現象

AWS環境でWindows Server2019サーバに必要なソフトをインストールしてAMIを作成します。このAMIを使って新規EC2を起動して、ADに参加しようとすると、SIDの重複エラーが出ます。

【エラー内容】
参加しようとしているドメインのSIDがこのコンピューターのSIDと同一であるため、ドメイン参加を完了できません。これは、複製されたオペレーティングシステムのインストールが適切でないことを示しています。新しいコンピューターSIDを生成するには、このコンピューターでsysprepを実行してください。詳細については、http://go.microsoft.com/fwlink/?LinkId=168895
を参照してください。

原因

Linuxの場合、AMIで複数のEC2を起動しても、問題は無いですが、Windowsの場合、同じAMIで複数のEC2を起動して、AD参加やWindowUpdateをする場合はSIDの重複問題が発生します。理由はWindowsの仕様で一意のSIDが求められます。

SID(セキュリティ識別子)とは?

【Microsoft公式より抜粋】
セキュリティ識別子 (SID) を使用して、セキュリティ プリンシパルまたはセキュリティ グループを一意に識別します。 セキュリティ プリンシパルは、ユーザー アカウント、コンピューター アカウント、ユーザーまたはコンピューター アカウントのセキュリティ コンテキストで実行されるスレッドまたはプロセスなど、オペレーティング システムによって認証できる任意のエンティティを表します。

各アカウントまたはグループ、またはアカウントのセキュリティ コンテキストで実行されているプロセスには、Windows ドメイン コントローラーなどの機関によって発行される一意の SID があります。 これは、セキュリティ データベースに格納されます。 システムは、アカウントまたはグループの作成時に特定のアカウントまたはグループを識別する SID を生成します。 SID がユーザーまたはグループの一意の識別子として使用されている場合、別のユーザーまたはグループを識別するために SID を再び使用できません。

解決方法

EC2Launch で Sysprep を実行して、再度AMIを作成すると、解決します。
1、スタートメニューを起動し、「Ec2LaunchSettings」をクリックする

2、「Random 」を選択し、「Shutdown with Sysprep」をクリックする。

3、「Yes」をクリックします。

4、数分間待ちます。Sysprepが実行されると、EC2が「停止済み」になります。

5、「停止済み」になっていることを確認する

6、AMIを作成します。(AMIの作成手順を割愛します)

参考

https://aws.amazon.com/jp/premiumsupport/knowledge-center/sysprep-create-install-ec2-windows-amis/

https://docs.microsoft.com/ja-jp/windows/security/identity-protection/access-control/security-identifiers

Last modified: 2021-11-24

Author