【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~後編~からの続き
皆さん、こんにちは。今回は、Azure Virtual Desktop (AVD) を活用し、DX を進めるシリーズのブログ第3弾となります。ハイブリッドクラウドのシーンにベースして、各AVD構成パターンの構築手順を前編/後編に分けてご紹介いたします。
それでは、早速ですが前編の本題に入ります。
利用パターン
ハイブリッドクラウドで構築する際に、本連載の第1弾で述べたように、主に以下のパターンがあります。
- オンプレミスのADと同期し、Azure上のAD DSで認証を行う構成パターン
- オンプレミスのADと同期し、Azure上のAAD DSで認証を行う構成パターン
これから、上記パターンの構築手順をご紹介します。
Azure上のAD DSで認証を行う構成パターンの構築手順
今回は、以下の構成図で環境を構築します。
上記パターンでAVD構築するには、大まかに以下の流れとなります。
- ライセンスの購入
- OSイメージの用意
- AVDネットワークアーキテクチャの設計
- Azure 上AD DCの構成
- Azure AD Connectの構成
- FSLogixのストレージの設計
- マネージド ドメイン側の構成
- ホストプールの作成
- セッションホストへの接続
1. ライセンスの購入
事前準備として、ライセンスの購入が必要となります。
第一回のブログをご参照いただき、必要のライセンスをご購入ください。
2. OSイメージの用意
AVD環境を効率的に構築するためには、オンプレミス環境と同様に、OSイメージをまず用意しましょう。
詳しい手順は前回のブログをご参照ください。
- イメージを作成用のVMを作成する
- 言語パックをインストール
- 必要なアプリケーションをインストール
- レイアウトのカスタマイズ
- 不要なアプリケーションを削除する
- グループポリシーの設定
- (オプション)[Virtual Desktop Optimization Tool] の実行
- (オプション)FSLogixをインストール
- 検証
- Sysprepを実行する
- ポータルで管理対象イメージを作成する
- OSイメージを展開と検証 (単体テスト)
ここまで、AVDを導入する準備が完了です。これから、AVDの導入手順を紹介します。
- AVDネットワークアクセンチュアの設計
- Azure上 AD DSの構成
- Azure AD Connectの構成
- FSLogixのストレージの設計
- マネージド ドメインの構成
- ホストプールの作成
- セッションホストへの接続
3. AVDネットワーク アーキテクチャの設計
3.1 接続方法の選定
利用人数は、セッションホストの台数に影響し、台数は様々なリソースの制限に影響します。スポーク(一仮想ネットワーク)あたり、1000VM以下を目処にしてください。
拡張性を確保するために、Azure のハブスポーク ネットワーク トポロジを活用することお勧めします。
また、オンプレミス環境と繋がる場合、主にExpressRoute(エクスプレスルート)とVPN二つの方法がございます。ビジネス要件に応じてご選定ください。各サービスの機能とか以下の表に纏めました。ご参考になれば幸いです。
VPN |
Express Route |
|||
Point-to-site |
Site-to-site |
サービス プロバイダーを使用する ExpressRoute |
ExpressRoute Direct |
|
サポートされているサービス |
IaaS (Cloud Services, Virtual Machine) |
IaaS (Cloud Services, Virtual Machine) |
||
帯域幅 |
<100 Mbps |
50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps |
10 Gbps,100 Gbps |
|
使える場所 |
どこでも |
https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-locations |
||
ルーティング |
Static |
Static Policy-based |
BGP |
|
安全性 |
SSTP/IKEv2 |
IPSecVPN |
閉域網 |
|
接続の回復性 |
Active-passive |
Active-active |
||
価格 |
https://azure.microsoft.com/ja-jp/pricing/details/virtual-network/ |
https://azure.microsoft.com/ja-jp/pricing/details/expressroute/ |
||
利用シーン |
Dev/Test |
Dev/Test/小規模企業 |
大規模企業 (Backup,BigData,DR等) |
大規模企業(Backup,BigData,DR等) |
3.2 構成手順 (VPN)
本ブログでは、小規模企業に向け(1000 VM以下)の想定なので、1つの仮想ネットワークにまとめます。そして、VPNを利用して、オンプレミス環境と繋がります。
Azure側:
オンプレミス側
仮想ネットワークの作成
(1) Azure portal にサインインします。
(2) 検索ボックスに、[仮想ネットワーク] と入力します。 検索結果から [仮想ネットワーク] を選択します。
(3) [仮想ネットワーク] ページで、 [作成] を選択します。
