AWS上にActive Directoryを構築（後半）

1.はじめに

グループポリシーで苦戦した箇所。

2.WorkSpacesのグループポリシー用管理テンプレート

WorkSpacesはWindows10（もどき）なので管理用テンプレートは通常のWindows10と思い、以下のURLからダウンロードして適用。
https://docs.microsoft.com/ja-JP/troubleshoot/windows-client/group-policy/create-and-manage-central-store

その後、管理用テンプレートの有無を確認するとあった....。WSPのやり方をググっても出てこないので、以下のURLを読んで適用しました。
https://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/group_policy.html

ハマるポイント：
・WorkSpacesの「PC」から見にいくとDドラしかない。なので、「ファイル名を指定して実行」からCドラへ。
・PolicyDefinitions フォルダやwsp.admx 、 wsp.admをローカルに持ってこれない（WorkSpacesから出れない）。なので、WorkDocs経由でローカルに持ってくれば解決。ググったらクリップボードを使うとあったけど、ややこしそうだったので簡単な方法を選択。

あとは通常の手順でやれば反映できる。管理用テンプレでAmazonが出てきたので、少しだけ感動。ポリシーは以下のようなものがありました。

3.グループポリシーの結果取得でエラー

ADでグループポリシーを設定し、WorkSpacesで当たっているポリシーを取得するために「グループポリシーの管理」の「グループポリシーの結果」を実行すると以下のエラーが発生。

WorkSpacesで以下を調査した。
　- WMIサービスが起動しているのか
　- ポートが空いてるのか

上記を確認しても問題はなそうでした。エラーの指示通りイベントビューアを確認すると、DNSエラーがありました。WorkSpacesの管理用NWのDNSに解決に行こうとしているので、NICのDNS設定でプライマリをAD、セカンダリをこのDNS、とすると、エラーが解消した。

ただし、グループポリシーの結果は取得できず、原因は不明のまま。結果的に、WorkSpacesで次のコマンドを実行してポリシー結果を取得した。無事にポリシーが当たっていることが確認できました。

 #gpresult /h <保存場所＋ファイル名>

4.さいごに

オンプレミスでやろうとしたことをAWS上でやってみたけど、いろんな箇所で苦戦したイメージしかない。でもAD ConnectorやWorkSpacesを触ることができたのでよかった。
ちなみにオンプレミスは、VMware上で構築しました。その時はサブネット間のルーティングで苦戦しました。ポートグループにそれぞれのVLANを割り当てて、そのVLAN間をルーティングさせようと考えていましたが、できないことが分かり、vyosを新たに立ててやりました。
オンプレとクラウドで、構成を同じにして検証しようとしてもなかなかできないので難しい。