翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Managed Microsoft AD (ハイブリッドエディション) について
<a name="aws-hybrid-directory"></a>

*AWS Managed Microsoft AD (ハイブリッドエディション)* では、 AWS Managed Microsoft AD AWS クラウド を使用して既存の Active Directory を に拡張できます。この機能を使用すると、AD 依存ワークロードの移動 AWS、 AWS サービスの導入、Active Directory の冗長性の向上が容易になります。 AWS はハイブリッドディレクトリでディレクトリ評価を定期的に実行し、コンソールで Directory Service 表示できます。

のハイブリッドディレクトリは、既存の *Microsoft Active Directory*を *AWS Directory Service for Microsoft Active Directory* (AWS マネージド Microsoft AD) Directory Service に接続します。これにより AWS、オンプレミスにまたがる統合された ID 環境とマルチクラウドインフラストラクチャが作成され、ディレクトリサービスを に拡張しながら単一の ID ソースを維持できます AWS。

ハイブリッドディレクトリ設定には、いくつかの重要な機能があります:
+ 信頼関係を確立 AWS クラウド せずにセルフマネージド AD を に拡張する
+ 既存の Active Directory 認証情報を使用した環境間のシームレスな認証と認可
+ 両方の AD 環境にわたる一貫したユーザー認証情報とグループメンバーシップ
+ AD アクセスポリシーとアクセス許可の集中管理

**Topics**
+ [ハイブリッドディレクトリの前提条件](create_hybrid_directory_prereqs.md)
+ [ハイブリッドディレクトリの作成](hybrid_directory_create.md)
+ [ハイブリッドディレクトリの表示と編集](hybrid_directory_view_and_edit.md)
+ [ハイブリッドディレクトリの削除](hybrid_directory_delete.md)
+ [ハイブリッドディレクトリのディレクトリ評価](hybrid_directory_assessment.md)
+ [ハイブリッドディレクトリとディレクトリ評価のトラブルシューティング](hybrid_directory_troubleshooting.md)

# ハイブリッドディレクトリの前提条件
<a name="create_hybrid_directory_prereqs"></a>

ハイブリッドディレクトリは、自己管理型 Active Directory を AWS クラウドに拡張します。ハイブリッドディレクトリを作成する前に、環境が次の要件を満たしていることを確認してください:

## Microsoft Active Directory ドメイン要件
<a name="create_hybrid_directory_prereqs-ad-domain"></a>

ハイブリッドディレクトリを作成する前に、自己管理型 AD 環境とインフラストラクチャが以下の要件を満たしていることを確認し、必要な情報を収集します。

### ドメイン要件:
<a name="domain_requirements"></a>

自己管理型 AD 環境は、次の要件を満たしている必要があります:
+ Windows Server 2012 R2 または 2016 の機能レベルを使用します。
+ ハイブリッドディレクトリ作成の評価には、標準的なドメインコントローラーが使用されます。読み取り専用ドメインコントローラー (RODC) をハイブリッドディレクトリの作成に使用することはできません。
+ すべての Active Directory サービスが実行されている 2 つのドメインコントローラーがあります。
+ プライマリドメインコントローラー (PDC) は常にルーティング可能である必要があります。

  具体的には、自己管理型 AD の PDC エミュレータ IP と RID マスター IP は、次のいずれかのカテゴリにある必要があります:
  + RFC1918 プライベート IP アドレス範囲 (10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16) の一部
  + VPC CIDR 範囲内
  + ディレクトリの自己管理型インスタンスの DNS IP を一致させる

  ハイブリッドディレクトリの作成後に、ディレクトリの IP ルートを追加できます。

### 必要な情報
<a name="required_information"></a>

自己管理型 AD に関する次の情報を収集します:
+ [Directory DNS name] (ディレクトリの DNS 名)
+ ディレクトリの DNS IP
+ 自己管理型 AD への管理者アクセス許可を持つサービスアカウントの認証情報
+ AWS サービスアカウントの認証情報を保存するためのシークレット ARN (「」を参照[AWS ハイブリッドディレクトリのシークレット ARN](#aws_secret_arn_for_hybrid))

### AWS ハイブリッドディレクトリのシークレット ARN
<a name="aws_secret_arn_for_hybrid"></a>

セルフマネージド AD でハイブリッドディレクトリを設定するには、シー AWS クレットを暗号化する KMS キーを作成してから、シークレット自体を作成する必要があります。両方のリソースは、ハイブリッドディレクトリ AWS アカウント を含むのと同じ に作成する必要があります。

#### KMS キーを作成する
<a name="create_kms_key_for_hybrid"></a>

KMS キーはシー AWS クレットの暗号化に使用されます。

**重要**  
**[暗号化キー]** として、 AWS  デフォルトの KMS キーを使用しないでください。セルフマネージド AD AWS と結合するために作成するハイブリッドディレクトリ AWS アカウント を含む と同じ に KMS キーを作成してください。

**KMS AWS キーを作成するには**

1.  AWS KMS コンソールで、**キーの作成**を選択します。

1. **[キーの種類]** として、**[対称]** を選択します。

1. **[キーの使用方法]** として、**[暗号化と復号化]** を選択します。

1. [**Advanced options (詳細オプション)**] の場合:

   1. **[キーマテリアルのオリジン]** として、**[KMS]** を選択します。

   1. **[リージョナリティ]** では、**[単一リージョンキー]** を選択し、**[次へ]** を選択します。

1. **[エイリアス]** に、KMS キーの名前を指定します。

1. (オプション) **[説明]** に、KMS キーの説明を入力します。

1. (オプション) **[タグ]** には、KMS キーのタグを追加し、**[次へ]** を選択します。

1. **[キー管理者]** には、IAM ユーザーを選択します。

1. **[キーの削除]** で、**[キー管理者にこのキーの削除を許可する]** をデフォルト設定のままにして、**[次へ]** を選択します。

1. **[キーユーザー]** として、前のステップと同じ IAM ユーザーを選択して、**[次へ]** を選択します。

1. 設定を確認します。

1. **[キーポリシー]** で、ポリシーに以下のステートメントを追加します:

1. [**Finish**] を選択してください。

#### AWS シークレットを作成する
<a name="create_aws_secret_for_hybrid"></a>

Secrets Manager でシークレットを作成して、自己管理型 AD ユーザーアカウントの認証情報を保存します。

**重要**  
セルフマネージド AD と結合するハイブリッドディレクトリ AWS アカウント を含むシークレットを同じ に作成します。

シークレットを作成する
+ Secrets Manager で、**[新しいシークレットを保存する]** を選択します。
+ **[シークレットタイプ]** で、**[他の種類のシークレット]** を選択します。
+ **[キーと値のペア]** として、次の 2 つのキーを追加します。

1. <a name="add_username_key"></a>ユーザー名キーを追加する

   1. 最初のキーには、`customerAdAdminDomainUsername` と入力します。

   1. 最初のキーの値には、AD ユーザーのユーザー名 (ドメインプレフィックスなし) のみを入力します。ドメイン名を含めないでください。含めると、インスタンスの作成が失敗します。

1. <a name="add_password_key"></a>パスワードキーを追加する

   1. 2 番目のキーとして、`customerAdAdminDomainPassword` と入力します。

   1. 2 番目のキーの値には、ドメインの AD ユーザー用に作成したパスワードを入力します。

##### シークレットの構成を完了する
<a name="complete_secret_configuration"></a>

1. **[暗号化キー]** で、[KMS キーを作成する](#create_kms_key_for_hybrid) で作成した KMS キーを選択し、**[次へ]** を選択します。

