翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon FSx のトラブルシューティング
以下のシナリオを使用して、Amazon FSx で発生する問題をトラブルシューティングします。
Amazon FSx の使用中に以下に記載されていない問題が発生した場合は、[Amazon FSx フォーラム](https://forums.aws.amazon.com/forum.jspa?forumID=308)で質問してみてください。
**Topics**
+ [ファイルシステムにアクセスできない](unable-to-access.md)
+ [新しい Amazon FSx ファイルシステムの作成が失敗する](unable-to-create-fs.md)
+ [ファイルシステムが正しく設定されていない状態です](misconfigured-ad-config.md)
+ [マルチ AZ またはシングル AZ 2 ファイルシステムで DFS-R を設定することができない](dfs-r.md)
+ [ストレージまたはスループットキャパシティの更新が失敗する](admin-actions-ts.md)
# ファイルシステムにアクセスできない
次のように、ファイルシステムにアクセスできない原因はいくつか考えられますが、それぞれ独自の解決方法があります。
**Topics**
+ [ファイルシステム Elastic Network Interface が変更または削除されました](#eni-deleted)
+ [ファイルシステム Elastic Network Interface に接続された Elastic IP アドレスが削除されました](#eni-epi-removed)
+ [ファイルシステムのセキュリティグループには、必要なインバウンドまたはアウトバウンドルールがありません。](#sg-lacks-inbound-rules)
+ [コンピューティングインスタンスのセキュリティグループに、必要なアウトバウンドルールがありません](#compute-instance-lacks-inbound-rules)
+ [アクティブディレクトリに結合していないコンピューティングインスタンス](#fs-not-joined-to-ad)
+ [ファイル共有は存在しません](#file-share-doesnt-exist)
+ [アクティブディレクトリユーザーに必要な許可がありません](#ad-user-lacks-permission)
+ [削除されたフルコントロール許可の NTFS ACL 許可](#removed-allow-full-control)
+ [オンプレミスのクライアントを使用してファイルシステムにアクセスできない](#non-private-ips-onprem)
+ [新しいファイルシステムは DNS に登録されていません](#fs-dns-not-registered)
+ [DNS エイリアスを使用してファイルシステムにアクセスできない](#cant-connect-using-dns-alias)
+ [IP アドレスを使用してファイルシステムにアクセスすることができない](#cant-connect-using-ip-address)
## ファイルシステム Elastic Network Interface が変更または削除されました
ファイルシステムの Elastic Network Interface 変更または削除しないでください。ネットワークインターフェイスを変更または削除すると、VPC とファイルシステム間の接続が完全に失われる可能性があります。新しいファイルシステムを作成し、Amazon FSx Elastic Network Interface は変更または削除しないでください。詳細については、「[Amazon VPC を使用したファイルシステムアクセスコントロール](limit-access-security-groups.md)」を参照してください。
## ファイルシステム Elastic Network Interface に接続された Elastic IP アドレスが削除されました
Amazon FSxは、公開インターネットからのファイルシステムへのアクセスをサポートしていません。Amazon FSx は、ファイルシステムの Elastic Network Interface に接続される Elastic IP アドレス (インターネットから到達可能なパブリック IP アドレス) を自動的にデタッチします。詳細については、「[データへのアクセス](supported-fsx-clients.md)」を参照してください。
## ファイルシステムのセキュリティグループには、必要なインバウンドまたはアウトバウンドルールがありません。
[Amazon VPC セキュリティグループ](limit-access-security-groups.md#fsx-vpc-security-groups) で指定されているインバウンドルールを確認し、ファイルシステムに関連付けられているセキュリティグループに対応するインバウンドルールがあることを確認します。
## コンピューティングインスタンスのセキュリティグループに、必要なアウトバウンドルールがありません
[Amazon VPC セキュリティグループ](limit-access-security-groups.md#fsx-vpc-security-groups) で指定されているアウトバウンドルールを確認し、コンピューティングインスタンスに関連付けられているセキュリティグループに対応するアウトバウンドルールがあることを確認します。
## アクティブディレクトリに結合していないコンピューティングインスタンス
コンピューティングインスタンスが、次の 2 種類のアクティブディレクトリのいずれかに正しく結合されていない可能性があります。
+ ファイルシステムが結合されている AWS Managed Microsoft AD ディレクトリ。
+ AWS Managed Microsoft AD ディレクトリと一方向のフォレストの信頼関係が確立されている Microsoft アクティブディレクトリのディレクトリ。
コンピューティングインスタンスが 2 種類のディレクトリのいずれかに結合していることを確認してください。1 つのタイプは、ファイルシステムが結合されている AWS Managed Microsoft AD ディレクトリです。もう 1 つのタイプは、ディレクトリと一方向のフォレスト信頼関係が確立されている Microsoft Active Directory AWS Managed Microsoft AD ディレクトリです。詳細については、「[AWS Directory Service for Microsoft Active Directory を Amazon FSx と使用する](fsx-aws-managed-ad.md)」を参照してください。
## ファイル共有は存在しません
アクセスしようとしている Microsoft Windows ファイル共有は存在しません。
既存のファイル共有を使用している場合は、ファイルシステムの DNS 名と共有名が正しく指定されていることを確認してください。ファイル共有を管理する方法については、「[ファイル共有の作成、更新、削除](managing-file-shares.md)」を参照してください。
## アクティブディレクトリユーザーに必要な許可がありません
ファイル共有にアクセスしているアクティブディレクトリユーザーには、必要なアクセス許可がありません。
共有フォルダのファイル共有および Windows アクセスコントロールリスト (ACL) のアクセス許可が、そのフォルダにアクセスする必要があるアクティブディレクトリユーザーへのアクセスを許可していることを確認します。
## 削除されたフルコントロール許可の NTFS ACL 許可
共有しているフォルダに対して SYSTEM ユーザーの **[Allow Full control]** (フルコントロールを許可) の NTFS ACL 許可を削除すると、その共有にアクセスできなくなり、それ以降のファイルシステムのバックアップが使用できなくなることがあります。
