自動化ランブック AWS-UpdateWindowsAMI またはドキュメント AWSEC2-RunSysprep を実行しようとすると、AWS Systems Manager で次のエラーが表示されます。「Sysprep がエラーにより失敗しました: LogonUser がエラーコード: 1385 で失敗しました」 この解決方法を教えてください。
簡単な説明
必要な管理者権限なしで AWS-UpdateWindowsAMI Automation ランブックまたは AWSEC2-RunSysprep ドキュメントを実行しようとすると、失敗します。また、この失敗を説明するエラーメッセージが少なくとも 1 つ表示されます。
Systems Manager Automation (SSM Automation) の出力で、次のエラーが表示されます。
Sysprep failed with error: LogonUser failed with error code : 1385
Systems Manager Agent (SSM Agent) ログに、次のエラーが表示されます。
"RunSysprep": {
"status": "Failed",
"code": 4294967295
"output": Start of Start-AwsUwiSysprep\r\n Sysprep failed with error: LogonUser failed with error code : 1385\r\n\n----------ERROR-------\nfailed to run commands: exit status 4294967295",
"standardError": " failed to run commands: exit status 4294967295"
}
AWS-UpdateWindowsAMI または AWSEC2-RunSysprep に表示されるコマンド ID の出力で、次のエラーが表示されます。
Info | Start of Start-AwsUwiSysprep
Info | Starting EC2Launch method of sysprep.
Error | Sysprep failed with error: LogonUser failed with error code : 1385
この問題は、管理者がグループポリシー設定 LogOnAsABatchJob に追加されていない場合に発生します。この場合、管理者は SSM ドキュメントが実行されるユーザーです。
ポリシー設定を変更してこの問題を解決するには、次の手順に従います。
解決方法
インスタンスがローカルワークグループの一部である場合:
- AWS Systems Manager の機能である、リモートデスクトップまたはフリートマネージャーを使用して Windows インスタンスに接続します。
注: 管理者権限を持つアカウントでログインします。
- コマンドプロンプトウィンドウを実行します。
- gpedit.msc と入力して、[ローカルグループポリシーエディター] ウィンドウを開きます。
- ローカルコンピューターポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\ローカルポリシー\ユーザー権利の割り当てに移動します。
- [LogOnAsABatchJob] を選択し、[ユーザーまたはグループの追加] ボタンを選択します。
- テキストボックスに管理者と入力し、[名前の確認] を選択してこのロールを検索します。
- ログオン名として管理者のロールを強調表示し、[OK] を選択します。
- コマンドプロンプトウィンドウで、次のように入力します。
gpupdate /force /target:computer
このコマンドは、グループポリシーオブジェクト (GPO) の設定が更新された直後にグループポリシーを再適用します。
Systems Manager コンソールで、Systems Manager の Runbook またはドキュメント AWS-UpdateWindowsAMI または AWSEC2-RunSysprep を実行します。
インスタンスがドメインの一部である場合:
- エラーが発生したドメインに参加している任意のインスタンスにログインします。リモートデスクトップまたはフリートマネージャーを使用してログインします。
注: ドメイン管理者グループのメンバーであるユーザーとしてログインします。
- コマンドプロンプトウィンドウを開きます。
- gpedit.msc と入力して、[ローカルグループポリシーエディター] ウィンドウを開きます。
- ローカルコンピューターポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\ローカルポリシー\ユーザー権利の割り当てに移動します。
- [LogOnAsABatchJob] を選択し、[ユーザーまたはグループの追加] ボタンを選択します。
- テキストボックスに管理者と入力し、[名前の確認] を選択してこのロールを検索します。
- ログオン名として管理者のロールを強調表示し、[OK] を選択します。
- コマンドプロンプトウィンドウで、次のように入力します。
gpupdate /force /target:computer
このコマンドは、GPO 設定領域が更新された直後にグループポリシーを再適用します。
- Systems Manager コンソールで、Systems Manager の Runbook またはドキュメント AWS-UpdateWindowsAMI または AWSEC2-RunSysprep を実行します。
関連情報
AWS-UpdateWindowsAmi
EC2 Image Builder の管理ポリシーを使用する
バッチジョブとしてログオン