翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Active Directory のトラブルシューティング
以下は、Amazon WorkSpaces アプリケーションで Active Directory をセットアップして使用する場合に発生する可能性のある問題です。トラブルシューティングの通知コードのヘルプについては、「[通知コードのトラブルシューティング](troubleshooting-notification-codes.md)」を参照してください。
**Topics**
+ [Image Builder とフリートインスタンスが「PENDING」状態でスタックする](#troubleshooting-active-directory-1)
+ [ユーザーが SAML アプリケーションを使用してログインできない](#troubleshooting-active-directory-2)
+ [フリートインスタンスが 1 人のユーザーに対しては機能するが、正しくサイクルしない](#troubleshooting-active-directory-3)
+ [ユーザーのグループポリシーオブジェクトが正常に適用されていない](#troubleshooting-active-directory-4)
+ [WorkSpaces アプリケーションストリーミングインスタンスが Active Directory ドメインに参加していません。](#troubleshooting-active-directory-5)
+ [ドメインに参加しているストリーミングセッションでユーザーログインが完了するまで時間がかかる](#troubleshooting-active-directory-6)
+ [ユーザーは、ドメイン参加済みのストリーミングセッションではドメインリソースにアクセスできないが、ドメイン参加済みの Image Builder からはリソースにアクセスできる](#troubleshooting-active-directory-8)
+ [ユーザーに「証明書ベースの認証が利用できません」というエラーが表示され、ドメインパスワードの入力を求められる。または、証明書ベースの認証が有効になっているセッションを開始すると、「セッションから切断されました」というエラーが表示される](#troubleshooting-active-directory-9)
+ [Active Directory (AD) サービスアカウントを変更した後、ドメイン結合が失敗しています。](#troubleshooting-active-directory-10)
## Image Builder とフリートインスタンスが「PENDING」状態でスタックする
Image Builder およびフリートインスタンスは、準備完了状態に移行して使用できるようになるまで、最長で 25 分かかることがあります。インスタンスが使用できるようになるまでに 25 分以上かかっている場合は、Active Directory において、新しいコンピュータオブジェクトが適切な組織単位 (OU) で作成されているかどうかを確認します。新しいオブジェクトがある場合は、ストリーミングインスタンスは間もなく利用可能になります。オブジェクトがない場合は、WorkSpaces Applications Directory Config: Directory 名 (ディレクトリの完全修飾ドメイン名、サービスアカウントのサインイン認証情報、および OU 識別名。
Image Builder とフリートエラーは、フリートまたは Image Builder **の通知**タブの WorkSpaces アプリケーションコンソールに表示されます。フリートエラーは、DescribeFleets オペレーションまたは CLI コマンド describe-fleets を介して WorkSpaces Applications API を使用しても使用できます。 [DescribeFleets](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_DescribeFleets.html) [https://docs.aws.amazon.com/cli/latest/reference/appstream/describe-fleets.html](https://docs.aws.amazon.com/cli/latest/reference/appstream/describe-fleets.html)
## ユーザーが SAML アプリケーションを使用してログインできない
WorkSpaces Applications は、ID プロバイダーの SAML\$1Subject "NameID" 属性を使用して、ユーザーにログインするユーザー名フィールドに入力します。ユーザー名は「`domain\username`」、または「`user@domain.com`」形式のいずれかを使用できます。`domain\username` 形式を使用している場合、`domain` は NetBIOS 名または完全修飾ドメイン名を使用できます。「`user@domain.com`」形式を使用する場合、UserPrincipalName 属性を使用できます。SAML\$1Subject 属性が正しく設定されていることを確認しても問題が解決しない場合は、 AWS サポートにお問い合わせください。詳細については、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)を参照してください。
## フリートインスタンスが 1 人のユーザーに対しては機能するが、正しくサイクルしない
フリートインスタンスは、ユーザーがセッションを完了するとサイクルし、各ユーザーが新しいインスタンスを使用するようにします。サイクルされたフリートインスタンスは、オンラインになると、以前のインスタンスのコンピュータ名を使用してドメインに参加します。このオペレーションが正常に発生するには、コンピュータオブジェクトが参加する組織単位 (OU) に対する **Change Password** アクセス許可と **Reset Password** アクセス許可がサービスアカウントに必要です。サービスアカウントのアクセス権限を確認して、もう一度試してください。問題が解決しない場合は、 にお問い合わせください AWS サポート。詳細については、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)を参照してください。
