信頼作成ステータスの理由 - AWS Directory Service
アクセスが拒否されましたドメインは存在しませんオペレーションを実行できませんでした信頼の作成に失敗しました信頼のトラブルシューティングツール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼作成ステータスの理由

信頼の作成が失敗した場合、その追加情報を含むステータスメッセージが表示されます。ここでの内容は、それらのメッセージの理解に役立ちます。

アクセスが拒否されました

信頼の作成を試みた際にアクセスが拒否されました。信頼パスワードが正しくないか、またはリモートドメインのセキュリティ設定で信頼を設定することを許可していません。この問題を解決するには、以下の手順を実行します。

  • AWS Managed Microsoft AD Active Directoryと信頼関係Active Directoryを作成するセルフマネージド は、同じファーストサイト名である必要があります。最初のサイト名は に設定されていますDefault-First-Site-Name。これらの名前がドメイン間で異なる場合、アクセス拒否エラーが発生します。

  • リモートドメインで対応する信頼を作成する際に使用したものと、同じ信頼パスワードを使用していることを確認します。

  • ドメインのセキュリティ設定で、信頼の作成を許可していることを確認します。

  • ローカルセキュリティポリシーが正しく設定されていることを確認します。特に Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously をチェックして、少なくとも以下の 3 つの名前付きパイプが含まれていることを確認してください

    • netlogon

    • samr

    • lsarpc

  • 上記の名前付きパイプがNullSessionPipesレジストリパス HKLM\SYSTEM\servicesCurrentControlSet\LanmanServerParameters にあるレジストリキーの値 (複数) として存在することを確認します。これらの値は、別々の行に挿入される必要があります。

    注記

    デフォルトで Network access: Named Pipes that can be accessed anonymously は設定されていないので、Not Defined が表示されます。これは正常な動作であり、Network access: Named Pipes that can be accessed anonymously に対するドメインコントローラの有効なデフォルト設定は netlogonsamrlsarpc です。

  • デフォルトのドメインコントローラーポリシー で、次のサーバーメッセージブロック (SMB) 署名設定を確認します。これらの設定は、コンピュータ設定 > Windows 設定 > セキュリティ設定 > ローカルポリシー/セキュリティオプション にあります。これらは次の設定と一致する必要があります。

    • Microsoft ネットワーククライアント: 通信にデジタル署名 (常時): デフォルト: 有効

    • Microsoft ネットワーククライアント: 通信にデジタル署名 (サーバーが署名されている場合): デフォルト: 有効

    • Microsoft ネットワークサーバー: 通信にデジタル署名 (常時): 有効

    • Microsoft ネットワークサーバー: 通信にデジタル署名 (クライアントが同意した場合): デフォルト: 有効

指定されたドメイン名が存在しない、または接続できませんでした。

この問題を解決するには、ドメインおよび VPC のアクセスコントロールリスト (ACL) でのセキュリティグループ設定が正しいこと、ならびに条件付きフォワーダーの情報が正確に入力されていることを確認します。 AWS は、Active Directory の通信に必要なポートのみを開くようにセキュリティグループを設定します。セキュリティグループのデフォルト設定では、これらのポートに対する任意の IP アドレスからのトラフィックを受け入れます。アウトバウンドトラフィックは、セキュリティグループに制限されます。オンプレミスネットワークへのトラフィックを許可するには、セキュリティグループのアウトバウンドルールを更新する必要があります。セキュリティ要件の詳細については、「ステップ 2: AWS Managed Microsoft AD を準備する」を参照してください。

セキュリティグループを編集する

他のディレクトリのネットワークの DNS サーバーで、(RFC 1918 ではない) パブリックIP アドレスを使用している場合、Directory Service コンソールから、ディレクトリの IP ルートを DNS サーバーに追加する必要があります。詳細については、「信頼関係を作成、検証、または削除する」および「前提条件」を参照してください。

The Internet Assigned Numbers Authority (IANA) は、プライベートインターネット用に次の 3 つの IP アドレス空間ブロックを予約しています。

  • 10.0.0.0 – 10.255.255.255(10/8 プレフィックス)

  • 172.16.0.0 – 172.31.255.255(172.16/12 プレフィックス)

  • 192.168.0.0 – 192.168.255.255(192.168/16 プレフィックス)

