この記事のWVDは”Windows Virtual Desktop Spring 2020 Release”が対象です。
前回記事ではAzure AD Connect をインストールし、Azure AD とハイブリッド構成を構築しました。 今回はWindows Virtual Desktop のhost pool を新規に作成し、作成したActive Directory Domain Services を認証リポジトリとして Windows 10 を展開します。 (赤枠部分)
最終的にはMicrosoft 365 E5 のライセンスを割り当てているAzure AD 上のユーザでの Windows Virtual Desktop への接続、そして Windows 10 にActive Directory Domain Services のユーザでサインインできるところまで確認します。
Host pool を作成していきますが、詳細は以前の記事を参考にしてください。 ポイントは以下2点のみです。
- VNet のDNS 設定でサインインで利用するActive Directory ドメインを応答できる DNS サーバを指定すること(詳細はこちら)
- 仮想マシンをドメイン参加させる適切なアカウントを指定すること
2つ目は Azure Portal のHost pool 作成で画面でいうと”Virtual Machines”構成の一番下の”Administrator account” の部分です。 コンピュータをドメイン参加させるだけなのでいわゆるDomain Admins のような管理者権限は不要です。(その場合は既定の10回参加の制限を解除したり、特定OUでdelegation するなど運用に応じて設定しましょう)
参考までに”AD domain join UPN” の横のInformation アイコンから説明を確認すると以下の吹き出しが表示されます。 ローカルアカウントが作成されること、そのアカウントは削除してもパスワードリセットしてもよいとのこと。
実際にWindows Virtual Desktop で展開したWindows 10 のローカルアカウントを確認します。マスクしてるのでわかりづらいと思いますが、Azure Portal の”AD domain join UPN”で指定したアカウントの@より左部分がWindows 10のローカルアカウントとして登録されています。
上記の2点だけ注意すれば特にHost pool の作成で問題になることはなく数十分で仮想マシンの展開まで完了します。 最終的な動作確認としてWindows 10 やAcitve Directory の状態を見ていきましょう。
Windows Virtual Desktop 上の Windows 10 で”set” コマンドを実行すると、LOGONSERVER に”adds2019″ と今回構築したドメインコントローラが環境変数としてセットされていること確認できます。
同様に接続先の Windows 10 で “ipconfig /all” からDNS servers のIPアドレスは “10.0.0.4” と今回構築したドメインコントローラであることも確認出来ます。
コンピュータ名もhost pool の命名規約に登録したB2ms-0 となっています。
ドメインコントローラ でActive Directory ユーザとコンピュータの管理ツールからもB2ms-0 としてドメイン参加され、コンピュータオブジェクトが生成されています。
Azure 上のVirtual Machine にADDS を構築しWindows Virtual Desktop を展開する話はこれで終了です。以前のAzure AD Domain Service を維持するために必要だった約12,000円 / 月を大きく削減(最大でも3,000円程度。使わないときは停止しているので実際はもっと低コスト)できるようになりました。
ノウハウという観点ではスポットインスタンスを使った部分、Windows Server 2019 にActive Directory を展開した部分、過去に全く別のフォレスト・ドメインでAzure AD Connect 同期していたAzure AD に再度同期を構成した部分などは個人的に初めての経験でした。 結果として特に問題もなく作業は実施出来ました。 本当は問題が起きた方がそのトラブルシューティングの過程が自分自身のノウハウになったりそれをブログとして公開することで自分以外の誰かにに役立つことがあるのですが、まあ、この構成で特に問題なくWindows Virtual Desktop 環境が作れます、という点を共有出来ただけでも少しは意味があったかなと思います。