翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ストレージ仮想マシン (SVM) をアクティブディレクトリに接続させることができません
SVM をアクティブディレクトリ (AD) に接続できない場合は、まず [SVM を Microsoft Active Directory に接続する仕組み](self-managed-AD-join.md) を確認します。SVM をアクティブディレクトリに接続できない原因としてよくある問題については、それぞれの状況で生成されるエラーメッセージと共に以下で説明しています。
**Topics**
+ [SVM の NetBIOS 名が、ホームドメインの NetBIOS 名と同じである。](#join-svm-ad-fails-netbios-name-home-domain)
+ [SVM が既に別のアクティブディレクトリに接続している](#join-svm-ad-fails-already-joined)
+ [SVM の NetBIOS 名が既に使用されているため、Amazon FSx がアクティブディレクトリのドメインコントローラーに接続できない](#join-svm-ad-fails-netbios-name-in-use)
+ [Amazon FSx は、 で Active Directory サービスアカウントの認証情報にアクセスできません AWS Secrets Manager](#join-svm-ad-service-account-creds-inaccessible)
+ [Amazon FSx が、アクティブディレクトリドメインコントローラーと通信できない](#join-svm-ad-fails-no-port-traffic)
+ [ポート要件またはサービスアカウントのアクセス許可が十分でないため、Amazon FSx がアクティブディレクトリに接続できない](#join-svm-ad-fails-ports-or-permissions)
+ [サービスアカウントの認証情報が無効なため、Amazon FSx がアクティブディレクトリドメインコントローラーに接続できません](#join-svm-ad-fails-invalid-service-credentials)
+ [サービスアカウントの認証情報が不十分なため、Amazon FSx がアクティブディレクトリドメインコントローラーに接続できない](#join-svm-ad-fails-insufficient-service-credentials)
+ [Amazon FSx が、Active Directory DNS サーバーまたはドメインコントローラーと通信できない](#join-svm-ad-fails-dns-servers)
+ [アクティブディレクトリのドメイン名が無効なため、Amazon FSx がはアクティブディレクトリと通信できない。](#join-svm-ad-fails-fqdn)
+ [サービスアカウントが、SVM アクティブディレクトリ設定で指定されている管理者グループにアクセスできない](#join-svm-ad-fails-no-admin-group)
+ [指定された組織単位が存在しないか、アクセスできないため、Amazon FSx がアクティブディレクトリドメインコントローラーに接続できません](#bad-org-unit-service-credentials)
## SVM の NetBIOS 名が、ホームドメインの NetBIOS 名と同じである。
SVM をセルフマネージドアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
Amazon FSx は、アクティブディレクトリとの接続を確立できません。これは、指定したサーバー名がホームドメインの NetBIOS 名であることが原因です。この問題を解決するには、ホームドメインの NetBIOS 名とは異なる SVM の NetBIOS 名を選択してください。その後、SVM を再度アクティブディレクトリに接続してみてください。
この問題を解決するには、[AWS マネジメントコンソール AWS CLI および API を使用して SVMs を Active Directory に結合する](join-svm-to-ad.md)で説明されている手順に従って、SVM のアクティブディレクトリへの追加を再試行します。SVM には、必ずアクティブディレクトリのホームドメインの NetBIOS 名とは異なる NetBIOS 名を使用してください。
## SVM が既に別のアクティブディレクトリに接続している
SVM をアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
Amazon FSx は、アクティブディレクトリとの接続を確立できません。これは、SVM が既にドメインに接続しているために発生しています。この SVM を別のドメインに接続するには、ONTAP CLI または REST API を使用して、この SVM のアクティブディレクトリへの接続を解除することができます。その後、SVM を別のアクティブディレクトリに再度接続してみてください。
この問題を解決するには、以下の手順を実行します。
1. NetApp ONTAP CLI を使用して、SVM の現在のアクティブディレクトリへの接続を解除します。詳細については、「[NetApp ONTAP CLI を使用して、SVM から Active Directory への結合を解除する](manage-svm-ad-config-ontap-cli.md#using-ontap-cli-to-unjoin-ad)」を参照してください。
1. [AWS マネジメントコンソール AWS CLI および API を使用して SVMs を Active Directory に結合する](join-svm-to-ad.md)で説明されている手順に従って、新しいアクティブディレクトリへの SVM の追加を再試行します。
