Storage Gateway ファイルゲートウェイを Microsoft Active Directory 認証用のドメインに参加させる際の問題をトラブルシューティングする方法を教えてください。
最終更新日: 2020 年 2 月 3 日
AWS Storage Gateway にファイルゲートウェイを作成しました。認証には Microsoft Active Directory (AD) を使用したいです。けれども、ファイルゲートウェイを Microsoft AD ドメインに参加させようとすると、次のいずれかのエラーメッセージが表示されます。
- 「指定されたリクエストがタイムアウトしました」
- 「ゲートウェイは指定されたドメインに接続できません」
- 「無効なドメイン名/DNS 名を解決できません」
これらのエラーをトラブルシューティングして、ゲートウェイをドメインに参加させる方法を教えてください。
解決方法
エラーをトラブルシューティングするには、次のポイントや設定を試してください。
1. ping テストを実行して、ゲートウェイがドメインコントローラーに到達できることを確認します。ドメインコントローラーの IP アドレスへのファイルゲートウェイと同じネットワーク設定のシステムから ping テストを実行する必要があります。
注: DomainControllerIP をドメインコントローラーの IP アドレスに置き換えます。
ping DomainControllerIP
2. ファイアウォール内で必要なポートを開いていることを確認します。これを確認するには、ファイルゲートウェイと同じサブネットにあるサーバーから、ポート 389 (TCP LDAP) またはポート 636 (TCP LDAPS) のドメインコントローラーの IP アドレスに telnet コマンドを実行します。
注: DomainControllerIP をドメインコントローラーの IP アドレスに置き換えます。
telnet DomainControllerIP 389
telnet DomainControllerIP 636
3. ファイルゲートウェイが Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで実行されている場合は、DHCP オプションセットを作成し、そのセットをインスタンスが存在する Amazon Virtual Private Cloud (VPC) にアタッチする必要があります。これにより、ファイルゲートウェイは、参加するドメインを見つけることができます。DHCP オプションセットを作成して VPC にアタッチしたら、ファイルゲートウェイが実行されているインスタンスを停止して起動することをお勧めします。
ファイルゲートウェイインスタンスをオンプレミスドメインコントローラーに参加させており、ファイルゲートウェイインスタンスが AmazonProvidedDNS を使用している多くのインスタンスの 1 つである場合、DHCP オプションセットを変更することはできません。このユースケースでは、次のいずれかを実行できます。
- Amazon Route 53 アウトバウンドエンドポイントを設定します。次に、オンプレミスドメインコントローラーへのドメイン名エンドポイントの転送ルールを作成します。これにより、ファイルゲートウェイは DNS クエリをドメインコントローラーに転送できます。
- Storage Gateway 仮想マシン (VM) で DNS をセットアップして、DNS クエリをドメインコントローラーに転送します。
注: アウトバウンドエンドポイントごとに、ネットワークへの AWS Direct Connect 接続または VPN 接続のいずれかが必要です。
4. ドメインがファイルゲートウェイによって解決できることを確認します。ドメインがゲートウェイアプライアンスで解決できない場合、ドメインに参加することはできません。EC2 Linux インスタンスにデプロイされたファイルゲートウェイの場合、ゲートウェイ VM と同じ VPC 内の他のインスタンスに接続することでこれをテストできます。次に、nslookup コマンドを実行して DNS をクエリします。オンプレミスゲートウェイの場合、ファイルゲートウェイと同じネットワーク設定のシステムから nslookup コマンドを実行します。
ドメインが解決しない場合、必要なレコードを DNS に追加します。
5. ドメインコントローラーが読み取り専用に設定されていないこと、およびドメインコントローラーにコンピュータを参加させるのに十分なロールがあることを確認します。これを確認するには、ゲートウェイ VM と同じ VPC サブネット内の他のサーバーをドメインに参加させてみてください。
6. ファイルゲートウェイを、地理的にゲートウェイに近いドメインコントローラーに参加させることをお勧めします。ゲートウェイアプライアンスが 20 秒以内にドメインコントローラーに到達またはクエリできない場合、プロセスはタイムアウトすることがあります。たとえば、ゲートウェイアプライアンスが米国東部 (バージニア北部) リージョンにあり、ドメインコントローラーがアジアパシフィック (シンガポール) リージョンにある場合、ドメイン参加プロセスがタイムアウトすることがあります。
注: デフォルトのタイムアウト値である 20 秒を増やすには、AWS コマンドラインインターフェイス (AWS CLI) で join-domain コマンドを実行し、-timeout-in-seconds オプションを含めることで時間を増やせます。または、JoinDomain API 呼び出しを使用して、TimeoutInSeconds パラメータを含めることで、時間を増やすことができます。最大タイムアウト値は 3,600 秒です。
AWS CLI のコマンド実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用するようにしてください。
7. Microsoft AD の組織単位 (OU) に、既定の OU 以外の場所に新しいコンピュータオブジェクトを作成するグループポリシーオブジェクトがあるかどうかを確認します。このユースケースでは、ドメインをファイルゲートウェイに参加させる前に、OU に新しいコンピュータオブジェクトが必要です。一部の環境は、新しく作成されたオブジェクトに対して異なる OU を持つようにカスタマイズされています。特定の OU のコンピュータオブジェクト (ゲートウェイ VM 用) がドメインに参加することを確認するには、ファイルゲートウェイをドメインに参加させる前に、ドメインコントローラーでコンピュータオブジェクトを作成してみてください。または、AWS CLI を使用して join-domain コマンドを実行し、--organizational-unit のオプションを指定できます。
注: コンピュータオブジェクトを作成するプロセスは、事前ステージングと呼ばれます。
8. 前のチェックと設定を試した後、まだゲートウェイをドメインに参加させられない場合は、ドメイン参加のイベントログがあるかどうかを確認します。ドメインコントローラーのイベントビューワーでエラーがないか確認します。ゲートウェイクエリがドメインコントローラーに到達したかどうかを確認します。</p