翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Private CA Connector for Active Directory に関する問題のトラブルシューティング
<a name="troubleshoot-connector-ad"></a>

Connector AWS Private Certificate Authority for AD の問題の診断と修正には、こちらの情報を参考にしてください。

**Topics**
+ [Connector for AD エラーコードのトラブルシューティング](c4adTroubleshootingError.md)
+ [Connector for AD コネクタの作成失敗のトラブルシューティング](c4adTroubleshootingConnectorCreationFailure.md)
+ [Connector for AD SPN の作成失敗のトラブルシューティング](c4adTroubleshootingSpnFailure.md)
+ [Connector for AD テンプレートの更新に関する問題のトラブルシューティング](c4adTroubleshootingUpdatedTemplate.md)

# Connector for AD エラーコードのトラブルシューティング
<a name="c4adTroubleshootingError"></a>

Connector for AD は、いくつかの理由でエラーメッセージを送信します。各エラーとそれらの解決に関する推奨事項については、次の表を参照してください。これらのエラーは、Amazon EventBridge スケジューライベント (イベントソース: `aws.pca-connector-ad`) にサブスクライブするか、Windows で手動登録を使用して受信できます。


| エラーコード | 根本原因 | 修正 | 
| --- | --- | --- | 
|  0x8FFFA000  |  Kerberos 認証 に失敗しました。  |  ディレクトリにアクセスできること、およびクライアントがユーザーまたはコンピュータであることを確認します。自動登録を使用している場合は、リソースサービスプリンシパルを修正します AWS 。Active Directory UI を使用して証明書を取得している場合は、`gpupdate /force` を実行してください。  | 
|  0x8FFFA001  |  SOAP メッセージにはアクションヘッダーが含まれている必要があります。  |  アクションヘッダーの追加  | 
|  0x8FFFA002  |  コネクタは接続先のプライベート CA にアクセスできません。  |  プライベート CA と Connector for AD サービスの間で共有する AWS Resource Access Manager (RAM) を作成して、プライベート CA をコネクタと共有します。  | 
|  0x8FFFA003  |  このコネクタのプライベート CA はアクティブではありません。  |  プライベート CA をアクティブ状態に移行します。プライベート CA が証明書が保留中の状態の場合は、CA 証明書をインストールしてください。  | 
|  0x8FFFA004  |  このコネクタのプライベート CA が存在しません。  |  認証局が削除済み状態の場合は、アクティブ状態に移行します。プライベート CA が完全に削除された場合は、別の CA で新しいコネクタを作成してください。  | 
|  0x8FFFA005  |  テンプレートは証明書サブジェクトの `directoryGuid` 属性またはサブジェクトの代替名を指定しましたが、その属性がリクエスト元の AD オブジェクトに見つかりませんでした。  |  Active Directory はユーザーのディレクトリ用に `directoryGuid` を生成しませんでした。Active Directory のトラブルシューティング。  | 
|  0x8FFFA006  |  テンプレートは証明書サブジェクトの `dnsHostName` 属性またはサブジェクトの代替名を指定しましたが、その属性がリクエスト元の AD オブジェクトに見つかりませんでした。  |  AD オブジェクトに `dnsHostName` 属性を追加します。  | 
|  0x8FFFA007  |  テンプレートは証明書サブジェクトまたはサブジェクトの代替名に含めるメール属性を指定しましたが、その属性がリクエスト元の AD オブジェクトに見つかりませんでした。  |  AD オブジェクトにメール属性を追加します。  | 
|  0x8FFFA008  |  SOAP メッセージには、`http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies` または `http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep` のアクションヘッダーが必要です。  |  指定された値のいずれかを使用するようにアクションヘッダーを更新してください。  | 
|  0x8FFFA009  |  BinarySecurityToken は `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary` にエンコードする必要があります。  |  バイナリセキュリティトークンのタイプを更新してください。  | 
|  0x8FFFA00A  |  BinarySecurityToken が無効です。  |  CSR が正しく生成されていることを確認してください。  | 
