AD Connector のトラブルシューティング - AWS Directory Service
作成に関する問題接続の問題認証の問題メンテナンスの問題AD Connector を削除できない

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AD Connector のトラブルシューティング

以下は、AD Connector を作成または使用する際に発生する可能性のある一般的な問題のトラブルシューティングに役立ちます。

作成に関する問題

AD Connector の作成に関する一般的な問題は次のとおりです。

ディレクトリを作成すると、「AZ Constrained」(AZ 制約) エラーが表示される

2012 年以前に作成された一部の AWS アカウントでは、 AWS Directory Service ディレクトリをサポートしていない米国東部 (バージニア北部)、米国西部 (カリフォルニア北部)、またはアジアパシフィック (東京) リージョンのアベイラビリティーゾーンにアクセスできる場合があります。の作成時にこのようなエラーが発生した場合 Active Directory、別のアベイラビリティーゾーンでサブネットを選択し、ディレクトリを再度作成します。

AD Connector を作成しようとすると、「接続の問題が検出されました」というエラーが表示される

AD Connector の作成時に「Connectivity issue detected」エラーが表示された場合は、ポートの可用性または AD Connector パスワードの複雑さが原因である可能性があります。AD Connector の接続をテストして、次のポートが使用可能かどうかを確認できます。

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

接続をテストするには、「」を参照してくださいAD Connector をテストする。接続テストは、AD Connector の IP アドレスが関連付けられている両方のサブネットに結合されたインスタンスで実行する必要があります。

接続テストが成功し、インスタンスがドメインに参加する場合は、AD Connector のパスワードを確認します。AD Connector は、 AWS パスワードの複雑さの要件を満たしている必要があります。詳細については、「」の「サービスアカウント」を参照してくださいAD Connector の前提条件

AD Connector がこれらの要件を満たしていない場合は、これらの要件を満たすパスワードで AD Connector を再作成します。

接続の問題

AD Connector の接続に関する一般的な問題は次のとおりです。

オンプレミスのディレクトリに接続しようとすると、「Connectivity issues detected」(接続の問題が検出されました) というエラーが表示される

オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector は、TCPUDP以下のポートを介してオンプレミスのドメインコントローラーと通信できる必要があります。セキュリティグループとオンプレミスファイアウォールが、これらのポートを介した TCPおよび UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

  • 88 (Kerberos)

  • 389 (LDAP)

必要に応じて、追加の TCP/UDP ポートが必要になる場合があります。これらのポートの一部については、次のリストを参照してください。が使用するポートの詳細については、Active Directory、「 のファイアウォールを設定する方法」を参照してください。Active Directory のドメインと信頼 Microsoft ドキュメント内) を参照してください。

  • 135 (RPCエンドポイントマッパー)

  • 646 (LDAP SSL)

  • 3268 (LDAP GC)

  • 3269 (LDAP GC SSL)

表示を増やす表示を減らす

オンプレミスディレクトリに接続しようとすると、DNS「使用不可」エラーが表示される

オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector は、TCPUDPポート 53 を介してオンプレミスDNSサーバーと通信できる必要があります。セキュリティグループとオンプレミスファイアウォールがこのポート経由で TCPとUDP通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

オンプレミスディレクトリに接続しようとすると、SRV「レコード」エラーが表示される

オンプレミスのディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector は、 ディレクトリに接続するときに _ldap._tcp.<DnsDomainName>および _kerberos._tcp.<DnsDomainName>SRVレコードを取得する必要があります。ディレクトリへの接続時に指定したDNSサーバーからこれらのレコードを取得できない場合、このエラーが発生します。これらのSRVレコードの詳細については、「」を参照してくださいSRV record requirements

認証の問題

AD Connector の一般的な認証問題は次のとおりです。

スマートカード Amazon WorkSpaces で にサインインしようとすると、「Certificate Validation failed」というエラーが表示される

スマートカード WorkSpaces で にサインインしようとすると、次のようなエラーメッセージが表示されます。

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

このエラーは、スマートカードの証明書が証明書を使用するクライアントに適切に保存されていない場合に発生します。AD Connector とスマートカードの要件の詳細については、「」を参照してください前提条件

ユーザーの証明書ストアに証明書を保存するスマートカードの機能をトラブルシューティングするには、次の手順に従います。

  1. 証明書へのアクセスに問題があるデバイスで、 にアクセスします。Microsoft Management Console (MMC).

