ張っておきます。
作成したグループ Connectors に権限を移譲します
次へをクリック
[ 追加 ]をクリック
Connectors と入力して [ OK ] をクリック
[ 次へ ]
[ 委任するカスタムタスクを作成する ] を選択
[ フォルダー内の次のオブジェクトのみ ] を選択し、[ コンピュータオブジェクト ] と [ ユーザーオブジェクト ] を選択
[ 選択されたオブジェクトをこのフォルダーに作成する ]と[ 選択されたオブジェクトをこのフォルダーから削除する ]にチェックをいれて [ 次へ ]
画面のとおりチェックを入れて [ 次へ ]
任意のユーザ ( adconnector ) を作成
作成したユーザを Connectors に追加して終了
ディレクトリを設定する
AWS コンソールの WorkSpaces のディレクトリメニューを開きます。
[ ディレクトリの設定 ] ボタンをクリックします。
ディレクトリタイプの選択ページが表示されるので、 [ AD Connector の作成 ] をクリックします。
ディレクトリの詳細画面が表示されます。
AD の情報を入力します。
組織名は何でもよいです。ドメインの通称名にすると良いでしょう。
NetBIOS 名は AD サーバのホスト名入れちゃってください。
アカウントユーザは、先ほど作成したアカウント情報を入力しましょう。
あと、注意点としては AD Connector が展開するサブネットは異なる AZ で 2 つ必要です。
予めサブネットを 2 つ用意してください。今回は事前に Public Subnet を AZ 別で 2 つ用意してます。
程なくしてステータスが Requested から Active になります。
WorkSpaces を起動する
AD Connector の用意ができたら後は簡単です。
画面をポチポチして WorkSpaces を起動するだけです。
WorkSpaces のコンソールから、[ WorkSpaces の起動 ] ボタンをクリックすると先程 AD Connector で連携したドメインが選択できるようになってます。
WorkDocs を使わないのであれば [ Aamazon WorkDocs の有効化 ] を [ いいえ ] にしておきましょう。
ドメインユーザを指定します。検索ボックスにユーザ名を入れて検索する事ができて便利です。
WorkSpaces はドメインユーザーアカウントと WorkSpaces が 1:1 の関係です。
今回指定した higashi ユーザは今回作る WorkSpaces にしかアクセスできません。
通常、ドメインに参加したマシンならどのドメインユーザでもログインできる仕様ですが、 WorkSpaces は違うので注意が必要です。
OS を選択します。ここで、言語を [ Japanese(日本語)] を選択しないと English 版の Windows 10 が起動しちゃいますので注意してください。
ルートボリュームは C ドライブの事です。ユーザボリュームは D ドライブです。
D ドライブのサイズは選べますのでここで指定します。
月額課金にするか時間課金にするか選択します。デフォルトは時間課金です。
自動停止時間は最小が 1 時間です。 1 時間アクセスがないと勝手にシャットダウンされ課金対象から外れる設定です。
残りは、ディスクの暗号化とタグの設定です。
設定の確認です。問題なければ [ WorkSpaces の起動 ] を選択して終了です。
20 分ほど待つとステータスが PENDING から AVAILABLE に変わります。
WorkSpaces にアクセスする
RDP でも接続可能ですが少々設定が必要ですので、直に WorkSpaces 用のクライアントからアクセスします。
下記 URL 先から自分の環境にあった WorkSpaces クライアントをダウンロードします。
https://clients.amazonworkspaces.com/
クライアントをセットアップし起動すると登録コードの入力を促されます。
登録コードは WorkSpaces の詳細に記載があります。
あとは、ドメインユーザ情報を入力するとアクセスできます。
編集後記
Windows 系のブログ書くとスクショが増えて面倒ですね。