|  0x8FFFA00B  |  BinarySecurityToken の値タイプは `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7` または `http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10` でなければなりません。  |  バイナリセキュリティトークンの値タイプを有効な値に更新してください。  | 
|  0x8FFFA00C  |  BinarySecurityToken に無効な CMS が含まれていました。  |  Base64 は有効ですが、暗号メッセージ構文 (CMS) が無効です。CMS の構文を確認してください。  | 
|  0x8FFFA00D  |  BinarySecurityToken に無効な CSR が含まれていました。  |  CSR が正しく生成されていることを確認してください。  | 
|  0x8FFFA00E  |  プライベート CA は特定のテンプレートを使用して証明書を発行できませんでした。  |  から検証例外を確認します AWS Private CA。検証例外は、Amazon EventBridge または で表示できます AWS CloudTrail。  | 
|  0x8FFFA00F  |  SOAP メッセージは `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue` のリクエストタイプである必要があります。  |  リクエストタイプを `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue` に設定します。  | 
|  0x8FFFA010  |  SOAP メッセージには、コネクタの `CertificateEnrollmentPolicyServerEndpoint` フィールドまたは XCEP 応答の URI フィールドのいずれかの to ヘッダーが必要です。  |  リクエストセキュリティトークンのヘッダーを XCEP レスポンスの `CertificateEnrollmentPolicyServerEndpoint` フィールドまたは URI フィールドに設定します。  | 
|  0x8FFFA011  |  SOAP メッセージにはアクションヘッダーを 1 つだけ含める必要があります。  |  リクエストセキュリティトークンの SOAP メッセージヘッダーを確認し、ヘッダーを正しく設定してください。  | 
|  0x8FFFA012  |  SOAP メッセージには `messageId` ヘッダーを 1 つだけ含める必要があります。  |  リクエストセキュリティトークンの SOAP メッセージヘッダーを確認し、ヘッダーを正しく設定してください。  | 
|  0x8FFFA013  |  SOAP メッセージには to ヘッダーを 1 つだけ含める必要があります。  |  リクエストセキュリティトークンの SOAP メッセージヘッダーを確認し、ヘッダーを正しく設定してください。  | 
|  0x8FFFA014  |  リクエスト元にはリクエストされたテンプレートへのアクセス権がありません。  |  アクセス制御エントリを作成して、リクエスト元のグループが要求されたテンプレートを使用して登録できるようにします。  | 
|  0x8FFFA015  |  `CertificateTemplateInformation` または `CertificateTemplateName` 拡張のいずれかが BinarySecurityToken に含まれていなければなりません。  |  セキュリティ拡張を CSR に追加してください。  | 
|  0x8FFFA016  |  要求されたテンプレートは、指定されたコネクタでは見つかりませんでした。  |  テンプレートは各コネクタの子リソースです。`createTemplate` を使用してコネクタ用のテンプレートを作成します。  | 
|  0x8FFFA017  |  リクエストのスロットリングにより、リクエストが拒否されました。  |  リクエストの速度を遅くしてください。  | 
|  0x8FFFA018  |  SOAP メッセージには `to` ヘッダーが含まれている必要があります。  |  SOAP メッセージのヘッダーを確認してください。  | 
|  0x8FFFA019  |  ヘッダーが認識されないため、SOAP メッセージを処理できませんでした。  |  SOAP メッセージのヘッダーを確認してください。  | 
|  0x8FFFA01A  |  テンプレートでは、証明書のサブジェクトまたはサブジェクトの代替名に UPN 属性を含めるように指定しましたが、その属性がリクエスト元の AD オブジェクトに見つかりませんでした。  |  UPN を Active Directory オブジェクトに追加します。  | 

# Connector for AD コネクタの作成失敗のトラブルシューティング
<a name="c4adTroubleshootingConnectorCreationFailure"></a>

AD コネクタ作成用コネクタは、さまざまな理由で失敗する可能性があります。コネクタの作成が失敗すると、API レスポンスに失敗の理由が表示されます。コンソールを使用している場合、コネクタ**の詳細**コンテナ内の「ステータス**の詳細の追加**」フィールドのコネクタ**の詳細**ページに失敗の理由が表示されます。次の表は、障害の原因と解決の推奨手順を示しています。


