AD ベースのオフィスネットワークの構成方法 - Elastic Desktop Service

Elastic Desktop Service (EDS) Enterprise は、簡便アカウントおよび企業 Active Directory (AD) アカウントの両方をサポートしています。オフィスネットワークを作成する際、いずれかのアカウントタイプに基づいて構成できます。本トピックでは、企業 AD アカウントに基づくオフィスネットワークの作成および管理方法について説明します。

課金

ADベースのオフィスネットワークは、AD Connector を介して企業 AD に接続します。AD Connector は従量課金制です。料金は、利用期間と、仕様によって異なる単価に基づいて決定されます。詳細については、「AD Connector の料金」をご参照ください。

課金を停止するには、オフィスネットワークを削除してください。詳細については、「オフィスネットワークの削除」をご参照ください。

前提条件

作業を開始する前に、以下の要件を満たしていることを確認してください。

企業 AD 環境が構築済みであること。AD ドメインコントローラーと DNS サーバーが異なるサーバーにデプロイされている場合、AD ドメインコントローラー上の DNS が DNS サーバーの IP アドレスを指していることを確認してください。
Cloud Enterprise Network (CEN) インスタンスが存在し、企業 AD の VPC とオフィスネットワークの VPC の両方が同一の CEN インスタンスに関連付けられていること。詳細については、「CEN インスタンスの作成」をご参照ください。
説明
AD ドメインコントローラーおよび DNS サーバーがオンプレミスのデータセンターにデプロイされている場合は、Express Connect、VPN Gateway、または Smart Access Gateway (SAG) を使用してオンプレミスネットワークを Alibaba Cloud に接続してください。詳細については、「プライベートネットワークサービスの選択」をご参照ください。

必要なネットワークポートが開放されていること。オフィスネットワークの VPC は、AD ドメインコントローラー上の以下のポートにアクセスできる必要があります。これらのポートが、AD ドメインコントローラーおよび DNS サーバー上のファイアウォール、セキュリティグループ、またはセキュリティソフトウェアで許可されていることを確認してください。

プロトコルタイプ	ポートまたはポート範囲	説明	許可対象
カスタム UDP	53	DNS	オフィスネットワークの IPv4 CIDR ブロック（例：192.168.XX.XX/24）
	88	Kerberos
	123	Windows Time
	137	NETBIOS
	138	NETBIOS
	389	LDAP
	445	CIFS
	464	Kerberos パスワード変更 / リセット
カスタム TCP	53	DNS	オフィスネットワークの IPv4 CIDR ブロック（例：192.168.XX.XX/24）
	88	Kerberos
	135	レプリケーション
	389	LDAP
	443	HTTPS
	445	SMB/CIFS
	636	LDAP SSL
	9389	PowerShell
	49152–65535	RPC
	3268–3269	LDAP GC および LDAP GC SSL

オフィスネットワークの作成

Elastic Desktop Service Enterprise コンソールにログインします。
左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
上部のナビゲーションバーで、リージョンを選択します。
オフィスネットワークページで、[オフィスネットワークの作成] をクリックします。

[オフィスネットワークの作成] パネルで、[高度なオフィスネットワーク] を選択し、その他の設定を完了してから、[次へ：アカウントシステムの構成] をクリックします。

