評価テストのエラーメッセージ

Active Directory Services テスト

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

必要な AD サービスが自己管理型 AD で実行されていない場合に発生します。

特定の必要な AD サービスが自己管理型 AD で実行されている必要があります。詳細については、「必要な Active Directory サービス」を参照してください。

Active Directory Services テスト

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

自己管理型 AD ドメインコントローラーが動作していて、到達できることを確認します。時刻 AD ドメインコントローラーのネットワーク接続と DNS 解決を確認します。

AD パスワードポリシーのテスト

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

自己管理型 AD パスワードポリシーが AWS Managed Microsoft AD 要件を満たしていない場合に発生します。

自己管理型 AD パスワードポリシーは、AWS Managed Microsoft AD パスワード要件を満たしている必要があります。詳細については、「Understanding AWS Managed Microsoft AD password policies」を参照してください。

AWS 管理者ユーザーの存在テスト

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

AWS Admin user not found or invalid.

ハイブリッドディレクトリ管理者ユーザーが自己管理型 AD の AWS リザーブド OU に存在しない場合に発生します。

ハイブリッドディレクトリ管理者ユーザーが自己管理型 AD の AWS リザーブド OU に存在することを確認します。ユーザーが見つからない場合は、ハイブリッドディレクトリのセットアッププロセス中にアカウントが正しく作成されたことを確認します。ハイブリッドディレクトリの更新。ハイブリッドディレクトリの状態が動作不能な場合は、サポート までお問い合わせください。

AWS 管理者ユーザーの SPN テスト

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.

ハイブリッドディレクトリ管理者ユーザーが、自己管理型 AD に SPNs を設定している場合に発生します。

AWS ハイブリッドディレクトリ管理者ユーザーアカウントからすべてのサービスプリンシパル名 (SPNs) を削除します。ハイブリッドディレクトリ管理者ユーザーは、ハイブリッドディレクトリ認証を妨げる可能性があるため、SPNs を設定しないでください。

AWS ドメインコントローラーが FSMO 所有者ではないテスト

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.

FSMO ロール (PDC Emulator、RID Master、または Infrastructure Master) を自己管理型 AD からハイブリッドディレクトリドメインコントローラーに転送した場合に発生します。

続行する前に、すべての FSMO ロール (PDC Emulator、RID Master、Infrastructure Master) を自己管理型 AD ドメインコントローラーに戻します。詳細については、「FSMO ロールの移譲に関する Microsoft ドキュメント」を参照してください。

AWS リザーブドグループメンバーシップのテスト

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

AWS Reserved OU not found.

自己管理型 AD に AWS リザーブド OU が存在しない場合に発生します。

グループメンバーシップを検証するには、AWS リザーブド OU が自己管理型 AD に存在する必要があります。に連絡する。。サポート

AWS リザーブドグループメンバーシップのテスト

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

自己管理型 AD の AWS リザーブド OU のグループに許可されていないユーザーが含まれている場合に発生します。

自己管理型 AD の AWS リザーブド OU のグループから権限のないユーザーを削除します。

AWS リザーブド OU ACLs のテスト

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

AWS Reserved OU ACLs permissions are invalid.

セルフマネージド AD で AWS リザーブド OU ACLs が AWS 以外のエンティティに読み取り専用アクセス許可を適用せず、AWS マネージドリソースへの不正アクセスを防止しない場合に発生します。

自己管理型 AD で AWS リザーブド OU ACLs のアクセス許可を確認して修正します。AWS 以外のエンティティには読み取り権限のみを付与し(ListChildren, ReadProperty, ListObject, ReadControl, GenericRead, Synchronize)、過剰な権限は削除します。

AWS リザーブド OU GPO 関連付けテスト

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.

自己管理型 AD の AWS リザーブド OU とドメインコントローラー OU が不正な GPOs にリンクされている場合に発生します。

(AWS マネージドグループポリシーオブジェクト (GPOs) のみをこれらの OUs にリンクできます。自己管理型 AD の AWS リザーブド OU とドメインコントローラー OU にリンクされている不正な GPOs をすべて削除します。

AWS リザーブド OU リソーステスト

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The AWS Reserved OU does not exist. Please contact AWS Support.

