新しい WorkSpace を作成できないのはなぜですか?

所要時間2分

Amazon WorkSpaces で新しい WorkSpace を作成したいのですが、プロセスが失敗します。

解決策

Amazon 提供の画像またはカスタム画像を使用して WorkSpace を作成すると、さまざまな原因で失敗する可能性があります。WorkSpace の作成に失敗する一般的な理由とトラブルシューティング手順を以下で確認してください:

IAM ポリシーがありません

デフォルトでは、AWS アイデンティティおよびアクセス管理 (IAM) ユーザーには Amazon WorkSpaces のリソースとオペレーションに対する権限がありません。そのため、最初にユーザーにアクセス権限を明示的に付与する IAM ポリシーを作成する必要があります。次に、その権限を必要とする IAM ユーザーまたはグループにポリシーを付与します。

詳細については、WorkSpaces の ID とアクセス管理を参照してください。

暗号化されたボリュームを使用した WorkSpaces の作成

AWS Key Management Service (AWS KMS) では、AWS KMS キー (KMS キー) を使用して WorkSpace のストレージボリュームを暗号化できます。WorkSpace の作成に失敗した場合、AWS KMS に必要な権限がない可能性があります。

IAM ロールに必要な権限があり、AWS KMS キーを使用して WorkSpaces を暗号化するための前提条件を満たしていることを確認します。詳細については、暗号化された WorkSpacesを参照してください。

ワークスペースクォータ

アカウントの特定の AWS リージョンに WorkSpaces を作成するためのクォータに達した可能性があります。クォータの詳細と増額をリクエストする方法については、「Amazon WorkSpaces クォータ」を参照してください。

アンチウイルスソフトウェア

ウイルス対策ソフトウェアにより、カスタムイメージから WorkSpace を作成する際に障害が発生する可能性があります。ウイルス対策ソフトウェアを無効化またはアンインストールします。次に、新しい WorkSpace をもう一度作成してみてください。

AD Connector サービスアカウントのパスワードが正しくありません

まず、AD Connector アカウントのパスワードをリセットします。次に、AWS ディレクトリサービスのサービスアカウント認証情報を更新します。新しい WorkSpace をもう一度作成してみてください。

AD Connector セキュリティグループが削除または変更されますます

ディレクトリを作成して WorkSpaces に登録すると、2 つのセキュリティグループが作成されます。セキュリティグループ名は次のとおりです。** DirectoryID** の代わりにディレクトリの ID を使用します:

directoryID_workspacesMembers
directoryID_controllers

いずれかのセキュリティグループ名を変更すると、新しい WorkSpace を作成するときに WorkSpace がディレクトリと通信できなくなる可能性があります。この通信エラーは、ドメイン結合の失敗などの問題を引き起こす可能性があります。

この問題を解決するには、セキュリティグループを更新して、必要なポート (Microsoft Web サイト) のオンプレミスドメインコントローラーからのインバウンドトラフィックを許可するようにします。

ユーザープロファイルは既に C:\ に存在します

カスタムイメージから WorkSpace を作成する場合、新しいユーザーのプロファイルがそのイメージの C:\ にすでに存在する場合、作成は失敗します。これは、ユーザーの WorkSpace へのリモートデスクトッププロトコル (RDP) セッションを起動し、その WorkSpace からカスタムイメージを作成した場合に発生します。次に、そのユーザー用のカスタムイメージを配置します。

たとえば、** user1** から WorkSpace への RDP セッションを起動するとします。次に、この WorkSpace を使用してカスタムイメージを作成し、そのイメージに** Image\ _1** という名前を付けます。Image_1の作成元である WorkSpace の C:\ に** user1** のユーザープロファイルがすでに存在するため、Image_1 からの WorkSpace の作成は失敗します。

この問題を解決するには、イメージの作成に使用している WorkSpace から C:\ 内のその他のユーザープロファイルをすべて削除します。レジストリ内の他のユーザーの残りも必ず削除してください。以下の手順に従ってください:

1.カスタムバンドルのイメージの作成に使用された WorkSpace にアクセスします。

注: この WorkSpace がもう存在しない場合は、カスタムバンドルから正常に起動した WorkSpace にアクセスします。

2.スタートメニューを開き、Windows システムを展開します。この PC のコンテキスト (右クリック) メニューを開き、プロパティを選択します

3.ナビゲーションペインから システムの詳細設定を選択します。

4.詳細設定タブの ユーザープロファイルで、設定を選択します。

重要: ドメインに属するユーザーのみを削除します (<domain>\UserName)。

ユーザープロファイルを選択し、削除を選択します。

6.C:\Users フォルダーに移動して、ユーザーフォルダーが削除されていることを確認します。管理者フォルダとパブリックフォルダはそのままにしておく必要があります。

注: C:\ ドライブはデフォルトで非表示になっています。ファイルエクスプローラーを開き、アドレスバーに** C:\** と入力してフォルダーを表示します。

7.削除されたユーザーのセキュリティ識別子 (SID) がレジストリから削除されていることを確認します。スタートメニューを開き、** cmd** と入力してコマンドプロンプトを開きます。以下のコマンドを実行します:

wmic useraccount get name,sid

8.削除されたユーザーの** SID** を書き留めておきます。

9.スタートメニューを開き、** regedit** と入力してレジストリエディターを開きます。次の場所に移動します: HKLM:\Software\Microsoft\Windows NT\CurrentVersion\ProfileList

手順 8 の SID のキーが表示されない場合は、それ以上の操作は必要ありません。SID のキーが見つかったら、次の手順に進みます。

10.キーを削除し、次のレジストリの場所で SID を探します: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileGuid\

手順 8 の SID のキーが表示されない場合は、それ以上の操作は必要ありません。SID のキーが見つかった場合は、そのキーを削除します。

これで、このプロセスで削除されたユーザー用に正常に起動するカスタムバンドル用にこの WorkSpace のイメージを作成できます。

ドメイン結合エラー

ディレクトリまたは AD Connector を作成すると、可用性を高めるために 2 つのサブネットが選択されます。VPN の問題やファイアウォールが必要なポートをブロックしているために、ディレクトリと WorkSpace のサブネット間の通信が失敗する可能性があります。ドメイン参加エラーのトラブルシューティングについては、ドメインへの参加に失敗する WorkSpace のトラブルシューティング方法を教えてくださいを参照してください。