Simple AD ディレクトリのステータスメッセージのトラブルシューティング - AWS Directory Service
ENI のデタッチ問題の検出サービスアカウントが見つからないサービスアカウントがドメイン管理者ではないサービスアカウントが無効DC にすべての FSMO ロールがないDC のレプリケーション障害

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Simple AD ディレクトリのステータスメッセージのトラブルシューティング

ディレクトリには障害が発生したり、動作しなかったりした場合、ディレクトリのステータスメッセージに追加情報が含まれます。ステータスメッセージは AWS Directory Service コンソールに表示されるか、 DescribeDirectories API によってDirectoryDescription.StageReasonメンバーに返されます。ディレクトリのステータスについての詳細は、「AWS Managed Microsoft AD ディレクトリのステータスについて」を参照してください。

次に、Simple AD ディレクトリのステータスメッセージを示します。

The directory service's elastic network interface is not attached (Directory Service の Elastic Network Interface がアタッチされていません)

説明

VPC とのネットワーク接続を確立するためにディレクトリの作成時にユーザーに代わって作成された重要な Elastic Network Interface (ENI) は、ディレクトリ instance. AWS applications backed by this directory にはアタッチされません。ディレクトリをオンプレミスネットワークに接続することはできません。

トラブルシューティング

ENI がデタッチされているにもかかわらずまだ存在する場合は、 Supportへお問い合わせください。ENI を削除すると、問題を解決する方法がなくなり、ディレクトリは完全に使用できなくなります。この場合、ディレクトリを削除して新しいディレクトリを作成する必要があります。

Issue(s) detected by instance (インスタンスで問題が検出されました)

説明

インスタンスにより内部エラーが検出されました。これは通常、問題のあるインスタンスの復旧をモニタリングサービスが積極的に試みていることを示します。

トラブルシューティング

ほとんどの場合、これは一時的な問題であり、ディレクトリは最終的にアクティブ状態に戻ります。問題が解決しない場合は、 Support にお問い合わせください。

重要な AWS Directory Service 予約済みユーザーが ディレクトリにありません

説明

Simple AD が作成されると、 は ディレクトリに という名前のサービスアカウント AWS Directory Service を作成しますAWSAdminD-xxxxxxxxx。このサービスアカウントが見つからないとき、このエラーが発生します。 AWS Directory Service では、このアカウントなしでディレクトリの管理機能を実行できず、ディレクトリを使用できません。

トラブルシューティング

この問題を修正するには、サービスアカウントが削除される前に作成された、以前のスナップショットにディレクトリを復元します。Simple AD ディレクトリの自動スナップショットは、1 日に 1 回作成されます。アカウントが削除された日から 5 日以上経過している場合は、このアカウントが存在する状態にディレクトリを復元できない可能性があります。このアカウントが存在するスナップショットからディレクトリを復元できない場合、ディレクトリが完全に使用できなくなる可能性があります。そのような場合、ディレクトリを削除して新しいディレクトリを作成する必要があります。

重要な AWS Directory Service 予約済みユーザーはドメイン管理者グループに属している必要があります

説明

Simple AD が作成されると、 は ディレクトリに という名前のサービスアカウント AWS Directory Service を作成しますAWSAdminD-xxxxxxxxx。このサービスアカウントが Domain Admins グループのメンバーでない場合、このエラーが発生します。このグループのメンバーシップは、FSMO ロール AWS Directory Service の移管、新しいディレクトリコントローラーのドメイン結合、スナップショットからの復元など、メンテナンスおよびリカバリオペレーションの実行に必要な権限を付与するために必要です。

トラブルシューティング

Active Directory Users and Computers ツールを使用して、サービスアカウントを Domain Admins グループに再度追加します。

重要な AWS Directory Service 予約済みユーザーは無効になっています

説明

Simple AD が作成されると、 は ディレクトリに という名前のサービスアカウント AWS Directory Service を作成しますAWSAdminD-xxxxxxxxx。このサービスアカウントが無効である場合、このエラーが発生します。が ディレクトリでメンテナンスおよびリカバリオペレーションを実行できるようにするには AWS Directory Service 、このアカウントを有効にする必要があります。

トラブルシューティング

Active Directory Users and Computers ツールを使用して、サービスアカウントを再度有効にします。

The main domain controller does not have all FSMO roles (メインのドメインコントローラーにすべての FSMO ロールがありません)

説明

すべての FSMO ロールが Simple AD のディレクトリコントローラーで所有されていません。 AWS Directory Service では FSMO ロールが正しい Simple AD のディレクトリコントローラーに属していない場合、動作や機能を確実に保証することはできません。

トラブルシューティング

Active Directory ツールを使用して、元の機能するディレクトリコントローラーに FSMO ロールを戻します。FSMO ロールの転送に関する詳細は、https://docs.microsoft.com/troubleshoot/windows-server/identity/transfer-or-seize-fsmo-roles-in-ad-ds を参照してください。それでも問題が解決しない場合は、 にお問い合わせください Support 。

Domain controller replication failures (ドメインコントローラーのレプリケーション障害)

説明

Simple AD のディレクトリコントローラーを相互にレプリケートできません。次のいずれかの問題が原因で、このエラーが発生します。

  • ディレクトリコントローラーのセキュリティグループで、正しいポートが開かれていない。

  • ネットワーク ACL の制限が厳しすぎる。

  • VPC ルートテーブルにより、ディレクトリコントローラー間のネットワークトラフィックが正しくルーティングされていない。

  • ディレクトリで、別のインスタンスがドメインコントローラーに昇格した。

トラブルシューティング

VPC のネットワーク要件についての詳細は、 AWS Managed Microsoft AD「AWS Managed Microsoft AD を作成するための前提条件」、AD Connector「AD Connector の前提条件」または Simple AD「Simple AD の前提条件」のいずれかを参照してください。ディレクトリに不明なドメインコントローラーがある場合は、それを降格する必要があります。VPC のネットワーク設定が正しいにもかかわらずエラーが解決しない場合は、 Support までお問い合わせください。