Azure Active Directory 同期ツールのインストールと構成ウィザードのエラーのトラブルシューティング
この記事では、Azure Active Directory 同期ツールのインストールとディレクトリ同期ツール構成ウィザードの問題のトラブルシューティング方法について説明します。
元の製品バージョン: Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 Identity Management
元の KB 番号: 2684395
概要
この記事では、ディレクトリ同期ツールをインストールまたは設定するときに発生する可能性があるエラー メッセージの解決策と一般的な原因について説明します。
システム要件を確認する
次の条件がすべて満たされている場合、Azure Active Directory 同期ツールをコンピューターにインストールできます。
- Windows PowerShell 1.0 がコンピューターにインストールされています。
- ローカルの Administrators グループのメンバーとしてコンピューターにログオンしています。
- コンピューターには 64 ビット プロセッサがあります。
- コンピューターは、次のいずれかのオペレーティング システムを実行しています。
- Windows Server 2003 x64 Service Pack 2 (SP2) 以降のバージョン
- x64 ベースのバージョンの Windows Server 2008
- コンピューターはドメイン コントローラーではありません。
- コンピューターは Active Directory ドメインに参加しています。 また、Microsoft Entra IDと同期するフォレストにあります。
- Microsoft .NET Framework 3.5 以降のバージョンがコンピューターにインストールされています。
アクセス許可のチェック
ディレクトリ同期ツール構成ウィザードを正常に開始するには、ディレクトリ同期ツールがインストールされているコンピューターにログオンするユーザーは、ツールのインストール中に追加されたローカルの Microsoft Identity Integration Server (MIIS) Admins グループのメンバーである必要があります。
ディレクトリ同期ツール構成ウィザードを実行するときは、次の情報を指定する必要があります。
- オンプレミスの Active Directory スキーマのエンタープライズ管理者の資格情報
- Microsoft クラウド サービスのグローバル管理者資格情報
nltest を使用してドメイン接続を確認する
Nltest は、Windows Server に組み込まれているコマンド ライン ツールです。 Windows 10用リモート サーバー管理ツールの一部として使用できます。
ドメインのドメイン コントローラーをチェックするには、コマンド プロンプトで次のコマンドを実行します。
nltest /dsgetdc:<FQDN of the domain>
注:
このツールには
nltest
、Windows Server 2003 サポート ツールのインストールが必要です。設定が正しい場合、出力は次の例のようになります。
DC: \DC.contoso.com Address:\ <IP Address> Dom Guid: <GUID> Dom Name: contoso.com Forest Name: contoso.com DC Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully
コンピューターのサイト メンバーシップをチェックするには、コマンド プロンプトで次のコマンドを実行します。
nltest /dsgetsite
成功した結果は、次の例のようになります。
Default-First-Site-Name The command completed successfully
エラー 1: コンピューターをドメインに参加させる必要がある
この問題をトラブルシューティングするには、次の手順に従って、コンピューターのドメイン メンバーシップをチェックします。
- コンピューターにログオンします。
- [マイ コンピュータ] を右クリックし、[プロパティ] をクリックします。
- [ コンピューター名 ] タブを選択します。コンピューターがドメイン メンバーの場合、 完全なコンピューター名 は ComputerName.Domain.xxx のようになります。 ドメイン名が [ ドメイン] の横に表示されます。
コンピューターがドメイン メンバーであり、それでもエラー メッセージが表示される場合は、次のことを確認します。
- コンピューターはドメインと通信できます。
- コンピューターはドメイン コントローラーを検出できます。
そのために、以下の手順に従ってください。
コマンド ライン ツールを
ipconfig
使用して、サーバー上のドメイン ネーム システム (DNS) 設定をチェックします。問題のあるコンピューターのネットワーク プロパティに一覧表示されている DNS サーバーに ping を実行できることを確認します。
コマンド ライン ツールを
nslookup
実行します。 DNS サーバーに到達できない場合は、エラー メッセージが表示されます。 たとえば、次の例のようなエラー メッセージが表示されます。DNS 要求がタイムアウトしました。
