信頼作成ステータスの理由 - AWS Directory Service
アクセスが拒否されましたドメインは存在しませんオペレーションを実行できませんでした信頼の作成に失敗しました信頼のトラブルシューティングツール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼作成ステータスの理由

AWS Managed Microsoft AD の信頼関係の作成が失敗した場合、ステータスメッセージに追加情報が含まれます。以下は、これらのメッセージが何を意味するかを理解するのに役立ちます。

アクセスが拒否されました

信頼の作成を試みた際にアクセスが拒否されました。信頼パスワードが正しくないか、またはリモートドメインのセキュリティ設定により信頼を設定できません。信頼の詳細については、「サイト名と DCLocator による信頼効率の向上」を参照してください。この問題を解決するには、以下の手順を実行します。

  • リモートドメインで対応する信頼を作成する際に使用したものと、同じ信頼パスワードを使用していることを確認します。

  • ドメインのセキュリティ設定で、信頼の作成を許可していることを確認します。

  • ローカルセキュリティポリシーが正しく設定されていることを確認します。特に Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously をチェックして、少なくとも以下の 3 つの名前付きパイプが含まれていることを確認してください

    • netlogon

    • samr

    • lsarpc

  • 上記の名前付きパイプが、レジストリパス [HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters] にある [NullSessionPipes] レジストリキーの値として存在することを確認します。これらの値は、別々の行に挿入される必要があります。

    注記

    デフォルトで Network access: Named Pipes that can be accessed anonymously は設定されていないので、Not Defined が表示されます。これは正常な動作であり、Network access: Named Pipes that can be accessed anonymously に対するドメインコントローラの有効なデフォルト設定は netlogonsamrlsarpc です。

  • デフォルトのドメインコントローラーポリシーで、次のサーバーメッセージブロック (SMB) 署名設定を確認します。これらの設定は、[コンピュータ設定] > [Windows 設定] > [セキュリティ設定] > [ローカルポリシー/セキュリティオプション] で見つけることができます。次の設定と一致する必要があります:

    • Microsoft ネットワーククライアント: 通信にデジタル署名 (常に): デフォルト: 有効

    • Microsoft ネットワーククライアント: 通信にデジタル署名 (サーバーが同意する場合): デフォルト: 有効

    • Microsoft ネットワークサーバー: 通信にデジタル署名 (常に): 有効

    • Microsoft ネットワークサーバー: デジタル署名通信 (クライアントが同意した場合): デフォルト: 有効

サイト名と DCLocator による信頼効率の向上

Default-First-Site-Name のような最初のサイト名は、ドメイン間の信頼関係を確立するための要件ではありません。ただし、ドメイン間でサイト名を調整すると、ドメインコントローラーロケーター (DCLocator) プロセスの効率が大幅に向上する可能性があります。この調整により、フォレストの信頼全体でのドメインコントローラーの選択の予測と制御が向上します。

DCLocator プロセスは、さまざまなドメインとフォレストのドメインコントローラーを見つけるために不可欠です。DCLocator プロセスの詳細については、「Microsoft ドキュメント」を参照してください。効率的なサイト設定により、より迅速かつ正確なドメインコントローラーの場所が可能になり、クロスフォレストオペレーションのパフォーマンスと信頼性が向上します。

サイト名と DCLocator プロセスのやり取りの詳細については、次の Microsoft の記事を参照してください。

指定されたドメイン名が存在しない、または接続できませんでした。

この問題を解決するには、ドメインおよび VPC のアクセスコントロールリスト (ACL) でのセキュリティグループ設定が正しいこと、ならびに条件付きフォワーダーの情報が正確に入力されていることを確認します。AWS は、Active Directory の通信に必要なポートのみを開くようにセキュリティグループを設定します。セキュリティグループのデフォルト設定では、これらのポートに対する任意の IP アドレスからのトラフィックを受け入れます。アウトバウンドトラフィックは、セキュリティグループに制限されます。オンプレミスネットワークへのトラフィックを許可するには、セキュリティグループのアウトバウンドルールを更新する必要があります。セキュリティ要件の詳細については、「ステップ 2: AWS Managed Microsoft AD を準備する」を参照してください。

セキュリティグループを編集する

他のディレクトリのネットワークの DNS サーバーで、(RFC 1918 ではない) パブリックIP アドレスを使用している場合、Directory Service コンソールから、ディレクトリの IP ルートを DNS サーバーに追加する必要があります。詳細については、「信頼関係を作成、検証、または削除する」および「前提条件」を参照してください。

The Internet Assigned Numbers Authority (IANA) は、プライベートインターネット用に次の 3 つの IP アドレス空間ブロックを予約しています。

