翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AD Connector のトラブルシューティング
以下のセクションは、AD Connector 作成時および使用時に直面する可能性のある一般的な問題をトラブルシューティングするのに役立ちます。
作成に関する問題
AD Connector の作成に関する一般的な問題は次のとおりです
ディレクトリを作成すると、「AZ Constrained」(AZ 制約) エラーが表示される
2012 年以前に作成された一部の AWS アカウントは、 AWS Directory Service ディレクトリをサポートしていない米国東部 (バージニア北部)、米国西部 (北カリフォルニア)、またはアジアパシフィック (東京) リージョンのアベイラビリティーゾーンにアクセスできる場合があります。Active Directory 作成時にこのようなエラーが表示される場合は、別のアベイラビリティーゾーンのサブネットを選択して、ディレクトリを再度作成してください。
AD Connector を作成しようとすると、「Connectivity issues detected」というエラーが表示される
AD Connector の作成時に「接続の問題が検出されました」というエラーが表示された場合は、ポートの可用性または AD Connector パスワードの複雑さが原因である可能性があります。AD Connector の接続をテストして、次のポートが使用可能かどうかを確認できます。
-
53 (DNS)
-
88 (Kerberos)
-
389 (LDAP)
接続をテストするには、「AD Connector をテストする」を参照してください。接続テストは、AD Connector の IP アドレスが関連付けられている両方のサブネットに結合されたインスタンスで実行する必要があります。
接続テストが成功し、インスタンスがドメインに結合する場合は、AD Connector のパスワードを確認します。AD Connector は AWS パスワードの複雑さの要件を満たしている必要があります。詳細については、「AD Connector の前提条件 のサービスアカウント」を参照してください。
AD Connector がこれらの要件を満たしていない場合は、これらの要件を満たすパスワードを使用する AD Connector を再作成してください。
接続の問題
AD Connector の接続に関する一般的な問題は次のとおりです
オンプレミスのディレクトリに接続しようとすると、「Connectivity issues detected」(接続の問題が検出されました) というエラーが表示される
オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.AD Connector は、以下のポート上で TCP および UDP によってオンプレミスのドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。
-
88 (Kerberos)
-
389 (LDAP)
必要に応じて、追加の TCP/UDP ポートが必要になる場合があります。これらのポートの一部については、次のリストを参照してください。Active Directory で使用されるポートの詳細については、Microsoft ドキュメントの「Active Directory ドメインと信頼のファイアウォールを構成する方法
-
135 (RPC エンドポイントマッパー)
-
646 (LDAP SSL)
-
3268 (LDAP GC)
-
3269 (LDAP GC SSL)
オンプレミスのディレクトリに接続しようとすると、「DNS unavailable」(DNS が使用できません) というエラーが表示される
オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。
DNS unavailable (TCP port 53) for IP: <DNS IP address>AD Connector は、ポート 53 上で TCP および UDP によってオンプレミスの DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。
オンプレミスのディレクトリに接続しようとすると、「SRV record」(SRV レコード) というエラーが表示される
オンプレミスのディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。
SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>AD Connector は、ディレクトリに接続するときに、_ldap._tcp. および <DnsDomainName>_kerberos._tcp. SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。これらの SRV レコードの詳細については、「SRV record requirements」を参照してください。<DnsDomainName>
認証問題
AD Connector の一般的な認証問題は次のとおりです。
スマートカードで にサインインしようとする Amazon WorkSpaces と、「証明書の検証に失敗しました」というエラーが表示される
スマートカードで WorkSpaces にサインインしようとすると、次のようなエラーメッセージが表示されます:
ERROR: Certificate Validation failed.
