2014年8月1日金曜日

Amazon WorkSpacesとオンプレミス環境のActive Directoryとの接続実験

前回に引き続き、Amazon WorkSpacesの使用レポートです。

今回のお題は 「オンプレミス環境のActive Directoryに接続」です。


参考:


■構成図
今回試した構成は下記の通りです。



尚、オンプレミス環境のActive Directoryを利用するため、Amazon VPCからオンプレミス環境にVPN(IPsec)接続を行っています。
※customer gatewayにはpfSense 2.1.4を使用しました。
■設定方法など
上記構成を構築するため、今回はおおよそ下記の設定を行いました。
WorkSpaces自体の設定は多くないため、VPC周りがある程度理解できていれば容易に構築可能です。
所々、参考までにスクリーンショットを貼りました。


  • Amazon VPC
    • VPCの作成
      作成画面

      デフォルトVPCでもよい
    • WorkSpaces用Subnetの作成
      Subnetは最低2つ必要。異なるAZを推奨。
      尚、本構成ではNATインスタンス用Subnetも別AZにしていますが、特に理由があるわけではないため、こちらは同一AZでも構いません。
    • Internet Gatewayの作成
      NATインスタンスを経由してのインターネットアクセス用
    • Route Tableの作成と紐付け
    • 各種インスタンス用のSecurity Group作成
    • Customer Gatewayの登録
    • Virtual Private Gatewayの作成
      VPN Connection(IPsec)の作成 
      IPSec設定作成完了


●Amazon EC2 
○NATインスタンスの作成

    • NATインスタンスAMI選択画面


      このインスタンスを経由してインターネットアクセスを行う
      作成完了


  • オンプレミス環境
    • 検証用Active Directoryの作成、及びWorkSpaces用初期設定
      WorkSpaces用初期設定はawsdocumentation参照
    • pfSenseでVPCにIPsec接続
      IPSec設定
      IPSec接続完了

  • Amazon WorkSpaces
    • Directoryを「WorkSpaces Connect」でセットアップ
      AD接続先情報入力
      セットアップ完了

    • WorkSpacesデスクトップの作成
      作成時、Active Directoryのユーザー一覧が表示され、どのユーザーを割り当てるかの設定を行う
    • 20分程待てばデスクトップが利用可能に



■WorkSpacesに接続


こからクライアントをDLし、環境に応じてセットアップを行います。

クライアント初期起動時は、どのWorkSpaces環境に接続するかを設定するため、指定のRegistration Codeを入力します。

その後は、デスクトップに割り当てたADアカウントにてログオン、少し待った後デスクトップが利用可能になります。
 
Registration Code入力

認証

デスクトップ起動


■WorkSpacesデスクトップの日本語化
初期状態では各種言語設定が英語のため、WindowsのUIは英語表記になっています。
これについては、コントロールパネルの「Region and Language」で日本語設定を行う事により、日本語化可能です。
(Format, Location, Display language, System localeを全て設定すれば日本語OSそのものになります)
Format

Location

Display

System locale

日本語化完了!



■その他ネタ
  • WorkSpacesで作成したデスクトップは、オンプレミス環境側のドメインに参加した状態になっているため、GroupPolicy等の適用が可能
  • VPNで繋がっているため、オンプレミス環境のファイルサーバー等へ直接アクセスする事も可能
    ただし、Security Groupやオンプレミス側Firewallに適切な設定が必要
  • 現時点ではWorkSpacesが東京リージョン非対応のため、遅延が大きく実用的ではない
  • WorkSpacesクライアントをインストールしたPCでゲーミングマウスを使用すると、カーソルがワープを繰り返して非常に操作しづらい



所感
割りとあっさりとオンプレミスのADとの連携が出来てしまいました。
日本語化も用意に出来ました。
ニーズとしては、
VDIを使いたいけれどオンプレミスで自社構築はお金が掛かりすぎる。 
なのでDaaSを考えているが、既に自社のADがありそことの連携は必須。
という人にはぴったりです。
但し、現状では東京リージョン非対応(試したのはオレゴンリージョン)なので、パフォーマンス的には常用するのは微妙なところ。
東京リージョンで動作するようになれば、十分に常用の可能性が出てくると思われます。
その時が待たれますね。(対応したら試してみようと思います)

 ※この検証作業とドキュメントのドラフト版は社員の人ががんばって作ってくれました。ありがとう。
投稿者 時刻:

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。

登録: コメントの投稿 (Atom)