影響を受けるファイル共有を再作成する必要があります。詳細については、「[ファイル共有の作成、更新、削除](managing-file-shares.md)」を参照してください。フォルダまたは共有を再作成した後、コンピューティングインスタンスから Windows ファイル共有をマッピングして使用できます。
## オンプレミスのクライアントを使用してファイルシステムにアクセスできない
Direct Connect または VPN を使用してオンプレミスから Amazon FSx ファイルシステムを使用し、オンプレミスクライアントに非プライベート IP アドレス範囲を使用している。
Amazon FSx は、2020 年 12 月 17 日以降に作成されたファイルシステム上の非プライベート IP アドレスを持つオンプレミスクライアントからのアクセスのみをサポートします。
2020 年 12 月 17 日以前に作成された FSx for Windows ファイルサーバーのファイルシステムに、非プライベート IP アドレス範囲を使用してアクセスする必要がある場合は、ファイルシステムのバックアップを復元して、新しいファイルシステムを作成します。詳細については、「[バックアップでデータを保護する。](using-backups.md)」を参照してください。
## 新しいファイルシステムは DNS に登録されていません
セルフマネージドアクティブディレクトリに結合しているファイルシステムの場合、カスタマーネットワークは Microsoft DNS を使用しないため、Amazon FSx は作成時にファイルシステム DNS を登録していません。
ネットワークが Microsoft DNS ではなくサードパーティーの DNS サービスを使用している場合、Amazon FSx はファイルシステムを DNS に登録しません。Amazon FSx ファイルシステムの DNS A エントリをマニュアルで設定する必要があります。シングル AZ 1 ファイルシステムの場合は、DNS A エントリを 1 つ追加する必要があります。シングル AZ 2 およびマルチ AZ ファイルシステムの場合は、2 つの DNS A エントリを追加する必要があります。DNS A エントリをマニュアルで追加する際に使用するファイルシステムの IP アドレスを取得するには、次の手順を実行します。
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で、IP アドレスを取得したいファイルシステムを選択すると、ファイルシステムの詳細ページが表示されます。
1. **[Network & security]** (ネットワークとセキュリティ) タブで、次のいずれかを実行します。
+ シングル AZ 1 ファイルシステムの場合:
+ **[Subnet]** (サブネット) パネルで、**[Network Interface]** (ネットワークインターフェイス) に表示されている Elastic Network Interface を選択して、Amazon EC2 コンソールの **[Network Interfaces]** (ネットワークインターフェイス) ページを開きます。
+ **[Primary private IPv4 IP]** (プライマリプライベート IPv4 IP) 列には、シングル AZ 1 ファイルシステムが使用する IP アドレスが表示されます。
+ シングル AZ 2 またはマルチ AZ ファイルシステムの場合:
+ **[Preferred subnet]** (優先サブネット) パネルで、**[Network Interface]** (ネットワークインターフェイス) に表示されている Elastic Network Interface を選択して、Amazon EC2 コンソールの **[Network Interfaces]** (ネットワークインターフェイス) ページを開きます。
+ 使用する優先サブネットの IP アドレスは、**[Secondary private IPv4 IP]** (セカンダリプライベート IPv4 IP) 列に表示されます。
+ Amazon FSx の **[Standby subnet]** (スタンバイサブネット) パネルで、**[Network Interface]** (ネットワークインターフェイス) に表示されている Elastic Network Interface を選択して、Amazon EC2 コンソールの **[Network Interfaces]** (ネットワークインターフェイス) ページを開きます。
+ 使用する優先サブネットの IP アドレスは、**[Secondary private IPv4 IP]** (セカンダリプライベート IPv4 IP) 列に表示されます。
## DNS エイリアスを使用してファイルシステムにアクセスできない
DNS エイリアスを使用してファイルシステムにアクセスできない場合は、次の手順を使用して問題のトラブルシューティングを行います。
1. 次のいずれかの手順を実行して、エイリアスがファイルシステムに関連付けられていることを確認します。
1. **Amazon FSx コンソールの使用** - アクセスしようとしているファイルシステムを選択します。**[File system details]** (ファイルシステムの詳細) ページでは、**[DNS aliases]** (DNS エイリアス) は **[Network & security]** (ネットワークとセキュリティ) タブに表示されます。
1. **CLI または API の使用**– [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/fsx/describe-file-system-aliases.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/fsx/describe-file-system-aliases.html) CLI コマンドまたは[ DescribeFileSystemAliases](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystemAliases.html) API オペレーションを使用して、現在ファイルシステムに関連付けられているエイリアスを取得します。
1. DNS エイリアスが一覧表示されていない場合は、それをファイルシステムに関連付ける必要があります。詳細については、「[既存のファイルシステム上の DNS エイリアスを管理する](manage-aliases-existing-fs.md)」を参照してください。
1. DNS エイリアスがファイルシステムに関連付けられている場合は、次の必須項目も設定されていることを確認します。
+ Amazon FSx ファイルシステムのアクティブディレクトリコンピュータオブジェクトに DNS エイリアスに対応するサービスプリンシパル名 (SPN) を作成している。
詳細については、「[Kerberos のサービスプリンシパル名 (SPN) を設定する](step2-configure-spn-kerberos.md)」を参照してください。
+ Amazon FSx ファイルシステムのデフォルトの DNS 名に解決される DNS エイリアスの DNS CNAME レコードを作成している。
詳細については、「[DNS CNAME レコードを更新または作成する](step4-configure-dns-cname.md)」を参照してください。
1. 有効な SPN と DNS CNAME レコードを作成した場合は、クライアントの DNS に正しいファイルシステムに解決される DNS CNAME レコードがあることを確認します。
1. `nslookup` を実行して、レコードが存在し、ファイルシステムのデフォルト DNS 名に解決していることを確認します。
1. DNS CNAME が別のファイルシステムに解決された場合は、クライアントの DNS キャッシュが更新されるのを待ってから、CNAME レコードを再度確認します。次のコマンドを使用して、クライアントの DNS キャッシュをフラッシュすることで、プロセスを高速化できます。