設定項目の説明

設定項目	説明
Select Region	オフィスネットワークが配置されるリージョンです。サポートされているリージョンおよび関連する制限事項については、「リージョン」をご参照ください。
オフィスネットワーク名	オフィスネットワーク名は、オフィスネットワークを識別し、迅速に検索するために使用されます。
IPv4 CIDR ブロック	オフィスネットワーク内にクラウドコンピューターを作成すると、そのクラウドコンピューターにはオフィスネットワークの VPC の IPv4 CIDR ブロックから自動的に IP アドレスが割り当てられます。VPC CIDR ブロック内の IP アドレス数が、ネットワークが収容可能なクラウドコンピューターの最大数を決定します。CIDR ブロックは慎重に計画してください。詳細については、「CIDR ブロックの計画」をご参照ください。デフォルトでは、オフィスネットワークの VPC に以下の IPv4 CIDR ブロックおよびそのサブネットを設定できます。 192.168.0.0/16 10.0.0.0/12 172.16.0.0/12 その他のカスタム IPv4 CIDR ブロックを使用する場合は、チケットを送信して、Alibaba Cloud のテクニカルサポートを受けてください。
クラウドコンピューター接続方法	接続タイプは、エンドユーザーがオフィスネットワーク内のクラウドコンピューターに接続する方法を決定します。サポートされているオプションは以下のとおりです。インターネット：インターネット経由でのみ接続を許可します。これはデフォルトのオプションです。この方法を使用するには、クラウドコンピューターに接続するオンプレミスデバイスがインターネットにアクセスできる必要があります。企業プライベートネットワーク (VPC)：VPC 経由でのみ接続を許可します。この方法を使用するには、オフィスネットワークをCloud Enterprise Network (CEN) インスタンスにアタッチする必要があります。その後、Express Connect（専用回線）、Smart Access Gateway (SAG)、またはVPN Gatewayなどのプロダクトを使用して、オンプレミスネットワークをクラウドネットワークに接続できます。詳細については、「CEN インスタンスへのオフィスネットワークのアタッチまたはデタッチ」および「プライベートネットワークプロダクトの選択方法」をご参照ください。インターネットおよび企業プライベートネットワーク (VPC)：上記の両方の接続タイプをサポートします。説明 VPC 接続は、Alibaba Cloud のPrivateLink サービスを利用しており、無料です。VPC 接続またはパブリックネットワークと VPC の両方を許可を選択すると、システムが自動的にPrivateLink サービスを有効化します。
Cloud Enterprise Network	VPC 接続方法を使用するには、[参加] を選択します。必要に応じて、同一アカウントまたは別のアカウントのCloud Enterprise Network インスタンス ID を選択できます。説明オンプレミスネットワークをSmart Access Gateway、Express Connect（専用回線）、またはVPN Gatewayを通じてクラウドネットワークに接続する場合、オフィスネットワークは同一のCloud Enterprise Network インスタンスに参加する必要があります。オフィスネットワーク内のクラウドコンピューターを正常に使用できるようにするため、Cloud Enterprise Network インスタンス ID を選択した後、[検証] をクリックしてください。これにより、選択したCloud Enterprise Network インスタンスのルートとオフィスネットワークの IPv4 CIDR ブロックとの間に競合がないかチェックされます。検証に失敗した場合は、[競合の詳細と推奨 CIDR ブロックを表示] をクリックし、表示された提案に基づいて IPv4 CIDR ブロックまたは CEN インスタンスを再設定してください。

[アカウントシステムの構成] ステップで、[アカウントタイプ] エリアの [企業 AD アカウント] を選択し、以下のパラメーターを設定してから、[OK] をクリックします。

パラメーター

パラメーター	説明
ドメイン名	ご利用の企業 AD ドメイン名（例：example.com）。コンソールにドメイン名が無効である旨のメッセージが表示された場合は、チケットを送信してください。
ドメインコントローラーホスト名	ご利用の AD ドメインコントローラーに設定されたホスト名です。AD ドメインコントローラーと DNS サーバーが異なるサーバーにデプロイされている場合、ドメインコントローラーを特定し、オフィスネットワーク作成の成功率を高めるために、このパラメーターを指定する必要があります。同一サーバーにデプロイされている場合は、このパラメーターは省略可能です。
DNS アドレス	ご利用の企業 AD の DNS サーバーの IP アドレスです。AD ドメインコントローラーと DNS サーバーが同一サーバーにある場合は、AD ドメインコントローラーの IP アドレスを入力してください。この IP アドレスが、前のステップで設定したオフィスネットワークから到達可能であることを確認してください。
セカンダリドメインコントローラーホスト名 / DNS アドレスの追加	[セカンダリドメインコントローラーホスト名 / DNS アドレスの追加] をクリックして、高可用性のためにバックアップドメインコントローラーおよび DNS アドレスを構成できます。プライマリドメインコントローラーが利用できない場合でも、クラウドコンピューターの作成、AD アカウントへのクラウドコンピューターの割り当て、ユーザーのログインなどの操作に影響はありません。
ローカル管理者	ローカル管理者はソフトウェアをインストールしたり、ローカル管理者権限を必要とするタスクを実行したりできます。[AD ユーザーをローカル管理者として指定] を選択すると、このオフィスネットワーク内のすべての承認済みユーザーがローカル管理者権限を持ちます。AD ドメインコントローラーでローカル管理者を設定することも可能です。詳細については、「クラウドコンピューターローカル管理者の設定」をご参照ください。
AD Connector タイプ	クラウドコンピューターの推定台数に基づいて仕様を選択します。標準：最大 1,000 台のクラウドコンピューター向け。高度：1,000 台を超えるクラウドコンピューター向け。

