AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AD Connector 疑难解答

以下内容可以帮助排查在创建或使用目录时可能会遇到的一些常见问题。

下面是与 AD Connector 有关的一些常见问题。

EC2 实例的无缝域加入停止工作

如果 EC2 实例的无缝域加入之前正常工作,然后在 AD Connector 激活时停止,则表示您的 AD Connector 的凭证可能已过期。过期的凭证可能阻止 AD Connector 在您的 Active Directory 中创建计算机对象。

要解决此问题,请按以下顺序更新服务账户密码,以使密码匹配:

  1. 在 Active Directory 中更新服务账户的密码

  2. 在 AWS Directory Service 中的 AD Connector 中更新服务账户的密码

仅在 AWS Directory Service 中更新密码无法将密码更改推送到现有本地 Active Directory,因此务必按显示的顺序进行更新。

使用 AWS 应用程序搜索用户或组时,我收到“Unable to Authenticate (无法进行身份验证)”错误

在使用 AWS 应用程序(如 Amazon WorkSpaces 或 Amazon QuickSight)的同时搜索用户可能会遇到错误,即使 AD Connector 状态为活动时也是如此。过期的凭证可能阻止 AD Connector 在您的 Active Directory 中完成对对象的查询。请使用上面提供的有序步骤更新服务账户的密码。

通过 AD Connector 在我的域中查询用户和组时,我收到“Authentication failed”错误

如果您启用了 LDAP 服务器签名要求策略,则会出现此错误。考虑禁用它,然后再次尝试您的查询。有关此策略的一般信息,请参阅域控制器:LDAP 服务器签名要求

当我尝试连接我的本地目录时收到一条“DNS unavailable”错误

在连接您的本地目录时,您收到类似于以下内容的错误消息:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。有关更多信息,请参阅AD Connector 先决条件

在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误

在连接您的本地目录时,您收到类似于以下内容的错误消息:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信。有关更多信息,请参阅AD Connector 先决条件

  • 88 (Kerberos)

  • 389 (LDAP)

在尝试连接到我的本地目录时,我收到一条“SRV record”错误

在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

在连接您的目录时,AD Connector 需要获取 _ldap._tcp.<DnsDomainName>_kerberos._tcp.<DnsDomainName> SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您将收到此错误。有关这些 SRV 记录的更多信息,请参阅 SRV 记录要求

我的目录卡在“Requested”状态

如果有一个目录处于“Requested”状态的时间超过 5 分钟,请尝试删除并重新创建该目录。如果问题仍存在,请联系AWS Support Center

我在创建目录时遇到“AZ Constrained”错误

2012 年之前创建的某些 AWS 账户可能能够访问 美国东部(弗吉尼亚北部)、美国西部(加利福尼亚北部) 或 亚太区域(东京) 区域中的可用区,这些可用区不支持 AWS Directory Service 目录。如果在创建目录时遇到错误 (如上面的错误),请选择其他可用区中的子网,再尝试创建目录。

我的某些用户无法进行向我的目录进行身份验证

用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,但它不应进行修改。有关此设置的更多信息,请参阅 Microsoft TechNet 上的 Preauthentication

AD Connector 使用的服务账户尝试进行身份验证时,我遇到“Invalid Credentials”(凭证无效) 错误

如果域控制器上的硬盘空间不足,则可能发生这种情况。确保域控制器的硬盘未满。