お知らせ・ブログ

オノコムからの最新情報や、生成AI、AWSクラウド、ノーコードアプリケーションに関する有益な情報をお届けします。

EC2によるリモートデスクトップSALライセンスの利用

2025年10月28日
斧山 洋一
ブログ

多くのお客様が、クラウド移行後も Windows Server 上でクライアント・サーバー型アプリケーションをリモートデスクトップ経由で利用しています。これらのレガシーアプリケーションでは、Microsoftライセンスのクラウド持ち込みに厳しい制約があるため、当社ではこれまで SPLA(Service Provider License Agreement)ライセンス を用いてAWS環境でのリモートデスクトップ運用を支援してきました。

しかし、2025年9月末をもってAWS上でのSPLAライセンス利用が禁止 となり、この方式での運用は継続できなくなりました。 この変更に対応する形で、AWSが新たにAWS Marketplace経由でリモートデスクトップSAL(Subscriber Access License)ライセンスの提供を開始 しています。ライセンスは AWS License Manager を通じて管理・適用される仕組みで、Active DirectoryやRD Licensing Serverとの連携が必要です。当社ではこの仕組みを実際に構築して運用しましたが、手続きが特殊なところがあります。

本記事では、この新しい仕組みを利用した環境構築手順と、実際に構築する中での注意点・トラブルシュートを備忘録としてまとめます。

前提条件

  • Active Directoryが必要です。AWS Managed Microsoft ADもしくはセルフホストの環境が必要です。
  • AWS側のRD Licensing Serverとの接続を行います。
  • VPC内のエンドポイントが使用されるためVPCのDNS解決設定が有効である必要があります。
  • 後述するセキュリティグループの設定についてご注意ください。

Windows Serverの準備

Windows Server 2022のインスタンスを起動します。

aws-license-manager-20251028_1.png

次にPowerShellを使用してセルフホストADサービスを設定していきます。以下のコマンドでAD DS の役割を追加します。

Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

次にドメイン名を指定して(ここでは「corp.contoso.com」とします)フォレスト ルート ドメインをインストールします。セーフモード用のパスワードなどの入力を求められますので、適時入力してください。

Install-ADDSForest -DomainName "corp.contoso.com"

インストールが終わると自動的に再起動がかかります。

続いてRemote Desktop Session Host(RDSH)ロールのインストールを行います。

Install-WindowsFeature -Name RDS-RD-Server -IncludeManagementTools

インストールが終われば再起動を行ってください。

Restart-Computer -Force

ライセンスモードを「Per User(4)」に設定します

(Get-WmiObject -Namespace "Root/CIMV2/TerminalServices" -Class "Win32_TerminalServiceSetting").ChangeMode(4)

セキュリティグループの設定

Active Directory(AD)サーバーのセキュリティグループ設定では、AWSが用意するRD Licensing Serverからの接続を許可する必要 があります。AWS License ManagerでActive Directoryを登録する際、指定したVPC内に RD Licensing ServerのENI(Elastic Network Interface)およびセキュリティグループ が自動的に作成されます。

このとき、RD Licensing ServerのENIからActive Directoryサーバーへの接続が許可されていない場合、Active Directory登録処理は失敗します。

そのため、まずはテスト目的で VPC内のすべてのIPアドレスからの通信を一時的に許可 して動作確認を行うのが確実です。登録が正常に完了した後、必要最小限の設定に絞りたい場合は、RD Licensing ServerのENIとセキュリティグループが作成されたのを確認したうえで、Active Directory登録に必要なポートのみを許可するようにセキュリティグループを再設定 してください。

aws-license-manager-20251028_2.png

VPCデフォルトセキュリティグループについて

AWS CDKやContortTowerなどでVPCを作成する場合、セキュリティのベストプラクティスに基づき、VPCのデフォルトセキュリティグループにはすべての通信を禁止する設定がされます。この場合、前述のセルフホストActive Directoryサーバーのセキュリティグループの設定によってはRD Licensing Serverの登録が失敗することがあります。以下のポイントと合わせて注意してください。

💡

注意ポイント

- AWSが用意するRD Licensing Serverは指定したVPC内にENIとセキュリティグループを作成する
- セルフホストのActive Directoryサーバーに対して、該当のENI及びセキュリティグループからの通信が許可されている必要がある
- VPCのデフォルトセキュリティグループに通信許可がないと失敗するケースがある

