Image Builder とフリートインスタンスが「PENDING」状態でスタックするユーザーが SAML アプリケーションを使用してログインできないフリートインスタンスが 1 人のユーザーに対しては機能するが、正しくサイクルしないユーザーのグループポリシーオブジェクトが正常に適用されていない AppStream 2.0 のストリーミングインスタンスが Active Directory ドメインに参加していません。ドメインに参加しているストリーミングセッションでユーザーログインが完了するまで時間がかかるユーザーは、ドメイン参加済みのストリーミングセッションではドメインリソースにアクセスできないが、ドメイン参加済みの Image Builder からはリソースにアクセスできるユーザーに「証明書ベースの認証が利用できません」というエラーが表示され、ドメインパスワードの入力を求められる。または、証明書ベースの認証が有効になっているセッションを開始すると、「セッションから切断されました」というエラーが表示される

Active Directory のトラブルシューティング

Amazon AppStream 2.0 で Active Directory をセットアップして使用する場合に発生する可能性のある問題は次のとおりです。トラブルシューティングの通知コードのヘルプについては、「通知コードのトラブルシューティング」を参照してください。

問題

Image Builder とフリートインスタンスが「PENDING」状態でスタックする
ユーザーが SAML アプリケーションを使用してログインできない
フリートインスタンスが 1 人のユーザーに対しては機能するが、正しくサイクルしない
ユーザーのグループポリシーオブジェクトが正常に適用されていない
AppStream 2.0 のストリーミングインスタンスが Active Directory ドメインに参加していません。
ドメインに参加しているストリーミングセッションでユーザーログインが完了するまで時間がかかる
ユーザーは、ドメイン参加済みのストリーミングセッションではドメインリソースにアクセスできないが、ドメイン参加済みの Image Builder からはリソースにアクセスできる
ユーザーに「証明書ベースの認証が利用できません」というエラーが表示され、ドメインパスワードの入力を求められる。または、証明書ベースの認証が有効になっているセッションを開始すると、「セッションから切断されました」というエラーが表示される

Image Builder とフリートインスタンスが「PENDING」状態でスタックする

Image Builder およびフリートインスタンスは、準備完了状態に移行して使用できるようになるまで、最長で 25 分かかることがあります。インスタンスが使用できるようになるまでに 25 分以上かかっている場合は、Active Directory において、新しいコンピュータオブジェクトが適切な組織単位 (OU) で作成されているかどうかを確認します。新しいオブジェクトがある場合は、ストリーミングインスタンスは間もなく利用可能になります。オブジェクトがない場合は、 AppStream 2.0 Directory Configでディレクトリ構成の詳細を確認してください:ディレクトリ名 (ディレクトリの完全修飾ドメイン名)、サービスアカウントのサインイン認証情報、およびOU識別名。

イメージビルダーとフリートのエラーは、 AppStream 2.0 コンソールのフリートまたはイメージビルダーの通知タブに表示されます。フリートエラーは、 AppStream 2.0 API DescribeFleetsを使用してオペレーションを実行するか、CLI コマンド describe-fleets を使用して確認することもできます。

ユーザーが SAML アプリケーションを使用してログインできない

AppStream 2.0 では、ID プロバイダーの SAML_Subject「NameID」属性を使用して、ユーザー名フィールドに入力してユーザーをログインさせます。ユーザー名は「domain\username」、または「user@domain.com」形式のいずれかを使用できます。domain\username 形式を使用している場合、domain は NetBIOS 名または完全修飾ドメイン名を使用できます。"user@domain.com" 形式を使用している場合は、この属性を使用できます。 UserPrincipalName SAML_Subject 属性が正しく設定されていることを確認しても問題が解決しない場合は、 AWS Supportにお問い合わせください。詳細については、AWS Support センターを参照してください。

フリートインスタンスが 1 人のユーザーに対しては機能するが、正しくサイクルしない

フリートインスタンスは、ユーザーがセッションを完了するとサイクルし、各ユーザーが新しいインスタンスを使用するようにします。サイクルされたフリートインスタンスは、オンラインになると、以前のインスタンスのコンピュータ名を使用してドメインに参加します。このオペレーションが正常に発生するには、コンピュータオブジェクトが参加する組織単位 (OU) に対する Change Password アクセス許可と Reset Password アクセス許可がサービスアカウントに必要です。サービスアカウントのアクセス権限を確認して、もう一度試してください。問題が解決しない場合は、お問い合わせください。 AWS Support詳細については、AWS Support センターを参照してください。

