Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD ディレクトリにシームレスに結合させることができない理由は何ですか?

Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD にシームレスに結合させる場合に発生する問題のトラブルシューティングを行うには、以下の手順通りに操作を行います。

注意: AWS Systems Manager では、インターフェイス VPC エンドポイントのシームレスなドメイン結合はサポートされていません。詳細については VPC エンドポイントの制約と制限をご参照ください。

前提条件を確認する

AWS Systems Manager を使用するためのすべての前提条件を満たしていることを確認します。

AWS Identity and Access Management (IAM) ロールポリシーを確認する

1.    IAM コンソールを開き、ナビゲーションペインから [ロール] を選択します。

2.    インスタンスに関連付けられた IAM ロールのロール名を選択して、[概要] ページを開きます。

3.    [アクセス許可] タブの [アクセス許可ポリシー] で、AmazonSSMDirectoryServiceAccess および AmazonSSMManagedInstanceCore ポリシーがアタッチされていることを確認します。

いずれかのポリシーがない場合は、[ポリシーのアタッチ] を選択します。次に、ポリシー名を検索し、[ポリシーのアタッチ] を選択します。

必要なポートが開いていることを確認する

ポート 53、88、および 389 がディレクトリセキュリティグループで開いていることを確認します。ディレクトリのセキュリティグループを見つけるには、以下の手順通りに操作を行います。

1.    Amazon EC2 コンソールを開き、[ネットワークとセキュリティ] のナビゲーションペインから [セキュリティグループ] を選択します。

2.    リストをセキュリティグループ名で並べ替えて、directoryid_controllers を見つけます。ここで、directory_id はご使用のディレクトリ ID になります。例: d-1234567891_controllers。

注意: Microsoft の Portqry.exe コマンドラインユーティリティを使用して、ドメインから必要なポートへの接続をテストできます。

EC2 インスタンスの DNS サーバーがディレクトリ DNS サーバーを指していることを確認します。

次のコマンドを実行して、インスタンスのネットワークアダプター設定を表示します。

ipconfig /all

ディレクトリの DNS サーバーを見つけるには、以下の手順通りに操作を行います。

1.    ディレクトリサービスコンソールを開き、ナビゲーションペインから [ディレクトリ] を選択します。

2.    ご使用のディレクトリ ID を選択して [ディレクトリ詳細] ページを開き、DNS アドレスを表示します。

インスタンスからドメイン名を解決できることを確認する

domainname をドメイン名に置き換えて、次のコマンドを実行します。

PowerShell の使用:

Resolve-DnsName domainname

コマンドプロンプトの使用:

nslookup domainname

DNS サーバー設定を確認する

インスタンスで正しい DNS サーバーを設定し、インスタンスが DNS サーバーに到達できることを確認します。次の Nltest コマンドを実行します。

nltest /dsgetdc:domainname /force

注意: domainname は、NetBIOS 名ではなく DNS 名に置き換えてください。たとえば、ドメインが example.com の場合、DNS 名は example.com で、NetBIOS 名は example です。

インスタンスがマネージドとして報告されていることを確認する

最初にl AWS Systems Manager コンソールを開き、リージョンを選択して、ナビゲーションペインから [マネージドインスタンス] を選択して、すべてのマネージドインスタンスを表示します。

次に、ドキュメント awsconfig_Domain_directoryid_domainname に対応するステートマネージャーの関連付けがインスタンスに対して自動的に作成されたことを確認します。次の手順を実行します。

1.    Systems Manager コンソールで、ナビゲーションペインから [ステートマネージャー] を選択します。

2.    検索バーを選択し、[インスタンス ID]、[等しい] を選択して、「instance_id」を入力します。

3.    [実行履歴] で、関連付けの実行による出力を確認します。ステータスが [成功] であることを確認します。

ステータスが [失敗] の場合は、出力結果と詳細なステータスを確認して、問題の原因を特定します。

ステータスが [保留中] の場合は、上記のトラブルシューティング手順をすべて実行したことを確認してください。次に、EC2 インスタンスのログで明示的なエラーメッセージを確認し、問題の原因を特定します。手順については、以下のトラブルシューティングセクションをご参照ください。

インスタンスをドメインに手動で結合できることを確認する

ドメインにコンピュータオブジェクトを追加するために必要なアクセス許可がアカウントにあることを確認します。詳細については、AWS Managed Microsoft AD の委任ディレクトリ結合権限を参照してください。

シームレスなドメイン結合が成功したことを確認する

ドメインへの結合を再試行して、上記の手順で問題が解決したことを確認します。

1.    AWS Systems Manager コンソールを開き、ナビゲーションペインから [ステートマネージャー] を選択します。

2.    ドメインに結合するために作成した関連付けを選択し、[今すぐ関連付けを適用] を選択します。

3.    [ステータス] が [成功] であることを確認します。

トラブルシューティング

それでもドメインの結合に問題がある場合は、EC2 インスタンスの次のログを確認して、問題を示してください。

Amazon SSM エージェントログの場合:

次の場所 (C:\ProgramData\Amazon\SSM\Logs) に移動して、Amazon SSM エージェントログを確認します。

netsetup.log ファイル:

コマンドプロンプトを開き、次のコマンドを入力します。

%windir%\debug\netsetup.log

netsetup.log エラーコードの詳細については、Microsoft ウェブサイトの Windows ベースのコンピュータをドメインに結合させるときに発生するエラーのトラブルシューティング方法をご参照ください。

イベントビューワーログの場合:

1.    Windows の [スタート] メニューを開き、イベントビューワーを開きます。

2.    ナビゲーションペインから Windows ログを選択します。

3.    Windows ログの場合は、[システム] を選択します。

4.    [日付と時刻] 列を確認して、ドメインに結合する操作中に発生したイベントを特定します。