AD Connector のトラブルシューティング - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AD Connector のトラブルシューティング

以下は、AD Connectorを作成または使用するときに発生する可能性のある一般的な問題のトラブルシューティングに役立ちます。

作成に関する問題

ディレクトリを作成すると、「AZ Constrained」(AZ 制約) エラーが表示される

2012 AWS 年以前に作成されたアカウントの中には、 AWS Directory Service ディレクトリをサポートしない米国東部 (バージニア北部)、米国西部 (北カリフォルニア)、またはアジア太平洋 (東京) リージョンのアベイラビリティーゾーンにアクセスできるものがあります。の作成時にこのようなエラーが表示された場合はActive Directory、別のアベイラビリティーゾーンのサブネットを選択し、ディレクトリをもう一度作成してみてください。

AD Connector を作成しようとすると、「接続の問題が検出されました」というエラーが表示されます

AD Connectorを作成しようとしたときに「接続の問題が検出されました」というエラーが表示される場合は、ポートの可用性またはAD Connectorのパスワードの複雑さが原因である可能性があります。AD Connector の接続をテストして、以下のポートが使用できるかどうかを確認できます。

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

接続をテストするには、を参照してくださいAD Connector をテストする。接続テストは、AD Connector の IP アドレスが関連付けられている両方のサブネットに参加しているインスタンスで実行する必要があります。

接続テストが成功し、インスタンスがドメインに参加したら、AD Connector のパスワードを確認します。AD Connector AWS はパスワードの複雑さの要件を満たす必要があります。詳細については、の「サービスアカウント」を参照してくださいAD Connector の前提条件

AD Connector がこれらの要件を満たしていない場合は、これらの要件を満たすパスワードで AD Connector を再作成してください。

接続の問題

オンプレミスのディレクトリに接続しようとすると、「Connectivity issues detected」(接続の問題が検出されました) というエラーが表示される

オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector は、以下のポート上で TCP および UDP によってオンプレミスのドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

  • 88 (Kerberos)

  • 389 (LDAP)

必要に応じて、追加の TCP/UDP ポートが必要になる場合があります。これらのポートの一部については、以下のリストを参照してください。が使用するポートの詳細についてはActive Directory、Microsoftドキュメントの「Active Directoryドメインとトラストのファイアウォールを構成する方法」を参照してください。

  • 135 (RPC エンドポイントマッパー)

  • 646 (LDAP SSL)

  • 3268 (LDAP GC)

  • 3269 (LDAP GC SSL)

オンプレミスのディレクトリに接続しようとすると、「DNS unavailable」(DNS が使用できません) というエラーが表示される

オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector は、ポート 53 上で TCP および UDP によってオンプレミスの DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

オンプレミスのディレクトリに接続しようとすると、「SRV record」(SRV レコード) というエラーが表示される

オンプレミスのディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector は、ディレクトリに接続するときに、_ldap._tcp.<DnsDomainName> および _kerberos._tcp.<DnsDomainName> SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。これらの SRV レコードの詳細については、「SRV record requirements」を参照してください。

認証に関する問題

Amazon WorkSpaces スマートカードを使用してサインインしようとすると、「証明書の検証に失敗しました」というエラーが表示されます。

WorkSpaces スマートカードを使用してにサインインしようとすると、次のようなエラーメッセージが表示されます。

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

このエラーは、スマートカードの証明書が、証明書を使用するクライアントに正しく保存されていない場合に発生します。AD Connector とスマートカードの要件の詳細については、を参照してください前提条件

次の手順に従って、スマートカードがユーザーの証明書ストアに証明書を保存できるかどうかをトラブルシューティングします。
  1. 証明書にアクセスできないデバイスで、Microsoft Management Console (MMC) にアクセスします。

    重要

    次に進む前に、スマートカードの証明書のコピーを作成してください。

  2. MMC の証明書ストアに移動します。ユーザーのスマートカード証明書を証明書ストアから削除します。MMC で証明書ストアを表示する方法の詳細については、ドキュメントの「方法:MMC スナップインで証明書を表示する」を参照してください。Microsoft

  3. スマートカードを取り外します。

  4. スマートカードを再挿入して、ユーザーの証明書ストアにスマートカード証明書を再入力できるようにします。

    警告

    スマートカードが証明書をユーザーストアに再入力していない場合、スマートカード認証には使用できません。 WorkSpaces

AD Connector のサービスアカウントには以下が必要です。

  • my/spnサービスプリンシパル名に追加されました。

  • LDAP サービスに委任されました。

証明書がスマートカードに再入力されたら、オンプレミスのドメインコントローラーをチェックして、サブジェクト代替名のユーザープリンシパル名 (UPN) マッピングからブロックされているかどうかを確認する必要があります。この変更について詳しくは、ドキュメントの「UPN マッピングのサブジェクト代替名を無効にする方法」を参照してください。Microsoft

以下の手順に従って、ドメインコントローラーのレジストリキーを確認してください。
  1. レジストリエディターで、次の Hive キーに移動します。

    HKEY_LOCAL_MACHINE\ SYSTEM\\ Services\ Kdc\ CurrentControlSet UseSubjectAltName

  2. UseSubjectAltName選択。値が 0 に設定されていることを確認します。

注記

レジストリキーがオンプレミスのドメインコントローラに設定されている場合、AD Connectorはユーザーを見つけることができず、上記のエラーメッセージが表示されます。Active Directory

認証局 (CA) 証明書は AD Connector スマートカード証明書にアップロードする必要があります。証明書には OCSP 情報が含まれている必要があります。CA の追加要件を以下に示します。

