今回のゴール
AWSのマネージドサービスである”AWS Managed Microsoft AD”でドメイン環境を構築します。
そのドメイン環境にAD管理用にWork Spacesで作成したVDIクライアントをドメイン参加させます。
(VDIのクライアントにリモートサーバー管理ツールをインストールして、AD関連の設定・グループポリシーの設定をできるようにします。)
注意点
※今回Work Spaces(仮想デスクトップサービス)を使うのですが、東京リージョンのAZの1つであるap-northeast-1dに作成したサブネットではWork Spacesのディレクトリが選択できませんでした。
VPCのサブネットを作成するときは”ap-northeast-1d”以外のAZに作成してください。
AWS Directory Service設定
サービス”Directory Service”メニューに移動し、「ディレクトリのセットアップ」ボタンを押します。
今回は”AWS Managed Microsoft AD”を選択しました。
今回は”Standard Edition”を選択しました。
[ディレクトリのDNS名]、[Adminパスワード]、[パスワードの確認]を入力します。
ディレクトリを含む[VPC]を選択します。
最低2つのサブネットが必要になりますので、2つサブネットを指定します。
(なければ新規作成してください)
しばらく時間がかかりますが、ステータスが”アクティブ”になれば完了です。
Directory Serviceの追加設定
下記リンクを参照してください。
AWS Directory Service(MicrosoftAD)環境を構築したらすべき事
Directory Serviceの補足
Directory Serviceのセキュリティーグループは?
セキュリティーグループを指定するところがなかったのですが、どうなるのでしょうか?
Directory Service作成時に自動でいい感じに作成されます。
また、ガイドにもあるように、ソースは0.0.0.0/0となっているのですが、実際にはローカルVPC及びVPCからルーティングされたトラフィックに限られるので、セキュリティー上の脆弱性は生じないようです。
詳細は下記のガイドを参照ください。
Work Spacesの起動
「WorkSpacesの起動」ボタンを起動します。
[ディレクトリ]は先ほどDirectoryServiceで入力した”ディレクトリDNS名”を選択します。
また、サブネットを2つ指定します。
冒頭にも書きましたが、東京リージョンのAZ”ap-northeast-1d”にサブネットを作成したときは選択肢に表示されません。
“ap-northeast-1d”以外のAZにサブネットを作成してください。
今回は新規ユーザーをディレクトリに追加しますので、ユーザー情報を入力して「ユーザーの作成」をクリックします。
【参考】ちなみここでADの管理者である”Admin”を追加しようとして、”ディレクトリからユーザーを選択”から選ぼうとすると、メールアドレスが設定されていない等のエラーがでて先に進めません。
AdminユーザーでのWorkSpacesは作成できないようです。
今回は”Value with Windows 10″を選択しました。
[実行モード]は今回は”AlwaysOn”を選択しました。(月額固定)
[自分のキーでルートボリューム の暗号化][自分のキーでユーザーボリューム の暗号化]は共にチェックを付けました。
タグは任意で追加してください。
確認できれば「WorkSpacesの起動」ボタンをクリックします。
作成完了には20分程かかります。
下記の”PENDING”が”AVAILABLE”になれば完了です。
VDIクライアントの設定
続いて作成されたWorkSpacesに接続・設定していきます。
下記の過去記事を参照してください。
Amazon WorkSpacesで仮想デスクトップ(VDI)の作成 クライアントの設定
VDIクライアントにリモートサーバー管理ツールのインストール
AWS Directory Serviceはマネージドサービスの為、サーバーに直接つないで管理・設定することができません。
先ほど設定したVDIクライアントにリモートサーバー管理ツールをインストールして、管理ツール経由でユーザー・コンピュータ・ポリシーの管理を行います。
以降の操作はVDIでの操作となります。
スタートメニューよりサーバーマネージャーを起動します。
”役割と機能の追加”を選択します。
「次へ」をクリック
“役割ベースまたは機能ベースのインストール”を選択して「次へ」をクリック(デフォルトのまま)
ここもデフォルトのまま「次へ」
次の3つのチェックを付けました。
- グループポリシーの管理
- [リモートサーバー管理ツール]-[役割管理ツール]-[AD DSおよびAD LDSツール]
- [リモートサーバー管理ツール]-[役割管理ツール]-[DNS サーバーツール]
インストールが完了後、[スタートメニュー]-[管理ツール]-[Active Directoryユーザーとコンピューター]を起動します。
[(ドメイン名)]-[Computers]の中にWorkSpacesで起動されたVDIのクライアントが入っていることを確認します。
※VDIにログインしたユーザーでは参照のみで新規登録や変更する権限はありませんので、設定するときはツールアイコンをshift+右クリックで起動して”別ユーザーとして実行”でAdminユーザーで実行してください。