本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AD Connector 故障排除
以下内容可以帮助您解决在创建或使用 AD Connector 时可能遇到的一些常见问题。
创作问题
以下是 AD Connector 的常见创建问题
我在创建目录时遇到“AZ Constrained”错误
在 2012 年之前创建的某些 Amazon 账户可能有权访问美国东部(弗吉尼亚北部)、美国西部(加利福尼亚北部)或亚太地区(东京)不支持 Amazon Directory Service 目录的可用区。如果您在创建时收到这样的错误 Active Directory,在不同的可用区中选择一个子网,然后尝试重新创建该目录。
我在尝试创建 AD Connector 时收到 “检测到连接问题” 错误
如果您在尝试创建 AD Connector 时收到 “检测到连接问题” 错误,则该错误可能是由于端口可用性或 AD Connector 密码复杂所致。您可以测试 AD 连接器的连接,以查看以下端口是否可用:
-
53 (DNS)
-
88 (Kerberos)
-
389 () LDAP
要测试您的连接,请参阅测试 AD Connector。应在连接到 AD 连接器的 IP 地址关联的两个子网的实例上执行连接测试。
如果连接测试成功并且实例已加入域,请检查您的 AD Connector 的密码。AD Connector 必须满足 Amazon 密码复杂度要求。有关更多信息,请参阅中的服务帐号AD Connector 先决条件。
如果您的 AD 连接器不符合这些要求,请使用符合这些要求的密码重新创建 AD 连接器。
连接问题
以下是 AD Connector 的常见连接问题
在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误
在连接您的本地目录时,您收到类似于以下内容的错误消息:
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address>
Kerberos/authentication unavailable (TCP port 88) for IP: <IP address>
Please ensure that the listed ports are available and retry the operation.
AD Connector 必须能够通过TCP以下端口与您的本地域控制器通信。UDP验证您的安全组和本地防火墙是否允许通过TCP这些端口进行UDP通信。有关更多信息,请参阅 AD Connector 先决条件。
-
88 (Kerberos)
-
389 () LDAP
根据您的需求,您可能需要额外的TCP/UDP端口。有关其中一些端口,请参阅以下列表。有关使用的端口的更多信息 Active Directory,请参阅如何为其配置防火墙 Active Directory 域名和
-
135(RPC端点映射器)
-
646 () LDAP SSL
-
3268 (GC) LDAP
-
3269 (GC) LDAP SSL
当我尝试连接到我的本地目录时,我收到 “DNS不可用” 错误
在连接您的本地目录时,您收到类似于以下内容的错误消息:
DNS unavailable (TCP port 53) for IP: <DNS IP address>
AD Connector 必须能够通过端口 53 TCP 和UDP通过端口 53 与您的本地DNS服务器进行通信。验证您的安全组和本地防火墙是否允许通过TCP此端口进行UDP通信。有关更多信息,请参阅 AD Connector 先决条件。
当我尝试连接到我的本地目录时,我收到 “SRV记录” 错误
在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息:
SRV record for LDAP does not exist for IP: <DNS IP address>
SRV record for Kerberos does not exist for IP: <DNS IP address>
AD Connecto _ldap._tcp.
r 在连接到您的目录时需要获取和<DnsDomainName>
_kerberos._tcp.
SRV记录。如果服务无法从您在连接到目录时指定的DNS服务器获取这些记录,则会出现此错误。有关这些SRV记录的更多信息,请参阅SRV record requirements。<DnsDomainName>
身份验证问题
以下是 AD Connector 的一些常见身份验证问题:
当我尝试使用智能卡登录时,我收到 “证书验证失败” 错误 Amazon WorkSpaces
当您尝试使用智能卡登录时,您会收到一条类似于以下内容的错误消息: WorkSpaces
ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.
如果智能卡的证书未正确存储在使用证书的客户端上,则会发生错误。有关 AD Connector 和智能卡要求的更多信息,请参阅先决条件。
使用以下过程对智能卡在用户证书存储中存储证书的能力进行故障排除:
-
在无法访问证书的设备上,访问 Microsoft Management Console (MMC).
