AD Connector 故障排除 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AD Connector 故障排除

以下内容可以帮助排查在创建或使用 AD Connector 时可能会遇到的一些常见问题。

创建问题

我在创建目录时遇到“AZ Constrained”错误

2012 年之前创建的某些 Amazon 账户可能有权访问美国东部(弗吉尼亚州北部)、美国西部(北加利福尼亚)或亚太地区(东京)中不支持 Amazon Directory Service 目录的可用区。如果在创建 Active Directory 时收到错误(如上面的错误),请选择其他可用区中的子网并再次尝试创建目录。

当我尝试创建 AD Connector 时收到“Connectivity issues detected”错误

如果您在尝试创建 AD Connector 时收到“Connectivity issue detected”错误,则该错误可能是由于端口可用性或 AD Connector 密码复杂所致。您可以测试 AD Connector 的连接,以查看以下端口是否可用:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

要测试您的连接,请参阅测试 AD Connector。应在加入到 AD Connector 的 IP 地址关联的两个子网的实例上执行连接测试。

如果连接测试成功并且实例已加入域,请检查 AD Connector 的密码。AD Connector 必须满足 Amazon 密码复杂度要求。有关更多信息,请参阅 AD Connector 先决条件中的服务账户。

如果您的 AD Connector 不符合这些要求,请使用符合这些要求的密码重新创建 AD Connector。

连接问题

在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误

在连接您的本地目录时,您收到类似于以下内容的错误消息:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 AD Connector 先决条件

  • 88 (Kerberos)

  • 389 (LDAP)

根据您的需求,您可能需要其他 TCP/UDP 端口。有关其中一些端口,请参阅以下列表。有关 Active Directory 使用的端口的更多信息,请参阅 Microsoft 文档中的如何为 Active Directory 域和信任配置防火墙

  • 135(RPC 端点映射器)

  • 646(LDAP SSL)

  • 3268(LDAP GC)

  • 3269(LDAP GC SSL)

当我尝试连接我的本地目录时收到一条“DNS unavailable”错误

在连接您的本地目录时,您收到类似于以下内容的错误消息:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 AD Connector 先决条件

在尝试连接到我的本地目录时,我收到一条“SRV record”错误

在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

在连接您的目录时,AD Connector 需要获取 _ldap._tcp.<DnsDomainName>_kerberos._tcp.<DnsDomainName> SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您将收到此错误。有关这些 SRV 记录的更多信息,请参阅 SRV record requirements

身份验证问题

当我尝试使用智能卡登录 Amazon WorkSpaces 时收到“Certificate Validation failed”错误

当您尝试使用智能卡登录 WorkSpaces 时,将会收到与以下内容类似的错误消息:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

如果智能卡的证书未正确存储在使用证书的客户端上,则会出现错误。有关 AD Connector 和智能卡要求的更多信息,请参阅先决条件

按照以下过程对智能卡在用户证书存储中存储证书的功能进行故障排除:
  1. 在无法访问证书的设备上,访问 Microsoft Management Console(MMC)。

    重要

    在继续操作之前,请创建智能卡证书的副本。

  2. 导航到 MMC 中的证书存储。从证书存储中删除用户的智能卡证书。有关在 MMC 中查看证书存储的更多信息,请参阅 Microsoft 文档中的操作方法:使用 MMC 管理单元查看证书

  3. 移除智能卡。

  4. 重新插入智能卡,使其可以在用户的证书存储中重新填充智能卡证书。

    警告

    如果智能卡未将证书重新填充到用户存储中,则无法将其用于 WorkSpaces 智能卡身份验证。

AD Connector 的服务账户应具备以下条件:

  • my/spn 已添加到服务主体名称中

  • 为 LDAP 服务委派

在智能卡上重新填充证书后,应检查本地域控制器,以确定它们是否被阻止将用户主体名称(UPN)映射用于使用者可选名称。有关此更改的更多信息,请参阅 Microsoft 文档中的如何禁用 UPN 映射的使用者可选名称

按照以下过程检查您的域控制器的注册表项:
  1. 注册表编辑器中,导航到以下配置单元项

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName

  2. 选择 UseSubjectAltName。确保将值设置为 0。

注意

如果在本地域控制器上设置了注册表项,则 AD Connector 将无法在 Active Directory 中找到用户并导致出现上述错误消息。

证书颁发机构(CA)证书应上传到 AD Connector 智能卡证书。证书应包含 OCSP 信息。以下列出了 CA 的其他要求:

  • 证书应位于域控制器、证书颁发机构服务器和 WorkSpaces 的可信根颁发机构中。

  • 脱机证书和根 CA 证书将不包含 OSCP 信息。这些证书包含有关其吊销的信息。

  • 如果您使用第三方 CA 证书进行智能卡身份验证,则需要将 CA 和中间证书发布到 Active Directory NTAuth 存储。它们必须安装在所有域控制器、证书颁发机构服务器和 WorkSpaces 的可信根颁发机构中。

    • 您可以使用以下命令将证书发布到 Active Directory NTAuth 存储:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

有关向 NTAuth 存储发布证书的更多信息,请参阅《Access Amazon WorkSpaces with Common Access Cards Installation Guide》中的 Import the issuing CA certificate into the Enterprise NTAuth store

您可以按照以下过程检查用户证书或 CA 链证书是否已通过 OCSP 验证:
  1. 将智能卡证书导出到本地计算机上的某个位置,例如 C: 驱动器。

  2. 打开命令行提示符并导航到存储导出的智能卡证书的位置。

  3. 输入以下 命令:

    certutil -URL Certficate_name.cer
  4. 命令后应显示一个弹出窗口。选择右上角的 OCSP 选项,然后选择检索。状态应返回为已验证。

有关 certutil 命令的更多信息,请参阅 Microsoft 文档中的 certutil

AD Connector 使用的服务账户尝试进行身份验证时,我收到“Invalid Credentials”的错误消息

如果域控制器上的硬盘空间不足,则可能发生这种情况。确保域控制器的硬盘未满。

使用 Amazon 应用程序搜索用户或组时,我收到“Unable to Authenticate”的错误消息

在使用 Amazon 应用程序(例如 WorkSpaces 或 Amazon QuickSight)的同时搜索用户可能会遇到错误,即使 AD Connector 状态为活动时也是如此。过期的凭证可以阻止 AD Connector 在您的 Active Directory 中完成对对象的查询。请使用 Amazon EC2 实例的无缝域加入导致停止工作中提供的有序步骤更新服务账户的密码。

当我尝试更新 AD Connector 服务账户时收到有关我的目录凭证的错误

尝试更新 AD Connector 服务账户时,您会收到类似于以下一条或多条内容的错误消息:

Message:An Error Has Occurred Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred Your directory needs a credential update. Please update the directory credentials following Update your AD Connector Service Account Credentials
Message: An Error Has Occurred Your request has a problem. Please see the following details. There was an error with the service account/password combination

时间同步和 Kerberos 可能存在问题。AD Connector 向 Active Directory 发送 Kerberos 身份验证请求。这些请求具有时效性,如果延迟处理,它们将会失败。要解决此问题,请参阅 Microsoft 文档中的建议:使用权威时间源配置根 PDC 并避免普遍的时间偏差。有关时间服务和同步的更多信息,请参阅下文:

我的某些用户无法进行向我的目录进行身份验证

用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,但它不应进行修改。有关此设置的更多信息,请参阅 Microsoft TechNet 上的 Preauthentication

维护问题

以下是 AD Connector 的常见维护问题
  • 我的目录卡在“Requested”状态

  • Amazon EC2 实例的无缝域加入导致停止工作

我的目录卡在“Requested”状态

如果有一个目录处于“Requested”状态的时间超过 5 分钟,请尝试删除并重新创建该目录。如果问题仍存在,请联系 Amazon Web Services Support

Amazon EC2 实例的无缝域加入导致停止工作

如果 EC2 实例的无缝域加入之前正常工作,然后在 AD Connector 处于活动状态时停止,则表示您的 AD Connector 服务账户的凭证可能已过期。过期的凭证可能阻止 AD Connector 在您的 Active Directory 中创建计算机对象。

要解决此问题,请按以下顺序更新服务账户密码,以使密码匹配:
  1. 在 Active Directory 中更新服务账户的密码。

  2. 在 Amazon Directory Service 的 AD Connector 中更新服务账户的密码。有关更多信息,请参阅 在 Amazon Web Services Management Console中更新 AD Connector 服务账户凭证

重要

仅在 Amazon Directory Service 中更新密码无法将密码更改推送到现有本地 Active Directory,因此务必按上一个过程中显示的顺序进行更新。

我无法删除我的 AD Connector

如果您的 AD Connector 切换到不可操作状态,则您将无法再访问您的域控制器。当仍有应用程序链接到 AD Connector 时,我们会阻止将其删除,因为其中一个应用程序可能仍在使用该目录。有关为删除 AD Connector 而需要禁用的应用程序列表,请参阅删除 AD Connector。如果您仍然无法删除 AD Connector,则可以通过 Amazon Web Services Support请求帮助。