本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AD Connector 故障排除
以下内容可以帮助排查在创建或使用 AD Connector 时可能会遇到的一些常见问题。
创建问题
以下是 AD Connector 的常见创建问题
我在创建目录时遇到“AZ Constrained”错误
在 2012 年之前创建的某些 Amazon 账户可能有权访问美国东部(弗吉尼亚北部)、美国西部(加利福尼亚北部)或亚太地区(东京)不支持 Amazon Directory Service 目录的可用区。如果在创建 Active Directory 时收到错误(如上面的错误),请选择其他可用区中的子网并再次尝试创建目录。
当我尝试创建 AD Connector 时收到“Connectivity issues detected”错误
如果您在尝试创建 AD Connector 时收到“Connectivity issue detected”错误,则该错误可能是由于端口可用性或 AD Connector 密码复杂所致。您可以测试 AD Connector 的连接,以查看以下端口是否可用:
-
53 (DNS)
-
88 (Kerberos)
-
389 (LDAP)
要测试您的连接,请参阅测试 AD Connector。应在加入到 AD Connector 的 IP 地址关联的两个子网的实例上执行连接测试。
如果连接测试成功并且实例已加入域,请检查您的 AD Connector 的密码。AD Connector 必须满足 Amazon 密码复杂度要求。有关更多信息,请参阅 AD Connector 先决条件中的服务账户。
如果您的 AD Connector 不符合这些要求,请使用符合这些要求的密码重新创建 AD Connector。
我收到 “连接目录时遇到内部服务错误。请重试该操作。” 我创建 AD Connector 时出错
当 AD Connector 无法创建并且无法连接到自管理Active Directory域的有效域控制器时,通常会发生此错误。
注意
作为最佳实践,如果您的自管理网络已定义Active Directory站点,则必须确保以下几点:
-
您的 AD Connector 所在的 VPC 子网是在 Active Directory 站点中定义的。
-
您的 VPC 子网与其他站点中的子网之间不存在冲突。
AD Connector 使用子网 IP 地址范围接近包含 AD 连接器的 VPC 中子网 IP 地址范围的Active Directory站点来发现您的 AD 域控制器。如果您的站点的子网与您的 VPC 中的子网具有相同的 IP 地址范围,AD Connector 将发现该站点中的域控制器。域控制器实际上可能不靠近您的 AD Connector 所在的区域。
-
在客户管理的域中创建的 DNS SRV 记录(这些记录使用以下语法:
_ldap._tcp.<DnsDomainName>和_kerberos._tcp.<DnsDomainName>)不一致。Active Directory当 AD Connector 无法根据这些 SRV 记录找到并连接到有效的域控制器时,就会发生这种情况。 -
AD Connector 与客户管理的 AD(例如防火墙设备)之间的网络问题。
您可以在域控制器、DNS 服务器和目录网络接口的 VPC 流日志上使用网络数据包捕获
连接问题
以下是 AD Connector 的常见连接问题
在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误
连接到本地目录时,您会收到一条类似于以下内容的错误消息:检测到连接问题:IP 的 LDAP 不可用(TCP 端口 389):IP 操作。<IP address> Kerberos/authentication 不可用(TCP 端口 88):<IP
address>请确保列出的端口可用并重试该
AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 AD Connector 先决条件。
-
88 (Kerberos)
-
389 (LDAP)
根据您的需求,您可能需要其他 TCP/UDP 端口。有关其中一些端口,请参阅以下列表。有关 Active Directory 使用的端口的更多信息,请参阅 Microsoft 文档中的如何为 Active Directory 域和信任配置防火墙
-
135(RPC 端点映射器)
-
646(LDAP SSL)
-
3268(LDAP GC)
-
3269(LDAP GC SSL)
当我尝试连接我的本地目录时收到一条“DNS unavailable”错误
在连接您的本地目录时,您收到类似于以下内容的错误消息:
DNS unavailable (TCP port 53) for IP: <DNS IP address>AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 AD Connector 先决条件。
在尝试连接到我的本地目录时,我收到一条“SRV record”错误
在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息:
SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>在连接您的目录时,AD Connector 需要获取 _ldap._tcp. 和 <DnsDomainName>_kerberos._tcp. SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您将收到此错误。有关这些 SRV 记录的更多信息,请参阅 SRV record requirements。<DnsDomainName>
身份验证问题
下面是 AD Connector 的一些常见身份验证问题:
当我尝试使用智能卡登录时,我收到 “证书验证失败” 错误 Amazon WorkSpaces
当您尝试使用智能卡登录时,您会收到一条类似于以下内容 WorkSpaces 的错误消息:错误:证书验证失败。请重启浏览器或应用程序,然后重试,并确保选择正确的证书。如果智能卡的证书未正确存储在使用证书的客户端上,则会发生错误。有关 AD Connector 和智能卡要求的更多信息,请参阅先决条件。
使用以下过程对智能卡在用户证书存储中存储证书的能力进行故障排除:
-
在无法访问证书的设备上,访问 Microsoft Management Console(MMC)。
重要
在继续操作之前,请创建智能卡证书的副本。
-
导航到 MMC 中的证书存储。从证书存储中删除用户的智能卡证书。有关在 MMC 中查看证书存储的更多信息,请参阅 Microsoft 文档中的操作方法:使用 MMC 管理单元查看证书
。 -
移除智能卡。
-
重新插入智能卡,使其可以在用户的证书存储区中重新填充智能卡证书。
警告
如果智能卡没有将证书重新填充到用户存储中,则无法将其用于 WorkSpaces 智能卡身份验证。
AD Connector 的服务账户应具备以下条件:
-
my/spn已添加到服务主体名称中 -
为 LDAP 服务委派
在智能卡上重新填充证书后,应检查本地域控制器,以确定它们是否被阻止将用户主体名称(UPN)映射用于使用者可选名称。有关此更改的更多信息,请参阅 Microsoft 文档中的如何禁用 UPN 映射的使用者可选名称
按照以下过程检查您的域控制器的注册表项:
-
在注册表编辑器中,导航到以下配置单元项
HKEY_LOCAL_MACHINE\ SYSTEM\ SYSTEM\\ 服务\ CurrentControlSet UseSubjectAltName
-
检查以下项的值 UseSubjectAltName:
-
如果该值设置为 0,则禁用主题备用名称映射,并且您必须将给定证书仅显式映射到 1 个用户。如果证书映射到多个用户,并且此值为 0,则使用该证书登录将失败。
-
如果该值未设置或设置为 1,则必须将给定证书显式映射到 1 个用户,或者使用主题备用名称字段进行登录。
-
如果证书上存在 “使用者备用名称” 字段,则会对其进行优先排序。
-
如果证书上不存在 “使用者备用名称” 字段,并且该证书已显式映射到多个用户,则使用该证书登录将失败。
-
-
-
注意
如果在本地域控制器上设置了注册表项,则 AD Connector 将无法在 Active Directory 中找到用户并导致出现上述错误消息。
证书颁发机构(CA)证书应上传到 AD Connector 智能卡证书。证书应包含 OCSP 信息。以下列出了 CA 的其他要求:
-
证书应位于域控制器的可信根颁发机构、证书颁发机构服务器和 WorkSpaces。
-
脱机证书和根 CA 证书将不包含 OSCP 信息。这些证书包含有关其吊销的信息。
-
如果您使用第三方 CA 证书进行智能卡身份验证,则需要将 CA 和中间证书发布到Active Directory NTAuth 存储区。它们必须安装在所有域控制器、证书颁发机构服务器和的可信根颁发机构中 WorkSpaces。
-
您可以使用以下命令将证书发布到Active Directory NTAuth 存储区:
certutil -dspublish -fThird_Party_CA.cerNTAuthCA
-
有关向 NTAuth 商店发布证书的更多信息,请参阅 Access A mazon WorkSpaces 中的 “使用通用访问卡安装指南” 中将颁发的 CA 证书导入企业 NTAuth 商店。
您可以按照以下过程检查用户证书或 CA 链证书是否已通过 OCSP 验证:
-
将智能卡证书导出到本地计算机上的某个位置,例如 C: 驱动器。
-
打开命令行提示符并导航到存储导出的智能卡证书的位置。
-
输入以下命令:
certutil -URLCertficate_name.cer -
命令后应显示一个弹出窗口。选择右上角的 OCSP 选项,然后选择检索。状态应返回为已验证。
有关 certutil 命令的更多信息,请参阅 Microsoft 文档中的 certutil
AD Connector 使用的服务账户尝试进行身份验证时,我收到“Invalid Credentials”的错误消息
如果域控制器上的硬盘空间不足,则可能发生这种情况。确保域控制器的硬盘未满。
当我尝试更新 AD Connector 服务帐户时,我收到 “发生错误” 或 “意外错误”
在 Amazon Cons WorkSpaces ole Launch Wi zard 等 Amazon 企业应用程序中搜索用户时会出现以下错误或症状:
-
发生了错误。如果您仍然遇到问题,请通过社区论坛和 Amazon Premium Support 与 Amazon Web Services 支持 团队联系。 -
发生了错误。您的目录需要更新凭证。请更新目录凭证。
如果您尝试在 AD Connector 中更新您的 AD Connector 服务帐号凭证,则可能会收到以下错误消息:
-
意外错误。发生了意外错误。 -
发生了错误。服务 account/password 组合出现错误。请再试一次。
AD Connector 目录的服务帐户位于客户管理的帐户中Active Directory。该帐户用作身份,代表 Amazon 企业应用程序通过 AD Connector 对客户管理的Active Directory域执行查询和操作。AD Connector 使用 Kerberos 和 LDAP 来执行这些操作。
以下列表解释了这些错误消息的含义:
-
时间同步和 Kerberos 可能存在问题。AD Connector 向 Active Directory 发送 Kerberos 身份验证请求。这些请求具有时效性,如果延迟处理,它们将会失败。确保任何客户托管的域控制器之间没有时间同步问题。要解决此问题,请参阅文档中的建议-为根 PDC 配置权威时间源并避免广泛的时间偏差
。Microsoft有关时间服务和同步的更多信息,请参阅以下内容: -
在 AD Connector 和客户托管的域控制器之间具有网络 MTU
限制(例如防火墙或 VPN 硬件配置)的中间网络设备可能会由于网络碎片 而导致此错误。 -
要验证 MTU 限制,您可以在您的客户托管域控制器和在通过 AD Connector 连接的目录子网中启动的 Amazon EC2 实例之间执行 P ing 测试
。帧大小不应大于默认大小 1500 字节 -
ping 测试将帮助您了解帧大小是否超过 1500 字节(也称为巨型帧),并且它们无需分段即可到达 AD Connector VPC 和子网。进一步与您的网络团队核实,并确保允许在中间网络设备上使用巨型帧。
-
-
如果在 AD Connector 上启用了客户端 LDAPS,并且证书已过期,则可能会遇到此问题。确保服务器端证书和 CA 证书均有效、未过期且符合LDAPs文档中的要求。
-
如果在客户管理的Active Directory域中禁用了虚拟列表视图支持
,则 Amazon 应用程序将无法搜索用户,因为 AD Connector 在 LDAP 查询中使用 VLV 搜索。当 “禁用” 设置为非零值时,“虚拟列表视图支持” 将被禁用VLVSupport 。Active Directory使用以下步骤确保启用虚拟列表视图 (VLV) Supp ort: -
使用具有架构管理员凭据的帐户,以架构管理员角色所有者的身份登录到域控制器。
-
选择 “开始”,然后选择 “运行”,然后输入
Adsiedit.msc。 -
在 ADSI 编辑工具中,Connect 到配置分区,然后展开配置 [DomainController] 节点。
-
展开 cn=Configuration,DC DomainName = 容器。
-
展开 cn=Services 对象。
-
展开 cn=Windows NT 对象。
-
选择 CN=Directory Service 对象。选择“Properties”。
-
在 “属性” 列表中,选择 MSDS 其他设置。选择编辑。
-
在 “值” 列表中,选择 “禁用 VLVSupport =x”(其中 x 不等于 0)的任何实例,然后选择 “删除”。
-
删除后,输入
DisableVLVSupport=0。选择添加。 -
选择确定。您可以关闭 ADSI 编辑工具。下图显示了 “ADSI 编辑” 窗口中的 “多值字符串编辑器” 对话框:
注意
在拥有超过 100,000 个用户的大型Active Directory基础设施中,您可能只能搜索特定用户。但是,如果您尝试同时列出所有用户(例如,在 La WorkSpaces unch Wizard 中显示所有用户),则即使启用了 VLV Support,也可能导致相同的错误。AD Connector 要求使用子树索引对属性 “CN” 的结果进行排序。子树索引是一种索引,它使域控制器为执行虚拟列表视图 (LDAP) 搜索操作做好准备,允许 AD Connector 完成排序搜索。此索引改进了 VLV 搜索并防止使用名MaxTempTableSize
为的临时数据库表。此表的大小可能有所不同,但默认情况下,最大条目数为 10000(默认查询策略的 MaxTempTableSize 设置)。增大 MaxTempTableSize 比使用子树索引效率低。为了避免在大型广告环境中出现这些错误,建议使用子树索引。 -
按照以下步骤,您可以通过修改Active Directory架构中属性定义上的 s earchflags
-
使用具有架构管理员凭据的帐户,以架构管理员角色所有者的身份登录到域控制器。
-
选择 “启动并运行”,输入
Adsiedit.msc。 -
在 ADSI 编辑工具中,连接到 “架构分区”。
-
展开 cn=Schema、cn=Configuration、DC= 容器。DomainName
-
找到 “常用名” 属性,然后右键单击并选择 “属性”。
-
找到 searchFlags 属性并将其值更改为,
65 (0x41)以便与普通 SubTree 索引一起启用索引。下图显示了 ADSI 编辑窗口中的 cn=common-Name 属性对话框:
-
选择确定。您可以关闭 ADSI 编辑工具。
-
为了进行确认,您应该能够看到事件 ID 1137(来源:Active Directory_DomainServices),这表明 AD 已成功为指定属性创建了新索引。
有关更多信息,请参阅 Microsoft 文档
在使用 Amazon 应用程序搜索用户或群组时,我收到 “无法进行身份验证” 错误
即使在 AD Connector 状态处于活动状态时,您也可能会在搜索用户 WorkSpaces 或登录 Amazon 应用程序(例如或 QuickSight)时遇到错误。如果 AD Connector 的服务帐户的密码已更改或已过期,则 AD Connector 将无法再查询该Active Directory域。请联系您的 AD 管理员并验证以下内容:
-
检查 AD Connector 服务帐户密码是否过期
-
已选中 AD Connector 服务帐户没有启用 “用户下次登录时必须更改密码” 选项。
-
检查 AD Connector 服务帐户是否已锁定。
-
如果您不确定密码是已过期还是已更改,则可以重置服务帐户密码,也可以在 AD Connector 中更新相同的密码。
当我尝试更新 AD Connector 服务账户时收到有关我的目录凭证的错误
尝试更新 AD Connector 服务账户时,您会收到类似于以下一条或多条内容的错误消息:
消息:出现错误您的目录需要更新凭据。请更新目录凭证。出现错误您的目录需要更新凭据。请在更新您的 AD Connector 服务帐户凭据消息后更新目录凭据信息:出现错误您的请求有问题。请查看以下详细信息。服务账号/密码组合出错
时间同步和 Kerberos 可能存在问题。AD Connector 向 Active Directory 发送 Kerberos 身份验证请求。这些请求具有时效性,如果延迟处理,它们将会失败。要解决此问题,请参阅 Microsoft 文档中的建议:使用权威时间源配置根 PDC 并避免普遍的时间偏差
我的某些用户无法进行向我的目录进行身份验证
用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,但它不应进行修改。有关此设置的更多信息,请转到开启的预身份验证
维护问题
以下是 AD Connector 的常见维护问题
-
我的目录卡在“Requested”状态
-
Amazon EC2 实例的无缝域加入已停止运行
我的目录卡在“Requested”状态
如果有一个目录处于“Requested”状态的时间超过 5 分钟,请尝试删除并重新创建该目录。如果问题仍存在,请联系 Amazon Web Services 支持
Amazon EC2 实例的无缝域加入已停止运行
如果 EC2 实例的无缝域加入工作正常,然后在 AD Connector 处于活动状态时停止,则您的 AD Connector 服务账户的凭据可能已过期。过期的凭证可能阻止 AD Connector 在您的 Active Directory 中创建计算机对象。
要解决此问题,请按以下顺序更新服务账户密码,以使密码匹配:
-
在 Active Directory 中更新服务账户的密码。
-
在 Amazon Directory Service的 AD Connector 中更新服务账户的密码。有关更多信息,请参阅 在中更新您的 AD Connector 服务账号凭证 Amazon Web Services Management Console。
重要
仅在中更新密码 Amazon Directory Service 不会将密码更改推送到您现有的本地环境,Active Directory因此请务必按照上一个步骤中显示的顺序进行更改。
我无法删除我的 AD Connector
如果您的 AD Connector 切换到不可操作状态,则您将无法再访问您的域控制器。当仍有应用程序链接到 AD Connector 时,我们会阻止将其删除,因为其中一个应用程序可能仍在使用该目录。有关为删除 AD Connector 而需要禁用的应用程序列表,请参阅删除 AD Connector。如果您仍然无法删除 AD Connector,则可以通过 Amazon Web Services 支持
调查 AD Connector 发行人的通用工具
以下工具可用于解决与创建、身份验证和连接相关的各种 AD Connector 问题:
- DirectoryServicePortTest 工具
-
在排除 AD Connector 与客户托管服务器Active Directory或 DNS 服务器之间的连接问题时,该DirectoryServicePortTest测试工具可能很有用。有关如何使用该工具的更多信息,请参阅测试 AD Connector。
- 数据包捕获工具
-
您可以使用内置的Windows软件包捕获实用程序 (netsh
) 来调查和解决潜在的网络或Active Directory通信(ldap 和 kerberos)问题。有关更多信息,请参阅 Capture a Network Trace without installing anything 。 - VPC 流日志
-
为了更好地了解从 AD Connector 接收和发送了哪些请求,您可以为目录网络接口配置 VPC 流日志。您可以通过描述来标识所有保留供使用的网络接口:
Amazon created network interface for directory. Amazon Directory Serviceyour-directory-id一个简单的用例是在创建 AD Connector 的过程中,使用具有大量Active Directory域控制器的客户托管域。您可以使用 VPC 流日志并按 Kerberos 端口 (88) 进行筛选,以了解正在联系客户管理Active Directory的哪些域控制器进行身份验证。