(4) [仮想ネットワークの作成] の [基本] タブで入力または選択します。
(5) [IPアドレス] で以下のように入力します。
(6) [確認および作成] をクリックして、[作成]をクリックします。
ローカル ネットワーク ゲートウェイの作成
(1) Azure portal にサインインします。
(2) 検索ボックスに、[ローカル ネットワーク ゲートウェイ] と入力します。 検索結果から[ローカル ネットワーク ゲートウェイ] を選択します。
(3) [ローカル ネットワーク ゲートウェイ] ページで、 [作成] を選択します。
(4) [ローカル ネットワーク ゲートウェイの作成] にて以下の情報を指定します。
[名前]:ローカルネットワークゲートウェイの名前を指定します。
[IPアドレス] あるいは [FQDN]: オンプレミス環境のルータのPublic IP/FQDNを指定します。
[アドレス空間]: 正しくルーティングするために、オンプレミス環境のネットワークに利用させているアドレス空間を指定します。こちらは構築後追加することも可能です。
そして、[サブスクリプション]、[リソースグループ]、[場所]も指定します。
(5) [作成]をクリックします。
仮想ネットワーク ゲートウェイの作成
(1) Azure portal にサインインします。
(2) 検索ボックスに、[仮想ネットワーク ゲートウェイ] と入力します。 検索結果から[仮想ネットワーク ゲートウェイ] を選択します。
(3) [仮想ネットワーク ゲートウェイ] ページで、 [作成] を選択します。
(4) [仮想ネットワーク ゲートウェイの作成] ページ にて以下の情報を指定します。
まず、[サブスクリプション]、 [地域]を指定します。
[名前]:仮想ネットワークゲートウェイの名前を指定します。
[ゲートウェイ]: VPNを指定します。
カテゴリ |
PolicyBased VPN Gateway |
RouteBased VPN Gateway |
RouteBased VPN Gateway |
Azure ゲートウェイ SKU |
Basic |
Basic |
VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 |
IKE バージョン |
IKEv1 |
IKEv2 |
IKEv1 および IKEv2 |
最大S2S 接続 |
1 |
10 |
30 |
[VPNの種類] と[SKU]: オンプレミス環境のゲートウェイ機器がサポートさせているプロトコルと接続数要件に合わせて指定してください。以下の表をご参照ください。
[世代]: 世代を指定します。
[仮想ネットワーク]: 上記ステップにて作成した仮想ネットワークを指定してください。
[パブリックIPアドレス]: 「新規作成」を指定します。
[パブリックIPアドレス名]: 「パブリックIPアドレス名」を指定します。例えば、「VPNGW-PIP」。
[アクティブ/アクティブ モードの有効化]: 「アクティブ/アクティブ モードの有効化」を指定します。
[BGPの構成]: BGPを利用すれば、「有効」に指定します。
(5) [確認および作成] をクリックして、[作成]をクリックします。
接続の作成
(1) 仮想ネットワークゲートウェイのデプロイが完了したら、[リソースに移動] をクリックします。
(2) [接続] を選択します。
(3) [接続] ページで、 [追加] を選択します。
(4) [接続の追加] ページ にて、以下の情報を指定します。
[名前]:接続の名前を指定します。
[接続の種類]: 「サイト体サイト(IPSec)」に指定します。
[ローカルネットワークゲートウェイ]: 上記ステップにて作成したローカルネットワークゲートウェイを指定します。
[共有キー(PSK)]: PSKを指定します。
[IKE プロトコル]: オンプレミスのゲートウェイ機器に合わせてIKE プロトコルを指定してください。
[BGPを有効にする]: BGPを利用すれば、「有効」に指定します。
(5) [OK]をクリックします。
(6) 接続のデプロイが完了したら、作成された接続をクリックします。
(7) [構成のダウンロード] をクリックして、オンプレミスのゲートウェイ機器に合わせて、[デバイスベンダー]、[デバイスファミリ]、[ファームウェアのバージョン] を指定してから、[構成のダウンロード] をクリックします。
オンプレミスゲートウェイ機器の設定
ご利用している機器によって、手順は異なるため、ここは詳しい手順を省略いたします。上記ステップにて、ダウンロードした構成ファイルを参照しながら、ご設定ください。
4. Azure上 AD DCの構成
Azure上でAD DCの構成するためには、主に以下の手順が必要です。
実際に構成する前に、現行の環境に合わせて、事前準備も必要かもしれません。例えば、古いバージョンのWindows Server(AD)をご利用していれば、バージョンアップとかも配慮すべきです。今回のブログでは、メインはAVDの話を議論したいので、事前準備の部分を飛ばします。
カスタムDNSサーバーを設定する
Azure上で正しくオンプレミスのドメイン名を解析できるようにするため、まずは仮想ネットワークにて、カスタムDNSサーバーを指定することが必要です。詳しい手順は以下となります。
(1) Azure portal にサインインします。
(2) 検索ボックスに、[仮想ネットワーク] と入力します。 検索結果から [仮想ネットワーク] を選択します。
(3) [仮想ネットワーク] ページで、 上記で作成した仮想ネットワークを選択します。
(4) [DNSサーバー] を選択します。
