Active Directory 문제 해결 - 아마존 AppStream 2.0
이미지 빌더와 플릿 인스턴스가 대기 중 상태에서 바뀌지 않습니다.사용자가 SAML 애플리케이션에 로그인할 수 없습니다.플릿 인스턴스가 사용자 1명에게 유효할 뿐 올바로 순환되지 않습니다.사용자 그룹 정책 객체가 적용되지 않습니다.내 AppStream 2.0 스트리밍 인스턴스가 Active Directory 도메인에 가입하지 않아요.도메인 병합 스트리밍 세션에서 사용자 로그인을 완료하는 데 너무 오랜 시간이 걸립니다.사용자가 도메인에 조인된 스트리밍 세션에서 도메인 리소스에 액세스할 수 없지만 도메인에 조인된 이미지 빌더에서는 리소스에 액세스할 수 있습니다.사용자에게 '인증서 기반 인증을 사용할 수 없음'이라는 오류 메시지가 표시되고 도메인 암호를 입력하라는 메시지가 표시됩니다. 또는 인증서 기반 인증이 활성화된 세션을 시작할 때 사용자에게 '세션에서 연결 끊김'이라는 오류 메시지가 표시됩니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Active Directory 문제 해결

Amazon AppStream 2.0에서 Active Directory를 설정하고 사용할 때 발생할 수 있는 문제는 다음과 같습니다. 알림 코드 문제 해결에 대한 자세한 내용은 알림 코드 문제 해결 단원을 참조하십시오.

이미지 빌더와 플릿 인스턴스가 대기 중 상태에서 바뀌지 않습니다.

이미지 빌더와 플릿 인스턴스가 사용할 수 있는 상태가 되려면 최대 25분까지 걸릴 수 있습니다. 인스턴스가 사용 가능 상태까지 25분 넘게 걸린다면 올바른 조직 단위(OU)에서 새로운 컴퓨터 객체가 생성되었는지 Active Directory를 확인하십시오. 새로운 객체가 있다면 스트리밍 인스턴스를 곧 사용할 수 있게 됩니다. 개체가 없는 경우 AppStream 2.0 Directory Config: 디렉터리 이름 (디렉터리의 정규화된 도메인 이름, 서비스 계정 로그인 자격 증명 및 OU 고유 이름) 에서 디렉터리 구성 세부 정보를 확인하세요.

이미지 빌더 및 플릿 오류는 AppStream 2.0 콘솔의 플릿 또는 이미지 빌더의 알림 탭에 표시됩니다. 플릿 오류는 AppStream 2.0 API를 사용하여 DescribeFleets작업 또는 CLI 명령 describe-fleets를 통해서도 확인할 수 있습니다.

사용자가 SAML 애플리케이션에 로그인할 수 없습니다.

AppStream 2.0은 ID 제공자의 SAML_Subject “NameID” 속성을 사용하여 사용자 이름 필드를 채워 사용자를 로그인합니다. 사용자 이름의 형식은 "domain\username" 또는 "user@domain.com"이 될 수 있습니다. "domain\username" 형식을 사용하는 경우 domain에는 NetBIOS 이름 또는 정규화된 도메인 이름이 사용됩니다. “user@domain.com" 형식을 사용하는 경우 속성을 사용할 수 있습니다. UserPrincipalName SAML_Subject 속성이 올바로 구성되어 있는데도 문제가 지속된다면 AWS Support에 문의하세요. 자세한 내용은 AWS Support Center를 참조하세요.

플릿 인스턴스가 사용자 1명에게 유효할 뿐 올바로 순환되지 않습니다.

사용자 1명이 세션을 마치면 플릿 인스턴스가 순환하면서 각 사용자마다 새로운 인스턴스를 사용할 수 있게 됩니다. 순환하는 플릿 인스턴스를 온라인으로 가져오면 이전 인스턴스의 컴퓨터 이름을 사용하여 도메인과 병합합니다. 이러한 작업이 성공적으로 이루어지려면 컴퓨터 객체가 병합하는 조직 단위(OU)에 대한 암호 변경암호 재설정 권한이 서비스 계정에 필요합니다. 서비스 계정 권한이 있는지 확인한 후 다시 시도하십시오. 문제가 지속되면 문의하세요 AWS Support. 자세한 내용은 AWS Support Center를 참조하세요.

사용자 그룹 정책 객체가 적용되지 않습니다.

기본적으로 컴퓨터 객체는 컴퓨터 객체가 속하는 OU를 기준으로 컴퓨터 수준 정책을 적용하는 반면 사용자가 속하는 OU를 기준으로 사용자 수준 정책을 적용합니다. 사용자 수준 정책이 적용되지 않는다면 다음 중 한 가지를 시도할 수 있습니다.

  • 사용자 수준 정책을 사용자 Active Directory 객체가 속하는 OU로 이동시키십시오.

  • 컴퓨터 객체 OU에서 사용자 수준 정책을 적용하는 컴퓨터 수준 루프백 처리 기능을 활성화하십시오.

자세한 내용은 Microsoft Support에서 그룹 정책 루프백 처리를 참조하십시오.

