評価テストのエラーメッセージ

Active Directory Services テスト

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

必要なADサービスがセルフマネージド AD で実行されていない場合に発生します。

特定の必須ADサービスがセルフマネージド AD で実行されている必要があります。詳細については、「必要な Active Directory サービス」を参照してください。

Active Directory Services テスト

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

セルフマネージド AD ドメインコントローラーが動作していて、到達できることを確認します。セルフマネージド AD ドメインコントローラーのネットワーク接続とDNS解決を確認します。

AD パスワードポリシーのテスト

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

セルフマネージド AD パスワードポリシーが AWS Managed Microsoft AD 要件を満たしていない場合に発生します。

セルフマネージド AD パスワードポリシーは、 AWS Managed Microsoft AD パスワード要件を満たしている必要があります。詳細については、AWS 「 Managed Microsoft AD パスワードポリシーについて」を参照してください。

AWS 管理者ユーザー存在テスト

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

AWS Admin user not found or invalid.

ハイブリッドディレクトリ管理者ユーザーがセルフマネージド AD の AWS リザーブド に存在しない場合OUに発生します。

ハイブリッドディレクトリ管理者ユーザーがセルフマネージド AD の AWS リザーブド OU に存在することを確認します。ユーザーが見つからない場合は、ハイブリッドディレクトリのセットアッププロセス中にアカウントが正しく作成されたことを確認しますハイブリッドディレクトリの更新。ハイブリッドディレクトリの状態が動作しない場合は、 にお問い合わせくださいサポート。

AWS 管理者ユーザーSPNテスト

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.

ハイブリッドディレクトリ管理者ユーザーがセルフマネージド AD で SPNsを設定している場合に発生します。

AWS ハイブリッドディレクトリ管理者ユーザーアカウントからすべてのサービスプリンシパル名 (SPNs) を削除します。ハイブリッドディレクトリ管理者ユーザーは、ハイブリッドディレクトリ認証を妨げる可能性があるため、 SPNs を設定しないでください。

AWS ドメインコントローラーのFSMO所有者ではないテスト

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.

セルフマネージド AD からハイブリッドディレクトリドメインコントローラーにFSMOロール (PDC Emulator、RID Master、または Infrastructure Master) を移管した場合に発生します。

続行する前に、すべてのFSMOロール (PDC Emulator、RID Master、Infrastructure Master) をセルフマネージド AD ドメインコントローラーに戻します。詳細については、MicrosoftFSMO「ロールの移管に関するドキュメント」を参照してください。

AWS リザーブドグループメンバーシップテスト

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

AWS Reserved OU not found.

セルフマネージド AD AWS OUの予約 が存在しない場合に発生します。

グループメンバーシップを検証するには、 AWS リザーブド がセルフマネージド AD に存在するOU必要があります。サポート に連絡する。

AWS リザーブドグループメンバーシップテスト

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

セルフマネージド AD OUの AWS リザーブド のグループに許可されていないユーザーが含まれている場合に発生します。

セルフマネージド AD AWS の予約OU済みグループから権限のないユーザーを削除します。

AWS リザーブドOUACLsテスト

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

AWS Reserved OU ACLs permissions are invalid.

セルフマネージド AD OUACLsで AWS リザーブド がAWS 以外のエンティティに読み取り専用アクセス許可を強制せず、 AWSマネージドリソースへの不正アクセスを防止しない場合に発生します。

セルフマネージド AD で AWS リザーブド OU ACLs のアクセス許可を確認して修正します。非AWS エンティティに読み取りアクセス許可 (ListChildren、ReadProperty、、ListObject、、Synchronize) のみがあることを確認しReadControlGenericRead、過剰なアクセス許可があれば削除します。

AWS リザーブドOUGPOアソシエーションテスト

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.

OU セルフマネージド AD の AWS リザーブドコントローラーOUとドメインコントローラーが不正な にリンクされている場合に発生しますGPOs。

（ AWS マネージドグループポリシーオブジェクト (GPOs) のみをこれらの にリンクできますOUs。セルフマネージド AD の AWS リザーブドコントローラーOUとドメインコントローラーにリンクGPOsされている不正なものをすべて削除OUします。

AWS リザーブドOUリソーステスト

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The AWS Reserved OU does not exist. Please contact AWS Support.

