Active Directory ドメイン結合のトラブルシューティング - Amazon AppStream 2.0

Active Directory ドメイン結合のトラブルシューティング

以下は、Amazon AppStream 2.0 で Active Directory を設定して使用するときに発生する可能性がある問題です。トラブルシューティングの通知コードのヘルプについては、「通知コードのトラブルシューティング」を参照してください。

Image Builder とフリートインスタンスが「PENDING」状態でスタックする

Image Builder およびフリートインスタンスは、準備完了状態に移行して使用できるようになるまで、最長で 25 分かかることがあります。インスタンスが使用できるようになるまでに 25 分以上かかっている場合は、Active Directory において、新しいコンピュータオブジェクトが適切な組織単位 (OU) で作成されているかどうかを確認します。新しいオブジェクトがある場合は、ストリーミングインスタンスは間もなく利用可能になります。オブジェクトがない場合は、AppStream 2.0 Directory Config でディレクトリ設定の詳細 (ディレクトリ名 (ディレクトリの完全修飾ドメイン名)、サービスアカウントのユーザー名とパスワード、OU 識別名) を確認します。

Image Builder とフリートのエラーは、フリートまたは Image Builder の [Notifications (通知)] タブの AppStream 2.0 コンソールに表示されます。フリートエラーは、DescribeFleets オペレーションまたは CLI コマンドの describe-fleets 経由で AppStream 2.0 API を使って利用することもできます。

ユーザーが SAML アプリケーションを使用してログインできない

AppStream 2.0 は ID プロバイダから提供される SAML_Subject の「NameID」属性に依存し、ユーザー名フィールドに入力してユーザーをログインさせます。ユーザー名は「domain\username」、または「user@domain.com」形式のいずれかを使用できます。domain\username 形式を使用している場合、domain は NetBIOS 名または完全修飾ドメイン名を使用できます。「user@domain.com」形式を使用する場合、UserPrincipalName 属性を使用できます。SAML_Subject 属性が正しく設定されていることを確認しても問題が解決しない場合は、AWS Support にお問い合わせください。詳細については、「AWS Support サポートセンター」を参照してください。

フリートインスタンスが 1 人のユーザーに対しては機能するが、正しくサイクルしない.

フリートインスタンスは、ユーザーがセッションを完了するとサイクルし、各ユーザーが新しいインスタンスを使用するようにします。サイクルされたフリートインスタンスは、オンラインになると、以前のインスタンスのコンピュータ名を使用してドメインに参加します。このオペレーションが正常に発生するには、コンピュータオブジェクトが参加する組織単位 (OU) に対する Change Password アクセス許可と Reset Password アクセス許可がサービスアカウントに必要です。サービスアカウントのアクセス権限を確認して、もう一度試してください。問題が解決しない場合は、 までお問い合わせくださいAWS Support 詳細については、「AWS Support サポートセンター」を参照してください。

ユーザーのグループポリシーオブジェクトが正常に適用されていない

デフォルトでは、コンピュータオブジェクトは、そのコンピュータオブジェクトが存在する OU に基づいてコンピュータレベルポリシーを適用します。一方、ユーザーレベルポリシーはそのユーザーが存在する OU に基づいて適用されます。ユーザーレベルポリシーが適用されていない場合、以下のいずれかの処理を行うことができます。

  • ユーザーレベルのポリシーを、ユーザーの Active Directory オブジェクトが存在する OU に移動する

  • コンピュータレベルのループバック処理を有効にします。これにより、ユーザーレベルのポリシーがコンピュータオブジェクトの OU に適用されます。

詳細については、Microsoft サポートの グループ ポリシーのループバック処理を参照してください。

AppStream 2.0 ストリーミングインスタンスが Active Directory ドメインに参加していない。

AppStream 2.0 で使用する Active Directory ドメインは、ストリーミングインスタンスを起動した VPC を通じて完全修飾ドメイン名 (FQDN) を使用してアクセス可能であることが必要です。

