Amazon WorkSpaces를 기존 보유 Windows 라이선스로 배포할 때 흔히 발생될 수 있는 오류와 해결 방안

5 minutos de lectura
Nivel de contenido: Avanzado
3

Amazon WorkSpaces를 기존 보유 Windows 라이선스(Bring Your Own Licenses, BYOL)와 함께 배포할 때 구성 과정에서 흔히 발생될 수 있는 오류 및 이에 대한 해결 방안에 대한 가이드입니다.

개요

Amazon WorkSpaces는 지원되는 모든 디바이스에서 사용자에게 액세스를 제공할 수 있는 클라우드 기반 완전 관리형 데스크톱 가상화 서비스입니다.
만약 보유하고 계신 Microsoft와 체결한 라이선스 계약에서 허용하는 경우, 기존에 보유하고 있는 Windows OS 라이선스를 이용하여 Amazon WorkSpaces에 Windows 10 또는 Windows 11 데스크톱을 배포할 수도 있습니다. 이렇게 기존 보유 라이선스를 사용하면 사용자에게 일관된 환경을 제공할 수 있는 장점이 있습니다.

AWS는 Microsoft 라이선스 약관을 준수하기 위해, BYOL WorkSpaces를 사용하는 고객에게 AWS 클라우드내의 전용 하드웨어를 할당하고 이 전용 하드웨어에서 BYOL WorkSpaces를 실행합니다.

기존 보유 Windows 라이선스를 사용하여 Amazon WorkSpaces를 배포하는 과정은 다음과 같은 9단계로 이루어집니다.

● 단계1: Amazon WorkSpaces 콘솔을 사용하여 AWS 계정의 BYOL 적격성 확인
● 단계2: Amazon WorkSpaces 콘솔을 사용하여 AWS 계정에 BYOL을 활성화
● 단계3: 윈도우 VM에서 BYOL 검사기 PowerShell 스크립트 실행
● 단계4: 가상화 환경에서 VM 내보내기
● 단계5: 가상 머신을 이미지로 Amazon EC2에 가져오기
● 단계6: WorkSpaces 콘솔을 사용하여 BYOL 이미지 생성
● 단계7: BYOL 이미지에서 사용자 번들 만들기
● 단계8: WorkSpaces 전용 디렉터리 등록
● 단계9: BYOL WorkSpaces 실행

각 단계별 자세한 내용은 다음 문서 링크를 통해 확인하실 수 있습니다.
https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html

 

본 가이드는 이러한 기존 보유 Windows 라이선스를 사용하여 Amazon WorkSpaces를 배포하는 과정에서 흔히 발생될 수 있는 오류 및 해결 방법에 대한 가이드를 제공합니다.

 

오류 발생 시나리오 1

발생 오류:
'단계6: WorkSpaces 콘솔을 사용하여 BYOL 이미지 생성' 과정에서 다음과 같이 액세스 거부됨 오류가 발생되는 경우.

errorCode : AccessDenied
errorMessage : You do not have the Permissions required to Perform this action. Refer to https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html 

 

해결 방법:
Amazon WorkSpaces를 위한 BYOL 이미지를 생성하려면 다음 API를 호출할 수 있는 IAM 권한이 있어야 합니다. 만약 이들 API를 호출할 수 있는 IAM 권한이 없다면, 액세스 거부됨 오류가 발생됩니다.

●"workspaces:ImportWorkspaceImage"
●"ec2:DescribeImages"
●"ec2:ModifyImageAttribute"

따라서 BYOL 이미지 생성 작업을 진행하는 사용자에게 이러한 IAM 권한이 부여되었는지 확인이 필요합니다. 참고로, BYOL WorkSpaces에 대한 모든 작업을 수행할 수 있도록 하는 필요한 IAM 권한은 다음 문서 링크의 예제 1번을 통해 확인하실 수 있습니다.
https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies

 

오류 발생 시나리오 2

발생 오류:
'단계6: WorkSpaces 콘솔을 사용하여 BYOL 이미지 생성' 과정이 실패되고 다음과 같은 메시지와 함께 해당 상태가 '오류'로 표시되는 경우

status : Error
errorMessage : There was an issue importing your image. Try importing the image again. If the issue persists, contact AWS Support(https://aws.amazon.com/contact-us)

여기에 이미지 설명 입력

 

해결 방법:
이 오류는 BYOL 이미지 생성을 위해 앞선 단계5에서 가져온 가상 머신에 설정된 Windows 방화벽 활성화/제한 규칙, Windows 업데이트 누락등 다양한 원인에 의해 발생될 수 있습니다. 따라서, 가져온 가상 머신의 이미지가 BYOL WorkSpaces 이미지 생성 요구 사항에 부합되는지 확인이 필요합니다. 이를 위해 단계3에서 BYOL 검사기 Powershell 스크립트 수행 결과, 모든 항목이 통과된 Windows 가상 머신으로 부터 BYOL 이미지 생성이 시도되어야 합니다.