1. **[シークレット名]** に、シークレットの説明を入力します。

1. (オプション) **[説明]** に、シークレット名の説明を入力します。

1. [**次へ**] を選択します。

1. **[ローテーションの設定]** は、デフォルト値のままにして、**[次へ]** を選択します。

1. シークレットの設定を確認し、**[保存]** を選択します。

1. 作成したシークレットを選択し、**[シークレット ARN]** の値をコピーします。この ARN を次のステップで使用して、自己管理型 Active Directory をセットアップします。

### インフラストラクチャ要件
<a name="infrastructure_requirements"></a>

以下のインフラストラクチャコンポーネントを準備します:
+ SSM エージェントの管理者権限を持つ 2 つの AWS Systems Manager ノード
  + Active Directory が **[ AWS クラウドの外部で自己管理されている場合]**、ハイブリッドおよびマルチクラウド環境には 2 つの Systems Manager ノードが必要です。これらのノードをプロビジョニングする方法の詳細については、「[ハイブリッドおよびマルチクラウド環境用の Systems Manager のセットアップ](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)」を参照してください。
  + Active Directory が **内で自己管理されている場合は AWS クラウド**、2 つの Systems Manager マネージド EC2 インスタンスが必要です。これらのインスタンスをプロビジョニングする方法の詳細については、「[Systems Manager を利用した EC2 インスタンスの管理](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)」を参照してください。

## 必要な Active Directory サービス
<a name="create_hybrid_directory_prereqs-ad-services"></a>

自己管理型 AD で次のサービスが実行されていることを確認します:
+ Active Directory Domain Services
+ Active Directory Web Service (ADWS)
+ COM\$1 イベントシステム
+ 分散ファイルシステムレプリケーション (DFSR)
+ ドメインネームシステム (DNS)
+ DNS サーバー
+ グループポリシークライアント
+ サイト間メッセージング
+ リモートプロシージャコール (RPC)
+ Security Accounts Manager
+ Windows タイムサーバー
**注記**  
ハイブリッドディレクトリでは、UDP ポート 123 が開いていることと、Windows タイムサーバーが有効かつ正常に動作していることの両方が必要です。ハイブリッドディレクトリレプリケーションが適切に動作するように、時刻をドメインコントローラーと同期します。

## Kerberos 認証の要件
<a name="create_hybrid_directory_prereqs-ad-kerberos"></a>

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。この設定を有効にする方法の詳細については、「[Ensure that Kerberos pre-authentication is enabled](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos)」を参照してください。この設定に関する一般的な情報については、Microsoft TechNet の「[事前認証](http://technet.microsoft.com/en-us/library/cc961961.aspx)」を参照してください。

## サポートされる暗号化形式
<a name="create_hybrid_directory_prereqs-encryption"></a>

ハイブリッドディレクトリは、Active Directory ドメインコントローラーへの Kerberos を介した認証時に、次のタイプの暗号化をサポートしています:
+ AES-256-HMAC

## ネットワークポートの要件
<a name="create_hybrid_directory_prereqs-ports"></a>

セルフマネージド Active Directory ドメインコントローラーを拡張 AWS するには、既存のネットワークのファイアウォールで、Amazon VPC 内の両方のサブネットCIDRsに対して次のポートが に開かれている必要があります。
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 認証
+ UDP 123 - タイムサーバー
+ TCP 135 - リモートプロシージャコール
+ TCP/UDP 389 - LDAP
+ TCP 445 – SMB
+ TCP 636 - Lightweight Directory Access Protocol Secure (LDAPS) を使用する環境でのみ必要
+ TCP 49152-65535 - RPC がランダムに割り当てた高 TCP ポート
+ TCP 3268 および 3269 – グローバルカタログ
+ TCP 9389 Active Directory Web Services (ADWS)

これらは、ハイブリッドディレクトリの作成に必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

**注記**  
ドメインコントローラーと FSMO ロール所有者に提供される DNS IP では、Amazon VPC 内の両方のサブネットの CIDR に対して上記のポートを開く必要があります。

**注記**  
ハイブリッドディレクトリでは、UDP ポート 123 が開いていることと、Windows タイムサーバーが有効かつ正常に動作していることの両方が必要です。ハイブリッドディレクトリレプリケーションが適切に動作するように、時刻をドメインコントローラーと同期します。

## AWS アカウント アクセス許可
<a name="hybrid-dir-prereq-perms"></a>

では、以下のアクションに対するアクセス許可が必要です AWS アカウント。
+ ec2:AuthorizeSecurityGroupEgress
+ ec2:AuthorizeSecurityGroupIngress
+ ec2:CreateNetworkInterface
+ ec2:CreateSecurityGroup
+ ec2:DescribeNetworkInterfaces
+ ec2:DescribeSubnets
+ ec2:DescribeVpcs
+ ec2:CreateTags
+ ec2:CreateNetworkInterfacePermission
+ ssm:ListCommands
+ ssm:GetCommandInvocation
+ ssm:GetConnectionStatus
+ SSM: SendCommand
+ secretsmanager:DescribeSecret
+ secretsmanager:GetSecretValue
+ iam:GetRole
+ iam:CreateServiceLinkedRole

## Amazon VPC ネットワークの要件
<a name="hybrid-dir-prereqs-vpc"></a>

次のように設定された VPC:
+ 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります
+ VPC にはデフォルトのテナンシーが必要です

198.18.0.0/15 アドレス空間のアドレスを使用して、VPC 内にハイブリッドディレクトリを作成することはできません。

Directory Service は 2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、 の外部で実行され AWS アカウント、 によって管理されます AWS。これらには、2 つのネットワークアダプタ (`ETH0` および `ETH1`) があります。`ETH0` は管理アダプタで、アカウント外部に存在します。`ETH1` はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は `198.18.0.0/15` です。

詳細については、「*Amazon VPC ユーザーガイド*」の次のトピックを参照してください。
+ [Amazon VPC とは?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [Amazon VPC とは?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPC とサブネット](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [AWS Site-to-Site VPNとは](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)

詳細については AWS Direct Connect、[「 とは」を参照してください AWS Direct Connect。](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

## AWS セキュリティグループ設定
<a name="hybrid-dir-prereqs-security-group"></a>

デフォルトでは、 はセキュリティグループを AWS アタッチして、VPC AWS Systems Manager 内のマネージドノードへのネットワークアクセスを許可します。オプションで、VPC 外部の自己管理型ドメインコントローラーとの間でネットワークトラフィックを許可する独自のセキュリティグループを指定できます。

オプションで、VPC 外部の自己管理型ドメインコントローラーとの間でネットワークトラフィックを許可する独自のセキュリティグループを指定できます。独自のセキュリティグループを指定する場合は、以下を行う必要があります:
+ VPC CIDR 範囲と自己管理型の範囲の許可リスト。
+ これらの範囲が [AWS リザーブド IP 範囲](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)と重複しないようにする 

