評価テストのエラーメッセージ

Active Directory Services テスト

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

必要な AD サービスが自己管理型 AD で実行されていない場合に発生します。

特定の必要な AD サービスが自己管理型 AD で実行されている必要があります。詳細については、「必要な Active Directory サービス」を参照してください。

Active Directory Services テスト

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

自己管理型 AD ドメインコントローラーが動作していて、到達できることを確認します。時刻 AD ドメインコントローラーのネットワーク接続と DNS 解決を確認します。

AD パスワードポリシーのテスト

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

セルフマネージド AD パスワードポリシーが AWS Managed Microsoft AD 要件を満たしていない場合に発生します。

自己管理型 AD パスワードポリシーは、 AWS Managed Microsoft AD パスワード要件を満たしている必要があります。詳細については、AWS 「 Managed Microsoft AD パスワードポリシーについて」を参照してください。

AWS 管理者ユーザー存在テスト

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

AWS Admin user not found or invalid.

ハイブリッドディレクトリ管理者ユーザーがセルフマネージド AD の AWS リザーブド に存在しない場合OUに発生します。

ハイブリッドディレクトリ管理者ユーザーが自己管理型 AD の AWS リザーブド OU に存在することを確認します。ユーザーが見つからない場合は、ハイブリッドディレクトリのセットアッププロセス中にアカウントが正しく作成されたことを確認します。ハイブリッドディレクトリの更新。ハイブリッドディレクトリの状態が動作不能な場合は、サポート までお問い合わせください。

AWS 管理者ユーザーSPNテスト

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.

ハイブリッドディレクトリ管理者ユーザーが、自己管理型 AD に SPNs を設定している場合に発生します。

AWS ハイブリッドディレクトリ管理者ユーザーアカウントからすべてのサービスプリンシパル名 (SPNs) を削除します。ハイブリッドディレクトリ管理者ユーザーは、ハイブリッドディレクトリ認証を妨げる可能性があるため、SPNs を設定しないでください。

AWS ドメインコントローラーのFSMO所有者ではないテスト

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.

FSMO ロール (PDC Emulator、RID Master、または Infrastructure Master) を自己管理型 AD からハイブリッドディレクトリドメインコントローラーに転送した場合に発生します。

続行する前に、すべての FSMO ロール (PDC Emulator、RID Master、Infrastructure Master) を自己管理型 AD ドメインコントローラーに戻します。詳細については、「FSMO ロールの移譲に関する Microsoft ドキュメント」を参照してください。

AWS リザーブドグループメンバーシップテスト

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

AWS Reserved OU not found.

セルフマネージド AD AWS OUの予約 が存在しない場合に発生します。

グループメンバーシップを検証するには、 AWS リザーブド がセルフマネージド AD に存在するOU必要があります。サポート に連絡する。

AWS リザーブドグループメンバーシップテスト

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

セルフマネージド AD OUの AWS リザーブド のグループに許可されていないユーザーが含まれている場合に発生します。

セルフマネージド AD AWS の予約OU済みグループから権限のないユーザーを削除します。

AWS リザーブドOUACLsテスト

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

AWS Reserved OU ACLs permissions are invalid.

セルフマネージド AD OUACLsで AWS リザーブド が、 以外のエンティティに読み取り専用アクセス許可を強制せずAWS 、 AWSマネージドリソースへの不正アクセスを防止しない場合に発生します。

セルフマネージド AD で AWS リザーブド OU ACLs のアクセス許可を確認して修正します。AWS 以外のエンティティには読み取り権限のみを付与し(ListChildren, ReadProperty, ListObject, ReadControl, GenericRead, Synchronize)、過剰な権限は削除します。

AWS リザーブドOUGPO関連付けテスト

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.

OU セルフマネージド AD の AWS リザーブドコントローラーOUとドメインコントローラーが不正な にリンクされている場合に発生しますGPOs。

( AWS マネージドグループポリシーオブジェクト (GPOs) のみをこれらの にリンクできますOUs。セルフマネージド AD の AWS リザーブドコントローラーOUとドメインコントローラーにリンクGPOsされている不正なものをすべて削除OUします。

AWS リザーブドOUリソーステスト

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The AWS Reserved OU does not exist. Please contact AWS Support.

