AD Connector のトラブルシューティング - AWS Directory Service
作成に関する問題接続の問題認証問題メンテナンスの問題AD Connector を削除できないAD Connector 発行者を調査するための一般的なツール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AD Connector のトラブルシューティング

以下のセクションは、AD Connector 作成時および使用時に直面する可能性のある一般的な問題をトラブルシューティングするのに役立ちます。

作成に関する問題

AD Connector の作成に関する一般的な問題は次のとおりです

ディレクトリを作成すると、「AZ Constrained」(AZ 制約) エラーが表示される

2012 年以前に作成された一部の AWS アカウントでは、 Directory Service ディレクトリをサポートしていない米国東部 (バージニア北部)、米国西部 (北カリフォルニア)、またはアジアパシフィック (東京) リージョンのアベイラビリティーゾーンにアクセスできる場合があります。Active Directory 作成時にこのようなエラーが表示される場合は、別のアベイラビリティーゾーンのサブネットを選択して、ディレクトリを再度作成します。

AD Connector を作成しようとすると、「Connectivity issues detected」というエラーが表示される

AD Connector の作成時に「接続の問題が検出されました」というエラーが表示された場合は、ポートの可用性または AD Connector パスワードの複雑さが原因である可能性があります。AD Connector の接続をテストして、次のポートが使用可能かどうかを確認できます。

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

接続をテストするには、「AD Connector をテストする」を参照してください。接続テストは、AD Connector の IP アドレスが関連付けられている両方のサブネットに結合されたインスタンスで実行する必要があります。

接続テストが成功し、インスタンスがドメインに結合する場合は、AD Connector のパスワードを確認します。AD Connector は AWS パスワードの複雑さの要件を満たしている必要があります。詳細については、「AD Connector の前提条件 のサービスアカウント」を参照してください。

AD Connector がこれらの要件を満たしていない場合は、これらの要件を満たすパスワードを使用する AD Connector を再作成してください。

以下のエラーを受け取りました。「ディレクトリの接続中に内部サービスエラーが発生しました。操作を再試行してください。」 AD Connector の作成時のエラー

このエラーは通常、AD Connector の作成が失敗し、自己管理型 Active Directory ドメインの有効なドメインコントローラーに接続できない場合に発生します。

注記

ベストプラクティスとして、自己管理型ネットワークに Active Directory サイトが定義されている場合は、以下を確認する必要があります:

  • AD Connector が存在する VPC サブネットが Active Directory サイトで定義されている。

  • VPC サブネットと他のサイトのサブネットの間に競合がない。

AD Connector はサブネット IP アドレス範囲が AD Connector を含む VPC 内の IP アドレス範囲に近い Active Directory のサイトを使用して、AD ドメインコントローラーを検出します。VPC 内の IP アドレス範囲と同じ IP アドレス範囲のサブネットを持つサイトがある場合、AD Connector はそのサイトのドメインコントローラーを検出します。ドメインコントローラーは、AD Connector が存在するリージョンに物理的に近くない場合があります。

  • カスタマーマネージド Active Directory ドメインで作成された DNS SRV レコードに不整合があります (これらのレコードは _ldap._tcp.<DnsDomainName> および _kerberos._tcp.<DnsDomainName> の構文を使用します)。これは、AD Connector がこれらの SRV レコードに基づいて有効なドメインコントローラーを見つけて、接続できなかった場合に発生する可能性があります。

  • AD Connector とファイアウォールデバイスなどのカスタマーマネージド AD 間のネットワークの問題。

ドメインコントローラー、DNS サーバー、およびディレクトリネットワークインターフェイスの VPC フローログでネットワークパケットキャプチャを使用して、この問題を調査できます。追加のサポートが必要な場合は、AWS サポート にお問い合わせください。

接続の問題

AD Connector の接続に関する一般的な問題は次のとおりです

オンプレミスのディレクトリに接続しようとすると、「Connectivity issues detected」(接続の問題が検出されました) というエラーが表示される

