Active Directory 문제 해결 - Amazon AppStream 2.0
이미지 빌더와 플릿 인스턴스가 대기 중 상태에서 바뀌지 않습니다.사용자가 SAML 애플리케이션에 로그인할 수 없습니다.플릿 인스턴스가 사용자 1명에게 유효할 뿐 올바로 순환되지 않습니다.사용자 그룹 정책 객체가 적용되지 않습니다.AppStream 2.0 스트리밍 인스턴스가 Active Directory 도메인에 조인되지 않습니다.도메인 병합 스트리밍 세션에서 사용자 로그인을 완료하는 데 너무 오랜 시간이 걸립니다.사용자가 도메인에 조인된 스트리밍 세션에서 도메인 리소스에 액세스할 수 없지만 도메인에 조인된 이미지 빌더에서는 리소스에 액세스할 수 있습니다.사용자에게 '인증서 기반 인증을 사용할 수 없음'이라는 오류 메시지가 표시되고 도메인 암호를 입력하라는 메시지가 표시됩니다. 또는 인증서 기반 인증이 활성화된 세션을 시작할 때 사용자에게 '세션에서 연결 끊김'이라는 오류 메시지가 표시됩니다.Active Directory(AD) 서비스 계정 변경 후 도메인 조인 실패가 발생함

Active Directory 문제 해결

Amazon AppStream 2.0에서 Active Directory를 설정하고 사용할 때 발생할 수 있는 문제는 다음과 같습니다. 알림 코드 문제 해결에 대한 자세한 내용은 알림 코드 문제 해결 단원을 참조하십시오.

이미지 빌더와 플릿 인스턴스가 대기 중 상태에서 바뀌지 않습니다.

이미지 빌더와 플릿 인스턴스가 사용할 수 있는 상태가 되려면 최대 25분까지 걸릴 수 있습니다. 인스턴스가 사용 가능 상태까지 25분 넘게 걸린다면 올바른 조직 단위(OU)에서 새로운 컴퓨터 객체가 생성되었는지 Active Directory를 확인하십시오. 새로운 객체가 있다면 스트리밍 인스턴스를 곧 사용할 수 있게 됩니다. 새로운 객체가 없다면 AppStream 2.0 Directory Config에서 디렉터리 이름(디렉터리의 정규화된 도메인 이름), 서비스 계정 로그인 보안 인증 정보 및 OU 고유 이름을 확인합니다.

이미지 빌더와 플릿 오류는 AppStream 2.0 콘솔에서 플릿 또는 이미지 빌더의 알림 탭에 표시됩니다. 그 밖에도 플릿 오류는 DescribeFleets 작업 또는 CLI 명령 describe-fleets를 통해 AppStream 2.0 API를 사용하여 표시할 수 있습니다.

사용자가 SAML 애플리케이션에 로그인할 수 없습니다.

AppStream 2.0은 자격 증명 공급자의 SAML_Subject 'NameID' 속성을 사용하여 사용자 로그인에 필요한 사용자 이름 필드를 채웁니다. 사용자 이름의 형식은 "domain\username" 또는 "user@domain.com"이 될 수 있습니다. "domain\username" 형식을 사용하는 경우 domain에는 NetBIOS 이름 또는 정규화된 도메인 이름이 사용됩니다. "user@domain.com" 형식을 사용할 때는 UserPrincipalName 속성을 사용할 수 있습니다. SAML_Subject 속성이 올바로 구성되어 있는데도 문제가 지속된다면 AWS Support에 문의하세요. 자세한 내용은 AWS Support Center를 참조하세요.

플릿 인스턴스가 사용자 1명에게 유효할 뿐 올바로 순환되지 않습니다.

사용자 1명이 세션을 마치면 플릿 인스턴스가 순환하면서 각 사용자마다 새로운 인스턴스를 사용할 수 있게 됩니다. 순환하는 플릿 인스턴스를 온라인으로 가져오면 이전 인스턴스의 컴퓨터 이름을 사용하여 도메인과 병합합니다. 이러한 작업이 성공적으로 이루어지려면 컴퓨터 객체가 병합하는 조직 단위(OU)에 대한 암호 변경암호 재설정 권한이 서비스 계정에 필요합니다. 서비스 계정 권한이 있는지 확인한 후 다시 시도하십시오. 문제가 지속될 경우 AWS Support에 문의하세요. 자세한 내용은 AWS Support Center를 참조하세요.

사용자 그룹 정책 객체가 적용되지 않습니다.