## ディレクトリ評価に関する考慮事項
<a name="hybrid-dir-prereqs-assessments"></a>

ディレクトリ評価を作成する際の考慮事項と、 AWS アカウントで実行できる評価の数を次に示します:
+ ハイブリッドディレクトリを作成すると、ディレクトリ評価が自動的に作成されます。評価には、`CUSTOMER` と `SYSTEM` の 2 種類があります。 AWS アカウント には、100 個の `CUSTOMER` ディレクトリ評価の制限があります。
+ ハイブリッドディレクトリを作成しようとして、すでに 100 個の `CUSTOMER` ディレクトリ評価がある場合、エラーが発生します。評価を削除して容量を解放してから、もう一度試してください。
+ `CUSTOMER` ディレクトリ評価クォータの引き上げをリクエストするには、既存の CUSTOMER ディレクトリ評価に連絡 サポート または削除して容量を解放します。

# ハイブリッドディレクトリの作成
<a name="hybrid_directory_create"></a>

ハイブリッドディレクトリを作成する前に、自己管理型 Active Directory との接続性と相互運用性を検証するディレクトリ評価を作成して、これに合格する必要があります。

## 自己管理型 AD を使用したハイブリッドディレクトリの作成
<a name="creating_hybrid_directory"></a>

自己管理型 AD でハイブリッドディレクトリを作成するには、次の手順に従います:

**ハイブリッドディレクトリを作成するには**

1. 目的のリージョンの Directory Service コンソールを開きます。

1. **[ディレクトリタイプを選択]** ページで **[AWS Managed Microsoft AD]** を選択します。

1. ** AWS Managed Microsoft AD の開始方法** で、**ハイブリッドディレクトリを使用して AD ドメインを拡張する — 新規** を選択し、**次へ** を選択します。これにより、**[ディレクトリ評価を作成]** ページに移動します。

1. ハイブリッドディレクトリを作成する前に、最初にディレクトリ評価を作成し、合格する必要があります。ディレクトリ評価を作成するには、「[ディレクトリ評価の作成](create_directory_assessment.md)」の手順に従います。ディレクトリ評価に合格したら、この手順を続行できます。

1. ディレクトリ評価に合格したら、**[ディレクトリ]** ページに移動します。

1. **[ディレクトリ]** ページの **[トライアルハイブリッドディレクトリ評価]** で、**[ステータス]** が `SUCCESS` の **[評価 ID]** を選択します。次に、**[ハイブリッドディレクトリを作成]** を選択します。これにより、評価の詳細ページに移動します。

1. 評価の詳細ページで、**[ハイブリッドディレクトリを作成]** を選択してこのアクションを確認します。これにより、**[評価 ID を使用してハイブリッドディレクトリを作成する]** ページが開きます。

1. **[評価 ID を使用してハイブリッドディレクトリを作成する]** ページで、**[自己管理型 Active Directory 情報を確認]** します。情報を確認したら、**[ハイブリッドディレクトリを作成]** を選択します。

   **ハイブリッドディレクトリの作成**を選択すると、 はこの情報に基づいて別のディレクトリ評価 AWS を実行して、セルフマネージド AD 設定がまだ有効であることを確認します。ディレクトリ評価に成功すると、ハイブリッドディレクトリが作成されます。

1. **[ハイブリッドディレクトリを作成]** を選択すると、**[ディレクトリ]** ページに戻ります。

   1. ハイブリッドディレクトリが正常に作成されると、緑色のバナーが表示されます。

   1. ハイブリッドディレクトリの作成に失敗すると、赤いバナーが表示されます。次の操作を実行して、ハイブリッドディレクトリの作成の失敗をクリーンアップします。

      1. コンソールで失敗したハイブリッドディレクトリを削除します。

      1. セルフマネージド AD の残りの AWS リザーブド OUs を削除します。

   **詳細情報**
   + [ハイブリッドディレクトリの削除](hybrid_directory_delete.md)
   + [トラブルシューティング](hybrid_directory_troubleshooting.md)

# ハイブリッドディレクトリの表示と編集
<a name="hybrid_directory_view_and_edit"></a>

ハイブリッドディレクトリを表示または編集するには、次の手順に従います。

## ハイブリッドディレクトリの表示
<a name="viewing_hybrid_dir"></a>

 Directory Service コンソールでハイブリッドディレクトリを表示できます。

**詳細なディレクトリ情報を表示するには**

1. [Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) を選択します。

1. ディレクトリのディレクトリ ID リンクを選択します。ディレクトリに関する情報は、**[ディレクトリの詳細]** ページに表示されます。

### 自己管理型 Active Directory 情報
<a name="self-managed-active-directory-information"></a>

このセクションでは、 AWS インフラストラクチャに参加しているセルフマネージド Active Directory について説明します。
+ [ディレクトリタイプ]
+ ディレクトリ ID
+ ディレクトリステータス
+ 自己管理型 AD のネットワークの詳細の例:
  + VPC
  + サブネット
  + [DNS アドレス]
+ Systems Manager マネージドノード

### ハイブリッドディレクトリタブ
<a name="hybrid_directory_tabs"></a>

 AWS Managed Microsoft AD に関する次の情報を確認できます。
+ **共有 & 共有**タブで、 AWS Managed Microsoft AD を他の AWS アカウントと共有し、ドメインコントローラーのネットワークの詳細を表示できます。
+ **アプリケーション管理**タブで、 AWS Managed Microsoft AD のアプリケーションアクセス URL を有効にし、 AWS Managed Microsoft AD のアプリケーションとサービスを有効に AWS できます。
+ **メンテナンス**タブで、SNS を有効にして AWS Managed Microsoft AD ステータスの通知を受信し、 AWS Managed Microsoft AD のスナップショットを確認できます。
+ **[Status]** (ステータス) フィールドの詳細については、「[AWS Managed Microsoft AD ディレクトリのステータスについて](ms_ad_directory_status.md)」を参照してください。

## ハイブリッドディレクトリの更新
<a name="editing_hybrid_dir"></a>

 Directory Service コンソールでハイブリッドディレクトリを更新して、DNS 設定を変更したり、管理者アカウントアクセスを回復したりできます。

**ハイブリッドディレクトリ情報を更新するには**

1. [Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2)のナビゲーションペインで、**ディレクトリ**を選択します。

1. ディレクトリのディレクトリ ID リンクを選択して、**[ディレクトリの詳細]** ページを開きます。

1. **[アクション]** を選択し、**[ハイブリッドディレクトリ情報を更新]** を選択します。

1. **[ハイブリッドディレクトリ情報を更新]** ページで、DNS 設定を更新したり、管理者アカウントを復元したりできます。

   **DNS 設定を更新 (オプション)**

   **[自己管理型 Active Directory 情報]** では、以下を変更できます:

   1. **[ディレクトリの DNS 名]**

   1. **[DNS IP アドレス]**

   両方の設定を一緒に更新することも、個別に更新することもできます。更新プロセスには少なくとも 1 つの変更が必要です。

1. **ハイブリッドディレクトリ管理者アカウントを復旧する**

   ハイブリッドディレクトリ管理者アカウントを復旧するには、ユーザーへの一時的なアクセスが必要です。このアクセスは Secrets Manager のシークレットを通じて提供されます。これらの認証情報は復旧処理の際に一度だけ使用され、その後は保持されません。ハイブリッドディレクトリの管理者アカウントが存在する場合、自己管理型 Active Directory の管理者ユーザーを更新したとしても、このシークレットを更新する必要はありません。