Managed Microsoft AD ディレクトリ機能に必要な AWS リザーブド OU がセルフマネージド AD AWS に存在しない場合に発生します。

AWS リザーブド OUはハイブリッドディレクトリのセットアップ中に自動的に作成する必要があり、削除しないでください。エラーが引き続き発生する場合は、サポート までお問い合わせください。

AWS リザーブドOUリソーステスト

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

セルフマネージド AD でOU作成された AWS リザーブド に、適切なハイブリッドディレクトリオペレーションに必要なオブジェクトと が含まれていない場合GPOsに発生します。

AWS リザーブド を編集しないことを確認しますOU。これには、必要な AWSマネージドリソースが含まれている必要があります。許可されていないオブジェクトや GPOs を削除し、必要なリソースがない場合は サポート までお問い合わせください。

AWS リザーブドOUテスト

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

AWS Reserved OU or AWS Reserved GPO still exists, please delete.

以前のハイブリッドディレクトリのセットアップからセルフマネージド AD で見つかった AWS リザーブドリソースがまだ存在する場合に発生します。

コンソールから既存の失敗したハイブリッドディレクトリを削除します。次に、続行する前に、セルフマネージド AD GPOsから AWS リザーブドOUおよび関連 を削除します。

Bridgehead 命名コンテキストのテスト

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

Bridgehead を使用するサイト間の自己管理型 AD レプリケーションが期待どおりに動作しない場合に発生します。これは、命名コンテキストがサイト間で同期されていない場合にも発生する可能性があります。

自己管理型 AD bridgehead サイトは成功している必要があります。さらに診断するには、repadmin /bridgeheads /verbose を使用します。続行する前に、その評価の問題に対処します。

子ドメインテスト

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

セルフマネージド AD フォレストに、 AWS Managed Microsoft AD ディレクトリでサポートされていない子ドメインが含まれている場合に発生します。

AWS Managed Microsoft AD ディレクトリは子ドメインをサポートしていません。自己管理型 AD には単一ドメインフォレストを使用する必要があります。詳細については、「Microsoft Active Directory ドメイン要件」を参照してください。

DcDiag テスト

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

自己管理型 AD で Microsoft DCDiag テストが失敗した場合に発生します。

AWS は DCDiag を使用してセルフマネージド AD をテストします。エラーが発生した場合、ハイブリッドディレクトリを作成することはできません。詳細については、「Microsoft ドキュメント」を参照してください。

DNS IP 一致テスト

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

自己管理型 AD の指定された DNS IP アドレスが、 AWS Systems Managerを有効化している自己管理型 AD ドメインコントローラーの DNS IP アドレスと一致しない場合に発生します。

正しい DNS IP アドレスを指定します。

DNS の名前一致テスト

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

自己管理型 AD に指定された DNS 名が、 AWS Systems Managerを有効化している自己管理型 AD ドメインコントローラー の DNS 名と一致しない場合に発生します。

正しい DNS 名を入力します。

DNS レコードテスト

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

Windows DNS レコードがタイプ A、NS、SOA、および SRV に設定されておらず、クエリできる場合に発生します。

Address (A)、Namespace (NS)、State of Authority (SOA)、および Service Record (SRV) の DNS レコードを設定し、クエリ可能である必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

ドメインフォレスト機能レベルテスト

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

自己管理型 AD ドメインとフォレストの機能レベルが最小要件を満たしていない場合に発生します。

自己管理型 AD は、Windows 2012 R2 または 2016 機能レベルを使用する必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

ドメインヘルステスト

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.

自己管理型 AD に必要最小限のドメインコントローラー数がない場合に発生します。

セルフマネージド AD で少なくとも 2 つのドメインコントローラーが有効になっていることを確認します AWS Systems Manager。詳細については、「Microsoft Active Directory ドメイン要件」を参照してください。

既存ドメインのテスト

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

自己管理型 AD ドメインが既存のハイブリッドディレクトリに既に結合している場合に発生します。

自己管理型 AD ドメインはすでに既存のハイブリッドディレクトリに結合されています。ハイブリッドディレクトリと結合された各自己管理型 AD ドメインは、一意である必要があります。新しい自己管理型 AD ドメインを作成するか、それらが結合されているハイブリッドディレクトリ設定から削除します。

FSMO 接続テスト

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

自己管理型 AD の FSMO ロール、PDC Emulator、および/または RID Master IP がルーティングできない場合に発生します。

プライマリドメインコントローラー (PDC) は常にルーティング可能である必要があります。具体的には、自己管理型 AD の PDC Emulator および RID Master IP。詳細については、「Microsoft Active Directory ドメイン要件」を参照してください。