  • 証明書は、ドメインコントローラ、認証局サーバ、およびの信頼されたルート認証局にある必要があります WorkSpaces。

  • オフライン証明書とルート CA 証明書には OSCP 情報は含まれません。これらの証明書には失効に関する情報が含まれています。

  • スマートカード認証にサードパーティ CA 証明書を使用している場合は、CA 証明書と中間証明書を Active Directory NTAuth ストアに公開する必要があります。これらは、すべてのドメインコントローラー、認証局サーバー、およびの信頼されたルート機関にインストールする必要があります。 WorkSpaces

    • 以下のコマンドを使用して、証明書を Active Directory NTAuth ストアに公開できます。

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

証明書を NAuth ストアに公開する方法の詳細については、『Access Amazon WorkSpaces with Common Access Cards インストールガイド』の「発行元の CA 証明書を Enterprise NAuth ストアにインポートする」を参照してください。

次の手順に従って、ユーザー証明書または CA チェーン証明書が OCSP によって検証されているかどうかを確認できます。
  1. スマートカード証明書を C: ドライブなどのローカルマシン上の場所にエクスポートします。

  2. コマンドラインプロンプトを開き、エクスポートしたスマートカード証明書が保存されている場所に移動します。

  3. 次のコマンドを入力します。

    certutil -URL Certficate_name.cer
  4. コマンドの後に、ポップアップウィンドウが表示されます。右隅の [OCSP] オプションを選択し、[取得] を選択します。ステータスは「確認済み」に戻るはずです。

certutil コマンドの詳細については、ドキュメントの certutil を参照してください。 Microsoft

AD Connector で使用されるサービスアカウントで認証を試みると、「Invalid Credentials」(無効な認証情報) というエラーが表示される

このエラーは、ドメインコントローラーのハードドライブ容量が不足している場合に発生する場合があります。ドメインコントローラーのハードドライブがいっぱいでないことを確認します。

AWS アプリケーションを使用してユーザーまたはグループを検索すると、「Unable to Authenticate」というエラーが表示されます。

AD Connectorのステータスがアクティブであっても QuickSight、 AWS WorkSpaces またはAmazonなどのアプリケーションを使用しているときにユーザーを検索すると、エラーが発生することがあります。認証情報が期限切れになると、AD Connector が Active Directory 内のオブジェクトのクエリを完了できなくなる可能性があります。に記載されている手順に従って、Amazon EC2 インスタンスのシームレスドメイン参加が機能しなくなったサービスアカウントのパスワードを更新します。

AD Connector サービスアカウントを更新しようとすると、ディレクトリの認証情報に関するエラーが表示されます。

AD Connector サービスアカウントを更新しようとすると、次の 1 つまたは複数のエラーメッセージが表示されます。

Message:An Error Has Occurred Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred Your directory needs a credential update. Please update the directory credentials following Update your AD Connector Service Account Credentials
Message: An Error Has Occurred Your request has a problem. Please see the following details. There was an error with the service account/password combination

時刻同期と Kerberos に問題がある可能性があります。AD Connector は Kerberos 認証リクエストをに送信します。Active Directoryこれらの要求は時間的制約があり、要求が遅れると失敗します。この問題を解決するには、ドキュメンテーションの「推奨事項-信頼できるタイムソースを使用してルート PDC を構成する」と「広範囲にわたるタイムスキューの回避」を参照してください。Microsoftタイムサービスと同期について詳しくは、以下を参照してください。

一部のユーザーがディレクトリで認証されない

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。これは、新しいユーザーアカウントのデフォルト設定ですが、変更しないでください。この設定について詳しくは、「事前認証オン Microsoft TechNet」を参照してください。

メンテナンスの問題

AD Connector の一般的なメンテナンスの問題は次のとおりです。
  • ディレクトリが「Requested」(リクエスト済み) の状態から変化しない

  • Amazon EC2 インスタンスのシームレスドメイン参加が機能しなくなった

ディレクトリが「Requested」(リクエスト済み) の状態から変化しない

5 分を経過しても、ディレクトリのステータスが「Requested」(リクエスト済み) の状態から変わらない場合は、ディレクトリを削除して、作成し直してください。If this problem persists, contact AWS Support. (この問題が解決しない場合は、お問い合わせください。)

Amazon EC2 インスタンスのシームレスドメイン参加が機能しなくなった

EC2 インスタンスのシームレスなドメイン結合が動作していたものの、その後、AD Connector がアクティブになっている時に停止した場合は、AD Connector サービスアカウントの認証情報が期限切れになっている可能性があります。認証情報の有効期限が切れていると、AD Connector Active Directory がにコンピューターオブジェクトを作成できなくなる可能性があります。

この問題を解消するには、パスワードが一致するように、次の順序でサービスアカウントのパスワードを更新します。
  1. のサービスアカウントのパスワードを更新してください。Active Directory

  2. で AD Connector AWS Directory Serviceのサービスアカウントのパスワードを更新します。詳細については、「AWS Directory Service の AD Connector サービスアカウントの認証情報を更新する」を参照してください。

重要

AWS Directory Service でのみパスワードを更新しても、Active Directoryパスワードの変更は既存のオンプレミスには反映されないため、前の手順に示した順序で行うことが重要です。

AD Connector を削除できない

AD Connector が動作不能な状態に切り替わると、ドメインコントローラーにアクセスできなくなります。AD Connector にリンクされているアプリケーションがまだ存在する場合は、それらのアプリケーションの 1 つが引き続きディレクトリを使用している可能性があるため、AD Connector の削除をブロックします。AD Connector を削除するために無効にする必要があるアプリケーションのリストについては、を参照してくださいAD Connector を削除する。それでもAD Connectorを削除できない場合は、からサポートをリクエストできますAWS Support