オンプレミスディレクトリに接続すると、次のようなエラーメッセージが表示されます。接続の問題が検出されました。LDAP が使用できません (TCP ポート 389、IP: <IP アドレス>) Kerberos/認証が使用できません (TCP ポート 88、IP: <IP アドレス>) 記載されたポートが利用可能であることを確認し、操作を再試行してください。

AD Connector は、以下のポート上で TCP および UDP によってオンプレミスのドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

  • 88 (Kerberos)

  • 389 (LDAP)

必要に応じて、追加の TCP/UDP ポートが必要になる場合があります。これらのポートの一部については、次のリストを参照してください。Active Directory で使用されるポートの詳細については、Microsoft ドキュメントの「Active Directory ドメインと信頼のファイアウォールを構成する方法」を参照してください。

  • 135 (RPC エンドポイントマッパー)

  • 646 (LDAP SSL)

  • 3268 (LDAP GC)

  • 3269 (LDAP GC SSL)

表示を増やす表示を減らす

オンプレミスのディレクトリに接続しようとすると、「DNS unavailable」(DNS が使用できません) というエラーが表示される

オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector は、ポート 53 上で TCP および UDP によってオンプレミスの DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件」を参照してください。

オンプレミスのディレクトリに接続しようとすると、「SRV record」(SRV レコード) というエラーが表示される

オンプレミスのディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector は、ディレクトリに接続するときに、_ldap._tcp.<DnsDomainName> および _kerberos._tcp.<DnsDomainName> SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。これらの SRV レコードの詳細については、「SRV record requirements」を参照してください。

認証問題

AD Connector の一般的な認証問題は次のとおりです。

スマートカード Amazon WorkSpaces で にサインインしようとすると、「証明書の検証に失敗しました」というエラーが表示される

スマートカードで WorkSpaces にサインインしようとすると、次のようなエラーメッセージが表示されます: [ERROR]: Certificate Validation failed. ブラウザまたはアプリケーションを再起動してもう一度試行し、正しい証明書を選択していることを確認してください。このエラーは、スマートカードの証明書が証明書を使用するクライアントに適切に保存されていない場合に発生します。AD Connector とスマートカードの要件の詳細については、「前提条件」を参照してください。

ユーザーの証明書ストアに証明書を保存するスマートカードの機能をトラブルシューティングするには、次の手順に従います:

  1. 証明書へのアクセスに問題があるデバイスで、Microsoft Management Console (MMC) にアクセスします。

    重要

    先に進む前に、スマートカードの証明書のコピーを作成します。

  2. MMC の証明書ストアに移動します。証明書ストアからユーザーのスマートカード証明書を削除します。MMC で証明書ストアを表示する方法の詳細については、Microsoft ドキュメントの「方法: MMC スナップインを使用して証明書を参照する」を参照してください。

  3. スマートカードを削除します。

  4. スマートカードを再度挿入して、ユーザーの証明書ストアにスマートカード証明書を再度入力できるようにします。

    警告

    スマートカードが証明書を User Store に再入力していない場合、WorkSpaces スマートカード認証には使用できません。

AD Connector のサービスアカウントには、次のものが必要です:

  • my/spn がサービスプリンシパル名に追加される

  • LDAP サービスに委任

証明書がスマートカードに再入力されると、オンプレミスドメインコントローラーをチェックして、サブジェクト代替名のユーザープリンシパルネーム (UPN) マッピングからブロックされているかどうかを判断する必要があります。この変更の詳細については、Microsoft ドキュメントの「UPN マッピングのサブジェクトの別名を無効にする方法」を参照してください。

ドメインコントローラーのレジストリキーを確認するには、次の手順に従います:

  • レジストリエディター」で、次のレジストリエントリに移動します

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName

    1. UseSubjectAltName の値を検査します:

      1. 値が [0] に設定されている場合、[サブジェクト代替名] のマッピングは [無効] になり、特定の証明書を 1 人のユーザーにのみ明示的にマッピングする必要があります。1 つの証明書が複数のユーザーにマッピングされ、この値が 0 の場合、その証明書を使用したログインは失敗します。