## SVM の NetBIOS 名が既に使用されているため、Amazon FSx がアクティブディレクトリのドメインコントローラーに接続できない
セルフマネージドアクティブディレクトリに接続している SVM の作成に失敗し、次のエラーメッセージが表示される。
Amazon FSx は、アクティブディレクトリとの接続を確立できません。これは、指定した NetBIOS (コンピュータ) 名がすでにアクティブディレクトリで使用されていることが原因です。この問題を解決するには、アクティブディレクトリで使用されていない SVM の NetBIOS 名を選択し、NetBIOS (コンピュータ) を指定してから、SVM をアクティブディレクトリに再度接続してみてください。
この問題を解決するには、[AWS マネジメントコンソール AWS CLI および API を使用して SVMs を Active Directory に結合する](join-svm-to-ad.md) で説明されている手順に従って、SVM をアクティブディレクトリに再度接続してください。SVM には、必ずアクティブディレクトリでまだ使用されていない、一意の NetBIOS 名を使用してください。
## Amazon FSx は、 で Active Directory サービスアカウントの認証情報にアクセスできません AWS Secrets Manager
以下のセクションでは、一般的な問題とその解決方法について説明します。
**SVM をセルフマネージド Active Directory に結合すると、次のエラーメッセージが表示されて失敗します。**
`You can't provide both username/password and a domain join service account secret to connect to your Active Directory. Provide only one set of credentials.`
**この問題を解決するには**
1. Secrets Manager シークレットに保存されている認証情報を提供するか、プレーンテキストで提供するかを選択します。
1. Active Directory に参加するときは、これらのパラメータのいずれかのみを指定し、両方を指定しないでください。
**SVM をセルフマネージド Active Directory に結合すると、次のエラーメッセージが表示されて失敗します。**
`The domain join service account secret ARN format you entered isn't valid. Use the format: arn:partition:secretsmanager:region:account-id:secret:secret-name-6chars`
**この問題を解決するには**
1. 確認[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager)。
1. 入力する ARN 形式が正しいことを確認します。正しいフォーマットの例は`arn:aws:secretsmanager:us-east-1:123456789012:secret:MyDatabaseSecret-Ab3d5f`です。
**SVM をセルフマネージド Active Directory に結合すると、次のエラーメッセージが表示されて失敗します。**
`Amazon FSx can't access the domain join service account secret [ARN]. Add a resource permission to the secret that grants the FSx service principal (fsx.amazonaws.com) permission to access it.`
**この問題を解決するには**
1. 確認[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager)。
1. 指定した Secrets Manager シークレットに、Amazon FSx がシークレットを使用できるようにする正しいポリシーがあることを確認します。
**SVM をセルフマネージド Active Directory に結合すると、次のエラーメッセージが表示されて失敗します。**
`You don't have permission to access the domain join service account secret [ARN]. A resource permission needs to be added to the secret to grant you access.`
**この問題を解決するには**
+ SecretsManager シークレットの所有者または管理者は、このシークレットを使用するためのアクセス権をアカウントに付与する必要があります。詳細については、[アイデンティティベースのポリシー](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_iam-policies.html) を参照してください。
**SVM をセルフマネージド Active Directory に結合すると、次のエラーメッセージが表示されて失敗します。**
`The domain join service account secret format or content isn't valid. Make sure the secret includes both CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME and CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD fields with non-empty values.`
