翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ハイブリッドディレクトリとディレクトリ評価のトラブルシューティング
ハイブリッドディレクトリを作成するには、ディレクトリ評価が必要です。評価テストは、各ドメインコントローラーで実行されます。評価テストでは、さまざまな領域を調べ、成功または失敗のステータスになります。ディレクトリ評価が失敗した場合、ドメインコントローラーの評価テストを表示して、失敗の原因となった問題を特定できます。
**重要**
ハイブリッドディレクトリは、ディレクトリ評価のステータスが警告ありで成功になったときに作成できます。ハイブリッドディレクトリを作成する前に、警告の原因となる問題に対処することをお勧めします。
**Topics**
+ [失敗したハイブリッドディレクトリ評価のトラブルシューティング](#hybrid_directory_troubleshooting_steps)
+ [ディレクトリステータスエラー](hybrid_directory_status_errors.md)
+ [ディレクトリ評価エラーメッセージ](da-error-msgs.md)
+ [評価テストのエラーメッセージ](assessment_test_error-msgs.md)
+ [評価テストの警告メッセージ](assessment_test_warning-msgs.md)
## 失敗したハイブリッドディレクトリ評価のトラブルシューティング
失敗したディレクトリ評価のトラブルシューティングは、 AWS マネジメントコンソールの **[ディレクトリ]** ページから行うことができます。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) で Directory Service コンソールを開きます。
1. **[ディレクトリ評価]** セクションで、失敗したハイブリッドディレクトリ評価を選択します。
1. **[評価の詳細]** ページで、ディレクトリ評価を確認し、失敗したテスト (複数可) を特定します。
1. ドメインコントローラーの評価テストには、成功または失敗したテストに関する詳細情報が含まれます。**[ステータス]** 列には、テストが失敗した原因の詳細が表示されます。ドメインコントローラーの評価テストを表示するには、「[ディレクトリ評価の表示](viewing_hybrid_dir_assessment.md)」を参照してください。
1. 自己管理型 Active Directory または AWS Managed Microsoft AD で障害が発生する問題を解決します。詳細については、「[ディレクトリ評価エラーメッセージ](da-error-msgs.md)」と「[評価テストのエラーメッセージ](assessment_test_error-msgs.md)」を参照してください。
1. Directory Service コンソールで失敗した評価に戻ります。赤の警告メッセージ内の **[評価を作成]** を選択します。評価レポートの作成に関する詳細については、「[自己管理型 AD を使用したハイブリッドディレクトリの作成](hybrid_directory_create.md#creating_hybrid_directory)」を参照してください。
# ディレクトリステータスエラー
Directory Service ディレクトリでは、さまざまなタイプの問題を示すさまざまな状態が発生する可能性があります。これらの状態を理解することで、適切なトラブルシューティング手順を決定できます。
**ディレクトリステータスタイプ**
| ステータス | 説明 | 必要なアクション |
| --- | --- | --- |
| アクティブ | ディレクトリの作成が正常に完了し、正常に動作しています。 | 対処は必要ありません。 |
| [障害] | ディレクトリは正常に作成されましたが、その後ドメインコントローラーで問題が発生しました。システムは自動復旧を試みます。 | ディレクトリのステータスをモニタリングします。問題が解決しない場合は、 AWS サポートにお問い合わせください。 |
| 失敗 | ディレクトリの作成が失敗し、回復できません。 | 失敗したディレクトリを削除して、新しいディレクトリを作成します。 |
| 操作不可 (ハイブリッド AD のみ) | AWS はセキュリティの問題を検出し、保護のためにディレクトリを自動的に分離しました。ディレクトリは復元されるまで完全に使用できなくなります。 | すぐに [AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。このステータスでは、ディレクトリを調査して復元するための サポート 介入が必要です。 |
# ディレクトリ評価エラーメッセージ
ハイブリッドディレクトリを作成するには、合格したディレクトリ評価が必要です。ディレクトリ評価は、さまざまな理由で失敗する可能性があります。
次の表は、ディレクトリ評価エラーメッセージとその解決方法を示しています。
**ディレクトリ評価のエラーメッセージと解決策**
| ディレクトリ評価エラーメッセージ | 解決策 |
| --- | --- |
| この評価は、両方のマネージドインスタンスで複数のテストに失敗しました。各マネージドインスタンスを選択し、オンプレミスディレクトリで解決することで、失敗したテストを調査します。次に、新しい評価を作成します。 | 自己管理型 AD に対する 1 つ以上のディレクトリ評価テストが失敗しました。特定のテスト失敗とその解決策の詳細については、「[評価テストのエラーメッセージ](assessment_test_error-msgs.md)」を参照してください。 |
| 内部サービス例外が発生したため、この評価は失敗しました。新しい評価を作成して再試行するか、トラブルシューティングのためにサービスにお問い合わせください。 | 新しいディレクトリアセスメントを作成して再試行します。このエラーが引き続き発生する場合は、[サポート](https://aws.amazon.com/premiumsupport/) までお問い合わせください。 |
| `ec2:CreateSecurityGroup`、`ec2:DeleteSecurityGroup`、`ec2:CreateNetworkInterface`、`ec2:DeleteNetworkInterface`、`ec2:DescribeSubnets`、`ec2:DescribeNetworkInterface` などのアクションを実行するアクセス許可がないため、この評価は失敗しました。 | ディレクトリ評価を作成するには、 に必要な AWS アカウント が必要です[AWS アカウント アクセス許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。 |
