对 AD 错误代码的连接器进行故障排除 - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 AD 错误代码的连接器进行故障排除

AD 连接器发送错误消息的原因有很多。有关每个错误的信息以及解决这些错误的建议,请参阅下表。您可以通过订阅 Amazon S EventBridge cheduler 事件(事件来源:aws.pca-connector-ad)或在 Windows 中使用手动注册来收到这些错误。

错误代码 根本原因 修复

0x8 000 FFFA

Kerberos 身份验证失败。

确保您的目录可以访问,并且客户端是用户或计算机。如果您使用的是自动注册,请修复您的 Amazon 资源服务主体。如果您使用 Active Directory UI 获取证书,请运行 gpupdate /force

0x8 001 FFFA

SOAP消息必须包含操作标头。

添加操作标头。

0x8 002 FFFA

连接器无法访问其所连接的私有 CA。

创建 Amazon 资源访问管理器 (RAM),在您的私有 CA 和 AD 服务的连接器之间共享,从而与连接器共享您的私有 CA。

0x8 003 FFFA

此连接器的私有 CA 未激活。

将私有 CA 转为活动状态。如果您的私有 CA 处于待处理证书状态,则请安装 CA 证书。

0x8 004 FFFA

此连接器的私有 CA 不存在。

如果您的证书颁发机构处于“已删除”状态,则请将其转为“活动”状态。如果您的私有 CA 被永久删除,则请使用其他 CA 创建一个新的连接器。

0x8 005 FFFA

模板为证书使用者或使用者备用名称指定了 directoryGuid 属性,但在请求者的 AD 对象中找不到该属性。

Active Directory 没有为您的目录生成 directoryGuid。在 Active Directory 中进行故障排除。

0x8 006 FFFA

模板为证书使用者或使用者备用名称指定了 dnsHostName 属性,但在请求者的 AD 对象中找不到该属性。

dnsHostName 属性添加到您的 AD 对象。

0x8 007 FFFA

模板指定了要包含在证书使用者或使用者备用名称中的电子邮件属性,但在请求者的 AD 对象中找不到该属性。

将电子邮件属性添加到您的 AD 对象

0x8 008 FFFA

SOAP消息的操作标头必须为http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicieshttp://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep

更新操作标头以使用其中一个指定值。

0x8 009 FFFA

BinarySecurityToken 必须进行编码。http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary

更新二进制安全令牌类型。

0x8 00A FFFA

BinarySecurityToken 无效。

检查CSR是否正确生成。

0x8 00B FFFA

的值类型 BinarySecurityToken 必须为http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10

将二进制安全令牌值类型更新为有效值。

0x8 00C FFFA

BinarySecurityToken 包含的无效CMS。

Base64 有效,但加密消息语法 (CMS) 无效。查看CMS语法。

0x8 00D FFFA

BinarySecurityToken 包含无效的CSR。

检查是否正确CSR生成。

0x8 00E FFFA

私有 CA 无法使用特定模板颁发证书。

查看来自的验证例外情况 Amazon Private CA。您可以在 Amazon EventBridge 或 Amazon 上查看验证异常 Amazon CloudTrail。

0x8 00F FFFA

SOAP消息的请求类型必须为http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue

将请求类型设置为 http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue

0x8 010 FFFA

SOAP消息必须有连接器CertificateEnrollmentPolicyServerEndpoint字段或XCEP响应中URI字段的 to 标头。

将请求安全令牌的标头设置为XCEP响应中的CertificateEnrollmentPolicyServerEndpointURI字段或字段。

0x8 011 FFFA

SOAP消息必须只有一个操作标头。

查看请求安全令牌的SOAP消息标头并正确设置标头。

0x8 012 FFFA

SOAP消息必须只有一个messageId标题。

查看请求安全令牌的SOAP消息标头并正确设置标头。

0x8 013 FFFA

SOAP邮件的标题必须只有一个。

查看请求安全令牌的SOAP消息标头并正确设置标头。

0x8 014 FFFA

请求者无权访问所请求的模板。

通过创建访问控制条目,允许请求者的组使用请求的模板进行注册。

0x8 015 FFFA

CertificateTemplateInformationCertificateTemplateName扩展名必须存在于中 BinarySecurityToken。

将安全扩展插件添加到您的CSR。

0x8 016 FFFA

找不到给定连接器请求的模板。

模板是每个连接器的子资源。使用 createTemplate 为连接器创建模板。

0x8 017 FFFA

由于请求限制而导致请求被拒绝。

降低请求速率。

0x8 018 FFFA

SOAP消息必须包含标to题。

查看SOAP邮件的标题。

0x8 019 FFFA

由于标头无法识别,无法处理该SOAP消息。

查看SOAP邮件的标题。

0x8 01A FFFA

模板指定了UPN要包含在证书主题或主题备用名称中的属性,但在请求者的 AD 对象中找不到该属性。

向 A UPN ctive Directory 对象添加一个。