   1. **[管理者認証情報シークレット]** – ハイブリッドディレクトリを作成するときに、ハイブリッドディレクトリ管理者アカウントを作成します。このシークレットを削除した場合は、自己管理型 AD 管理者ユーザーの Secrets Manager シークレットを入力します。

# ハイブリッドディレクトリの削除
<a name="hybrid_directory_delete"></a>

ディレクトリを削除すると、ディレクトリデータおよびスナップショットはすべて削除され、復元することはできません。ディレクトリが削除されても、ディレクトリに結合されたインスタンスはすべてそのまま残ります。ただし、ディレクトリの認証情報を使用して、これらのインスタンスにログインすることはできません。ローカルユーザーアカウントを使用してこれらのインスタンスにログインする必要があります。

**ディレクトリを削除するには**

1. [Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。ハイブリッドディレクトリがデプロイされている AWS リージョン にいることを確認します。詳細については、「[リージョンの選択](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)」を参照してください。

1. 削除するディレクトリに対して AWS アプリケーションが有効になっていないことを確認します。有効な AWS アプリケーションでは、ハイブリッドディレクトリを削除できません。

1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。

1. **[Directory details]** (ディレクトリの詳細) ページで、**[Application management]** (アプリケーション管理) タブを選択します。**AWS アプリケーションとサービス**セクションには、ディレクトリで有効になっている AWS アプリケーションが表示されます。

   1.  AWS マネジメントコンソール アクセスを無効にします。詳細については、「[AWS マネジメントコンソールアクセスの無効化](https://docs.aws.amazon.com/ms_ad_management_console_access.xml)」を参照してください。

   1. Amazon FSx for Windows File Server を無効にするには、ドメインから Amazon FSx ファイルシステムを削除する必要があります。詳細については、「*Amazon FSx for Windows File Server ユーザーガイド*」の「[FSx for Windows File Server での Microsoft Active Directory での作業](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html)」を参照してください。

   1. Amazon Relational Database Service を無効にするには、ドメインから Amazon RDS インスタンスを削除する必要があります。詳細については、「[Amazon RDS ユーザーガイド](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing)」の「*ドメインの DB インスタンスの管理*」を参照してください。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1. 削除するディレクトリのみを選択し、**[削除]** を選択します。ディレクトリが削除されるまでに数分かかります。ディレクトリを削除すると、ディレクトリリストからも削除されます。

1.  AWS リザーブド OU などの、残りのドメインコントローラーオブジェクトを手動で削除します。 AWS リザーブドディレクトリ全体を削除して、環境のクリーンアップを完了できます。

# ハイブリッドディレクトリのディレクトリ評価
<a name="hybrid_directory_assessment"></a>

ディレクトリ評価では、自己管理型 Active Directory 環境を調査し、ハイブリッドディレクトリの作成要件を満たしていることを確認します。この評価では、ネットワーク接続、ドメインコントローラー設定、および必要なサービスを検証して、自己管理型 AD と Directory Service間の接続を確立する前に、潜在的な問題を特定・解決できるようにします。

ディレクトリ評価には 2 つのタイプがあります:
+ *`CUSTOMER` 評価* – ハイブリッドディレクトリの設定を開始すると、コンソールからユーザーが開始します。カスタマーディレクトリ評価は、進行中の場合でも削除できます。最大 100 件の顧客評価を行うことができます。
+ *`SYSTEM` 評価* – AWS によって自動的に作成され、正常に作成された後に定期的に実行されます。`SYSTEM` 評価を削除することはできません。

ディレクトリ評価は、以下を含む環境の準備状況に関する貴重な情報を提供します:
+ セルフマネージド AD と 間の接続 AWS
+ ドメインコントローラーで必要なサービスの可用性
+  AWS Directory Service の要件との設定の互換性
+ ハイブリッドディレクトリの作成の成功を妨げる可能性のある潜在的な問題

ハイブリッドディレクトリを作成する前に、成功 (合格) ディレクトリ評価が必要です。評価が失敗した場合、詳細レポートを表示して、再試行する前に問題を特定して対処できます。 は 30 日後に`SYSTEM`評価 AWS を削除します。

**Topics**
+ [ディレクトリ評価の作成](create_directory_assessment.md)
+ [ディレクトリ評価の表示](viewing_hybrid_dir_assessment.md)
+ [ディレクトリ評価の削除](deleting_hybrid_dir_assessment.md)

# ディレクトリ評価の作成
<a name="create_directory_assessment"></a>

ハイブリッドディレクトリの作成の一環として、ディレクトリ評価を作成することも、手動で作成することもできます。手動で評価を作成するには、[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) で Directory Service コンソールを開きます。**[ディレクトリ]** ページの **[ディレクトリ評価]** セクションで、**[評価を作成]** を選択します。

**ディレクトリ評価を作成するには**

1. **[ディレクトリ評価を作成]** ページの **[ディレクトリ DNS 名]** に、自己管理型 Active Directory DNS 名を入力します。

1. **[DNS IP アドレス]** には、自己管理型 AD 用に 2 つの DNS IP アドレスを入力します。

1. ハイブリッドディレクトリには、少なくとも 2 つのサブネットを持つ Amazon VPC が必要です。これらをまだお持ちでない場合は、作成できます。**[ネットワーク]** セクションで、次の情報を入力します:

   1. **[VPC]** の VPC 識別子を選択します。

   1. **[サブネット]** で、2 つのサブネットそれぞれの識別子を選択します。各サブネットは、異なるアベイラビリティーゾーンに存在する必要があります。詳細については、「[Amazon VPC ネットワークの要件](create_hybrid_directory_prereqs.md#hybrid-dir-prereqs-vpc)」を参照してください。

   1. **[セキュリティグループ]** で、セキュリティグループの識別子を選択します。デフォルトでは、 はセキュリティグループを AWS アタッチして、Amazon VPC 内の AWS Secrets Manager マネージドノードへのネットワークアクセスを許可します。オプションで、Amazon VPC 外部の自己管理型ドメインコントローラー間のネットワークトラフィックを許可する独自のセキュリティグループを指定できます。

1. **[AWS Systems Manager ノード]** セクションで、次の要件に基づいて 2 つの Systems Manager ノードまたはインスタンスを選択します:
   + Active Directory が **[ AWS クラウドの外部で自己管理されている場合]**、ハイブリッドおよびマルチクラウド環境には 2 つの Systems Manager ノードが必要です。これらのノードをプロビジョニングする方法の詳細については、「[ハイブリッドおよびマルチクラウド環境用の Systems Manager のセットアップ](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)」を参照してください。
   + Active Directory が **内で自己管理されている場合は AWS クラウド**、2 つの Systems Manager マネージド EC2 インスタンスが必要です。これらのインスタンスをプロビジョニングする方法の詳細については、「[Systems Manager を利用した EC2 インスタンスの管理](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)」を参照してください。

1. **[次へ]** を選択して、**[ディレクトリ評価の確認と作成]** ページを開きます。

1. **[ディレクトリ評価の確認と作成]** ページで、ディレクトリ評価情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、**[評価を作成]** を選択します。ディレクトリ評価の作成には約 30 分かかります。[ディレクトリの詳細] ページに戻ります。ディレクトリ評価が成功すると、緑色のバナーが表示されます。
**警告**  
ハイブリッドディレクトリを作成するには、ディレクトリ評価が SUCCESS 状態になる必要があります。最初にディレクトリ評価に合格しない限り、ハイブリッドディレクトリを作成することはできません。

