ADオフィスネットワークを構成する方法は? - Elastic Desktop Service

Elastic Desktop Service (EDS) は、コンビニエンスアカウントとエンタープライズActive Directory (AD) アカウントをサポートします。オフィスネットワーク (旧ワークスペース) を作成するときに、オフィスネットワークのアカウントタイプを指定できます。このトピックでは、エンタープライズADアカウントタイプのオフィスネットワーク (エンタープライズADオフィスネットワークの略) を作成する方法について説明します。

課金ルール

エンタープライズADオフィスネットワークは、ADコネクタを使用してエンタープライズADシステムに接続します。使用期間と使用するADコネクタの単価に基づいて、従量課金制でADコネクタを使用する場合に課金されます。さまざまなタイプのADコネクタの価格の詳細については、

EDSポータルの料金ページをご参照ください。

追加料金を防ぐために使用されなくなった場合は、エンタープライズADオフィスネットワークを削除します。詳細については、「エンタープライズADオフィスネットワークの作成と管理」トピックの「オフィスネットワークの削除」セクションをご参照ください。

前提条件

エンタープライズADシステムがデプロイされます。 ADドメインコントローラーとドメインネームシステム (DNS) サーバーを異なるサーバーに展開する場合は、ADドメインコントローラーのDNSアドレスがDNSサーバーのIPアドレスに設定されていることを確認してください。
Cloud Enterprise Network (CEN) インスタンスが作成され、エンタープライズADシステムの仮想プライベートクラウド (VPC) とエンタープライズADオフィスネットワークがCENインスタンスに接続されます。 CENインスタンスの作成方法の詳細については、「CENおよびEnterprise Editionトランジットルーターを使用してオンプレミスネットワークとクラウドネットワーク間のリージョン内通信を有効にする」トピックの「手順1: CENインスタンスの作成」をご参照ください。
説明
ADドメインコントローラーとDNSサーバーがオンプレミスのデータセンターにデプロイされている場合は、Express Connect (回線) 、Smart Access Gateway (SAG) 、またはVPN Gatewayを使用して、オンプレミスとクラウドネットワーク間の接続を確立する必要があります。詳細については、「プライベートネットワークサービスの選択」をご参照ください。

特定のポートが開かれる。エンタープライズADオフィスネットワークが使用するVPCは、ADドメインコントローラーのポートにアクセスする必要があります。 ADドメインコントローラー、DNSサーバー、およびセキュアソフトウェアでポートが開かれていることを確認します。次の表に、必要なポートを示します。

プロトコル	ポート /ポート範囲	説明	権限付与オブジェクト
カスタム UDP	53	DNS	オフィスネットワークのIPv4 CIDRブロック。例: 192.168.XX.XX/24.
	88	Kerberos
	123	Windowsの時間
	137	NETBIOS
	138	NETBIOS
	389	LDAP
	445	CIFS
	464	Kerberosに基づくパスワードの変更またはリセット
カスタマイズTCP	53	DNS	オフィスネットワークのIPv4 CIDRブロック。例: 192.168.XX.XX/24.
	88	Kerberos
	135	レプリケーション
	389	LDAP
	443	HTTPS
	445	SMB/CIFS
	636	LDAP SSL
	9389	PowerShell
	65535 49152のポート	RPC
	3268 ~ 3269	Lightweight Directory Access Protocol (LDAP) グローバルカタログ (GC) およびLDAP GC Secure Sockets Layer (SSL)

オフィスネットワークの作成

EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [Officeネットワーク] を選択します。
上部ナビゲーションバーの左上でリージョンを選択します。
[Officeネットワーク] ページで、[Officeネットワークの作成] をクリックします。

[Officeネットワークの作成] ステップで、[高度なOfficeネットワーク] を選択し、プロンプトに従ってパラメーターを設定し、[次へ: アカウントシステムの設定] をクリックします。下表に、各パラメーターを説明します。

