本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AD Connector 故障排除
以下内容可以帮助您解决在创建或使用 AD Connector 时可能遇到的一些常见问题。
创作问题
以下是 AD Connector 的常见创建问题
我在创建目录时遇到“AZ Constrained”错误
在 2012 年之前创建的某些 Amazon 账户可能有权访问美国东部(弗吉尼亚北部)、美国西部(加利福尼亚北部)或亚太地区(东京)不支持 Amazon Directory Service 目录的可用区。如果您在创建时收到类似这样的错误Active Directory,请在不同的可用区中选择一个子网,然后再次尝试创建该目录。
我在尝试创建 AD Connector 时收到 “检测到连接问题” 错误
如果您在尝试创建 AD Connector 时收到 “检测到连接问题” 错误,则该错误可能是由于端口可用性或 AD Connector 密码复杂所致。您可以测试 AD 连接器的连接,以查看以下端口是否可用:
-
53 (DNS)
-
88 (Kerberos)
-
389 (LDAP)
要测试您的连接,请参阅测试 AD Connector。应在连接到 AD 连接器的 IP 地址关联的两个子网的实例上执行连接测试。
如果连接测试成功并且实例已加入域,请检查您的 AD Connector 的密码。AD Connector 必须满足 Amazon 密码复杂度要求。有关更多信息,请参阅中的服务帐号AD Connector 先决条件。
如果您的 AD 连接器不符合这些要求,请使用符合这些要求的密码重新创建 AD 连接器。
连接问题
以下是 AD Connector 的常见连接问题
在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误
在连接您的本地目录时,您收到类似于以下内容的错误消息:
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 AD Connector 先决条件。
-
88 (Kerberos)
-
389 (LDAP)
根据您的需求,您可能需要其他 TCP/UDP 端口。有关其中一些端口,请参阅以下列表。有关使用的端口的更多信息Active Directory,请参阅Microsoft文档中的如何为Active Directory域和信任配置防火墙
-
135(RPC 端点映射器)
-
646 (LDAP SSL)
-
3268 (LDAP GC)
-
3269 (LDAP GC SSL)
当我尝试连接我的本地目录时收到一条“DNS unavailable”错误
在连接您的本地目录时,您收到类似于以下内容的错误消息:
DNS unavailable (TCP port 53) for IP: <DNS IP address>AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 AD Connector 先决条件。
在尝试连接到我的本地目录时,我收到一条“SRV record”错误
在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息:
SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>在连接您的目录时,AD Connector 需要获取 _ldap._tcp. 和 <DnsDomainName>_kerberos._tcp. SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您将收到此错误。有关这些 SRV 记录的更多信息,请参阅 SRV record requirements。<DnsDomainName>
身份验证问题
以下是 AD Connector 的一些常见身份验证问题:
当我尝试使用智能卡登录时,我收到 “证书验证失败” 错误 Amazon WorkSpaces
当您尝试使用智能卡登录时,您会收到一条类似于以下内容的错误消息: WorkSpaces
ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.如果智能卡的证书未正确存储在使用证书的客户端上,则会发生错误。有关 AD Connector 和智能卡要求的更多信息,请参阅先决条件。
使用以下过程对智能卡在用户证书存储中存储证书的能力进行故障排除:
-
在无法访问证书的设备上,访问 Microsoft Management Console (MMC)。
重要
在继续操作之前,请创建智能卡证书的副本。
-
导航到 MMC 中的证书存储区。从证书存储中删除用户的智能卡证书。有关在 MMC 中查看证书存储的更多信息,请参阅文档中的如何:使用 MMC 管理单元查看证书
。Microsoft -
取出智能卡。
-
重新插入智能卡,使其可以在用户的证书存储区中重新填充智能卡证书。
警告
如果智能卡没有将证书重新填充到用户存储中,则无法将其用于 WorkSpaces 智能卡身份验证。
AD 连接器的服务帐户应具有以下内容:
-
my/spn已添加到服务原则名称中 -
为 LDAP 服务委派
在智能卡上重新填充证书后,应检查本地域控制器,以确定它们是否被禁止映射主题备用名称的用户主体名称 (UPN)。有关此更改的更多信息,请参阅Microsoft文档中的如何禁用 UPN 映射的主题备用名称
使用以下步骤检查您的域控制器的注册表项:
在注册表编辑器中,导航到以下 Hive 密钥
HKEY_LOCAL_MACHINE\ SYSTEM\\ 服务\ Kdc\ CurrentControlSet UseSubjectAltName