| 失敗ステータス | 説明 | 修正 | 
| --- | --- | --- | 
| CA\$1CERTIFICATE\$1REGISTRATION\$1FAILED | Connector for AD は、CA 証明書を ディレクトリにインポートできません。 |  [前提条件](connector-for-ad-getting-started-prerequisites.md)ページを確認し、サービスアカウントに適切なアクセス許可があることを確認します。サービスアカウントに正しいアクセス許可を委任したら、障害が発生したコネクタを削除し、新しいコネクタを作成します。アクセス許可の委任の詳細については、 *AWS Directory Service 管理ガイド*の[「サービスアカウントに権限を委任](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges)する」を参照してください。  | 
| DIRECTORY\$1ACCESS\$1DENIED | Connector for AD がディレクトリにアクセスできません。 |  ディレクトリへのアクセスを Connector for AD に許可する必要があります。[ステップ 4: IAM ポリシーを作成する](connector-for-ad-getting-started-prerequisites.md#prereq-iam) セクションを確認して、 AWS アカウントに関連付けられた IAM ポリシーがディレクトリへのアクセスと説明を許可していることを確認します。 AWS ロールに正しいアクセス許可を付与したら、失敗したコネクタを削除し、新しいコネクタを作成します。  AWS Directory Service AD Connector で Connector for AD を使用する場合は、AD Connector サービスアカウントのパスワードの有効期限が切れておらず、有効であることを確認します。AD Connector サービスアカウントの詳細については、[「AD Connector 管理ガイド」の「AD Connector の開始方法](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html)」を参照してください。 **  | 
| INTERNAL\$1FAILURE | Connector for AD で内部障害が発生しました。 |  後でもう一度お試しください。失敗したコネクタを削除し、新しいコネクタを作成します。  | 
| INSUFFICIENT\$1FREE\$1ADDRESSES |  VPC サブネットには、使用可能なプライベート IP アドレスが少なくとも 1 つ必要です。 |   サブネットに使用可能なプライベート IP アドレスがあることを確認します。失敗したコネクタを削除し、新しいコネクタを作成します。  | 
| INVALID\$1SUBNET\$1IP\$1PROTOCOL | Connector for AD は、ディレクトリに関連付けられたサブネットが指定された IP アドレスタイプをサポートしていないため、VPC にエンドポイントを作成できません。 |  ディレクトリをホストする VPC とサブネットが、選択した IP アドレスタイプをサポートしていることを確認します。詳細については、[「IP アドレスタイプ](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type)」を参照してください。失敗したコネクタを削除し、サポートされている IP アドレスタイプで新しいコネクタを作成します。  | 
| PRIVATECA\$1ACCESS\$1DENIED | Connector for AD はプライベート CA にアクセスできません。 |  [前提条件](connector-for-ad-getting-started-prerequisites.md)ページを確認し、コネクタを作成するアクセス許可があることを確認します。詳細については、[ステップ 4: IAM ポリシーを作成する](connector-for-ad-getting-started-prerequisites.md#prereq-iam) を参照してください。  AWS CLI または API を使用してコネクタを作成する場合は、[前提条件](connector-for-ad-getting-started-prerequisites.md)ページを確認し、 を使用して Connector for AD とプライベート CA を共有していることを確認します AWS Resource Access Manager。 IAM アクセス許可と AWS RAM リソース共有を確認して修正したら、失敗したコネクタを削除し、新しいコネクタを作成します。  | 
| PRIVATECA\$1RESOURCE\$1NOT\$1FOUND | Connector for AD で、指定されたプライベート CA が見つかりません。 |  正しいプライベート CA [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を指定し、失敗したコネクタを削除して、意図したプライベート CA ARN を使用して新しいコネクタを作成します。  | 
| SECURITY\$1GROUP\$1NOT\$1IN\$1VPC | セキュリティグループは、 ディレクトリをホストする VPC にありません。 |  ディレクトリをホストする VPC にあるセキュリティグループを使用します。詳細については、「[ステップ 7: セキュリティグループを設定する](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups)」を参照してください。障害が発生したコネクタを削除し、VPC にあるセキュリティグループを使用して新しいコネクタを作成します。  | 
| VPC\$1ACCESS\$1DENIED | Connector for AD は、ディレクトリをホストする Amazon VPC にアクセスできません。 |  IAM 許可をチェックします。失敗したコネクタを削除し、新しいコネクタを作成します。アクセス許可を含む IAM ポリシーの例については、「」を参照してください。 [ステップ 4: IAM ポリシーを作成する](connector-for-ad-getting-started-prerequisites.md#prereq-iam)  | 
| VPC\$1ENDPOINT\$1LIMIT\$1EXCEEDED | Connector for AD は Amazon VPC にエンドポイントを作成できません。アカウント用に作成できる VPC エンドポイントの制限に達しました。 |  Amazon VPC エンドポイントを削除するか、制限の引き上げをリクエストします。2 つのステップのいずれかを完了したら、失敗したコネクタを削除し、新しいコネクタを作成します。クォータの詳細については、[Amazon Virtual Private Cloud Service クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)」を参照してください。  | 
| VPC\$1RESOURCE\$1NOT\$1FOUND | Connector for AD で、指定された VPC が見つかりません。 |  正しい VPC を指定し、VPC が存在することを確認します。次に、障害が発生したコネクタを削除し、正しい VPC ID を使用して新しいコネクタを作成します。  | 