タイムアウトは 2 秒でした。
アドレス <IP アドレス>のサーバー名が見つかりません: タイムアウト
既定のサーバー: UnKnown
アドレス: <IP アドレス>
場合によっては、コンピューターをワークグループに参加させた後、コンピューターをドメインに戻して、このエラー メッセージを解決することがあります。 コンピューターがドメインに参加できない場合は、次のいずれかの問題が示されます。
- コンピューターでドメイン コントローラーへの接続に問題が発生しています。
- Active Directory ドメインが要求を拒否しています。
エラー 2: Azure Active Directory 同期ツールが既にインストールされている
この場合、以前のインストールが保留中のため、ディレクトリ同期ツールがインストールされない可能性があります。 セットアップ パッケージは、インストール中にソフトウェアをバックグラウンドでインストールします。 この問題を解決するには、次の手順を実行します。
- コントロール パネルで、Microsoft Identity Integration Server が [プログラムの追加と削除] または [プログラムと機能] に表示されているかどうかをチェックします。 存在する場合は、削除する必要があります。
- Program Files フォルダーに 、Microsoft Identity Integration Server という名前のサブフォルダーが含まれていることを確認します。 サブフォルダーが存在する場合は、フォルダーの名前を Microsoft Identity Integration Server_Oldに変更する必要があります。
- セットアップをもう一度実行します。
その他のエラー メッセージのトラブルシューティング
すべてのディレクトリ同期ログは、イベント ビューアーで表示できます。 ディレクトリ同期に関連するすべてのイベントを表示するには、次の手順に従います。
- イベント ビューアーを開きます。
- [Windows ログ] を展開し、[アプリケーション] を展開します。
- [ 操作 ] ウィンドウで、[ 現在のログのフィルター] を選択します。
- [イベント ソース] ボックスで、[ディレクトリ同期チェック] ボックスを選択します。
- [OK] を選択します。 次の表に、エラー名、エラーの詳細、エラーソース、およびエラーの解決に役立つ手順を示します。
エラー名 | 詳細 | ソース | 解決方法 |
---|---|---|---|
AdminRequired | ディレクトリ同期をインストールするには、ローカル管理者のアクセス許可が必要です | イベント ビューアー/エラー プロンプト | |
DirSyncAlreadyInstalled | ディレクトリ同期ツールは既にインストールされています。 バージョン {0} | イベント ビューアー | 最新バージョンをインストールする前に、以前のすべてのバージョンのディレクトリ同期ツールをアンインストールします。 |
DirSyncInstallKeyNotRemoved | Windows インストーラーは、Azure Active Directory 同期 MSI からアンインストール レジストリ キーを削除できませんでした。 アンインストールを再試行するか、Microsoft Online サポートにお問い合わせください。 | イベント ビューアー | レジストリ キーを手動で削除してインストールを完了します。 |
DirSyncNotInstalledError | このマシンで Azure Active Directory 同期ツールの完全なインストールが検出されませんでした。 このツールの任意のバージョンをアンインストールしてから、最新バージョンを再インストールしてください。 | イベント ビューアー | 最新バージョンをインストールする前に、以前のすべてのバージョンのディレクトリ同期ツールをアンインストールします。 |
ErrorReRunConfigWizard | 構成の問題が原因で同期を開始できません。 問題を解決するには、構成ウィザードを実行してみてください。 このエラーが引き続き表示される場合は、Microsoft Online サポートにお問い合わせください。 | イベント ビューアー | ディレクトリ同期ツールの構成ウィザードを実行します。 |
WindowsInstaller45Required | インストールには、Microsoft Windows インストーラー 4.5 が必要です。 Microsoft Windows インストーラー 4.5 をインストールして、もう一度お試しください。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
ErrorClearRunHistory | MIIS サーバーの実行履歴を消去できませんでした。 返されるエラーは ''{0} です。 Microsoft Online サポートにお問い合わせください。 | イベント ビューアー | |
