AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Simple AD 目录状态原因

当某个目录受损或不可操作时,目录状态消息会包含更多信息。状态消息显示在 AWS Directory Service 控制台中,或者由 DescribeDirectories API 在 DirectoryDescription.StageReason 成员中返回。有关目录状态的更多信息,请参阅了解您的目录状态

以下是 Simple AD 目录的状态消息:

The directory service's elastic network interface is not attached

Description

The critical elastic network interface (ENI) that was created on your behalf during directory creation to establish network connectivity with your VPC is not attached to the directory instance. AWS applications backed by this directory will not be functional. Your directory cannot connect to your on-premises network.

Troubleshooting

If the ENI is detached but still exists, contact AWS Support. If the ENI is deleted, there is no way to resolve the issue and your directory is permanently unusable. You must delete the directory and create a new one.

Issue(s) detected by instance

Description

An internal error was detected by the instance. This usually signifies that the monitoring service is actively attempting to recover the impaired instances.

Troubleshooting

In most cases, this is a transient issue, and the directory eventually returns to the Active state. If the problem persists, contact AWS Support for more assistance.

该目录中缺少关键 AWS Directory Service 预留用户

描述

在创建 Simple AD 时,AWS Directory Service 会在该目录中创建一个名为 AWSAdminD-xxxxxxxxx 的服务账户。当无法找到此服务账户时会收到此错误。如果没有此账户,AWS Directory Service 无法在该目录上执行管理功能,使该目录表现为不可用。

故障排除

要更正此问题,应将该目录还原到删除此服务账户之前创建的快照。Simple AD 目录每天自动拍摄一次快照。如果删除此账户已超过五天,您可能无法将该目录还原到此账户存在时的状态。如果您无法从存在此账户的快照中还原,您的目录可能会变得永久不可用。如果是这种情况,您必须删除目录,然后创建一个新目录。

关键 AWS Directory Service 预留用户须属于域管理员 AD 组

描述

在创建 Simple AD 时,AWS Directory Service 会在该目录中创建一个名为 AWSAdminD-xxxxxxxxx 的服务账户。当此服务账户不是 Domain Admins 组的成员时会收到此错误。AWS Directory Service 需要此组的成员资格才能获得执行维护和恢复操作所需的权限,例如转移 FSMO 角色、将新的目录控制器加入域,以及从快照还原。

故障排除

使用 Active Directory 用户和计算机工具将此服务账户重新添加到 Domain Admins 组。

关键 AWS Directory Service 预留用户已禁用

描述

在创建 Simple AD 时,AWS Directory Service 会在该目录中创建一个名为 AWSAdminD-xxxxxxxxx 的服务账户。当此服务账户已禁用时会收到此错误。必须启用此账户,AWS Directory Service 才能够在该目录上执行维护和恢复操作。

故障排除

使用 Active Directory 用户和计算机工具重新启用此服务账户。

主域控制器没有所有 FSMO 角色

描述

Simple AD 目录控制器并不拥有所有 FSMO 角色。如果 FSMO 角色不属于正确的 Simple AD 目录控制器,则 AWS Directory Service 无法保证特定行为和功能。

疑难解答

使用 Active Directory 工具将 FSMO 角色移回原始工作目录控制器。有关移动 FSMO 角色的更多信息,请转至 https://support.microsoft.com/en-us/kb/324801。如果这样做不能解决此问题,请联系 AWS Support 以获得更多帮助。

域控制器复制失败

描述

Simple AD 目录控制器未能完成相互复制。这可能是由以下一个或多个问题导致的:

  • 这些目录控制器的安全组没有打开正确的端口。

  • 网络 ACL 限制性过高。

  • VPC 路由表没有正确路由这些目录控制器之间的网络流量。

  • 已将另一个实例提升为该目录中的域控制器。

故障排除

有关您的 VPC 网络要求的更多信息,请参阅 AWS Managed Microsoft AD AWS Managed Microsoft AD 先决条件、AD Connector AD Connector 先决条件 或 Simple AD Simple AD 先决条件。如果您的目录中有未知的域控制器,则必须将其降级。如果您的 VPC 网络设置正确,但仍然出现该错误,请联系 AWS Support 以获得更多帮助。