# ディレクトリ評価の表示
<a name="viewing_hybrid_dir_assessment"></a>

でディレクトリ評価を表示 AWS マネジメントコンソール して、評価結果を確認し、評価レポートを管理できます。

**ディレクトリ評価を表示するには**

1. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) で Directory Service コンソールを開きます。

1. **[ディレクトリ]** ページの **[トライアルハイブリッドディレクトリ評価]** セクションで、表示する評価を選択します。これにより、評価の詳細ページが開きます。

1. 評価の詳細ページで、以下を選択できます:
   + **[ダウンロード]** を選択して、ディレクトリ評価レポートを CSV ファイルとしてダウンロードします。
   + **[削除]** を選択して、ディレクトリ評価レポートを削除します。
   + **[評価を作成]** を選択して、新しいディレクトリ評価を作成します。

1. 評価の詳細ページから、以下の情報を確認できます:

   1. 評価 ID、ステータス、顧客またはシステムによって作成されたかどうか、最後に更新された日時などの評価情報。

   1. DNS 名、VPC、サブネットなどの自己管理型 AD の詳細。

   1. AWS IP アドレス、評価ステータス、合格および不合格の評価テストの数などの Systems Manager マネージドノード情報。

   1. ドメインコントローラーの評価ステータス。ドメインコントローラーを選択して、評価テストの詳細を確認することもできます。エラーコードは、失敗した評価テストの **[ステータス]** 列に表示されます。

# ディレクトリ評価の削除
<a name="deleting_hybrid_dir_assessment"></a>

顧客が作成したディレクトリ評価は、 AWS マネジメントコンソールで削除できます。が自動的に AWS 作成するシステム主導の評価を削除することはできません。

**カスタマーディレクトリ評価を削除するには**

1. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) で Directory Service コンソールを開きます。

1. **[ディレクトリ]** ページの **[ディレクトリ評価]** セクションで、削除する顧客評価を選択します。または、削除するディレクトリ評価の横にあるチェックボックスを選択し、**[アクション]** メニューから **[削除]** を選択します。

1. **[評価]** の詳細ページに移動します。**[アクション]** を選択してから、**[評価を削除]** を選択します。**[ディレクトリ評価を削除]** ダイアログボックスが表示されます。**[Delete]** (削除) をクリックします。

# ハイブリッドディレクトリとディレクトリ評価のトラブルシューティング
<a name="hybrid_directory_troubleshooting"></a>

ハイブリッドディレクトリを作成するには、ディレクトリ評価が必要です。評価テストは、各ドメインコントローラーで実行されます。評価テストでは、さまざまな領域を調べ、成功または失敗のステータスになります。ディレクトリ評価が失敗した場合、ドメインコントローラーの評価テストを表示して、失敗の原因となった問題を特定できます。

**重要**  
ハイブリッドディレクトリは、ディレクトリ評価のステータスが警告ありで成功になったときに作成できます。ハイブリッドディレクトリを作成する前に、警告の原因となる問題に対処することをお勧めします。

**Topics**
+ [失敗したハイブリッドディレクトリ評価のトラブルシューティング](#hybrid_directory_troubleshooting_steps)
+ [ディレクトリステータスエラー](hybrid_directory_status_errors.md)
+ [ディレクトリ評価エラーメッセージ](da-error-msgs.md)
+ [評価テストのエラーメッセージ](assessment_test_error-msgs.md)
+ [評価テストの警告メッセージ](assessment_test_warning-msgs.md)

## 失敗したハイブリッドディレクトリ評価のトラブルシューティング
<a name="hybrid_directory_troubleshooting_steps"></a>

失敗したディレクトリ評価のトラブルシューティングは、 AWS マネジメントコンソールの **[ディレクトリ]** ページから行うことができます。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) で Directory Service コンソールを開きます。

1. **[ディレクトリ評価]** セクションで、失敗したハイブリッドディレクトリ評価を選択します。

1. **[評価の詳細]** ページで、ディレクトリ評価を確認し、失敗したテスト (複数可) を特定します。

   1. ドメインコントローラーの評価テストには、成功または失敗したテストに関する詳細情報が含まれます。**[ステータス]** 列には、テストが失敗した原因の詳細が表示されます。ドメインコントローラーの評価テストを表示するには、「[ディレクトリ評価の表示](viewing_hybrid_dir_assessment.md)」を参照してください。

1. 自己管理型 Active Directory または AWS Managed Microsoft AD で障害が発生する問題を解決します。詳細については、「[ディレクトリ評価エラーメッセージ](da-error-msgs.md)」と「[評価テストのエラーメッセージ](assessment_test_error-msgs.md)」を参照してください。

1.  Directory Service コンソールで失敗した評価に戻ります。赤の警告メッセージ内の **[評価を作成]** を選択します。評価レポートの作成に関する詳細については、「[自己管理型 AD を使用したハイブリッドディレクトリの作成](hybrid_directory_create.md#creating_hybrid_directory)」を参照してください。

# ディレクトリステータスエラー
<a name="hybrid_directory_status_errors"></a>

Directory Service ディレクトリでは、さまざまなタイプの問題を示すさまざまな状態が発生する可能性があります。これらの状態を理解することで、適切なトラブルシューティング手順を決定できます。


**ディレクトリステータスタイプ**  

| ステータス | 説明 | 必要なアクション | 
| --- | --- | --- | 
| アクティブ | ディレクトリの作成が正常に完了し、正常に動作しています。 | 対処は必要ありません。 | 
| [障害] | ディレクトリは正常に作成されましたが、その後ドメインコントローラーで問題が発生しました。システムは自動復旧を試みます。 | ディレクトリのステータスをモニタリングします。問題が解決しない場合は、 AWS サポートにお問い合わせください。 | 
| 失敗 | ディレクトリの作成が失敗し、回復できません。 | 失敗したディレクトリを削除して、新しいディレクトリを作成します。 | 
| 操作不可 (ハイブリッド AD のみ) | AWS はセキュリティの問題を検出し、保護のためにディレクトリを自動的に分離しました。ディレクトリは復元されるまで完全に使用できなくなります。 |  すぐに [AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。このステータスでは、ディレクトリを調査して復元するための サポート 介入が必要です。 | 