AWS Secrets Managerの設定

次にAWSが用意するRD Licensing ServerがActive Directoryに参加するための認証情報が必要となります。構築したActive Directoryサーバーの管理者ユーザをAWS Secrets Managerに登録します。シークレットの名前は「license-manager-user-」で始まる必要があります。この例ではCloudShell上よりAWS CLIコマンドを実行して、シークレットを登録します。値には下記の例の通りユーザ名とパスワードを入力してください。[パスワード]部分は適時変更してください。

aws secretsmanager create-secret \
    --name "license-manager-user-ad-server" \
    --description "Secrets for RD License Server local administrator user." \
    --secret-string "{\"username\":\"Administrator\",\"password\":\"[パスワード]\"}"

AWS License Managerの設定

次にAWS License Managerの設定を行います。AWS License Managerのサイドメニューから「設定」から「ユーザベースのサブスクリプション」を選択してください。

aws-license-manager-20251028_3.png

下記画面よりリモートデスクトップサービスの「購入オプションを見る」を選択します。

aws-license-manager-20251028_4.png

AWS MarketplaceからリモートデスクトップSALライセンスのサブスクライブを確認されますので、サブスクライブします。これは初回の設定時のみです。

aws-license-manager-20251028_5.png

サブスクライブが完了すると以下のような画面になります。続いて「Active Directoryを登録」を選択します。

aws-license-manager-20251028_6.png

Active Directoryの登録画面となります。作成したセルフホストADサーバーのドメイン名、IPアドレスを入力します。

aws-license-manager-20251028_7.png

次にADサーバーが起動しているVPCとサブネットを選択します。サブネットは2つ選択する必要があります。

aws-license-manager-20251028_8.png

最後に作成したシークレットを指定して「登録」を押します。

aws-license-manager-20251028_9.png

以下のように登録が開始されます。10分ほどかかりますので待機します。

aws-license-manager-20251028_10.png

登録が完了したら以下の画面となります。

aws-license-manager-20251028_11.png

続いて、「RDSライセンスサーバーを設定」を選択します。

aws-license-manager-20251028_12.png

再びシークレットを選択して「設定」ボタンを選択します。ライセンスサーバーのエンドポイントのステータスがプロビジョニング中になりますので、完了まで待機します。

aws-license-manager-20251028_13.png

以下のようにプロビジョニング済みとなれば設定は完了です。

aws-license-manager-20251028_14.png

ライセンスサーバーエンドポイントIDを選択して、ライセンスサーバーエンドポイントを確認します。

aws-license-manager-20251028_15.png

次に確認したライセンスサーバーエンドポイントをPowerShellにおいて、Remote Desktop Session Host (RDSH)に登録します。

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\TermService\Parameters\LicenseServers" -Name SpecifiedLicenseServers -Value "814017023783-7dae4a85-ba94-4d65-8797-d6b0a5cfc5bd.license-manager-license-server.amazon.com" -PropertyType MultiString

最初はライセンスマネージャーの確認で以下のようにエラーが出ていたものが

aws-license-manager-20251028_16.png

以下のようにエラーがなくなりました。

aws-license-manager-20251028_17.png

登録手順と注意点

本記事では、Active Directory登録までの手順と、構築時に発生しやすい躓きポイント を中心にまとめています。以後の詳細な構成手順やコマンド設定などは割愛しています。

特に重要なのは、AWS側で用意される各種サーバー(RD Licensing Serverなど)との通信が正しく行えること です。セキュリティグループやVPCの設定によっては通信が遮断され、Active Directory登録やライセンスサーバーエンドポイントのデプロイが失敗するケースがあります。

また、AWS CDKでデプロイしたVPC や、Control Towerで作成されたアカウントのVPC を利用している場合、デフォルト状態ではAWSサービスとの通信が許可されていないことがあります。そのため、AD登録処理が失敗する要因となりやすい点に注意が必要です。

運用時は、サーバーのセキュリティグループ設定 や VPCレベルの通信ルール を十分に確認し、AWS側サービスと必要な通信が確立できるよう適切に構成してください。

記事一覧へ戻る