重要
在继续操作之前,请创建智能卡证书的副本。
-
导航到中的证书存储MMC。从证书存储中删除用户的智能卡证书。有关在中查看证书存储的更多信息MMC,请参阅如何:使用MMC管理单元查看证书
Microsoft 文档中)。 -
取出智能卡。
-
重新插入智能卡,使其可以在用户的证书存储区中重新填充智能卡证书。
警告
如果智能卡没有将证书重新填充到用户存储中,则无法将其用于 WorkSpaces 智能卡身份验证。
AD 连接器的服务帐户应具有以下内容:
-
my/spn
已添加到服务原则名称中 -
已委托提供LDAP服务
在智能卡上重新填充证书后,应检查本地域控制器,以确定它们是否被禁止使用主体备用名称的用户主体名称 (UPN) 映射。有关此更改的更多信息,请参阅中如何禁用主题备用名称进行UPN映射
使用以下步骤检查您的域控制器的注册表项:
在注册表编辑器中,导航到以下 Hive 密钥
HKEY_ LOCAL _MACHINE\\SYSTEM\ Ser CurrentControlSet vices\ Kdc\ UseSubjectAltName
选择UseSubjectAltName。确保该值设置为 0。
注意
如果在本地域控制器上设置了注册表项,那么 AD Connector 将无法在中找到用户 Active Directory 并导致上述错误消息。
证书颁发机构 (CA) 证书应上传到 AD Connector 智能卡证书。证书应包含OCSP信息。以下列出了 CA 的其他要求:
-
证书应位于域控制器的可信根颁发机构、证书颁发机构服务器和 WorkSpaces。
-
脱机证书和根 CA 证书将不包含这些OSCP信息。这些证书包含有关其吊销的信息。
-
如果您使用第三方 CA 证书进行智能卡身份验证,则需要将 CA 和中间证书发布到 Active Directory NTAuth商店。它们必须安装在所有域控制器、证书颁发机构服务器和的可信根颁发机构中 WorkSpaces。
-
您可以使用 follow 命令将证书发布到 Active Directory NTAuth存储:
certutil -dspublish -f
Third_Party_CA.cer
NTAuthCA
-
有关向NTAuth商店发布证书的更多信息,请参阅 Access A mazon WorkSpaces 中的 “使用通用访问卡安装指南” 中将颁发的 CA 证书导入企业NTAuth商店。
您可以按照以下步骤检查用户证书或 CA 链证书是否OCSP经过验证:
-
将智能卡证书导出到本地计算机上的某个位置,例如 C: 驱动器。
-
打开命令行提示符并导航到存储导出的智能卡证书的位置。
-
输入以下 命令:
certutil -URL
Certficate_name.cer
-
命令后面应该会出现一个弹出窗口。选择右上角的OCSP选项,然后选择 “检索”。状态应返回为已验证。
有关 certutil 命令的更多信息,请参见中的 certutil
AD Connector 使用的服务账户尝试进行身份验证时,我收到“Invalid Credentials”的错误消息
如果域控制器上的硬盘空间不足,则可能发生这种情况。确保域控制器的硬盘未满。
在使用 Amazon 应用程序搜索用户或群组时,我收到 “无法进行身份验证” 错误
即使 AD Connector 状态处于活动状态,在使用 Amazon 应用程序(例如 WorkSpaces 或 Amazon QuickSight)时搜索用户时也可能会遇到错误。过期的凭证可以阻止 AD Connector 在您的 Active Directory 中完成对对象的查询。使用中提供的顺序步骤更新服务帐户的密码Amazon EC2 实例的无缝域加入已停止运行。
当我尝试更新 AD Connector 服务帐户时,我收到有关我的目录凭据的错误消息
尝试更新 AD Connector 服务帐号时,您会收到一条类似于以下一条或多条错误消息:
Message:An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination
时间同步和 Kerberos 可能存在问题。AD Connector 将 Kerberos 身份验证请求发送到 Active Directory。 这些请求对时间敏感,如果请求延迟,它们就会失败。要解决此问题,请参阅建议-为根目录PDC配置权威时间源并避免出现广泛的时间偏差
我的某些用户无法进行向我的目录进行身份验证
用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,但它不应进行修改。有关此设置的更多信息,请转到预身份验证
维护问题
以下是 AD Connector 的常见维护问题
-
我的目录卡在“Requested”状态
-
Amazon EC2 实例的无缝域加入已停止运行
我的目录卡在“Requested”状态
如果有一个目录处于“Requested”状态的时间超过 5 分钟,请尝试删除并重新创建该目录。如果问题仍存在,请联系 Amazon Web Services Support
Amazon EC2 实例的无缝域加入已停止运行
如果EC2实例的无缝域加入工作正常,然后在 AD Connector 处于活动状态时停止,则您的 AD Connector 服务账户的凭据可能已过期。过期的凭据可能会阻止 AD Connector 在您的计算机中创建计算机对象 Active Directory.
要解决此问题,请按以下顺序更新服务账户密码,以使密码匹配:
更新您的服务帐号的密码 Active Directory.
-
在中更新您的 AD Connector 中服务帐号的密码 Amazon Directory Service。有关更多信息,请参阅 在中更新您的 AD Connector 服务账号凭证 Amazon Web Services Management Console。
重要
仅在中更新密码 Amazon Directory Service 不会将密码更改推送到您现有的本地 Active Directory 因此,按照上一个步骤中显示的顺序进行操作很重要。
我无法删除我的 AD Connector
如果您的 AD Connector 切换到不可操作状态,则您将无法再访问您的域控制器。当仍有应用程序链接到 AD Connector 时,我们会阻止将其删除,因为其中一个应用程序可能仍在使用该目录。有关为删除 AD Connector 而需要禁用的应用程序列表,请参阅正在删除你的 AD Connector。如果您仍然无法删除 AD Connector,则可以通过请求帮助Amazon Web Services Support