ErrorNoStartConnection | 接続の問題が原因で同期を開始できませんでした。または、サーバーからドメイン コントローラーに接続できませんでした。 サーバーに接続されていて、構成されているすべてのドメイン コントローラーがネットワークに接続されていることを確認します。 ドメインまたは名前付けコンテキストを最近削除した場合は、構成ウィザードを再実行してください。 | イベント ビューアー | ディレクトリ同期ツールを実行しているサーバーからローカル Active Directory ドメイン コントローラーにアクセスできることを確認します。 |
ErrorNoStartCredentials | 資格情報の問題のため、同期を開始できませんでした。 構成ウィザードを再実行して、同期の資格情報を更新します。 | イベント ビューアー | ディレクトリ同期ツール構成ウィザードを実行し、資格情報を再入力します。 また、資格情報にポータルへの管理者アクセス権があることを確認します。 |
ErrorNoStartNoDomainController | ドメイン コントローラーにサーバーが接続できなかったため、同期を開始できませんでした。 ドメイン コントローラーがネットワークに接続されていることを確認します。 | イベント ビューアー | ディレクトリ同期ツールを実行しているサーバーからローカル Active Directory ドメイン コントローラーにアクセスできることを確認します。 |
ErrorStoppedConnectivity | 接続が失われたため、同期が停止しました。 サーバーへの接続を復元します。 | ローカル コンピューターがインターネットにアクセスできることを確認します。 ユーザーに ping provisioning.microsoftonline.com を実行して、コンピューターがMicrosoft Entra認証システムに到達できることを確認させます。 |
|
ErrorStoppedDatabaseDiskFull | 同期サーバーによって使用されるSQL Server データベースがいっぱいであるため、同期が停止しました。 SQL Server データベースにスペースを作成します。 | イベント ビューアー | ディレクトリ同期 SQL データベースを保持するために使用するストレージの領域を解放します。 問題が解決しない場合、ディレクトリ同期ツールは正常に実行できず、SQL データベースが完全に破損している可能性があります。 |
InstallNotAllowedOnDomainController | ドメイン コントローラーに Microsoft Online Services 共存をインストールすることはできません。 | イベント ビューアー | ディレクトリ同期ツールは、ドメイン コントローラーではないドメインに参加しているコンピューターにのみインストールできます。 |
InstallPathLengthTooLong | インストール パスが長すぎます。 116 文字以下のパスを指定してから、もう一度やり直してください。 | イベント ビューアー | ディレクトリ同期ツールのインストールにカスタム パスを使用する場合、合計パスの文字数は 116 文字未満にする必要があります。 |
InsufficientDiskSpace | ディスク領域が不足している | イベント ビューアー | ローカル ワークステーションにディレクトリ同期ツールをインストールするための十分な領域がありません。 |
InvalidPlatform | Azure Active Directory 同期ツールは、Windows Server 2003 Service Pack 2 以降を実行しているコンピューターにインストールする必要があります。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
InvalidUPNFormat | ユーザー プリンシパル名 (UPN) はログオン名です。 このエラーは、ユーザーが "@" 文字を含まない Microsoft Online の資格情報を入力したときに表示されます。 | イベント ビューアー | 有効な資格情報を入力します。 |
ADCredsNotValid | 指定したエンタープライズ管理者の資格情報が無効です。 有効な資格情報を指定し、やり直してください。 | イベント ビューアー | インストール ウィザードでは、ツールのインストールに使用されるユーザー アカウントがエンタープライズ管理者であることを確認できませんでした。 |
MachineIsDomainJoinedUserIsNot | コンピューターはドメインに参加していますが、現在のユーザー資格情報にはドメインに対するアクセス許可がありません。 | イベント ビューアー | ディレクトリ同期ツールをインストールする前に、最小要件を満たすアカウントを使用してドメイン ユーザーとしてログオンします。 |
MachineIsNotDomainJoined | コンピューターはどのドメインにも参加していません。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
MachineNotDomainJoined | コンピューターはドメインに参加している必要があります。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