```
ipconfig /flushdns
```
1. DNS CNAME レコードが Amazon FSx ファイルシステムのデフォルト DNS に解決したにもかかわらず、クライアントがまだファイルシステムにアクセスできない場合、「[ファイルシステムにアクセスできない](#unable-to-access)」で追加のトラブルシューティング手順を参照してください。
## IP アドレスを使用してファイルシステムにアクセスすることができない
IP アドレスを使用してファイルシステムにアクセスできない場合は、代わりに DNS 名または関連する DNS エイリアスを使用してみます。
ファイルシステムの DNS 名と関連する DNS エイリアスは、[Amazon FSx コンソール](https://console.aws.amazon.com/fsx) で **Windowsファイルサーバー**、**ネットワークとセキュリティ** を選択して見つけることができます。または、[CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html) ないし [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API オペレーションのレスポンスにもあります。DNS エイリアスの使用については、「[DNS エイリアスを管理する](managing-dns-aliases.md)」を参照してください。
+ AWS Managed Microsoft Active Directory に結合されたシングル AZ ファイルシステムの場合、DNS 名は次のようになります。
```
fs-0123456789abcdef0.ad-domain.com
```
+ すべてのマルチ AZ ファイルシステムおよびセルフマネージド型 Active Directory に結合しているシングル AZ ファイルシステムの場合、DNS 名は次のようになります。
```
amznfsxaa11bb22.ad-domain.com
```
# 新しい Amazon FSx ファイルシステムの作成が失敗する
ファイルシステムの作成リクエストが失敗する場合、次のセクションで説明するように、いくつかの原因が考えられます。
**Topics**
+ [VPC セキュリティグループとネットワーク ACL の設定ミス](#network-acls-sg-config)
+ [ファイルシステム管理者グループ名の重複](#w2aac37c11c15)
+ [DNS サーバーまたはドメインコントローラーに到達できない](#w2aac37c11c17)
+ [サービスアカウントの認証情報が無効](#w2aac37c11c19)
+ [Amazon FSx は、 で Active Directory サービスアカウントの認証情報にアクセスできません AWS Secrets Manager](#fsx-cant-access-ad-account-creds)
+ [サービスアカウントのアクセス許可が不十分](#w2aac37c11c23)
+ [サービスアカウントの容量超過](#w2aac37c11c25)
+ [Amazon FSx は組織単位 (OU) にアクセスできない](#w2aac37c11c27)
+ [サービスアカウントが管理者グループにアクセスできない](#w2aac37c11c29)
+ [ドメインで Amazon FSx の接続が失われた](#w2aac37c11c31)
+ [サービスアカウントに正しいアクセス許可がない](#w2aac37c11c33)
+ [作成パラメータで使用される Unicode 文字](#w2aac37c11c35)
+ [バックアップの復元中にストレージタイプを HDD に切り替えると失敗する](#create-fs-from-backup-fails)
## VPC セキュリティグループとネットワーク ACL の設定ミス
VPC セキュリティグループとネットワーク ACL が、推奨されるセキュリティグループ設定を使用して設定されていることを確認してください。詳細については、「[セキュリティグループの作成](limit-access-security-groups.md#vpc-sg-step6)」を参照してください。
## ファイルシステム管理者グループ名の重複
セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
File system creation failed. Amazon FSx is unable to apply your Microsoft Active Directory configuration with the
specified file system administrators group. Please ensure that your Active Directory does not contain multiple domain
groups with the name: domain_group.
```
Amazon FSx は、同じ名前のドメインに複数の管理者グループがあるため、ファイルシステムを作成しませんでした。
グループ名を指定しない場合、Amazon FSx は管理者グループとしてデフォルト値の「ドメイン管理者」を使用しようとします。デフォルトの「ドメイン管理者」名を使用するグループが複数ある場合、リクエストは失敗します。
以下のステップを使用し、問題を解決します。
1. ファイルシステムをセルフマネージド Active Directory に結合させるための[前提条件](self-managed-AD.md#self-manage-prereqs)を確認します。
1. セルフマネージド Active Directory に結合している FSx for Windows File Server ファイルシステムを作成する前に、[Amazon FSx Active Directory 検証ツール](validate-ad-config.md)を使用して、セルフマネージド Active Directory 設定を検証します。
1. AWS マネジメントコンソール または を使用して新しいファイルシステムを作成します AWS CLI。詳細については、「[セルフマネージド Microsoft アクティブディレクトリドメインへの Amazon FSx ファイルシステムの結合](creating-joined-ad-file-systems.md)」を参照してください。
1. セルフマネージド Active Directory のドメインで一意のファイルシステム管理者グループの名前を指定します。
## DNS サーバーまたはドメインコントローラーに到達できない
セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
Amazon FSx can't reach the DNS servers provided or the domain controllers for your self-managed directory in Microsoft Active Directory.
File system creation failed. Amazon FSx is unable to communicate with your Microsoft Active Directory domain controllers.
This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain.
To fix this problem, delete your file system and create a new one with valid DNS servers and networking configuration that allows
traffic from the file system to the domain controller.