| `ssm:GetConnectionStatus`、`ssm:GetCommandInvocation`、`ssm:ListCommands`、`ssm:SendCommand` などのアクションを実行するアクセス許可がないため、この評価は失敗しました。 | ディレクトリ評価を作成するには、必要な [AWS アカウント アクセス許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms) を持つ 2 つの Systems Manager ノードが必要です。 |
| 作成できるネットワークインターフェイスの数の制限に達したため、この評価は失敗しました。詳細については、「[Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)」を参照してください。 | ディレクトリ評価を作成するには、ネットワークインターフェイスとセキュリティグループを作成する必要があります。作成できる VPC リソースの数には制限がありますが、これらの制限の一部は調整できます。詳細については、「[Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)」を参照してください。 |
| インスタンスを作成または割り当てることができるセキュリティグループの数の制限に達したため、この評価は失敗しました。詳細については、「[Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)」を参照してください。 | ディレクトリ評価を作成するには、ネットワークインターフェイスとセキュリティグループを作成する必要があります。作成できる VPC リソースの数には制限がありますが、これらの制限の一部は調整できます。詳細については、「[Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll)」を参照してください。 |
| この評価は失敗しました。からカスタマーインスタンスに接続できません AWS Systems Manager。 | ディレクトリ評価を作成するには、接続ステータスの AWS Systems Manager ノードが 2 つ必要です。「[SSM エージェントのトラブルシューティング](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)」を参照してください。 |
| この評価は複数の重要なテストに失敗しました。各マネージドインスタンスを選択して失敗したテストを調査し、オンプレミスディレクトリで解決します。次に、新しい評価を作成します。 | 自己管理型 AD に対する 1 つ以上のディレクトリ評価テストが失敗しました。詳細については、「[評価テストのエラーメッセージ](assessment_test_error-msgs.md)」を参照してください。 |
# 評価テストのエラーメッセージ
次の表は、評価テスト中に発生する可能性のあるエラーメッセージを示しています。これらのエラーは、ハイブリッドディレクトリのセットアップに進む前に解決する必要があるブロッキング問題を示します。
| テスト名 | 短縮名 | エラーコード | エラーメッセージ | 説明 | 解決策 |
| --- | --- | --- | --- | --- | --- |
| Active Directory Services テスト | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | 必要な AD サービスが自己管理型 AD で実行されていない場合に発生します。 | 特定の必要な AD サービスが自己管理型 AD で実行されている必要があります。詳細については、「[必要な Active Directory サービス](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services)」を参照してください。 |
| Active Directory Services テスト | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | 自己管理型 AD ドメインコントローラーが動作していて、到達できることを確認します。時刻 AD ドメインコントローラーのネットワーク接続と DNS 解決を確認します。 |
| AD パスワードポリシーのテスト | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | セルフマネージド AD パスワードポリシーが AWS Managed Microsoft AD 要件を満たしていない場合に発生します。 | 自己管理型 AD パスワードポリシーは、 AWS Managed Microsoft AD パスワード要件を満たしている必要があります。詳細については、[AWS 「 Managed Microsoft AD パスワードポリシーについて](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html)」を参照してください。 |
| AWS 管理者ユーザー存在テスト | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | ハイブリッドディレクトリ管理者ユーザーがセルフマネージド AD の AWS リザーブド に存在しない場合OUに発生します。 | ハイブリッドディレクトリ管理者ユーザーが自己管理型 AD の AWS リザーブド OU に存在することを確認します。ユーザーが見つからない場合は、ハイブリッドディレクトリのセットアッププロセス中にアカウントが正しく作成されたことを確認します。[ハイブリッドディレクトリの更新](hybrid_directory_view_and_edit.md#editing_hybrid_dir)。ハイブリッドディレクトリの状態が動作不能な場合は、[サポート](https://console.aws.amazon.com/support/home#/) までお問い合わせください。 |
| AWS 管理者ユーザーSPNテスト | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | ハイブリッドディレクトリ管理者ユーザーが、自己管理型 AD に SPNs を設定している場合に発生します。 | AWS ハイブリッドディレクトリ管理者ユーザーアカウントからすべてのサービスプリンシパル名 (SPNs) を削除します。ハイブリッドディレクトリ管理者ユーザーは、ハイブリッドディレクトリ認証を妨げる可能性があるため、SPNs を設定しないでください。 |
| AWS ドメインコントローラーのFSMO所有者ではないテスト | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | FSMO ロール (PDC Emulator、RID Master、または Infrastructure Master) を自己管理型 AD からハイブリッドディレクトリドメインコントローラーに転送した場合に発生します。 | 続行する前に、すべての FSMO ロール (PDC Emulator、RID Master、Infrastructure Master) を自己管理型 AD ドメインコントローラーに戻します。詳細については、「[FSMO ロールの移譲に関する Microsoft ドキュメント](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)」を参照してください。 |
