Go to Qiita Advent Calendar 2024 Top
LoginSignup
12
12

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@Mak-Ito(Mak Ito)

VDI環境とダイナミックデスクトップ利用における落とし穴

Last updated at Posted at 2016-02-19

はじめに

仮想デスクトップ(VDI)を導入する際、スタティックデスクトップとダイナミックデスクトップのどちらかを選択することになります。両者の違いは下記のURLを参照してください。
http://fenics.fujitsu.com/outsourcingservice/lcm/workplacelcm/virtualdesktop-basic.html
virtualdesktop-basic-static.jpg

virtualdesktop-basic-dynamic.jpg

ダイナミックデスクトップの選択

上記のURLでも紹介されていますが、ダイナミックデスクトップの場合、ログオフする都度更新したデータが消去される、即ちデスクトップイメージがマスターイメージ(ゴールドイメージ、ゴールドパターンと呼ばれることもある)にリセットされます。利用者が常にVDIを使うのではなくたまに利用するようなケースでは、用意するVDI数を利用者数よりも少なくし、コストを抑えて効率よくリソースを使うことができます。

ドメインコントローラとセキュアチャネル

Active Directory ドメインのメンバーとなっているVDIは、ドメインコントローラとの間の通信を保護するために、セキュア チャネルと呼ばれる通信チャネルを使用します。認証に使用される資格情報などはこのセキュアチャネルによって暗号化され、安全な状態でネットワークを経由してやりとりされます。セキュア チャネルは下の図のように、VDIごとに個別に作成されます。
domain-controller.gif
※参照先:
http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx

ダイナミックデスクトップの落とし穴(その1)

ドメインコントローラとVDIはお互いに、セキュア チャネルを確立するために必要となる "コンピューター アカウント パスワード" を持ち合っています。このパスワードは既定では30日周期で更新されます。更新周期を迎えると、利用者がVDIにログインしたタイミングでパスワードが更新されます。
ダイナミックデスクトップでは利用者がログオフするとデスクトップイメージがマスターイメージにリセットされることから、更新されたパスワードが破棄され更新前のパスワードに戻ることになります。結果としてそのVDIはドメインコントローラと通信できなくなり、次に利用者がそのVDIにマッピングされるとログインができないといった事象、所謂セキュアチャネルの破損として表面化します。
schannel-2.png

スタティックデスクトップの場合はデスクトップイメージリセットによるセキュアチャネル破損は起きません。

セキュアチャネル破損からの回復

ダイナミックデスクトップでは一度VDIを消去して再展開するしかありません。VDI数が多いほど時間もかかり、業務影響は大きくなります。

セキュアチャネル破損の回避方法

ダイナミックデスクトップでは以下のいずれかの方法でセキュアチャネル破損を回避できます。

  1. コンピュータアカウントパスワードの自動更新前に以下の作業をVDI毎に実施する。
    ①VDIを電源オフする
    ②VDIをダイナミックからスタティックに変更する
    ③VDIを電源オンする
    ④VDIをドメインから外す
    ⑤VDIをドメインに再登録する
    ⑥VDIをシャットダウンする
    ⑦デスクトップタイプをスタティックからダイナミックに変更する
    ⑧VDIを電源オンし、ユーザが使える状態にする
  2. ドメインコントローラでコンピュータアカウントパスワードの変更を拒否する。
    https://msdn.microsoft.com/ja-jp/library/cc739351%28v=ws.10%29.aspx
  3. VDIで定期的なコンピュータアカウントパスワードの定期的な変更を無効にする。
    https://msdn.microsoft.com/ja-jp/library/cc785826%28v=ws.10%29.aspx

製品によって1の処理を自動実行する機能が付与されています。しかしながら、何らかの問題でその機能が正常に働かなかった場合の影響が甚大となるため、運用前に十分に検討することをおすすめします。

ダイナミックデスクトップの落とし穴(その2)

Windows OSのライセンス認証にKMSクライアントキーを利用していない環境の場合、仮想デスクトップ展開後の初回ログオン時にライセンスアクティベーションが必要です。ダイナミックデスクトップの場合、ログオンするたびにライセンス認証を行う必要があり、プロダクトキーあたりのアクティベーション回数の制限に到達してしまい、オンラインでのライセンス認証が利用できなくなります。回避方法としてグループポリシーにて起動時にコマンドラインでアクティベーションを実行してください。
ライセンスアクティベーションコマンド例:
  slmgr /ato
slmgrにつきましては下記のURLを参照してください。
https://technet.microsoft.com/ja-jp/library/dn502540.aspx

12
12
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
12
12

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?