추가로 단계6 진행 중 BYOL 이미지 생성 과정에서 Sysprep이 진행되는데 이 과정에서 오류가 발생되면 이로 인해 BYOL 이미지 생성 과정이 실패될 수 있습니다. 흔하게 발생되는 사례로, BYOL WorkSpaces 이미지 생성에 사용되는 Windows 가상 머신에 설치된 AppX 패키지가 모든 사용자에 대해 설치되지 않고 특정 사용자에게만 설치되는 경우에 Sysprep 과정에서 오류가 발생되고 이로 인해 BYOL 이미지 생성 실패를 유발합니다. 이 경우 해결 방법에 대해 다음 문서 링크의 3번 시나리오에서 자세히 설명하고 있습니다. 이를 참고하여 문제가 되는 AppX 패키지를 Windows 가상 머신에서 제거 후 다시 BYOL 이미지 생성을 시도해 볼 필요가 있습니다.
https://learn.microsoft.com/en-us/troubleshoot/windows-client/deployment/sysprep-fails-remove-or-update-store-apps#resolution

 

오류 발생 시나리오 3

발생 오류:
'단계9: BYOL WorkSpaces 실행' 과정에서 다음과 같은 오류와 함께 BYOL WorkSpaces 생성이 실패되는 경우

errorCode : ResourceNotFound.Bundle
errorMessage : The Bundle cannot be used with the current Directory configuration

여기에 이미지 설명 입력

 

해결 방법:
이 오류는 앞선 단계8 에서 BYOL WorkSpaces를 위한 별도의 전용 디렉토리를 등록하지 않은 경우에 발생될 수 있습니다. 만약 기존에 Amazon WorkSpaces를 사용하고 있고, 이를 위한 디렉토리가 이미 등록되어 있다고 하더라도 BYOL WorkSpaces를 위한 별도의 디렉토리 등록이 필요합니다.

Amazon WorkSpaces는 디렉토리를 사용하여 WorkSpaces 및 사용자에 대한 정보를 저장하고 관리하며 다음 디렉토리들 중 하나를 선택하여 사용할 수 있습니다.

● AD Connector
● AWS Managed Microsoft AD
● Simple AD

각 디렉토리의 생성 방법 사용 방법에 대해서는 하기 문서 링크를 참고해 주세요.
https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html

따라서 별도의 신규 디렉토리를 생성하여 BYOL WorkSpaces 사용을 위해 등록하거나, 기존에 Amazon WorkSpaces 사용을 위해 등록된 디렉토리의 등록을 취소하고 BYOL WorkSpaces 사용을 위해 재 등록할 필요가 있습니다.
BYOL WorkSpaces 사용을 위한 디렉토리 등록 방법은 하기 문서 링크에서 확인하실 수 있습니다.
https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html#windows_images_dedicate_directory_for_byol

 

오류 발생 시나리오 4

발생 오류:
'단계9: BYOL WorkSpaces 실행' 과정에서 생성된 WorkSpaces가 다음 오류와 같이 도메인 가입에 실패되는 경우

errorMessage : There was an issue joining the WorkSpace to your domain. Verify that your service account is allowed to complete domain join operations.

 

해결 방법:
BYOL WorkSpaces가 생성되고 디렉토리에 연결할 때, 디렉토리의 도메인 컨트롤러에 대한 이름 풀이가 되지 않으면 이러한 오류가 발생될 수 있습니다.
이 경우, BYOL WorkSpaces를 배포하는 서브넷 각각에 Amazon EC2 Windows 인스턴스를 배포하고 도메인 가입을 시도하여 정상적인 도메인 가입 및 도메인 컨트롤러와의 연결성을 확인해 볼 필요가 있습니다.

또한 BYOL WorkSpaces 사용을 위해 등록된 디렉토리와 함께 생성 또는 설정된 관리 계정과 서비스 계정의 권한을 확인해 볼 필요가 있습니다. 이와 관련하여 디렉토리 관리 계정 또는 서비스 계정에 필요한 권한은 다음 문서 링크를 통해 확인할 수 있습니다.
● Admin account for AWS Managed Microsoft AD - https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_admin_account.html
● Service account for AD Connector - https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html

추가로, BYOL WorkSpaces 가 도메인에 가입하는 과정에서 컴퓨터 개체는 디렉토리에 설정된 기본 OU(Organization Unit)에 생성되는데, 이 OU에 대한 권한 이슈로 컴퓨터 개체 생성에 실패되어 도메인 가입이 되지 않을 수 있습니다. 다음 문서 링크의 안내에 따라 디렉토리에 설정된 기본 OU를 다른 위치로 변경하고 BYOL WorkSpaces 생성을 다시 시도해 볼 필요도 있습니다.
https://docs.aws.amazon.com/workspaces/latest/adminguide/update-directory-details.html#select-ou

 

마무리

이 문서는 Amazon WorkSpaces를 기존 보유 Windows 라이선스(Bring Your Own Licenses, BYOL)와 함께 사용할 때 구성 과정에서 흔히 발생될 수 있는 오류 및 이에 대한 해결 방안에 대한 가이드입니다. 흔히 발생되는 오류의 시나리오와 그 해결 방안을 제시하여 Amazon WorkSpaces를 BYOL과 함께 사용하는 고객들에게 배포 과정의 이슈를 스스로 해결하고 오류를 줄이는데 도움이 될 수 있습니다.

profile pictureAWS
INGENIERO DE SOPORTE
publicado hace 7 meses257 visualizaciones