ドメインにアクセスできることをテストするには

  1. AppStream 2.0 で使用する同じ VPC、サブネット、セキュリティグループで Amazon EC2 インスタンスを起動します。

  2. AppStream 2.0 で使用するサービスアカウントを使用して、EC2 インスタンスを FQDN (例: yourdomain.example.com) を使用して手動で Active Directory ドメインに結合します。次のコマンドを Windows PowerShell コンソールで実行します。

    netdom join computer /domain:FQDN /OU:path /ud:user /pd:password

    この手動による参加が失敗した場合は、次のステップに進みます。

  3. 手動でドメインに結合できない場合は、コマンドプロンプトを開いて、nslookup コマンドを使用して FQDN を解決できることを確認します。例:

    nslookup yourdomain.exampleco.com

    名前解決が成功すると、有効な IP アドレスが返されます。FQDN を解決できない場合は、必要に応じてドメインの DHCP オプションセットを使用して VPC DNS サーバーを更新します。その後、このステップに戻ります。詳細については、Amazon VPC ユーザーガイドの 「DHCP Options Sets」を参照してください。

  4. FQDN が解決した場合は、telnet コマンドを使用して接続を検証します。

    telnet yourdomain.exampleco.com 389

    接続が成功した場合は、接続エラーがない空のコマンドプロンプトウィンドウが表示されます。必要に応じて EC2 インスタンスに Telnet クライアント機能をインストールします。詳細については、Microsoft ドキュメントの「Install Telnet Client」を参照してください。

EC2 インスタンスを手動でドメインに参加させることに失敗したが、FQDN の解決と Telnet クライアントとの接続テストに成功した場合は、VPC セキュリティグループがアクセスをブロックしている可能性があります。Active Directory では特定のネットワークポート設定が必要です。詳細については、Microsoft ドキュメントの「Active Directory and Active Directory Domain Services Port Requirements」を参照してください。

ドメイン結合されたストリーミングセッションでユーザーログインが完了するまでに時間がかかる.

AppStream 2.0 は、ユーザーがドメインパスワードを入力した後に Windows ログインアクションを実行します。認証に成功したら、AppStream 2.0 はアプリケーションを起動します。ログインと起動時間は、ドメインコントローラーへのネットワークの競合やグループポリシー設定をストリーミングインスタンスに適用するためにかかる時間など、多くの変動要素の影響を受けます。ドメイン認証の完了に時間がかかり過ぎる場合、次のアクションを実行してください。

  • 正しいドメインコントローラーを選択して、AppStream 2.0 リージョンからドメインコントローラーへのネットワークのレイテンシーを最小限に抑えます。たとえば、フリートが us-east-1 にある場合は、[Active Directory サイトとサービス] ゾーンマッピングを使用して us-east-1 への帯域幅が広くレイテンシーが低いドメインコントローラーを使用します。詳細については、Microsoft ドキュメントの「Active Directory サイトとサービス」を参照してください。

  • グループポリシー設定とユーザーログインスクリプトの適用や実行に著しく時間がかかっていないことを確認します。

ドメインユーザーによる AppStream 2.0 へのログインが失敗し、「不明なエラーが発生しました」というメッセージが表示された場合は、必要に応じて AppStream 2.0 でアクティブディレクトリの使用を開始する前に の説明に従ってグループポリシー設定を更新します。更新しないと、AppStream 2.0 によるドメインユーザーの認証とログインがブロックされる場合があります。

ユーザーは、ドメイン参加済みのストリーミングセッションではドメインリソースにアクセスできないが、ドメイン参加済みの Image Builder からはリソースにアクセスできる

Image Builder と同じ VPC、サブネット、およびセキュリティグループでフリートが作成されていること、およびドメインリソースにアクセスして使用するためのアクセス許可をユーザーに付与していることを確認します。