AWS Managed Microsoft AD ディレクトリ機能に必要な AWS リザーブド OU が自己管理型 AD に存在しない場合に発生します。

AWS リザーブド OU はハイブリッドディレクトリのセットアップ時に自動的に生成されるため、削除しないでください。エラーが引き続き発生する場合は、サポート までお問い合わせください。

AWS リザーブド OU リソーステスト

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

自己管理型 AD で作成された AWS リザーブド OU に、適切なハイブリッドディレクトリオペレーションに必要なオブジェクトと GPOs が含まれていない場合に発生します。

AWS リザーブド OU が編集されていないことを確認します。必要な AWS マネージドリソースが含まれている必要があります。許可されていないオブジェクトや GPOs を削除し、必要なリソースがない場合は サポート までお問い合わせください。

AWS リザーブド OU のテスト

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

AWS Reserved OU or AWS Reserved GPO still exists, please delete.

自己管理型 Active Directory に、以前にハイブリッドディレクトリセットアップで作成された AWS リザーブドリソースが残っている場合に発生します。

コンソールから既存の失敗したハイブリッドディレクトリを削除します。次に、続行する前に、自己管理型 AD から AWS リザーブド OU および関連 GPOs を削除します。

Bridgehead 命名コンテキストのテスト

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

Bridgehead を使用するサイト間の自己管理型 AD レプリケーションが期待どおりに動作しない場合に発生します。これは、命名コンテキストがサイト間で同期されていない場合にも発生する可能性があります。

自己管理型 AD bridgehead サイトは成功している必要があります。さらに診断するには、repadmin /bridgeheads /verbose を使用します。続行する前に、その評価の問題に対処します。

子ドメインテスト

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

自己管理型 AD フォレストに AWS Managed Microsoft AD ディレクトリでサポートされていない子ドメインが含まれている場合に発生します。

AWS Managed Microsoft AD ディレクトリは子ドメインをサポートしていません。自己管理型 AD には単一ドメインフォレストを使用する必要があります。詳細については、「Microsoft Active Directory ドメイン要件」を参照してください。

DcDiag テスト

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

自己管理型 AD で Microsoft DCDiag テストが失敗した場合に発生します。

AWS は DCDiag を使用して自己管理型 AD をテストします。エラーが発生した場合、ハイブリッドディレクトリを作成することはできません。詳細については、「Microsoft ドキュメント」を参照してください。

DNS IP 一致テスト

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

自己管理型 AD の指定された DNS IP アドレスが、AWS Systems Manager を有効化している自己管理型 AD ドメインコントローラーの DNS IP アドレスと一致しない場合に発生します。

正しい DNS IP アドレスを指定します。

DNS の名前一致テスト

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

自己管理型 AD に指定された DNS 名が、AWS Systems Manager を有効化している自己管理型 AD ドメインコントローラー の DNS 名と一致しない場合に発生します。

正しい DNS 名を入力します。

DNS レコードテスト

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

Windows DNS レコードがタイプ A、NS、SOA、および SRV に設定されておらず、クエリできる場合に発生します。

Address (A)、Namespace (NS)、State of Authority (SOA)、および Service Record (SRV) の DNS レコードを設定し、クエリ可能である必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

ドメインフォレスト機能レベルテスト

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

自己管理型 AD ドメインとフォレストの機能レベルが最小要件を満たしていない場合に発生します。

自己管理型 AD は、Windows 2012 R2 または 2016 機能レベルを使用する必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

ドメインヘルステスト

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.

自己管理型 AD に必要最小限のドメインコントローラー数がない場合に発生します。

自己管理型 AD には、AWS Systems Manager が有効なドメインコントローラーが少なくとも 2 つあることを確認します。詳細については、「Microsoft Active Directory ドメイン要件」を参照してください。

既存ドメインのテスト

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

自己管理型 AD ドメインが既存のハイブリッドディレクトリに既に結合している場合に発生します。

自己管理型 AD ドメインはすでに既存のハイブリッドディレクトリに結合されています。ハイブリッドディレクトリと結合された各自己管理型 AD ドメインは、一意である必要があります。新しい自己管理型 AD ドメインを作成するか、それらが結合されているハイブリッドディレクトリ設定から削除します。

FSMO 接続テスト

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

自己管理型 AD の FSMO ロール、PDC Emulator、および/または RID Master IP がルーティングできない場合に発生します。

プライマリドメインコントローラー (PDC) は常にルーティング可能である必要があります。具体的には、自己管理型 AD の PDC Emulator および RID Master IP。詳細については、「Microsoft Active Directory ドメイン要件」を参照してください。

