現象
AWS環境でWindows Server2019サーバに必要なソフトをインストールしてAMIを作成します。このAMIを使って新規EC2を起動して、ADに参加しようとすると、SIDの重複エラーが出ます。
【エラー内容】
参加しようとしているドメインのSIDがこのコンピューターのSIDと同一であるため、ドメイン参加を完了できません。これは、複製されたオペレーティングシステムのインストールが適切でないことを示しています。新しいコンピューターSIDを生成するには、このコンピューターでsysprepを実行してください。詳細については、http://go.microsoft.com/fwlink/?LinkId=168895
を参照してください。
原因
Linuxの場合、AMIで複数のEC2を起動しても、問題は無いですが、Windowsの場合、同じAMIで複数のEC2を起動して、AD参加やWindowUpdateをする場合はSIDの重複問題が発生します。理由はWindowsの仕様で一意のSIDが求められます。
SID(セキュリティ識別子)とは?
【Microsoft公式より抜粋】
セキュリティ識別子 (SID) を使用して、セキュリティ プリンシパルまたはセキュリティ グループを一意に識別します。 セキュリティ プリンシパルは、ユーザー アカウント、コンピューター アカウント、ユーザーまたはコンピューター アカウントのセキュリティ コンテキストで実行されるスレッドまたはプロセスなど、オペレーティング システムによって認証できる任意のエンティティを表します。
各アカウントまたはグループ、またはアカウントのセキュリティ コンテキストで実行されているプロセスには、Windows ドメイン コントローラーなどの機関によって発行される一意の SID があります。 これは、セキュリティ データベースに格納されます。 システムは、アカウントまたはグループの作成時に特定のアカウントまたはグループを識別する SID を生成します。 SID がユーザーまたはグループの一意の識別子として使用されている場合、別のユーザーまたはグループを識別するために SID を再び使用できません。
解決方法
EC2Launch で Sysprep を実行して、再度AMIを作成すると、解決します。
1、スタートメニューを起動し、「Ec2LaunchSettings」をクリックする
2、「Random 」を選択し、「Shutdown with Sysprep」をクリックする。
3、「Yes」をクリックします。
4、数分間待ちます。Sysprepが実行されると、EC2が「停止済み」になります。
5、「停止済み」になっていることを確認する
6、AMIを作成します。(AMIの作成手順を割愛します)
参考
https://aws.amazon.com/jp/premiumsupport/knowledge-center/sysprep-create-install-ec2-windows-amis/