| AWS リザーブドグループメンバーシップテスト | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | セルフマネージド AD AWS OUの予約 が存在しない場合に発生します。 | グループメンバーシップを検証するには、 AWS リザーブド がセルフマネージド AD に存在するOU必要があります。[サポート](https://console.aws.amazon.com/support/home#/) に連絡する。 |
| AWS リザーブドグループメンバーシップテスト | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | セルフマネージド AD OUの AWS リザーブド のグループに許可されていないユーザーが含まれている場合に発生します。 | セルフマネージド AD AWS の予約OU済みグループから権限のないユーザーを削除します。 |
| AWS リザーブドOUACLsテスト | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | セルフマネージド AD OUACLsで AWS リザーブド が、 以外のエンティティに読み取り専用アクセス許可を強制せずAWS 、 AWSマネージドリソースへの不正アクセスを防止しない場合に発生します。 | セルフマネージド AD で AWS リザーブド OU ACLs のアクセス許可を確認して修正します。AWS 以外のエンティティには読み取り権限のみを付与し(`ListChildren`, `ReadProperty`, `ListObject`, `ReadControl`, `GenericRead`, `Synchronize`)、過剰な権限は削除します。 |
| AWS リザーブドOUGPO関連付けテスト | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | OU セルフマネージド AD の AWS リザーブドコントローラーOUとドメインコントローラーが不正な にリンクされている場合に発生しますGPOs。 | ( AWS マネージドグループポリシーオブジェクト (GPOs) のみをこれらの にリンクできますOUs。セルフマネージド AD の AWS リザーブドコントローラーOUとドメインコントローラーにリンクGPOsされている不正なものをすべて削除OUします。 |
| AWS リザーブドOUリソーステスト | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Managed Microsoft AD ディレクトリ機能に必要な AWS リザーブド OU がセルフマネージド AD AWS に存在しない場合に発生します。 | AWS リザーブド OUはハイブリッドディレクトリのセットアップ中に自動的に作成する必要があり、削除しないでください。エラーが引き続き発生する場合は、[サポート](https://console.aws.amazon.com/support/home#/) までお問い合わせください。 |
| AWS リザーブドOUリソーステスト | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | セルフマネージド AD でOU作成された AWS リザーブド に、適切なハイブリッドディレクトリオペレーションに必要なオブジェクトと が含まれていない場合GPOsに発生します。 | AWS リザーブド を編集しないことを確認しますOU。これには、必要な AWSマネージドリソースが含まれている必要があります。許可されていないオブジェクトや GPOs を削除し、必要なリソースがない場合は [サポート](https://console.aws.amazon.com/support/home#/) までお問い合わせください。 |
| AWS リザーブドOUテスト | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | 以前のハイブリッドディレクトリのセットアップからセルフマネージド AD で見つかった AWS リザーブドリソースがまだ存在する場合に発生します。 | コンソールから既存の失敗したハイブリッドディレクトリを削除します。次に、続行する前に、セルフマネージド AD GPOsから AWS リザーブドOUおよび関連 を削除します。 |
| Bridgehead 命名コンテキストのテスト | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Bridgehead を使用するサイト間の自己管理型 AD レプリケーションが期待どおりに動作しない場合に発生します。これは、命名コンテキストがサイト間で同期されていない場合にも発生する可能性があります。 | 自己管理型 AD bridgehead サイトは成功している必要があります。さらに診断するには、`repadmin /bridgeheads /verbose` を使用します。続行する前に、その評価の問題に対処します。 |
| 子ドメインテスト | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | セルフマネージド AD フォレストに、 AWS Managed Microsoft AD ディレクトリでサポートされていない子ドメインが含まれている場合に発生します。 | AWS Managed Microsoft AD ディレクトリは子ドメインをサポートしていません。自己管理型 AD には単一ドメインフォレストを使用する必要があります。詳細については、「[Microsoft Active Directory ドメイン要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)」を参照してください。 |
| DcDiag テスト | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | 自己管理型 AD で Microsoft DCDiag テストが失敗した場合に発生します。 | AWS は DCDiag を使用してセルフマネージド AD をテストします。エラーが発生した場合、ハイブリッドディレクトリを作成することはできません。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration)」を参照してください。 |
