翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Active Directory のトラブルシューティング
Amazon AppStream 2.0 で Active Directory をセットアップして使用する際に発生する可能性のある問題は次のとおりです。トラブルシューティングの通知コードのヘルプについては、「通知コードのトラブルシューティング」を参照してください。
問題
- Image Builder とフリートインスタンスが PENDING状態でスタックしています。
- ユーザーがSAMLアプリケーションにログインできません。
- フリートインスタンスが 1 人のユーザーに対しては機能するが、正しくサイクルしない
- ユーザーのグループポリシーオブジェクトが正常に適用されていない
- AppStream 2.0 ストリーミングインスタンスが Active Directory ドメインに参加していません。
- ドメインに参加しているストリーミングセッションでユーザーログインが完了するまで時間がかかる
- ユーザーは、ドメイン参加済みのストリーミングセッションではドメインリソースにアクセスできないが、ドメイン参加済みの Image Builder からはリソースにアクセスできる
- ユーザーに「証明書ベースの認証が利用できません」というエラーが表示され、ドメインパスワードの入力を求められる。または、証明書ベースの認証が有効になっているセッションを開始すると、「セッションから切断されました」というエラーが表示される
- Active Directory (AD) サービスアカウントを変更した後、ドメイン参加に失敗しています。
Image Builder とフリートインスタンスが PENDING状態でスタックしています。
Image Builder およびフリートインスタンスは、準備完了状態に移行して使用できるようになるまで、最長で 25 分かかることがあります。インスタンスが使用可能になるまでに 25 分以上かかる場合は、Active Directory で、新しいコンピュータオブジェクトが正しい組織単位 () で作成されたかどうかを確認しますOUs。新しいオブジェクトがある場合は、ストリーミングインスタンスは間もなく利用可能になります。オブジェクトがない場合は、 AppStream 2.0 Directory Config: Directory name のディレクトリ設定の詳細 (ディレクトリの完全修飾ドメイン名、サービスアカウントのサインイン認証情報、および OU 識別名。
Image Builder とフリートエラーは、フリートまたは Image Builder の通知タブの AppStream 2.0 コンソールに表示されます。フリートエラーは、 DescribeFleetsオペレーションまたは CLI コマンド describe-fleets APIを通じて AppStream 2.0 を使用しても使用できます。
ユーザーがSAMLアプリケーションにログインできません。
AppStream 2.0 は、ID プロバイダーの SAML_Subject "NameID" 属性を使用して、ユーザーにログインするユーザー名フィールドに入力します。ユーザー名は「
」、または「domain
\usernameuser@domain.com
」形式のいずれかを使用できます。
「」形式を使用している場合、 は NetBIOS 名または完全修飾ドメイン名のいずれかdomain
\username
になります。domain
user@domain.com
「」形式を使用している場合は、 UserPrincipalName 属性を使用できます。SAML_Subject 属性が正しく設定され、問題が解決しない場合は、 にお問い合わせください AWS Support。詳細については、AWS Support センター
フリートインスタンスが 1 人のユーザーに対しては機能するが、正しくサイクルしない
フリートインスタンスは、ユーザーがセッションを完了するとサイクルし、各ユーザーが新しいインスタンスを使用するようにします。サイクルされたフリートインスタンスは、オンラインになると、以前のインスタンスのコンピュータ名を使用してドメインに参加します。このオペレーションが正常に発生するには、コンピュータオブジェクトが参加する組織単位 (OU) に対する Change Password アクセス許可と Reset Password アクセス許可がサービスアカウントに必要です。サービスアカウントのアクセス権限を確認して、もう一度試してください。問題が解決しない場合は、 にお問い合わせください AWS Support。詳細については、AWS Support センター
ユーザーのグループポリシーオブジェクトが正常に適用されていない
デフォルトでは、コンピュータオブジェクトは、そのコンピュータオブジェクトが存在する OU に基づいてコンピュータレベルポリシーを適用します。一方、ユーザーレベルポリシーはそのユーザーが存在する OU に基づいて適用されます。ユーザーレベルポリシーが適用されていない場合、以下のいずれかの処理を行うことができます。
-
ユーザーレベルのポリシーを、ユーザーの Active Directory オブジェクトが存在する OU に移動する
-
コンピュータレベルのループバック処理を有効にします。これにより、ユーザーレベルのポリシーがコンピュータオブジェクトの OU に適用されます。
詳細については、Microsoft サポートの グループ ポリシーのループバック処理
