AWS Directory Service
管理ガイド (Version 1.0)

信頼作成ステータスの理由

信頼の作成が失敗した場合、ステータスメッセージに追加情報が含まれます。これらは、それらのメッセージの理解に役立ちます。

アクセスが拒否されました

信頼を作成しようとしたときにアクセスが拒否されました。信頼パスワードが正しくないか、またはリモートドメインのセキュリティ設定により、信頼を設定することが許可されていません。この問題を解決するには、以下の手順を実行します。

  • リモートドメインで対応する信頼を作成するのに使用したのと同じ信頼パスワードを使用していることを確認します。

  • ドメインのセキュリティ設定が信頼の作成を許可していることを確認します。

  • ローカルセキュリティポリシーが正しく設定されていることを確認します。具体的に Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously をチェックして、少なくとも次の 3 つの名前付きパイプが含まれていることを確認してください

    • netlogon

    • samr

    • lsarpc

注記

デフォルトでは、Network access: Named Pipes that can be accessed anonymously が設定されておらず、Not Defined が表示されます。これは正常です。Network access: Named Pipes that can be accessed anonymously のドメインコントローラの有効なデフォルト設定は、netlogonsamrlsarpc です。

指定されたドメイン名が存在しない、または接続できませんでした。

この問題を解決するには、ドメインのセキュリティグループ設定および VPC のアクセス制御リスト (ACL) が正しいこと、および正確な条件付きフォワーダーの情報を入力したことを確認します。セキュリティ要件の詳細については、「信頼関係を作成する場合」を参照してください。

これで問題を解決できない場合は、先に作成した条件付きフォワーダーの情報がキャッシュされ、新しい信頼の作成ができないようにすることが可能です。数分待ってから再度信頼と条件付きフォワーダーを作成してみます。

信頼テスト用の一般的なツール

DirectoryServicePortTest テストツールは、AWS Managed Microsoft AD とオンプレミス Active Directory の間の信頼を作成する際に生じた問題のトラブルシューティングに役立ちます。ツールの使用例については、「AD Connector をテストする」を参照してください。