AWS Microsoft AD で Amazon WorkSpaces ドメイン参加

前回の記事「AWS Microsoft AD と既存 AD との信頼関係」で作成した Microsoft AD を利用して Amazon WorkSpaces でドメイン参加させてみたいと思います。同様の検証は AD Connector を利用して既に「AD Connector で Amazon WorkSpaces ドメイン参加【第2回】」で実施済なので重複するところは省略しながらやります。

WorkSpaces の起動

AWS コンソールにて「サービス」→「WorkSpaces」より「WorkSpaces の起動」を実行します。
「ディレクトリの選択」では、前回作成した Microsoft AD として作成したドメイン「awsdom.local」を選択します。

WorkSpaces の起動(1)

「フォレストから信頼を選択」では信頼関係を構築した既存AD「mydom.local」を選択し「すべてのユーザーの表示」で、AD Connector 経由のときと同じユーザ「yamada.taro」を選択し「選択項目を追加」として「次のステップ」へ進みます。
※ちなみに「信頼関係が片方向(既存 AD ドメイン → MS AD ドメイン)」の場合は「すべてのユーザーの表示でも何も表示されません」

WorkSpaces の起動(2)

あとは同じです。「Windows 10 Japanese」を選択して最後に「WorkSpacesの起動」を実行します。

ちなみに、AD Connector のときは選択したドメインユーザーにメールアドレスが設定されていなくても問題なかったですが、MS AD 経由ですと、メールアドレスが設定されていないドメインユーザは選択できませんでした。

これは恐らく MS AD の場合は、新規ユーザの登録もこの WorkSpaces 作成と同時に行えるからだと思います。ユーザ登録は管理者が行いますが、パスワードは本人が入力すべきものです。したがってユーザ本人にパスワードを初期設定する URL を伝える必要がありますが、それが入力したメールアドレスに飛ぶのです。以下のようなメールです。AD Connector 経由の場合、そもそも既存環境なのでそんな配慮は不要でしょう、ということなのかな、と。

WorkSpaces の起動(3)

WorkSpaces への接続

接続方法も関連記事と同じなので省略しますが、とりあえず登録した taro.yamada でログインしてみます。

WorkSpaces への接続(1)

システムのプロパティを確認すると、コンピューターは MS AD ドメイン「awsdom.local」で、ユーザ情報は既存ドメイン「mydom.local」です。

WorkSpaces への接続(2)

あくまでも MS AD ドメイン「awsdom.local」を経由して信頼関係のある既存 AD ドメイン「mydom.local」のアカウントを利用したということであって、既存 AD ドメインに参加したってわけではないということですね。

とにかく AD Connector を利用しなくても、既存 AD ドメインユーザで WorkSpaces が利用できました。

リモートサーバー管理ツール

一応、参考までに MS AD ドメインの中身をのぞいてみましょう。

MS AD はマネージドサービスなので、簡単に中身は見れませんが、RSAT(Remote Server Administration Tools)をインストールすれば参照できます。

今回は接続している WorkSpace に RSAT を導入してみますが、これは非常に簡単で「役割と機能の追加」で以下の「AD DS および AD LDS ツール」を選択すれば OK です。

リモートサーバー管理ツール(1)

インストール後、「Active Directory ユーザーとコンピューター」から確認してみましたが、コンピューターとしては MS AD ドメイン「awsdom.local」に登録されていました。

リモートサーバー管理ツール(2)

ちなみに当然ながら、MS AD ドメイン「awsdom.local」からでも、信頼関係があるので既存 AD ドメイン「mydom.local」のユーザも検索できます。

リモートサーバー管理ツール(3)

AWSActive Directory,Amazon WorkSpaces,AWS Microsoft AD

Posted by takmaru