```
以下のステップでトラブルシューティングを行い、問題を解決します。
1. Amazon FSx ファイルシステムを作成するサブネットとセルフマネージドアクティブディレクトリとの間でネットワーク接続とルーティングを確立するための前提条件に従っていることを確認します。詳細については、「[前提条件](self-managed-AD.md#self-manage-prereqs)」を参照してください。
[Amazon FSx アクティブディレクトリ検証ツール](validate-ad-config.md) を使用して、これらのネットワーク設定をテストおよび検証します。
**注記**
複数のアクティブディレクトリサイトが定義されている場合、Amazon FSx ファイルシステムに関連する VPC 内のサブネットがアクティブディレクトリのサイトで定義されており、VPC 内のサブネットと他のサイトのサブネットの間に IP の競合が存在しないことを確認してください。これらの設定は、アクティブディレクトリサイトとサービス MMC スナップインを使用して、表示および変更することができます。
1. Amazon FSx ファイルシステムに関連付けた VPC セキュリティグループと VPC ネットワーク ACL を設定して、すべてのポートでアウトバウンドネットワークトラフィックを許可していることを確認します。
**注記**
最小特権を実装する場合は、アクティブディレクトリのドメインコントローラーとの通信に必要な特定のポートへの送信トラフィックのみを許可できます。詳細については、「[Microsoft アクティブディレクトリのドキュメント](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts)」を参照してください。
1. Microsoft Windows ファイルサーバーまたはネットワーク管理プロパティの値に Latin-1 以外の文字が含まれていないことを確認します。例えば、ファイルシステム管理者グループの名前に `Domänen-Admins` を使用すると、ファイルシステムの作成に失敗します。
1. アクティブディレクトリドメインの DNS サーバーおよびドメインコントローラーがアクティブで、提供されたドメインに対するリクエストにレスポンスできることを確認します。
1. アクティブディレクトリドメインの機能レベルが Windows Server 2008 R2 以上であることを確認します。
1. アクティブディレクトリドメインのドメインコントローラーのファイアウォールルールで、Amazon FSx ファイルシステムからのトラフィックが許可されていることを確認します。詳細については、「[Microsoft アクティブディレクトリのドキュメント](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts)」を参照してください。
## サービスアカウントの認証情報が無効
セルフマネージド Active Directory に接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controllers
because the service account credentials provided are invalid. To fix this problem, delete your file
system and create a new one using a valid service account.
```
以下のステップでトラブルシューティングを行い、問題を解決します。
**ケース 1: AWS Secrets Manager シークレットを使用して Active Directory 認証情報を保存している場合**
1. 確認[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
1. シークレット ARN は正しく、`arn:aws:secretsmanager:region:account-id:secret:secret-name-6chars` という適切なフォーマットに従います。
1. シークレットに、空でない値を持つ両方の必須フィールドが含まれていることを確認します:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` –AD サービスアカウントのユーザ名。
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` –AD サービスアカウントのパスワード。
1. シークレットとキーに、シークレット値を取得するためのアクセス許可を Amazon FSx サービスプリンシパル`fsx.amazonaws.com`に付与するリソースベースのポリシーがあることを確認します。
**ケース 2: プレーンテキスト認証情報を使用して Active Directory に参加している場合**
1. セルフマネージドアクティブディレクトリの設定で、**サービスアカウントのユーザーネーム**に `ServiceAcct` などのユーザー名のみを入力していることを確認します。
**重要**
サービスアカウントのユーザー名を入力する際は、ドメインプレフィックス (`corp.com\ServiceAcct`) またはドメインサフィックス (`ServiceAcct@corp.com`) を含めないでください。
サービスアカウントのユーザー名 (CN=ServiceAcct、OU=example,DC=corp、DC=com) を入力するときは、識別名 (DN) を使用しないでください。
1. 指定したサービスアカウントがアクティブディレクトリドメインに存在することを確認します。
1. 必要な許可が、指定したサービスアカウントに委任されていることを確認してください。サービスアカウントは、ファイルシステムに接続しているドメインの OU 内でコンピュータオブジェクトを作成および削除できる必要があります。サービスアカウントには、少なくとも次の操作を実行するためのアクセス許可が必要です:
+ パスワードのリセット
+ アカウントのデータの読み取りと書き込みを制限する
+ DNS ホスト名への書き込み許可
+ サービスプリンシパル名への書き込みを許可
正しいアクセス許可を持つサービスアカウントの作成の詳細については、「[Amazon FSx サービスアカウント](self-managed-AD.md#self-managed-AD-service-account)」を参照してください。
## Amazon FSx は、 で Active Directory サービスアカウントの認証情報にアクセスできません AWS Secrets Manager
以下のセクションでは、一般的な問題とその解決方法について説明します。
**ファイルシステムを自己管理型アクティブディレクトリに参加させると、次のエラーメッセージが表示されて失敗します:**
`You can't provide both username/password and a domain join service account secret to connect to your Active Directory. Provide only one set of credentials.`
**この問題を解決するには**
1. Secrets Manager シークレットに保存されている認証情報を提供するか、プレーンテキストで提供するかを選択します。
1. Active Directory に参加するときは、これらのパラメータのいずれかのみを指定し、両方を指定しないでください。
**ファイルシステムを自己管理型アクティブディレクトリに参加させると、次のエラーメッセージが表示されて失敗します:**
`The domain join service account secret ARN format you entered isn't valid. Use the format: arn:partition:secretsmanager:region:account-id:secret:secret-name-6chars`
**この問題を解決するには**
1. 確認[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
1. 入力する ARN 形式が正しいことを確認します。正しいフォーマットの例は`arn:aws:secretsmanager:us-east-1:123456789012:secret:MyDatabaseSecret-Ab3d5f`です。
**ファイルシステムを自己管理型アクティブディレクトリに参加させると、次のエラーメッセージが表示されて失敗します:**
`Amazon FSx can't access the domain join service account secret [ARN]. Add a resource permission to the secret that grants the FSx service principal (fsx.amazonaws.com) permission to access it.`
**この問題を解決するには**
1. 確認[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
1. 指定した Secrets Manager シークレットに、Amazon FSx がシークレットを使用できるようにする正しいポリシーがあることを確認します。
**ファイルシステムを自己管理型アクティブディレクトリに参加させると、次のエラーメッセージが表示されて失敗します:**
`You don't have permission to access the domain join service account secret [ARN]. A resource permission needs to be added to the secret to grant you access.`
**この問題を解決するには**
+ SecretsManager シークレットの所有者または管理者は、このシークレットを使用するためのアクセス権をアカウントに付与する必要があります。詳細については、[アイデンティティベースのポリシー](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_iam-policies.html) を参照してください。
**ファイルシステムを自己管理型アクティブディレクトリに参加させると、次のエラーメッセージが表示されて失敗します:**
`The domain join service account secret format or content isn't valid. Make sure the secret includes both CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME and CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD fields with non-empty values.`
**この問題を解決するには**
1. 確認[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
1. 指定する Secrets Manager シークレットに両方の必須フィールドがあることを確認します。
## サービスアカウントのアクセス許可が不十分
セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not
have permission to join the file system to the domain with the specified organizational unit.
