新しい WorkSpace を作成できないのはなぜですか?

最終更新日: 2020 年 10 月 28 日

Amazon WorkSpaces で新しい WorkSpace を作成したいのですが、作成できません。なぜこれが発生したのでしょうか?どうすればこれを修正できるでしょうか?

解決方法

Amazon が提供するイメージまたはカスタムイメージのいずれかを使用して WorkSpace を作成する際、いくつかの原因により失敗する可能性があります。WorkSpace の作成に失敗した場合、次の一般的な理由とトラブルシューティング手順を確認してください。

IAM ポリシーがない

デフォルトでは、AWS Identity and Access Management (IAM) ユーザーには、Amazon WorkSpaces のリソースとオペレーションに対するアクセス許可がありません。まず、ユーザーにアクセス許可を明示的に付与する IAM ポリシーを作成する必要があります。次に、そのアクセス許可を必要とする IAM ユーザーまたはグループにポリシーをアタッチします。

詳細については、「Amazon WorkSpaces の ID およびアクセス管理」を参照してください。

暗号化されたボリュームを使用して WorkSpace を作成している

AWS Key Management Service (AWS KMS) を使用すると、カスタマーマスターキー (CMK) を使用して WorkSpace のストレージボリュームを暗号化できます。WorkSpace の作成が失敗した場合、AWS KMS に必要なアクセス許可がない可能性があります。

IAM ロールに必要なアクセス許可があり、AWS KMS CMK を使用して WorkSpaces を暗号化するための前提条件を満たしていることを確認してください。詳細については、「暗号化された WorkSpaces」を参照してください。

Amazon WorkSpaces クォータ

アカウントの特定のリージョンに WorkSpaces を作成するためのクォータに達している可能性があります。クォータとクォータの引き上げをリクエストする方法の詳細については、「Amazon WorkSpaces クォータ」を参照してください。

ウイルス対策ソフト

ウイルス対策ソフトウェアは、カスタムイメージから WorkSpace を作成するときに失敗する可能性があります。ウイルス対策ソフトウェアを無効にするか、アンインストールします。次に、新しい WorkSpace の作成を再試行します。

AD Connector サービスアカウントのパスワードが正しくない

まず、AD Connector アカウントのパスワードをリセットします。次に、AWS Directory Service で サービスアカウントの認証情報を更新します。新しい WorkSpace の作成を再試行します。

AD Connector のセキュリティグループが削除または変更された

ディレクトリが作成され、WorkSpaces に登録されると、2 つのセキュリティグループが作成されます。セキュリティグループ名は次のとおりです。directoryID はユーザーのディレクトリ ID に置き換えます。

  • directoryID_workspacesMembers
  • directoryID_controllers

いずれかのセキュリティグループ名を変更すると、新しい WorkSpace を作成するときに WorkSpace がディレクトリと通信できなくなる可能性があります。この通信エラーは、ドメイン参加の失敗などの問題につながる可能性があります。

この問題を修正するには、セキュリティグループを更新して、必要なポート上のオンプレミスドメインコントローラーからのインバウンドトラフィックを許可します。

ユーザープロファイルが既に C:\ に存在する

カスタムイメージから WorkSpace を作成する場合、新しいユーザーのユーザープロファイルが C:\ に既に存在すると、作成は失敗します。これは、特定のユーザーとの WorkSpace からリモートデスクトッププロトコル (RDP) セッションを起動し、その同じユーザーに対して Image_1 という名前のカスタムイメージを作成した場合に発生します。

例: user1 用の WorkSpace がある場合。この WorkSpace で user2 から RDP セッションを起動します。次に、user2 用に Image_1 という名前のこの WorkSpace からカスタムイメージを作成します。user2 のユーザープロファイルが、Image_1 が作成された WorkSpace の C:\ に既に存在するため、WorkSpace の作成は失敗します。

この問題を修正するには、イメージの作成に使用している WorkSpace から C:\ の追加のユーザープロファイルを削除します。レジストリ内の残りの追加ユーザーも必ず削除してください。次の手順を実行します:

1.    カスタムバンドルのイメージの作成に使用した WorkSpace にアクセスします。

: この WorkSpace が存在しない場合は、カスタムバンドルから正常に起動された WorkSpace にアクセスします。

2.    [起動] メニューを開き、[Windows システム] を展開します。この PC のコンテキスト (右クリック) メニューを開き、[プロパティ] を選択します。

3.    ナビゲーションペインから [システムの詳細設定] を選択します。

4.    [詳細] タブの [ユーザープロファイル] で、[設定] を選択します。

5.    重要: ドメインに属するユーザーのみを削除します (<domain>\UserName)。

ユーザープロファイルを選択し、[削除] を選択します。

6.    C:\Users フォルダに移動して、ユーザーフォルダが削除されていることを確認します。管理者フォルダとパブリックフォルダはそのままにしておく必要があります。

: C:\ ドライブはデフォルトで非表示になっています。ファイルエクスプローラーを開き、アドレスバーに C:\ と入力してフォルダを表示します。

7.    削除されたユーザーのセキュリティ識別子 (SID) がレジストリから削除されていることを確認します。[起動] メニューを開き、「cmd」と入力して、コマンドプロンプトを開きます。次のコマンドを実行します。

wmic useraccount get name,sid

8.    削除されたユーザーの SID をメモします。

9.    [起動] メニューを開き、「regedit」と入力して、レジストリエディタを開きます。次の場所に移動します: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList

手順 8 の SID を含むキーが表示されない場合は、それ以上のアクションは必要ありません。SID を含むキーが見つかった場合は、次の手順に進みます。

10.    キーを削除してから、次のレジストリの場所で SID を探します。HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileGuid

手順 8 の SID を含むキーが表示されない場合は、それ以上のアクションは必要ありません。SID を含むキーを見つけた場合は、そのキーを削除します。

これで、このプロセスで削除されたユーザーに対して正常に起動するカスタムバンドル用にこの WorkSpace のイメージを作成できます。

ドメイン参加エラー

ディレクトリまたは AD Connector が作成されると、高可用性のために 2 つのサブネットが選択されます。VPN の問題またはファイアウォールが必要なポートをブロックしているため、ディレクトリと WorkSpace のサブネット間の通信が失敗する可能性があります。ドメイン参加エラーのトラブルシューティングについては、「WorkSpace の作成時にドメイン参加エラーが発生するのはなぜですか?」を参照してください。</p


この記事はお役に立ちましたか?


請求に関するサポートまたは技術的なサポートが必要ですか?