기본적으로 컴퓨터 객체는 컴퓨터 객체가 속하는 OU를 기준으로 컴퓨터 수준 정책을 적용하는 반면 사용자가 속하는 OU를 기준으로 사용자 수준 정책을 적용합니다. 사용자 수준 정책이 적용되지 않는다면 다음 중 한 가지를 시도할 수 있습니다.

  • 사용자 수준 정책을 사용자 Active Directory 객체가 속하는 OU로 이동시키십시오.

  • 컴퓨터 객체 OU에서 사용자 수준 정책을 적용하는 컴퓨터 수준 루프백 처리 기능을 활성화하십시오.

자세한 내용은 Microsoft Support에서 그룹 정책 루프백 처리를 참조하십시오.

AppStream 2.0 스트리밍 인스턴스가 Active Directory 도메인에 조인되지 않습니다.

AppStream 2.0에 사용하는 Active Directory 도메인은 스트리밍 인스턴스가 시작되는 VPC에서 정규화된 도메인 이름(FQDN)을 통해 액세스해야 합니다.

도메인의 액세스 여부를 테스트하려면

  1. AppStream 2.0에 사용하는 것과 동일한 VPC, 서브넷 및 보안 그룹에서 AppStream 2.0 인스턴스를 시작합니다.

  2. AppStream 2.0에 사용할 서비스 계정에서 FQDN(예: yourdomain.example.com)을 사용하여 EC2 인스턴스를 Active Directory 도메인에 수동으로 조인합니다. Windows PowerShell 콘솔에서 다음 명령을 사용합니다.

    netdom join computer /domain:FQDN /OU:path /ud:user /pd:password

    수동 병합이 실패하면 다음 단계로 진행하십시오.

  3. 수동으로도 도메인에 병합되지 않으면 명령 프롬프트를 열고 nslookup 명령을 실행하여 FQDN에 대한 확인 여부를 검증합니다. 예:

    nslookup yourdomain.exampleco.com

    이름이 확인되면 유효한 IP 주소가 반환됩니다. FQDN을 확인할 수 없을 때는 도메인에 설정된 DHCP 옵션을 사용하여 VPC DNS 서버를 업데이트해야 하는 경우도 있습니다. 그런 다음 이 단계로 돌아오십시오. 자세한 내용은 Amazon VPC 사용 설명서DHCP 옵션 세트를 참조하세요.

  4. FQDN이 확인되면 telnet 명령을 사용하여 연결을 확인합니다.

    telnet yourdomain.exampleco.com 389

    성공적으로 연결되면 연결 오류 없이 명령 프롬프트 창이 비어있어야 합니다. EC2 인스턴스에 Telnet Client를 설치해야 할 수도 있습니다. 자세한 내용은 Microsoft 설명서의 Telnet Client 설치를 참조하십시오.

EC2 인스턴스를 도메인에 수동으로 병합할 수는 없지만 FQDN 확인이나 Telnet Client를 사용한 연결 테스트가 성공적이라면 VPC 보안 그룹이 액세스를 차단하고 있는 경우도 있습니다. Active Directory는 몇 가지 네트워크 포트 설정이 필요합니다. 자세한 내용은 Microsoft 설명서의 Active Directory 및 Active Directory 도메인 서비스 포트 요구 사항을 참조하십시오.

도메인 병합 스트리밍 세션에서 사용자 로그인을 완료하는 데 너무 오랜 시간이 걸립니다.

사용자가 도메인 암호를 제공한 후 AppStream 2.0은 Windows 로그인 작업을 수행합니다. 인증에 성공한 후 AppStream 2.0은 애플리케이션을 시작합니다. 로그인 및 시작 시간은 도메인 컨트롤러에 대한 네트워크 경합, 그룹 정책 설정을 스트리밍 인스턴스에 적용하는 데 걸리는 시간 등과 같은 수많은 변수의 영향을 받습니다. 도메인 인증을 완료하는 데 시간이 너무 오래 걸리는 경우 다음 작업을 수행해 보십시오.

  • 올바른 도메인 컨트롤러를 선택하여 AppStream 2.0 리전과 도메인 컨트롤러 간의 네트워크 지연 시간을 최소화합니다. 예를 들어 플릿이 us-east-1에 속하는 경우에는 Active Directory 사이트 및 서비스 영역 매핑을 통해 us-east-1까지 대역폭이 높고 지연 시간이 낮은 도메인 컨트롤러를 사용하십시오. 자세한 내용은 Microsoft 설명서의 Active Directory 사이트 및 서비스를 참조하십시오.