To fix this problem, delete your file system and create a new one using a service account with
permission to join the file system to the domain with the specified organizational unit.
```
次の手順を使用して、問題のトラブルシューティングと解決を行います。
+ 必要な許可が、指定したサービスアカウントに委任されていることを確認してください。サービスアカウントは、ファイルシステムに接続しているドメインの OU 内でコンピュータオブジェクトを作成および削除できる必要があります。サービスアカウントには、少なくとも次の操作を実行するためのアクセス許可が必要です:
+ パスワードのリセット
+ アカウントのデータの読み取りと書き込みを制限する
+ DNS ホスト名への書き込み許可
+ サービスプリンシパル名への書き込みを許可
正しいアクセス許可を持つサービスアカウントの作成の詳細については、「[Amazon FSx サービスアカウント](self-managed-AD.md#self-managed-AD-service-account)」を参照してください。
## サービスアカウントの容量超過
セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.
```
この問題を解決するには、提供したサービスアカウントが、ドメインに結合できるコンピュータの最大数に達していることを確認します。上限に達した場合は、適切な許可で新しいサービスアカウントを作成してください。新しいサービスアカウントを使用して、新しいファイルシステムを作成します。詳細については、「[Amazon FSx サービスアカウント](self-managed-AD.md#self-managed-AD-service-account)」を参照してください。
## Amazon FSx は組織単位 (OU) にアクセスできない
セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s).
This is because the organizational unit you specified either doesn't exist or isn't accessible
to the service account provided. To fix this problem, delete your file system and create a new one specifying an
organizational unit to which the service account can join the file system.
```
以下のステップでトラブルシューティングを行い、問題を解決します。
1. 指定した OU がアクティブディレクトリのドメインにあることを確認します。
1. 必要な許可が、指定したサービスアカウントに委任されていることを確認してください。サービスアカウントは、ファイルシステムに結合しているドメインの OU でコンピュータオブジェクトを作成および削除できる必要があります。またサービスアカウントには、少なくとも以下を実行するための許可が必要です:
+ パスワードのリセット
+ アカウントのデータの読み取りと書き込みを制限する
+ DNS ホスト名への書き込み許可
+ サービスプリンシパル名への書き込みを許可
+ コンピュータオブジェクトを作成および削除するためのコントロールを委任されます
+ アカウントの検証を読み書きするための検証済みの機能
正しい許可でサービスアカウントを作成する方法の詳細については、「[Amazon FSx サービスアカウント](self-managed-AD.md#self-managed-AD-service-account)」を参照してください。
## サービスアカウントが管理者グループにアクセスできない
セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system
administrators group you provided either doesn't exist or isn't accessible to the service account you
provided. To fix this problem, delete your file system and create a new one specifying a file
system administrators group in the domain that is accessible to the service account
provided.
```
以下のステップでトラブルシューティングを行い、問題を解決します。
1. 管理者グループパラメータの文字列として、グループの名前だけを指定していることを確認してください。
**重要**
グループ名パラメータを指定するときは、ドメインプレフィックス (`corp.com\FSxAdmins`) またはドメインサフィックス (`FSxAdmins@corp.com`) を含めないでください。
グループには識別名 (DN) を使用しないでください。識別名の例は、CN=FSxAdmins、OU=example、DC=corp、DC=com です。
1. 提供された管理者グループが、ファイルシステムに結合するドメインと同じアクティブディレクトリドメインに存在することを確認してください。
1. 管理者グループのパラメータを指定しなかった場合、Amazon FSx はアクティブディレクトリドメインの `Builtin Domain Admins` グループを使用しようとします。このグループ名が変更された場合、またはドメイン管理に別のグループを使用している場合は、そのグループ名を指定する必要があります。
## ドメインで Amazon FSx の接続が失われた
セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
Amazon FSx is unable to apply your Microsoft Active Directory configuration. To fix this problem, delete your file system and create a new one
meeting the pre-requisites described in the Amazon FSx user guide.
```
ファイルシステムを作成した際に、Amazon FSx はアクティブディレクトリドメインの DNS サーバーとドメインコントローラーに到達し、ファイルシステムをアクティブディレクトリドメインに正常に結合させることができました。しかし、ファイルシステムの作成が完了している間に、Amazon FSx はドメインへの接続またはメンバーシップを失っています。以下のステップでトラブルシューティングを行い、問題を解決します。
1. Amazon FSx ファイルシステムとアクティブディレクトリの間にネットワーク接続が存在していることを確認します。また、ルーティングルール、VPC セキュリティグループルール、VPC ネットワーク ACL、およびドメインコントローラーファイアウォールのルールを使用して、ネットワークトラフィックが引き続き許可されるようにします。
1. Amazon FSx がアクティブディレクトリのドメインでファイルシステム用に作成したコンピュータオブジェクトが、まだアクティブで、削除されたり操作されたりしていないことを確認します。
## サービスアカウントに正しいアクセス許可がない
セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s).
