この記事では、Azure Active Directory 同期ツールのインストールとディレクトリ同期ツールの構成ウィザードに関する問題のトラブルシューティングを行う方法について説明します。
元の製品バージョン: Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 Identity Management
元の KB 番号: 2684395
はじめに
この記事では、ディレクトリ同期ツールをインストールまたは設定するときに発生する可能性があるエラー メッセージの解決策と一般的な原因について説明します。
システム要件を確認する
次のすべての条件に該当する場合は、Azure Active Directory 同期ツールをコンピューターにインストールできます。
- Windows PowerShell 1.0 がコンピューターにインストールされている。
- ローカルの Administrators グループのメンバーとしてコンピューターにログオンしています。
- コンピューターには 64 ビット プロセッサがあります。
- コンピューターは、次のいずれかのオペレーティング システムを実行しています。
- Windows Server 2003 x64 Service Pack 2 (SP2) 以降のバージョン
- x64 ベースバージョンの Windows Server 2008
- コンピューターはドメイン コントローラーではありません。
- コンピューターは Active Directory ドメインに参加しています。 また、Microsoft Entra ID と同期するフォレスト内にあります。
- Microsoft .NET Framework 3.5 以降のバージョンがコンピューターにインストールされています。
アクセス許可を確認してください
ディレクトリ同期ツール構成ウィザードを正常に開始するには、ディレクトリ同期ツールがインストールされているコンピューターにログオンするユーザーが、ツールのインストール中に追加されたローカルの Microsoft Identity Integration Server (MIIS) Admins グループのメンバーである必要があります。
ディレクトリ同期ツール構成ウィザードを実行するときは、次の情報を指定する必要があります。
- オンプレミスの Active Directory スキーマのエンタープライズ管理者資格情報
- Microsoft クラウド サービスのグローバル管理者資格情報
nltest を使用してドメイン接続を確認する
Nltest は、Windows Server に組み込まれているコマンド ライン ツールです。 Remote Server Administration Tools for Windows 10 の一部として使用。
ドメインのドメイン コントローラーを確認するには、コマンド プロンプトで次のコマンドを実行します。
nltest /dsgetdc:<FQDN of the domain>Note
nltestツールには、Windows Server 2003 サポート ツールをインストールする必要があります。設定が正しい場合、出力は次の例のようになります。
DC: \DC.contoso.com Address:\ <IP Address> Dom Guid: <GUID> Dom Name: contoso.com Forest Name: contoso.com DC Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfullyコンピューターのサイト メンバーシップを確認するには、コマンド プロンプトで次のコマンドを実行します。
nltest /dsgetsite成功した結果は、次の例のようになります。
Default-First-Site-Name The command completed successfully
エラー 1: コンピューターをドメインに参加させる必要がある
この問題をトラブルシューティングするには、次の手順に従って、コンピューターのドメイン メンバーシップを確認します。
- コンピューターにログオンします。
- [マイ コンピューター] 右クリックしProperties を選択します。
- Computer Name タブを選択します。コンピューターがドメイン メンバーの場合、Full Computer Name はComputerName.Domain.xxxのようになります。 ドメイン名は、 Domain の横に表示されます。
コンピューターがドメイン メンバーであり、それでもエラー メッセージが表示される場合は、次のことを確認します。
- コンピューターはドメインと通信できます。
- コンピューターはドメイン コントローラーを検出できます。
そのためには、次の手順に従います。
ipconfigコマンドライン ツールを使用して、サーバーのドメイン ネーム システム (DNS) 設定を確認します。問題のあるコンピューターのネットワーク プロパティに一覧表示されている DNS サーバーに ping を実行できることを確認します。
nslookupコマンドライン ツールを実行します。 DNS サーバーに到達できない場合は、エラー メッセージが表示されます。 たとえば、次の例のようなエラー メッセージが表示されます。DNS 要求がタイムアウトしました。