내 AppStream 2.0 스트리밍 인스턴스가 Active Directory 도메인에 가입하지 않아요.

AppStream 2.0에서 사용할 Active Directory 도메인은 스트리밍 인스턴스가 시작된 VPC를 통해 FQDN (정규화된 도메인 이름) 을 통해 액세스할 수 있어야 합니다.

도메인의 액세스 여부를 테스트하려면

  1. 2.0에서 사용하는 것과 동일한 VPC, 서브넷 및 보안 그룹에서 Amazon EC2 인스턴스를 시작합니다. AppStream

  2. 2.0에서 사용하려는 서비스 계정의 FQDN (예:yourdomain.example.com) 을 사용하여 EC2 인스턴스를 Active Directory 도메인에 수동으로 조인합니다. AppStream Windows 콘솔에서 다음 명령을 사용하십시오. PowerShell 

    netdom join computer /domain:FQDN /OU:path /ud:user /pd:password

    수동 병합이 실패하면 다음 단계로 진행하십시오.

  3. 수동으로도 도메인에 병합되지 않으면 명령 프롬프트를 열고 nslookup 명령을 실행하여 FQDN에 대한 확인 여부를 검증합니다. 예:

    nslookup yourdomain.exampleco.com

    이름이 확인되면 유효한 IP 주소가 반환됩니다. FQDN을 확인할 수 없을 때는 도메인에 설정된 DHCP 옵션을 사용하여 VPC DNS 서버를 업데이트해야 하는 경우도 있습니다. 그런 다음 이 단계로 돌아오십시오. 자세한 내용은 Amazon VPC 사용 설명서DHCP 옵션 세트를 참조하세요.

  4. FQDN이 확인되면 telnet 명령을 사용하여 연결을 확인합니다.

    telnet yourdomain.exampleco.com 389

    성공적으로 연결되면 연결 오류 없이 명령 프롬프트 창이 비어있어야 합니다. EC2 인스턴스에 Telnet Client를 설치해야 할 수도 있습니다. 자세한 내용은 Microsoft 설명서의 Telnet Client 설치를 참조하십시오.

EC2 인스턴스를 도메인에 수동으로 병합할 수는 없지만 FQDN 확인이나 Telnet Client를 사용한 연결 테스트가 성공적이라면 VPC 보안 그룹이 액세스를 차단하고 있는 경우도 있습니다. Active Directory는 몇 가지 네트워크 포트 설정이 필요합니다. 자세한 내용은 Microsoft 설명서의 Active Directory 및 Active Directory 도메인 서비스 포트 요구 사항을 참조하십시오.

도메인 병합 스트리밍 세션에서 사용자 로그인을 완료하는 데 너무 오랜 시간이 걸립니다.

AppStream 2.0은 사용자가 도메인 암호를 제공한 후 Windows 로그인 작업을 수행합니다. 인증에 성공하면 AppStream 2.0이 애플리케이션을 시작합니다. 로그인 및 시작 시간은 도메인 컨트롤러에 대한 네트워크 경합, 그룹 정책 설정을 스트리밍 인스턴스에 적용하는 데 걸리는 시간 등과 같은 수많은 변수의 영향을 받습니다. 도메인 인증을 완료하는 데 시간이 너무 오래 걸리는 경우 다음 작업을 수행해 보십시오.

  • 올바른 도메인 컨트롤러를 선택하여 AppStream 2.0 지역에서 도메인 컨트롤러까지의 네트워크 지연 시간을 최소화하십시오. 예를 들어 플릿이 us-east-1에 속하는 경우에는 Active Directory 사이트 및 서비스 영역 매핑을 통해 us-east-1까지 대역폭이 높고 지연 시간이 낮은 도메인 컨트롤러를 사용하십시오. 자세한 내용은 Microsoft 설명서의 Active Directory 사이트 및 서비스를 참조하십시오.

  • 그룹 정책 설정 및 사용자 로그인 스크립트를 적용하거나 실행하는 데 엄청나게 오랜 시간이 걸리지 않는지 확인합니다.

도메인 사용자의 AppStream 2.0 로그인이 실패하고 “알 수 없는 오류가 발생했습니다.” 라는 메시지가 표시되는 경우 에 설명된 그룹 정책 설정을 업데이트해야 할 수 있습니다. 2.0과 함께 Active Directory를 사용하기 전에 AppStream 그렇지 않으면 이러한 설정으로 인해 AppStream 2.0이 도메인 사용자를 인증하고 로그인하지 못할 수 있습니다.

사용자가 도메인에 조인된 스트리밍 세션에서 도메인 리소스에 액세스할 수 없지만 도메인에 조인된 이미지 빌더에서는 리소스에 액세스할 수 있습니다.

플릿이 이미지 빌더와 동일한 VPC, 서브넷 및 보안 그룹에서 생성되는지, 그리고 도메인 리소스를 액세스하여 사용하는 데 필요한 권한이 사용자에게 있는지 확인하십시오.

