はじめに
IaC技術推進部の相澤です。WVD(Windows Virtual Desktop)ARMを構築してみたので、構築手順について2回に分けてご紹介します。
WVDとは、2019年9月にGAされたMicrosoft純正のDaaSです。
現在GAされているWVD(以下、Non-ARM)の構築はPowerShellを使用していますが、2020年5月のSpringUpdateで、
ARM(Azure Resouse Manager)デプロイモデルがパブリックプレビューとなったことでAzure Portalから構築・管理することが可能となりました。
本記事は前半として、WVD構築の準備段階となる認証基盤の構築を記述します。
後半はこちら→WVDを構築してみた_Part2(マスターイメージ作成~接続編)
WVDの特徴
- Windows10マルチセッション
Windows10を同時に複数ユーザーが利用できる唯一のサービス - O365の最適化
高速バックボーンを利用してOffice365に接続 - セキュリティ更新プログラムの無償適用
Windows7をWVDとして利用すると最大3年更新プログラムの無償提供
WVDの管理プレーンはMicrosoftが管理しており、システム設計の負担軽減や、導入・運用におけるコスト削減、VDI環境における最適なパフォーマンスが期待できます。
さらにSpringUpdateでAzureの他ソリューションとの連携も容易になり、デプロイや管理がよりシンプルで分かりやすくなりました。
構築環境
今回は下図のような環境を構築しました。
Azure内で完結する構成とし、認証基盤はAzure AD + Azure AD DS
、ユーザープロファイルの保存先はファイルサーバとしました。
ファイルサーバは仮想マシンにデータディスクを追加したものを用意しました。
オンプレとAzureを連携させたハイブリッド環境の場合、認証基盤はAD + Azure AD Connect + Azure AD
となります。
※Azure AD Connectのインストールにはエンタープライズ管理者権限(EA契約)が必要。
また、ユーザープロファイルの保存先はAzure Storage(Blobまたはファイル共有)やAzure NetApp Filesを利用することも可能です。
構築準備
Azure AD DSを構築するために準備するものです。
- Azureサブスクリプション
無償サブスクリプションでも可能です。 - Azure AD
サブスクリプションを作成した際に自動的にディレクトリが作成されます。
カスタムドメインを使用する場合は、カスタムドメイン名を追加し、プライマリドメインとして設定しておきます。 - リソースへのアクセス権限
作業するアカウントには、リソースへのアクセス権限が必要です。 - 全体管理者
Azure AD DSを構築する際に、全体(グローバル)管理者権限が必要です。
構築全体の流れ
- 認証基盤の構築
- Azure AD DSの展開
- ドメインユーザーの作成
- 管理ツールのインストール ←本記事はここまで
- WVD環境構築
- マスターイメージの作成
- ホストプールの展開
- WVD接続
- 接続グループの割り当て
- WVD接続
構築手順
1.認証基盤の構築
1.Azure AD DSの展開
全体管理者権限 を付与されているユーザーでAzure Portalにサインインし、
[すべてのサービス] - [ID] - [Azure AD Domain Services]
を選択します。
基本
[サブスクリプション] Azure AD DSを作成するサブスクリプション
[リソースグループ] Azure AD DSが属するリソースグループ
[DNSドメイン名] 任意のドメイン名
既定は組み込みドメイン(xxxx.onmicrosoft.com)、カスタムドメインがある場合はカスタムドメイン名を指定。
[地域] Azure AD DSを作成するリージョン
[SKU] Azure AD DSのパフォーマンスと機能レベル
[フォレストの種類] オブジェクトの同期範囲
ネットワーク
[仮想ネットワーク] Azure AD DSを配置する仮想ネットワーク
[サブネット] Azure AD DS専用のサブネットを指定
管理
[AAD DC Administrators] AAD DC Administrators(Azure AD DSの管理者権限)の割り当て
選択せずにユーザーを後から割り当てることも可能。
[通知] 通知先を選択
同期
[同期の種類] 同期するユーザーorグループの範囲
[確認および作成]をクリックします。作成に1時間程かかります。
Azure AD DSの展開が完了したら、仮想ネットワークのDNS設定を更新します。
参考:
- Microsoft Docs - AzureADDSSKU
2.ドメインユーザーの作成
ドメイン参加時に利用するユーザーを作成します。
Azure AD DSの展開でユーザーを割り当てている場合は、一度割り当てたユーザーでAzureにサインインしてパスワードの変更を行います。
