スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD ディレクトリにシームレスに結合できない理由を教えてください。

所要時間3分
0

Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスを Microsoft Active Directory 用 AWS Directory Service にシームレスに結合させることができません。

解決策

注: AWS Systems Manager 用の Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントを使用する場合でも、Windows Server インスタンスは引き続きドメインに参加できます。ただし、VPC エンドポイントは AWS Managed Microsoft AD API とドメインコントローラーへのアクセスを許可する必要があります。詳細については、「VPC エンドポイントの制約と制限」を参照してください。

OS を確認する

Systems Manager がサポートするオペレーティングシステム (OS) を使用していることを確認してください。

IAM ロールポリシーを確認する

AWS Identity and Access Management (IAM) ロールに正しいマネージドポリシーがアタッチされていることを確認するには、次の手順を実行します。

  1. IAM コンソールを開きます。
  2. ナビゲーションペインで [ロール] を選択します。
  3. EC2 インスタンスに関連付けられている IAM ロールのロール名を選択します。
  4. [アクセス許可] タブを選択します。
  5. [アクセス許可ポリシー] については、 AmazonSSMDirectoryServiceAccessAmazonSSMManagedInstanceCore をアタッチしていることを確認します。
  6. アクセス許可ポリシーをアタッチしていない場合は、[アクセス許可の追加] を選択します。
  7. [ポリシーをアタッチ] を選択します。
  8. 検索バーにポリシー名を入力し、不足しているポリシーを選択します。
  9. [アクセス許可の追加] を選択します。

必要なポートが開いていることを確認する

ディレクトリのセキュリティグループは、ポート 53、88、および 389 を許可する必要があります。

ディレクトリのセキュリティグループを特定して確認するには、次の手順を実行します。

  1. Amazon EC2 コンソールを開きます。
  2. ナビゲーションペインで [セキュリティグループ] を選択します。
  3. [セキュリティグループ名] で、directoryid_controllers を検索します。ディレクトリ ID の値は directoryid です。例えば、d-1234567891_controllers の場合、ディレクトリ ID は d-1234567891 です。
  4. ディレクトリコントローラーのセキュリティグループのセキュリティグループ ID を選択します。
  5. [インバウンドルール] タブと [アウトバウンドルール] タブを選択して、ポート情報を確認します。必要なポートが見つからない場合は、セキュリティグループにポートを追加します。
  6. EC2 インスタンスにアタッチされているセキュリティグループについて、ステップ 2~5 を繰り返します。インスタンスのセキュリティグループが directoryid_controllers セキュリティグループへのアウトバウンド接続を許可していることを確認します。

必要なポートへのドメインの接続をテストするには、PortQRY コマンドラインツールを使用できます。詳細については、Microsoft ウェブサイトの「Using the PortQry command-line tool」(PortQRY コマンドラインツールを使用する) を参照してください。

インスタンスの DNS サーバーがディレクトリの DNS サーバーを指していることを確認する

インスタンスのネットワークアダプター設定を表示するには、次のコマンドを実行します。

ipconfig /all

出力で、DNS サーバーのリストにある IP アドレスを確認します。

次に、次の手順を実行してディレクトリの DNS サーバーを特定します。

  1. AWS Directory Service コンソールを開きます。
  2. ナビゲーションペインで、[ディレクトリ] を選択します。
  3. 対象のディレクトリのディレクトリ ID を選択します。
  4. [DNS アドレス] の値が ipconfig の出力にある IP アドレスと一致することを確認します。一致しない場合は、DNS サーバーをインスタンスに結合する必要があります。

DNS サーバーをインスタンスに結合するには、次の手順を実行します。

  1. Remote Desktop Protocol (RDP) を使用してインスタンスを接続します

  2. 次のコマンドを実行して [ネットワーク接続] を開きます。

    %SystemRoot%\system32\control.exe ncpa.cpl

  3. アクティブなネットワーク接続を右クリックしてコンテキストメニューを開き、[プロパティ] を選択します。

  4. 接続プロパティダイアログボックスで、[インターネットプロトコルバージョン 4] をダブルクリックして開きます。

  5. [次の DNS サーバーのアドレスを使用する] を選択します。

  6. [優先 DNS サーバー][代替 DNS サーバー] に、AWS Managed Microsoft AD が提供した DNS サーバーの IP アドレスを入力し、[OK] を選択します。

インスタンスからドメイン名を解決できることを確認する

インスタンスからドメイン名を解決できることを確認するには、コマンドラインに基づいて次のコマンドのいずれかを実行します。

PowerShell:

Resolve-DnsName domainname

コマンドプロンプト:

nslookup domainname

注: domainname は実際のドメイン名に置き換えてください。

DNS サーバーの設定を確認する

インスタンスの DNS サーバーが正しく設定されていることを確認します。次のコマンドを実行して、インスタンスがターゲットドメイン内のドメインコントローラーを特定して通信できるかどうかを確認します。

nltest /dsgetdc:domainname /force

注: domainname を NetBIOS 名ではなく DNS 名に置き換えてください。例えば、example.com というドメインの場合、DNS 名は example.com で、NetBIOS 名は example です。このコマンドの詳細については、Microsoft のウェブサイト「Nltest」を参照してください。

出力にエラーメッセージが表示されたら、エラーに記載されている問題のトラブルシューティングを行います。

インスタンスがマネージドインスタンスであることを確認する

マネージドインスタンスのみが Active Directory に参加できます。

以下の手順を実行して、インスタンスが AWS Systems Manager の機能である Fleet Manager のマネージドインスタンスであることを確認します。

  1. Systems Manager コンソールを開きます。
  2. ナビゲーションペインで [Fleet Manager] を選択します。
  3. [マネージドノード] タブを選択します。
  4. インスタンスがリストに表示され、オンラインであることを確認します。詳細については、「使用している Amazon EC2 インスタンスが、Systems Manager でマネージドインスタンスとして表示されない原因を教えてください」を参照してください。

インスタンスに State Manager が関連付けられていることを確認する

awsconfig_Domain_directoryid_domainname ドキュメントは、インスタンスに対して、AWS Systems Manager の機能である State Manager と関連付ける必要があります。

State Manager の関連付けに問題がないか確認するには、次の手順を実行します。

  1. Systems Manager コンソールを開きます。
  2. ナビゲーションペインで [State Manager] を選択します。
  3. 検索バーで、[インスタンス ID][等しい] を選択し、インスタンス ID を入力します。
  4. 関連付け ID を選択します。
  5. [ステータス]Success であることを確認し、[実行履歴] を選択して他の関連付け実行のステータスを確認します。
    [ステータス]Failed の場合は、[実行 ID] を選択し、[出力] を選択して出力の詳細を確認し、問題の原因を特定します。
    [ステータス]Pending の場合は、EC2 インスタンスのログを調べて、問題の原因を特定するのに役立つエラーメッセージがないかどうかを確認します。手順については、「ログを確認してエラーメッセージを見つける」に進んでください。

インスタンスをドメインに手動で結合できるかどうかを確認する

ドメインにコンピュータオブジェクトを追加するために必要なアクセス許可を持つように AWS アカウントを設定したことを確認してください。

注: 新しい Windows インスタンスを作成するには、Microsoft のツール Sysprep を使用して、標準化された Amazon マシンイメージ (AMI) を作成します。

ログを確認してエラーメッセージを見つける

それでもドメインに結合できない場合は、次のインスタンスログでエラーメッセージを確認してください。

SSM Agent ログ

AWS Systems Manager Agent (SSM Agent) のログを確認します。

Netsetup.log ファイル

ログファイルを開くには、コマンドプロンプトで次のコマンドを実行します。

%windir%\debug\netsetup.log

NetSetup.log エラーのトラブルシューティングを行うには、Microsoft のウェブサイト「Troubleshoot networking errors that occur when you join Windows-based computers to a domain」(Windows ベースのコンピューターをドメインに参加させるときに発生するネットワークエラーのトラブルシューティング) を参照してください。

セキュリティグループまたはファイアウォールが UDP トラフィックをブロックしている場合、ドメイン結合ワークフローは NetSetup.log ファイルに出力を作成しません。DNS サーバーへの DNS 接続をテストするには、次の PowerShell コマンドを実行します。

Test-DnsServer -IPAddress YourIPAddress

注: YourIPAddress を DNS サーバーの IP アドレスに置き換えてください。

Event Viewer ログ

Event Viewer ログを確認するには、次の手順を実行します。

  1. [スタート] メニューを選択し、Event Viewer を入力します。
  2. [Event Viewer] を選択します。
  3. ナビゲーションペインで [Windows ログ] を展開し、[システム] を選択します。
  4. [日付と時刻] 列を確認して、ドメインへの結合操作中に発生したイベントを特定します。

問題をさらにトラブルシューティングするには、Microsoft ウェブサイトの「Active Directory domain join troubleshooting guidance」(Active Directory ドメイン結合のトラブルシューティングガイダンス) を参照してください。

関連情報

Ways to join an Amazon EC2 instance to your AWS Managed Microsoft AD (Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法)

Joining an Amazon EC2 Windows instance to your AWS Managed Microsoft AD Active Directory (Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD Active Directory に結合する)

トピック
Compute
タグ
Amazon EC2Windows
言語
日本語
AWS公式更新しました 5ヶ月前
コメントはありません

関連するコンテンツ