AppStream 2.0 ストリーミングインスタンスが Active Directory ドメインに参加していません。
AppStream 2.0 で使用する Active Directory ドメインは、ストリーミングインスタンスが起動される を通じて、完全修飾ドメイン名 (FQDN) VPC からアクセス可能である必要があります。
ドメインにアクセスできることをテストするには
-
AppStream 2.0 で使用するのと同じ VPC、サブネット、およびセキュリティグループで Amazon EC2インスタンスを起動します。
-
AppStream 2.0 で使用する予定のサービスアカウントで FQDN ( など
yourdomain.example.com
) を使用して、EC2インスタンスを Active Directory ドメインに手動で結合します。Windows PowerShell コンソールで次のコマンドを使用します。netdom join
computer
/domain:FQDN
/OU:path
/ud:user
/pd:password
この手動による参加が失敗した場合は、次のステップに進みます。
-
ドメインに手動で参加できない場合は、コマンドプロンプトを開き、
nslookup
コマンドFQDNを使用して を解決できることを確認します。例:nslookup
yourdomain.exampleco.com
名前解決が成功すると、有効な IP アドレスが返されます。を解決できない場合はFQDN、ドメインのオプションDHCPセットを使用してVPCDNSサーバーを更新する必要がある場合があります。その後、このステップに戻ります。詳細については、「Amazon VPCユーザーガイドDHCP」の「オプションセット」を参照してください。
-
がFQDN解決した場合は、
telnet
コマンドを使用して接続を検証します。telnet
yourdomain.exampleco.com
389接続が成功した場合は、接続エラーがない空のコマンドプロンプトウィンドウが表示されます。EC2 インスタンスに Telnet クライアント機能をインストールする必要がある場合があります。詳細については、Microsoft ドキュメントの「Install Telnet Client
」を参照してください。
EC2 インスタンスをドメインに手動で結合できなかったが、 の解決FQDNと Telnet クライアントへの接続のテストに成功した場合、VPCセキュリティグループがアクセスを妨げている可能性があります。Active Directory では特定のネットワークポート設定が必要です。詳細については、Microsoft ドキュメントの Active Directory and Active Directory Domain Services Port Requirements
ドメインに参加しているストリーミングセッションでユーザーログインが完了するまで時間がかかる
AppStream 2.0 は、ユーザーがドメインパスワードを入力した後に Windows ログインアクションを実行します。認証に成功すると、 AppStream 2.0 はアプリケーションを起動します。ログインと起動時間は、ドメインコントローラーへのネットワークの競合やグループポリシー設定をストリーミングインスタンスに適用するためにかかる時間など、多くの変動要素の影響を受けます。ドメイン認証の完了に時間がかかり過ぎる場合、次のアクションを実行してください。
-
適切なドメインコントローラーを選択して、 AppStream 2.0 リージョンからドメインコントローラーへのネットワークレイテンシーを最小限に抑えます。たとえば、フリートが
us-east-1
にある場合は、[Active Directory サイトとサービス] ゾーンマッピングを使用してus-east-1
への帯域幅が広くレイテンシーが低いドメインコントローラーを使用します。詳細については、Microsoft ドキュメントの「Active Directory サイトとサービス」を参照してください。 -
グループポリシー設定とユーザーログインスクリプトの適用や実行に著しく時間がかかっていないことを確認します。
ドメインユーザーの AppStream 2.0 へのログインが「不明なエラーが発生しました」というメッセージで失敗した場合、「」で説明されているグループポリシー設定を更新する必要がある場合がありますAmazon AppStream 2.0 で Active Directory の使用を開始する前に。そうしないと、これらの設定により AppStream 2.0 がドメインユーザーを認証してログインできなくなる可能性があります。
ユーザーは、ドメイン参加済みのストリーミングセッションではドメインリソースにアクセスできないが、ドメイン参加済みの Image Builder からはリソースにアクセスできる
フリートが Image Builder と同じ VPC、サブネット、およびセキュリティグループに作成されていること、およびユーザーがドメインリソースにアクセスして使用するために必要なアクセス許可を持っていることを確認します。
ユーザーに「証明書ベースの認証が利用できません」というエラーが表示され、ドメインパスワードの入力を求められる。または、証明書ベースの認証が有効になっているセッションを開始すると、「セッションから切断されました」というエラーが表示される
これらのエラーは、証明書ベースの認証がセッションで失敗した場合に発生します。証明書ベースの認証を有効にしてパスワードによるログオンにフォールバックできるようにすると、「証明書ベースの認証は利用できません」というエラーが表示されます。証明書ベースの認証がフォールバックなしで有効になっている場合、「セッションから切断されました」というエラーが表示さます。