Parameters

パラメーター	説明
Select Region	オフィスネットワークを作成するリージョン。サポートされるリージョンと制限の詳細については、「リージョン」をご参照ください。
名前	オフィスネットワークの名前。画面上の指示に従って名前を指定します。
IPv4 CIDRブロック	オフィスネットワークにクラウドコンピューターを作成すると、オフィスネットワークで使用されるVPCのCIDRブロックからクラウドコンピューターにIPアドレスが自動的に割り当てられます。 IPアドレスの数は、CIDRブロックによって異なります。詳細については、「CIDRブロックの計画」をご参照ください。デフォルトでは、オフィスネットワークが次のIPv4 CIDRブロックとそのサブネットのいずれかに使用する仮想プライベートクラウド (VPC) のCIDRブロックを指定できます。 192.168.0.0/16 10.0.0.0/12 172.16.0.0/12 カスタムIPv4 CIDRブロックを使用する場合は、チケットを起票し、Alibaba Cloudテクニカルサポートにお問い合わせください。
接続方法	オフィスネットワークを作成するときは、エンドユーザーがAlibaba cloud Workspaceクライアントからクラウドコンピューターに接続する方法を指定する必要があります。次の接続方法が提供されます。インターネット (デフォルト): エンドユーザーはインターネット経由でのみクラウドコンピューターに接続できます。この方法を選択した場合、クラウドコンピューターへの接続に使用されるオンプレミスコンピューターがインターネットにアクセスできる必要があります。 VPC: エンドユーザーはVPC経由でのみクラウドコンピューターに接続できます。この方法を選択した場合、オフィスネットワークをCloud Enterprise network (CEN) インスタンスに接続する必要があります。さらに、オンプレミスとクラウドネットワーク間の接続を確立するには、Express Connect (回線) 、Smart Access Gateway (SAG) 、またはVPN Gatewayを使用する必要があります。詳細については、「CENインスタンスへのオフィスネットワークのアタッチとデタッチ」および「プライベートネットワークサービスの選択」をご参照ください。 VPCとインターネット: エンドユーザーは、上記の両方の接続方法を使用できます。説明 Alibaba Cloud Workspace端末をクラウドコンピューターに接続するために使用する方法。 VPC接続はPrivateLinkに依存しており、無料です。 VPCまたはインターネットとVPCを選択した場合、システムは自動的にPrivateLinkをアクティブにします。
CENへのアタッチ	接続方法パラメーターをVPCに設定した場合、このパラメーターをはいに設定する必要があります。 VPCをCENにアタッチするには、現在または別のAlibaba Cloudアカウント内のCENインスタンスを選択します。説明 Smart Access Gateway、Express Connect、またはVPN Gatewayを使用してオンプレミスネットワークをクラウドに接続する場合、オフィスネットワークをオンプレミスネットワークと同じCENインスタンスに接続する必要があります。オフィスネットワークのクラウドコンピューターを期待どおりに使用できるようにするには、CENインスタンスを指定した後、[チェック] をクリックします。 CENインスタンスのルートのCIDRブロックがオフィスネットワークのIPv4 CIDRブロックと重複しているかどうかを確認します。 CIDRブロックが競合している場合は、[競合の詳細と推奨CIDRブロックの表示] をクリックします。次に、別のIPv4 CIDRブロックまたはCENインスタンスを指定します。

[アカウントシステムの設定] ステップで、[アカウントタイプ] を [エンタープライズADアカウント] に設定し、パラメーターを設定して、[OK] をクリックします。

Parameters

パラメーター	説明
ドメイン名	企業のADドメイン名。 (例：example.com)。指定されたドメイン名が無効であることを示すメッセージが表示された場合、送信する Alibaba Cloudテクニカルサポートに連絡するためのチケット。
ドメインコントローラーのホスト名	ADドメインコントローラーで構成するホスト名。 ADドメインコントローラーとDNSサーバーがサーバーに個別にデプロイされている場合は、ドメインコントローラーのホスト名を指定する必要があります。このようにして、システムは有効なドメインコントローラを識別でき、オフィスネットワークを作成できます。 ADドメインコントローラーとDNSサーバーが同じサーバーにデプロイされている場合は、ビジネス要件に基づいてこのパラメーターを設定します。
DNSアドレス	エンタープライズADシステムに対応するDNSサーバーのIPアドレス。 ADドメインコントローラーとDNSサーバーが同じサーバーにデプロイされている場合は、ADドメインコントローラーのIPアドレスを入力できます。前の手順で指定したIPv4 CIDRブロックからIPアドレスにアクセスできることを確認してください。
Secondary Domain Controllerホスト名 /セカンダリDNSアドレス	[セカンダリドメインコントローラーのホスト名 /DNSアドレスの追加] をクリックして、セカンダリドメインコントローラーのホスト名とDNSアドレスを追加します。このパラメータは、高可用性を確保するために使用されます。ドメイン名コントローラーの1つがシャットダウンされても、クラウドコンピューターの作成、割り当て、ログオンなどの操作は影響を受けません。
ローカル管理者	クラウドコンピュータのローカル管理者は、ソフトウェアをダウンロードし、ローカル管理者権限を必要とするタスクを実行できます。 [ローカル管理者としてADユーザーを指定する] チェックボックスをオンにした場合、オフィスネットワークのクラウドコンピューターの使用を許可されたユーザーには、ローカル管理者権限が付与されます。 ADドメインコントローラーでローカル管理者を設定することもできます。詳細については、「エンタープライズADオフィスネットワークの作成と構成」トピックの「ユーザーをローカル管理者として構成する」セクションをご参照ください。
ADコネクタタイプ	クラウドコンピューターの数に基づいて、次のADコネクタタイプが提供されます。一般: 最大で1,000のクラウドコンピューター (< 1,000) が必要なシナリオに適しています。高度: 少なくとも1,000のクラウドコンピューター (≧ 1,000) が必要なシナリオに適しています。

