自托管式 Active Directory 问题排查
以下是您在设置或修改自托管式 AD 时可能遇到的问题。
| 错误代码 | 描述 | 常见原因 | 故障排除建议 |
|---|---|---|---|
错误 2/0x2 |
|
使用 |
查看 |
错误 5/0x5 |
|
域服务账户的权限配置不正确,或者域中已经存在该计算机账户。 |
查看域中的域服务账户权限,并验证 RDS 计算机账户在域中是否重复。您可以通过在 RDS for SQL Server 数据库实例上运行 |
错误 87/0x57 |
|
通过 Amazon Secrets Manager 指定的域服务账户不具备相应的权限。用户配置文件也可能已损坏。 |
查看域服务账户的要求。有关更多信息,请参阅 配置您的 AD 域服务账户。 |
错误 234/0xEA |
|
使用 |
查看 |
错误 1326/0x52E |
|
Amazon Secrets Manager 中提供的域服务账户凭证包含未知的用户名或错误的密码。您的自托管式 AD 中也可能已禁用域账户。 |
确保 Amazon Secrets Manager 中提供的凭证正确无误,并且在您的自托管式 AD 中启用了域账户。 |
错误 1355/0x54B |
|
域已关闭、指定的 DNS IP 集无法访问,或指定的 FQDN 无法访问。 |
查看 |
错误 1722/0x6BA |
|
连接您的 AD 域的 RPC 服务时出现问题。这可能由于服务或网络问题导致。 |
验证 RPC 服务是否正在您的域控制器上运行,以及是否可以在您的域上从 RDS for SQL Server 数据库实例访问 TCP 端口 |
|
错误 1727 / 0x6BF |
|
网络连接问题或防火墙限制阻碍了与域控制器的 RPC 通信。 |
如果使用跨 VPC 域加入,请使用 VPC 对等连接或 Transit Gateway 验证跨 VPC 通信的设置是否正确。确保您的 RDS for SQL Server 数据库实例能访问域中的 TCP 高端口 |
错误 2224/0x8b0 |
|
正在尝试添加到您自托管式 AD 的计算机账户已经存在。 |
通过在您的 RDS for SQL Server 数据库实例上运行 |
错误 2242/0x8c2 |
|
通过 Amazon Secrets Manager 指定的域服务账户的密码已过期。 |
更新用于将 RDS for SQL Server 数据库实例加入自托管式 AD 的域服务账户的密码。 |
将数据库实例加入自托管式 Active Directory 域后,您可能会收到与您的域运行状况相关的 RDS 事件。
Unhealthy domain state detected while attempt to verify or configure your Kerberos endpoint in your domain on nodenode_n. message
对于多可用区实例,您可能会注意到 node1 和 node2 的错误报告,这表明您的实例的 Kerberos 配置尚未准备好进行失效转移。在失效转移时,使用 Kerberos 可能会遇到身份验证问题。解决配置问题,确保 Kerberos 设置有效且最新。对于多可用区实例,只要所有网络和权限配置都已到位,则无需执行任何操作即可在新的主要主机上使用 Kerberos 身份验证。
对于单可用区实例,node1 是主节点。如果您的 Kerberos 身份验证未按预期运行,请检查实例事件并解决配置问题,确保 Kerberos 设置有效且最新。