  • 그룹 정책 설정 및 사용자 로그인 스크립트를 적용하거나 실행하는 데 엄청나게 오랜 시간이 걸리지 않는지 확인합니다.

'알 수 없는 오류가 발생했습니다.'라는 메시지와 함께 도메인 사용자의 AppStream 2.0 로그인이 실패하면 Amazon AppStream 2.0에서 Active Directory 사용을 시작하기 전에 설명된 그룹 정책 설정을 업데이트해야 할 수 있습니다. 업데이트하지 않으면 이러한 설정으로 인해 AppStream 2.0에서 도메인 사용자를 인증 및 로그인하지 못할 수 있습니다.

사용자가 도메인에 조인된 스트리밍 세션에서 도메인 리소스에 액세스할 수 없지만 도메인에 조인된 이미지 빌더에서는 리소스에 액세스할 수 있습니다.

플릿이 이미지 빌더와 동일한 VPC, 서브넷 및 보안 그룹에서 생성되는지, 그리고 도메인 리소스를 액세스하여 사용하는 데 필요한 권한이 사용자에게 있는지 확인하십시오.

사용자에게 '인증서 기반 인증을 사용할 수 없음'이라는 오류 메시지가 표시되고 도메인 암호를 입력하라는 메시지가 표시됩니다. 또는 인증서 기반 인증이 활성화된 세션을 시작할 때 사용자에게 '세션에서 연결 끊김'이라는 오류 메시지가 표시됩니다.

이 오류는 세션에서 인증서 기반 인증이 실패한 경우 발생합니다. 암호 로그온으로 폴백할 수 있도록 인증서 기반 인증을 활성화하면 '인증서 기반 인증을 사용할 수 없음' 오류가 표시됩니다. 폴백 없이 인증서 기반 인증을 활성화하면 '세션에서 연결 끊김' 오류가 표시됩니다.

인증서 기반 인증에서는 간헐적으로 문제가 발생할 수 있으므로 사용자는 웹 클라이언트에서 페이지를 새로 고치거나 Windows용 클라이언트에서 다시 연결할 수 있습니다. 문제가 계속되면 다음 문제 중 하나로 인해 인증서 기반 인증 실패가 발생하는 것일 수 있습니다.

  • AppStream 2.0이 AWS Private CA와 통신할 수 없거나 AWS Private CA가 인증서를 발급하지 않았습니다. CloudTrail을 확인하여 인증서가 발급되었는지 확인하세요. 자세한 내용은 AWS CloudTrail란 무엇입니까?인증서 기반 인증 관리 섹션을 참조하세요.

  • 도메인 컨트롤러에 스마트 카드 로그온을 위한 도메인 컨트롤러 인증서가 없거나 만료되었습니다. 자세한 내용은 사전 조건의 7.a 단계를 참조하세요.

  • 인증서를 신뢰할 수 없습니다. 자세한 내용은 사전 조건의 7.c 단계를 참조하세요.

  • SAML_Subject NameID의 userPrincipalName 형식이 제대로 지정되지 않았거나 사용자의 실제 도메인으로 해석되지 않습니다. 자세한 내용은 사전 조건의 1단계를 참조하세요.

  • SAML 어설션의 ObjectSid 속성(선택 사항)이 SAML_Subject NameID에 지정된 사용자의 Active Directory 보안 식별자(SID)와 일치하지 않습니다. SAML 페더레이션에서 속성 매핑이 올바른지, SAML ID 제공업체가 Active Directory 사용자의 SID 속성을 동기화하고 있는지 확인하세요.

  • AppStream 2.0 에이전트는 인증서 기반 인증을 지원하지 않습니다. AppStream 2.0 에이전트 버전 10-13-2022 이상을 사용하세요.

  • 스마트 카드 로그온을 위한 기본 Active Directory 설정을 수정하거나 스마트 카드 리더에서 스마트 카드를 제거한 경우 조치를 취하는 그룹 정책 설정이 있습니다. 이러한 설정으로 인해 위에 나열된 오류 외에도 예상치 못한 동작이 추가로 발생할 수 있습니다. 인증서 기반 인증은 인스턴스 운영 체제에 가상 스마트 카드를 제공하고 로그온이 완료된 후 제거합니다. 자세한 내용은 스마트 카드의 스마트 카드에 대한 기본 그룹 정책 설정추가 스마트 카드 그룹 정책 설정 및 레지스트리 키를 참조하세요. 인증서 기반 인증을 사용하려는 경우 스택에서 Active Directory에 대한 스마트 카드 로그인을 활성화하지 마세요. 자세한 내용은 스마트 카드 단원을 참조하십시오.

