ADDSはActive Directory Domain Services、Azure Active DirectoryではなくActive Directoryを利用する際に構成するサービスになります。現在AVDはAzure ADを用いて構成することも可能ですが、マルチセッションがプレビューになっているため、オンプレのADを用いて構成する必要がある場合があります。
本記事では、オンプレを想定したVM上に構築したADを利用してAVDを構成するシナリオを実現します。王道すぎるシナリオですが自分の備忘録的にも記事にしておきます。
作業の全体像
1.オンプレ想定+クラウド側のネットワークの枠組み(VNet/Subnet/VPNGateway/Peering)を作成
2.Windows Server VMでADの構成
3.AD上でユーザ作成+Azure AD ConnectによるAzure ADとの同期
4.AVDのホストプールを作成するVNetに対するAzure DNSの設定
5.AVD関連リソース作成(ホストプール/ワークスペース等)
6.ワークスペースに接続して利用を開始する
1.ネットワーク構成
以下の図のような構成で作成します。企業のネットワークであればExpressRouteで接続することが多いですが、あくまでオンプレ環境をAzureで模しているためVPNでVNet同士を接続します。Gateway周りの設定が面倒であればVNetPeeringをしてしまってもプライベートアドレスで疎通できるため問題はありません。
Azure側のHUBVNetとAVDVNet間のPeeringの際にはONPNet<->AVDVNetが接続できるようにリモートゲートウェイ(AVDVNetがONPVNetのゲートウェイを利用する)の設定をする必要があります。
AVDVNet側から設定すると以下の図のようになります。「リモート仮想ネットワークのゲートウェイまたはルートサーバを使用する」にチェックをします。(リモート仮想ネットワーク側にGatewayが構築されていないと選択できないようになっています。)
最近のアップデートでリモート仮想ネットワーク側からのピアリングも同時に作成できるようになりました。今回はHUBVNet側にGatewayがあるので、「この仮想ネットワークのゲートウェイまたはルートサーバを使用する」を選択します。(こちらもGatewayが構築されていないと選択できません。)
2. オンプレ(想定)VM上にADを構成する
具体的な構成手順は下記の記事を参考にしてください。
https://qiita.com/KentoNaka/items/7c232d4c5ecd2ba76724
手順の中でAD側のRoot DomainにAzure AD側のプライマリドメインを設定する部分がありますが、これはAzure AD ConnectによってAzure AD側と同期するためです。オンプレ環境のみの場合は.localしかない場合は、下記リンクに従って新しいドメイン名で書き換えが可能です。
https://docs.microsoft.com/ja-jp/microsoft-365/enterprise/prepare-a-non-routable-domain-for-directory-synchronization?view=o365-worldwide
(検証用にすでにAzure AD Connectを構成しているVMがあったため、接続を削除する必要がありました。VM上でAzure AD Connectをアンインストールし、下記の手順でAzureADとの同期を解除する必要がありそうです。その後再度Azuer AD Connectを構成するまで最大72時間かかるそうで手間取りました。)
3. ADにユーザ追加、Azure AD Connect
Server Managerの「Tool」から「Active Directory Users and Computers」を選択。人型のアイコンを選択してユーザを追加します。
作成するユーザの情報を入力します。下記の設定にすると検証が楽になります。
ユーザの追加が完了したら、Azure AD Connectを実施してADの情報をAzureAD側へ同期します。方法は先ほどと同様下記の記事に記載があります。
https://qiita.com/KentoNaka/items/7c232d4c5ecd2ba7672
4. Azure側のDNS設定
Azure上に構築するAVDのホストプールは、オンプレ想定のVM上に構成されたActive Directoryに参加させます。その際、明示的にActive Directoryのアドレスを指定しないと名前解決ができないためデプロイに失敗してしまいます。AzureのVNetではVNetやサブネットごとに参照するDNSサーバを登録できます。今回はAVDVNetの単位でDNSサーバを追加します。「カスタム」を選択してActive Directoryを構成したVMのプライベートIPを入力します。リモートゲートウェイを使用してオンプレVMとプライベート接続ができるため、プライベートIPで設定できます。
参考:
5. AVDリソースの作成
AVDの画面からホストプールを作成します。
ホストプールのリージョンは現在米国やカナダ、英国しか選択できません。ここで選択するリージョンはあくまでサービス向上のために収集するデータの送信先になります。ユーザーデータは保管されません。
ホストプールに追加する仮想マシンの実体は問題なく東日本にデプロイできます。
仮想ネットワークはAVDVNetを選択、サブネットも適切なものを選択します。「参加するドメイン」はActive DirectoryもしくはAzure ADを選択できますが、Azure ADの場合マルチセッションがプレビューになります。今回はオンプレVMにADを展開済みなのでそのADに対してマシンの権限のあるアカウント情報を入力します。
あとは、ワークスペースを作成するなど良しなに設定を行います。デプロイが問題なく完了した後、オンプレVMに接続してToolのActive Directory Users and Computersを開きます。作成したAVDのセッションホストがADに参加していることが確認できます。
6.デスクトップ or Webクライアントから利用開始
利用開始するにあたってアプリケーショングループにユーザを追加する必要があります。ホストプールを利用できるユーザを管理するイメージです。今回ホストプールはオンプレADのドメインに参加しています。よって、オンプレADに登録されているユーザにホストプールを割り当てる必要があります。
AVDを実際に利用するには、Windowsのデスクトップクライアントをインストールするか、Webクライアントを利用するかのどちらかになります。クライアントからログインするとログインユーザが利用可能なワークスペースとそこに属しているデスクトップやアプリの一覧が確認できます。
Webクライアント:
https://rdweb.wvd.microsoft.com/webclient
デスクトップクライアントのDL:
https://docs.microsoft.com/ja-jp/azure/virtual-desktop/user-documentation/connect-windows-7-10
「SessionDesktop」をダブルクリックするとログイン画面が現れ、そこでログインするとAVDを利用開始できます。
(イメージをWindows11にしてみました(笑))
おわりに
Azure Infraで需要の多いAVDのシナリオについて改めてまとめてみました。スクリーンショットを禁止するといった細かい制御もできるのですが、今回は省略します。またAD周りの設定に関してはAzure AD中心へと移り変わっていくような気もしますが、誰かの参考になれば幸いです。