LoginSignup
13
3

More than 5 years have passed since last update.

@kwsmkn(Kn Kwsm)

AWS Directory Serviceを使ってAmazon WorkSpacesを使用する際にハマったこと

Posted at

※こちらの情報は2018/06/14時点の情報です

AWS Directory Service経由でADに参加させたAmazon WorkSpacesを使いたいと思って構築をやった際に、
ドハマリした内容をメモとして残しておきます。

結論から言いますと、
「ドキュメントには書いていないけれど、Workspaces用のディレクトリが作成できないAZがある!!」
です。

今回は、EC2上にADを構築して、そのADとAD Connectorを使用して作成したディレクトリを使用してWorkspacesを構築する
という要件だったのですが、これが一筋縄でいかずに結果的に3リージョンでの検証となりました...

構成は以下のような感じ。

  • リージョン
    東京(ap-northeast-1)
    London(eu-west-2)
    Ireland(eu-west-1)

  • VPC
    10.0.0.0/16

    • subnet1
      10.0.1.0/24
    • subnet2
      10.0.2.0/24
    • subnet3
      10.0.3.0/24

  • Security Group
    以下ポートを許可

    • TCP/UDP 53 - DNS
    • TCP/UDP 88 - Kerberos authentication
    • UDP 123 - NTP
    • TCP 135 - RPC
    • UDP 137-138 - Netlogon
    • TCP 139 - Netlogon
    • TCP/UDP 389 - LDAP
    • TCP/UDP 445 - SMB
    • TCP 1024-65535 - Dynamic ports for RPC

  • ドメインコントローラ兼DNSサーバ

    • OS
      Windows 2016 Base(日本語化済)
    • Active Directory
      XXXX-test.jp
    • IP
      10.0.3.134
    • connect用ユーザアカウント/パスワード
      ad-test/XXXXXXXX

Directory ServiceでDirectory作成を行うところまでは全く問題なく進むのですが、Worksspaces側のディレクトリ登録を実施すると
以下のメッセージが表示されて登録されない状況に。

"Unsupported Subnet
The selected directory was created in a subnet that is not supported by the WorkSpaces service, and cannot be registered. Please try with a different directory or contact the AWS Support Team on the community forums and via AWS Premium Support."

"サポートされていないサブネット
選択したディレクトリは、WorkSpacesサービスでサポートされていないサブネット内で作成されたため、登録できません。別のディレクトリで試してみるか、コミュニティフォーラムやAWSプレミアムサポートでAWSサポートチームにお問い合わせください。"

エラーメッセージが抽象的すぎて、どこから切り分けていけばよいかと途方に暮れながら、VPCの作り直しやSubnetの作り直しなどを
行っていったのですが、そこであることに気づきました。

「あれ?これってもしかしてSubnetがあるAZの組み合わせの問題なんじゃね?」

ということでパターンを作ってディレクトリ作成→登録を行ってみると、やっと見えてきました...
やっぱり 「特定のAZが含まれていると作成ができない」 ということが。

というわけで、現段階での検証結果はこんな感じになります。
追って追記していきたいと思います。

※tokyo リージョン
  AD Connectorで"ap-northeast-1d"に作ったsubnet上には、workspaces用のディレクトリは作成できない

  ap-northeast-1a, ap-northeast-1c → OK
  ap-northeast-1a, ap-northeast-1d → NG
  ap-northeast-1c, ap-northeast-1d → NG

※London リージョン
  AD Connectorで"eu-west-2c"に作ったsubnet上には、workspaces用のディレクトリは作成できない

  eu-west-2a, eu-west-2b →OK
  eu-west-2a, eu-west-2c →NG
  eu-west-2b, eu-west-2c →NG

※Ilerand リージョン
  すべてのAZで問題なし!

  eu-west-1a, eu-west-1b → OK
  eu-west-1a, eu-west-1c → OK
  eu-west-1b, eu-west-1c → OK

こちらの記事が少しでも皆さんのお役に立ちますように。

13
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
13
3