Managed Microsoft AD ディレクトリ機能に必要な AWS リザーブド OU がセルフマネージド AD AWS に存在しない場合に発生します。

AWS リザーブド OUはハイブリッドディレクトリのセットアップ中に自動的に作成する必要があり、削除しないでください。このエラーが解決しない場合は、 にお問い合わせくださいサポート。

AWS リザーブドOUリソーステスト

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

セルフマネージド AD でOU作成された AWS リザーブド に、適切なハイブリッドディレクトリオペレーションGPOsに必要なオブジェクトと が含まれていない場合に発生します。

AWS リザーブド を編集しないことを確認しますOU。必須の AWSマネージドリソースが含まれている必要があります。許可されていないオブジェクトや を削除しGPOs、サポート必要なリソースがない場合は にお問い合わせください。

AWS リザーブドOUテスト

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

AWS Reserved OU or AWS Reserved GPO still exists, please delete.

以前のハイブリッドディレクトリのセットアップからセルフマネージド AD で見つかった AWS リザーブドリソースがまだ存在する場合に発生します。

コンソールから既存の失敗したハイブリッドディレクトリを削除します。次に、続行する前に、セルフマネージド AD GPOsから AWS リザーブドOUおよび関連 を削除します。

Bridgehead 命名コンテキストテスト

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

を使用するサイト間のセルフマネージド AD レプリケーションBridgeheadが期待どおりに機能しない場合に発生します。これは、命名コンテキストがサイト間で同期されていない場合にも発生する可能性があります。

セルフマネージド AD bridgeheadサイトは成功している必要があります。さらに診断するには、 を使用しますrepadmin /bridgeheads /verbose。続行する前に、その評価の問題に対処します。

子ドメインテスト

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

セルフマネージド AD フォレストに Managed AWS Microsoft AD ディレクトリでサポートされていない子ドメインが含まれている場合に発生します。

AWS Managed Microsoft AD ディレクトリは子ドメインをサポートしていません。セルフマネージド AD には単一ドメインフォレストを使用する必要があります。詳細については、「Microsoft Active Directory ドメインの要件」を参照してください。

DcDiag テスト

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

セルフマネージド AD でMicrosoftDCDiagテストが失敗した場合に発生します。

AWS は DCDiag を使用してセルフマネージド AD をテストします。エラーが発生した場合、ハイブリッドディレクトリを作成することはできません。詳細については、「Microsoft ドキュメント」を参照してください。

DNS IP 一致テスト

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

セルフマネージド AD の指定された DNS IP アドレスが、 で有効になっているセルフマネージド AD ドメインコントローラーの DNS IP アドレスと一致しない場合に発生します AWS Systems Manager。

正しい DNS IP アドレスを指定します。

DNS 名前一致テスト

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

セルフマネージド AD に指定されたDNS名前が、 で有効になっているセルフマネージド AD ドメインコントローラーDNSの名前と一致しない場合に発生します AWS Systems Manager。

正しいDNS名前を入力します。

DNS レコードテスト

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

Windows DNS レコードがタイプ A、、NS、SRVおよび に設定されておらずSOA、クエリできる場合に発生します。

Address (A）、Namespace (NS）、State of Authority (SOA）、および Service Record (SRV) DNSのレコードを設定する必要があります。クエリを実行できます。詳細については、「Microsoft ドキュメント」を参照してください。

ドメインフォレスト機能レベルテスト

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

セルフマネージド AD ドメインとフォレストの機能レベルが最小要件を満たしていない場合に発生します。

セルフマネージド AD は、 Windows2012 R2または 2016 機能レベルを使用する必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

ドメインヘルステスト

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.

セルフマネージド AD に必要な最小数のドメインコントローラーがない場合に発生します。

セルフマネージド AD で少なくとも 2 つのドメインコントローラーが有効になっていることを確認します AWS Systems Manager。詳細については、「Microsoft Active Directory ドメインの要件」を参照してください。

既存のドメインテスト

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

セルフマネージド AD ドメインが既存のハイブリッドディレクトリに既に参加している場合に発生します。

セルフマネージド AD ドメインはすでに既存のハイブリッドディレクトリに結合されています。ハイブリッドディレクトリと結合された各セルフマネージド AD ドメインは、一意である必要があります。新しいセルフマネージド AD ドメインを作成するか、それらが結合されているハイブリッドディレクトリ設定から削除します。

FSMO 接続テスト

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

セルフマネージド AD のFSMOロールPDC Emulator、、および/または RID Master IPs がルーティングできない場合に発生します。

プライマリドメインコントローラー (PDC) は常にルーティング可能である必要があります。具体的には、セルフマネージド AD の PDC Emulatorおよび RID Master IPs。詳細については、「Microsoft Active Directory ドメインの要件」を参照してください。