## ユーザーのグループポリシーオブジェクトが正常に適用されていない
デフォルトでは、コンピュータオブジェクトは、そのコンピュータオブジェクトが存在する OU に基づいてコンピュータレベルポリシーを適用します。一方、ユーザーレベルポリシーはそのユーザーが存在する OU に基づいて適用されます。ユーザーレベルポリシーが適用されていない場合、以下のいずれかの処理を行うことができます。
+ ユーザーレベルのポリシーを、ユーザーの Active Directory オブジェクトが存在する OU に移動する
+ コンピュータレベルのループバック処理を有効にします。これにより、ユーザーレベルのポリシーがコンピュータオブジェクトの OU に適用されます。
詳細については、Microsoft サポートの [グループ ポリシーのループバック処理](https://support.microsoft.com/en-us/help/231287/loopback-processing-of-group-policy)を参照してください。
## WorkSpaces アプリケーションストリーミングインスタンスが Active Directory ドメインに参加していません。
WorkSpaces アプリケーションで使用する Active Directory ドメインは、ストリーミングインスタンスが起動される VPC を介して完全修飾ドメイン名 (FQDN) からアクセス可能である必要があります。
**ドメインにアクセスできることをテストするには**
1. WorkSpaces アプリケーションで使用するのと同じ VPC、サブネット、セキュリティグループで Amazon EC2 インスタンスを起動します。
1. WorkSpaces アプリケーションで使用する予定のサービスアカウントで FQDN ( など`yourdomain.example.com`) を使用して、EC2 インスタンスを Active Directory ドメインに手動で結合します。次のコマンドを Windows PowerShell コンソールで実行します。
```
netdom join computer /domain:FQDN /OU:path /ud:user /pd:password
```
この手動による参加が失敗した場合は、次のステップに進みます。
1. 手動でドメインに結合できない場合は、コマンドプロンプトを開いて、`nslookup` コマンドを使用して FQDN を解決できることを確認します。例:
```
nslookup yourdomain.exampleco.com
```
名前解決が成功すると、有効な IP アドレスが返されます。FQDN を解決できない場合は、必要に応じてドメインの DHCP オプションセットを使用して VPC DNS サーバーを更新します。その後、このステップに戻ります。詳細については、*Amazon VPC ユーザーガイド* の [DHCP Options Sets](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) を参照してください。
1. FQDN が解決した場合は、`telnet` コマンドを使用して接続を検証します。
```
telnet yourdomain.exampleco.com 389
```
接続が成功した場合は、接続エラーがない空のコマンドプロンプトウィンドウが表示されます。必要に応じて EC2 インスタンスに Telnet クライアント機能をインストールします。詳細については、Microsoft ドキュメントの「[Install Telnet Client](https://technet.microsoft.com/en-us/library/cc771275.aspx)」を参照してください。
EC2 インスタンスを手動でドメインに参加させることに失敗したが、FQDN の解決と Telnet クライアントとの接続テストに成功した場合は、VPC セキュリティグループがアクセスをブロックしている可能性があります。Active Directory では特定のネットワークポート設定が必要です。詳細については、Microsoft ドキュメントの [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx) を参照してください。
## ドメインに参加しているストリーミングセッションでユーザーログインが完了するまで時間がかかる
WorkSpaces Applications は、ユーザーがドメインパスワードを入力した後に Windows ログインアクションを実行します。認証が成功すると、WorkSpaces アプリケーションはアプリケーションを起動します。ログインと起動時間は、ドメインコントローラーへのネットワークの競合やグループポリシー設定をストリーミングインスタンスに適用するためにかかる時間など、多くの変動要素の影響を受けます。ドメイン認証の完了に時間がかかり過ぎる場合、次のアクションを実行してください。
+ 適切なドメインコントローラーを選択して、WorkSpaces アプリケーションリージョンからドメインコントローラーへのネットワークレイテンシーを最小限に抑えます。たとえば、フリートが `us-east-1` にある場合は、[Active Directory サイトとサービス] ゾーンマッピングを使用して `us-east-1` への帯域幅が広くレイテンシーが低いドメインコントローラーを使用します。詳細については、Microsoft ドキュメントの「[Active Directory サイトとサービス](https://technet.microsoft.com/en-us/library/cc730868.aspx)」を参照してください。
+ グループポリシー設定とユーザーログインスクリプトの適用や実行に著しく時間がかかっていないことを確認します。