オフィスネットワークが作成されたら、[オフィスネットワーク] ページに移動してそのステータスを表示できます。

[ユーザーの設定] メッセージが [ステータス] 列に表示される場合、オフィスネットワークが作成されます。
[登録] 状態が表示され、オフィスネットワークがその状態のままである場合は、オフィスネットワークの詳細ページに移動し、[基本情報] セクションで実際のステータスを表示する必要があります。ステータスパラメーターに [オフィスネットワークの作成に失敗しました] が表示される場合は、次の質問を確認する必要があります。オフィスネットワークとADドメインサーバー間のネットワークが接続されているかどうか、設定したパラメーターが有効かどうか、ADドメインコントローラー用に設定したDNSサーバーが有効かどうか。例外が見つからない場合は、[再試行] をクリックしてオフィスネットワークを再作成します。詳細については、「ADオフィスネットワークに関するFAQ」をごください。

ユーザーの設定

左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [Officeネットワーク] を選択します。
上部ナビゲーションバーの左上でリージョンを選択します。
[オフィスネットワーク] ページで、管理するオフィスネットワークを見つけ、そのIDをクリックします。
オフィスネットワークの詳細ページの [基本情報] セクションで、[ステータス] の横にある [設定] をクリックします。
[ADドメインの設定] パネルで、ADドメインユーザーのユーザー名とパスワードを入力します。
説明
ADドメインユーザーには、ADドメインを追加し、ADドメインコントローラーからユーザープロパティを読み取る権限が必要です。このようにして、システムは、オフィスネットワーク内のクラウドコンピュータをADドメインコントローラに追加し、クラウドコンピュータを割り当てることができる。
[検証] をクリックして、ユーザーが所属する組織単位 (OU) に関する情報を検証および取得します。
情報が検証されている場合は、OUを選択します。
上記の設定を確認し、[閉じる] をクリックします。
オフィスネットワークが [登録済み] 状態になった場合、オフィスネットワークにクラウドコンピューターまたはクラウドコンピュータープールを作成できます。

ユーザーをローカル管理者として構成

クラウドコンピューターのローカル管理者のみがソフトウェアをダウンロードし、クラウドコンピューターのローカル管理者権限を必要とするタスクを実行できます。ユーザーをローカル管理者として設定するには、次のいずれかの方法を選択できます。方法1: EDSコンソールでローカル管理者を設定し、方法2: ADドメインコントローラーでローカル管理者を設定します。

移動方法	利点	デメリット
1	エンタープライズADオフィスネットワークを作成する場合、[ローカル管理者としてADユーザーを指定する] チェックボックスをオンにして、ローカル管理者としてユーザーを構成できます。チェックボックスを選択すると、オフィスネットワークでクラウドコンピューターを使用する権限を与えられているすべてのユーザーが、クラウドコンピューターのローカル管理者になります。	この方法は、オフィスネットワークによってローカル管理者権限を付与するのに適しています。エンタープライズADオフィスネットワーク内のクラウドコンピューターが割り当てられているユーザーには、クラウドコンピューターに対するローカル管理者権限があります。ただし、この方法では、ユーザーにきめ細かい権限管理を提供することはできません。この方法は簡単です。
2	特定のユーザーにローカル管理者権限を付与できます。この方法は、ユーザーにきめ細かい権限管理を提供します。	この方法は、ユーザーによるローカル管理者権限の付与に適しています。 ADドメインコントローラーでドメインユーザーのローカル管理者権限を設定する必要があります。この方法は複雑である。

詳細については、「ADオフィスネットワークに関するFAQ をご参照ください。

オフィスネットワークの管理

オフィスネットワークの作成後、次の操作を実行できます。

オフィスネットワークの削除

クラウドコンピューターがリリースされているオフィスネットワークのみ削除できます。対応するエンタープライズADオフィスネットワークが削除された後、システムはADコネクタの請求を停止します。

警告

オフィスネットワークを削除する前に、オフィスネットワーク内のクラウドコンピュータの重要なリソースとデータをバックアップしていることを確認してください。削除したオフィスネットワークは復元できません。作業は慎重に行ってください。

左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [Officeネットワーク] を選択します。
上部ナビゲーションバーの左上でリージョンを選択します。
[オフィスネットワーク] ページで、削除するオフィスネットワークを見つけ、[操作] 列の [削除] をクリックします。
表示されるメッセージで、メッセージを読み、[OK] をクリックします。

条件付きフォワーダと信頼関係の設定

デフォルトでは、新しいオフィスネットワークは適応ストリーミングプロトコル (ASP) を使用します。 HDX (high-definition experience) プロトコルを使用する既存のオフィスネットワークでは、オフィスネットワークを使用する前に、条件付きフォワーダと信頼関係を設定する必要があります。

