翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD の使用可能なストレージ容量が少ない
Managed AWS Microsoft AD が によって障害された場合 Active Directory 使用可能なストレージ容量が少ない場合は、ディレクトリをアクティブ状態に戻すための即時アクションが必要です。この障害に関する最も一般的な 2 つの原因について、以下のセクションで説明します。
AWS Managed Microsoft AD ストレージの料金情報については、AWS Directory Service 「料金
SYSVOL フォルダに 個以上の必須グループポリシーオブジェクトが保存されている
この障害の一般的な原因は、グループポリシーの処理に必須ではないファイルを SYSVOLフォルダに保存することにあります。これらの非必須ファイルはEXEs、、MSIs、またはグループポリシーが処理するために必須ではない他のファイルである可能性があります。グループポリシーによる処理に必須であるオブジェクトは、グループポリシーオブジェクト、ログオン/オフスクリプト、および グループポリシーオブジェクト用のセントラルストア
グループポリシーソフトウェアのインストール
不要なファイルを削除するには、ユニバーサル命名規則 (UNC) パスを使用してSYSVOL共有にアクセスできます。例えば、ドメインの完全修飾ドメイン名 (FQDN) が example.com の場合、 のUNCパスは「\\example.localSYSVOL\example.local\SYSVOL」になります。グループポリシーによるディレクトリの処理に必須ではないオブジェクトを特定し削除すると、そのディレクトリは 30 分以内にアクティブな状態に戻ります。30 分後にディレクトリがアクティブでない場合は、 AWS サポートにお問い合わせください。
SYSVOL 共有に重要なグループポリシーファイルのみを保存すると、SYSVOL爆発によってディレクトリが損なわれることがなくなります。
Active Directory のデータベースがボリュームを使い切っている
この障害の一般的な原因の 1 つに、Active Directory データベースがボリュームを使い切っている場合があります。これが該当するかどうかを調べるには、ディレクトリ内のオブジェクト数の [total] (合計) を確認します。削除済み オブジェクトもディレクトリ内のオブジェクトの合計数にカウントされるため、それを明記するために、ここでは合計 を太字で強調しています。
デフォルトでは、 AWS Managed Microsoft AD は、リサイクルオブジェクトになる前の 180 日間、AD リサイクルビンに項目を保持します。オブジェクトがリサイクルされた (捨てられた) オブジェクトになると、そのオブジェクトは、さらに 180 日間保持された後で最終的にディレクトリから除去されます。つまり、削除されたオブジェクトは、完全に除去されるまで 360 日間ディレクトリデータベースに存在し続けます。この理由により、オブジェクトの合計数の評価が必要になります。
AWS Managed Microsoft AD でサポートされているオブジェクト数の詳細については、AWS Directory Service 「 の料金
削除されたオブジェクトを含むディレクトリ内のオブジェクトの総数を取得するには、ドメインに参加している Windows インスタンスから次の PowerShell コマンドを実行できます。管理インスタンスをセットアップする手順については、「AWS Managed Microsoft AD でのユーザーとグループの管理」を参照してください。
Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'
上記のコマンドからの出力例を次に示します。
Count 10000
合計数が、上に示したディレクトリサイズでサポートされるオブジェクト数を上回っている場合は、ディレクトリの容量を超えています。
この障害を解決するためのオプションを以下に示します。
-
AD のクリーンアップ
-
不要な AD オブジェクトを削除します。
-
AD のごみ箱から不要なオブジェクトを削除します。これによりオブジェクトは破壊されるので、ディレクトリの復元を実行することが、削除されたオブジェクトを回復する唯一の方法となります。
-
次のコマンドは、AD のごみ箱からすべての削除済みオブジェクトを除去します。
重要
これはオブジェクトを破壊するコマンドであり、削除したオブジェクトを回復するにはディレクトリの復元を実行する以外にないため、このコマンドの使用には細心の注意を払ってください。
$DomainInfo = Get-ADDomain $BaseDn = $DomainInfo.DistinguishedName $NetBios = $DomainInfo.NetBIOSName $ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') } ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects } -
AWS Support でケースを開き、空き領域 AWS Directory Service を再利用するようにリクエストします。
-
-
ディレクトリタイプが Standard Edition の場合、ディレクトリを Enterprise Edition にアップグレードするようにリクエストする AWS サポートでケースを開きます。このアップグレードを行うと、ディレクトリのコストも増加します。料金に関する情報については、[AWS Directory Service の料金
]を参照してください。
AWS Managed Microsoft AD では、AWS Delegated Deleted Object Lifetime Administrators グループのメンバーは、削除されたオブジェクトがリサイクルオブジェクトになる前に AD リサイクルビンに保持される日数を設定するmsDS-DeletedObjectLifetime属性を変更することができます。
注記
これは進んだ内容のトピックです。設定が不適切であると、データが失われる可能性があります。最初に「The AD Recycle Bin: Understanding, Implementing, Best Practices, and Troubleshooting
msDS-DeletedObjectLifetime 属性値は、より低い数値に変更でき、これによりオブジェクト数がサポートされているレベルを超えないようにできます。この属性に設定できる有効な最低値は 2 日です。この設定日数を超えた削除済みオブジェクトは、AD のごみ箱を使用しての復元が不可能になります。オブジェクトを回復するには、スナップショットからディレクトリを復元する必要があります。詳細については、「スナップショットを使用した AWS Managed Microsoft AD の復元」を参照してください。スナップショットから復元した結果、現時点でのデータが失われる場合があります。
ディレクトリの削除済みオブジェクトの保持期間を変更するには、次のコマンドを実行します。
注記
このコマンドを変更せずに実行すると、Deleted Object Lifetime (削除済みオブジェクトの保持期間) 属性値が 30 日に設定されます。この期間の長さを調整したい場合は、「30」を必要な数値に置き換えます。ただし、デフォルト値の 180 を超えないようにすることをお勧めします。
$DeletedObjectLifetime = 30 $DomainInfo = Get-ADDomain $BaseDn = $DomainInfo.DistinguishedName Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}