# ディレクトリ評価エラーメッセージ
<a name="da-error-msgs"></a>

ハイブリッドディレクトリを作成するには、合格したディレクトリ評価が必要です。ディレクトリ評価は、さまざまな理由で失敗する可能性があります。

次の表は、ディレクトリ評価エラーメッセージとその解決方法を示しています。


**ディレクトリ評価のエラーメッセージと解決策**  

| ディレクトリ評価エラーメッセージ | 解決策 | 
| --- | --- | 
|  この評価は、両方のマネージドインスタンスで複数のテストに失敗しました。各マネージドインスタンスを選択し、オンプレミスディレクトリで解決することで、失敗したテストを調査します。次に、新しい評価を作成します。  |  自己管理型 AD に対する 1 つ以上のディレクトリ評価テストが失敗しました。特定のテスト失敗とその解決策の詳細については、「[評価テストのエラーメッセージ](assessment_test_error-msgs.md)」を参照してください。  | 
|  内部サービス例外が発生したため、この評価は失敗しました。新しい評価を作成して再試行するか、トラブルシューティングのためにサービスにお問い合わせください。  |  新しいディレクトリアセスメントを作成して再試行します。このエラーが引き続き発生する場合は、[サポート](https://aws.amazon.com/premiumsupport/) までお問い合わせください。  | 
|  `ec2:CreateSecurityGroup`、`ec2:DeleteSecurityGroup`、`ec2:CreateNetworkInterface`、`ec2:DeleteNetworkInterface`、`ec2:DescribeSubnets`、`ec2:DescribeNetworkInterface` などのアクションを実行するアクセス許可がないため、この評価は失敗しました。  |  ディレクトリ評価を作成するには、 に必要な AWS アカウント が必要です[AWS アカウント アクセス許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。  | 
|  `ssm:GetConnectionStatus`、`ssm:GetCommandInvocation`、`ssm:ListCommands`、`ssm:SendCommand` などのアクションを実行するアクセス許可がないため、この評価は失敗しました。  |  ディレクトリ評価を作成するには、必要な [AWS アカウント アクセス許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms) を持つ 2 つの Systems Manager ノードが必要です。  | 
|  作成できるネットワークインターフェイスの数の制限に達したため、この評価は失敗しました。詳細については、「[Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)」を参照してください。  |  ディレクトリ評価を作成するには、ネットワークインターフェイスとセキュリティグループを作成する必要があります。作成できる VPC リソースの数には制限がありますが、これらの制限の一部は調整できます。詳細については、「[Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)」を参照してください。  | 
|  インスタンスを作成または割り当てることができるセキュリティグループの数の制限に達したため、この評価は失敗しました。詳細については、「[Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)」を参照してください。  |  ディレクトリ評価を作成するには、ネットワークインターフェイスとセキュリティグループを作成する必要があります。作成できる VPC リソースの数には制限がありますが、これらの制限の一部は調整できます。詳細については、「[Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll)」を参照してください。  | 
|  この評価は失敗しました。からカスタマーインスタンスに接続できません AWS Systems Manager。  |  ディレクトリ評価を作成するには、接続ステータスの AWS Systems Manager ノードが 2 つ必要です。「[SSM エージェントのトラブルシューティング](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)」を参照してください。  | 
|  この評価は複数の重要なテストに失敗しました。各マネージドインスタンスを選択して失敗したテストを調査し、オンプレミスディレクトリで解決します。次に、新しい評価を作成します。  |  自己管理型 AD に対する 1 つ以上のディレクトリ評価テストが失敗しました。詳細については、「[評価テストのエラーメッセージ](assessment_test_error-msgs.md)」を参照してください。  | 

# 評価テストのエラーメッセージ
<a name="assessment_test_error-msgs"></a>

次の表は、評価テスト中に発生する可能性のあるエラーメッセージを示しています。これらのエラーは、ハイブリッドディレクトリのセットアップに進む前に解決する必要があるブロッキング問題を示します。