# Connector for AD SPN の作成失敗のトラブルシューティング
<a name="c4adTroubleshootingSpnFailure"></a>

サービスプリンシパル名 (SPN) の作成は、さまざまな理由で失敗することがあります。SPN の作成が失敗すると、API レスポンスに失敗の理由が表示されます。コンソールを使用している場合は、**サービスプリンシパル名 (SPN)** コンテナ内の**追加ステータスの詳細**フィールドのコネクタの詳細ページに失敗の理由が表示されます。次の表は、障害の原因と解決の推奨手順を示しています。


| 失敗ステータス | 説明 | 修正 | 
| --- | --- | --- | 
| DIRECTORY\$1ACCESS\$1DENIED | Connector for AD はディレクトリにアクセスできません。 |  ディレクトリへのアクセスを Connector for AD に許可します。ディレクトリアクセスを許可するアクセス許可を含む IAM ポリシーの例については、「」を参照してください[ステップ 4: IAM ポリシーを作成する](connector-for-ad-getting-started-prerequisites.md#prereq-iam)。  | 
| DIRECTORY\$1NOT\$1REACHABLE | Connector for AD はディレクトリにアクセスできません。 |   AWS と ディレクトリ間のネットワークを確認し、もう一度 SPN を作成してみてください。  | 
| DIRECTORY\$1RESOURCE\$1NOT\$1FOUND | Connector for AD で、指定されたディレクトリが見つかりません。 |  正しいディレクトリ ID を指定し、障害が発生したコネクタを削除して、目的のディレクトリ ID を使用して新しいコネクタを作成します。  | 
| INTERNAL\$1FAILURE | Connector for AD で内部障害が発生しました。 |  後でもう一度お試しください。  | 
| SPN\$1EXISTS\$1ON\$1DIFFERENT\$1AD\$1OBJECT | サービスプリンシパル名 (SPN) は、別の Active Directory オブジェクトに存在します。 |  Active Directory オブジェクトから SPN を削除し、もう一度 SPN を作成してみてください。  | 
| SPN\$1LIMIT\$1EXCEEDED | Connector for AD は、ディレクトリあたりの SPN の制限に達したためSPNsを作成できません。ディレクトリあたりの SPNs の最大数は 10 です。 |  アカウントから 1 SPNs を削除し、もう一度 SPN を作成してみてください。  | 

# Connector for AD テンプレートの更新に関する問題のトラブルシューティング
<a name="c4adTroubleshootingUpdatedTemplate"></a>

テンプレートまたはグループアクセスコントロールエントリを変更しても変更が表示されない場合は、クライアントが 8 時間ごとにポリシーキャッシュを更新するときに、ポリシーの caching. AWS Private CA applies テンプレートがポリシーに適用される可能性があります。クライアントがキャッシュを更新すると、使用可能なテンプレートについてコネクタにクエリを実行します。**自動登録更新の場合、クライアントは次のいずれかまたは両方の条件に一致する証明書を発行します。
+ 証明書は更新期間内です。
+ 証明書がクライアントデバイスに存在しません。

*手動更新*の場合、クライアントはコネクタにクエリを実行するため、発行するようにテンプレートを設定する必要があります。

デバッグする場合は、ポリシーキャッシュを手動でクリアして、テンプレートの変更をすぐに確認できます。そのためには、クライアントで次の Powershell コマンドを実行します。

```
certutil -f -user -policyserver * -policycache delete
```