AD Connector のトラブルシューティング - AWS Directory Service

AD Connector のトラブルシューティング

以下のセクションは、ディレクトリ作成時および使用時に直面する可能性のある一般的な問題をトラブルシューティングするのに役立ちます。

AD Connector に関する一般的な問題を次に示します。

EC2 インスタンスのシームレスなドメイン結合の動作が停止した

EC2 インスタンスのシームレスなドメイン結合が動作していたものの、その後、AD Connector がアクティブになっている時に停止した場合は、AD Connector サービスアカウントの認証情報が期限切れになっている可能性があります。認証情報が期限切れになると、AD Connector が Active Directory 内にコンピュータオブジェクトを作成できなくなる可能性があります。

この問題を解消するには、パスワードが一致するように、次の順序でサービスアカウントのパスワードを更新します。

  1. Active Directory のサービスアカウントのパスワードを更新

  2. AWS Directory Service の AD Connector のサービスアカウントのパスワードを更新

AWS Directory Service のパスワードのみを更新すると、このパスワードの変更は既存のオンプレミスの Active Directory にプッシュされないため、指定の順序で更新することが重要です。

AWS アプリケーションを使用してユーザーまたはグループを検索すると「Unable to Authenticate」(認証できません) というエラーが表示される

AD Connector のステータスがアクティブであっても、WorkSpaces や Amazon QuickSight などの AWS のアプリケーションを使用しているときにユーザーを検索すると、エラーが発生する場合があります。認証情報が期限切れになると、AD Connector が Active Directory 内のオブジェクトのクエリを完了できなくなる可能性があります。上記の順序の手順で、サービスアカウントのパスワードを更新します。

オンプレミスのディレクトリに接続しようとすると、「DNS unavailable」(DNS が使用できません) というエラーが表示される

オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector は、ポート 53 上で TCP および UDP によってオンプレミスの DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

オンプレミスのディレクトリに接続しようとすると、「Connectivity issues detected」(接続の問題が検出されました) というエラーが表示される

オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector は、以下のポート上で TCP および UDP によってオンプレミスのドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

  • 88 (Kerberos)

  • 389 (LDAP)

オンプレミスのディレクトリに接続しようとすると、「SRV record」(SRV レコード) というエラーが表示される

オンプレミスのディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector は、ディレクトリに接続するときに、_ldap._tcp.<DnsDomainName> および _kerberos._tcp.<DnsDomainName> SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。これらの SRV レコードの詳細については、「SRV record requirements」を参照してください。

ディレクトリが「Requested」(リクエスト済み) の状態から変化しない

5 分を経過しても、ディレクトリのステータスが「Requested」(リクエスト済み) の状態から変わらない場合は、ディレクトリを削除して、作成し直してください。この問題が解決しない場合は、AWS Support センターまでお問い合わせください。

ディレクトリを作成すると、「AZ Constrained」(AZ 制約) エラーが表示される

2012 年以前に作成された AWS アカウントの中には、AWS Directory Service ディレクトリをサポートしていない、米国東部 (バージニア北部)、米国西部 (北カリフォルニア)、またはアジアパシフィック (東京) の各リージョンのアベイラビリティーゾーンに、アクセスできるものがあります。ディレクトリ作成時にこのようなエラーが表示される場合は、別のアベイラビリティーゾーンのサブネットを選択して、ディレクトリを再度作成してください。

一部のユーザーがディレクトリで認証されない

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。これは、新しいユーザーアカウントのデフォルト設定ですが、変更しないでください。この設定の詳細については、Microsoft TechNet の「Preauthentication」(事前認証) を参照してください。

AD Connector で使用されるサービスアカウントで認証を試みると、「Invalid Credentials」(無効な認証情報) というエラーが表示される

このエラーは、ドメインコントローラーのハードドライブ容量が不足している場合に発生する場合があります。ドメインコントローラーのハードドライブがいっぱいでないことを確認します。

AD Connector を削除できない

AD Connector が動作不能な状態に切り替えると、ドメインコントローラーにアクセスできなくなります。AD Connector にリンクされているアプリケーションがまだ存在する場合は、それらのアプリケーションの 1 つが引き続きディレクトリを使用している可能性があるため、AD Connector の削除をブロックします。AWS Support にお問い合わせください。