トラブルシューティング: ゲートウェイの Active Directory への参加に関する問題 - AWS Storage Gateway
nping テストを実行して、ゲートウェイがドメインコントローラーに到達できることを確認するAmazon EC2 ゲートウェイインスタンスの VPC に設定されている DHCP オプションを確認するdig クエリを実行して、ゲートウェイがドメインを解決できることを確認するドメインコントローラーの設定とロールを確認するゲートウェイが最寄りのドメインコントローラーに参加していることを確認するActive Directory がデフォルトの組織単位 (OU) に新しいコンピュータオブジェクトを作成することを確認するドメインコントローラーのイベントログの確認

新規のお客様への Amazon FSx ファイルゲートウェイの提供は終了しました。FSx ファイルゲートウェイの既存のお客様は、引き続き通常どおりサービスを使用できます。FSx ファイルゲートウェイに似た機能については、このブログ記事を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

トラブルシューティング: ゲートウェイの Active Directory への参加に関する問題

ファイルゲートウェイを Microsoft Active Directory ドメインに参加させようとしたときに、NETWORK_ERRORTIMEOUTACCESS_DENIED、などのエラーメッセージが表示された場合の対処方法を判断したいとき、次のトラブルシューティング情報を利用します。

これらのエラーを解決するには、次の確認事項と設定を実行します。

nping テストを実行して、ゲートウェイがドメインコントローラーに到達できることを確認する

nping テストを実行するには:

  1. オンプレミスゲートウェイの場合はハイパーバイザー管理ソフトウェア (VMware、Hyper-V、または KVM) を使用するか、または Amazon EC2 ゲートウェイの場合は ssh を使用して、ゲートウェイローカルコンソールに接続します。

  2. 対応する数字を入力してゲートウェイコンソールを選択し、h を入力して使用可能なすべてのコマンドを一覧表示します。Storage Gateway 仮想マシンとドメイン間の接続をテストするには、次のコマンドを実行します。

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    注記

    corp.domain.com を Active Directory ドメイン DNS 名に置き換え、389 をご利用の環境の LDAP ポートに置き換えます。

    ファイアウォール内で必要なポートが開放されていることを確認します。

以下は、ゲートウェイがドメインコントローラーに到達できた場合の nping テスト成功例です。

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

以下は、送信先corp.domain.comへの接続がない場合や、送信先から応答がない場合の nping テストの例です。

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Amazon EC2 ゲートウェイインスタンスの VPC に設定されている DHCP オプションを確認する

ファイルゲートウェイが Amazon EC2 インスタンスで実行されている場合は、DHCP オプションセットが正しく構成され、ゲートウェイインスタンスを含む Amazon 仮想プライベートクラウド (VPC) にアタッチされていることを確認する必要があります。詳細については、「Amazon VPC DHCP オプションセット」を参照してください。

dig クエリを実行して、ゲートウェイがドメインを解決できることを確認する

ドメインがゲートウェイによって解決されない場合、ゲートウェイはドメインに参加できません。

dig クエリを実行するには:

  1. オンプレミスゲートウェイの場合はハイパーバイザー管理ソフトウェア (VMware、Hyper-V、または KVM) を使用するか、または Amazon EC2 ゲートウェイの場合は ssh を使用して、ゲートウェイローカルコンソールに接続します。

  2. 対応する数字を入力してゲートウェイコンソールを選択し、h を入力して使用可能なすべてのコマンドを一覧表示します。ゲートウェイがドメインを解決できるかどうかをテストするには、次のコマンドを実行します。

    dig -d corp.domain.com

    注記

    corp.domain.com を Active Directory ドメイン DNS 名に置き換えます。

以下に、正常な応答の例を示します。

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

ドメインコントローラーの設定とロールを確認する

ドメインコントローラーが読み取り専用に設定されていないこと、およびドメインコントローラーにコンピュータが参加するのに十分なロールがあることを確認します。これをテストするには、ゲートウェイ VM と同じ VPC サブネットの他のサーバーをドメインに参加させてみてください。

ゲートウェイが最寄りのドメインコントローラーに参加していることを確認する

ベストプラクティスとしては、ゲートウェイアプライアンスに地理的に近いドメインコントローラーにゲートウェイを参加させることを推奨します。ネットワークレイテンシーが原因でゲートウェイアプライアンスが 20 秒以内にドメインコントローラーと通信できない場合、ドメイン参加プロセスはタイムアウトすることがあります。たとえば、ゲートウェイアプライアンスが米国東部 (バージニア北部) にあり、 AWS リージョン ドメインコントローラーがアジアパシフィック (シンガポール) にある場合、プロセスはタイムアウトすることがあります AWS リージョン。

注記

デフォルトのタイムアウト値を 20 秒に増やすには、 AWS Command Line Interface (AWS CLI) で join-domain コマンドを実行し、時間を増やす--timeout-in-secondsオプションを含めることができます。また、JoinDomain API コールを使用し、TimeoutInSeconds パラメータを含めてタイムアウト時間を増やすことができます。最大タイムアウト値は 3,600 秒です。

AWS CLI コマンドの実行時にエラーが発生した場合は、最新バージョンを使用していることを確認してください AWS CLI 。

Active Directory がデフォルトの組織単位 (OU) に新しいコンピュータオブジェクトを作成することを確認する

Microsoft Active Directory に、デフォルトの OU 以外の場所に新しいコンピュータオブジェクトを作成するグループポリシーオブジェクトがないことを確認します。ゲートウェイを Active Directory ドメインに参加させる前に、新しいコンピュータオブジェクトがデフォルトの OU に存在している必要があります。一部の Active Directory 環境は、新しく作成されたオブジェクトに対して異なる OU を持つようにカスタマイズされています。ゲートウェイ VM の新しいコンピュータオブジェクトがデフォルトの OU に存在することを確認するには、ゲートウェイをドメインに参加させる前に、ドメインコントローラーでコンピュータオブジェクトを手動で作成してみてください。 AWS CLIを使用して join-domain コマンドを実行することもできます。その場合は、--organizational-unit のオプションを指定します。

注記

コンピュータオブジェクトを作成するプロセスは、事前ステージングと呼ばれます。

ドメインコントローラーのイベントログの確認

前のセクションで説明した他のすべての確認事項と設定を試した後にゲートウェイをドメインに参加させられない場合は、ドメインコントローラーのイベントログを調べることを推奨します。ドメインコントローラーのイベントビューワーにエラーがないか確認します。ゲートウェイクエリがドメインコントローラーに到達していることを確認します。