This is because the service account provided does not have permission to join the file system to the domain with the specified
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission
to create computer objects and reset passwords within the specified organizational unit.
```
必要な許可が、指定したサービスアカウントに委任されていることを確認してください。以下のステップでトラブルシューティングを行い、問題を解決します。
サービスアカウントには、少なくとも次のアクセス許可が必要です。
+ ファイルシステムに接続している OU 内のコンピュータオブジェクトを作成および削除するためのコントロールを委任する
+ ファイルシステムに接続している OU 内で次の許可が必要です。
+ パスワードをリセットする機能
+ アカウントのデータの読み取りと書き込みを制限する機能
+ DNS ホスト名への書き込み許可
+ サービスプリンシパル名への書き込みを許可
+ コンピュータオブジェクトを作成および削除する機能(委任可)
+ アカウントの検証を読み書きするための検証済みの機能
+ アクセス許可を変更する機能
正しい許可でサービスアカウントを作成する方法の詳細については、「[Amazon FSx サービスアカウント](self-managed-AD.md#self-managed-AD-service-account)」を参照してください。
## 作成パラメータで使用される Unicode 文字
セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。
```
File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the FSx for ONTAP User Guide.
```
Amazon FSx は Unicode 文字をサポートしていません。作成パラメータにアクセント記号などの Unicode 文字が含まれていないことを確認します。これには、デフォルト値が自動的に入力される場所で空白のままにできるパラメータが含まれます。アクティブディレクトリの対応するデフォルト値にも Unicode 文字が含まれていないことを確認します。
## バックアップの復元中にストレージタイプを HDD に切り替えると失敗する
バックアップからのファイルシステムの作成に失敗し、次のエラーメッセージが表示されます。
`Switching storage type to HDD while creating a file system from backup backup_id is not supported because a storage scaling activity was still under way on the source file system to increase storage capacity from less than 2000 GiB when the backup backup_id was taken, and the minimum storage capacity for HDD storage is 2000 GiB.`
この問題は、バックアップを復元し、ストレージタイプを SSD から HDD に変更した場合に発生します。復元するバックアップは、元のファイルシステム上でストレージ容量が増加している間に作成されたため、バックアップからの復元は失敗します。増加リクエスト前のファイルシステムの SSD ストレージ容量は 2000 GiB 未満でした。これは、HDD ファイルシステムの作成に必要な最小ストレージ容量です。
この問題を解決するには、次の手順を使用します。
1. ストレージ容量の増加リクエストが完了するのを待ちます。ファイルシステムには、少なくとも 2000 GiB の SSD ストレージ容量があります。詳細については、「[ストレージ容量の拡張をモニタリングする](monitoring-storage-capacity-increase.md)」を参照してください。
1. ユーザーが開始したファイルシステムのバックアップを取ります。詳細については、「[ユーザー主導のバックアップ機能](using-backups.md#user-initiated-backups)」を参照してください。
1. HDD ストレージを使用して、ユーザーが開始したバックアップを新しいファイルシステムに復元します。詳細については、「[新しいファイルシステムへのバックアップの復元](using-backups.md#restoring-backups)」を参照してください。
# ファイルシステムが正しく設定されていない状態です
アクティブディレクトリ環境の変更が原因で、FSx for Windows ファイルサーバーのファイルシステムが **[Misconfigured]** (接続ミス) 状態になる場合があります。この状態では、ファイルシステムは使用できないか、アベイラビリティーを失うリスクがあり、バックアップが成功しない可能性があります。
**接続ミス**状態には、Amazon FSx コンソール、API、または AWS CLIを使用してアクセスできるエラーメッセージと推奨される修正措置が含まれます。修正措置を行った後、ファイルシステムの状態が最終的に `Available` に変わることを確認します。この変更が完了するまでに数分かかる場合があることに注意してください。
次のようないくつかの理由で、ファイルシステムが **接続ミス** 状態になる可能性があります。
+ DNS サーバーの IP アドレスは無効です。
+ サービスアカウントの認証情報が有効でないか、必要な許可がありません。
+ 無効な VPC セキュリティグループ、VPC ネットワーク ACL またはルーティングテーブルの設定、またはドメインコントローラーのファイアウォール設定などのネットワーク接続の問題が原因で、アクティブディレクトリのドメインコントローラーに到達できません。
**重要**
ファイルシステムの作成後に Amazon FSx が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。
(アクティブディレクトリ要件の完全なリストについては、「[前提条件](self-managed-AD.md#self-manage-prereqs)」を参照してください。[Amazon FSx アクティブディレクトリ検証ツール](validate-ad-config.md#test-ad-network-config)を使用して、アクティブディレクトリ環境がこれらの要件を満たすように適切に設定されていることを検証することもできます。)
これらの問題のいくつかを解決するには、DNS サーバーの IP アドレスの変更や、サービスアカウントのユーザーネームまたはパスワードの変更など、ファイルシステムの[アクティブディレクトリ設定](https://docs.aws.amazon.com/fsx/latest/APIReference/API_SelfManagedActiveDirectoryConfigurationUpdates.html)のパラメータを 1 つ以上、直接更新する必要があります。このような場合、是正措置には、Amazon FSx コンソール、API、または を使用して必要な設定パラメータを更新 AWS CLI する必要があります。
ドメインコントローラーのファイアウォール設定や VPC セキュリティグループの変更など、アクティブディレクトリ設定パラメータを変更する必要がない問題もあります。ただし、これらの場合、ファイルシステムが `Available` になる前に、追加アクションを実行する必要があります。アクティブディレクトリ環境が適切に設定されていることを確認したら、Amazon FSx コンソールの **[設定ミス]** ステータスの横にある **[回復を試みる]** ボタンを選択するか、Amazon FSx コンソール、API、または AWS CLIで `StartMisconfiguredStateRecovery` コマンドを使用します。