      2. 値が設定されていない、または 1 に設定されている場合、特定の証明書を 1 人のユーザーのみに明示的にマッピングするか、ログインに [サブジェクト代替名] フィールドを使用する必要があります。

        1. 証明書に [サブジェクト代替名] フィールドが存在する場合、それが優先されます。

        2. [サブジェクト代替名] フィールドが証明書に存在せず、証明書が複数のユーザーに明示的にマッピングされている場合、その証明書を使用したログインは失敗します。

注記

レジストリキーがオンプレミスのドメインコントローラーで設定されている場合、AD Connector は Active Directory 内のユーザーを検出できず、上記のエラーメッセージが表示されます。

認証機関 (CA) 証明書は、AD Connector スマートカード証明書にアップロードする必要があります。証明書には OCSP 情報が含まれている必要があります。CA の追加要件を以下の通りです:

  • 証明書は、ドメインコントローラー、認証機関サーバー、WorkSpaces の信頼されたルート権限にある必要があります。

  • オフライン CA 証明書とルート CA 証明書には OSCP 情報は含まれません。これらの証明書には、取り消しに関する情報が含まれています。

  • スマートカード認証にサードパーティーの CA 証明書を使用している場合は、CA 証明書と中間証明書を Active Directory NTAuth ストアに発行する必要があります。これらは、すべてのドメインコントローラー、認証機関サーバー、WorkSpaces の信頼できるルート権限にインストールされる必要があります。

    • 次のコマンドを使用して、Active Directory NTAuth ストアに証明書を発行できます:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

NTAuth ストアへの証明書の発行の詳細については、一般的なアクセスカードのインストールで Amazon WorkSpaces をアクセスするガイドの「Enterprise NTAuth ストアに発行済み CA 証明書をインポートする」を参照してください。

ユーザー証明書または CA チェーン証明書が OCSP によって検証されているかどうかを確認するには、次の手順に従います:

  1. スマートカード証明書を C: ドライブなどのローカルマシン上の場所にエクスポートします。

  2. コマンドラインプロンプトを開き、エクスポートされたスマートカード証明書が保存されている場所に移動します。

  3. 次のコマンドを入力します。

    certutil -URL Certficate_name.cer

  4. コマンドを使用すると、ポップアップウィンドウが表示されます。右隅の [OCSP オプション] を選択し、[取得] を選択します。「検証済み」のステータスで返されるはずです。

certutil コマンドの詳細については、Microsoft ドキュメントの「certutil」を参照してください

表示を増やす表示を減らす

AD Connector で使用されるサービスアカウントで認証を試みると、「Invalid Credentials」(無効な認証情報) というエラーが表示される

このエラーは、ドメインコントローラーのハードドライブ容量が不足している場合に発生する場合があります。ドメインコントローラーのハードドライブがいっぱいでないことを確認します。

AD Connector サービスアカウントを更新しようとすると、「エラーが発生しました」または「予期しないエラー」が表示される

Amazon WorkSpaces Console Launch Wizard などの AWS エンタープライズアプリケーションでユーザーを検索するときに、次のエラーまたは症状が発生します。

  • エラーが発生しました。問題が解決しない場合は、コミュニティフォーラムの AWS サポート チームにお問い合わせください AWS 。

  • エラーが発生しました。ディレクトリには認証情報の更新が必要です。ディレクトリの認証情報を更新してください。

AD Connector で AD Connector サービスアカウントの認証情報を更新しようとすると、次のエラーメッセージが表示されます:

  • 予期しないエラー。予期しないエラーが発生しました。

  • エラーが発生しました。サービスアカウントとパスワードの組み合わせに問題があり、エラーが発生しました。もう一度試してください。

AD Connector ディレクトリのサービスアカウントは、カスタマーマネージド Active Directory にあります。アカウントは、 AWS エンタープライズアプリケーションに代わって AD Connector を介して、カスタマーマネージド Active Directory ドメインに対し、クエリや操作を実行するための ID として使用されます。AD Connector は、Kerberos と LDAP を使用してこれらの操作を実行します。