ユーザーのグループポリシーオブジェクトが正常に適用されていない

デフォルトでは、コンピュータオブジェクトは、そのコンピュータオブジェクトが存在する OU に基づいてコンピュータレベルポリシーを適用します。一方、ユーザーレベルポリシーはそのユーザーが存在する OU に基づいて適用されます。ユーザーレベルポリシーが適用されていない場合、以下のいずれかの処理を行うことができます。

ユーザーレベルのポリシーを、ユーザーの Active Directory オブジェクトが存在する OU に移動する
コンピュータレベルのループバック処理を有効にします。これにより、ユーザーレベルのポリシーがコンピュータオブジェクトの OU に適用されます。

詳細については、Microsoft サポートのグループポリシーのループバック処理を参照してください。

AppStream 2.0 のストリーミングインスタンスが Active Directory ドメインに参加していません。

AppStream 2.0 で使用する Active Directory ドメインには、ストリーミングインスタンスが起動される VPC を通じて完全修飾ドメイン名 (FQDN) を介してアクセスできる必要があります。

ドメインにアクセスできることをテストするには

AppStream 2.0 で使用しているのと同じ VPC、サブネット、セキュリティグループで Amazon EC2 インスタンスを起動します。
2.0 で使用する予定のサービスアカウントの FQDN (例:yourdomain.example.com) を使用して EC2 インスタンスを Active Directory ドメインに手動で結合します。 AppStream Windows コンソールで以下のコマンドを使用してください。 PowerShell
```
netdom join computer /domain:FQDN /OU:path /ud:user /pd:password
```
この手動による参加が失敗した場合は、次のステップに進みます。
手動でドメインに結合できない場合は、コマンドプロンプトを開いて、nslookup コマンドを使用して FQDN を解決できることを確認します。例:
```
nslookup yourdomain.exampleco.com
```
名前解決が成功すると、有効な IP アドレスが返されます。FQDN を解決できない場合は、必要に応じてドメインの DHCP オプションセットを使用して VPC DNS サーバーを更新します。その後、このステップに戻ります。詳細については、Amazon VPC ユーザーガイドのDHCP Options Setsを参照してください。
FQDN が解決した場合は、telnet コマンドを使用して接続を検証します。
```
telnet yourdomain.exampleco.com 389
```
接続が成功した場合は、接続エラーがない空のコマンドプロンプトウィンドウが表示されます。必要に応じて EC2 インスタンスに Telnet クライアント機能をインストールします。詳細については、Microsoft ドキュメントの「Install Telnet Client」を参照してください。

EC2 インスタンスを手動でドメインに参加させることに失敗したが、FQDN の解決と Telnet クライアントとの接続テストに成功した場合は、VPC セキュリティグループがアクセスをブロックしている可能性があります。Active Directory では特定のネットワークポート設定が必要です。詳細については、Microsoft ドキュメントの Active Directory and Active Directory Domain Services Port Requirements を参照してください。

ドメインに参加しているストリーミングセッションでユーザーログインが完了するまで時間がかかる

AppStream 2.0 は、ユーザーがドメインパスワードを入力した後に Windows ログインアクションを実行します。認証に成功すると、 AppStream 2.0 はアプリケーションを起動します。ログインと起動時間は、ドメインコントローラーへのネットワークの競合やグループポリシー設定をストリーミングインスタンスに適用するためにかかる時間など、多くの変動要素の影響を受けます。ドメイン認証の完了に時間がかかり過ぎる場合、次のアクションを実行してください。

適切なドメインコントローラーを選択することで、 AppStream 2.0 リージョンからドメインコントローラーまでのネットワーク遅延を最小限に抑えます。たとえば、フリートが us-east-1 にある場合は、[Active Directory サイトとサービス] ゾーンマッピングを使用して us-east-1 への帯域幅が広くレイテンシーが低いドメインコントローラーを使用します。詳細については、Microsoft ドキュメントの「Active Directory サイトとサービス」を参照してください。
グループポリシー設定とユーザーログインスクリプトの適用や実行に著しく時間がかかっていないことを確認します。

ドメインユーザーの AppStream 2.0 へのログインが失敗し、「不明なエラーが発生しました」というメッセージが表示される場合は、AppStream 2.0 でアクティブディレクトリの使用を開始する前にで説明されているグループポリシー設定の更新が必要な場合があります。そうしないと、 AppStream 2.0 がドメインユーザーを認証してログインできなくなる可能性があります。

ユーザーは、ドメイン参加済みのストリーミングセッションではドメインリソースにアクセスできないが、ドメイン参加済みの Image Builder からはリソースにアクセスできる