FSMO 接続テスト

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

自己管理型 AD ドメインコントローラーが FSMO ロールにアクセスできない場合に発生します。

自己管理型 AD の Flexible Single Master Operation (FSMO) ロールは、自己管理型 AD ドメインコントローラーに接続する必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

IP 競合テスト

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

自己管理型 AD IP 範囲が AWS リザーブド範囲と重複している場合に発生します。

自己管理型 AD は、リザーブド AWS IP 範囲と重複する IP アドレス範囲を使用できません。詳細については、「Microsoft Active Directory ドメイン要件」を参照してください。

Kerberos テスト

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

Kerberos が正しく設定されておらず、使用中である場合に発生します。

Kerberos は、自己管理型 AD で有効化されている必要があります。詳細については、Microsoft ドキュメント を参照してください。

LDAP 接続テスト

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

LDAP が機能しない場合に発生します。

Lightweight Directory Access Protocol (LDAP) が有効で、自己管理型 AD で機能している必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

FSMO テスト用の読み取り専用ドメインコントローラー

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

自己管理型 AD ドメインコントローラーの FSMO ロールが RODC である場合に発生します。

自己管理型 AD のドメインコントローラーは、読み取り専用ドメインコントローラー (RODC) Flexible Single Master Operation (FSMO) ロールを使用してはなりません。詳細については、「Microsoft ドキュメント」を参照してください。

読み取り専用ドメインコントローラーのパスワードレプリケーションテスト

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

RODC に管理者パスワードをレプリケートするアクセス許可がある場合に発生します。

自己管理型 AD の RODC には、管理者パスワードをレプリケートするアクセス許可を与えず、明示的に拒否する必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

読み取り専用ドメインコントローラーテスト

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

自己管理型 AD ドメインコントローラーが ReadOnlyDC モードの場合に発生します。

自己管理型 AD は、読み取り/書き込みドメインコントローラーである必要があります。ドメインコントローラータイプの詳細については、「Microsoft ドキュメント」を参照してください。

リモートポート接続テスト

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

AWS サブネットと自己管理型 AD ドメインコントローラーで必要なポートが開いていない場合に発生します。

AWS サブネットと自己管理型 AD の間で必要なポートがすべて開いていることを確認します。詳細については「ネットワークポートの要件」を参照してください。

レプリケーションテスト

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

自己管理型 AD ドメインコントローラーのレプリケーションが失敗した場合に発生します。

自己管理型 AD ドメインコントローラーのレプリケーションステータスが「成功」である必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

SMBV1 テスト

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

自己管理型 AD が現在、認証に SMBv1 を使用している場合に発生します。

SMBv1 は安全ではないことが知られているため、自己管理型 AD で無効にする必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

SSM ユーザーアクセス許可テスト

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

SSM が使用する Windows ユーザーに十分な特権がない場合に発生します。

自己管理型 AD の AWS System Manager (SSM) エージェントに対する Windows 管理者アクセス許可が必要です。詳細については、「AWS アカウントアクセス許可」を参照してください。

Sysvol レプリケーションテスト

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

自己管理型 AD に正しい sysvol レプリケーション方法 (DFSR) がない場合、および DFSR レプリケーションイベント中にいずれかの DCs が失敗した場合に発生します。

自己管理型 AD sysvol レプリケーションメソッド (DFSR) が成功している必要があります。詳細については、「Microsoft ドキュメント」を参照してください。

最上位 GPO テスト

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

自己管理型 AD の最上位 GPOs が強制適用に設定されている場合に発生します。

自己管理型 AD ドメインの最上位グループポリシーオブジェクト (GPO) が強制適用に設定されていないことを確認します。詳細については、「Microsoft ドキュメント」を参照してください。

信頼タイプのテスト

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

自己管理型 AD でサポートされていない信頼タイプがある場合に発生します。

Uplevel は、ハイブリッドディレクトリでサポートされている唯一の信頼タイプです。自己管理型 AD には、DCE、MIT、Downlevel の信頼タイプを含めることはできません。信頼タイプの詳細については、「Microsoft ドキュメント」を参照してください。

有効なドメインコントローラーテスト

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

提供された自己管理型 AD インスタンスがドメインコントローラーではない場合、またはすでに別のハイブリッドディレクトリの一部である場合に発生します。

このハイブリッドディレクトリに固有の自己管理型 AD ドメインコントローラーを提供します。新しいディレクトリで再試行します。失敗したハイブリッドディレクトリと自己管理型 AD の AWS OU が削除されていることを確認します。