选择UseSubjectAltName。确保该值设置为 0。
注意
如果在本地域控制器上设置了注册表项,那么 AD Connector 将无法在中找到用户Active Directory并导致出现上述错误消息。
证书颁发机构 (CA) 证书应上传到 AD Connector 智能卡证书。证书应包含 OCSP 信息。以下列出了 CA 的其他要求:
-
证书应位于域控制器的可信根颁发机构、证书颁发机构服务器和 WorkSpaces。
-
脱机证书和根 CA 证书将不包含 OSCP 信息。这些证书包含有关其吊销的信息。
-
如果您使用第三方 CA 证书进行智能卡身份验证,则需要将 CA 和中间证书发布到 Active Directory NTauth 存储区。它们必须安装在所有域控制器、证书颁发机构服务器和的可信根颁发机构中 WorkSpaces。
-
您可以使用以下命令将证书发布到 Active Directory NTauth 存储区:
certutil -dspublish -fThird_Party_CA.cerNTAuthCA
-
有关向 NTauth 商店发布证书的更多信息,请参阅《使用通用访问卡访问亚马 WorkSpaces 逊 Amazon 安装指南》中的 “将颁发的 CA 证书导入企业 nTauth 商店”。
您可以按照以下步骤检查用户证书或 CA 链证书是否已通过 OCSP 验证:
-
将智能卡证书导出到本地计算机上的某个位置,例如 C: 驱动器。
-
打开命令行提示符并导航到存储导出的智能卡证书的位置。
-
输入以下 命令:
certutil -URLCertficate_name.cer -
命令后面应该会出现一个弹出窗口。选择右上角的 OCSP 选项,然后选择检索。状态应返回为已验证。
有关 certutil 命令的更多信息,请参阅文档中的 c er
AD Connector 使用的服务账户尝试进行身份验证时,我收到“Invalid Credentials”的错误消息
如果域控制器上的硬盘空间不足,则可能发生这种情况。确保域控制器的硬盘未满。
在使用 Amazon 应用程序搜索用户或群组时,我收到 “无法进行身份验证” 错误
即使 AD Connector 状态处于活动状态,在使用 Amazon 应用程序(例如 WorkSpaces 或 Amazon QuickSight)时搜索用户时也可能会遇到错误。过期的凭证可以阻止 AD Connector 在您的 Active Directory 中完成对对象的查询。使用中提供的顺序步骤更新服务帐户的密码Amazon EC2 实例的无缝域加入已停止工作。
当我尝试更新 AD Connector 服务帐户时,我收到有关我的目录凭据的错误消息
尝试更新 AD Connector 服务帐号时,您会收到一条类似于以下一条或多条错误消息:
Message:An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials.An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account CredentialsMessage:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination时间同步和 Kerberos 可能存在问题。AD Connector 向发送 Kerberos 身份验证请求。Active Directory这些请求对时间敏感,如果请求延迟,它们就会失败。要解决此问题,请参阅文档中的建议-为根 PDC 配置权威时间源并避免广泛的时间偏差
我的某些用户无法进行向我的目录进行身份验证
用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,但它不应进行修改。有关此设置的更多信息,请转到开启的预身份验证
维护问题
以下是 AD Connector 的常见维护问题
-
我的目录卡在“Requested”状态
-
Amazon EC2 实例的无缝域加入已停止工作
我的目录卡在“Requested”状态
如果有一个目录处于“Requested”状态的时间超过 5 分钟,请尝试删除并重新创建该目录。如果问题仍存在,请联系 Amazon Web Services Support
Amazon EC2 实例的无缝域加入已停止工作
如果 EC2 实例的无缝域加入之前正常工作,然后在 AD Connector 处于活动状态时停止,则表示您的 AD Connector 服务账户的凭证可能已过期。过期的凭据可能会阻止 AD Connector 在您的中创建计算机对象Active Directory。
要解决此问题,请按以下顺序更新服务账户密码,以使密码匹配:
更新您的服务帐户的密码Active Directory。
-
在中更新您的 AD Connector 中服务帐号的密码 Amazon Directory Service。有关更多信息,请参阅 在 Amazon Directory Service 中更新 AD Connector 服务账户凭证。
重要
仅在中更新密码 Amazon Directory Service 不会将密码更改推送到您现有的本地环境,Active Directory因此请务必按照上一个步骤中显示的顺序进行更改。
我无法删除我的 AD Connector
如果您的 AD Connector 切换到不可操作状态,则您将无法再访问您的域控制器。当仍有应用程序链接到 AD Connector 时,我们会阻止将其删除,因为其中一个应用程序可能仍在使用该目录。有关需要禁用才能删除 AD Connector 的应用程序列表,请参阅删除 AD Connector。如果您仍然无法删除 AD Connector,则可以通过请求帮助Amazon Web Services Support