| テスト名 | 短縮名 | エラーコード | エラーメッセージ | 説明 | 解決策 | 
| --- | --- | --- | --- | --- | --- | 
| Active Directory Services テスト | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | 必要な AD サービスが自己管理型 AD で実行されていない場合に発生します。 | 特定の必要な AD サービスが自己管理型 AD で実行されている必要があります。詳細については、「[必要な Active Directory サービス](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services)」を参照してください。 | 
| Active Directory Services テスト | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | 自己管理型 AD ドメインコントローラーが動作していて、到達できることを確認します。時刻 AD ドメインコントローラーのネットワーク接続と DNS 解決を確認します。 | 
| AD パスワードポリシーのテスト | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | セルフマネージド AD パスワードポリシーが AWS Managed Microsoft AD 要件を満たしていない場合に発生します。 | 自己管理型 AD パスワードポリシーは、 AWS Managed Microsoft AD パスワード要件を満たしている必要があります。詳細については、[AWS 「 Managed Microsoft AD パスワードポリシーについて](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html)」を参照してください。 | 
| AWS 管理者ユーザー存在テスト | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | ハイブリッドディレクトリ管理者ユーザーがセルフマネージド AD の AWS リザーブド に存在しない場合OUに発生します。 | ハイブリッドディレクトリ管理者ユーザーが自己管理型 AD の AWS リザーブド OU に存在することを確認します。ユーザーが見つからない場合は、ハイブリッドディレクトリのセットアッププロセス中にアカウントが正しく作成されたことを確認します。[ハイブリッドディレクトリの更新](hybrid_directory_view_and_edit.md#editing_hybrid_dir)。ハイブリッドディレクトリの状態が動作不能な場合は、[サポート](https://console.aws.amazon.com/support/home#/) までお問い合わせください。 | 
| AWS 管理者ユーザーSPNテスト | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | ハイブリッドディレクトリ管理者ユーザーが、自己管理型 AD に SPNs を設定している場合に発生します。 |  AWS ハイブリッドディレクトリ管理者ユーザーアカウントからすべてのサービスプリンシパル名 (SPNs) を削除します。ハイブリッドディレクトリ管理者ユーザーは、ハイブリッドディレクトリ認証を妨げる可能性があるため、SPNs を設定しないでください。 | 
| AWS ドメインコントローラーのFSMO所有者ではないテスト | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | FSMO ロール (PDC Emulator、RID Master、または Infrastructure Master) を自己管理型 AD からハイブリッドディレクトリドメインコントローラーに転送した場合に発生します。 | 続行する前に、すべての FSMO ロール (PDC Emulator、RID Master、Infrastructure Master) を自己管理型 AD ドメインコントローラーに戻します。詳細については、「[FSMO ロールの移譲に関する Microsoft ドキュメント](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)」を参照してください。 | 
| AWS リザーブドグループメンバーシップテスト | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | セルフマネージド AD AWS OUの予約 が存在しない場合に発生します。 | グループメンバーシップを検証するには、 AWS リザーブド がセルフマネージド AD に存在するOU必要があります。[サポート](https://console.aws.amazon.com/support/home#/) に連絡する。 | 
| AWS リザーブドグループメンバーシップテスト | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | セルフマネージド AD OUの AWS リザーブド のグループに許可されていないユーザーが含まれている場合に発生します。 | セルフマネージド AD AWS の予約OU済みグループから権限のないユーザーを削除します。 | 
| AWS リザーブドOUACLsテスト | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | セルフマネージド AD OUACLsで AWS リザーブド が、 以外のエンティティに読み取り専用アクセス許可を強制せずAWS 、 AWSマネージドリソースへの不正アクセスを防止しない場合に発生します。 | セルフマネージド AD で AWS リザーブド OU ACLs のアクセス許可を確認して修正します。AWS 以外のエンティティには読み取り権限のみを付与し(`ListChildren`, `ReadProperty`, `ListObject`, `ReadControl`, `GenericRead`, `Synchronize`)、過剰な権限は削除します。 | 
| AWS リザーブドOUGPO関連付けテスト | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | OU セルフマネージド AD の AWS リザーブドコントローラーOUとドメインコントローラーが不正な にリンクされている場合に発生しますGPOs。 | ( AWS マネージドグループポリシーオブジェクト (GPOs) のみをこれらの にリンクできますOUs。セルフマネージド AD の AWS リザーブドコントローラーOUとドメインコントローラーにリンクGPOsされている不正なものをすべて削除OUします。 | 
| AWS リザーブドOUリソーステスト | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Managed Microsoft AD ディレクトリ機能に必要な AWS リザーブド OU がセルフマネージド AD AWS に存在しない場合に発生します。 |  AWS リザーブド OUはハイブリッドディレクトリのセットアップ中に自動的に作成する必要があり、削除しないでください。エラーが引き続き発生する場合は、[サポート](https://console.aws.amazon.com/support/home#/) までお問い合わせください。 | 
| AWS リザーブドOUリソーステスト | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | セルフマネージド AD でOU作成された AWS リザーブド に、適切なハイブリッドディレクトリオペレーションに必要なオブジェクトと が含まれていない場合GPOsに発生します。 |  AWS リザーブド を編集しないことを確認しますOU。これには、必要な AWSマネージドリソースが含まれている必要があります。許可されていないオブジェクトや GPOs を削除し、必要なリソースがない場合は [サポート](https://console.aws.amazon.com/support/home#/) までお問い合わせください。 | 
| AWS リザーブドOUテスト | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | 以前のハイブリッドディレクトリのセットアップからセルフマネージド AD で見つかった AWS リザーブドリソースがまだ存在する場合に発生します。 | コンソールから既存の失敗したハイブリッドディレクトリを削除します。次に、続行する前に、セルフマネージド AD GPOsから AWS リザーブドOUおよび関連 を削除します。 | 
| Bridgehead 命名コンテキストのテスト | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Bridgehead を使用するサイト間の自己管理型 AD レプリケーションが期待どおりに動作しない場合に発生します。これは、命名コンテキストがサイト間で同期されていない場合にも発生する可能性があります。 | 自己管理型 AD bridgehead サイトは成功している必要があります。さらに診断するには、`repadmin /bridgeheads /verbose` を使用します。続行する前に、その評価の問題に対処します。 | 
| 子ドメインテスト | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | セルフマネージド AD フォレストに、 AWS Managed Microsoft AD ディレクトリでサポートされていない子ドメインが含まれている場合に発生します。 | AWS Managed Microsoft AD ディレクトリは子ドメインをサポートしていません。自己管理型 AD には単一ドメインフォレストを使用する必要があります。詳細については、「[Microsoft Active Directory ドメイン要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)」を参照してください。 | 
| DcDiag テスト | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | 自己管理型 AD で Microsoft DCDiag テストが失敗した場合に発生します。 | AWS は DCDiag を使用してセルフマネージド AD をテストします。エラーが発生した場合、ハイブリッドディレクトリを作成することはできません。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration)」を参照してください。 | 
| DNS IP 一致テスト | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | 自己管理型 AD の指定された DNS IP アドレスが、 AWS Systems Managerを有効化している自己管理型 AD ドメインコントローラーの DNS IP アドレスと一致しない場合に発生します。 | 正しい DNS IP アドレスを指定します。 | 
| DNS の名前一致テスト | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | 自己管理型 AD に指定された DNS 名が、 AWS Systems Managerを有効化している自己管理型 AD ドメインコントローラー の DNS 名と一致しない場合に発生します。 | 正しい DNS 名を入力します。 | 
| DNS レコードテスト | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Windows DNS レコードがタイプ A、NS、SOA、および SRV に設定されておらず、クエリできる場合に発生します。 | Address (A)、Namespace (NS)、State of Authority (SOA)、および Service Record (SRV) の DNS レコードを設定し、クエリ可能である必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records)」を参照してください。 | 
| ドメインフォレスト機能レベルテスト | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | 自己管理型 AD ドメインとフォレストの機能レベルが最小要件を満たしていない場合に発生します。 | 自己管理型 AD は、Windows 2012 R2 または 2016 機能レベルを使用する必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment)」を参照してください。 | 
| ドメインヘルステスト | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | 自己管理型 AD に必要最小限のドメインコントローラー数がない場合に発生します。 | セルフマネージド AD で少なくとも 2 つのドメインコントローラーが有効になっていることを確認します AWS Systems Manager。詳細については、「[Microsoft Active Directory ドメイン要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)」を参照してください。 | 
| 既存ドメインのテスト | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | 自己管理型 AD ドメインが既存のハイブリッドディレクトリに既に結合している場合に発生します。 | 自己管理型 AD ドメインはすでに既存のハイブリッドディレクトリに結合されています。ハイブリッドディレクトリと結合された各自己管理型 AD ドメインは、一意である必要があります。新しい自己管理型 AD ドメインを作成するか、それらが結合されているハイブリッドディレクトリ設定から削除します。 | 
| FSMO 接続テスト | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | 自己管理型 AD の FSMO ロール、PDC Emulator、および/または RID Master IP がルーティングできない場合に発生します。 | プライマリドメインコントローラー (PDC) は常にルーティング可能である必要があります。具体的には、自己管理型 AD の PDC Emulator および RID Master IP。詳細については、「[Microsoft Active Directory ドメイン要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)」を参照してください。 | 
| FSMO 接続テスト | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | 自己管理型 AD ドメインコントローラーが FSMO ロールにアクセスできない場合に発生します。 | 自己管理型 AD の Flexible Single Master Operation (FSMO) ロールは、自己管理型 AD ドメインコントローラーに接続する必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)」を参照してください。 | 
| IP 競合テスト | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | 自己管理型 AD IP 範囲が AWS リザーブド範囲と重複している場合に発生します。 | セルフマネージド AD は、リザーブド IP 範囲と重複する AWS IP アドレス範囲を使用できません。詳細については、「[Microsoft Active Directory ドメイン要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)」を参照してください。 | 
| Kerberos テスト | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Kerberos が正しく設定されておらず、使用中である場合に発生します。 | Kerberos は、自己管理型 AD で有効化されている必要があります。詳細については、[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview) を参照してください。 | 
| LDAP 接続テスト | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | LDAP が機能しない場合に発生します。 | Lightweight Directory Access Protocol (LDAP) が有効で、自己管理型 AD で機能している必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api)」を参照してください。 | 
| FSMO テスト用の読み取り専用ドメインコントローラー | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | 自己管理型 AD ドメインコントローラーの FSMO ロールが RODC である場合に発生します。 | 自己管理型 AD のドメインコントローラーは、読み取り専用ドメインコントローラー (RODC) Flexible Single Master Operation (FSMO) ロールを使用してはなりません。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)」を参照してください。 | 
| 読み取り専用ドメインコントローラーのパスワードレプリケーションテスト | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | RODC に管理者パスワードをレプリケートするアクセス許可がある場合に発生します。 | 自己管理型 AD の RODC には、管理者パスワードをレプリケートするアクセス許可を与えず、明示的に拒否する必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)」を参照してください。 | 
| 読み取り専用ドメインコントローラーテスト | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | 自己管理型 AD ドメインコントローラーが ReadOnlyDC モードの場合に発生します。 | 自己管理型 AD は、読み取り/書き込みドメインコントローラーである必要があります。ドメインコントローラータイプの詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers)」を参照してください。 | 
| リモートポート接続テスト | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` |  AWS サブネットとセルフマネージド AD ドメインコントローラーで必要なポートが開いていない場合に発生します。 |  AWS サブネットとセルフマネージド AD の間で必要なポートがすべて開いていることを確認します。詳細については「[ネットワークポートの要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports)」を参照してください。 | 
| レプリケーションテスト | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | 自己管理型 AD ドメインコントローラーのレプリケーションが失敗した場合に発生します。 | 自己管理型 AD ドメインコントローラーのレプリケーションステータスが「成功」である必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview)」を参照してください。 | 
| SMBV1 テスト | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | 自己管理型 AD が現在、認証に SMBv1 を使用している場合に発生します。 | SMBv1 は安全ではないことが知られているため、自己管理型 AD で無効にする必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server)」を参照してください。 | 
| SSM ユーザーアクセス許可テスト | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | SSM が使用する Windows ユーザーに十分な特権がない場合に発生します。 | セルフマネージド AD の AWS System Manager (SSM) エージェントにはWindows管理者権限が必要です。詳細については、「[AWS アカウント アクセス許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)」を参照してください。 | 
| Sysvol レプリケーションテスト | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | 自己管理型 AD に正しい sysvol レプリケーション方法 (DFSR) がない場合、および DFSR レプリケーションイベント中にいずれかの DCs が失敗した場合に発生します。 | 自己管理型 AD sysvol レプリケーションメソッド (DFSR) が成功している必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr)」を参照してください。 | 
| 最上位 GPO テスト | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | 自己管理型 AD の最上位 GPOs が強制適用に設定されている場合に発生します。 | 自己管理型 AD ドメインの最上位グループポリシーオブジェクト (GPO) が強制適用に設定されていないことを確認します。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing)」を参照してください。 | 
| 信頼タイプのテスト | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | 自己管理型 AD でサポートされていない信頼タイプがある場合に発生します。 | Uplevel は、ハイブリッドディレクトリでサポートされている唯一の信頼タイプです。自己管理型 AD には、DCE、MIT、Downlevel の信頼タイプを含めることはできません。信頼タイプの詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)」を参照してください。 | 
| 有効なドメインコントローラーテスト | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | 提供された自己管理型 AD インスタンスがドメインコントローラーではない場合、またはすでに別のハイブリッドディレクトリの一部である場合に発生します。 | このハイブリッドディレクトリに固有の自己管理型 AD ドメインコントローラーを提供します。新しいディレクトリで再試行します。障害が発生したハイブリッドディレクトリとセルフマネージド AD の AWS OUが削除されていることを確認します。 | 