**この問題を解決するには**
1. 確認[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager)。
1. 指定する Secrets Manager シークレットに両方の必須フィールドがあることを確認します。
## Amazon FSx が、アクティブディレクトリドメインコントローラーと通信できない
SVM をセルフマネージドアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
Amazon FSx が、アクティブディレクトリと通信できません。この問題を解決するには、Amazon FSx とドメインコントローラーの間のネットワークトラフィックが許可されていることを確認してください。その後、SVM を再度アクティブディレクトリに接続してみてください。
この問題を解決するには、次の操作を行います:
1. [ネットワークの設定要件](self-manage-prereqs.md#ontap-ad-network-configs) に記載されている要件を確認し、Amazon FSx と AD 間のネットワーク通信を有効にするために必要な変更を加えます。
1. Amazon FSx が AD と通信できるようになったら、[AWS マネジメントコンソール AWS CLI および API を使用して SVMs を Active Directory に結合する](join-svm-to-ad.md) で説明されている手順に従い、SVM を AD に再度接続してみてください。
## ポート要件またはサービスアカウントのアクセス許可が十分でないため、Amazon FSx がアクティブディレクトリに接続できない
SVM をセルフマネージドアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
Amazon FSx は、アクティブディレクトリとの接続を確立できません。これは、アクティブディレクトリのポート要件が満たされていないか、指定されたサービスアカウントに、指定された組織単位を持つドメインにストレージ仮想マシンを接続させる許可がないことが原因です。この問題を解決するには、Amazon FSx ユーザーガイドの推奨に従って、ポートとサービスアカウントのアクセス許可の問題を解決してから、ストレージ仮想マシンのアクティブディレクトリ設定を更新してください。
この問題を解決するには、次の操作を行います:
1. [ネットワークの設定要件](self-manage-prereqs.md#ontap-ad-network-configs) に記載されている要件を確認し、ネットワーク要件を満たすために必要となる変更を加え、必要なポートで通信が有効になっていることを確認します。
1. [アクティブディレクトリサービスアカウントの要件](self-manage-prereqs.md#ontap-ad-service-account-prereqs) に記載されているサービスアカウントの要件を確認します。指定された組織単位を使用して SVM をアクティブディレクトリドメインに参加させるために必要な委任されたアクセス許可がサービスアカウントにあることをご確認ください。
1. ポートのアクセス許可またはサービスアカウントを変更したら、[AWS マネジメントコンソール AWS CLI および API を使用して SVMs を Active Directory に結合する](join-svm-to-ad.md) で説明されている手順に従って、SVM を AD に再度接続してみてください。
## サービスアカウントの認証情報が無効なため、Amazon FSx がアクティブディレクトリドメインコントローラーに接続できません
SVM をセルフマネージドアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
提供されたサービスアカウントの認証情報が無効であるため、Amazon FSx はアクティブディレクトリドメインコントローラーとの接続を確立できません。この問題を解決するには、ストレージ仮想マシンのアクティブディレクトリ設定を有効なサービスアカウントで更新します。
この問題を解決するには、[AWS マネジメントコンソール、 AWS CLI、および API を使用した既存の SVM Active Directory 設定の更新](update-svm-ad-config.md) で説明されている手順を使用して SVM のサービスアカウント認証情報を更新します。サービスアカウントのユーザー名を入力するときは、ユーザー名のみを含め (`ServiceAcct` など)、ドメインプレフィックス (`corp.com\ServiceAcct` など) またはドメインサフィックス (`ServiceAcct@corp.com` など) を含めないでください。サービスアカウントのユーザー名 (`CN=ServiceAcct,OU=example,DC=corp,DC=com` など) を入力するときは、識別名 (DN) を使用しないでください。
## サービスアカウントの認証情報が不十分なため、Amazon FSx がアクティブディレクトリドメインコントローラーに接続できない
SVM をセルフマネージドアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
Amazon FSx は、アクティブディレクトリドメインコントローラーとの接続を確立できません。これは、アクティブディレクトリのポート要件が満たされていないか、指定されたサービスアカウントに、指定された組織単位を持つドメインにストレージ仮想マシンを参加させるためのアクセス許可がないことが原因です。