ユーザーは、ウェブクライアントでページを更新するか、Windows 用クライアントから再接続できます。これは、証明書ベースの認証では断続的に発生する問題である可能性があるためです。問題が続く場合は、以下のいずれかの問題が原因で証明書ベースの認証が失敗する可能性があります。
-
AppStream 2.0 が AWS Private CA と通信できなかったか、 AWS Private CA が証明書を発行しませんでした。証明書が発行された CloudTrail かどうかを確認します。詳細については、「 とは AWS CloudTrail」および「」を参照してください証明書ベースの認証の管理。
-
ドメインコントローラには、スマートカードログオン用のドメインコントローラー証明書がないか、有効期限が切れている。詳細については、「前提条件」のステップ 7。a を参照してください。
-
証明書が信頼されていない。詳細については、「前提条件」のステップ 7。c を参照してください。
-
SAML_Subject NameID の userPrincipalName 形式が正しくフォーマットされていないか、ユーザーの実際のドメインに解決されません。詳細については、「前提条件」のステップ 1 を参照してください。
-
SAML アサーションの (オプション) ObjectSid 属性が、SAML_Subject NameID で指定されたユーザーの Active Directory セキュリティ識別子 (SID) と一致しません。属性マッピングがSAMLフェデレーションで正しく、SAMLID プロバイダーが Active Directory ユーザーの SID 属性を同期していることを確認します。
-
AppStream 2.0 エージェントは証明書ベースの認証をサポートしていません。 AppStream 2.0 エージェントバージョン 10-13-2022 以降を使用します。
-
スマートカードログオンのデフォルトの Active Directory 設定を変更したり、スマートカードがスマートカードリーダーから取り出された場合にアクションを実行したりするグループポリシー設定があります。これらの設定により、上記のエラー以外にも予期しない動作が発生する可能性があります。証明書ベースの認証では、インスタンスのオペレーティングシステムに仮想スマートカードが提示され、ログオンが完了すると削除されます。詳細については、「スマートカードのプライマリグループポリシー設定
」および「その他のスマートカードのグループポリシー設定とレジストリキー 」を参照してください。証明書ベースの認証を使用する場合は、スタック内で Active Directory のスマートカードサインインを有効にしないでください。詳細については、「スマートカード」を参照してください。 -
プライベート CA のCRLディストリビューションポイントはオンラインではないか、 AppStream 2.0 フリートインスタンスまたはドメインコントローラーからアクセスできません。詳細については、「前提条件」のステップ 5 を参照してください。
その他のトラブルシューティング手順には、 AppStream 2.0 インスタンスの Windows イベントログの確認が含まれます。ログオンに失敗したかどうかを確認する一般的なイベントとして、「4625(F): アカウントがログオンできませんでした
問題が解決しない場合は、 にお問い合わせください AWS Support。詳細については、AWS Support センター
Active Directory (AD) サービスアカウントを変更した後、ドメイン参加に失敗しています。
2024 年 8 月の Microsoft Windows Server オペレーティングシステムの更新
Microsoft は、ドメイン結合オペレーションの動作を変更するパッチ KB5020276
2024 年 8 月 13 日以降に Microsoft パッチが適用され、既存の AppStream 2.0 フリートの AD サービスアカウントを変更すると、新しいサービスアカウントは AD 内の既存のコンピュータオブジェクトを再利用できなくなります。これにより、 AppStream 2.0 フリートでドメイン結合が失敗し、フリート通知に次のいずれかのエラーメッセージが表示されます。
-
DOMAIN_JOININTERNAL_SERVICE_ ERROR「グループ名が見つかりませんでした」
-
同じ名前のアカウントが Active Directory に存在します。アカウントの再利用がセキュリティポリシーによってブロックされました
既存のコンピュータオブジェクトを再利用できるアカウントを制御するために、Microsoft はドメインコントローラーと呼ばれる新しいグループポリシー設定を実装しました。ドメイン参加中のコンピュータアカウントの再利用を許可します。この設定では、ドメイン結合オペレーション中にチェックをバイパスする信頼されたサービスアカウントのリストを指定できます。セルフマネージド AD 設定では、Microsoft が文書化した手順に従って
Managed Active Directory (MAD) では、 AppStream 2.0 ドメイン結合サービスアカウントを変更した後、 AppStream 2.0 フリートを再起動する必要があります。
問題が解決しない場合は、 にお問い合わせください AWS Support。詳細については、AWS Support センター