AWS Application Migration Service のレプリケーションサーバーで、「サービスによる認証に失敗しました」という初回レプリケーションのエラーメッセージが表示されました。
簡略な説明
レプリケーションサーバーの起動後、次のリージョンレベル AWS エンドポイントに到達できます。
これらのエンドポイントへの通信に失敗すると、初回のデータレプリケーション中に「サービスによる認証に失敗しました」というエラーメッセージが表示されます。
詳細については、「TCP ポート 443 を介したステージングエリアサブネットとApplication Migration Serviceアプリケーション移行サービス間の通信」を参照してください。
解決方法
この問題のトラブルシューティングを開始するには、レプリケーションサーバーを終了してそのシステムログ出力を確認してください。このログデータを使用して、前述のエンドポイントのうち、サーバーが通信に失敗しているエンドポイントを特定します。これを行うには、次の手順を実行します。
1. EC2 コンソールを開きます。
2. EC2 ダッシュボードで、終了済みのレプリケーションインスタンス (Application Migration Service のレプリケーションサーバー) を選択します。
3. 次に、[アクション]、**[モニタリングとトラブルシューティング] 、[システムログを取得]**を選択します。
4. システムログを分析して、接続エラーが発生した S3 への接続を試みたかどうかを確認します。
5. S3 接続が機能している場合は、ログをさらに分析して、「MGN に到達できません」または「EC2 にアクセスできません」というエラーがないか調べてください。
6. 終了したレプリケーションサーバーがない場合は、EC2 インスタンスを (作成して) 使用してください。インスタンスがレプリケーションサーバーと同じ設定 (仮想プライベートクラウド (VPC)、サブネット、セキュリティグループ) を使用していることを確認してください。
7. telnet などのユーティリティを使用してネットワーク接続テストを実行します。必要に応じて Telnet 以外のツールもご使用いただけます。以下は、テストに使用する telnet コマンドの例です。この例のエンドポイントをお客様の AWS リージョン向けに変更して、TCP 通信が機能していることを確認します。
telnet mgn.<region>.amazonaws.com 443
telnet ec2.<region>.amazonaws.com 443
telnet s3.<region>.amazonaws.com 443
8. いずれかのテストが失敗した場合は、次の手順を実行してください。
- セキュリティグループ、ネットワークアクセスコントロールリスト、およびルートテーブルが TCP ポート 443 経由でエンドポイントへのアクセスを許可していることを確認します。
- Amazon EC2 または Application Migration Service の VPC インターフェイスエンドポイントの場合: インターフェイスエンドポイントに接続されているセキュリティグループが、ステージングエリアのサブネットからのインバウンド TCP ポート 443 へのアクセスを許可していることを確認ます。
- インターネットにアクセスできないサブネットで S3 にアクセスする場合: 必ず S3 ゲートウェイエンドポイントを使用します。レプリケーションサーバーは、アクセスする S3 リンクが VPC エンドポイントのインターフェイス ID に合わせて調整されないため、S3 VPC インターフェイスエンドポイントを利用できません。
- サブネットの DNS 解決用のカスタム DHCP オプションセットの場合: カスタム DHCP オプションセットを設定した DNS サーバーが、前述の簡略な説明に記載されているエンドポイントを解決できることを確認します。
- トラフィックをファイアウォール経由でルーティングする場合: ファイアウォールがレプリケーションサーバーからエンドポイントへのトラフィックをブロックしていないことを確認します。
- インターネットゲートウェイを使用してインターネットにアクセスしている場合: レプリケーション設定で [パブリック IP を作成] が選択されていることを確認します。レプリケーションサーバーには、エンドポイントと通信するためのパブリック IP アドレスが必要です。