(5) [カスタム] を選択してから、オンプレミスのDNSサーバーを指定します。もし、オンプレミス上で複数DNSサーバーが存在する場合、複数指定することも可能です。
(6) [保存]をクリックします。
AD DC用のVMを作成する
VMの作成には、前回ご紹介させていただいた手順はほぼ同じですが、Azure上でAD DCを構築する際に、Data Diskを追加し、キャッシュモードをNoneにする必要点をご注意ください。また、AD DCを構築する際に、固定IPを設定するのは一般的です。オンプレミスでは、OS内部に設定しますが、Azure上では、Azure Portalにて、関連しているNICの以下の設定でIPを固定することがベストプラクティスです。
作成する前に、是非以下のMS公開資料をご一読ください。
AD DCを構築する
VMを作成した後、AD DCを構築については、オンプレミスと同じなので、詳しい手順を割愛します。AD DCを構築完了後、AD DC サーバーのIP アドレスも上記仮想ネットワークのカスタムDNS サーバーに追加ください。DNS サーバーの順番については、Azure上のAD DS サーバーを上位に設定してください。
5. Azure AD Connectの構成
AVDを利用するためには、ユーザーのAD AccountをAzure ADに同期させる必要があります。Azure AD Connectは、この同期をするためのツールです。
事前準備
Azure AD Connectを構築する際に、まず全体条件をみたせているかを確認する必要があります。以下のMS資料をご参照ください。
また、以下の点を配慮する必要があります。
- オンプレミスは「.local」を利用されているか。
Azure ADを導入する際に、Office 365を利用するために、カスタム ドメイン(例:trior.jp) を設定することが多いかと思います。Azure AD Connect を使用して、「.local」のユーザーを同期すると、xxx@trior.onmicrosoft になります。これを解消するためには、一般的に以下の二つ対応方法があります。
方法1 : Active Directory 側に 「代替のUPNサフィックス」(例:trior.jp)を登録して、オンプレミス Active Directory 上の Azure ADと同期対象ユーザーの「UPNサフィックス」を更新します。それから、Azure AD Connectで同期します。
方法2 : オンプレミス Active Directory 上の Azure ADと同期対象ユーザーの「電子メール」(Mail) 属性に Azure AD のカスタム ドメイン(例:trior.jp)に設定したドメインのサフィックス名と同じ名前のメールアドレス情報を設定し、Azure AD Connect の同期設定で、UPN (UserPrincipalName) の代わりに、「電子メール」(Mail) 属性を Azure AD 側の UPN (UserPrincipalName) として同期するように設定します。
Azure AD Connect用のVMを作成する
今回は、簡易に構築するため、Azure上でシングル サーバーとして Azure AD Connectを構築します。本番環境の場合は、Staging サーバーを使用した冗長化構成を構成することをお勧めます。
「https://docs.microsoft.com/ja-jp/archive/blogs/jpazureid/aadc_staging」をご参照いただければと思います。
Azure AD Connectを構築する
VMの作成手順は前回のブログをご参照いただき、上記作成した仮想ネットワーク内にVMを作成すればと思います。 ここは、VMを作成した後の手順を記載いたします。
(1) RDPにて、作成されたAzure AD Connect用のVMにアクセスします。
(2) 下記ステップでドメインに参加します。
あ)[Server Manager] で、[Local Server] を選択します。
い)[WORKGROUP] をクリックします。
う)[Change…] をクリックします。
え)[Domain] を選択し、ドメイン名を入力してから、[OK] をクリックします。
お)ユーザーとパスワードを入力して、3回 [OK] をクリックします。
か) VMを再起動します。
(3) VMが再起動できたら、RDPにてDomain管理者でVMをアクセスします。
(4) [Server Manager]=>[Local Server]=>[IE Enhanced Security Configuration] を無効にします。
(5) 「Microsoft Azure Active Directory Connect」(AzureADConnect.msi)を以下の URL からダウンロードし、任意のパスに保存します。
https://www.microsoft.com/en-us/download/confirmation.aspx?id=47594
(6) 下記URLに記載したPowerShellを実施し、TLS1.2を有効にします。
(7) [I agree to the license terms and privacy notice.] にチェックし、[Continue] を選択します。
(8) [Customize] を選択します。
※ 今回は「カスタマイズ」を選択しますが、単一 Windows Server Active Directory ファレスト、
且つパスワード ハッシュ同期 を選択する場合、「簡易設定」を選択したほうが簡易に設定が可能です。