[オフィスネットワークの作成] パネルで、[閉じる] をクリックします。オフィスネットワークページで、[ステータス] 列を確認します。
- ステータスが [ユーザーの構成] の場合、オフィスネットワークは正常に作成されています。ユーザー構成を完了するために、オフィスネットワーク ID をクリックし、[基本情報] セクションで [ステータス] の横にある [構成] をクリックします。
- ステータスが [ドメイン情報の構成] の場合、[アカウントタイプ] 設定、オフィスネットワークと DNS サーバー間のネットワーク接続、および DNS サーバーのセキュリティグループルールを確認・修正してください。その後、オフィスネットワーク詳細ページで [再試行] をクリックして、オフィスネットワークの再作成を行います。詳細については、「AD オフィスネットワークに関するよくある質問」をご参照ください。

ユーザーの構成

左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
上部のナビゲーションバーで、リージョンを選択します。
オフィスネットワークページで、対象のオフィスネットワークのオフィスネットワーク ID をクリックします。
オフィスネットワーク詳細ページで、以下のいずれかの操作を行います。
- [基本情報] エリアで、[ステータス] の横にある [設定] をクリックします。
- [アカウントタイプ] エリアで、[ドメインユーザー名] の横にある [構成] をクリックします。
[AD ドメインの構成] パネルで、ドメインユーザー名とパスワードを入力し、パスワードを確認してから、[検証] をクリックします。ドメインユーザーには、コンピューターを AD ドメインに参加させる権限およびユーザー属性を読み取る権限が必要です。これにより、このオフィスネットワーク内のクラウドコンピューターを AD ドメインサーバーに追加し、ユーザーに割り当てることができます。
説明
ドメインユーザーには、コンピューターを AD ドメインに参加させる権限およびユーザー属性を読み取る権限が必要です。これにより、このオフィスネットワーク内のクラウドコンピューターを AD ドメインサーバーに追加し、ユーザーに割り当てることができます。
検証が成功したら、[アカウントタイプ] エリアで、[OU] の横にある [編集] をクリックし、[OU] ドロップダウンリストから OU を選択します。

構成が完了すると、オフィスネットワークのステータスは [登録済み] に変更されます。これで、このオフィスネットワーク内にクラウドコンピューターまたはクラウドコンピューターシェアを作成できます。

ドメインコントローラー設定の変更

AD オフィスネットワークを作成した後、ドメインコントローラーのアドレスが変更された場合は、ドメインコントローラーホスト名および DNS アドレスを更新できます。

左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
上部のナビゲーションバーで、リージョンを選択します。
オフィスネットワークページで、対象のオフィスネットワークのオフィスネットワーク ID をクリックします。
[AD 構成] セクションで、[ドメインコントローラーホスト名 / DNS アドレス] の横にある [編集] をクリックし、新しいホスト名および DNS アドレスを入力してから、[OK] をクリックします。
説明
変更に失敗した場合、ドメインコントローラーホスト名および DNS アドレスは以前の値に復元されます。

クラウドコンピューターローカル管理者の設定

ローカル管理者はソフトウェアをインストールしたり、ローカル管理者権限を必要とするタスクを実行したりできます。オフィスネットワーク作成時にローカル管理者を有効化するか、AD ドメインコントローラーで設定できます。

方法	メリット	デメリット
オフィスネットワーク作成時に設定	一度の簡単な設定で完了します。AD オフィスネットワーク内のすべての承認済みユーザーがローカル管理者になります。	オフィスネットワークレベルで適用されます。オフィスネットワーク内のすべてのクラウドコンピューターにローカル管理者権限が付与されるため、粒度が粗いです。
AD ドメインコントローラーで設定	粒度の細かい制御が可能です。必要に応じて特定のユーザーにローカル管理者権限を割り当てられます。	AD ドメインコントローラーでの手動設定が必要で、手順が多くなります。

AD ドメインコントローラーでローカル管理者を設定する方法については、「AD ドメインでローカル管理者を設定する方法」をご参照ください。

オフィスネットワークの管理

オフィスネットワークを作成した後、以下の一般的な管理タスクを実行できます。

オフィスネットワークの削除

オフィスネットワークを削除するには、事前にオフィスネットワーク内のすべてのクラウドコンピューターリソースをリリースする必要があります。AD ベースのオフィスネットワークを削除すると、AD Connector の課金が停止します。

警告

オフィスネットワークを削除する前に、オフィスネットワーク内の重要なリソースおよびデータがすべてバックアップ済みであることを確認してください。削除されたリソースおよびデータは復旧できません。

左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
上部のナビゲーションバーで、リージョンを選択します。
オフィスネットワークページで、対象のオフィスネットワークを見つけ、[操作] 列の [削除] をクリックします。
確認ダイアログボックスで、案内を読み、[OK] をクリックします。

次のステップ

オフィスネットワークを作成した後、以下の操作を行えます。