  • 10.0.0.0 – 10.255.255.255(10/8 プレフィックス)

  • 172.16.0.0 – 172.31.255.255(172.16/12 プレフィックス)

  • 192.168.0.0 – 192.168.255.255(192.168/16 プレフィックス)

詳細については、https://tools.ietf.org/html/rfc1918 を参照してください。

AWS Managed Microsoft AD のデフォルトの AD サイト名が、オンプレミスインフラストラクチャのデフォルトの AD サイト名と一致していることを確認します。コンピュータは、ユーザーのドメインではなく、コンピュータがメンバーであるドメインを使用してサイト名を決定します。最も近いオンプレミスと一致するようにサイトの名前を変更すると、最も近いサイトにあるドメインコントローラーを、DC ロケーターに選択させることができます。これで問題が解決しない場合は、先に作成してある条件付きフォワーダーからの情報がキャッシュされたことで、新しい信頼の作成が妨げられている可能性があります。数分待ってから、信頼と条件付きフォワーダーの作成を再試行してください。

この機能に関する情報については、Microsoft のウェブサイトの「Domain フォレスト信頼関係間でのドメインロケーター」を参照してください。

デフォルトの初期サイト名

このドメインでオペレーションを実行できませんでした

この問題を解決するには、ドメイン / ディレクトリの両方で NETBIOS 名が重複していないことを確認します。ドメイン / ディレクトリで NETBIOS 名の重複がある場合は、別の NETBIOS 名を使用してそれらのいずれかを再作成した上で、もう一度試してください。

「Required and valid domain name (必須かつ有効なドメイン名)」というエラーが原因で、信頼の作成に失敗しました

DNS 名に使用できるのは、アルファベット文字 (A~Z)、数字 (0~9)、マイナス記号 (-)、ピリオド (.) のみです。ピリオド文字を使用できるのは、ドメインスタイル名のコンポーネントを区切るために使用する場合のみです。また、以下の点を考慮してください。

  • AWS Managed Microsoft AD は、シングルラベルドメインでの信頼をサポートしていません。詳細については、「シングルラベルドメインの Microsoft サポート」を参照してください。

  • RFC 1123 (https://tools.ietf.org/html/rfc1123) の規定では、DNSラベルで使用できる文字は「A」から「Z」、「a」から「z」、「0」から「9」、およびハイフン(「-」)のみです。ピリオド [.] は DNS 名でも使用されますが、DNS ラベルの間と FQDN の末尾にのみ配置できます。

  • RFC 952 (https://tools.ietf.org/html/rfc952) の規定では、「名前」(ネット、ホスト、ゲートウェイ、ドメイン名) は、アルファベット (A~Z)、数字 (0~9)、マイナス記号 (-)、ピリオド (.) を使用した最大 24 文字のテキスト文字列となります。ピリオド文字を使用できるのは、「ドメインスタイル名」のコンポーネントを区切るために使用する場合のみです。

詳細については、Microsoft ウェブサイトの「ホストとドメインの名前制限に準拠する」を参照してください

信頼テスト用の一般的なツール

以下は、信頼に関連するさまざまな問題をトラブルシューティングするために使用できるツールです。

AWS Systems Manager Automation トラブルシューティングツール

Support Automation Workflows (SAW) は、AWS Systems Manager Automation を利用して、Directory Service のために事前定義されたランブックを提供します。AWSSupport-TroubleshootDirectoryTrust ランブックツールは、AWS Managed Microsoft AD とオンプレミス Microsoft Active Directory の間で信頼関係を作成する際の、一般的な問題を診断するのに役立ちます。

DirectoryServicePortTest ツール

DirectoryServicePortTest テストツールは、AWS Managed Microsoft AD とオンプレミスの Active Directory 間での信頼作成時に発生する問題を、トラブルシューティングする場合に便利です。ツール使用方法の例については、「AD Connector をテストする」を参照してください。

NETDOM および NLTEST ツール

管理者は、Netdom および Nltest のコマンドラインツールを使用して、信頼の検索、表示、作成、削除、および管理を行うことができます。これらのツールは、ドメインコントローラー上の LSA 権限と直接通信します。これらのツールの使用方法例については、Microsoft ウェブサイトの「Netdom」および「NLTEST」を参照してください。

パケットキャプチャツール

組み込みの Windows パッケージキャプチャユーティリティを使用して、ネットワークの問題の可能性を調査し、トラブルシューティングを行うことができます。詳細については、「Capture a Network Trace without installing anything」(インストールを一切行わずにネットワークトレースをキャプチャする) を参照してください。