WVD構成サンプル② – オンプレミスAD,ExpressRoute

by .

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに

パーソルプロセス&テクノロジーの郷原です。
WVD環境のサンプルと構成時のポイントについて記載していく2回目の記載になります。
全く同じ構成になることは無いと思いますが、一つでも参考になる要素があれば幸いです。

以前に記事はこちらになりますので、併せてご参照ください。
・Windows Virtual Desktop 構成時の考慮ポイント
 https://cloudsteady.jp/post/18204/
・WVD構成サンプル① – Azure ADDS,NetApp Files,Firewall
 https://cloudsteady.jp/post/22115/

構成図

今回の構成の特徴としては次の通りです。
・オンプレミスネットワーク内のシステムを利用したい
・Azureサブスクリプションを利用中
・Active Directory には オンプレミスActive Directoryを利用する
・WVDからインターネットへの通信はプロキシサーバーを経由する

考慮ポイント

1.Azure ADを利用しているか?

Azure ADは利用中で、Azure AD Connect でユーザーが同期されています。


【ポイント】
条件付きアクセスを利用している場合の注意は前回記事をご参照ください。
普段ユーザーがAzure ADにサインインすることが無い場合は、ユーザーは自分のAzure ADサインインIDを知らない可能性があります。
またパスワードハッシュ同期をしていない場合にはパスワードも知らない可能性もあります。
事前のAzure ADサインインIDの告知や、パスワードハッシュ同期の有効化をご検討ください。

2.Azure環境はあるか?

Azure環境は利用中でVnetがオンプレミスとExpressRouteで接続されていました。
今回は管理上の都合からWVD用のサブスクリプションを新規に作成し、既存のExpressRouteを使用してそのサブスクリプションに作成したVnetと接続することとします。
なおデフォルトルート(0.0.0.0)は広報されていません(後述)。


※補足※
Azure環境はEA契約でした。
サブスクリプションを分割することで利用料の管理を分けることができるようになります。


【ポイント】
ExpressRoute に関する記載となります。
ExpressRoute(Standard)では最大10のVnetを接続可能ですので、今回の構成は可能になりますがいくつかポイントがあります。
・WVD用Vnetのアドレス空間は既存Vnetとは重複しないようにしてください。
・VPN Gatewayが必要になるためこちらの利用料が発生します。
・1つのExpressRouteに接続されたVnetは分離されていません。
・デフォルトルート(0.0.0.0)が広報されている場合にはご注意ください。


デフォルトルートを広報していない場合は既定のルートが設定されるため、デフォルトルートのネクストホップはインターネットとなります。
デフォルトルートが広報されネクストホップがオンプレミスとなっている場合、この構成はサポートされません。「WVD管理プレーン」への通信経路がオンプレミスを経由するためパフォーマンスが低下する可能性がある他、ストレージアカウントやKMS認証等各種Azureサービスとの通信に影響を及ぼす可能性があります。


仮想ネットワーク トラフィックのルーティング
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-udr-overview#default

3.既存のActive Directory(以下AD)環境を使うか?

既存のAD環境にWVDを参加させる構成とします。


【ポイント】
Active Directoryと通信ができるようにする必要があります。
今回は認証の度にオンプレミスネットワーク上のADに通信するのを防ぐため、Azure上に一台ADを構築してWVDに関してはこのADが認証を行うようにしました。
ExpressRouteを経由してオンプレミスのADとレプリケーションを行います。
コンピューターが所属するネットワークに存在するADで認証を行う必要があるため、Azureとオンプレミスでそれぞれサイトを構成しサイトリンクを作成しました。


サイト設計の作成
https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/creating-a-site-design 
※公式情報ですが分かりづらいため他のサイトの参照をお勧めします

4.仮想デスクトップ環境に対する要件は?

今回はネットワーク要件に焦点を絞って記載ます。
WVDからインターネットへの通信はオンプレミスのプロキシサーバーを経由させます。
オンプレミスネットワークへのアクセスはオンプレミス、プロバイダーから広報されたルートを参照してアクセスします。
プロキシサーバーはオンプレミスにあるので、ルートを参照してオンプレミスネットワークにアクセスします。


【ポイント】
パフォーマンスの低下を回避するするため、WVD管理プレーンへのアクセスをプロキシサーバーの例外として設定しておく必要があります。
例外はデフォルトルートを参照してインターネットにアクセス動作となります。

終わりに

すでにAzureを利用している場合においてWVDを構成するとき、ネットワークに関する考慮が必要だった経験から今回の記事を記載しました。
WVD導入を控えていて、既存Azure環境の調査が必要になった場合の参考になれば幸いです。

いいね (この記事が参考になった人の数:12)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください