Simple AD ディレクトリにてエラーメッセージ「The main domain controller does not have all FSMO roles.」が出力​されたときの対処方法

2021.06.24

困っていた内容

Simple AD ディレクトリを利用していますが、現在障害のステータスとなっており、Active Directoryツールなどでアクセスできない状態です。

マネジメントコンソール上のメッセージ


Issue(s) detected by instance xx.x.xx.xx: The main domain controller does not have all FSMO roles. Issue(s) detected by instance xx.x.xx.xx: The main domain controller does not have all FSMO roles.


以下のリンクに記載のマイクロソフト社の対処方法を試そうとしましたが、Administratorなど、特権でのアクセスができないため実施できておりません。
The main domain controller does not have all FSMO roles

説明
Simple AD ディレクトリコントローラーによって所有されていない FSMO ロールがあります。AWS Directory ServiceFSMO ロールが正しい Simple AD ディレクトリコントローラーに属していない場合、は特定の動作と機能を保証することはできません。

トラブルシューティング
Active Directory ツールを使用して、元の作業ディレクトリコントローラーに FSMO ロールを戻します。FSMO ロールの移動に関する詳細は、 Active Directory ドメイン サービスで FSMO の役割を転送または取得する 問題が解決されない場合は、AWS Support にお問い合わせください。

どう対応すればいいの?

AWSドキュメント確認

下記ドキュメント確認しましたところ、Simple AD を利用の際には、CloudWatch の VPC エンドポイントはご利用いただくことができないという記述があります。
Simple AD Prerequisites

The VPC must not be configured with the following VPC endpoint(s):
CloudWatch VPC Endpoint

現状確認

対象の Simple AD と同じ VPC に CloudWatch の VPC エンドポイント (com.amazonaws.ap-northeast-1.monitoring) が作成されています。
従いまして、ディレクトリが障害というステータスになったのはこの VPC エンドポイントに起因したものと考えております。

具体的な対処法

  • 対象VPCに作成しましたCloudWatch の VPC エンドポイント (com.amazonaws.ap-northeast-1.monitoring) を削除します。
  • VPC エンドポイントを削除後、新規 Simple AD の作成が行えるか確認します。
  • 既存のディレクトリ では VPC エンドポイントを削除した後、しばらくしてステータスが正常に変更されるか確認する必要があります。

Tips
VPC エンドポイントを削除した後事象が復旧されるまでに時間を要するので、 削除後しばらくの間様子を観察することをおすすめいたします。

さいごに

Simple AD ディレクトリにてエラーメッセージの対応方法についてご案内いたしました。
今後こういう事象が発生のときに少しでもお役にたてますと幸いです。

参考資料

[1]Simple AD prerequisites
[2]インターフェイス VPC エンドポイント (AWS PrivateLink) - Amazon Virtual Private Cloud
[3]Amazon CloudWatch が、AWS PrivateLink による接続で VPC エンドポイントをサポート