ドメインユーザーの WorkSpaces アプリケーションへのログインが「不明なエラーが発生しました」というメッセージで失敗した場合、「」で説明されているグループポリシー設定を更新する必要がある場合があります[Amazon WorkSpaces アプリケーションで Active Directory の使用を開始する前に](active-directory-prerequisites.md)。これらの設定を行わないと、WorkSpaces アプリケーションがドメインユーザーを認証してログ記録できなくなる可能性があります。
## ユーザーは、ドメイン参加済みのストリーミングセッションではドメインリソースにアクセスできないが、ドメイン参加済みの Image Builder からはリソースにアクセスできる
Image Builder と同じ VPC、サブネット、およびセキュリティグループでフリートが作成されていること、およびドメインリソースにアクセスして使用するためのアクセス許可をユーザーに付与していることを確認します。
## ユーザーに「証明書ベースの認証が利用できません」というエラーが表示され、ドメインパスワードの入力を求められる。または、証明書ベースの認証が有効になっているセッションを開始すると、「セッションから切断されました」というエラーが表示される
これらのエラーは、証明書ベースの認証がセッションで失敗した場合に発生します。証明書ベースの認証を有効にしてパスワードによるログオンにフォールバックできるようにすると、「証明書ベースの認証は利用できません」というエラーが表示されます。証明書ベースの認証がフォールバックなしで有効になっている場合、「セッションから切断されました」というエラーが表示さます。
ユーザーは、ウェブクライアントでページを更新するか、Windows 用クライアントから再接続できます。これは、証明書ベースの認証では断続的に発生する問題である可能性があるためです。問題が続く場合は、以下のいずれかの問題が原因で証明書ベースの認証が失敗する可能性があります。
+ WorkSpaces アプリケーションが AWS プライベート CA と通信できなかったか、プライベート CA AWS が証明書を発行しませんでした。CloudTrail をチェックして、証明書が発行されたかどうかを確認します。詳細については、[「 とは AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html.html)」および「」を参照してください[証明書ベースの認証の管理](certificate-based-authentication-manage.md)。
+ ドメインコントローラには、スマートカードログオン用のドメインコントローラー証明書がないか、有効期限が切れている。詳細については、「[前提条件](certificate-based-authentication-prereq.md)」のステップ 7。a を参照してください。
+ 証明書が信頼されていない。詳細については、「[前提条件](certificate-based-authentication-prereq.md)」のステップ 7。c を参照してください。
+ SAML\$1Subject NameID の userPrincipalName 形式が正しくフォーマットされていないか、ユーザーの実際のドメインに解決しない。詳細については、「[前提条件](certificate-based-authentication-prereq.md)」のステップ 1 を参照してください。
+ SAML アサーションの (オプションの) ObjectSid 属性が、SAML\$1Subject NameID で指定されたユーザーの Active Directory セキュリティ識別子 (SID) と一致しない。SAML フェデレーションの属性マッピングが正しいこと、および SAML ID プロバイダーが Active Directory ユーザーの SID 属性を同期していることを確認します。
+ WorkSpaces Applications エージェントは証明書ベースの認証をサポートしていません。WorkSpaces Applications エージェントバージョン 10-13-2022 以降を使用します。
+ スマートカードログオンのデフォルトの Active Directory 設定を変更したり、スマートカードがスマートカードリーダーから取り出された場合にアクションを実行したりするグループポリシー設定があります。これらの設定により、上記のエラー以外にも予期しない動作が発生する可能性があります。証明書ベースの認証では、インスタンスのオペレーティングシステムに仮想スマートカードが提示され、ログオンが完了すると削除されます。詳細については、「[スマートカードのプライマリグループポリシー設定](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#primary-group-policy-settings-for-smart-cards)」および「[その他のスマートカードのグループポリシー設定とレジストリキー](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#additional-smart-card-group-policy-settings-and-registry-keys)」を参照してください。証明書ベースの認証を使用する場合は、スタック内で **Active Directory のスマートカードサインイン**を有効にしないでください。詳細については、「[スマートカード](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards)」を参照してください。
+ プライベート CA の CRL ディストリビューションポイントがオンラインではないか、WorkSpaces アプリケーションフリートインスタンスまたはドメインコントローラーからアクセスできません。詳細については、「[前提条件](certificate-based-authentication-prereq.md)」のステップ 5 を参照してください。
