Azure Stack HCI 23H2 で AVD for Azure Stack HCI の一般提供が開始されました。
数か月後にサポート対象外となる 22H2 の HCI で、AVD for Azure Stack HCI を検証していたことがあるのですが、最後に触ってから日が開いてしまいどのようなユーザーでセッションホストにログインすればよいかがわからなくなり、接続時にエラーを発生させてしまっていたので、今後の参考に情報を残しておきたいと思います。
2024/2/14 時点ですが、私の環境では、Windows Server 2022 をベースとしたセッションホストは正常に展開ができていないため、本投稿で使用しているセッションホストは「Windows 11 Enterprise multi-session, version 22H2 (22621.3007.240108)」のイメージを使用したものとなっています。
Contents
発生していたエラー
23H2 の AVD for Azure Stack HCI の環境を構築し、セッションホストに接続をしようとしたところ、「0x3000047」(おそらく REF_UNKNOWN_LOGON_SESSION 相当のエラー) が発生し、セッションホストに接続をすることができませんでした。
AVD の Web クライアントを使用した場合は「エラーのためゲートウェイへ接続できませんでした。問題が解決しない場合は、管理者またはテクニカル サポートに問い合わせてください。」というエラーとなり、メッセージは異なりますが接続できない状態に変わりはありませんでした。
エラーが発生していた原因
エラーが発生していた原因ですがセッションホストに割り当てているユーザーの問題となっていました。
AVD for Azure Stack HCI で使用可能な認証基盤
現状、AVD for Azure Stack HCI のセッションホストは展開する際には Active Directory が必要となっており、Entra ID のみで構成を行うことはできません。
これについては セッション ホスト にも記載がされています。
Azure Stack HCI でのセッション ホストの追加は、Active Directory Domain Services の使用のみがサポートされます。
AVD for Azure Stack HCI で使用可能なユーザー
上述のエラーが発生していたユーザーですが、アプリケーショングループ並びにセッションホストに割り当てていたのは、オンプレミスの AD DS には登録されておらず、Entra ID としてのみ登録が行われているユーザーで接続を行おうとしていました。
AVD for Azure Stack HCI のセッションホストへのログオンですが、次の 2 段階の認証が発生するという認識でいました。
- セッションホストの割り当て状況を認識するための Entra ID のユーザー
- セッションホストに実際にログオンするための Active Directory のユーザー
Entra ID 上にのみ存在しているユーザーでも、「2.」のタイミングでセッションホストに対してのログインで再度認証ダイアログが出てくるかと思っていたのですが、Entra ID のみに存在しているユーザーでログオンを使用した場合は、再度の認証ダイアログが表示されず、上述の「0x3000047」となるようです。
AVD で使用可能な ID シナリオについては、サポートされる ID シナリオ として情報が公開されています。
このシナリオの中で、現時点で AVD for Azure Stack HCI がサポートするのは以下のシナリオとなるかと思います。
オンプレミスの Active Directory と Entra ID を同期し、両環境に存在している ハイブリッド ID のユーザーに対して割り当てを実施していないといけなかったのですね。
Users にも記載がありますね。
ユーザーには Microsoft Entra ID でのアカウントが必要です。 Azure Virtual Desktop のデプロイで AD DS または Microsoft Entra Domain Services も使っている場合、これらのアカウントはハイブリッド ID である必要があります。これは、ユーザー アカウントが同期されることを意味します。
展開された環境で確認が必要だった内容
SR で問い合わせをしていたところ、Remote Desktop Users の設定がブランクになっているのは想定されていない動作ということを教えていただきました。
通常の動作としては、割り当てを行った設定のユーザーが該当の設定として追加されるようなので、ハイブリッド ID となっているユーザーを追加したところクライアントから接続を行うことができました。
想定した接続ができない場合は、上記の設定内容が割り当てをしたユーザーと一致しているかを確認するのがポイントだったのですね。