この問題を解決するには、指定したサービスアカウントに必要なアクセス許可が付与されていることを確認します。サービスアカウントは、ファイルシステムに接続しているドメインの OU 内でコンピュータオブジェクトを作成および削除できる必要があります。サービスアカウントには、少なくとも次の操作を実行するためのアクセス許可が必要です:
+ パスワードのリセット
+ アカウントのデータの読み取りと書き込みを制限する
+ DNS ホスト名への書き込み許可
+ サービスプリンシパル名への書き込みを許可
+ コンピュータオブジェクトを作成および削除する権限
+ アカウントの検証を読み書きするための検証済みの機能
正しいアクセス許可を持つサービスアカウントの作成の詳細については、「[アクティブディレクトリサービスアカウントの要件](self-manage-prereqs.md#ontap-ad-service-account-prereqs)」および「[Amazon FSx サービスアカウントにアクセス許可を委任する](self-managed-AD-best-practices.md#connect_delegate_privileges)」を参照してください。
## Amazon FSx が、Active Directory DNS サーバーまたはドメインコントローラーと通信できない
SVM をセルフマネージドアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
Amazon FSx が、アクティブディレクトリと通信できません。これは、Amazon FSx が提供された DNS サーバーまたはドメインコントローラーに接続できないことが原因です。この問題を解決するには、ストレージ仮想マシンのアクティブディレクトリ設定を、有効な DNS サーバーと、ストレージ仮想マシンからドメインコントローラーへのトラフィックの流れを許可するネットワーク構成で更新します。
この問題を解決するには、次の手順を使用します:
1. 地理的な制限やファイアウォールなどが原因で、アクティブディレクトリ内の一部のドメインコントローラーのみにしかアクセスできない場合は、優先ドメインコントローラを追加できます。このオプションを使用すると、Amazon FSx は優先ドメインコントローラーへの接続を試みます。[https://docs.netapp.com/us-en/ontap/smb-admin/add-preferred-domain-controllers-task.html](https://docs.netapp.com/us-en/ontap/smb-admin/add-preferred-domain-controllers-task.html) NetApp ONTAP CLI コマンドを使用して、次の手順で優先ドメインコントローラーを追加します。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`{{management_endpoint_ip}}` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. 次のコマンドを入力します。
+ `-vserver vserver_name` はストレージ仮想マシン (SVM) 名を指定します。
+ `-domain domain_name` は、指定したドメインコントローラーが属するドメインの完全修飾アクティブディレクトリ名 (FQDN) を指定します。
+ `-preferred-dc IP_address,…` は、優先ドメインコントローラーの 1 つ以上の IP アドレスを、コンマ区切りのリストとして優先順に指定します。
```
FsxId123456789::> vserver cifs domain preferred-dc add -vserver vserver_name -domain domain_name -preferred-dc IP_address, …+
```
次のコマンドは、SVM vs1 上の SMB サーバーが cifs.lab.example.com ドメインへの外部からのアクセスを管理するために使用する優先ドメインコントローラのリストに、ドメインコントローラー 172.17.102.25 と 172.17.102.24 を追加します。
```
FsxId123456789::> vserver cifs domain preferred-dc add -vserver vs1 -domain cifs.lab.example.com -preferred-dc 172.17.102.25,172.17.102.24
```
1. ドメインコントローラーが DNS で解決できることを確認してください。[https://docs.netapp.com/us-en/ontap-cli-9121/vserver-services-access-check-dns-forward-lookup.html](https://docs.netapp.com/us-en/ontap-cli-9121/vserver-services-access-check-dns-forward-lookup.html)NetApp ONTAP CLI コマンドを使用して、指定した DNS サーバまたは仮想サーバの DNS 構成での検索に基づいてホスト名の IP アドレスを返します。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`{{management_endpoint_ip}}` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. 次のコマンドを使用して ONTAP CLI アドバンスドモードを開始します。
```
FsxId123456789::> set adv
```