ユーザーを作成する場合は、Azure Portalから[Azure AD]-[ユーザー]-[+新しいユーザー]を選択します。
ID
[ユーザー名] ユーザー名
ドメイン部分は今回は既定のまま
[名前] ユーザーの氏名
パスワード 初期パスワード※
※ユーザー作成後にパスワードを変更する必要があります。
グループとロール
[グループ] 今回はAAD DC Administratorを選択
[役割] 今回はユーザーを選択
設定 任意で設定
ジョブ情報 任意で設定
[作成]をクリックします。
ユーザーが作成できたら、一旦シークレットウィンドウでAzureにサインインしてパスワードの変更をしておきます。
3.管理ツールのインストール
Azure AD DSで作成されたドメインコントローラーにはログインできないため、ドメイン参加したVMに管理ツールをインストールしてGPOの設定をします。
VMをドメイン参加させるためにAzure AD DSと同じ仮想ネットワークに配置します。
ドメイン参加する際に使用する管理者アカウントは、ドメインユーザーの作成で作成したAAD DC Adminisytatorグループに所属しているユーザーアカウントとなります。
パスワードの変更を行っていないと認証されないので、ドメイン参加前に必ずパスワード変更を行ってください。
ドメイン参加したVMに、以下の管理ツールをインストールします。
- [AD DS および AD LDS ツール]
- [DNSサーバーツール]
- [グループポリシーの管理]
参考:
- Microsoft Docs - 仮想マシンの作成
- Microsoft Docs - Azure Active Directory Domain Services のマネージド ドメインを作成して構成する
- Microsoft Docs - Azure AD DS で利用できる管理タスク
以上、WVD ARMに利用する認証基盤の構築でした。
ここまでの所感
もともとはAzure内で完結させたかったので、認証基盤にAzure AD + Azure AD DSを選択したのですが、Azure AD DSとWVDという組み合わせの構築してみた系記事を見つけられず、GPOあたりはかなり苦労しました。
サービスとしてドメインコントローラーを作成したのに、結局はVMたてて管理ツール入れなきゃGPOの管理ができないのね、などと思ったり。
構築してみると簡単で、今回のようなAzure上の小さな検証環境の認証基盤であれば、Azure AD+ Azure AD DSで十分だったと思います。
これでAzureの認証環境が整いましたので、後半ではWVD ARMの構築を行います。
後半はこちら
新規無償サブスクリプションでリソース制限されていた話
Azureの利用開始でハマった話を少し。
COVID-19の影響で3月末頃に、Azure無償サブスクリプションに一時的なリソース制限がかかっていました。
...が、そんなことは露知らず、WVDの構築をするために4月中旬Azure無償アカウントを作成し、
意気揚々とVMをたてようとしたところ、ほとんどのインスタンスサイズがグレーアウトされていて選べないという、なんとも哀しき事態に。
通常の無償サブスクリプションであれば選択可能なインスタンスサイズのはず、と調べてやっとリソース制限されていることに気が付きますが、クォータの引き上げをしようにも無償サブスクリプションの範囲外のためできず、サポートにも入っていないから問い合わせもできないという状況でした。
同じような事象を探すためにググっても解決策は出てこず...。
無償サブスクリプションに一時的にリソース制限をかけていることは分かったけど、じゃあどうすりゃいいんだという状態でした。(無償サブスクリプションで検証をする気満々だったので)
結論を言うと、ほぼ丸々無償期間が残っているサブスクリプションを従量課金制にアップグレードして、引き上げ申請をしました。
申請の際には、使用用途や必要なコア数を伝え、通れば2日ほどで上限の引き上げをしてもらうことができます。
今回は20コア分上限の引き上げを申請して、無事にVMを作成することができました!
無償サブスクリプションの範囲内で検証ができると思っていたのですが、今回はタイミングが悪かったようです。
頻繁にはないとは思いますが、もし同じような状況になった場合は、あれこれ悩まずサブスクリプションのアップグレードをしてクォータの引き上げ申請をしましょう。(おそらくこれが一番早い)
アップグレードしても期間内は無償サブスクリプションと同じように22500円分は使用できるので、安心して検証することができます。
- Micorsoft Azure Blog - Update #2 on Microsoft cloud services continuity
- Micorsoft Azure Blog - Update #3: Business continuity with Azure