| DNS IP 一致テスト | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | 自己管理型 AD の指定された DNS IP アドレスが、 AWS Systems Managerを有効化している自己管理型 AD ドメインコントローラーの DNS IP アドレスと一致しない場合に発生します。 | 正しい DNS IP アドレスを指定します。 |
| DNS の名前一致テスト | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | 自己管理型 AD に指定された DNS 名が、 AWS Systems Managerを有効化している自己管理型 AD ドメインコントローラー の DNS 名と一致しない場合に発生します。 | 正しい DNS 名を入力します。 |
| DNS レコードテスト | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Windows DNS レコードがタイプ A、NS、SOA、および SRV に設定されておらず、クエリできる場合に発生します。 | Address (A)、Namespace (NS)、State of Authority (SOA)、および Service Record (SRV) の DNS レコードを設定し、クエリ可能である必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records)」を参照してください。 |
| ドメインフォレスト機能レベルテスト | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | 自己管理型 AD ドメインとフォレストの機能レベルが最小要件を満たしていない場合に発生します。 | 自己管理型 AD は、Windows 2012 R2 または 2016 機能レベルを使用する必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment)」を参照してください。 |
| ドメインヘルステスト | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | 自己管理型 AD に必要最小限のドメインコントローラー数がない場合に発生します。 | セルフマネージド AD で少なくとも 2 つのドメインコントローラーが有効になっていることを確認します AWS Systems Manager。詳細については、「[Microsoft Active Directory ドメイン要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)」を参照してください。 |
| 既存ドメインのテスト | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | 自己管理型 AD ドメインが既存のハイブリッドディレクトリに既に結合している場合に発生します。 | 自己管理型 AD ドメインはすでに既存のハイブリッドディレクトリに結合されています。ハイブリッドディレクトリと結合された各自己管理型 AD ドメインは、一意である必要があります。新しい自己管理型 AD ドメインを作成するか、それらが結合されているハイブリッドディレクトリ設定から削除します。 |
| FSMO 接続テスト | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | 自己管理型 AD の FSMO ロール、PDC Emulator、および/または RID Master IP がルーティングできない場合に発生します。 | プライマリドメインコントローラー (PDC) は常にルーティング可能である必要があります。具体的には、自己管理型 AD の PDC Emulator および RID Master IP。詳細については、「[Microsoft Active Directory ドメイン要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)」を参照してください。 |
| FSMO 接続テスト | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | 自己管理型 AD ドメインコントローラーが FSMO ロールにアクセスできない場合に発生します。 | 自己管理型 AD の Flexible Single Master Operation (FSMO) ロールは、自己管理型 AD ドメインコントローラーに接続する必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)」を参照してください。 |
| IP 競合テスト | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | 自己管理型 AD IP 範囲が AWS リザーブド範囲と重複している場合に発生します。 | セルフマネージド AD は、リザーブド IP 範囲と重複する AWS IP アドレス範囲を使用できません。詳細については、「[Microsoft Active Directory ドメイン要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)」を参照してください。 |
| Kerberos テスト | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Kerberos が正しく設定されておらず、使用中である場合に発生します。 | Kerberos は、自己管理型 AD で有効化されている必要があります。詳細については、[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview) を参照してください。 |
| LDAP 接続テスト | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | LDAP が機能しない場合に発生します。 | Lightweight Directory Access Protocol (LDAP) が有効で、自己管理型 AD で機能している必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api)」を参照してください。 |
| FSMO テスト用の読み取り専用ドメインコントローラー | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | 自己管理型 AD ドメインコントローラーの FSMO ロールが RODC である場合に発生します。 | 自己管理型 AD のドメインコントローラーは、読み取り専用ドメインコントローラー (RODC) Flexible Single Master Operation (FSMO) ロールを使用してはなりません。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)」を参照してください。 |