Please try again by restarting your browser or application and make sure you select the correct certificate.このエラーは、スマートカードの証明書が証明書を使用するクライアントに適切に保存されていない場合に発生します。AD Connector とスマートカードの要件の詳細については、「前提条件」を参照してください。
ユーザーの証明書ストアに証明書を保存するスマートカードの機能をトラブルシューティングするには、次の手順に従います。
-
証明書へのアクセスに問題があるデバイスで、Microsoft Management Console (MMC) にアクセスします。
重要
先に進む前に、スマートカードの証明書のコピーを作成します。
-
MMC の証明書ストアに移動します。証明書ストアからユーザーのスマートカード証明書を削除します。MMC で証明書ストアを表示する方法の詳細については、Microsoft ドキュメントの「方法: MMC スナップインを使用して証明書を参照する
」を参照してください。 -
スマートカードを削除します。
-
スマートカードを再度挿入して、ユーザーの証明書ストアにスマートカード証明書を再度入力できるようにします。
警告
スマートカードが証明書を User Store に再入力していない場合、WorkSpaces スマートカード認証には使用できません。
AD Connector のサービスアカウントには、次のものが必要です:
-
my/spnがサービスプリンシパル名に追加される -
LDAP サービスに委任
証明書がスマートカードに再入力されると、オンプレミスドメインコントローラーをチェックして、サブジェクト代替名のユーザープリンシパルネーム (UPN) マッピングからブロックされているかどうかを判断する必要があります。この変更の詳細については、Microsoft ドキュメントの「UPN マッピングのサブジェクトの別名を無効にする方法
ドメインコントローラーのレジストリキーを確認するには、次の手順に従います:
-
「レジストリエディター」で、次のレジストリエントリに移動します
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName
-
UseSubjectAltName の値を確認します。
-
値が 0 に設定されている場合、サブジェクト代替名のマッピングは無効になり、特定の証明書を 1 人のユーザーのみに明示的にマッピングする必要があります。証明書が複数のユーザーにマッピングされ、この値が 0 の場合、その証明書を使用したログインは失敗します。
-
値が設定または 1 に設定されていない場合は、特定の証明書を 1 ユーザーのみに明示的にマッピングするか、ログインにサブジェクト代替名フィールドを使用する必要があります。
-
証明書にサブジェクト代替名フィールドが存在する場合は、優先順位が付けられます。
-
サブジェクト代替名フィールドが証明書に存在しず、証明書が複数のユーザーに明示的にマッピングされている場合、その証明書を使用したログインは失敗します。
-
-
-
注記
レジストリキーがオンプレミスのドメインコントローラーで設定されている場合、AD Connector は Active Directory でユーザーを見つけることができず、上記のエラーメッセージが表示されます。
認証機関 (CA) 証明書は、AD Connector スマートカード証明書にアップロードする必要があります。証明書には OCSP 情報が含まれている必要があります。CA の追加要件を以下の通りです:
-
証明書は、ドメインコントローラー、認証機関サーバー、WorkSpaces の信頼されたルート権限にある必要があります。
-
オフライン CA 証明書とルート CA 証明書には OSCP 情報は含まれません。これらの証明書には、取り消しに関する情報が含まれています。
-
スマートカード認証にサードパーティーの CA 証明書を使用している場合は、CA 証明書と中間証明書を Active Directory NTAuth ストアに発行する必要があります。これらは、すべてのドメインコントローラー、認証機関サーバー、WorkSpaces の信頼できるルート権限にインストールされる必要があります。
-
次のコマンドを使用して、Active Directory NTAuth ストアに証明書を発行できます:
certutil -dspublish -fThird_Party_CA.cerNTAuthCA
-
NTAuth ストアへの証明書の発行の詳細については、一般的なアクセスカードのインストールで Amazon WorkSpaces をアクセスするガイドの「Enterprise NTAuth ストアに発行済み CA 証明書をインポートする」を参照してください。
ユーザー証明書または CA チェーン証明書が OCSP によって検証されているかどうかを確認するには、次の手順に従います:
-
スマートカード証明書を C: ドライブなどのローカルマシン上の場所にエクスポートします。
-
コマンドラインプロンプトを開き、エクスポートされたスマートカード証明書が保存されている場所に移動します。
-
次のコマンドを入力します。
certutil -URLCertficate_name.cer -
コマンドを使用すると、ポップアップウィンドウが表示されます。右隅の [OCSP オプション] を選択し、[取得] を選択します。「検証済み」のステータスで返されるはずです。