詳細については、https://tools.ietf.org/html/rfc1918 を参照してください。

AWS Managed Microsoft AD のデフォルトの AD サイト名が、オンプレミスインフラストラクチャのデフォルトの AD サイト名と一致していることを確認します。コンピュータは、ユーザーのドメインではなく、コンピュータがメンバーであるドメインを使用してサイト名を決定します。最も近いオンプレミスと一致するようにサイトの名前を変更すると、最も近いサイトにあるドメインコントローラーを、DC ロケーターに選択させることができます。これで問題が解決しない場合は、先に作成してある条件付きフォワーダーからの情報がキャッシュされたことで、新しい信頼の作成が妨げられている可能性があります。数分待ってから、信頼と条件付きフォワーダーの作成を再試行してください。

これの仕組みの詳細については、 Microsoftウェブサイトの「フォレストトラスト全体のドメインロケーター」を参照してください。

デフォルトの初期サイト名

このドメインでオペレーションを実行できませんでした

この問題を解決するには、ドメイン / ディレクトリの両方で NETBIOS 名が重複していないことを確認します。ドメイン / ディレクトリで NETBIOS 名の重複がある場合は、別の NETBIOS 名を使用してそれらのいずれかを再作成した上で、もう一度試してください。

「Required and valid domain name (必須かつ有効なドメイン名)」というエラーが原因で、信頼の作成に失敗しました

DNS 名に使用できるのは、アルファベット文字 (A~Z)、数字 (0~9)、マイナス記号 (-)、ピリオド (.) のみです。ピリオド文字を使用できるのは、ドメインスタイル名のコンポーネントを区切るために使用する場合のみです。また、以下の点を考慮してください。

  • AWS Managed Microsoft AD は、シングルラベルドメインでの信頼をサポートしていません。詳細については、Microsoft「シングルラベルドメイン のサポート」を参照してください。

  • RFC 1123 (https://tools.ietf.org/html/rfc1123) の規定では、DNSラベルで使用できる文字は「A」から「Z」、「a」から「z」、「0」から「9」、およびハイフン(「-」)のみです。ピリオド [.] は DNS 名でも使用されますが、DNS ラベルの間と FQDN の末尾にのみ配置できます。

  • RFC 952 (https://tools.ietf.org/html/rfc952) の規定では、「名前」(ネット、ホスト、ゲートウェイ、ドメイン名) は、アルファベット (A~Z)、数字 (0~9)、マイナス記号 (-)、ピリオド  (.) を使用した最大 24 文字のテキスト文字列となります。ピリオド文字を使用できるのは、「ドメインスタイル名」のコンポーネントを区切るために使用する場合のみです。

詳細については、 Microsoftウェブサイトの「ホストとドメインの名前制限への準拠」を参照してください。

信頼テスト用の一般的なツール

以下は、信頼に関連するさまざまな問題をトラブルシューティングするために使用できるツールです。

AWS Systems Manager Automation トラブルシューティングツール

サポート自動化ワークフロー (SAW) は、Systems Manager Automation を活用して、 用の定義済みランブックを提供します AWS Directory Service。 AWS AWSSupport-TroubleshootDirectoryTrust ランブックツールは、 AWS Managed Microsoft AD とオンプレミスMicrosoftの の間で発生する信頼作成に関する一般的な問題を診断するのに役立ちますActive Directory。

DirectoryServicePortTest ツール

DirectoryServicePortTest テストツールは、 AWS Managed Microsoft AD とオンプレミスの Active Directory 間の信頼作成に関する問題のトラブルシューティングに役立ちます。ツール使用方法の例については、「AD Connector をテストする」を参照してください。

NETDOM および NLTEST ツール

管理者は、Netdom および Nltest のコマンドラインツールを使用して、信頼の検索、表示、作成、削除、および管理を行うことができます。これらのツールは、ドメインコントローラー上の LSA 権限と直接通信します。これらのツールの使用方法の例については、 Microsoftウェブサイトの「Netdom」と「NLTEST」を参照してください。

パケットキャプチャツール

組み込みの Windows パッケージキャプチャユーティリティを使用して、ネットワークの問題の可能性を調査し、トラブルシューティングを行うことができます。詳細については、「Capture a Network Trace without installing anything」(インストールを一切行わずにネットワークトレースをキャプチャする) を参照してください。