信頼作成ステータスの理由 - AWS Directory Service
アクセスが拒否されましたドメインは存在しませんオペレーションを実行できませんでした信頼の作成に失敗しました信頼のトラブルシューティングツール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼作成ステータスの理由

AWS Managed Microsoft AD の信頼作成が失敗すると、ステータスメッセージに追加情報が含まれます。以下は、これらのメッセージが何を意味するかを理解するのに役立ちます。

アクセスが拒否されました

信頼の作成を試みた際にアクセスが拒否されました。信頼パスワードが正しくないか、またはリモートドメインのセキュリティ設定で信頼を設定することを許可していません。この問題を解決するには、以下の手順を実行します。

  • AWS Managed Microsoft AD Active Directory セルフマネージド型の Active Directory との信頼関係を作成する場合は、同じファーストサイト名が必要です。最初のサイト名は に設定されますDefault-First-Site-Name。アクセス拒否エラーは、これらの名前がドメイン間で異なる場合に発生します。

  • リモートドメインで対応する信頼を作成する際に使用したものと、同じ信頼パスワードを使用していることを確認します。

  • ドメインのセキュリティ設定で、信頼の作成を許可していることを確認します。

  • ローカルセキュリティポリシーが正しく設定されていることを確認します。特に Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously をチェックして、少なくとも以下の 3 つの名前付きパイプが含まれていることを確認してください

    • netlogon

    • samr

    • lsarpc

  • 上記の名前のパイプがNullSessionPipesレジストリパス HKLM\SYSTEM\servicesCurrentControlSet\LanmanServerParameters にあるレジストリキーの値 (複数可) として存在することを確認します。これらの値は、別々の行に挿入される必要があります。

    注記

    デフォルトで Network access: Named Pipes that can be accessed anonymously は設定されていないので、Not Defined が表示されます。これは正常な動作であり、Network access: Named Pipes that can be accessed anonymously に対するドメインコントローラの有効なデフォルト設定は netlogonsamrlsarpc です。

  • デフォルトのドメインコントローラーポリシー で、次のサーバーメッセージブロック (SMB) 署名設定を確認します。これらの設定は、コンピュータ設定 > Windows 設定 > セキュリティ設定 > ローカルポリシー/セキュリティオプション にあります。これらは次の設定と一致する必要があります。

    • Microsoft ネットワーククライアント: 通信にデジタル署名 (常に): デフォルト: 有効

    • Microsoft ネットワーククライアント: デジタル署名通信 (サーバーが同意する場合): デフォルト: 有効

    • Microsoft ネットワークサーバー: 通信にデジタル署名 (常に): 有効

    • Microsoft ネットワークサーバー: 通信にデジタル署名 (クライアントが同意した場合): デフォルト: 有効

指定されたドメイン名が存在しない、または接続できませんでした。

この問題を解決するには、 のドメインとアクセスコントロールリスト (ACL) のセキュリティグループ設定が正しく、条件付きフォワーダーの情報を正確に入力VPCしていることを確認します。 は、Active Directory 通信に必要なポートのみを開くようにセキュリティグループ AWS を設定します。セキュリティグループのデフォルト設定では、これらのポートに対する任意の IP アドレスからのトラフィックを受け入れます。アウトバウンドトラフィックは、セキュリティグループに制限されます。オンプレミスネットワークへのトラフィックを許可するには、セキュリティグループのアウトバウンドルールを更新する必要があります。セキュリティ要件の詳細については、「ステップ 2: AWS Managed Microsoft AD を準備する」を参照してください。

セキュリティグループを編集する

他のディレクトリのネットワークのDNSサーバーがパブリック (1918 年以外RFC) IP アドレスを使用している場合は、ディレクトリサービスコンソールからDNSサーバーにディレクトリに IP ルートを追加する必要があります。詳細については、「信頼関係を作成、検証、または削除する」および「前提条件」を参照してください。

Internet Assigned Numbers Authority (IANA) は、プライベートインターネット用に IP アドレス空間の次の 3 つのブロックを予約しています。

  • 10.0.0.0 – 10.255.255.255(10/8 プレフィックス)

  • 172.16.0.0 – 172.31.255.255(172.16/12 プレフィックス)

  • 192.168.0.0 – 192.168.255.255(192.168/16 プレフィックス)

