MENU
  1. ホーム
  2. Azure
  3. Azure AD Connect二台目構築時のエラー対策と原因解説

Azure AD Connect二台目構築時のエラー対策と原因解説

Azure

ある日、複数のドメイン環境を管理している友人から「AAD Connectのスタンバイ環境を構築しようと思ったら、インストール時にエラーが出て困っている」と相談を受けたことがあります。もし運用中のAzure AD Connectサーバーに障害が発生したらと思うと、セカンダリサーバーを用意しておきたい気持ちもよくわかります。そんな私も、かつて同じようなエラーにはまって何度もリトライした経験がありました。今回は、そのときに発見した原因や対処方法を詳しくまとめながら、対策に役立つヒントをお伝えします。

目次
  1. AAD Connectセカンダリサーバー構築で発生するエラーの背景
    1. エラーに影響を与える要因とは
  2. 主な原因と詳細な解説
    1. TLS 1.2が無効化されている
    2. クレデンシャルやトークンの期限切れ・取り消し
    3. Active Directoryレプリケーション関連の問題
  3. AAD Connect環境構築の際にチェックしておきたい項目
  4. 具体的な対処方法と手順
    1. 1.TLS 1.2の状態を確認
    2. 2.アカウント設定を再度見直す
    3. 3.ADレプリケーションを強制同期
  5. 実際の事例:TLS有効化で解決したケース
  6. まとめ

AAD Connectセカンダリサーバー構築で発生するエラーの背景

AAD ConnectはオンプレミスのActive DirectoryとAzure ADを同期するための重要な役割を担っています。1台だけでも運用はできますが、万が一の障害やアップデート時のリスクを軽減するために、スタンバイとして2台目を用意するケースがあります。ところが、2台目をインストールしようとしたら以下のようなエラーが出ることがあります。

Creation of connector ***.onmicrosoft.com - AAD failed. 
This may be due to replication delay. Retry timespan exceeded. NOT retrying.

これに加えて、The provided grant has expiredやfresh auth token is neededといったエラーも散見される場合があります。筆者も最初はActive Directoryのrepadminを使ってみたり、イベントログを見たりしましたが、一見目立ったエラーは見つからず、何が原因なのかわからず途方に暮れていました。

エラーに影響を与える要因とは

AAD Connectが新しいサーバー上でインストール時にコネクタを作成する過程で、何らかの認証エラーやレプリケーションの問題が絡んでくると、上記のようなエラーメッセージが発生しやすいです。要因として多いのは、TLS 1.2の設定が無効だったり、Azure AD側のトークンが期限切れになっていたり、Active Directoryレプリケーションにわずかな遅延が発生しているケースです。ここからは、具体的な原因や対処法を順番に解説していきます。

主な原因と詳細な解説

TLS 1.2が無効化されている

現行のAAD Connect(バージョン2.0以降)ではTLS 1.2のサポートが必須となっています。しかし、環境によってはWindowsの古いバージョンを使っているためにレジストリでTLS 1.2が有効になっていなかったり、ポリシー上無効化されていることもあります。この状態だと、AAD ConnectがAzure ADと通信する際に暗号化通信に失敗し、コネクタの作成プロセスでエラーを起こしてしまうのです。

TLS 1.2の有効化によりセキュリティが高まり、最新のAzure ADサービスとスムーズに連携できます。

古いソフトウェアとの互換性が崩れる可能性があり、事前の動作確認が必要です。

TLS 1.2有効化手順の一例

まずは、レジストリの確認やグループポリシーの設定を行います。Microsoft公式ドキュメントによれば、以下のようなキーを設定することが推奨されています。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

設定後はサーバーを再起動し、再度インストールや構成を試してみるとスムーズに進む場合があります。

クレデンシャルやトークンの期限切れ・取り消し

AAD Connectのインストールウィザードで使用するアカウントのトークンが無効化または期限切れになると、コネクタ作成時にエラーが返されることがあります。特に多いのが、管理者がパスワードを更新したり、セキュリティの都合でトークンが取り消されてしまったケースです。

アカウントを再認証することで、不要なエラーをクリアにできる可能性が高いです。

頻繁にパスワード変更を行っていると、その都度トークンが無効化されるリスクがあり、面倒が増えます。

トークンエラー解消のための対策

1. AAD Connectインストールウィザードを起動しなおす
2. 正しいアカウント情報(パスワードを更新している場合は最新)を再入力する
3. Azure ADポータル側でアカウントのセキュリティ設定に問題がないか確認する

これらを実施してみると、多くの場合はすんなりインストールが完了することが多いです。私も実際、パスワードを手動で同期させていないまま、前回のパスワードでウィザードを走らせてエラーを出していた苦い経験があります。