次のリストでは、これらのエラーメッセージの意味について説明します。

  • 時刻の同期と Kerberos に問題がある可能性があります。AD Connector は Kerberos 認証リクエストを Active Directory に送信します。これらのリクエストには時間的制約があり、遅延すると失敗します。カスタマーマネージドドメインコントローラー間に時刻同期に関する問題がないことを確認します。この問題を解決するには、Microsoft ドキュメントの「推奨 - 権限のあるタイム ソースを使用してルート PDC を構成し、広範囲に及ぶ時刻のずれを回避する」を参照してください。タイムサービスと同期の詳細については、以下を参照してください:

  • AD Connector とカスタマーマネージドドメインコントローラーの間にファイアウォールや VPN ハードウェア設定など、ネットワーク MTU 制限がある中間ネットワークデバイスは、ネットワークの断片化が原因でこのエラーを引き起こす可能性があります。

    • MTU 制限を確認するには、カスタマーマネージドドメインコントローラーと、AD Connector を介して接続されているディレクトリサブネットのいずれかで起動された Amazon EC2 インスタンスとの間で Ping テストを実行できます。フレームサイズは、デフォルトのサイズである 1500 バイト以下にする必要があります

    • ping テストは、フレームサイズが 1500 バイト (ジャンボフレームとも呼ばれます) を超えているかどうか、そして断片化を必要とせずに AD Connector VPC とサブネットに到達できるかどうかを把握するのに役立ちます。さらに、ネットワークチームに確認し、ジャンボフレームが中間ネットワークデバイスで許可されていることを確認します。

  • AD Connector でクライアント側の LDAPS が有効になっていて、証明書の有効期限が切れている場合、この問題が発生する可能性があります。サーバー側の証明書と CA 証明書の両方が有効で、有効期限が切れておらず、LDAP ドキュメントの要件を満たしていることを確認します。

  • カスタマーマネージド Active Directory ドメインで仮想リストビューサポートが無効になっている場合、AD Connector AWS は LDAP クエリで VLV 検索を使用するため、アプリケーションはユーザーを検索できません。DisableVLVSupport がゼロ以外の値に設定されている場合、仮想リストビューのサポートは無効になります。次の手順を使用して、Active Directory で仮想リストビュー (VLV) サポートが有効になっていることを確認します:

    1. Schema Admin 認証情報を持つアカウントを使用して、スキーママスターロール所有者としてドメインコントローラーにログインします。

    2. [スタート] の次に [実行] を選択し、Adsiedit.msc と入力します。

    3. ADSI Edit ツールで、コンフィギュレーションパーティションに接続し、Configuration[DomainController] ノードを展開します。

    4. CN=Configuration,DC=DomainName コンテナを展開します。

    5. CN=Services オブジェクトを展開します。

    6. CN=Windows NT オブジェクトを展開します。

    7. CN=Directory Service オブジェクトを選択します。[プロパティ] を選択します。

    8. 属性リストで、msds-Other-Settings を選択します。[Edit] (編集) を選択します。

    9. [Values] リストで、DisableVLVSupport=x のインスタンスのうち、x が 0 と等しくないインスタンスを選択し、[削除] を選択します。

    10. 削除したら、DisableVLVSupport=0 と入力します。[追加] を選択します。

    11. [OK] を選択します。ADSI Edit ツールを閉じることができます。次の図は、ADSI Edit ウィンドウの [Multi-valued String Editor] ダイアログボックスを示しています。

      Multi-valued String Editor と DisableVLVSupport=0 が強調表示された ADSI Edit ダイアログボックス。
    注記

