セルフマネージド Active Directory に結合されたファイルシステムの作成が失敗する - Amazon FSx for Windows File Server
ファイルシステム管理者グループ名の重複DNS サーバーまたはドメインコントローラーに到達できません無効なサービスアカウントの認証情報サービスアカウントのアクセス許可が不十分サービスアカウントの容量を超過しましたOU にアクセスできない不正なファイルシステムの管理者グループAmazon がドメインで接続FSxを失ったサービスアカウントに正しいアクセス許可がない作成パラメータで使用される Unicode 文字

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セルフマネージド Active Directory に結合されたファイルシステムの作成が失敗する

ファイルシステム管理者グループ名の重複

セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。

File system creation failed. Amazon FSx is unable to apply your Microsoft Active Directory configuration with the 
specified file system administrators group. Please ensure that your Active Directory does not contain multiple domain 
groups with the name: domain_group.

ドメインに同じ名前の管理者グループが複数存在するため、Amazon はファイルシステムを作成しFSxませんでした。

グループ名を指定しない場合、Amazon FSxは管理者グループとしてデフォルト値の「ドメイン管理者」を使用しようとします。デフォルトの「ドメイン管理者」名を使用しているグループが複数ある場合、リクエストは失敗します。

問題を解決するには、次の手順を実行します。

  1. ファイルシステムをセルフマネージド Active Directory に結合するための前提条件を確認します。

  2. Amazon FSx Active Directory 検証ツールを使用して、セルフマネージド Active Directory に参加している Windows File Server ファイルシステムFSx用の を作成する前に、セルフマネージド Active Directory 設定を検証します。

  3. AWS Management Console または を使用して新しいファイルシステムを作成します AWS CLI。詳細については、「Amazon FSx ファイルシステムをセルフマネージド Microsoft Active Directory ドメインに結合する」を参照してください。

  4. セルフマネージド Active Directory のドメイン内で一意のファイルシステム管理者グループの名前を指定します。

DNS サーバーまたはドメインコントローラーに到達できません

セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。

Amazon FSx can't reach the DNS servers provided or the domain controllers for your self-managed directory in Microsoft Active Directory. 
File system creation failed. Amazon FSx is unable to communicate with your Microsoft Active Directory domain controllers. 
This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain. 
To fix this problem, delete your file system and create a new one with valid DNS servers and networking configuration that allows 
traffic from the file system to the domain controller.

以下のステップでトラブルシューティングを行い、問題を解決します。

  1. Amazon FSx ファイルシステムを作成するサブネットとセルフマネージド Active Directory の間でネットワーク接続とルーティングを確立するための前提条件に従っていることを確認します。詳細については、「前提条件」を参照してください。

    Amazon FSx Active Directory 検証ツールを使用して、これらのネットワーク設定をテストおよび検証します。

    注記

    複数の Active Directory サイトが定義されている場合は、Amazon FSx ファイルシステムVPCに関連付けられた のサブネットが Active Directory サイトで定義され、 のサブネットとVPC他のサイトのサブネットの間に IP 競合が存在しないことを確認します。これらの設定は、Active Directory サイトとサービスのMMCスナップインを使用して表示および変更できます。

  2. すべてのポートでアウトバウンドVPCネットワークトラフィックを許可するように、Amazon FSx ファイルシステムに関連付けられたVPCセキュリティグループをACLsネットワーク とともに設定していることを確認します。

    注記

    最小特権を実装する場合は、アクティブディレクトリのドメインコントローラーとの通信に必要な特定のポートへの送信トラフィックのみを許可できます。詳細については、「Microsoft アクティブディレクトリのドキュメント」を参照してください。

  3. Microsoft Windows ファイルサーバーまたはネットワーク管理プロパティの値に Latin-1 以外の文字が含まれていないことを確認します。例えば、ファイルシステム管理者グループの名前に Domänen-Admins を使用すると、ファイルシステムの作成に失敗します。