1. 次のコマンドを入力します。
+ `-vserver vserver_name` はストレージ仮想マシン (SVM) 名を指定します。
+ `-hostname host_name` は、DNS サーバーで検索するホスト名を指定します。
+ `-node node_name` は、コマンドが実行されるノードの名前を指定します。
+ `-lookup-type` は、DNS サーバーで検索する IP アドレスのタイプを指定します。デフォルトは `all` です。
```
FsxId123456789::> vserver services access-check dns forward-lookup \
-vserver {{vserver_name}} -node {{node_name}} \
-domains {{domain_name}} -name-servers {{dns_server_ip_address}} \
-hostname {{host_name}}
```
1. SVM を AD に接続させる際に[必要な情報](self-managed-AD-join.md#ad-info-for-svm-join)を確認してください。
1. SVM を AD に接続させる際の[ネットワーク要件](self-manage-prereqs.md#ontap-ad-network-configs)を確認してください。
1. [ネットワークの設定要件](self-manage-prereqs.md#ontap-ad-network-configs)で説明されている手順に従って、AD DNS サーバーの正しい IP アドレスを使用して SVM の AD 設定を更新します。
## アクティブディレクトリのドメイン名が無効なため、Amazon FSx がはアクティブディレクトリと通信できない。
SVM をセルフマネージドアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
Amazon FSx が、提供された FQDN が無効であることを検出しました。この問題を解決するには、ストレージ仮想マシンのアクティブディレクトリ設定を、設定要件に準拠した FQDN で更新してください。
この問題を解決するには、次の手順を使用します:
1. [SVM をアクティブディレクトリに接続するときに必要な情報](self-managed-AD-join.md#ad-info-for-svm-join)で説明されているオンプレミスの Active Directory ドメイン名の要件を確認します。参加しようとしている Active Directory がその要件を満たしていることを確認します。
1. [AWS マネジメントコンソール AWS CLI および API を使用して SVMs を Active Directory に結合する](join-svm-to-ad.md)で説明されている手順に従って、SVM の Active Directory への参加を再試行してください。Active Directory ドメインの FQDN には必ず正しい形式を使用してください。
## サービスアカウントが、SVM アクティブディレクトリ設定で指定されている管理者グループにアクセスできない
SVM をセルフマネージドアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
Amazon FSx がアクティブディレクトリ設定を適用できません。これは、指定した管理者グループが存在しないか、指定されたサービスアカウントにアクセスできないことが原因です。この問題を解決するには、ネットワーク設定で SVM からアクティブディレクトリのドメインコントローラーと DNS サーバーへのトラフィックが許可されていることを確認してください。次に、SVM のアクティブディレクトリ設定を更新し、アクティブディレクトリの DNS サーバーを提供して、提供されたサービスアカウントにアクセスできるドメイン内の管理者グループを指定します。
この問題を解決するには、次の操作を行います:
1. SVM で管理アクションを実行するため、[ドメイングループの提供](self-managed-AD-join.md#ad-info-for-svm-join)に関する情報を確認してください。Active Directory ドメイン管理者グループの正確な名前を使用していることを確認します。
1. [AWS マネジメントコンソール AWS CLI および API を使用して SVMs を Active Directory に結合する](join-svm-to-ad.md) で説明されている手順を使用して、SVM を AD に再度接続してください。
## 指定された組織単位が存在しないか、アクセスできないため、Amazon FSx がアクティブディレクトリドメインコントローラーに接続できません
SVM をセルフマネージドアクティブディレクトリに接続すると、次のエラーメッセージが表示されて失敗します。
Amazon FSx は、アクティブディレクトリとの接続を確立できません。これは、指定した組織単位が存在しないか、指定されたサービスアカウントにアクセスできないためです。この問題を解決するには、ストレージ仮想マシンのアクティブディレクトリ設定を更新し、サービスアカウントに接続できる組織単位を指定します。
この問題を解決するには、次の操作を行います:
1. [SVM を AD に接続させるための前提条件](self-manage-prereqs.md)を確認してください。
1. SVM を AD に接続させる際に[必要な情報](self-managed-AD-join.md#ad-info-for-svm-join)を確認してください。
1. 正しい組織単位で[この手順](join-svm-to-ad.md)を実行して、SVM を Active Directory に再度接続してみてください。