Fehlerbehebung in AD Connector - AWS Directory Service
Probleme bei der ErstellungProbleme mit der VerbindungProbleme mit der AuthentifizierungProbleme mit der WartungIch kann meinen AD Connector nicht löschen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung in AD Connector

Im Folgenden können Sie einige häufig auftretende Probleme beheben, die bei der Erstellung oder Verwendung Ihres AD Connector auftreten können.

Probleme bei der Erstellung

Im Folgenden sind häufig auftretende Probleme bei der Erstellung von AD Connector aufgeführt

Der Fehler „Beschränktes AZ” wird angezeigt, wenn ich ein Verzeichnis erstellen will.

Einige AWS Konten, die vor 2012 erstellt wurden, haben möglicherweise Zugriff auf Availability Zones in den Regionen USA Ost (Nord-Virginia), USA West (Nordkalifornien) oder Asien-Pazifik (Tokio), die keine AWS Directory Service Verzeichnisse unterstützen. Wenn Sie beim Erstellen eines eine solche Fehlermeldung erhaltenActive Directory, wählen Sie ein Subnetz in einer anderen Availability Zone und versuchen Sie erneut, das Verzeichnis zu erstellen.

Ich erhalte die Fehlermeldung „Verbindungsprobleme erkannt“, wenn ich versuche, AD Connector zu erstellen

Wenn Sie beim Versuch, einen AD Connector zu erstellen, die Fehlermeldung „Verbindungsproblem erkannt“ erhalten, kann der Fehler auf die Portverfügbarkeit oder die Komplexität des AD Connector-Passworts zurückzuführen sein. Sie können die Verbindung Ihres AD Connectors testen, um festzustellen, ob die folgenden Anschlüsse verfügbar sind:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

Informationen zum Testen Ihrer Verbindung finden Sie unterTesten Sie Ihren AD Connector. Der Verbindungstest sollte für die Instanz durchgeführt werden, die mit beiden Subnetzen verbunden ist, denen die IP-Adressen des AD Connectors zugeordnet sind.

Wenn der Verbindungstest erfolgreich ist und die Instanz der Domäne beitritt, überprüfen Sie das Passwort Ihres AD Connectors. AD Connector muss die Anforderungen an die AWS Passwortkomplexität erfüllen. Weitere Informationen finden Sie unter Dienstkonto unterAD-Connector-Voraussetzungen.

Wenn Ihr AD Connector diese Anforderungen nicht erfüllt, erstellen Sie Ihren AD Connector mit einem Passwort, das diesen Anforderungen entspricht, neu.

Probleme mit der Verbindung

Im Folgenden sind häufig auftretende Verbindungsprobleme für AD Connector aufgeführt

Ich erhalte die Fehlermeldung „Connectivity issues detected“, wenn ich eine Verbindung zu meinem On-Premises-Verzeichnis herstellen möchte

Sie erhalten eine Fehlermeldung ähnlich der Folgenden, wenn Sie eine Verbindung zu Ihrem On-Premises-Verzeichnis herstellen möchten:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector muss mit Ihren On-Premises-Domain-Controllern via TCP und UDP über folgende Ports kommunizieren können. Überprüfen Sie, ob Ihre Sicherheitsgruppen und On-Premises-Firewalls die TCP- und UDP-Kommunikation über diese Ports erlauben. Weitere Informationen finden Sie unter AD-Connector-Voraussetzungen.

  • 88 (Kerberos)

  • 389 (LDAP)

Je nach Bedarf benötigen Sie möglicherweise zusätzliche TCP/UDP-Ports. In der folgenden Liste finden Sie einige dieser Ports. Weitere Informationen zu den von Active Directory verwendeten Ports finden Sie in der Microsoft Dokumentation So konfigurieren Sie eine Firewall für Active Directory Domänen und Vertrauensstellungen.

  • 135 (RPC Endpoint Mapper)

  • 646 (LDAP-SSL)

  • 3268 (LDAP-GC)

  • 3269 (LDAP-GC-SSL)

Mehr anzeigenWeniger anzeigen

Ich erhalte die Fehlermeldung „DNS unavailable“, wenn ich eine Verbindung zu meinem On-Premises-Verzeichnis herstellen möchte

Sie erhalten eine Fehlermeldung ähnlich der Folgenden, wenn Sie eine Verbindung zu Ihrem On-Premises-Verzeichnis herstellen möchten:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector muss über TCP und UDP über Port 53 mit Ihrem On-Premises-DNS-Server kommunizieren können. Stellen Sie sicher, dass Ihre Sicherheitsgruppen und On-Premises-Firewalls die TCP- und UDP-Kommunikation über diesen Port erlauben. Weitere Informationen finden Sie unter AD-Connector-Voraussetzungen.