タイムアウトは 2 秒でした。
アドレス <IP アドレスのサーバー名が見つかりません>: タイムアウト
既定のサーバー: UnKnown
アドレス: <IP アドレス>
場合によっては、コンピューターをワークグループに参加させた後、コンピューターをドメインに参加させ、このエラー メッセージを解決することがあります。 コンピューターがドメインに参加できない場合は、次のいずれかの問題が示されます。
- コンピューターでドメイン コントローラーに接続する際に問題が発生しています。
- Active Directory ドメインが要求を拒否しています。
エラー 2: Azure Active Directory 同期ツールが既にインストールされている
この場合、以前のインストールが保留中のため、ディレクトリ同期ツールがインストールされない可能性があります。 セットアップ パッケージは、インストール中にソフトウェアをバックグラウンドでインストールします。 この問題を解決するには、次の手順に従ってください。
- コントロール パネルで、Microsoft Identity Integration Server が プログラムの追加と削除または Programs and Features に表示されているかどうかを確認します。 存在する場合は、削除する必要があります。
- Program Files フォルダーに、 Microsoft Identity Integration Server という名前のサブフォルダーが含まれていることを確認します。 サブフォルダーが存在する場合は、フォルダーの名前を Microsoft Identity Integration Server_Oldに変更する必要があります。
- セットアップを再度実行します。
その他のエラー メッセージのトラブルシューティング
すべてのディレクトリ同期ログは、イベント ビューアーで表示できます。 ディレクトリ同期に関連するすべてのイベントを表示するには、次の手順に従います。
- イベント ビューアーを開きます。
- Windows ログを展開し、 Application を展開します。
- Actions ペインで、[現在のログのフィルターを選択。
- [ Event ソース ボックスで、 Directory 同期 チェック ボックスをオンにします。
- [OK] を選択します。 次の表に、エラー名、エラーの詳細、エラーソース、およびエラーの解決に役立つ手順を示します。
| 名前エラー | 詳細 | ソース | 解決方法 |
|---|---|---|---|
| AdminRequired | ディレクトリ同期をインストールするには、ローカル管理者のアクセス許可が必要です | イベント ビューアー/ エラー プロンプト | |
| DirSyncAlreadyInstalled | ディレクトリ同期ツールは既にインストールされています。 バージョン {0} | イベント ビューアー | 最新バージョンをインストールする前に、以前のバージョンのディレクトリ同期ツールをすべてアンインストールしてください。 |
| DirSyncInstallKeyNotRemoved | Windows インストーラーは、Azure Active Directory 同期 MSI からアンインストール レジストリ キーを削除できませんでした。 アンインストールを再試行するか、Microsoft Online サポートにお問い合わせください。 | イベント ビューアー | レジストリ キーを手動で削除してインストールを完了します。 |
| DirSyncNotInstalledError | このマシンでは、Azure Active Directory 同期ツールの完全なインストールが検出されませんでした。 このツールの任意のバージョンをアンインストールしてから、最新バージョンを再インストールしてください。 | イベント ビューアー | 最新バージョンをインストールする前に、以前のバージョンのディレクトリ同期ツールをすべてアンインストールしてください。 |
| ErrorReRunConfigWizard | 構成の問題が原因で同期を開始できません。 問題を解決するには、構成ウィザードを実行してみてください。 このエラーが引き続き表示される場合は、Microsoft オンライン サポートにお問い合わせください。 | イベント ビューアー | ディレクトリ同期ツールの構成ウィザードを実行します。 |
| WindowsInstaller45Required | インストールには Microsoft Windows インストーラー 4.5 が必要です。 Microsoft Windows インストーラー 4.5 をインストールして、もう一度やり直してください。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
| ErrorClearRunHistory | MIIS サーバーの実行履歴をクリアできませんでした。 返されるエラーは '{0}' です。 Microsoft Online サポートにお問い合わせください。 | イベント ビューアー | |
