Amazon WorkSpaces で WorkSpace を作成すると、次のようなエラーメッセージが表示されます。
「WorkSpace をドメインに参加させる際に問題が発生しました。サービスアカウントがドメイン参加操作の完了を許可されていることを確認してください。引き続き問題が発生する場合は、AWS サポートにお問い合わせください」
この問題を修正するにはどうすればよいですか?
解決方法
WorkSpaces は、Active Directory のドメインコントローラーと通信する必要がある Active Directory ドメインメンバーです。AWS AD Connector を使用している場合、サービスアカウントの許可はドメイン参加を許可する必要があります。ドメイン参加の問題を解決するには、次のトラブルシューティングのステップを使用してください。
ドメインコントローラーと通信する
ドメインに参加してユーザーを認証するために、WorkSpaces は仮想プライベートクラウド (VPC) の伸縮自在なネットワークインターフェイスを使用してドメインコントローラーにアクセスします。次の構成設定を検証します。
- WorkSpace が任意の VPC リソースを通じて Active Directory と通信できることを確認してください。これらのリソースには、セキュリティグループ、ネットワークアクセスコントロールリスト (ネットワーク ACL)、およびルートテーブルが含まれます。また、WorkSpace が Active Directory のオンプレミスまたはセルフマネージドのドメインコントローラーと通信できることも確認します。
TCP/UDP 53: DNS
TCP/UDP 88: Kerberos 認証
UDP 123: NTP
TCP 135: RPC
TCP/UDP 389: LDAP
TCP/UDP 445: SMB
TCP/UDP 464: Kerberos 認証
TCP 636: TLS/SSL 経由の LDAP (LDAPS)
TCP 3268–3269: Global Catalog
TCP/UDP 49152–65535: RPC 用エフェメラルポート
詳細については、「VPC サブネットとセキュリティグループを設定する」を参照してください。
- 各 WorkSpaces サブネットに Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを起動して、ドメインコントローラーへの TCP/UDP アクセスをテストします。
例えば、DirectoryServicePortTest です。
詳細については、「AD Connector をテストする」を参照してください。
サービスアカウントの許可 (AD Connector のみ)
コンピュータをドメインに参加させるには、有効なドメイン認証情報が必要です。組織で AD Connector を使用している場合は、サービスアカウントを使用して Active Directory と通信するのがベストプラクティスです。AD Connector を設定するには、次のステップに従います。
- サービスアカウントを検証します。
サービスアカウントがオンになっていることを確認します。
アカウントパスワードの有効期限が切れていないことを確認します。
ドメインメンバーが認証情報を使用してドメインに正常にログインできることを確認します。
- サービスアカウントに使用されるユーザーアカウントのドメイン参加制限を回避するために、組織単位 (OU) の管理を委任します。
権限を委任するユーザーグループを作成します。
サービスアカウントをメンバーとしてユーザーグループに追加します。
ドメインメンバーコンピュータの OU のコントロールをユーザーグループに委任します。デフォルトは [Computers] (コンピュータ) です。
詳細については、「権限をサービスアカウントに委任する」および「Default limit to number of workstations a user can join to the domain」(ユーザーがドメインに参加できるワークステーション数のデフォルト制限) を参照してください。
- ディレクトリまたは接続されたディレクトリ設定からカスタム設定された OU が有効であることを確認します。
関連情報
AD Connector を使用して WorkSpace を起動する