사용자에게 '인증서 기반 인증을 사용할 수 없음'이라는 오류 메시지가 표시되고 도메인 암호를 입력하라는 메시지가 표시됩니다. 또는 인증서 기반 인증이 활성화된 세션을 시작할 때 사용자에게 '세션에서 연결 끊김'이라는 오류 메시지가 표시됩니다.

이 오류는 세션에서 인증서 기반 인증이 실패한 경우 발생합니다. 암호 로그온으로 폴백할 수 있도록 인증서 기반 인증을 활성화하면 '인증서 기반 인증을 사용할 수 없음' 오류가 표시됩니다. 폴백 없이 인증서 기반 인증을 활성화하면 '세션에서 연결 끊김' 오류가 표시됩니다.

인증서 기반 인증에서는 간헐적으로 문제가 발생할 수 있으므로 사용자는 웹 클라이언트에서 페이지를 새로 고치거나 Windows용 클라이언트에서 다시 연결할 수 있습니다. 문제가 계속되면 다음 문제 중 하나로 인해 인증서 기반 인증 실패가 발생하는 것일 수 있습니다.

  • AppStream 2.0이 AWS 사설 CA와 통신할 수 없거나 AWS 사설 CA가 인증서를 발급하지 않았습니다. 인증서가 발급되었는지 확인하십시오 CloudTrail . 자세한 내용은 AWS CloudTrail무엇입니까를 참조하십시오. 그리고인증서 기반 인증 관리.

  • 도메인 컨트롤러에 스마트 카드 로그온을 위한 도메인 컨트롤러 인증서가 없거나 만료되었습니다. 자세한 내용은 사전 조건 의 7.a 단계를 참조하세요.

  • 인증서를 신뢰할 수 없습니다. 자세한 내용은 사전 조건 의 7.c 단계를 참조하세요.

  • SAML_Subject NameID의 형식이 제대로 지정되지 않았거나 사용자의 실제 도메인으로 해석되지 않습니다. userPrincipalName 자세한 내용은 사전 조건 의 1단계를 참조하세요.

  • SAML 어설션의 (선택 사항) ObjectSid 속성이 SAML_Subject NameID에 지정된 사용자의 액티브 디렉터리 보안 식별자 (SID) 와 일치하지 않습니다. SAML 페더레이션에서 속성 매핑이 올바른지, SAML ID 제공업체가 Active Directory 사용자의 SID 속성을 동기화하고 있는지 확인하세요.

  • 2.0 에이전트는 인증서 기반 인증을 지원하지 않습니다. AppStream AppStream 2.0 에이전트 버전 10-13-2022 이상을 사용하십시오.

  • 스마트 카드 로그온을 위한 기본 Active Directory 설정을 수정하거나 스마트 카드 리더에서 스마트 카드를 제거한 경우 조치를 취하는 그룹 정책 설정이 있습니다. 이러한 설정으로 인해 위에 나열된 오류 외에도 예상치 못한 동작이 추가로 발생할 수 있습니다. 인증서 기반 인증은 인스턴스 운영 체제에 가상 스마트 카드를 제공하고 로그온이 완료된 후 제거합니다. 자세한 내용은 스마트 카드의 스마트 카드에 대한 기본 그룹 정책 설정추가 스마트 카드 그룹 정책 설정 및 레지스트리 키를 참조하세요. 인증서 기반 인증을 사용하려는 경우 스택에서 Active Directory에 대한 스마트 카드 로그인을 활성화하지 마세요. 자세한 정보는 스마트 카드을 참조하세요.

  • 사설 CA의 CRL 배포 지점은 온라인 상태가 아니거나 AppStream 2.0 플릿 인스턴스 또는 도메인 컨트롤러에서 액세스할 수 없습니다. 자세한 내용은 사전 조건 의 5단계를 참조하십시오.

추가 문제 해결 단계에는 AppStream 2.0 인스턴스 Windows 이벤트 로그 검토가 포함됩니다. 로그온 실패 여부를 검토해야 하는 일반적인 이벤트는 4625(F): 계정이 로그온하지 못했습니다.입니다. 로그 정보 캡처에 대한 자세한 내용은 애플리케이션 및 Windows 이벤트 로그 유지를 참조하세요. 관리자로 활성 상태인 AppStream 2.0 세션의 문제를 해결하려면 다른 컴퓨터의 이벤트 뷰어를 사용하여 로그에 연결할 수도 있습니다. 자세한 내용은 How to Select Computers in Event Viewer를 참조하세요. 또는 AppStream 2.0 가상 사설 클라우드 (VPC) 의 원격 데스크톱 서비스에 연결할 수 있는 다른 컴퓨터의 인스턴스 사설 IP 주소에 원격 데스크톱을 사용하여 연결할 수 있습니다. AWS CLI를 사용하여 AWS 지역, AppStream 2.0 스택 이름, 플릿 이름, 사용자 ID 및 인증 유형을 기반으로 세션의 IP 주소를 결정합니다. 자세한 내용은 AWS Command Line Interface 섹션을 참조하세요.

문제가 지속되면 문의하세요. AWS Support자세한 내용은 AWS Support Center를 참조하세요.