  4. Active Directory ドメインのDNSサーバーとドメインコントローラーがアクティブで、提供されたドメインのリクエストに応答できることを確認します。

  5. アクティブディレクトリドメインの機能レベルが Windows Server 2008 R2 以上であることを確認します。

  6. Active Directory ドメインのドメインコントローラーのファイアウォールルールで、Amazon FSx ファイルシステムからのトラフィックが許可されていることを確認します。詳細については、「Microsoft アクティブディレクトリのドキュメント」を参照してください。

無効なサービスアカウントの認証情報

セルフマネージド Active Directory に結合されたファイルシステムの作成は、次のエラーメッセージで失敗します。

Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controllers 
because the service account credentials provided are invalid. To fix this problem, delete your file 
system and create a new one using a valid service account.

以下のステップでトラブルシューティングを行い、問題を解決します。

  1. セルフマネージドアクティブディレクトリの設定で、サービスアカウントのユーザーネームServiceAcct などのユーザー名のみを入力していることを確認します。

    重要

    サービスアカウントのユーザー名を入力するときは、ドメインプレフィックス (corp.com\ServiceAcct) またはドメインサフィックス (ServiceAcct@corp.com) NOTを含めてください。

    サービスアカウントのユーザー名 (CN=,OU=exampleServiceAcct,DC=corp,DC=com) を入力するときは、識別名 (DN) NOTを使用してください。

  2. 指定したサービスアカウントがアクティブディレクトリドメインに存在することを確認します。

  3. 必要な許可が、指定したサービスアカウントに委任されていることを確認してください。サービスアカウントは、ファイルシステムに接続しているドメインの OU 内でコンピュータオブジェクトを作成および削除できる必要があります。サービスアカウントには、少なくとも次の操作を実行するためのアクセス許可が必要です。

    • パスワードのリセット

    • アカウントのデータの読み取りと書き込みを制限する

    • DNS ホスト名に書き込む検証済み機能

    • サービスプリンシパル名への書き込みを許可

    正しいアクセス許可を持つサービスアカウントの作成の詳細については、「Amazon FSxサービスアカウント」を参照してください。

サービスアカウントのアクセス許可が不十分

セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.

次の手順を使用して、問題のトラブルシューティングと解決を行います。

  • 必要な許可が、指定したサービスアカウントに委任されていることを確認してください。サービスアカウントは、ファイルシステムに接続しているドメインの OU 内でコンピュータオブジェクトを作成および削除できる必要があります。サービスアカウントには、少なくとも次の操作を実行するためのアクセス許可が必要です。

    • パスワードのリセット

    • アカウントのデータの読み取りと書き込みを制限する

    • DNS ホスト名に書き込む検証済み機能

    • サービスプリンシパル名への書き込みを許可

    正しいアクセス許可を持つサービスアカウントの作成の詳細については、「Amazon FSxサービスアカウント」を参照してください。

サービスアカウントの容量を超過しました

セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

この問題を解決するには、提供したサービスアカウントが、ドメインに参加できるコンピュータの最大数に達していることを確認します。上限に達した場合は、適切な許可で新しいサービスアカウントを作成してください。新しいサービスアカウントを使用して、新しいファイルシステムを作成します。詳細については、「Amazon FSxサービスアカウント」を参照してください。

Amazon FSxが組織単位 (OU) にアクセスできない

セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.

以下のステップでトラブルシューティングを行い、問題を解決します。

  1. 指定した OU がアクティブディレクトリのドメインにあることを確認します。

  2. 必要な許可が、指定したサービスアカウントに委任されていることを確認してください。サービスアカウントは、ファイルシステムに参加しているドメインの OU でコンピュータオブジェクトを作成および削除できる必要があります。またサービスアカウントには、少なくとも以下を実行するための許可が必要です。

    • パスワードのリセット

    • アカウントのデータの読み取りと書き込みを制限する

    • DNS ホスト名に書き込む検証済み機能

    • サービスプリンシパル名への書き込みを許可

    • コンピュータオブジェクトを作成および削除するためのコントロールを委任されます

    • アカウントの検証を読み書きするための検証済みの機能

    正しい許可でサービスアカウントを作成する方法の詳細については、「Amazon FSxサービスアカウント」を参照してください。

サービスアカウントが管理者グループにアクセスできない

セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.