Image Builder と同じ VPC、サブネット、およびセキュリティグループでフリートが作成されていること、およびドメインリソースにアクセスして使用するためのアクセス許可をユーザーに付与していることを確認します。

ユーザーに「証明書ベースの認証が利用できません」というエラーが表示され、ドメインパスワードの入力を求められる。または、証明書ベースの認証が有効になっているセッションを開始すると、「セッションから切断されました」というエラーが表示される

これらのエラーは、証明書ベースの認証がセッションで失敗した場合に発生します。証明書ベースの認証を有効にしてパスワードによるログオンにフォールバックできるようにすると、「証明書ベースの認証は利用できません」というエラーが表示されます。証明書ベースの認証がフォールバックなしで有効になっている場合、「セッションから切断されました」というエラーが表示さます。

ユーザーは、ウェブクライアントでページを更新するか、Windows 用クライアントから再接続できます。これは、証明書ベースの認証では断続的に発生する問題である可能性があるためです。問題が続く場合は、以下のいずれかの問題が原因で証明書ベースの認証が失敗する可能性があります。

AppStream 2.0 AWS はプライベート CA と通信できなかったか、 AWS プライベート CA が証明書を発行しませんでした。 CloudTrail 証明書が発行されたかどうかを確認してください。詳細については、「What Is AWS CloudTrail?」を参照してください。と証明書ベースの認証の管理。
ドメインコントローラには、スマートカードログオン用のドメインコントローラー証明書がないか、有効期限が切れている。詳細については、「前提条件」のステップ 7。a を参照してください。
証明書が信頼されていない。詳細については、「前提条件」のステップ 7。c を参照してください。
SAML_Subject NameID userPrincipalName の形式が適切にフォーマットされていないか、ユーザーの実際のドメインに対応していません。詳細については、「前提条件」のステップ 1 を参照してください。
SAML アサーションの (オプション) ObjectSid 属性が、SAML_Subject NameID で指定されたユーザーの Active Directory セキュリティ識別子 (SID) と一致しません。SAML フェデレーションの属性マッピングが正しいこと、および SAML ID プロバイダーが Active Directory ユーザーの SID 属性を同期していることを確認します。
AppStream 2.0 エージェントは証明書ベースの認証をサポートしていません。 AppStream 2.0 エージェントバージョン 10-13-2022 以降を使用してください。
スマートカードログオンのデフォルトの Active Directory 設定を変更したり、スマートカードがスマートカードリーダーから取り出された場合にアクションを実行したりするグループポリシー設定があります。これらの設定により、上記のエラー以外にも予期しない動作が発生する可能性があります。証明書ベースの認証では、インスタンスのオペレーティングシステムに仮想スマートカードが提示され、ログオンが完了すると削除されます。詳細については、「スマートカードのプライマリグループポリシー設定」および「その他のスマートカードのグループポリシー設定とレジストリキー」を参照してください。証明書ベースの認証を使用する場合は、スタック内で Active Directory のスマートカードサインインを有効にしないでください。詳細については、「スマートカード」を参照してください。
プライベート CA の CRL ディストリビューションポイントがオンラインになっていないか、 AppStream 2.0 フリートインスタンスまたはドメインコントローラーのどちらからもアクセスできない。詳細については、「前提条件」のステップ 5 を参照してください。

その他のトラブルシューティング手順には、 AppStream 2.0 インスタンスの Windows イベントログを確認することが含まれます。ログオンに失敗したかどうかを確認する一般的なイベントとして、「4625(F): アカウントがログオンできませんでした」があります。ログ情報の取得の詳細については、「アプリケーションログと Windows イベントログの永続化」を参照してください。別の方法として、管理者としてアクティブな AppStream 2.0 セッションをトラブルシューティングするには、別のコンピューターのイベントビューアーを使用してログに接続します。詳細については、「イベントビューアーでコンピューターを選択する方法」を参照してください。または、Remote Desktop を使用して接続し、 AppStream 2.0 仮想プライベートクラウド (VPC) のリモートデスクトップサービスに接続できる別のコンピューターからインスタンスのプライベート IP アドレスに接続することもできます。 AWS CLI を使用して、 AWS リージョン、 AppStream 2.0 スタック名、フリート名、ユーザー ID、認証タイプに基づいてセッションの IP アドレスを決定します。詳細については、「AWS Command Line Interface」を参照してください。

問題が解決しない場合は、お問い合わせください。 AWS Support詳細については、AWS Support センターを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

フリートのトラブルシューティング

AppStream 2.0 ユーザー問題のトラブルシューティング