    重要

    先に進む前に、スマートカードの証明書のコピーを作成します。

  2. の証明書ストアに移動しますMMC。証明書ストアからユーザーのスマートカード証明書を削除します。で証明書ストアを表示する方法の詳細についてはMMC、「How to: View certificates with the MMC snap-in in」を参照してください。Microsoft ドキュメント内) を参照してください。

  3. スマートカードを削除します。

  4. スマートカードを再挿入して、ユーザーの証明書ストアにスマートカード証明書を再入力できるようにします。

    警告

    スマートカードが証明書をユーザーストアに再入力していない場合、 WorkSpaces スマートカード認証には使用できません。

AD Connector のサービスアカウントには、次のものが必要です。

  • my/spn がサービスプリンシパル名に追加されました

  • LDAP サービスに委任

証明書がスマートカードに再入力されると、オンプレミスドメインコントローラーをチェックして、サブジェクト代替名のユーザープリンシパルネーム (UPN) マッピングからブロックされているかどうかを判断する必要があります。この変更の詳細については、「」のUPN「マッピング用のサブジェクト代替名を無効にする方法」を参照してください。Microsoft ドキュメント内) を参照してください。

ドメインコントローラーのレジストリキーを確認するには、次の手順に従います。

  1. レジストリエディタ で、次の hive キーに移動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName

  2. を選択しますUseSubjectAltName。値が 0 に設定されていることを確認します。

注記

レジストリキーがオンプレミスのドメインコントローラーに設定されている場合、AD Connector は でユーザーを見つけることができません。Active Directory および は、上記のエラーメッセージを表示します。

認証局 (CA) 証明書は、AD Connector スマートカード証明書にアップロードする必要があります。証明書にはOCSP情報が含まれている必要があります。CA の追加要件を以下に示します。

  • 証明書は、ドメインコントローラー、認証機関サーバー、および の信頼されたルート権限にある必要があります WorkSpaces。

  • オフライン CA 証明書とルート CA 証明書にはOSCP情報は含まれません。これらの証明書には、取り消しに関する情報が含まれています。

  • スマートカード認証にサードパーティーの CA 証明書を使用している場合は、CA 証明書と中間証明書を に発行する必要があります。Active Directory NTAuth ストア。これらは、すべてのドメインコントローラー、認証機関サーバー、および の信頼できるルート権限にインストールする必要があります WorkSpaces。

    • 次のコマンドを使用して、 に証明書を発行できます。Active Directory NTAuth ストア:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

NTAuth ストアへの証明書の発行の詳細については、「Common Access Cards インストールガイド」の「Access Amazon のエンタープライズNTAuthストアに発行済み CA 証明書をインポートする」を参照してください。 WorkSpaces

ユーザー証明書または CA チェーン証明書が によって検証されているかどうかを確認するには、OCSP次の手順に従います。

  1. スマートカード証明書を C: ドライブなどのローカルマシン上の場所にエクスポートします。

  2. コマンドラインプロンプトを開き、エクスポートされたスマートカード証明書が保存されている場所に移動します。

  3. 次のコマンドを入力します。

    certutil -URL Certficate_name.cer

  4. コマンドの後にポップアップウィンドウが表示されます。右隅の OCSPオプションを選択し、 の取得 を選択します。ステータスは検証済みとして返されます。

certutil コマンドの詳細については、「」の「certutil」を参照してください。Microsoft ドキュメント

表示を増やす表示を減らす

AD Connector で使用されるサービスアカウントで認証を試みると、「Invalid Credentials」(無効な認証情報) というエラーが表示される

このエラーは、ドメインコントローラーのハードドライブ容量が不足している場合に発生する場合があります。ドメインコントローラーのハードドライブがいっぱいでないことを確認します。

