Simple AD ディレクトリのステータスの原因 - AWS Directory Service
ENI のデタッチ問題の検出サービスアカウントが見つからないサービスアカウントがドメイン管理者ではないサービスアカウントが無効DC にすべての FSMO ロールがないDC のレプリケーション障害

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Simple AD ディレクトリのステータスの原因

ディレクトリが機能または動作しない場合、ディレクトリのステータスメッセージに追加情報が含まれます。ステータスメッセージが AWS Directory Service コンソールに表示されるか、または DescribeDirectories API により DirectoryDescription.StageReason メンバーに返されます。ディレクトリのステータスについての詳細は、「ディレクトリのステータスを把握する」を参照してください。

次に、Simple AD ディレクトリのステータスメッセージを示します。

The directory service's elastic network interface is not attached (Directory Service の Elastic Network Interface がアタッチされていません)

説明

VPC とのネットワーク接続を確立するためディレクトリの作成中にユーザーに代わって作成された、重要な Elastic Network Interface (ENI) が、ディレクトリインスタンスにアタッチされていません。このディレクトリでバックアップされた AWS アプリケーションは機能しなくなります。ディレクトリをオンプレミスネットワークに接続することはできません。

トラブルシューティング

ENI がデタッチされているにもかかわらずまだ存在する場合は、AWS Support へお問い合わせください。ENI を削除すると、問題を解決する方法がなくなり、ディレクトリは完全に使用できなくなります。この場合、ディレクトリを削除して新しいディレクトリを作成する必要があります。

Issue(s) detected by instance (インスタンスで問題が検出されました)

説明

インスタンスにより内部エラーが検出されました。これは通常、問題のあるインスタンスの復旧をモニタリングサービスが積極的に試みていることを示します。

トラブルシューティング

ほとんどの場合、これは一時的な問題であり、ディレクトリは最終的にアクティブ状態に戻ります。問題が解決しない場合は、AWS Support までお問い合わせください。

AWS Directory Service の重要な予約済みユーザーがディレクトリに存在しない

説明

Simple AD が作成されると、AWS Directory Service では、ディレクトリに AWSAdminD-xxxxxxxxx という名前でサービスアカウントが作成されます。このサービスアカウントが見つからないとき、このエラーが発生します。AWS Directory Service では、このアカウントなしでディレクトリの管理機能を実行できず、ディレクトリを使用できません。

トラブルシューティング

この問題を修正するには、サービスアカウントが削除される前に作成された、以前のスナップショットにディレクトリを復元します。Simple AD ディレクトリの自動スナップショットは、1 日に 1 回作成されます。アカウントが削除された日から 5 日以上経過している場合は、このアカウントが存在する状態にディレクトリを復元できない可能性があります。このアカウントが存在するスナップショットからディレクトリを復元できない場合、ディレクトリが完全に使用できなくなる可能性があります。そのような場合、ディレクトリを削除して新しいディレクトリを作成する必要があります。

AWS Directory Service の重要な予約済みユーザーは Domain Admins グループに属している必要がある

説明

Simple AD が作成されると、AWS Directory Service では、ディレクトリに AWSAdminD-xxxxxxxxx という名前でサービスアカウントが作成されます。このサービスアカウントが Domain Admins グループのメンバーでない場合、このエラーが発生します。FSMO ロールの転送、新しいディレクトリコントローラーへのドメインの参加、スナップショットからの復元など、メンテナンスおよびリカバリ操作を実行するために必要な権限を AWS Directory Service に付与するには、このグループのメンバーシップが必要です。

トラブルシューティング

Active Directory Users and Computers ツールを使用して、サービスアカウントを Domain Admins グループに再度追加します。

AWS Directory Service の重要な予約済みユーザーが無効化されている

説明

Simple AD が作成されると、AWS Directory Service では、ディレクトリに AWSAdminD-xxxxxxxxx という名前でサービスアカウントが作成されます。このサービスアカウントが無効である場合、このエラーが発生します。AWS Directory Service でディレクトリのメンテナンスとリカバリの操作を実行できるように、このアカウントを有効にする必要があります。

トラブルシューティング

Active Directory Users and Computers ツールを使用して、サービスアカウントを再度有効にします。

The main domain controller does not have all FSMO roles (メインのドメインコントローラーにすべての FSMO ロールがありません)

説明

すべての FSMO ロールが Simple AD のディレクトリコントローラーで所有されていません。AWS Directory Service では FSMO ロールが正しい Simple AD のディレクトリコントローラーに属していない場合、動作や機能を確実に保証することはできません。

トラブルシューティング

Active Directory ツールを使用して、元の機能するディレクトリコントローラーに FSMO ロールを戻します。FSMO ロールの転送に関する詳細は、https://docs.microsoft.com/troubleshoot/windows-server/identity/transfer-or-seize-fsmo-roles-in-ad-ds を参照してください。問題が解決しない場合は、AWS Support までお問い合わせください。

Domain controller replication failures (ドメインコントローラーのレプリケーション障害)

説明

Simple AD のディレクトリコントローラーを相互にレプリケートできません。次のいずれかの問題が原因で、このエラーが発生します。

  • ディレクトリコントローラーのセキュリティグループで、正しいポートが開かれていない。

  • ネットワーク ACL の制限が厳しすぎる。

  • VPC ルートテーブルにより、ディレクトリコントローラー間のネットワークトラフィックが正しくルーティングされていない。

  • ディレクトリで、別のインスタンスがドメインコントローラーに昇格した。

トラブルシューティング

VPC のネットワーク要件についての詳細は、AWS Managed Microsoft AD「AWS マネージド型Microsoft AD の前提条件」、AD Connector「AD Connector の前提条件」または Simple AD「Simple AD の前提条件」のいずれかを参照してください。ディレクトリに不明なドメインコントローラーがある場合は、それを降格する必要があります。VPC のネットワーク設定が正しいにもかかわらずエラーが解決しない場合は、AWS Support までお問い合わせください。