RDS SAL を AWS が直接提供できるようになった
2024 年 11 月 14 日にアップデートがあり、AWS がリモートデスクトップを行うための RDS SAL を直接提供できるようになりました。2025 年 10 月以降は、AWS 以外の第三者が提供する SPLA のライセンスを利用できなくなりますが、今回のアップデートでこれに対応する選択肢が増えた形です。
AWS が提供する RDS SAL を利用するための手順を確認していく記事です。
VPC の DNS 設定
VPC の設定で、DNS resolution や DNS hostnames の有効化が必要です。無効化になっている場合は、有効化します。
Secret Manager で ユーザー名とパスワードを作成
Secret Manager で Active Directory 上で適切な権限をもったユーザー名とパスワードを作成します。License Manager が Remote Desktop Service を管理するために、必要なクレデンシャル情報です。
username と password の欄に、Active Directory 上で作成されているユーザー名とパスワードを入力します。今回は、Microsoft AD を作成したときにデフォルトで存在している Admin ユーザーを利用します。
Secret の名前の指定は大事な条件があります。license-manager-user- から始まる名前が必要なので、忘れずに指定します。
default のままにします。
Store を押して、作成します。
作成されました。
License Manager : RDS SAL の有効化
License Manager の画面から、RDS SAL のサブスクライブをしていきます。
View purchase options を押します。
Subscribe を押します。
License Manager の画面で、RDS が Active と変化したことを確認します。
License Manager : AD の連携
Active Directory と連携をします。RDS SAL のみ利用する場合は、独自の Active Directory でも、AWS が提供するマネージドサービスの Microsoft AD のどちらでも OK です。
Register Active Directory を押します。
記事の手順では、AWS Managed Active Directory を選択し、Register を押します。
Registering となります。
10 分ほど待機すると、Registered に変わります。
License Manager : RDS License Server の設定
RDS License Manager の設定をしていきます。
事前に作成した Secret を選択します。
License Manager の Status が Provisioning となっています。
15 分ほど待機すると、Provisioned に変わりました。
License Manager : ユーザーのサブスクライブ
License Manager 上で、Active Directory のユーザーごとにサブスクライブの操作をしていきます。(実際は、RDS で接続したときに、自動的にサブスクライブがなされるので、必須ではないです。)
Subscribe users を押します。
Active Directory 上のユーザーを指定します。
Subscribe を押します。
Subscribing になります。
一定時間後、Subscribed に変わりました。
AD のグループポリシー設定
グループポリシーを設定し、License Server の接続先を指定します。Active Directory の Server Manager に Group Policy Management が無い場合はインストールをしていきます。
Group Policy Management を選択します。
インストール後、Group Policy Management を選択します。
AWS マネージドサービスである Managed AD の場合は、License Manager Policy という GPO が自動的に作成されています。
この GPO (Group Policy Objects) を、ドメインに適用するために Link の設定をします。Link an Existing GPO を選択します。
LicenseManager Policy を選択して、Add を押します。
LicenseManager Policy の内容を確認するため、Edit を押します。
以下の階層まで進んで、Edit を押します。
- Computer Configuration
- Administrative Templates: Policy definitions
- Windows Components
- Remote Desktop Services
- Remote Desktop Session Host
- Licensing
License Server の宛先が既に指定されていました。
こちらも設定済みです。
EC2 インスタンスの作成
RDS SAL でリモートデスクトップを利用したい EC2 インスタンスを作成します。
Launch instance をします。
作成した、インスタンスをドメインに参加させます。
ドメイン名の指定
管理者のアカウント情報を入れます。
参加できたので、再起動をします。
EC2 インスタンスで RSDH をインストール
RDS を行うすべての EC2 インスタンスで、Remote Desktop Session Host (RDSH) ノインストールが必要です。
Remote Desktop Service を選択します。
Remote Desktop Session Host を選択します。
Install
再起動が必要です。
動作確認
ここまでの手順で、やっと AWS が提供する RDS SAL を利用できるようになりました。Remote Desktop そのもの手順は割愛しますが、4 User 以上が同時に接続できるようすが確認できます。
Tips : RDS ライセンスの確認手順
Remote Desktop を行いたいサーバーでライセンスが正常に適用されているか確認する手順です。
RD Licensing Diagnoser で、RDS のライセンス診断を行えます。以下のコマンドで起動できます。
lsdiag.msc
以下の画面が、RDS SAL が適用されていない画面です。ライセンスが適用されていない (not available) と表示されています。
もしこれが表示された場合、そのサーバーで適用されている GPO を確認しましょう。
LicenseManager Policy が適用されていないことがわかります。
C:\Windows\system32>gpresult /r /scope:computer
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
© Microsoft Corporation. All rights reserved.
Created on 12/29/2024 at 4:07:36 AM
RSOP data for on EC2AMAZ-3UAAD17 : Logging Mode
-------------------------------------------------
OS Configuration: Member Server
OS Version: 10.0.20348
Site Name: Default-First-Site-Name
Roaming Profile:
Local Profile:
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=EC2AMAZ-3UAAD17,OU=Computers,OU=sample,DC=sample,DC=local
Last time Group Policy was applied: 12/29/2024 at 4:00:47 AM
Group Policy was applied from: IP-C61301C9.sample.local
Group Policy slow link threshold: 500 kbps
Domain Name: sample
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
Default Domain Policy
ServerAdmins
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
-------------------------------------------------------
BUILTIN\Administrators
Everyone
BUILTIN\Users
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
EC2AMAZ-3UAAD17$
Domain Computers
Authentication authority asserted identity
System Mandatory Level
C:\Windows\system32>
以下のコマンドで、グループポリシーを即時反映します。
gpupdate /force
すると、「LicenseManager Policy」が適用されました。
C:\Windows\system32>gpresult /r /scope:computer
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
© Microsoft Corporation. All rights reserved.
Created on 12/29/2024 at 4:51:40 AM
RSOP data for on EC2AMAZ-3UAAD17 : Logging Mode
-------------------------------------------------
OS Configuration: Member Server
OS Version: 10.0.20348
Site Name: Default-First-Site-Name
Roaming Profile:
Local Profile:
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=EC2AMAZ-3UAAD17,OU=Computers,OU=sample,DC=sample,DC=local
Last time Group Policy was applied: 12/29/2024 at 4:51:25 AM
Group Policy was applied from: IP-C61301C9.sample.local
Group Policy slow link threshold: 500 kbps
Domain Name: sample
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
testtest
Allow Remote Desktop
LicenseManager Policy
Default Domain Policy
ServerAdmins
Local Group Policy
The computer is a part of the following security groups
-------------------------------------------------------
BUILTIN\Administrators
Everyone
BUILTIN\Users
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
EC2AMAZ-3UAAD17$
Domain Computers
Authentication authority asserted identity
System Mandatory Level
C:\Windows\system32>
正常な時の画面がこちらです。
参考 URL
AWS Document
https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html