MIISSyncIsInProgressError | 同期エンジンがビジー状態です。 この同期セッションが完了したら、この操作を再試行してください。 | イベント ビューアー | MIIS によって完了されている既存の操作があります。 新しい操作は、現在の操作が完了した後にのみ完了できます。 |
MIISUserAddRight_AccountNotFound | アカウント名:'{0}' が見つかりませんでした。 エラー コード:{1} | イベント ビューアー | ディレクトリ同期ツールは、MIIS 管理 グループへのインストールを完了するために使用されているローカル アカウントを追加できませんでした。 ユーザーをグループに手動で追加して、インストールを続行します。 |
MIISUserAddRight_AddFailed | '{0}' のアカウント権限に '{1}' を追加できませんでした。 エラー コード:{2} | イベント ビューアー | ディレクトリ同期ツールは、MIIS 管理 グループへのインストールを完了するために使用されているローカル アカウントを追加できませんでした。 ユーザーをグループに手動で追加して、インストールを続行します。 |
MIISUserAddRight_PolicyHandleNotFound | ポリシー ハンドルを取得できませんでした。 エラー コード:{0} | イベント ビューアー | ディレクトリ同期ツールは、MIIS 管理 グループへのインストールを完了するために使用されているローカル アカウントを追加できませんでした。 ユーザーをグループに手動で追加して、インストールを続行します。 |
PowerShellRequired | PowerShell をインストールする必要があります。 | イベント ビューアー | ディレクトリ同期ツールがインストールされているサーバーが最小要件を満たしていることを確認します。 |
UnsupportedNameFormat | 名前の形式はサポートされていません。 サポートされているユーザー名形式の 2 つの例は、 someone@example.com または です example\someone 。 |
イベント ビューアー | 有効な資格情報を入力します。 |
UserNotAMemberOfMIISAdmins | 現在のユーザーは、Microsoft Identity Integration Server (MIIS) 管理 グループのメンバーではありません。 Azure Active Directory 同期ツールを最近インストールした場合は、ログオフしてからログオンする必要がある場合があります。 | イベント ビューアー | ディレクトリ同期ツールの実行に使用するローカル Active Directory ユーザー アカウントを MIIS 管理 グループに手動で追加します。 |
UserNotAnEnterpriseAdmin | ユーザー '{0}' は Enterprise Admins グループのメンバーではありません。 | イベント ビューアー | ディレクトリ同期ツールを実行するために使用するローカル Active Directory ユーザー アカウントを Active Directory Enterprise 管理 グループに手動で追加します。 |
UnsupportedClientVersion | このバージョンのディレクトリ同期ツールはサポートされなくなりました。 このバージョンを削除し、Microsoft Online Services 管理センターの [移行] タブの [ディレクトリ同期] ページから最新バージョンをインストールします。 | イベント ビューアー | 最新バージョンのディレクトリ同期ツールをダウンロードします。 これを行うには、[ ディレクトリ同期ツールのインストールまたはアップグレード] に移動します。 |
InternetQueryOptionError | インターネット エクスプローラープロキシ設定が読み取りされませんでした。 セットアップ ウィザードを使用した初期構成では、オンライン ヘルプにアクセスできない場合があります。 WinInet エラー {0} | イベント ビューアー | インストール ウィザードで、インターネット エクスプローラーのプロキシ設定を読み取ったり変更したりできませんでした。 インターネット エクスプローラーで設定されているプロキシ設定が正しく書式設定されていることを確認します。 |
InternetSetOptionError | インターネット エクスプローラー プロキシ設定が設定されていません。 セットアップ ウィザードを使用した初期構成では、オンライン ヘルプにアクセスできない場合があります。 WinInet エラー {0} | イベント ビューアー | インストール ウィザードで、インターネット エクスプローラーのプロキシ設定を読み取ったり変更したりできませんでした。 インターネット エクスプローラーで設定されているプロキシ設定が正しく書式設定されていることを確認します。 |
RichCoexistenceNotAllowed | 現在のローカル ディレクトリに Exchange 2010 がインストールされていません。 リッチ共存は許可されません。 | イベント ビューアー | ディレクトリ同期ツールをインストールする前に、ハイブリッド展開のすべての前提条件をインストールします。 |
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。