セルフマネージド Active Directory のトラブルシューティング - Amazon Relational Database Service

セルフマネージド Active Directory のトラブルシューティング

セルフマネージド AD をセットアップまたは変更する際に発生する可能性のある問題は次のとおりです。

エラーコード 説明 一般的な原因 トラブルシューティングの推奨事項

エラー 2 / 0x2

指定されたファイルがシステムで見つかりません。

—domain-ou パラメータで指定された組織単位 (OU) の形式または場所が無効です。AWS Secrets Manager で指定されたドメインサービスアカウントには、OU への参加に必要なアクセス許可がありません。

—domain-ou パラメータを確認してください。ドメインサービスアカウントに OU に対する適切なアクセス許可があることを確認してください。詳細については、「AD ドメインサービスアカウントの設定」を参照してください。

エラー 5 / 0x5

アクセスが拒否されました。

ドメインサービスアカウントのアクセス許可が正しく設定されていないか、コンピュータアカウントがドメインに既に存在しています。

ドメイン内のドメインサービスアカウントのアクセス許可を確認し、RDS コンピュータアカウントがドメイン内で重複していないことを確認します。RDS コンピュータアカウントの名前は、RDS for SQL Server DB インスタンスで SELECT @@SERVERNAME を実行することで確認できます。マルチ AZ を使用している場合は、フェイルオーバーを使用して再起動し、RDS コンピュータアカウントを再度確認してください。詳細については、「 DB インスタンスの再起動」を参照してください。

エラー 87 / 0x57

パラメータが間違っています。

AWS Secrets Manager で指定されたドメインサービスアカウントには、適切なアクセス許可がありません。ユーザープロファイルが壊れている可能性もあります。

ドメインサービスアカウントの要件を確認します。詳細については、「AD ドメインサービスアカウントの設定」を参照してください。

エラー 234 / 0xEA

指定された組織単位 (OU) は存在しません。

—domain-ou パラメータで指定された OU は、セルフマネージド AD に存在しません。

—domain-ou パラメータを確認して、指定した OU がセルフマネージド AD に存在することを確認します。

エラー 1326 / 0x52E

ユーザー名またはパスワードが正しくありません。

AWS Secrets Manager で指定されたドメインサービスアカウントの認証情報に、不明なユーザー名または不正なパスワードが含まれています。セルフマネージド AD でドメインアカウントが無効になっている場合もあります。

AWS Secrets Manager で指定した認証情報が正しく、ドメインアカウントがセルフマネージド AD で有効になっていることを確認します。

エラー 1355 / 0x54B

指定されたドメインが存在しないか、接続できませんでした。

ドメインがダウンしているか、指定された DNS IP セットにアクセスできないか、指定された FQDN にアクセスできません。

—domain-dns-ips および —domain-fqdn パラメータが正しいことを確認します。RDS for SQL Server DB インスタンスのネットワーク構成を確認し、セルフマネージド AD にアクセスできることを確認します。詳細については、「ネットワーク接続の設定」を参照してください。

エラー 1772 / 0x6BA

RPC サーバーは使用できません。

AD ドメインの RPC サービスへのアクセスに問題がありました。これはサービスまたはネットワークの問題かもしれません。

RPC サービスがドメインコントローラーで実行されていることと、RDS for SQL Server DB インスタンスから TCP ポート 135 および 49152-65535 にアクセスできることを確認します。

エラー 1727 / 0x6BF

リモートプロシージャ呼び出しが失敗し、実行されませんでした。

ネットワーク接続の問題またはファイアウォールの制限により、ドメインコントローラーへの RPC 通信がブロックされます。

クロス VPC ドメイン結合を使用する場合は、クロス VPC 通信が VPC ピアリングまたは Transit Gateway のいずれかで正しく設定されていることを確認します。RDS for SQL Server DB インスタンスからドメインで TCP ハイポート 49152-65535 にアクセスできることを確認します。これには、ファイアウォールの潜在的な制限も含まれます。

エラー 2224 / 0x8B0

ユーザーアカウントは既に存在しています。

セルフマネージド AD に追加しようとしているコンピュータアカウントはすでに存在しています。

RDS for SQL Server DB インスタンスで SELECT @@SERVERNAME を実行してコンピュータアカウントを特定し、セルフマネージド AD から慎重に削除します。

エラー 2242 / 0x8c2

このユーザーのパスワードは有効期限が切れています。

AWS Secrets Manager で指定されたドメインサービスアカウントのパスワードは有効期限が切れています。

RDS for SQL Server DB インスタンスをセルフマネージド AD に参加させるために使用するドメインサービスアカウントのパスワードを更新します。

DB インスタンスをセルフマネージド Active Directory ドメインに結合すると、ドメインの状態に関連する RDS イベントが表示される場合があります。

Unhealthy domain state detected while attempt to verify or 
configure your Kerberos endpoint in your domain on 
node node_n. message

マルチ AZ インスタンスの場合、node1 と node2 の両方でエラーレポートが表示されることがあります。これは、インスタンスの Kerberos 設定がフェイルオーバーする準備ができていないことを示します。フェイルオーバーが発生した場合、Kerberos を使用した認証で問題が発生する可能性があります。設定の問題を解決して、Kerberos のセットアップが有効で最新の状態であることを確認します。マルチ AZ インスタンスの場合、すべてのネットワークとアクセス許可の設定が整っているため、新しいプライマリホストで Kerberos 認証を使用するためのアクションは必要ありません。

シングル AZ インスタンスの場合、node1 はプライマリノードです。Kerberos 認証が期待どおりに動作しない場合は、インスタンスイベントを確認し、設定の問題を解決して、Kerberos 設定が有効で最新の状態であることを確認します。