本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 排除 AD 连接器创建失败的连接器故障 创建 AD 连接器的连接器可能由于各种原因而失败。连接器创建失败时,您将在 API 响应中收到失败原因。如果您使用的是控制台,则失败原因将显示在连接器**详细信息**页面的 “连接器**详细信息” 容器中 “其他状态****详细信息**” 字段下。下表描述了失败原因和建议的解决步骤。 | 失败状态 | 描述 | 修复 | | --- | --- | --- | | CA\$1CERTIFICATE\$1REGISTRATION\$1FAILED | AD 连接器无法将 CA 证书导入您的目录。 | 查看 “[先决条件](connector-for-ad-getting-started-prerequisites.md)” 页面,并检查您的服务帐号是否具有正确的权限。将正确的权限委派给您的服务帐号后,删除失败的连接器并创建一个新的连接器。有关委派权限的信息,请参阅《*Amazon Directory Service 管理指南》*中的[向服务帐号委派](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges)权限。 | | DIRECTORY\$1ACCESS\$1DENIED | AD 连接器无法访问您的目录。 | 您必须授予 Connector for AD 访问您的目录的权限。请查看该[步骤 4:创建 IAM 策略](connector-for-ad-getting-started-prerequisites.md#prereq-iam)部分,确保与您的 Amazon 账户关联的 IAM 策略允许您访问和描述目录。向您的 Amazon 角色授予正确的权限后,删除失败的连接器并创建一个新的连接器。 如果将 Connector for A Amazon Directory Service D 与 AD 连接器一起使用,请确保 AD Connector 服务帐户的密码未过期且有效。有关 AD Connector 服务帐户的信息,请参阅《[AD 连接器*管理指南》中的 AD Connec* tor 入门](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/ad_connector_getting_started.html)。 | | INTERNAL\$1FAILURE | AD 连接器出现内部故障。 | 请稍后重试。删除失败的连接器并创建一个新的连接器。 | | INSUFFICIENT\$1FREE\$1ADDRESSES | VPC 子网必须至少有一个可用的私有 IP 地址。 | 确保子网中有可用的私有 IP 地址。删除失败的连接器并创建一个新的连接器。 | | INVALID\$1SUBNET\$1IP\$1PROTOCOL | AD 连接器无法在您的 VPC 上创建终端节点,因为与您的目录关联的子网不支持指定的 IP 地址类型。 | 确保托管您的目录的 VPC 和子网支持您选择的 IP 地址类型。有关更多信息,请参阅 [IP 地址类型](https://docs.amazonaws.cn/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type)。删除失败的连接器,然后使用支持的 IP 地址类型创建一个新的连接器。 | | PRIVATECA\$1ACCESS\$1DENIED | AD 连接器无法访问您的私有 CA。 | 查看 “[先决条件](connector-for-ad-getting-started-prerequisites.md)” 页面,并检查您是否具有创建连接器的权限。有关信息,请参阅[步骤 4:创建 IAM 策略](connector-for-ad-getting-started-prerequisites.md#prereq-iam)。 如果您通过 Amazon CLI 或 API 创建连接器,请查看 “[先决条件](connector-for-ad-getting-started-prerequisites.md)” 页面,并检查您是否已使用与 Connector for AD 共享私有 CA Amazon Resource Access Manager。 检查并修复 IAM 权限和 Amazon RAM 资源共享后,删除失败的连接器并创建一个新的连接器。 | | PRIVATECA\$1RESOURCE\$1NOT\$1FOUND | AD 连接器找不到指定的私有 CA。 | 请确保指定正确的私有 CA A [mazon 资源名称 (ARN)](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference-arns.html),然后删除失败的连接器,并使用您想要的私有 CA ARN 创建一个新的连接器。 | | SECURITY\$1GROUP\$1NOT\$1IN\$1VPC | 安全组不在托管您的目录的 VPC 中。 | 使用托管目录的 VPC 中的安全组。有关更多信息,请参阅 [步骤 7:配置安全组](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups)。删除失败的连接器,然后使用位于 VPC 中的安全组创建一个新的连接器。 | | VPC\$1ACCESS\$1DENIED | AD 连接器无法访问托管您的目录的 Amazon VPC。 | 检查您的 IAM 权限。删除失败的连接器并创建一个新的连接器。有关包含访问权限的 IAM 策略示例,请参阅 [步骤 4:创建 IAM 策略](connector-for-ad-getting-started-prerequisites.md#prereq-iam) | | VPC\$1ENDPOINT\$1LIMIT\$1EXCEEDED | AD 连接器无法在您的 Amazon VPC 中创建终端节点。您已达到可以为您的账户创建 VPC 终端节点的上限。 | 删除 Amazon VPC 终端节点,或请求提高限制。完成两个步骤之一后,删除失败的连接器并创建一个新的连接器。有关配额的信息,请参阅 [Amazon Virtual Private Cloud 服务配额](https://docs.amazonaws.cn/vpc/latest/userguide/amazon-vpc-limits.html)。 | | VPC\$1RESOURCE\$1NOT\$1FOUND | AD 连接器找不到指定的 VPC。 | 请确保您指定的 VPC 正确且该 VPC 存在。然后删除失败的连接器,并使用正确的 VPC ID 创建一个新的连接器。 |