| 読み取り専用ドメインコントローラーのパスワードレプリケーションテスト | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | RODC に管理者パスワードをレプリケートするアクセス許可がある場合に発生します。 | 自己管理型 AD の RODC には、管理者パスワードをレプリケートするアクセス許可を与えず、明示的に拒否する必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)」を参照してください。 |
| 読み取り専用ドメインコントローラーテスト | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | 自己管理型 AD ドメインコントローラーが ReadOnlyDC モードの場合に発生します。 | 自己管理型 AD は、読み取り/書き込みドメインコントローラーである必要があります。ドメインコントローラータイプの詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers)」を参照してください。 |
| リモートポート接続テスト | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | AWS サブネットとセルフマネージド AD ドメインコントローラーで必要なポートが開いていない場合に発生します。 | AWS サブネットとセルフマネージド AD の間で必要なポートがすべて開いていることを確認します。詳細については「[ネットワークポートの要件](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports)」を参照してください。 |
| レプリケーションテスト | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | 自己管理型 AD ドメインコントローラーのレプリケーションが失敗した場合に発生します。 | 自己管理型 AD ドメインコントローラーのレプリケーションステータスが「成功」である必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview)」を参照してください。 |
| SMBV1 テスト | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | 自己管理型 AD が現在、認証に SMBv1 を使用している場合に発生します。 | SMBv1 は安全ではないことが知られているため、自己管理型 AD で無効にする必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server)」を参照してください。 |
| SSM ユーザーアクセス許可テスト | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | SSM が使用する Windows ユーザーに十分な特権がない場合に発生します。 | セルフマネージド AD の AWS System Manager (SSM) エージェントにはWindows管理者権限が必要です。詳細については、「[AWS アカウント アクセス許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)」を参照してください。 |
| Sysvol レプリケーションテスト | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | 自己管理型 AD に正しい sysvol レプリケーション方法 (DFSR) がない場合、および DFSR レプリケーションイベント中にいずれかの DCs が失敗した場合に発生します。 | 自己管理型 AD sysvol レプリケーションメソッド (DFSR) が成功している必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr)」を参照してください。 |
| 最上位 GPO テスト | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | 自己管理型 AD の最上位 GPOs が強制適用に設定されている場合に発生します。 | 自己管理型 AD ドメインの最上位グループポリシーオブジェクト (GPO) が強制適用に設定されていないことを確認します。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing)」を参照してください。 |
| 信頼タイプのテスト | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | 自己管理型 AD でサポートされていない信頼タイプがある場合に発生します。 | Uplevel は、ハイブリッドディレクトリでサポートされている唯一の信頼タイプです。自己管理型 AD には、DCE、MIT、Downlevel の信頼タイプを含めることはできません。信頼タイプの詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)」を参照してください。 |
| 有効なドメインコントローラーテスト | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | 提供された自己管理型 AD インスタンスがドメインコントローラーではない場合、またはすでに別のハイブリッドディレクトリの一部である場合に発生します。 | このハイブリッドディレクトリに固有の自己管理型 AD ドメインコントローラーを提供します。新しいディレクトリで再試行します。障害が発生したハイブリッドディレクトリとセルフマネージド AD の AWS OUが削除されていることを確認します。 |
# 評価テストの警告メッセージ
次の表は、評価テスト中に発生する可能性のある警告メッセージを示しています。これらの警告は、最適な設定に関する推奨事項を示していますが、ハイブリッドディレクトリのセットアップを妨げるものではありません。
| テスト名 | 短縮名 | 警告コード | 警告メッセージ | 説明 | 解決策 |
| --- | --- | --- | --- | --- | --- |
| ドメインヘルステスト | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | 自己管理型 AD に、長期間ログインしておらず、古いまたは非アクティブと見なされるユーザーアカウントがある場合に発生します。 | 古いユーザーアカウントをクリーンアップします。 |
