排查 AD Connector - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查 AD Connector

以下内容可以帮助排查在创建或使用目录时可能会遇到的一些常见问题。

下面是 AD Connector 的一些常见问题。

EC2 实例的无缝域加入停止工作

如果 EC2 实例的无缝域加入之前正常工作,然后在 AD Connector 激活时停止,则表示您的凭证可能已过期。过期的凭证可能阻止 AD Connector 在 Active Directory 中创建计算机对象。

要解决此问题,请按以下顺序更新服务账户密码,以使密码匹配:

  1. 在 Active Directory 中更新服务账户的密码

  2. 在中的 AD Connector 中更新服务账户的密码Amazon Directory Service

仅在 Amazon Directory Service 中更新密码无法将密码更改推送到现有本地 Active Directory,因此务必按显示的顺序进行更新。

使用时,我遇到 “Invalid Credentials” 错误Amazon搜索用户或组的应用

使用时搜索用户时可能会遇到错误Amazon应用程序,例如 WorkSpaces 或 Amazon QuickSight,即使 AD Connector 状态处于活动状态。过期的凭证可能阻止 AD Connector 完成对 Active Directory 中的对象的查询。请使用上面提供的有序步骤更新服务账户的密码。

当我尝试连接我的本地目录时收到一条“DNS unavailable”错误

在连接您的本地目录时,您收到类似于以下内容的错误消息:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 AD Connetor

在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误

在连接您的本地目录时,您收到类似于以下内容的错误消息:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 AD Connetor

  • 88 (Kerberos)

  • 389 (LDAP)

在尝试连接到我的本地目录时,我收到一条“SRV record”错误

在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector 需要获取_ldap._tcp.<DnsDomainName>_kerberos._tcp.<DnsDomainName>在连接您的目录时,SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您将收到此错误。有关这些 SRV 记录的更多信息,请参阅 SRV record requirements

我的目录卡在“Requested”状态

如果有一个目录处于“Requested”状态的时间超过 5 分钟,请尝试删除并重新创建该目录。如果此问题仍然存在,请联系Amazon Web Services SupportCenter.

我在创建目录时遇到“AZ Constrained”错误

一段时间Amazon2012 年之前创建的账户可能有权访问美国东部(弗吉利亚北部)、美国西部(加利福利亚北部)或亚太地区(东京)区域中不支持的可用区域Amazon Directory Service目录。如果在创建目录时遇到错误 (如上面的错误),请选择其他可用区中的子网,再尝试创建目录。

我的某些用户无法进行向我的目录进行身份验证

用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,但它不应进行修改。有关此设置的更多信息,请参阅 Microsoft TechNet 上的 Preauthentication

AD Connector 使用的服务账户尝试进行身份验证时,我遇到 “Invalid Credentials” 错误

如果域控制器上的硬盘空间不足,则可能发生这种情况。确保域控制器的硬盘未满。

我无法删除我的 AD Connector

如果 AD Connector 切换到不可操作状态,则无法再访问域控制器。当还有应用程序链接到 AD Connector 时,我们会阻止删除 AD Connector,因为其中一个应用程序可能仍在使用该目录。请联系 Amazon Support