新しい WorkSpace を作成できないのはなぜですか?

最終更新日: 2020 年 4 月 6 日

Amazon WorkSpaces で新しい WorkSpace を作成したいのですが、プロセスが失敗します。このような問題が発生する理由と、解決方法を教えてください。 

解決方法

Amazon が提供するイメージまたはカスタムイメージを使用した WorkSpace の作成は、さまざまな原因で失敗することがあります。以下では、WorkSpace の作成の失敗に関する一般的な理由およびトラブルシューティングの手順を確認します。

IAM ポリシーが見つからない

デフォルトでは、AWS Identity and Access Management (IAM) ユーザーには、Amazon WorkSpaces のリソースとオペレーションに対するアクセス許可がありません。まず、ユーザーにアクセス許可を明示的に付与する IAM ポリシーを作成する必要があります。次に、そのアクセス許可が必要な IAM ユーザーまたはグループにポリシーをアタッチします。

詳細については、Amazon WorkSpaces のアイデンティティとアクセスの管理を参照してください。

暗号化されたボリュームで WorkSpace を作成する

AWS Key Management Service (AWS KMS) では、カスタマーマスターキー (CMK) を使用して WorkSpace のストレージボリュームを暗号化できます。WorkSpace の作成に失敗した場合、AWS KMS に必要なアクセス許可がない可能性があります。

IAM ロールに必要なアクセス権限があり、AWS KMS CMK を使用して WorkSpaces を暗号化するための前提条件を満たしていることを確認します。詳細については、暗号化された WorkSpacesを参照してください。

Amazon WorkSpaces のクォータ

アカウントの特定のリージョンで WorkSpaces を作成するためのクォータに達した可能性があります。クォータの詳細と引き上げをリクエストする方法については、Amazon WorkSpaces のクォータを参照してください。

アンチウイルスソフトウェア

カスタムイメージから WorkSpace を作成するときに、アンチウイルスソフトウェアによってエラーが発生することがあります。アンチウイルスソフトウェアを無効にするかアンインストールします。その後、新しい WorkSpace の作成を再試行します。

AD Connector サービスアカウントのパスワードが正しくない

まず、AD Connector アカウントのパスワードをリセットします。次に、AWS Directory Service でサービスアカウントの認証情報を更新します。新しい WorkSpace の作成を再試行します。

AD Connector セキュリティグループが削除または変更される

ディレクトリが作成され、Workspaces に登録されると、2 つのセキュリティグループが作成されます。セキュリティグループ名は次のとおりです。directoryID の代わりにディレクトリの IDを使用します。

  • directoryID_workspacesMembers
  • directoryID_controllers

いずれかのセキュリティグループ名を変更すると、新しい WorkSpace の作成時に WorkSpace がディレクトリと通信できなくなる可能性があります。この通信エラーは、ドメイン結合の失敗などの問題を引き起こす可能性があります。

この問題を修正するには、セキュリティグループを更新して、必要なポートでオンプレミスのドメインコントローラーからのインバウンドトラフィックを許可します。

ユーザープロファイルが既に C:\ に存在する

カスタムイメージから WorkSpace を作成する場合、新しいユーザーのユーザープロファイルがすでに C:\ に存在する場合、作成は失敗します。これは、特定のユーザーを持つ WorkSpace から Remote Desktop Protocol (RDP) セッションを起動し、その同じユーザー用に Image_1 という名前のカスタムイメージを作成した場合に発生します。

例: user1 の WorkSpace があるとします。この WorkSpace で user2 から RDP セッションを起動します。次に、user2 用の Image_1 という名前のこの WorkSpace からカスタムイメージを作成します。Image_1 が作成された WorkSpace の C:\ に user2 のユーザープロファイルがすでに存在するため、WorkSpace の作成は失敗します。

この問題を修正するには、イメージの作成に使用している WorkSpace から C:\ の追加のユーザープロファイルを削除します。また、レジストリ内の追加のユーザーの残りの部分も削除してください。次の手順を実行します。

1.    カスタムバンドルのイメージの作成に使用された WorkSpace にアクセスします。

注意: この WorkSpace が存在しない場合は、カスタムバンドルから正常に起動した WorkSpace にアクセスします。

2.    [スタート] メニューを開き、[Windows システム] を展開します。この PC のコンテキスト (右クリック) メニューを開き、[プロパティ] を選択します

3.    ナビゲーションペインから [システムの詳細設定] を選択します。

4.    [高度な設定] タブの [ユーザープロファイル] で、[設定] を選択します。

5.    重要: ドメイン (<domain>\UserName) に属するユーザーのみを削除します。

ユーザープロファイルを選択し、[削除] を選択します。

6.    C:\Users フォルダに移動し、ユーザーフォルダが削除されていることを確認します。Administrator フォルダと Public フォルダはそのまま残ります。

注意: C:\ ドライブはデフォルトでは非表示になっています。ファイルエクスプローラーを開き、アドレスバーに「C:\」と入力してフォルダを表示します。

7.    削除されたユーザーのセキュリティ識別子 (SID) がレジストリから削除されていることを確認します。[スタート] メニューを開き、「cmd」と入力してコマンドプロンプトを開きます。次のコマンドを実行します。

wmic useraccount get name,sid

8.    削除されたユーザーの SID を書き留めます。

9.    [スタート] メニューを開き、「regedit」と入力してレジストリエディタを開きます。HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList に移動します。

ステップ 8 の SID を持つキーが表示されない場合は、それ以上のアクションは必要ありません。SID のキーを見つけた場合は、次のステップに進みます。

10.    キーを削除し、レジストリの場所 (HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileGuid) で SID を探します。

ステップ 8 の SID を持つキーが表示されない場合は、それ以上のアクションは必要ありません。SID のキーを見つけた場合は、キーを削除します。

これで、このプロセスで削除されたユーザーに対して正常に起動するカスタムバンドルのこの WorkSpace のイメージを作成できます。

ドメイン結合エラー

ディレクトリまたは AD Connector が作成されると、高可用性のために 2 つのサブネットが選択されます。ディレクトリと WorkSpace のサブネット間の通信は、VPN の問題またはファイアウォールによって必要なポートがブロックされていることにより、失敗することがあります。ドメイン結合エラーをトラブルシューティングするには、WorkSpace の作成時にドメイン結合エラーが発生するのはなぜですか? を参照してください。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合