(9) 必要に応じて必須コンポーネントを選択し、「Install」を選択します。
(10) [User sign-in] ページで、 [Password Hash Synchronization] を選択し、 [Enable Single sign-on] をチェックします。[Next]をクリックします。
(11) Azure Active Directory の グローバル管理者 アカウントとパスワードを入力後、「次へ」を選択します。
(12) ディレクトリ タイプ :「Active Directory」、フォレスト欄に 同期するフォレスト名 を入力後、「ディレクトリの追加」を選択します。Enterprise Admin権限を持っているユーザーのユーザー名とパスワードを入力し、[OK]をクリックします。
(13) [Next]をクリックします。
(14) [Azure AD sign-in] で「Verified」になっていることを確認後、 [USER PRINCIPAL NAME]に「userPrincipalName」を選択し、[Next]を選択します。
(15) Azure Active Directory に同期したいドメイン および 組織 (OU) を要件に応じて選択後、[Next]を選択します。事前にOUを整理することはお勧めです。
(16) 既定の設定のまま、[Next]を選択します。
(17) 必要に応じてフィルタリング設定を追加し、[Next]を選択します。
(18) 必要に応じてフィルタリング設定を追加し、[Next]を選択します。
(19) [Enter credentials] を選択し、ドメイン管理者のアカウントの資格情報を入力後、[OK] をクリックします。
(20) [Next] を選択します。
(21) [Start the synchronization process when configuration completes.] にチェック後、 「Install」 を選択します。
(22) 構成が完了後、[Exit] を選択します。
Azure AD Connect 同期状態確認
- Azure AD Connectサーバーでの確認
(1) RDPにて、作成されたAzure AD Connect用のVMにアクセスします。
(2) スタートメニューをクリックし、[Synchronization Service] を選択して、該当するツールを起動します。
(3) 各Operationが [Success] の状態であることを確認します。
- Azure上の確認
(1) Azure portal にサインインします。
(2) 検索ボックスに、[Azure Active Directory] と入力します。 検索結果から [Azure Active Directory] を選択します。
(3) [Azure AD Connect] を選択し、「Azure AD Azure Connect 同期」>同期状態> 「有効」になっていることを確認します。
(4) 「ユーザー」 を選択し、Active Directory 上のユーザーが Azure Active Directory 上に同期されていることを確認します。
6. FSLogixのストレージの設計
この部分については、前回のブログに記載した内容と同じなので、そちらをご参照ください。
7. マネージド ドメインの構成
ドメイン側の準備は以下の手順で行います。
A. FileShares に権限を付与する
(1) 上記6で作成したFileShares に接続します。
(2) 接続したファイル共有を右クリックし、[Properties] を選択します。
(3) [Security] で、[Edit] をクリックします。
(4) [Add] をクリックし、同期対象OU内のユーザーを追加してから、[OK] をクリックします。もしユーザーの数が多い場合、該当OU内のユーザーを一つのAD Groupに纏めて、AD Groupに権限を付与しても良いです。
(5) [Modify] 権限をチェックしてから、[OK] をクリックします。
(6) [OK] をクリックします。
B. GPOを設定する
こちらの設定は、前回のブログをご紹介した内容はほぼ同じなので、そちらをご参照ください。
8. ホストプールの作成
この部分については、前回のブログに記載した内容と同じなので、そちらをご参照ください。
9. セッションホストへの接続
この部分については、前回のブログに記載した内容と同じなので、そちらをご参照ください。
まとめ
今回は、「オンプレミスのADと同期し、Azure上のAD DSで認証を行う構成パターン」にして、AVDの構築手順について説明いたしました。
次回は、「オンプレミスのADと同期し、Azure上のAAD DSで認証を行う構成パターン」の構築手順について説明いたします。
【第3回】AVDを活用し、DXを進める(構築編-ハイブリッドクラウド)~後編~ に続く
~~~~~ ”Azure Virtual Desktop(AVD)を活用してみよう”【全5回】シリーズ ~~~~~
☆【第1回】AVDを活用し、DXを進める(基礎編)
☆【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~前編~
☆【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~後編~
☆【第3回】AVDを活用し、DXを進める(構築編-ハイブリッドクラウド)~前編~
☆【第3回】AVDを活用し、DXを進める(構築編-ハイブリッドクラウド)~後編~
☆【第4回】AVDを活用し、DXを進める(運用編)
☆【第5回】AVDを活用し、DXを進める(統括編)