  • 프라이빗 CA의 CRL 배포 지점은 온라인 상태가 아니며 AppStream 2.0 플릿 인스턴스 또는 도메인 컨트롤러에서 액세스할 수 없습니다. 자세한 내용은 사전 조건의 5단계를 참조하십시오.

추가 문제 해결 단계에는 AppStream 2.0 인스턴스 Windows 이벤트 로그 검토가 포함됩니다. 로그온 실패 여부를 검토해야 하는 일반적인 이벤트는 4625(F): 계정이 로그온하지 못했습니다.입니다. 로그 정보 캡처에 대한 자세한 내용은 애플리케이션 및 Windows 이벤트 로그 유지를 참조하세요. 또는 관리자로서 활성 AppStream 2.0 세션 문제를 해결하려면 다른 컴퓨터의 이벤트 뷰어를 사용하여 로그에 연결할 수 있습니다. 자세한 내용은 How to Select Computers in Event Viewer를 참조하세요. 또는 원격 데스크톱을 사용하여 AppStream 2.0 Virtual Private Cloud(VPC)의 원격 데스크톱 서비스에 연결할 수 있는 다른 컴퓨터의 인스턴스 프라이빗 IP 주소에 연결하여 연결할 수 있습니다. AWS CLI를 사용하여 AWS 리전, AppStream 2.0 스택 이름, 플릿 이름, 사용자 ID 및 인증 유형을 기반으로 세션의 IP 주소를 결정합니다. 자세한 내용은 AWS Command Line Interface 섹션을 참조하세요.

문제가 지속될 경우 AWS Support에 문의하세요. 자세한 내용은 AWS Support Center를 참조하세요.

Active Directory(AD) 서비스 계정 변경 후 도메인 조인 실패가 발생함

2024년 8월 Microsoft Windows Server 운영 체제 업데이트를 기반으로 한 이미지를 사용하는 기존 플릿이 있는 경우, 해당 플릿의 AD(Active Directory) 서비스 계정을 변경하면 프로비저닝 중에 플릿 인스턴스에 도메인 조인 실패가 발생할 수 있습니다.

Microsoft는 도메인 조인 작업의 동작을 수정하는 KB5020276 패치를 릴리스했습니다. AppStream 2.0은 스트리밍 인스턴스를 AD 도메인에 조인할 때 기존 컴퓨터 객체를 다시 사용합니다. 이 컴퓨터 객체는 플릿 또는 Directory Config를 AppStream 2.0에서 생성할 때 제공한 AD 서비스 계정을 사용하여 생성됩니다. 이 Microsoft 패치 이전에는 조직 단위(OU)에 '컴퓨터 객체 생성" 권한이 구성된 경우 새 AD 서비스 계정이 AppStream 2.0에서 생성한 기존 컴퓨터 객체를 재사용할 수 있었습니다.

Microsoft 패치가 적용되는 2024년 8월 13일부터 기존 AppStream 2.0 플릿에 대한 AD 서비스 계정을 변경할 경우 새 서비스 계정에서는 더 이상 AD의 기존 컴퓨터 객체를 재사용할 수 없게 됩니다. 이로 인해 AppStream 2.0 플릿에서 도메인 조인 실패가 발생하고 플릿 알림에 다음 오류 메시지 중 하나가 표시됩니다.

  • DOMAIN_JOIN_INTERNAL_SERVICE_ERROR "그룹 이름을 찾을 수 없습니다."

  • 같은 이름의 계정이 Active Directory에 있습니다. 보안 정책에 따라 계정 재사용이 차단되었습니다.

기존 컴퓨터 객체를 재사용할 수 있는 계정을 제어하기 위해 Microsoft는 도메인 컨트롤러: 도메인 조인 중 컴퓨터 계정 재사용 허용이라는 새로운 그룹 정책 설정을 구현했습니다. 이 설정을 사용하면 도메인 조인 작업 중에 검사를 우회하는 신뢰할 수 있는 서비스 계정 목록을 지정할 수 있습니다. 자체 관리형 AD 구성의 경우 도메인 컨트롤러의 그룹 정책을 사용하여 Microsoft의 문서화된 단계에 따라 AD 서비스 계정을 새 허용 목록 정책에 추가하는 것이 좋습니다.

Managed Active Directory(MAD)의 경우 AppStream 2.0 도메인 조인 서비스 계정을 변경한 후 AppStream 2.0 플릿을 다시 시작해야 합니다.

문제가 지속될 경우 AWS Support에 문의하세요. 자세한 내용은 AWS Support Center를 참조하세요.