    ユーザー数が 100,000 人を超える大規模な Active Directory インフラストラクチャでは、特定のユーザーのみを検索できる場合があります。ただし、すべてのユーザーを一度に一覧表示しようとすると (例: WorkSpaces Launch Wizard ですべてのユーザーを表示)、VLV サポートが有効になっていても同じエラーが発生する可能性があります。AD Connector では、Subtree Index を使用して属性「CN」の結果をソートする必要があります。Subtree Index は、ドメインコントローラーが仮想リストビュー (LDAP) 検索操作を実行できるように準備するタイプのインデックスであり、これにより AD Connector がソート済み検索を完了できるようになります。このインデックスは VLV 検索を改善し、MaxTempTableSize と呼ばれる一時データベーステーブルの使用を回避します。このテーブルのサイズは異なる場合がありますが、デフォルトではエントリの最大数は 10,000 (デフォルトクエリポリシーの MaxTempTableSize 設定) です。MaxTempTableSize を増やすと、Subtree Indexing を使用するよりも効率が低下します。大規模な AD 環境でこれらのエラーを回避するには、Subtree Indexing を使用することをお勧めします。

Subtree Index を有効にするには、次の手順に従って ADSEdit を使用し、Active Directory スキーマの属性定義で searchflags 属性を 65 (0x41) の値に変更します:

  1. Schema Admin 認証情報を持つアカウントを使用して、スキーママスターロール所有者としてドメインコントローラーにログインします。

  2. [スタート] から [実行] を選択し、Adsiedit.msc と入力します。

  3. ADSI Edit ツールで、スキーマパーティションに接続します。

  4. CN=Schema,CN=Configuration,DC=DomainName コンテナを展開します。

  5. Common-Name」属性を見つけ、右クリックして [プロパティ] を選択します。

  6. searchFlags 属性を見つけ、その値を 65 (0x41) に変更して、通常のインデックスとともに SubTree Indexing を有効にします。

    次の図は、ADSI Edit ウィンドウの CN=Common-Name プロパティダイアログボックスを示しています:

    searchFlags 属性が強調表示された状態で ADSI 編集ダイアログボックスが開きます。

  7. [OK] を選択します。ADSI Edit ツールを閉じることができます。

  8. 確認のため、AD が指定された属性の新しいインデックスを正常に作成したことを示すイベント ID 1137 (ソース: Active Directory_DomainServices) が表示されるはずです。

詳細については、「Microsoft ドキュメント」を参照してください。

表示を増やす表示を減らす

AWS アプリケーションを使用してユーザーまたはグループを検索すると、「認証できない」というエラーが表示される

AD Connector のステータスがアクティブであっても、ユーザーを検索したり、WorkSpaces や Quick などのアプリケーションにログイン AWS したりすると、エラーが発生することがあります。AD Connector のサービスアカウントのパスワードが変更されているか、有効期限が切れている場合、AD Connector は Active Directory ドメインにクエリを実行できなくなります。AD 管理者に連絡して、以下を確認してください:

  • AD Connector サービスアカウントのパスワードの有効期限が切れていないことを確認します。

  • AD Connector サービスアカウントに「次回ログオン時にユーザーはパスワードを変更する必要があります」オプションが有効になっていないことを確認します。

  • AD Connector サービスのアカウントがロックされていないことを確認します。

  • パスワードの有効期限が切れているか、変更されているかわからない場合は、サービスアカウントのパスワードをリセットし、AD Connector で同じパスワードを更新することもできます。

AD Connector サービスアカウントを更新しようとすると、ディレクトリ認証情報に関するエラーが表示される

AD Connector サービスアカウントを更新しようとすると、次のようなエラーメッセージが表示されます:

メッセージ: エラーが発生しました。ディレクトリには認証情報の更新が必要です。ディレクトリの認証情報を更新してください。エラーが発生しました。ディレクトリには認証情報の更新が必要です。「Update your AD Connector Service Account Credentials」に従って、ディレクトリの認証情報を更新してください メッセージ: エラーが発生しました。リクエストに問題があります。以下の詳細を参照してください。サービスアカウントとパスワードの組み合わせに問題があり、エラーが発生しました

時刻の同期と Kerberos に問題がある可能性があります。AD Connector は Kerberos 認証リクエストを Active Directory に送信します。これらのリクエストには時間的制約があり、遅延すると失敗します。この問題を解決するには、Microsoft ドキュメントの「推奨 - 権限のあるタイム ソースを使用してルート PDC を構成し、広範囲に及ぶ時刻のずれを回避する」を参照してください。タイムサービスと同期の詳細については、以下を参照してください:

表示を増やす表示を減らす

一部のユーザーがディレクトリで認証されない

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。これは、新しいユーザーアカウントのデフォルト設定ですが、変更しないでください。この設定の詳細については、Microsoft TechNet の「事前認証」を参照してください。

メンテナンスの問題

AD Connector の一般的なメンテナンス問題は次のとおりです

  • ディレクトリが「Requested」(リクエスト済み) の状態から変化しない

  • Amazon EC2 インスタンスのシームレスなドメイン結合の動作が停止した

ディレクトリが「Requested」(リクエスト済み) の状態から変化しない

5 分を経過しても、ディレクトリのステータスが「Requested」(リクエスト済み) の状態から変わらない場合は、ディレクトリを削除して、作成し直してください。この問題が解決しない場合は、AWS サポート までお問い合わせください。

Amazon EC2 インスタンスのシームレスなドメイン結合の動作が停止した

EC2 インスタンスのシームレスなドメイン結合が動作していたものの、その後、AD Connector がアクティブになっている時に停止した場合は、AD Connector サービスアカウントの認証情報が期限切れになっている可能性があります。認証情報が期限切れになると、AD Connector が Active Directory 内にコンピュータオブジェクトを作成できなくなる可能性があります。

この問題を解消するには、パスワードが一致するように、次の順序でサービスアカウントのパスワードを更新します。

  1. Active Directory のサービスアカウントのパスワードを更新します。

  2. Directory Serviceでの AD Connector のサービスアカウントのパスワードを更新します。詳細については、「での AD Connector サービスアカウントの認証情報の更新 AWS マネジメントコンソール」を参照してください。

重要

のパスワードのみを更新 Directory Service しても、パスワードの変更は既存のオンプレミス Active Directory にプッシュされないため、前の手順で示した順序で更新することが重要です。

AD Connector を削除できない

AD Connector が動作不能な状態に切り替わると、ドメインコントローラーにアクセスできなくなります。AD Connector にリンクされているアプリケーションがまだ存在する場合は、それらのアプリケーションの 1 つが引き続きディレクトリを使用している可能性があるため、AD Connector の削除をブロックします。AD Connector を削除するには、無効にする必要があるアプリケーションのリストについては、「AD Connector を削除する」を参照してください。AD Connector を削除できない場合は、AWS サポート を通じてサポートをリクエストできます。

AD Connector 発行者を調査するための一般的なツール

次のツールを使用して、作成、認証、接続に関連するさまざまな AD Connector の問題をトラブルシューティングできます:

DirectoryServicePortTest ツール

DirectoryServicePortTest テストツールは、AD Connector とカスタマーマネージド Active Directory または DNS サーバー間の接続問題のトラブルシューティングに役立ちます。ツールの使用方法の詳細については、「AD Connector をテストする」を参照してください。

パケットキャプチャツール

組み込みの Windows パッケージキャプチャユーティリティ (netsh) を使用して、ネットワークまたは Active Directory 通信 (ldap および kerberos) の潜在的な問題を調査およびトラブルシューティングできます。詳細については、「Capture a Network Trace without installing anything」(インストールを一切行わずにネットワークトレースをキャプチャする) を参照してください。

VPC フローログ

AD Connector から受信および送信されるリクエストをよりよく理解するために、ディレクトリネットワークインターフェイスの VPC フローログを設定できます。で使用するために予約されているすべてのネットワークインターフェイスは、 の説明 Directory Service で識別できますAWS created network interface for directory your-directory-id

単純なユースケースは、多数のドメインコントローラーを持つカスタマーマネージド Active Directory ドメインを使用した AD Connector の作成時です。VPC フローログを使用し、Kerberos ポート (88) でフィルタリングして、カスタマーマネージド Active Directory 内のどのドメインコントローラーが認証に利用されているかを確認できます。