Simple AD 目录状态消息故障排除 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Simple AD 目录状态消息故障排除

当某个 Simple AD 受损或不可操作时,目录状态消息会包含更多信息。状态消息显示在 Amazon Directory Service 控制台中,或者由 DirectoryDescription.StageReason API 在 DescribeDirectories 成员中返回。有关目录状态的更多信息,请参阅了解 Amazon Managed Microsoft AD 目录状态

以下是 Simple AD 目录的状态消息:

目录服务的弹性网络接口未连接

描述

在创建目录时代表您创建的用于与 VPC 建立网络连接的关键弹性网络接口(ENI)未连接到目录实例。此目录支持的 Amazon 应用程序将无法正常运行。目录无法连接到本地网络。

故障排除

如果 ENI 已分离但仍然存在,请联系 Amazon Web Services Support。如果 ENI 被删除,则无法解决问题,并且目录将永久不可用。您必须删除目录,然后创建一个新目录。

实例检测到的问题

描述

实例检测到内部错误。这通常表示监控服务正在积极尝试恢复受损实例。

故障排除

在大多数情况下,这是一个暂时性问题,目录最终会返回到“活动”状态。如果问题仍然存在,请联系 Amazon Web Services Support 寻求帮助。

目录中缺少关键 Amazon Directory Service 保留用户

描述

在创建 Simple AD 时,Amazon Directory Service 会在该目录中创建一个名为 AWSAdminD-xxxxxxxxx 的服务账户。当无法找到此服务账户时会收到此错误。如果没有此账户,Amazon Directory Service 无法在该目录上执行管理功能,使该目录表现为不可用。

故障排除

要更正此问题,应将该目录还原到删除此服务账户之前创建的快照。Simple AD 目录每天自动拍摄一次快照。如果删除此账户已超过五天,您可能无法将该目录还原到此账户存在时的状态。如果您无法从存在此账户的快照中还原,您的目录可能会变得永久不可用。如果是这种情况,您必须删除目录,然后创建一个新目录。

关键 Amazon Directory Service 预留用户须属于域管理员组

描述

在创建 Simple AD 时,Amazon Directory Service 会在该目录中创建一个名为 AWSAdminD-xxxxxxxxx 的服务账户。当此服务账户不是 Domain Admins 组的成员时会收到此错误。Amazon Directory Service 需要此组的成员资格才能获得执行维护和恢复操作所需的权限,例如转移 FSMO 角色、将新的目录控制器加入域,以及从快照还原。

故障排除

使用 Active Directory 用户和计算机工具将此服务账户重新添加到 Domain Admins 组。

关键 Amazon Directory Service 预留用户已被禁用

描述

在创建 Simple AD 时,Amazon Directory Service 会在该目录中创建一个名为 AWSAdminD-xxxxxxxxx 的服务账户。当此服务账户已禁用时会收到此错误。必须启用此账户,Amazon Directory Service 才能够在该目录上执行维护和恢复操作。

故障排除

使用 Active Directory 用户和计算机工具重新启用此服务账户。

主域控制器没有所有 FSMO 角色

描述

Simple AD 目录控制器并不拥有所有 FSMO 角色。如果 FSMO 角色不属于正确的 Simple AD 目录控制器,则 Amazon Directory Service 无法保证特定行为和功能。

故障排除

使用 Active Directory 工具将 FSMO 角色移回原始工作目录控制器。有关移动 FSMO 角色的更多信息,请转到 https://docs.microsoft.com/troubleshoot/windows-server/identity/transfer-or-seize-fsmo-roles-in-ad-ds。如果这样做不能解决此问题,请联系 Amazon Web Services Support 以获得更多帮助。

域控制器复制失败

描述

Simple AD 目录控制器未能完成相互复制。这可能是由以下一个或多个问题导致的:

  • 这些目录控制器的安全组没有打开正确的端口。

  • 网络 ACL 限制性过高。

  • VPC 路由表没有正确路由这些目录控制器之间的网络流量。

  • 已将另一个实例提升为该目录中的域控制器。

故障排除

有关您 VPC 网络要求的更多信息,请参阅 Amazon Managed Microsoft AD 创建 Amazon Managed Microsoft AD 的先决条件、AD Connector AD Connector 先决条件 或 Simple AD Simple AD 先决条件。如果您的目录中有未知的域控制器,则必须将其降级。如果您的 VPC 网络设置正确,但仍然出现该错误,请联系 Amazon Web Services Support 以获得更多帮助。