AWS Directory Service
管理ガイド (Version 1.0)

AD Connector のトラブルシューティング

以下のセクションは、ディレクトリ作成時および使用時に直面する問題をトラブルシューティングするのに役立ちます。

AD Connector に関する一般的な問題を以下に示します。

EC2 インスタンスのシームレスなドメイン結合が動作しない

EC2 インスタンスのシームレスなドメイン結合中に、AD Connector はアクティブだが停止した場合は、AD Connector サービスアカウントの認証情報が期限切れになっている可能性があります。認証情報が期限切れの場合は、AD Connector で Active Directory のコンピューティングオブジェクトを作成できない場合があります。

この問題を解消するには、パスワードが一致するように、次の順序でサービスアカウントのパスワードを更新します。

  1. Active Directory のサービスアカウントのパスワードを更新

  2. AWS Directory Service で AD Connector のサービスアカウントのパスワードを更新

AWS Directory Service のパスワードのみを更新すると、このパスワードの変更は既存のオンプレミス Active Directory にプッシュされないため、指定の順序で更新することが重要です。

AWS アプリケーションを使用してユーザーまたはグループを検索すると「認証できません」エラーが表示される

AWS アプリケーション (例: Amazon WorkSpaces または Amazon QuickSight) の使用中にユーザーを検索すると、AD Connector ステータスがアクティブであってもエラーが表示される場合があります。認証情報が期限切れの場合は、AD Connector で Active Directory のオブジェクトのクエリを完了できない場合があります。上記の指定されたステップを使用して、サービスアカウントのパスワードを更新します。

AD Connector を通してドメインのユーザーおよびグループをクエリすると、「Authentication failed (認証失敗)」が返される

これは、[LDAP server signing requirements (LDAP サーバー署名要件)] ポリシーが有効化されている場合に発生することがあります。このポリシーを無効化して、再度クエリを試行してください。このポリシーの全般的な情報については、「Domain controller: LDAP server signing requirements (ドメインコントローラー LDAP サーバー署名要件)」を参照してください。

オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示される

オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector は、ポート 53 上で TCP および UDP によってオンプレミス DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」というエラーが表示される

オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector は、以下のポート上で TCP および UDP によってオンプレミスドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

  • 88 (Kerberos)

  • 389 (LDAP)

オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示される

オンプレミスディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector は、ディレクトリに接続するときに、_ldap._tcp.<DnsDomainName> および _kerberos._tcp.<DnsDomainName> SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。これらの SRV レコードの詳細については、「SRV レコード要件」を参照してください。

ディレクトリが「リクエスト済み」の状態から変化しない

5 分を経過しても、ディレクトリの状態が「リクエスト済み」の状態から変わらない場合は、ディレクトリを削除して、作成し直してください。この問題が解決しない場合は、AWS Support Center までお問い合わせください。

ディレクトリを作成すると、「AZ 制約」エラーが表示される

2012 年より前に作成された一部の AWS アカウントでは、米国東部(バージニア北部) をサポートしない 米国西部 (北カリフォルニア)、アジアパシフィック (東京)、または AWS Directory Service リージョン のアベイラビリティーゾーンにアクセスできることがあります。ディレクトリ作成時にこのようなエラーが表示される場合は、別のアベイラビリティーゾーンのサブネットを選択して、ディレクトリを再度作成してください。

一部のユーザーがディレクトリで認証されない

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。これは、新しいユーザーアカウントのデフォルト設定ですが、変更しないでください。この設定の詳細については、Microsoft TechNet の「事前認証」を参照してください。

AD Connector で使用されるサービスアカウントで認証を試みると、「無効な認証情報」エラーが表示される

このエラーは、ドメインコントローラーのハードドライブ容量が不足している場合に発生する場合があります。ドメインコントローラーのハードドライブがいっぱいでないことを確認します。