以下のステップでトラブルシューティングを行い、問題を解決します。

  1. 管理者グループパラメータの文字列として、グループの名前だけを指定していることを確認してください。

    重要

    グループ名パラメータを指定するときは、ドメインプレフィックス (corp.com\FSxAdmins) またはドメインサフィックス (FSxAdmins@corp.com) NOTを含めてください。

    グループの識別名 (DN) NOTを使用します。識別名の例は、CN=FSxAdmins,OU=example,DC=corp,DC=com です。

  2. 提供された管理者グループが、ファイルシステムに参加するドメインと同じアクティブディレクトリドメインに存在することを確認してください。

  3. 管理者グループパラメータを指定しなかった場合、Amazon は Active Directory ドメインでBuiltin Domain Adminsグループの使用FSxを試みます。このグループ名が変更された場合、またはドメイン管理に別のグループを使用している場合は、そのグループ名を指定する必要があります。

Amazon がドメインで接続FSxを失った

セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。

Amazon FSx is unable to apply your Microsoft Active Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

ファイルシステムを作成すると、Amazon FSxは Active Directory ドメインのDNSサーバーとドメインコントローラーに到達し、ファイルシステムを Active Directory ドメインに正常に結合できました。ただし、ファイルシステムの作成中に、Amazon はドメインへの接続またはメンバーシップをFSx失いました。以下のステップでトラブルシューティングを行い、問題を解決します。

  1. Amazon FSx ファイルシステムと Active Directory の間にネットワーク接続が引き続き存在することを確認します。また、ルーティングルール、VPCセキュリティグループルール、ネットワーク 、ACLsおよびドメインコントローラーのファイアウォールルールを使用して、VPCネットワークトラフィックが引き続き許可されるようにします。

  2. Active Directory ドメイン内のファイルシステムFSx用に Amazon によって作成されたコンピュータオブジェクトがまだアクティブであり、削除または操作されていないことを確認します。

サービスアカウントに正しいアクセス許可がない

セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.

必要な許可が、指定したサービスアカウントに委任されていることを確認してください。以下のステップでトラブルシューティングを行い、問題を解決します。

サービスアカウントには、少なくとも次のアクセス許可が必要です。

  • ファイルシステムに接続している OU 内のコンピュータオブジェクトを作成および削除するためのコントロールを委任する

  • ファイルシステムに接続している OU 内で次の許可が必要です。

    • パスワードをリセットする機能

    • アカウントのデータの読み取りと書き込みを制限する機能

    • DNS ホスト名に書き込むための検証済み機能

    • サービスプリンシパル名への書き込みを許可

    • コンピュータオブジェクトを作成および削除する機能(委任可)

    • アカウントの検証を読み書きするための検証済みの機能

    • アクセス許可を変更する機能

    正しい許可でサービスアカウントを作成する方法の詳細については、「Amazon FSxサービスアカウント」を参照してください。

作成パラメータで使用される Unicode 文字

セルフマネージドアクティブディレクトリに接続しているファイルシステムの作成に失敗すると、次のエラーメッセージが表示されます。

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the FSx for ONTAP User Guide.

Amazon FSxは Unicode 文字をサポートしていません。作成パラメータにアクセント記号などの Unicode 文字が含まれていないことを確認します。これには、デフォルト値が自動的に入力される場所で空白のままにできるパラメータが含まれます。アクティブディレクトリの対応するデフォルト値にも Unicode 文字が含まれていないことを確認します。

Amazon の使用中にここに記載されていない問題が発生した場合はFSx、Amazon FSx Forum で質問するか、Amazon Web Services Support にお問い合わせください。