FSMO 接続テスト

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

セルフマネージド AD ドメインコントローラーがFSMOロールにアクセスできない場合に発生します。

セルフマネージド AD の Flexible Single Master Operation (FSMO) ロールは、セルフマネージド AD ドメインコントローラーに接続する必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

IP 競合テスト

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

セルフマネージド AD IP 範囲がリザーブド範囲と AWS 重複している場合に発生します。

セルフマネージド AD は、リザーブド IP 範囲と重複する AWS IP アドレス範囲を使用できません。詳細については、「Microsoft Active Directory ドメインの要件」を参照してください。

Kerberos テスト

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

が正しく設定Kerberosされておらず、使用中である場合に発生します。

Kerberos は、セルフマネージド AD で有効にする必要があります。詳細については、Microsoft ドキュメント を参照してください。

LDAP 接続テスト

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

LDAP が機能しない場合に発生します。

Lightweight Directory Access Protocol (LDAP) は、セルフマネージド AD で有効になっており、機能している必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

FSMO テスト用の読み取り専用ドメインコントローラー

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

セルフマネージド AD ドメインコントローラーFSMOロールが の場合に発生しますRODC。

セルフマネージド AD のドメインコントローラーは、読み取り専用ドメインコントローラー (RODC) Flexible Single Master Operation (FSMO) ロールを使用してはなりません。詳細については、「Microsoft ドキュメント」を参照してください。

読み取り専用ドメインコントローラーのパスワードレプリケーションテスト

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

RODC に管理者パスワードをレプリケートするアクセス許可がある場合に発生します。

セルフマネージド AD RODCの は、管理者パスワードをレプリケートするアクセス許可を明示的に拒否する必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

読み取り専用ドメインコントローラーテスト

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

セルフマネージド AD ドメインコントローラーが ReadOnlyDC モードの場合に発生します。

セルフマネージド AD は、読み取り/書き込みドメインコントローラーである必要があります。ドメインコントローラータイプの詳細については、「 Microsoftドキュメント」を参照してください。

リモートポート接続テスト

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

AWS サブネットとセルフマネージド AD ドメインコントローラーで必要なポートが開いていない場合に発生します。

AWS サブネットとセルフマネージド AD の間で必要なポートがすべて開いていることを確認します。詳細については「ネットワークポートの要件」を参照してください。

レプリケーションテスト

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

セルフマネージド AD ドメインコントローラーのレプリケーションが失敗した場合に発生します。

セルフマネージド AD ドメインコントローラーのレプリケーションステータスが成功している必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

SMBV1 テスト

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

セルフマネージド AD が現在認証SMBv1に を使用している場合に発生します。

SMBv1 は安全でないことが知られており、セルフマネージド AD で無効にする必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

SSM ユーザーアクセス許可テスト

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

が使用するWindowsユーザーに十分な権限SSMがない場合に発生します。

セルフマネージド AD の AWS System Manager (SSM) エージェントにはWindows管理者権限が必要です。詳細については、「AWS アカウント アクセス権限」を参照してください。

Sysvol レプリケーションテスト

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

セルフマネージド AD に正しいsysvolレプリケーション方法 (DFSR) がない場合、およびDFSRレプリケーションイベント中にDCs障害が発生した場合に発生します。

セルフマネージド AD sysvolレプリケーション方法 (DFSR) が成功している必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

最上位GPOテスト

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

セルフマネージド AD の最上位レベルが強制としてGPOs設定されている場合に発生します。

セルフマネージド AD ドメインの最上位グループポリシーオブジェクト (GPO) が強制に設定されていないことを確認します。詳細については、「Microsoft ドキュメント」を参照してください。

信頼タイプのテスト

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

セルフマネージド AD でサポートされていない信頼タイプがある場合に発生します。

Uplevel は、ハイブリッドディレクトリでサポートされている唯一の信頼タイプです。セルフマネージド AD には、、DCE、 MITの信頼タイプを含めることはできませんDownlevel。信頼タイプの詳細については、「 Microsoftドキュメント」を参照してください。

有効なドメインコントローラーテスト

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

提供されたセルフマネージド AD インスタンスがドメインコントローラーでない場合、または既に別のハイブリッドディレクトリの一部である場合に発生します。

このハイブリッドディレクトリに固有のセルフマネージド AD ドメインコントローラーを提供します。新しいディレクトリで再試行します。失敗したハイブリッドディレクトリとセルフマネージド AD の AWS OUが削除されていることを確認します。