FSMO 接続テスト

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

自己管理型 AD ドメインコントローラーが FSMO ロールにアクセスできない場合に発生します。

自己管理型 AD の Flexible Single Master Operation (FSMO) ロールは、自己管理型 AD ドメインコントローラーに接続する必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

IP 競合テスト

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

自己管理型 AD IP 範囲が AWS リザーブド範囲と重複している場合に発生します。

セルフマネージド AD は、リザーブド IP 範囲と重複する AWS IP アドレス範囲を使用できません。詳細については、「Microsoft Active Directory ドメイン要件」を参照してください。

Kerberos テスト

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

Kerberos が正しく設定されておらず、使用中である場合に発生します。

Kerberos は、自己管理型 AD で有効化されている必要があります。詳細については、Microsoft ドキュメント を参照してください。

LDAP 接続テスト

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

LDAP が機能しない場合に発生します。

Lightweight Directory Access Protocol (LDAP) が有効で、自己管理型 AD で機能している必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

FSMO テスト用の読み取り専用ドメインコントローラー

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

自己管理型 AD ドメインコントローラーの FSMO ロールが RODC である場合に発生します。

自己管理型 AD のドメインコントローラーは、読み取り専用ドメインコントローラー (RODC) Flexible Single Master Operation (FSMO) ロールを使用してはなりません。詳細については、「Microsoft ドキュメント」を参照してください。

読み取り専用ドメインコントローラーのパスワードレプリケーションテスト

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

RODC に管理者パスワードをレプリケートするアクセス許可がある場合に発生します。

自己管理型 AD の RODC には、管理者パスワードをレプリケートするアクセス許可を与えず、明示的に拒否する必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

読み取り専用ドメインコントローラーテスト

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

自己管理型 AD ドメインコントローラーが ReadOnlyDC モードの場合に発生します。

自己管理型 AD は、読み取り/書き込みドメインコントローラーである必要があります。ドメインコントローラータイプの詳細については、「Microsoft ドキュメント」を参照してください。

リモートポート接続テスト

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

AWS サブネットとセルフマネージド AD ドメインコントローラーで必要なポートが開いていない場合に発生します。

AWS サブネットとセルフマネージド AD の間で必要なポートがすべて開いていることを確認します。詳細については「ネットワークポートの要件」を参照してください。

レプリケーションテスト

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

自己管理型 AD ドメインコントローラーのレプリケーションが失敗した場合に発生します。

自己管理型 AD ドメインコントローラーのレプリケーションステータスが「成功」である必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

SMBV1 テスト

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

自己管理型 AD が現在、認証に SMBv1 を使用している場合に発生します。

SMBv1 は安全ではないことが知られているため、自己管理型 AD で無効にする必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

SSM ユーザーアクセス許可テスト

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

SSM が使用する Windows ユーザーに十分な特権がない場合に発生します。

セルフマネージド AD の AWS System Manager (SSM) エージェントにはWindows管理者権限が必要です。詳細については、「AWS アカウント アクセス許可」を参照してください。

Sysvol レプリケーションテスト

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

自己管理型 AD に正しい sysvol レプリケーション方法 (DFSR) がない場合、および DFSR レプリケーションイベント中にいずれかの DCs が失敗した場合に発生します。

自己管理型 AD sysvol レプリケーションメソッド (DFSR) が成功している必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

最上位 GPO テスト

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

自己管理型 AD の最上位 GPOs が強制適用に設定されている場合に発生します。

自己管理型 AD ドメインの最上位グループポリシーオブジェクト (GPO) が強制適用に設定されていないことを確認します。詳細については、「Microsoft ドキュメント」を参照してください。

信頼タイプのテスト

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

自己管理型 AD でサポートされていない信頼タイプがある場合に発生します。

Uplevel は、ハイブリッドディレクトリでサポートされている唯一の信頼タイプです。自己管理型 AD には、DCE、MIT、Downlevel の信頼タイプを含めることはできません。信頼タイプの詳細については、「Microsoft ドキュメント」を参照してください。

有効なドメインコントローラーテスト

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

提供された自己管理型 AD インスタンスがドメインコントローラーではない場合、またはすでに別のハイブリッドディレクトリの一部である場合に発生します。

このハイブリッドディレクトリに固有の自己管理型 AD ドメインコントローラーを提供します。新しいディレクトリで再試行します。障害が発生したハイブリッドディレクトリとセルフマネージド AD の AWS OUが削除されていることを確認します。