AWS アプリケーションを使用してユーザーまたはグループを検索すると、「認証不可」というエラーが表示される

AD Connector ステータスがアクティブであっても、 WorkSpaces や Amazon などの AWS アプリケーションの使用中にユーザーを検索すると QuickSight、エラーが発生する可能性があります。認証情報が期限切れになると、AD Connector が Active Directory 内のオブジェクトのクエリを完了できなくなる可能性があります。「」で提供されている順序付けされたステップを使用して、サービスアカウントのパスワードを更新しますAmazon EC2インスタンスのシームレスなドメイン結合が機能しなくなった

AD Connector サービスアカウントを更新しようとすると、ディレクトリ認証情報に関するエラーが表示される

AD Connector サービスアカウントを更新しようとすると、次のようなエラーメッセージが表示されます。

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

時刻同期と Kerberos に問題がある可能性があります。AD Connector が Kerberos 認証リクエストを に送信する Active Directory。 これらのリクエストは時間的制約があり、リクエストが遅延すると失敗します。この問題を解決するには、「レコメンデーション - 信頼できるタイムソースPDCでルートを設定し、 で広範囲のタイムスキューを回避する」を参照してください。Microsoft ドキュメント内) を参照してください。タイムサービスと同期の詳細については、以下を参照してください。

表示を増やす表示を減らす

一部のユーザーがディレクトリで認証されない

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。これは、新しいユーザーアカウントのデフォルト設定ですが、変更しないでください。この設定の詳細については、「 の事前認証」を参照してください。Microsoft TechNet.

メンテナンスの問題

AD Connector の一般的なメンテナンスの問題は次のとおりです。

  • ディレクトリが「Requested」(リクエスト済み) の状態から変化しない

  • Amazon EC2インスタンスのシームレスなドメイン結合が機能しなくなった

ディレクトリが「Requested」(リクエスト済み) の状態から変化しない

5 分を経過しても、ディレクトリのステータスが「Requested」(リクエスト済み) の状態から変わらない場合は、ディレクトリを削除して、作成し直してください。If this problem persists, contact AWS Support. (この問題が解決しない場合は、お問い合わせください。)

Amazon EC2インスタンスのシームレスなドメイン結合が機能しなくなった

EC2 インスタンスのシームレスなドメイン結合が機能し、AD Connector がアクティブになっている間に停止した場合、AD Connector サービスアカウントの認証情報の有効期限が切れている可能性があります。認証情報の有効期限が切れると、AD Connector が にコンピュータオブジェクトを作成できなくなる可能性があります。Active Directory.

この問題を解消するには、パスワードが一致するように、次の順序でサービスアカウントのパスワードを更新します。

  1. のサービスアカウントのパスワードを更新する Active Directory.

  2. の AD Connector のサービスアカウントのパスワードを更新します AWS Directory Service。詳細については、「での AD Connector サービスアカウントの認証情報の更新 AWS Management Console」を参照してください。

重要

でパスワードのみを更新 AWS Directory Service しても、パスワードの変更は既存のオンプレミスにプッシュされません。Active Directory そのため、前の手順で示した順序で実行することが重要です。

AD Connector を削除できない

AD Connector が動作不能な状態に切り替わると、ドメインコントローラーにアクセスできなくなります。AD Connector にリンクされているアプリケーションがまだ存在する場合は、それらのアプリケーションの 1 つが引き続きディレクトリを使用している可能性があるため、AD Connector の削除をブロックします。AD Connector を削除するには、無効にする必要があるアプリケーションのリストについては、「」を参照してくださいAD コネクタの削除。AD Connector を削除できない場合は、 を通じてヘルプをリクエストできますAWS Support