**Topics**
+ [誤って設定されたファイルシステム: Amazon FSx は、ドメインの DNS サーバーまたはドメインコントローラーのいずれにも到達できません。](#w2aac37c13c21)
+ [ファイルシステムの設定ミス: サービスアカウントの認証情報が無効です](#w2aac37c13c23)
+ [正しく設定されていないファイルシステム: AWS Secrets Manager シークレットまたは KMS キーが正しく設定されていない](#w2aac37c13c25)
+ [ファイルシステムの設定ミス: 提供されたサービスアカウントには、ファイルシステムをドメインに結合させる許可がありません](#w2aac37c13c27)
+ [ファイルシステムの設定ミス: サービスアカウントは、これ以上コンピュータをドメインに結合させることができません](#w2aac37c13c29)
+ [ファイルシステムの設定ミス: サービスアカウントが OU にアクセスできません](#w2aac37c13c31)
## 誤って設定されたファイルシステム: Amazon FSx は、ドメインの DNS サーバーまたはドメインコントローラーのいずれにも到達できません。
Amazon FSx が Microsoft アクティブディレクトリのドメインコントローラーと通信できない場合、ファイルシステムは `Misconfigured` 状態になります。
この状況を解決するには、以下の手順を実行します:
1. ネットワーク設定で、ファイルシステムからドメインコントローラーへのトラフィックが許可されていることを確認します。
1. [ Amazon FSx アクティブディレクトリ検証ツール](validate-ad-config.md) を使用して、セルフマネージドアクティブディレクトリのネットワーク設定をテストし、検証します。詳細については、「[セルフマネージド Microsoft Active Directory を使用する](self-managed-AD.md)」を参照してください。
1. Amazon FSx コンソールで、ファイルシステムのセルフマネージドアクティブディレクトリの設定を確認します。
1. ファイルシステムのセルフマネージドアクティブディレクトリの設定を更新するには、Amazon FSx コンソールを使用します。
1. ナビゲーションペインで **ファイルシステム** を選択し、更新するファイルシステムを選択すると、**ファイルシステムの詳細** ページが表示されます。
1. **[File system details]** (ファイルシステムの詳細) ページで、**[Networking and security]** (ネットワークとセキュリティ) タブの **[Update]** (更新) を選択します。
また、Amazon FSx CLI `update-file-system` コマンドまたは API オペレーション [UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html) を使用することもできます。
## ファイルシステムの設定ミス: サービスアカウントの認証情報が無効です
Amazon FSx は、Microsoft アクティブディレクトリのドメインコントローラー、またはコントローラーとの接続を確立できません。これは、提供されたサービスアカウントの認証情報が無効であるためです。詳細については、「[セルフマネージド Microsoft Active Directory を使用する](self-managed-AD.md)」を参照してください。
設定ミスを解決するには、次の手順を実行します:
1. 正しいサービスアカウントを使用していること、およびそのアカウントに正しい認証情報を使用していることを確認してください。
1. 次に、Amazon FSx コンソールを使用して正しいサービスアカウントまたはアカウントの認証情報でファイルシステムの設定を更新します。
1. ナビゲーションペインで **ファイルシステム** を選択し、更新する設定ミスのあるファイルシステムを選択します。
1. **ファイルシステムの詳細** ページで **ネットワークとセキュリティ** タブの **更新** を選択します。
Amazon FSx API オペレーション `update-file-system` を使用することもできます。詳細については、Amazon FSx API リファレンスの「[UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)」を参照してください。
## 正しく設定されていないファイルシステム: AWS Secrets Manager シークレットまたは KMS キーが正しく設定されていない
Amazon FSx は、Microsoft アクティブディレクトリのドメインコントローラー、またはコントローラーとの接続を確立できません。これは、 AWS Secrets Manager シークレット または AWS KMS key が正しく設定されていないためです。詳細については、「[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)」を参照してください。
設定ミスを解決するには、次の手順を実行します:
1. シークレット ARN が正しく、適切な形式に従っていることを確認します: `arn:aws:secretsmanager:region:account-id:secret:secret-name-6chars`。
1. シークレットに、空でない値を持つ両方の必須フィールドが含まれていることを確認します:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` –AD サービスアカウントのユーザ名。
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` –AD サービスアカウントのパスワード。
+ シークレットとキーに、シークレット値を取得するためのアクセス許可を Amazon FSx サービスプリンシパル`fsx.amazonaws.com`に付与するリソースベースのポリシーがあることを確認します。
## ファイルシステムの設定ミス: 提供されたサービスアカウントには、ファイルシステムをドメインに結合させる許可がありません
Amazon FSx は、Microsoft アクティブディレクトリのドメインコントローラーへの接続を確立できません。これは、提供されたサービスアカウントに、指定された OU のあるドメインにファイルシステムを参加させる許可がないためです。
設定ミスを解決するには、次の手順を実行します:
1. 必要な許可を Amazon FSx サービスアカウントに追加するか、必要な許可のある新しいサービスアカウントを作成します。これを行う方法については、「[Amazon FSx サービスアカウント](self-managed-AD.md#self-managed-AD-service-account)」を参照してください。
1. 次に、ファイルシステムのセルフマネージドアクティブディレクトリ設定を新しいサービスアカウントの認証情報で更新します。Amazon FSx コンソールを使用して、設定を更新できます。
1. ナビゲーションペインで **ファイルシステム** を選択し、更新するファイルシステムを選択すると、**ファイルシステムの詳細** ページが表示されます。
1. **ファイルシステムの詳細** ページで、**ネットワークとセキュリティ** タブの **更新** を選択します。