詳細については、https://tools.ietf.org/html/rfc1918 を参照してください。

Managed AWS Microsoft AD のデフォルトの AD サイト名が、オンプレミスインフラストラクチャのデフォルトの AD サイト名と一致することを確認します。コンピュータは、ユーザーのドメインではなく、コンピュータがメンバーであるドメインを使用してサイト名を決定します。最も近いオンプレミスと一致するようにサイトの名前を変更すると、最も近いサイトにあるドメインコントローラーを、DC ロケーターに選択させることができます。これで問題が解決しない場合は、先に作成してある条件付きフォワーダーからの情報がキャッシュされたことで、新しい信頼の作成が妨げられている可能性があります。数分待ってから、信頼と条件付きフォワーダーの作成を再試行してください。

これがどのように機能するかの詳細については、「」の「フォレストトラスト間のドメインロケーター」を参照してください。Microsoft ウェブサイト。

デフォルトの初期サイト名

このドメインでオペレーションを実行できませんでした

これを解決するには、両方のドメイン/ディレクトリに重複するNETBIOS名前 (複数可) がないことを確認します。ドメイン/ディレクトリNETBIOSの名前が重複している場合は、別のNETBIOS名前でドメイン/ディレクトリの 1 つを再作成してから、再試行してください。

「Required and valid domain name (必須かつ有効なドメイン名)」というエラーが原因で、信頼の作成に失敗しました

DNS 名前には、アルファベット (A~Z)、数字 (0~9)、マイナス記号 (-)、ピリオド (.) のみを使用できます。ピリオド文字を使用できるのは、ドメインスタイル名のコンポーネントを区切るために使用する場合のみです。また、以下の点を考慮してください。

  • AWS Managed Microsoft AD は、単一ラベルドメインでの信頼をサポートしていません。詳細については、「」を参照してくださいMicrosoft は、単一ラベルドメイン をサポートします

  • RFC 1123 (https://tools.ietf.org/html/rfc1123) によると、DNSラベルで使用できる文字は、「A」から「Z」、「a」から「z」、「0」から「9」、およびハイフン (」-「」) のみです。ピリオド [.] はDNS名前にも使用されますが、DNSラベルと の最後にのみ使用されますFQDN。

  • RFC 952 (https://tools.ietf.org/html/rfc952) によると、「name」 (Net、Host、Gateway、または Domain name) は、アルファベット (A~Z)、数字 (0~9)、マイナス記号 (-)、ピリオド (.) から最大 24 文字のテキスト文字列です。ピリオド文字を使用できるのは、「ドメインスタイル名」のコンポーネントを区切るために使用する場合のみです。

詳細については、「 でのホストとドメインの名前制限の遵守」を参照してください。Microsoft ウェブサイト。

信頼テスト用の一般的なツール

以下は、信頼に関連するさまざまな問題をトラブルシューティングするために使用できるツールです。

AWS Systems Manager Automation トラブルシューティングツール

Support Automation Workflows (SAW) は、 AWS Systems Manager Automation を活用して、 用の事前定義されたランブックを提供します AWS Directory Service。AWSSupport-TroubleshootDirectoryTrust ランブックツールは、 AWS Managed Microsoft AD とオンプレミス間の一般的な信頼作成問題を診断するのに役立ちます。Microsoft Active Directory.

DirectoryServicePortTest ツール

DirectoryServicePortTest テストツールは、 AWS Managed Microsoft AD とオンプレミス Active Directory 間の信頼作成に関する問題のトラブルシューティングに役立ちます。ツール使用方法の例については、「AD Connector をテストする」を参照してください。

NETDOM および NLTEST ツール

管理者は、Netdom および Nltest のコマンドラインツールを使用して、信頼の検索、表示、作成、削除、および管理を行うことができます。これらのツールは、ドメインコントローラーのLSA権限と直接通信します。これらのツールの使用方法の例については、「Netdom」およびNLTEST「」を参照してください。Microsoft ウェブサイト。

パケットキャプチャツール

組み込みの Windows パッケージキャプチャユーティリティを使用して、ネットワークの問題の可能性を調査し、トラブルシューティングを行うことができます。詳細については、「Capture a Network Trace without installing anything」(インストールを一切行わずにネットワークトレースをキャプチャする) を参照してください。