Systems Manager の Windows インスタンスのシームレスなドメイン参加をトラブルシューティングする方法を教えてください?
AWS Systems Manager で Windows インスタンスのシームレスなドメイン参加を正常に完了できません。
簡単な説明
Windows でのシームレスなドメイン参加が失敗する最も一般的な理由は次のとおりです:
- Systems Manager の前提条件が満たされていない。
- AWS Identity and Access Management (AWS IAM) インスタンスプロファイルに、シームレスなドメイン参加のためのポリシーがない。
- Windows インスタンスのトラフィックが、パブリック AWS Directory Service エンドポイントにアクセスできない。
- Windows インスタンスがドメインコントローラーにアクセスできないか、またはドメインへの参加に必要なポートがセキュリティグループまたはネットワーク ACL で許可されていない。
- 重複したコンピュータオブジェクト名がドメインコントローラに既に存在している。
- サービスアカウントに、AD Connector を使用するのに必要な権限がない。
Windows インスタンスでシームレスなドメイン参加が失敗した場合は、以下を確認して問題をトラブルシューティングしてください:
解決方法
Systems Manager の前提条件を確認する
Windows インスタンスでシームレスなドメイン参加を行うには、System Manager の前提条件を満たしている必要があります。Systems Manager の前提条件が満たされている場合、マネージドノードの AWS Systems Manager Agent (SSM Agent) の ping ステータスはオンラインになります。SSM エージェントの ping ステータスを確認するには、AWS Systems Manager コンソールを開き、ナビゲーションペインから [Fleet Manager] を選択します。マネージドインスタンスが Fleet Manager に表示されない場合は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスがマネージドインスタンスの要件を満たしていることを確認してください。
IAM インスタンスプロファイルのポリシーを確認する
Windows インスタンスでシームレスなドメイン参加を行うには、AmazonSSMDirectoryServiceAccess IAM ポリシーを割り当てる必要があります。IAM ロールポリシーを確認するには、Amazon EC2 コンソールを開き、ナビゲーションペインから [インスタンス] を選択します。次に、[Details] (詳細) タブにある [IAM Role] (IAM ロール) を選択します。
**AmazonSSMDirectoryServiceAccess ** IAM ポリシーが見つからない場合、アクセス権限を追加するには、「Systems Manager のインスタンス権限の設定」を参照してください。
AWS Directory Service エンドポイントへのトラフィックアクセスを許可する
Windows インスタンスから AWS Directory Service のエンドポイントにアクセスするには、aws:domainJoin プラグインを使用します。
aws: domainJoin プラグインを使用して AWS Directory Service のエンドポイントにドメインをシームレスに参加させるには、Windows インスタンスからのトラフィックアクセスを許可する必要があります。Windows インスタンスからのトラフィックに対して、パブリック AWS Directory Service エンドポイントへのアクセスを許可する必要があります。詳細については、「VPC エンドポイントの制約と制限」を参照してください。
ドメインコントローラへのアクセスを提供する
Windows インスタンスでシームレスなドメイン参加を行うには、シームレスなドメイン参加を実行する際に Windows OS がドメインコントローラと通信する必要があります。DirectoryServicePortTest テストアプリケーションを使用して、Windows インスタンスからドメインコントローラとの通信が確立されていることを確認します。
ドメインに参加するために必要なポート番号の一覧については、マイクロソフト ウェブサイトの「Active Directory および Active Directory ドメインサービスのポート要件」を参照してください。
同じサブネット上のインスタンスが手動でドメインに参加できるかどうかを確認することもできます。インスタンスが同じサブネットからドメインコントローラにアクセスできない場合、シームレスなドメイン参加は失敗します。
コンピュータオブジェクト名の重複を避ける
ドメインコントローラに同じ名前のコンピュータオブジェクトが既に存在する場合、ドメイン参加は失敗します。カスタム Windows イメージを使用して複数の Windows インスタンスでシームレスなドメイン参加を行うには、イメージを作成する前に Sysprep を使用してください。Sysprep の使用方法については、「Sysprep を使用してカスタムの再利用可能な Windows AMI を作成およびインストールする方法」を参照してください?
AD Connector サービスのアカウント権限を確認する
AD Connector を使用するには、サービスアカウントに十分な権限が必要です。サービスアカウントにコンピュータアカウントを作成する権限がない場合、シームレスなドメイン参加は失敗します。サービスアカウントの権限を確認するには、サービスアカウントを使用して Windows インスタンスを手動で参加させます。
関連情報
関連するコンテンツ
- AWS公式更新しました 1年前