| ドメインコントローラーのタイムソーステスト | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | 自己管理型 AD に正しいタイムソース設定があり、 AWS タイムソースと比較して大きなタイムスキューがない場合に発生します。 | プライマリドメインコントローラー (PDC) タイムサーバーは `169.254.169.123` に設定されています。プライマリ以外のドメインコントローラーは、ソースとして PDC を指定する必要があります。詳細については、「[Amazon Time Sync Service で時間を維持する](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/)」を参照してください。 |
| 空き容量テスト | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | 自己管理型 AD の NTDS と Sysvol の合計使用量がサポートされているクォータを超えている場合に発生します。 | 自己管理型 AD には、ハイブリッドディレクトリ用に 24 GB のディスク容量が必要です。 |
| FSMO Roles テスト | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | FSMO ロール (PDC エミュレータと RID マスター) が、ハイブリッドディレクトリの作成時に提供される 2 つのドメインコントローラーに含まれていない場合に発生します。 | ハイブリッドディレクトリには、ハイブリッドディレクトリの作成時に指定する 2 つのドメインコントローラー間に FSMO ロール (PDC エミュレータと RID マスター) の両方が必要です。詳細については、「[How to view and transfer FSMO roles](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)」を参照してください。 |
| S チャネル SSP テスト | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | 自己管理型 AD が TLS1.2 および AES256 の暗号化を使用しない場合に発生します。 | 自己管理型 AD では、ハイブリッドディレクトリに TLS 1.2 と AES256 を使用する必要があります。 |
| ディスク破損テスト | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | 自己管理型 AD でディスクが破損した場合に発生します。 | 自己管理型 AD ディスクが破損しないようにする必要があります。 |
| ドメインコントローラー仕様テスト | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | 自己管理型 AD ドメインコントローラーが必要な仕様を満たさない場合に発生します。 | 自己管理型 AD ドメインコントローラーには、ハイブリッドディレクトリ用に少なくとも 7 GB の RAM と 2 つの CPU コアが必要です。 |
| サーバーレベルのプラグイン Dll テスト | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | 自己管理型 AD ドメインコントローラーで ServerLevelPluginDll が設定されている場合に発生します。 | 自己管理型 AD ドメインコントローラーでは ServerLevelPluginDII を設定しないでください。 |
| NT4 暗号化許可テスト | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | セルフマネージド AD で NT4 暗号化が許可されている場合に発生します。 | セルフマネージド AD では NT4 暗号化を使用しないでください。詳細については、Microsoft ドキュメントを参照してください。 |
| 孤立した管理者ユーザーのテスト | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | 自己管理型 AD に孤立した管理者ユーザーが存在する場合に発生します。 | 続行する前に、自己管理型 AD の孤立したユーザーを削除します。 |
| 特権ユーザー数テスト | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | セルフマネージド AD の Built-in Admins、Domain Admins、Enterprise Admins の合計数が 5 より大きい場合に発生します。 | セルフマネージド AD 環境には、特権アカウントを複数持つことは推奨されません。続行する前に、必要以上の管理者アカウントを削除する必要があります。 |
| 特権ユーザー数テスト | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | セルフマネージド AD の Built-in Admins、Domain Admins、Enterprise Admins の合計数が 5 より大きい場合に発生します。 | セルフマネージド AD 環境には、特権アカウントを複数持つことは推奨されません。続行する前に、必要以上の管理者アカウントを削除する必要があります。 |
| 特権ユーザー数テスト | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | セルフマネージド AD の Built-in Admins、Domain Admins、Enterprise Admins の合計数が 5 より大きい場合に発生します。 | セルフマネージド AD 環境には、特権アカウントを複数持つことは推奨されません。続行する前に、必要以上の管理者アカウントを削除する必要があります。 |
| NTLM テスト | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | 自己管理型 AD で NTLMv1 が認証に対して有効になっている場合に発生します。 | NT LAN Manager バージョン 1 (NTLMv1) には既知のセキュリティの脆弱性があるため、使用しないでください。自己管理型 AD で NTLMv1 を無効にします。詳細については、「[Microsoft ドキュメント](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73)」を参照してください。 |
| Tombstone ライフタイムテスト | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | 自己管理型 AD の Tombstone の有効期間が 180 日を超える場合に発生します。 | Tombstone の有効期間は、削除されたオブジェクトが AD から削除されるまでの日数です。自己管理型 AD の Tombstone の有効期間値は 180 日以内である必要があります。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180)」を参照してください。 |