# 評価テストの警告メッセージ
<a name="assessment_test_warning-msgs"></a>

次の表は、評価テスト中に発生する可能性のある警告メッセージを示しています。これらの警告は、最適な設定に関する推奨事項を示していますが、ハイブリッドディレクトリのセットアップを妨げるものではありません。


| テスト名 | 短縮名 | 警告コード | 警告メッセージ | 説明 | 解決策 | 
| --- | --- | --- | --- | --- | --- | 
| ドメインヘルステスト | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | 自己管理型 AD に、長期間ログインしておらず、古いまたは非アクティブと見なされるユーザーアカウントがある場合に発生します。 | 古いユーザーアカウントをクリーンアップします。 | 
| ドメインコントローラーのタイムソーステスト | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | 自己管理型 AD に正しいタイムソース設定があり、 AWS タイムソースと比較して大きなタイムスキューがない場合に発生します。 | プライマリドメインコントローラー (PDC) タイムサーバーは `169.254.169.123` に設定されています。プライマリ以外のドメインコントローラーは、ソースとして PDC を指定する必要があります。詳細については、「[Amazon Time Sync Service で時間を維持する](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/)」を参照してください。 | 
| 空き容量テスト | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | 自己管理型 AD の NTDS と Sysvol の合計使用量がサポートされているクォータを超えている場合に発生します。 | 自己管理型 AD には、ハイブリッドディレクトリ用に 24 GB のディスク容量が必要です。 | 
| FSMO Roles テスト | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | FSMO ロール (PDC エミュレータと RID マスター) が、ハイブリッドディレクトリの作成時に提供される 2 つのドメインコントローラーに含まれていない場合に発生します。 | ハイブリッドディレクトリには、ハイブリッドディレクトリの作成時に指定する 2 つのドメインコントローラー間に FSMO ロール (PDC エミュレータと RID マスター) の両方が必要です。詳細については、「[How to view and transfer FSMO roles](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)」を参照してください。 | 
| S チャネル SSP テスト | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | 自己管理型 AD が TLS1.2 および AES256 の暗号化を使用しない場合に発生します。 | 自己管理型 AD では、ハイブリッドディレクトリに TLS 1.2 と AES256 を使用する必要があります。 | 
| ディスク破損テスト | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | 自己管理型 AD でディスクが破損した場合に発生します。 | 自己管理型 AD ディスクが破損しないようにする必要があります。 | 
| ドメインコントローラー仕様テスト | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | 自己管理型 AD ドメインコントローラーが必要な仕様を満たさない場合に発生します。 | 自己管理型 AD ドメインコントローラーには、ハイブリッドディレクトリ用に少なくとも 7 GB の RAM と 2 つの CPU コアが必要です。 | 
| サーバーレベルのプラグイン Dll テスト | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | 自己管理型 AD ドメインコントローラーで ServerLevelPluginDll が設定されている場合に発生します。 | 自己管理型 AD ドメインコントローラーでは ServerLevelPluginDII を設定しないでください。 | 
| NT4 暗号化許可テスト | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | セルフマネージド AD で NT4 暗号化が許可されている場合に発生します。 | セルフマネージド AD では NT4 暗号化を使用しないでください。詳細については、Microsoft ドキュメントを参照してください。 | 
| 孤立した管理者ユーザーのテスト | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | 自己管理型 AD に孤立した管理者ユーザーが存在する場合に発生します。 | 続行する前に、自己管理型 AD の孤立したユーザーを削除します。 | 
| 特権ユーザー数テスト | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | セルフマネージド AD の Built-in Admins、Domain Admins、Enterprise Admins の合計数が 5 より大きい場合に発生します。 | セルフマネージド AD 環境には、特権アカウントを複数持つことは推奨されません。続行する前に、必要以上の管理者アカウントを削除する必要があります。 | 
| 特権ユーザー数テスト | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | セルフマネージド AD の Built-in Admins、Domain Admins、Enterprise Admins の合計数が 5 より大きい場合に発生します。 | セルフマネージド AD 環境には、特権アカウントを複数持つことは推奨されません。続行する前に、必要以上の管理者アカウントを削除する必要があります。 | 
| 特権ユーザー数テスト | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | セルフマネージド AD の Built-in Admins、Domain Admins、Enterprise Admins の合計数が 5 より大きい場合に発生します。 | セルフマネージド AD 環境には、特権アカウントを複数持つことは推奨されません。続行する前に、必要以上の管理者アカウントを削除する必要があります。 | 
| NTLM テスト | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | 自己管理型 AD で NTLMv1 が認証に対して有効になっている場合に発生します。 | NT LAN Manager バージョン 1 (NTLMv1) には既知のセキュリティの脆弱性があるため、使用しないでください。自己管理型 AD で NTLMv1 を無効にします。詳細については、「[Microsoft ドキュメント](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73)」を参照してください。 | 
| Tombstone ライフタイムテスト | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | 自己管理型 AD の Tombstone の有効期間が 180 日を超える場合に発生します。 | Tombstone の有効期間は、削除されたオブジェクトが AD から削除されるまでの日数です。自己管理型 AD の Tombstone の有効期間値は 180 日以内である必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180)」を参照してください。 |