事象

Amazon EC2でWindows Serverを作成後、AWS Managed Microsoft ADに参加。
その後EC2を停止し、起動するとインスタンスステータスのチェックが失敗し、RDPできない状態となった。

対象のWindows Server

2025年4月の時点においてWindows Server 2025で仮想化ベースのセキュリティ (VBS)をサポートするインスタンスタイプ(t3、m5など)で発生する。

エラー原因

VBSがWindows Server 2025 のインスタンスではサポートされておらず、
ドメインに参加すると VBS と Credential Guard が既定で有効となるため発生する(AWSサポート回答)。

https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/install-wsl-on-ec2-windows-instance.html

EC2 インスタンスは、Windows Server 2025 向けの VBS をサポートしていません。これが有効になっている場合、再起動後にシステムの起動が失敗する可能性があります。

対象方法

2つ対処方法を記載する。

• VBS をサポートしていないインスタンスタイプに変更
• ローカルグループポリシーの変更

VBS をサポートしていないインスタンスタイプに変更

2025年4月の時点では、AMD ベースのインスタンスタイプは VBS をサポートしていない。
そのためm5ならばm5aに変更することで事象を解決することが可能。

対象インスタンスタイプは下記ドキュメントを参考
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/credential-guard.html#credential-guard-prerequisites

ローカルグループポリシーの変更

ドメイン参加前に作業をする必要がある。

作業手順

• gpedit.mscを起動
• Computer Configuration\Administrative Templates\System\Device Guard に移動
  • コンピューターの構成\管理用テンプレート\System\Device Guard
• Turn On Virtualization Based Security を開く
• Disabled に変更
• 変更後にADに参加

参考

AD参加
https://dev.classmethod.jp/articles/management-server-for-aws-managed-microsoft-ad/

Disable Credential Guard無効化
https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/configure?tabs=gpo#disable-credential-guard