certutil コマンドの詳細については、Microsoft ドキュメントの「certutil
AD Connector で使用されるサービスアカウントで認証を試みると、「Invalid Credentials」(無効な認証情報) というエラーが表示される
このエラーは、ドメインコントローラーのハードドライブ容量が不足している場合に発生する場合があります。ドメインコントローラーのハードドライブがいっぱいでないことを確認します。
AWS アプリケーションを使用してユーザーまたはグループを検索すると、「認証できません」というエラーが表示される
AD Connector のステータスがアクティブであっても、WorkSpaces や Amazon QuickSight などの AWS アプリケーションの使用中にユーザーを検索すると、エラーが発生することがあります。認証情報が期限切れになると、AD Connector が Active Directory 内のオブジェクトのクエリを完了できなくなる可能性があります。Amazon EC2 インスタンスのシームレスなドメイン結合の動作が停止した で提供された順序の手順で、サービスアカウントのパスワードを更新します。
AD Connector サービスアカウントを更新しようとすると、ディレクトリ認証情報に関するエラーが表示される
AD Connector サービスアカウントを更新しようとすると、次のようなエラーメッセージが表示されます:
Message:An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials.An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account CredentialsMessage:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination時刻の同期と Kerberos に問題がある可能性があります。AD Connector は Kerberos 認証リクエストを Active Directory に送信します。これらのリクエストには時間的制約があり、遅延すると失敗します。この問題を解決するには、Microsoft ドキュメントの「推奨 - 権限のあるタイム ソースを使用してルート PDC を構成し、広範囲に及ぶ時刻のずれを回避する
一部のユーザーがディレクトリで認証されない
ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。これは、新しいユーザーアカウントのデフォルト設定ですが、変更しないでください。この設定の詳細については、Microsoft TechNet の「事前認証
メンテナンスの問題
AD Connector の一般的なメンテナンス問題は次のとおりです
-
ディレクトリが「Requested」(リクエスト済み) の状態から変化しない
-
Amazon EC2 インスタンスのシームレスなドメイン結合の動作が停止した
ディレクトリが「Requested」(リクエスト済み) の状態から変化しない
5 分を経過しても、ディレクトリのステータスが「Requested」(リクエスト済み) の状態から変わらない場合は、ディレクトリを削除して、作成し直してください。If this problem persists, contact AWS サポート
Amazon EC2 インスタンスのシームレスなドメイン結合の動作が停止した
EC2 インスタンスのシームレスなドメイン結合が動作していたものの、その後、AD Connector がアクティブになっている時に停止した場合は、AD Connector サービスアカウントの認証情報が期限切れになっている可能性があります。認証情報が期限切れになると、AD Connector が Active Directory 内にコンピュータオブジェクトを作成できなくなる可能性があります。
この問題を解消するには、パスワードが一致するように、次の順序でサービスアカウントのパスワードを更新します。
-
Active Directory でのサービスアカウントのパスワードを更新します。
-
AWS Directory Serviceでの AD Connector のサービスアカウントのパスワードを更新します。詳細については、「での AD Connector サービスアカウントの認証情報の更新 AWS Management Console」を参照してください。
重要
のパスワードのみを更新 AWS Directory Service しても、パスワードの変更は既存のオンプレミスにプッシュされないActive Directoryため、前の手順で示した順序で更新することが重要です。
AD Connector を削除できない
AD Connector が動作不能な状態に切り替わると、ドメインコントローラーにアクセスできなくなります。AD Connector にリンクされているアプリケーションがまだ存在する場合は、それらのアプリケーションの 1 つが引き続きディレクトリを使用している可能性があるため、AD Connector の削除をブロックします。AD Connector を削除するには、無効にする必要があるアプリケーションのリストについては、「AD Connector を削除する」を参照してください。AD Connector を削除できない場合は、AWS サポート