Active Directoryレプリケーション関連の問題

エラーメッセージにreplication delayと書かれている場合、ADのレプリケーションが影響していることが想定されます。repadmin /replsummaryなどでエラーを確認してみるのが定番ですが、イベントログで異常が検出されない場合でもタイミングによっては遅延が発生していることがあります。

私は複数サイト間レプリケーションの夜間スケジュールが設定されている環境に遭遇したとき、昼間に急ぎでAAD Connectを追加しようとしたところ、遅延が大きくなって失敗した経験がありました。夜間にレプリケーションが走る設定だったため、結果として、翌朝に再度挑戦したら問題なく通りました。

レプリケーション状態を詳細に調べる方法

repadmin /replsummary
repadmin /showrepl
repadmin /showobjmeta

これらのコマンドを使うと、どのドメインコントローラーで、どれくらいのレプリケーション遅延が発生しているか可視化できます。DNS設定やサイト間のリンクスケジュールなども合わせて見直してみるとよいでしょう。

AAD Connect環境構築の際にチェックしておきたい項目

以下に、AAD Connectを新規インストールする際に抑えておくとトラブル回避につながりやすいポイントを、簡易的な表にまとめました。

項目確認内容参考
TLS 1.2レジストリ設定やグループポリシーで明示的に有効になっているかEntra Connect TLS enforcement
アカウントの有効性パスワード変更や権限の見直しが行われていないかパスワード同期周りのドキュメント
repadmin結果レプリケーションに失敗や大きな遅延がないかrepadmin /replsummary 等
インストールウィザードのバージョンAAD Connectが最新バージョンになっているか公式インストーラー
必要なWindowsアップデートWindows Serverの累積アップデートが適用されているかWindows Update確認

こうした基礎チェックを行うだけでも、インストール時のエラー発生率は大幅に下がります。実際、私もチェックリストを用意しておくようになってからは、AAD Connectの構築に失敗することがほとんどなくなりました。

具体的な対処方法と手順

1.TLS 1.2の状態を確認

1. サーバーのレジストリエディタを開き、上記のキーが正しく設定されているか確認
2. 必要に応じて変更し、サーバー再起動
3. AAD Connect再インストールを試す

2.アカウント設定を再度見直す

1. 使っている管理用アカウントのパスワードが変更されていないか確認
2. Azure ADポータルでアカウントの無効化やロックアウトが起きていないか確認
3. インストールウィザードで再度認証情報を入力

3.ADレプリケーションを強制同期

1. repadmin /syncallコマンドで手動同期
2. サイト間レプリケーションのスケジュールを調整して、インストール時に遅延が最小になるようにする
3. 大規模環境の場合、検証用にテストサイトを作って試してみる

強制同期の例

repadmin /syncall /AdeP

AAD Connectを新規に入れる場合、どうしてもドメインコントローラーが多岐にわたる環境ほど、細かなレプリケーション待ちが発生しやすいです。時間に余裕をもって実施しましょう。

実際の事例:TLS有効化で解決したケース

私が運用をサポートしていた企業で、Windows Server 2012 R2上にAAD Connectをインストールしようとしたとき、同じエラーに遭遇しました。原因を調べていると、セキュリティポリシーでTLS 1.2が明示的に無効化されていました。すぐにレジストリを修正して再起動すると、インストールもスムーズに完了。二度と同じエラーが出なくなり、担当者もほっとした様子でした。

実際の運用でエラーが出ると非常に焦りますが、根本原因を洗い出すには焦らず順番にチェックしていくのが大切です。

まとめ

セカンダリサーバーとしてAAD Connectを構築するときに発生するエラーの多くは、TLS 1.2が無効だったり、Azure ADのクレデンシャルが期限切れになっていたり、あるいはADレプリケーションの遅延が絡んでいたりすることが多いです。筆者も初めて遭遇した際には、時間をかけて問題箇所を特定するのに苦労しましたが、上記のポイントを一つずつつぶしていくことで解決できます。

あなたの環境が同じようなエラーで悩まされているなら、まずはTLS設定やトークン、そしてADレプリケーションを要チェックです。さらに、コード例やコマンドを参考に地道な調査を進めてみてください。二台目を無事に構築できれば、運用上の冗長性が高まり、障害時のリスクを大きく低減できるはずです。

Azure
エラー AzureAD ADConnect

コメント

コメントする

目次
  1. AAD Connectセカンダリサーバー構築で発生するエラーの背景
    1. エラーに影響を与える要因とは
  2. 主な原因と詳細な解説
    1. TLS 1.2が無効化されている
    2. クレデンシャルやトークンの期限切れ・取り消し
    3. Active Directoryレプリケーション関連の問題
  3. AAD Connect環境構築の際にチェックしておきたい項目
  4. 具体的な対処方法と手順
    1. 1.TLS 1.2の状態を確認
    2. 2.アカウント設定を再度見直す
    3. 3.ADレプリケーションを強制同期
  5. 実際の事例:TLS有効化で解決したケース
  6. まとめ