はじめに
皆様、こんにちは!
ネットワールド SEの福村です。
前回に引き続き、WorkSpaces PoolsとFSLogixを組み合わせた構成について取り上げていきます。これまでの内容については以下のブログをご参照ください。
今回からは構築の大まかな流れを画面キャプチャを用いて説明していきたいと思います。
大まかな流れ
実施した作業は以下になります。
- VPC等のネットワークリソースを展開
- EC2をプライベートサブネットに展開し、ADの機能をインストール
- AD展開後にVPCの名前解決をADへ向ける
- EC2へのアクセスはEC2 Instance Connect Serviceを使用
- ADとして利用する場合は通信要件があるので、セキュリティグループで必要なポートは開けておく
-
接続用アカウントを用意する
-
Poolsのホストに実際にログインするアカウントをAD側に作成する
- 作成したADアカウントはEntra Connectを用いてEntra IDへ同期
- 今回の構成ではEntra IDをSAMLのIdPとして利用
-
- FSx権限委任用アカウントを用意する
- FSx for WindowsをセルフマネージドのADにドメイン参加させるのに必要な権限を持つアカウントを用意する
- ADとFSx for Windowsの間でも通信要件があるので、セキュリティグループで必要なポートは開けておく
VPCのネットワークリソースを展開
サブネットを含めてセットで展開します。
EC2の展開及びAD機能のインストール
EC2をプライベートサブネットに展開し、ADの機能をインストールします。
VPCの名前解決をADに向ける
VPCのDNSの参照先を既定のものからADへ変更します。
カスタムのDHCPオプションセットを作成し、VPCの設定メニューで作成したものを選択します。
FSx専用のOU及び権限委任用アカウントを用意する
ドメインにFSx専用のOUを作成します。
「fsxgroup」というFSxの管理権限を持つグループを作成します。
権限委任用ユーザーを作成し、上記の「fsxgroup」の中に格納します。
権限の委任
作成したOU上で右クリック→制御の委任から作成したグループを追加します。
ウィザードを進め、委任するタスクでは「委任するカスタムタスクを作成する」を選択します。
Active Directoryオブジェクトの種類では「フォルダー内の次のオブジェクトのみ」を選択し、以下の内容を設定します。
- 対象のオブジェクトは「コンピュータオブジェクト」のみ選択する。
- 最後の2つのチェックボックスにチェックを入れる。
アクセス許可では以下の4つを有効にし、ウィザードを完了する。
- パスワードのリセット
- アカウントの制限の読み取りと書き込み
- サービスプリンシパル名への検証された書き込み
- DNSホスト名への検証された書き込み
FSxのドメイン参加
自己管理型のMicrosoft Acitive Directoryを選択の上、以下の内容を入力しFSx for Windowsをドメイン参加させます。
ADであるEC2からFSxに接続し、テストフォルダを作成することができました。
おわりに
今回は構成の前半の作業の流れを紹介いたしました。次回は後半部分であるFSLogixを組み込んだイメージ作成し展開を行います。そして、実際の環境に接続してプロファイルが保存されるか確認したいと思います!