| ErrorNoStartConnection | 接続の問題のため、またはドメイン コントローラーにサーバーから接続できなかったため、同期を開始できませんでした。 サーバーに接続していること、および構成されているすべてのドメイン コントローラーがネットワークに接続されていることを確認します。 ドメインまたは名前付けコンテキストを最近削除した場合は、構成ウィザードを再実行してください。 | イベント ビューアー | ディレクトリ同期ツールを実行しているサーバーからローカル Active Directory ドメイン コントローラーにアクセスできることを確認します。 |
| ErrorNoStartCredentials | 資格情報の問題のため、同期を開始できませんでした。 構成ウィザードを再実行して、同期の資格情報を更新します。 | イベント ビューアー | ディレクトリ同期ツール構成ウィザードを実行し、資格情報を再入力します。 また、資格情報にポータルへの管理者アクセス権があることを確認します。 |
| ErrorNoStartNoDomainController | ドメイン コントローラーにサーバーから接続できなかったため、同期を開始できませんでした。 ドメイン コントローラーがネットワークに接続されていることを確認します。 | イベント ビューアー | ディレクトリ同期ツールを実行しているサーバーからローカル Active Directory ドメイン コントローラーにアクセスできることを確認します。 |
| ErrorStoppedConnectivity | 接続が失われたため、同期が停止しました。 サーバーへの接続を復元します。 | ローカル コンピューターがインターネットにアクセスできることを確認します。 ユーザーに provisioning.microsoftonline.com ping を実行して、コンピューターが Microsoft Entra 認証システムに到達できることを確認させます。 |
|
| ErrorStoppedDatabaseDiskFull | 同期サーバーによって使用される SQL Server データベースがいっぱいであるため、同期が停止しました。 SQL Server データベースにスペースを作成します。 | イベント ビューアー | ディレクトリ同期 SQL データベースを保持するために使用するストレージの領域を解放します。 問題が解決しない場合、ディレクトリ同期ツールは正常に実行されず、SQL データベースが完全に破損している可能性があります。 |
| InstallNotAllowedOnDomainController | Microsoft Online Services の共存をドメイン コントローラーにインストールすることはできません。 | イベント ビューアー | ディレクトリ同期ツールは、ドメイン コントローラーではないドメインに参加しているコンピューターにのみインストールできます。 |
| InstallPathLengthTooLong | インストール パスが長すぎます。 116 文字以下のパスを指定してから、やり直してください。 | イベント ビューアー | ディレクトリ同期ツールのインストールにカスタム パスを使用する場合、合計パスの文字数は 116 文字未満にする必要があります。 |
| InsufficientDiskSpace | ディスク領域が不足しています | イベント ビューアー | ローカル ワークステーションにディレクトリ同期ツールをインストールするための十分な領域がありません。 |
| InvalidPlatform | Azure Active Directory 同期ツールは、Windows Server 2003 Service Pack 2 以降を実行しているコンピューターにインストールする必要があります。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
| InvalidUPNFormat | ユーザー プリンシパル名 (UPN) はログオン名です。 このエラーは、ユーザーが "@" 文字を含まない Microsoft Online の資格情報を入力すると表示されます。 | イベント ビューアー | 有効な資格情報を入力します。 |
| ADCredsNotValid | 指定したエンタープライズ管理者の資格情報が無効です。 有効な資格情報を指定して、もう一度やり直してください。 | イベント ビューアー | インストール ウィザードでは、ツールのインストールに使用されるユーザー アカウントがエンタープライズ管理者であることを確認できませんでした。 |
| MachineIsDomainJoinedUserIsNot | コンピューターはドメインに参加していますが、現在のユーザー資格情報にはドメインに対するアクセス許可がありません。 | イベント ビューアー | ディレクトリ同期ツールをインストールする前に、最小要件を満たすアカウントを使用してドメイン ユーザーとしてログオンします。 |
| MachineIsNotDomainJoined | コンピューターはどのドメインにも参加していません。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
| MachineNotDomainJoined | コンピューターがドメインに参加する必要があります。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