追加のトラブルシューティング手順には、WorkSpaces アプリケーションインスタンスの Windows イベントログの確認が含まれます。ログオンに失敗したかどうかを確認する一般的なイベントとして、「[4625(F): アカウントがログオンできませんでした](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625)」があります。ログ情報の取得の詳細については、「[アプリケーションログと Windows イベントログの永続化](https://docs.aws.amazon.com/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/monitoring.html#persisting-application-and-windows-event-logs)」を参照してください。または、アクティブな WorkSpaces アプリケーションセッションを管理者としてトラブルシューティングするには、別のコンピュータのイベントビューワーを使用してログに接続できます。詳細については、「[イベントビューアーでコンピューターを選択する方法」](https://learn.microsoft.com/en-us/host-integration-server/core/how-to-select-computers-in-event-viewer1) を参照してください。または、リモートデスクトップを使用して、WorkSpaces Applicationsvirtual private cloud (VPC) のリモートデスクトップサービスに接続できる別のコンピュータからインスタンスのプライベート IP アドレスに接続できます。 AWS CLI を使用して、 AWS リージョン、WorkSpaces アプリケーションスタック名、フリート名、ユーザー ID、認証タイプに基づいてセッションの IP アドレスを決定します。詳細については、「」を参照してください[AWS Command Line Interface。](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/appstream/index.html#cli-aws-appstream)
問題が解決しない場合は、 にお問い合わせください AWS サポート。詳細については、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)を参照してください。
## Active Directory (AD) サービスアカウントを変更した後、ドメイン結合が失敗しています。
2024 年 8 月の「[Microsoft Windows Server オペレーティングシステムの更新](https://learn.microsoft.com/en-us/windows-server/get-started/windows-server-release-info)」に基づくイメージを持つ既存のフリートがあり、そのフリートの Active Directory (AD) サービスアカウントを変更すると、フリートインスタンスがプロビジョニング中にドメイン結合に失敗する可能性があります。
Microsoft は、ドメイン結合オペレーションの動作を変更するパッチ [KB5020276](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8) をリリースしました。WorkSpaces Applications は、ストリーミングインスタンスを AD ドメインに結合するときに、既存のコンピュータオブジェクトを再利用します。このコンピュータオブジェクトは、WorkSpaces アプリケーションでフリートまたは Directory Config を作成するときに指定する AD サービスアカウントを使用して生成されます。この Microsoft パッチ以前は、新しい AD サービスアカウントは、組織単位 (OU) で「コンピュータオブジェクトの作成」アクセス許可が設定されている限り、WorkSpaces アプリケーションによって作成された既存のコンピュータオブジェクトを再利用できます。
Microsoft パッチが 2024 年 8 月 13 日から適用され、既存の WorkSpaces アプリケーションフリートの AD サービスアカウントを変更すると、新しいサービスアカウントは AD 内の既存のコンピュータオブジェクトを再利用できなくなります。これにより、WorkSpaces アプリケーションフリートでドメイン結合が失敗し、フリート通知に次のいずれかのエラーメッセージが表示されます。
+ DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR 「グループ名が見つかりませんでした。」
+ 同じ名前のアカウントが Active Directory に存在します。アカウントの再利用がセキュリティポリシーによってブロックされました
既存のコンピュータオブジェクトを再利用できるアカウントを制御するために、Microsoft は**ドメインコントローラー: ドメイン結合中のコンピュータアカウントの再利用を許可する**という新しいグループポリシー設定を実装しました。この設定では、ドメイン結合オペレーション中にチェックをバイパスする信頼されたサービスアカウントのリストを指定できます。セルフマネージド AD 設定では、ドメインコントローラーのグループポリシーを使用して、[Microsoft が文書化した手順](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action)に従って、AD サービスアカウントを新しい許可リストポリシーに追加することをお勧めします。
Managed Active Directory (MAD) の場合、WorkSpaces Applications ドメイン参加サービスアカウントを変更した後、WorkSpaces Applications フリートを再起動する必要があります。
問題が解決しない場合は、 にお問い合わせください AWS サポート。詳細については、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)を参照してください。