条件付きフォワーダと信頼関係を設定する手順

条件付きフォワーダを設定します。
[条件付きフォワーダーの設定] ページで、プロンプトに従ってADドメインのDNSサーバーにログインし、条件付きフォワーダーを設定します。
説明
- エンタープライズADが、同じDNSサーバーを共有するドメインまたは複数のドメイン (親ドメインや子ドメインなど) に追加されている場合、DNSサーバーの条件付きフォワーダを設定する必要があります。
- エンタープライズADが異なるDNSサーバーに対応する複数のドメインに追加されている場合は、DNSサーバーごとに条件付きフォワーダーを設定する必要があります。
1. DNSマネージャを起動します。
  この例では、Windows Server 2016のDNSマネージャが使用されます。サーバーが別のOSを実行している場合、実際の設定が優先されます。
  1. サーバーマネージャーを起動します。左側のナビゲーションウィンドウで、[DNS] を選択します。
  2. 右側のサーバーリストで、管理するDNSサーバーを右クリックし、[DNSマネージャー] を選択します。
2. [DNSマネージャ] ダイアログボックスで、[条件付きフォワーダ] を右クリックし、[新しい条件付きフォワーダ] を選択します。
3. ドメインとDNSサーバーのIPアドレスを入力し、[この条件付きフォワーダーをActive Directoryに保存し、次のようにレプリケート] を選択し、[このドメインのすべてのDNSサーバー] を選択して、[OK] をクリックします。
  ドメイン名はecd.acsで、IPアドレスは接続アドレスです。
  説明
  オフィスネットワークの詳細ページの [AD設定] セクションで、[接続アドレス] パラメーターを見つけ、IPアドレスを取得します。
4. ADドメインサーバーの [Administrator: Command Prompt] ウィンドウで、次のコマンドを実行してネットワーク接続を確認します。
```
nslookup ecd.acs
```
  - 返されたIPアドレスが接続アドレスである場合、条件付きフォワーダが設定されます。
  - エラーメッセージが返された場合は、条件付きフォワーダが正しく設定されているかどうかを確認し、DNSキャッシュをクリアします。 DNSキャッシュをクリアする方法の詳細については、「AD officeネットワークに関するよくある質問」をご参照ください。
ADドメインコントローラーにログインし、信頼関係を設定します。
エンタープライズADオフィスネットワークの信頼関係を構成しない場合、オフィスネットワークと同じプロトコルを使用するクラウドコンピューターのみを作成できます。信頼関係をすでに構成している場合は、ASPまたはHDXベースのクラウドコンピューターを作成できます。次のセクションでは、HDXベースのオフィスネットワークを例として使用します。
説明
ASPベースのオフィスネットワークの信頼関係を設定する場合は、を送信して
Alibaba Cloudテクニカルサポートのチケット。
1. サーバーマネージャーを起動します。
2. 右上のナビゲーションバーで、[ツール] > [Active Directoryドメインと信頼] を選択します。
3. 表示されるダイアログボックスで、ドメインを右クリックし、[プロパティ] をクリックします。
4. [プロパティ] ダイアログボックスで、[信頼] タブをクリックし、[新しい信頼] をクリックして信頼関係を設定します。
5. 新しい信頼ウィザードパネルで、信頼関係のパラメーターを設定します。
  次のパラメーターを設定し、他のパラメーターのデフォルト値を保持します。
  - 信頼名: [名前] フィールドにecd.acsを入力します。
  - 信頼タイプ: [外部信頼] を選択します。
    説明
    [外部信頼] オプションが使用できない場合は、[管理者: コマンドプロンプト] ウィンドウで次のコマンドを実行して、ネットワーク接続を確認します。
    nslookup ecd.acs
    返されたIPアドレス (ADコネクタのIPアドレス) が接続アドレスである場合、条件付きフォワーダが設定されます。
    エラーメッセージが返された場合は、条件付きフォワーダが正しく設定されているかどうかを確認し、DNSキャッシュをクリアします。 DNSキャッシュをクリアする方法の詳細については、「AD officeネットワークに関するよくある質問」をご参照ください。
  - 信頼パスワード: 信頼パスワードフィールドにパスワードを指定し、パスワードを確認します。パスワードは、後続の手順でEDSコンソールでADドメインを設定するときに必要です。パスワードを覚えておいてください。
6. 設定した信頼関係を確認し、[OK] をクリックします。
7. EDSコンソールの [信頼関係の設定] ページで、信頼関係の設定時に指定した信頼パスワードを入力し、[すべての設定を完了] をクリックします。

次のステップ

エンタープライズADオフィスネットワークを作成したら、ビジネス要件に基づいて次の操作を実行します。