| MIISSyncIsInProgressError | 同期エンジンがビジー状態です。 この同期セッションが完了したら、この操作を再試行してください。 | イベント ビューアー | MIIS によって既存の操作が完了しています。 新しい操作は、現在の操作が完了した後にのみ完了できます。 |
| MIISUserAddRight_AccountNotFound | アカウント名:'{0}' が見つかりませんでした。 エラー コード:{1} | イベント ビューアー | ディレクトリ同期ツールは、インストールを完了するために使用されているローカル アカウントを MIIS 管理グループに追加できませんでした。 ユーザーをグループに手動で追加して、インストールを続行します。 |
| MIISUserAddRight_AddFailed | '{0}' を '{1}' のアカウント権限に追加できませんでした。 エラー コード:{2} | イベント ビューアー | ディレクトリ同期ツールは、インストールを完了するために使用されているローカル アカウントを MIIS 管理グループに追加できませんでした。 ユーザーをグループに手動で追加して、インストールを続行します。 |
| MIISUserAddRight_PolicyHandleNotFound | ポリシー ハンドルを取得できませんでした。 エラー コード:{0} | イベント ビューアー | ディレクトリ同期ツールは、インストールを完了するために使用されているローカル アカウントを MIIS 管理グループに追加できませんでした。 ユーザーをグループに手動で追加して、インストールを続行します。 |
| PowerShellRequired | PowerShell がインストールされている必要があります。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
| UnsupportedNameFormat | 名前の形式はサポートされていません。 サポートされているユーザー名形式の 2 つの例は、 someone@example.com または example\someoneです。 |
イベント ビューアー | 有効な資格情報を入力します。 |
| UserNotAMemberOfMIISAdmins | 現在のユーザーは、Microsoft Identity Integration Server (MIIS) 管理グループのメンバーではありません。 Azure Active Directory 同期ツールを最近インストールした場合は、ログオフしてからログオンすることが必要になる場合があります。 | イベント ビューアー | ディレクトリ同期ツールの実行に使用するローカル Active Directory ユーザー アカウントを MIIS 管理グループに手動で追加します。 |
| UserNotAnEnterpriseAdmin | ユーザー '{0}' は、Enterprise Admins グループのメンバーではありません。 | イベント ビューアー | ディレクトリ同期ツールの実行に使用するローカル Active Directory ユーザー アカウントを Active Directory Enterprise 管理グループに手動で追加します。 |
| UnsupportedClientVersion | このバージョンのディレクトリ同期ツールはサポートされなくなりました。 このバージョンを削除し、Microsoft Online Services 管理センターの [移行] タブの [ディレクトリ同期] ページから最新バージョンをインストールします。 | イベント ビューアー | 最新バージョンのディレクトリ同期ツールをダウンロードします。 これを行うには、 インストールに移動するか、ディレクトリ同期ツールをアップグレードします。 |
| InternetQueryOptionError | Internet Explorer のプロキシ設定が読み取られました。 セットアップ ウィザードを使用した初期構成では、オンライン ヘルプにアクセスできない場合があります。 WinInet エラー {0} | イベント ビューアー | インストール ウィザードで、Internet Explorer のプロキシ設定を読み取ったり変更したりできませんでした。 Internet Explorer で設定されているプロキシ設定が正しく書式設定されていることを確認します。 |
| InternetSetOptionError | Internet Explorer のプロキシ設定が設定されていません。 セットアップ ウィザードを使用した初期構成では、オンライン ヘルプにアクセスできない場合があります。 WinInet エラー {0} | イベント ビューアー | インストール ウィザードで、Internet Explorer のプロキシ設定を読み取ったり変更したりできませんでした。 Internet Explorer で設定されているプロキシ設定が正しく書式設定されていることを確認します。 |
| RichCoexistenceNotAllowed | 現在のローカル ディレクトリには Exchange 2010 がインストールされていません。 リッチな共存は許可されません。 | イベント ビューアー | ディレクトリ同期ツールをインストールする前に、ハイブリッド展開のすべての前提条件をインストールします。 |
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。