トラブルシューティング: ゲートウェイの Active Directory への接続に関する問題 - AWS Storage Gateway
nping テストを実行してゲートウェイがドメインコントローラーに到達できることを確認するAmazon EC2 ゲートウェイインスタンスの VPC に設定されている DHCP オプションを確認するdig クエリを実行して、ゲートウェイがドメインを解決できることを確認するドメインコントローラーの設定とロールを確認するゲートウェイが最寄りのドメインコントローラーに接続されていることを確認します。Active Directory がデフォルトの組織単位 (OU) に新しいコンピュータオブジェクトを作成することを確認するドメインコントローラーのイベントログを確認する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

トラブルシューティング: ゲートウェイの Active Directory への接続に関する問題

次のトラブルシューティング情報を使用して、NETWORK_ERROR、、または File Gateway を Microsoft Active Directory ドメインに結合しようとACCESS_DENIEDしたときに TIMEOUTなどのエラーメッセージが表示された場合の対処方法を決定します。

これらのエラーを解決するには、次のチェックと設定を実行します。

nping テストを実行してゲートウェイがドメインコントローラーに到達できることを確認する

nping テストを実行するには:

  1. オンプレミスゲートウェイの場合はハイパーバイザー管理ソフトウェア (VMware、Hyper-V、または KVM) を使用して、または Amazon EC2 ゲートウェイの場合は ssh を使用して、ゲートウェイローカルコンソールに接続します。

  2. 対応する数字を入力してゲートウェイコンソールを選択し、 を入力して使用可能なすべてのコマンドhを一覧表示します。Storage Gateway 仮想マシンとドメイン間の接続をテストするには、次のコマンドを実行します。

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    注記

    corp.domain.com を Active Directory ドメイン DNS 名に置き換え、 を環境の LDAP ポート389に置き換えます。

    ファイアウォール内で必要なポートが開いていることを確認します。

以下は、ゲートウェイがドメインコントローラーに到達できた nping テストが成功した例です。

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

以下は、corp.domain.com送信先との接続や送信先からのレスポンスがない nping テストの例です。

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Amazon EC2 ゲートウェイインスタンスの VPC に設定されている DHCP オプションを確認する

ファイルゲートウェイが Amazon EC2 インスタンスで実行されている場合は、DHCP オプションセットが正しく設定され、ゲートウェイインスタンスを含む Amazon Virtual Private Cloud (VPC) にアタッチされていることを確認する必要があります。詳細については、「Amazon VPC の DHCP オプションセット」を参照してください。

dig クエリを実行して、ゲートウェイがドメインを解決できることを確認する

ドメインがゲートウェイによって解決できない場合、ゲートウェイはドメインに参加できません。

dig クエリを実行するには:

  1. オンプレミスゲートウェイの場合はハイパーバイザー管理ソフトウェア (VMware、Hyper-V、または KVM) を使用して、または Amazon EC2 ゲートウェイの場合は ssh を使用して、ゲートウェイローカルコンソールに接続します。

  2. 対応する数字を入力してゲートウェイコンソールを選択し、 を入力して使用可能なすべてのコマンドhを一覧表示します。ゲートウェイがドメインを解決できるかどうかをテストするには、次のコマンドを実行します。

    dig -d corp.domain.com

    注記

    を Active Directory ドメイン DNS 名corp.domain.comに置き換えます。

以下は、成功したレスポンスの例です。

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

ドメインコントローラーの設定とロールを確認する

ドメインコントローラーが読み取り専用に設定されていないこと、およびドメインコントローラーにコンピュータが参加するのに十分なロールがあることを確認します。これをテストするには、ゲートウェイ VM と同じ VPC サブネットの他のサーバーをドメインに結合してみてください。

ゲートウェイが最寄りのドメインコントローラーに接続されていることを確認します。

ベストプラクティスとして、ゲートウェイアプライアンスに地理的に近いドメインコントローラーにゲートウェイを結合することをお勧めします。ネットワークレイテンシーが原因でゲートウェイアプライアンスが 20 秒以内にドメインコントローラーと通信できない場合、ドメイン結合プロセスはタイムアウトすることがあります。たとえば、ゲートウェイアプライアンスが米国東部 (バージニア北部) にあり、 AWS リージョン ドメインコントローラーがアジアパシフィック (シンガポール) にある場合、プロセスはタイムアウトすることがあります AWS リージョン。

注記

デフォルトのタイムアウト値を 20 秒に増やすには、 AWS Command Line Interface (AWS CLI) で join-domain コマンドを実行し、時間を増やす--timeout-in-secondsオプションを含めることができます。JoinDomain API コールを使用し、 TimeoutInSecondsパラメータを含めて時間を増やすこともできます。最大タイムアウト値は 3,600 秒です。

AWS CLI コマンドの実行時にエラーが発生した場合は、最新バージョンを使用していることを確認してください AWS CLI 。

Active Directory がデフォルトの組織単位 (OU) に新しいコンピュータオブジェクトを作成することを確認する

Microsoft Active Directory に、デフォルトの OU 以外の場所に新しいコンピュータオブジェクトを作成するグループポリシーオブジェクトがないことを確認します。ゲートウェイを Active Directory ドメインに結合する前に、新しいコンピュータオブジェクトがデフォルトの OU に存在する必要があります。一部の Active Directory 環境は、新しく作成されたオブジェクトに対して異なる OUs を持つようにカスタマイズされています。ゲートウェイ VM の新しいコンピュータオブジェクトがデフォルトの OU に存在することを確認するには、ゲートウェイをドメインに結合する前に、ドメインコントローラーでコンピュータオブジェクトを手動で作成してみてください。を使用して join-domain コマンドを実行することもできます AWS CLI。次に、 の オプションを指定します--organizational-unit

注記

コンピュータオブジェクトを作成するプロセスは、事前ステージングと呼ばれます。

ドメインコントローラーのイベントログを確認する

前のセクションで説明した他のすべてのチェックと設定を試した後にゲートウェイをドメインに参加できない場合は、ドメインコントローラーのイベントログを調べることをお勧めします。ドメインコントローラーのイベントビューワーにエラーがないか確認します。ゲートウェイクエリがドメインコントローラーに到達していることを確認します。