WorkSpaces パーソナルで Workspace を作成できないのはなぜですか?

所要時間2分

Amazon WorkSpaces パーソナル Workspace を作成しようとしましたが、失敗しました。

解決策

IAM ポリシーが存在しないか、有効ではありません

デフォルトでは、AWS Identity and Access Management (IAM) ID には WorkSpaces のリソースとオペレーションに対するアクセス許可がありません。WorkSpaces リソースにアクセス許可を付与するには、ユーザーまたはグループにアクセス権限を明示的に付与する IAM ポリシーを作成します。次に、そのアクセス許可を必要とする IAM ユーザーまたはグループにポリシーを付与します。

詳細については、WorkSpaces の ID とアクセス管理を参照してください。

WorkSpaces にはアクセス許可を必要とする暗号化されたボリュームがあります

AWS Key Management Service (AWS KM) キーを使用して WorkSpace のストレージボリュームを暗号化できます。WorkSpace の作成に失敗した場合、必要な AWS KMS アクセス許可がない可能性があります。

IAM ロールに必要な AWS KMS アクセス許可があり、AWS KMS キーを使用して WorkSpaces を暗号化するための前提条件を満たしていることを確認します。詳細については、「WorkSpaces パーソナルでの暗号化された WorkSpaces」を参照してください。

WorkSpaces のクォータに達しました

AWS アカウントの特定の AWS リージョンに WorkSpaces を作成するための WorkSpaces クォータに達した可能性があります。

ウイルス対策ソフトウェアが原因で障害が発生している

カスタムイメージから WorkSpace を作成するした場合は、ウイルス対策ソフトウェアによって障害が発生する可能性があります。ウイルス対策ソフトウェアを無効化またはアンインストールします。次に、新しいパーソナル WorkSpace を作成してみてください。

AD Connector サービスアカウントのパスワードが正しくありません

AWS Directory Service に AD Connector を使用する場合は、AD Connector のパスワードをリセットします。AD Connector のパスワードをリセットしたら、ディレクトリサービスでAD Connectorサービスアカウントの認証情報を更新します。次に、新しいパーソナル WorkSpace を作成してみてください。

AD Connector に正しくない DNS IP アドレスが設定されている

Active Directory DNS IP アドレスが変更された場合は、AD Connector の DNS アドレスを更新します。DNS アドレスを更新したら、新しいパーソナル WorkSpace を作成してみてください。

AD Connector セキュリティグループが削除または変更されます

WorkSpaces のディレクトリを作成して登録すると、2 つのセキュリティグループが作成されます。セキュリティグループ名は、directoryID_workspacesMembers と directoryID_controllersです。「"directoryID」はディレクトリの ID を表します。

いずれかのセキュリティグループ名を変更すると、新しい WorkSpace を作成するときに WorkSpace がディレクトリと通信できなくなる可能性があります。この通信エラーは、ドメイン結合の失敗などの問題を引き起こす可能性があります。

この問題を解決するには、セキュリティグループを更新して、必要なポートのオンプレミスドメインコントローラーからのインバウンドトラフィックを許可するようにします。詳細については、Microsoft のウェブサイトの「Active Directory および Active Directory ドメインサービスのポート要件」を参照してください。

ユーザープロファイルはすでに C:\ ドライブに存在します

次の条件に当てはまる場合、Workspace の作成は失敗します。

ユーザーのプロファイルはすでに C:\ Users ディレクトリに存在します。
ユーザーの WorkSpace へのリモートデスクトッププロトコル (RDP) セッションを起動し、その WorkSpace からカスタムイメージを作成します。

たとえば、** user1から WorkSpace への RDP セッションを起動します。次に、この WorkSpace を使用してカスタムイメージを作成し、そのイメージに Image\ _1**という名前を付けます。Image_1 を作成した Workspace C:\Users ディレクトリに user1 のユーザープロファイルがすでに存在するため、Image_1からの WorkSpace の作成は失敗します。

この問題を解決するには、次の手順を実行して C:\Usersにある追加のユーザープロファイルを削除します。

**注:**レジストリ内の追加ユーザーのセキュリティ識別子とキーも必ず削除してください。

カスタムバンドルのイメージの作成に使用された WorkSpace にアクセスします。
注: この WorkSpace がもう存在しない場合は、カスタムバンドルから正常に起動した WorkSpace にアクセスします。
スタートメニューを開き、Windows システムを展開します。
この PC のコンテキスト (右クリック) メニューを開き、プロパティを選択します
ナビゲーションペインでシステムの詳細設定を選択します。
詳細設定タブのユーザープロファイルで、設定を選択します。
ユーザープロファイルを選択し、削除を選択します。
**重要:**ドメイン (domain\UserName) に属するユーザーのみを削除します。
C:\Users フォルダーに移動して、ユーザーフォルダーが削除されていることを確認します。管理者フォルダーとパブリックフォルダーは保持してください。
注:C:\ ドライブはデフォルトで非表示になっています。ファイルエクスプローラーを開き、アドレスバーに C:\ と入力してフォルダーを表示します。
ユーザーのセキュリティ識別子 (SID) がレジストリから削除されていることを確認します。スタートメニューを開き、cmd と入力してコマンドプロンプトを開きます。

次のコマンドを実行します。

wmic useraccount get name,sid

削除されたユーザーの SID を書き留めておきます。
スタートメニューを開き、regedit と入力してレジストリエディターを開きます。
次のレジストリの場所で SID を探します: HKLM:\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\
削除されたユーザーの SID を含むキーが表示されない場合は、それ以上の操作は必要ありません。SID のキーが見つかったら、次の手順に進みます。
キーを削除し、次のレジストリの場所で SID を探します: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileGuid\
削除されたユーザーの SID を含むキーが表示されない場合は、それ以上の操作は必要ありません。SID のキーが見つかった場合は、そのキーを削除します。
すべてのユーザープロファイルが削除されたことを確認するには、イメージチェッカーを実行します。

これで、削除したユーザー用に正常に起動するカスタムバンドル用にこの WorkSpace のイメージを作成できます。

ドメイン結合エラーがあります

ディレクトリまたは AD Connector を作成すると、可用性を高めるために 2 つのサブネットが選択されます。VPN の問題や、必要なポートをブロックしているファイアウォールが原因で、ディレクトリと WorkSpaces サブネット間の通信が失敗する可能性があります。ドメイン結合エラーのトラブルシューティングについては、「ドメインに参加できない WorkSpace をトラブルシューティングするにはどうすればよいですか?」を参照してください。

間違ったバンドルまたはディレクトリを選択しました

WorkSpaces Personal で Amazon WorkSpaces Bring Your Own License (BYOL) を起動する場合、カスタムバンドルを選択する必要があります。また、WorkSpaces 専用のディレクトリを登録する必要があります。

ディレクトリをすでに登録している場合は、Microsoft Active Directory または AD Connector ディレクトリ用の新しい AWS Directory Service を設定できます。ディレクトリを登録解除して、専用の WorkSpaces に再登録することもできます。詳細については、「Register an existing AWS Directory Service directory with WorkSpaces Personal」を参照してください。