Amazon FSx API オペレーション `update-file-system` を使用することもできます。詳細については、Amazon FSx API リファレンスの「[UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)」を参照してください。
## ファイルシステムの設定ミス: サービスアカウントは、これ以上コンピュータをドメインに結合させることができません
Amazon FSx は、Microsoft アクティブディレクトリのドメインコントローラーへの接続を確立できません。この場合の原因は、提供されたサービスアカウントが、ドメインに結合させれるコンピュータの最大数に達したためです。
設定ミスを解決するには、次の手順を実行します:
1. 別のサービスアカウントを特定するか、新しいコンピュータをドメインに結合させることができる新しいサービスアカウントを作成します。
1. 次に、Amazon FSx コンソールを使用して、ファイルシステムのセルフマネージドアクティブディレクトリ設定を新しいサービスアカウントの認証情報で更新します。
1. ナビゲーションペインで **ファイルシステム** を選択し、更新するファイルシステムを選択すると、**ファイルシステムの詳細** ページが表示されます。
1. **ファイルシステムの詳細** ページで、**ネットワークとセキュリティ** タブの **更新** を選択します。
Amazon FSx API オペレーション `update-file-system` を使用することもできます。詳細については、Amazon FSx API リファレンスの「[UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)」を参照してください。
## ファイルシステムの設定ミス: サービスアカウントが OU にアクセスできません
提供されたサービスアカウントが指定された OU にアクセスできないため、Amazon FSx は Microsoft アクティブディレクトリのドメインコントローラーへの接続を確立できません。
設定ミスを解決するには、次の手順を実行します:
1. 別のサービスアカウントを特定するか、OU にアクセスできる新しいサービスアカウントを作成します。
1. 次に、ファイルシステムのセルフマネージドアクティブディレクトリ設定を新しいサービスアカウントの認証情報で更新します。
1. ナビゲーションペインで **ファイルシステム** を選択し、更新するファイルシステムを選択すると、**ファイルシステムの詳細** ページが表示されます。
1. **ファイルシステムの詳細** ページで、**ネットワークとセキュリティ** タブの **更新** を選択します。
Amazon FSx API オペレーション `update-file-system` を使用することもできます。詳細については、Amazon FSx API リファレンスの「[UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)」を参照してください。
# マルチ AZ またはシングル AZ 2 ファイルシステムで DFS-R を設定することができない
Microsoft 分散ファイルシステムレプリケーション (DFS-R) は、マルチ AZ およびシングル AZ 2 ファイルシステムではサポートされていません。
マルチ AZ ファイルシステムは、複数のアクセスゾーンにわたる冗長性にネイティブで設定されています。複数のアベイラビリティーゾーンで高可用性を実現するには、マルチ AZ 配置タイプを使用します。詳細については、「[可用性および耐久性: シングル AZ およびマルチ AZ のファイルシステム](high-availability-multiAZ.md)」を参照してください。
# ストレージまたはスループットキャパシティの更新が失敗する
ファイルシステムのストレージとスループットキャパシティの更新リクエストが失敗する原因はいくつか考えられますが、それぞれ独自の解像度方法があります。
## Amazon FSx がファイルシステムの AWS KMS key
Amazon FSx がファイルシステムを暗号化するために使用される KMS キーにアクセスできなかったため、ストレージ容量増加リクエストが失敗しました。
管理アクションを実行するには、Amazon FSx がファイルシステムを暗号化するために使用される KMS キーにアクセスできることを確認する必要があります。次の情報を使用して、キーアクセスの問題を解決します。
+ KMS キーが削除された場合、削除された KMS キーを使用したファイルシステムとそのバックアップは復元できません。詳細については、 AWS Key Management Service デベロッパーガイド[AWS KMS keyの「 の削除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)」を参照してください。
+ KMS キーが無効になっており、カスタマーマネージドキーである場合は、再度有効にしてから、ストレージ容量の増加リクエストを再試行してください。詳細については、「 AWS Key Management Service デベロッパーガイド」の[「キーの有効化と無効化](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)」を参照してください。
+ 削除が保留中のためキーが無効である場合は、キーの削除が `PendingDeletion` 状態のうちに、ま[キー削除をキャンセル](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html)する必要があります。KMS キーが `Enabled` になったら、リクエストを再試行できます。
+ インポートが保留されているためにキーが無効である場合は、インポートが完了するまで待ってから、ストレージの増加リクエストを再試行する必要があります。
+ キーの付与制限を超えた場合は、キーの付与数の増加をリクエストする必要があります。詳細については、「 AWS Key Management Service デベロッパーガイド」の[「リソースクォータ](https://docs.aws.amazon.com/kms/latest/developerguide/resource-limits.html)」を参照してください。クォータの増加が認められたら、ストレージの増加リクエストを再試行します。
## セルフマネージドアクティブディレクトリの設定ミスのため、ストレージまたはスループットキャパシティの更新に失敗する
ファイルシステムのセルフマネージドアクティブディレクトリが誤って設定されているため、ストレージ容量またはスループットキャパシティの更新リクエストに失敗しました。
特定の設定ミスの状態を解決するには、「[ファイルシステムが正しく設定されていない状態です](misconfigured-ad-config.md)」を参照してください。
## スループットキャパシティが不十分なため、ストレージ容量の増加に失敗する
ファイルシステムのスループットキャパシティが 8 MB / 秒に設定されているため、ストレージ容量の増加リクエストが失敗しました。
ファイルシステムのスループットキャパシティを最低 16 MB / 秒に増やし、リクエストを再試行します。詳細については、「[スループット容量の管理](managing-throughput-capacity.md)」を参照してください。
## 8 MB / 秒へのスループットキャパシティの更新に失敗する
ファイルシステムのスループットキャパシティを 8 MB / 秒に変更するリクエストに失敗しました。
これは、ストレージ容量の増加リクエストが保留中または進行中の場合に発生する可能性があります。ストレージ容量を増やすには、16 MB / 秒の最小スループットが必要です。ストレージ容量の増加リクエストが完了するまで待ってから、スループットキャパシティ変更リクエストを再試行します。