AD Connectorを利用したWorkSpaces構築手順

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

マネージド型仮想デスクトップサービスの Amazon WorkSpaces(以下、WS)が東京リージョンに対応してから、2年以上が経過しました。

サーバーワークスでは早い段階から WorkSpacesに可能性を見出し、様々な記事を書いていました。
過去の記事一覧

今回は オンプレミスの Active Directory(以下、AD)ドメインを利用して WorkSpacesを構築する手順を Step by Stepでご紹介します。

  1. VPCを作成する
  2. Direct Connect、あるいは VPNをひく
  3. AD Connector接続ユーザを作成する
  4. WorkSpacesコンピュータ登録用の OUを作成する
  5. オンプレADのファイアウォールの設定をする
  6. VPC内より、オンプレミスADへの疎通確認をする
  7. AD Connectorの構築を行う
  8. WorkSpacesを構築する
  9. グループポリシーを作成する
  10. WorkSpacesの動作確認を行う

1. VPCを作成する

最初に VPCを作成します。

AD Connectorの利用には VPN、あるいは Direct Connect(DX)の利用が必須となります。VPCの CIDRは、接続するネットワークと被らないものを選択してください。

VPCには WorkSpaces展開のために、Availability Zoneが異なるサブネットが最低1つずつ必要です。AD Connector、WSは同じサブネットに構築されますので、作成する予定の WSの数に併せて CIDRを設定してください。小さいCIDRで作ってしまうと、WSを構築できる台数が限られます。

2. Direct Connect、あるいは VPNをひく

オンプレミスのネットワークと VPCをつなげます。AD Connectorの利用には VPN、あるいは Direct Connect(DX)の利用が必須となります。

接続方法が分からない場合、サーバーワークスのサービスを利用することができます。

3. AD Connector接続ユーザを作成する

AD ConnectorがオンプレミスのADと接続できるよう、ディレクトリに接続するためのユーザを作成します。

設定の手順については AWSのドキュメントをご覧ください。

AWS Documentation » Amazon WorkSpaces » 接続権限の委任

ドキュメントに記載の通り、接続に使用するユーザはドメイン管理者グループに所属しているものでも構いません。ただしセキュリティの都合上、最小限の権限をもったユーザを作成されることをお勧めします。

AD Connector とは?

AD Connectorは、オンプレミスのADと信頼関係を確立するための、VPC内に設置するフルマネージドのプロキシサービスです。

ご参考:AD ConnectorをつかったオンプレミスのActive DirectoryからAWSへの接続方法

4. WorkSpacesコンピュータ登録用の OUを作成する

WorkSpaces構築後、コンピュータを登録する OUを作成します。

オンプレAD上に、通常のコンピューターOU(Computer)とは別に、WorkSpacesのコンピュータ用 OUを作成してください。

WSでは、ローカルプリンターやクリップボード等の制御をグループポリシーによって制御します。WS用のポリシーをWSにのみ適用させるため、WSコンピュータ専用の OUを作成してください。

本作業はマストではありませんが、作成することを推奨します。

5. オンプレADのファイアウォールの設定をする

AD ConnectorがオンプレADと接続が可能となるよう、オンプレミス側のファイアウォールの設定を行ってください。

AWSのドキュメントに記載の通り、VPCからの通信に対して以下のポートを開いてください。

    TCP/UDP 53 – DNS
    TCP/UDP 88 – Kerberos authentication
    UDP 123 – NTP
    TCP 135 – RPC
    UDP 137-138 – Netlogon
    TCP 139 – Netlogon
    TCP/UDP 389 – LDAP
    TCP/UDP 445 – SMB
    TCP 1024-65535 – Dynamic ports for RPC

ネットワークでの AD Connector ディレクトリの準備 » 要件

SRVレコードの設定を確認する

AD ConnectorがオンプレADと通信するためには、SRVレコードの設定がされている必要があります。この設定がされていないと AD Connector作成にエラーが発生しますので、ご注意ください。

AD Connector obtains the _ldap._tcp.<DnsDomainName> and _kerberos._tcp.<DnsDomainName> SRV records from these servers when connecting to your directory, so these servers must contain these SRV records. The AD Connector attempts to find a common domain controller that will provide both LDAP and Kerberos services, so these SRV records must include at least one common domain controller.

AD Connector Prerequisites » SRV record requirements

6. VPC内より、オンプレミスADへの疎通確認をする

VPCからオンプレADへ、問題なく接続ができるか動作確認を行います。

VPC内にEC2(Windows)を一台作成し、テストアプリケーションを実行します。手順についてはAWSのドキュメントをご覧ください。

接続の確認

7. AD Connectorの構築を行う

AD Connectorを構築します。
ドメインのDNS name、手順3で作成したAD Connector接続ユーザ情報等を入力してください。

構築後、手順4で作成した WSコンピュータ用OUを設定します。マネジメントコンソールの [WorkSpaces] メニューから [Directories] に移り、作成した AD Connectorを選択します。[Update Directory Details] を選び、[Target Domain and Organizational Unit] に作成した OUを設定し [Update] を実行します。

8. WorkSpacesを構築する

AD Connectorが問題なく構築できたら、次に WorkSpacesを構築します。

AD Connector上に AD内のユーザが表示されますので、ユーザを選択します(同期に若干の時間がかかります)。次にどのバンドルで構築をするかを選択し、WSを構築します。

構築完了したらマネジメントコンソールから「Registration code」を確認し、ADに登録しているユーザ名、パスワードを使用し、WSクライアントからログインを行ってください。

Registration code について

Simple AD、AWS Directory Service を利用して WSを構築すると、ユーザ宛てに Registration codeが記載されたメールが送信されます。しかし AD Connectorの場合は、メールが送信されないため、マネジメントコンソールから Registration codeを確認する必要があります。

9. グループポリシーを作成する

手順4で作成した WSコンピュータ用OUにグループポリシーを適用します。上述の通り、WSのローカルプリンター等の制御はグループポリシーによって行います。

手順についてはAWSのドキュメントをご覧ください。

グループポリシーを使用した WorkSpaces とユーザーの管理 » グループポリシー管理用テンプレートのインストール

おそらく大半の企業では既存のポリシーを適用するため、この手順についてはオプションであるとお考えください。

10. WorkSpacesの動作確認を行う

グループポリシーが適用されるよう、適用前に作成した WorkSpacesは全て再起動を行ってください。再起動後、グループポリシーが適用されます。

プリンターリダイレクトの無効化や、クリップボード無効化といったポリシーに設定した内容が反映されるかを確認します。


次の記事では WorkSpaces利用にあたっての、運用面での注意事項を書きます。
ではでは。

AWS運用自動化サービス「Cloud Automator」