外部の信頼を経由して、FSx for Windows ファイルサーバーでリモートの PowerShell セッションを開始できない場合のトラブルシューティング方法を教えてください。
Amazon FSx for Windows ファイルサーバーでシャドウコピーを設定したいと考えています。しかし、リモートの PowerShell セッションを設定する際に次のエラーが発生するため、これを行うことができません。 「enter-pssession : リモートサーバー <FSx_DNS_Name> への接続は、次のエラーメッセージで失敗しました : WinRM はリクエストを処理できません。Kerberos 認証の使用中に次のエラーが発生しました : コンピュータ <FSx_DNS_Name> が見つかりません。コンピュータがネットワーク上に存在すること、および指定された名前の綴りが正しいことを確認してください。詳細については、about_Remote_Troubleshooting Help のトピックを参照してください。」
解決方法
まず、設定が次の前提条件を満たしていることを確認します。
- オンプレミスの Microsoft Active Directory と AWS Directory Service for Microsoft Active Directory の間に信頼関係を作成する必要があります。
注: 少なくとも、2 つの一方向の信頼関係が必要です。一方向の信頼関係の 1 つは、Amazon FSx のコンピュータオブジェクトがある AWS Managed Microsoft AD からの出力方向の信頼である必要があります。他方の一方向の信頼関係は、オンプレミスの Microsoft AD での入力方向の信頼である必要があります。 - AWS Managed Microsoft AD ディレクトリの Amazon FSx 管理者グループの一部であるオンプレミスの AD ユーザーが必要です。
- Amazon FSx セキュリティグループには、Amazon FSx を管理し、シャドウコピーを有効にするクライアントに関連付けられた IP アドレスまたはセキュリティグループ ID との間のトラフィックを許可するルールが必要です。Amazon FSx セキュリティグループは、次のポートでこのインバウンドトラフィックとアウトバウンドトラフィックを許可する必要があります。
TCP/UDP 445 (SMB)
TCP 135 (RPC)
TCP/UDP 1024-65535 (RPC 用エフェメラルポート)
設定が前提条件を満たしているにもかかわらず、「Kerberos 認証: コンピュータが見つかりません」というエラーが表示される場合は、エラーは Microsoft の外部の信頼に関連している可能性があります。Microsoft の外部の信頼で Kerberos 認証を機能させるには、サービスプリンシパル名 (SPN) を構築するアプリケーションは、3 つの部分の SPN を構築する必要があります。enter-pssession コマンドレットは、2 つの部分の SPN のみをリクエストするため、リクエストは失敗します。PowerShell コマンドレットの実行中にネットワークトレースを実行すると、リクエストは「Kerberos: KRB_ERROR - KDC_ERR_S_PRINCIPAL_UNKNOWN」のようなエラーメッセージを返します。
このエラーを解決し、Microsoft の外部の信頼を介した Kerberos 認証を有効にするには、オンプレミスの AD ドメインの Kerberos クライアント向けに Kerberos Forest Search Order (KFSO) を設定します。[Use forest search order] (フォレストの検索順序を使用する) ウィンドウの [Forests to Search] (検索対象のフォレスト) で、セルフマネージド AD と AWS Managed Microsoft AD のドメイン名を追加します。次の形式と順序でドメイン名を追加します。
selfmanaged.example.com;awsmanaged.example.com
Amazon FSx のメンテナンスに使用するマシンにこれらの設定を適用した後、Amazon FSx のシャドウコピーの有効化に進むことができます。
関連情報