Ich erhalte die Fehlermeldung „SRV record“, wenn ich eine Verbindung zu meinem On-Premises-Verzeichnis herstellen möchte

Sie erhalten eine Fehlermeldung ähnlich einer oder mehr der Folgenden, wenn Sie eine Verbindung zu Ihrem On-Premises-Verzeichnis herstellen möchten:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector muss beim Aufbau einer Verbindung zu Ihrem Verzeichnis SRV-Datensätze für _ldap._tcp.<DnsDomainName> und _kerberos._tcp.<DnsDomainName> abrufen. Sie erhalten diese Fehlermeldung, wenn der Service diese Datensätze nicht von den DNS-Servern abrufen kann, die Sie beim Aufbau einer Verbindung zu ihrem Verzeichnis angegeben haben. Weitere Informationen zu diesen SRV-Datensätzen finden Sie unter SRV record requirements.

Probleme mit der Authentifizierung

Hier sind einige häufig auftretende Authentifizierungsprobleme mit AD Connector:

Ich erhalte die Fehlermeldung „Die Zertifikatsüberprüfung ist fehlgeschlagen“, wenn ich versuche, mich Amazon WorkSpaces mit einer Smartcard anzumelden

Sie erhalten eine Fehlermeldung ähnlich der folgenden, wenn Sie versuchen, sich WorkSpaces mit einer Smartcard bei Ihrem anzumelden:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

Der Fehler tritt auf, wenn das Zertifikat der Smartcard nicht ordnungsgemäß auf dem Client gespeichert ist, der die Zertifikate verwendet. Weitere Informationen zu AD Connector- und Smartcard-Anforderungen finden Sie unterVoraussetzungen.

Gehen Sie wie folgt vor, um Probleme mit der Smartcard zu beheben, Zertifikate im Zertifikatsspeicher des Benutzers zu speichern:

  1. Greifen Sie auf dem Gerät, das Probleme beim Zugriff auf die Zertifikate hat, auf die Microsoft Management Console (MMC) zu.

    Wichtig

    Bevor Sie fortfahren, erstellen Sie eine Kopie des Smartcard-Zertifikats.

  2. Navigieren Sie zum Zertifikatsspeicher in der MMC. Löschen Sie das Smartcard-Zertifikat des Benutzers aus dem Zertifikatsspeicher. Weitere Informationen zum Anzeigen des Zertifikatsspeichers in der MMC finden Sie in der Dokumentation unter Vorgehensweise: Anzeigen von Zertifikaten mit dem MMC-Snap-In. Microsoft

  3. Entfernen Sie die Smartcard.

  4. Setzen Sie die Smartcard erneut ein, damit sie das Smartcard-Zertifikat im Zertifikatsspeicher des Benutzers erneut auffüllen kann.

    Warnung

    Wenn die Smartcard das Zertifikat nicht erneut im Benutzerspeicher auffüllt, kann sie nicht für die Smartcard-Authentifizierung verwendet werden. WorkSpaces

Das Dienstkonto des AD Connectors sollte über Folgendes verfügen:

  • my/spnzum Namen des Dienstprinzips hinzugefügt

  • Delegiert für den LDAP-Dienst

Nach dem erneuten Auffüllen des Zertifikats auf der Smartcard sollte der lokale Domänencontroller daraufhin überprüft werden, ob die Zuordnung des Benutzerprinzipalnamens (UPN) für den alternativen Betreffnamen gesperrt ist. Weitere Informationen zu dieser Änderung finden Sie in der Dokumentation unter So deaktivieren Sie den alternativen Betreffnamen für die UPN-Zuordnung. Microsoft

Gehen Sie wie folgt vor, um den Registrierungsschlüssel Ihres Domänencontrollers zu überprüfen:

  1. Navigieren Sie im Registrierungseditor zum folgenden Hive-Schlüssel

    HKEY_LOCAL_MACHINE\ SYSTEM\\ Services\ Kdc\ CurrentControlSet UseSubjectAltName

  2. Select UseSubjectAltName. Stellen Sie sicher, dass der Wert auf 0 gesetzt ist.

Anmerkung

Wenn der Registrierungsschlüssel auf den lokalen Domänencontrollern festgelegt ist, kann der AD Connector die Benutzer nicht finden Active Directory und es wird die obige Fehlermeldung angezeigt.

Die Zertifikate der Zertifizierungsstelle (CA) sollten auf das AD Connector-Smartcard-Zertifikat hochgeladen werden. Das Zertifikat sollte OCSP-Informationen enthalten. Im Folgenden sind zusätzliche Anforderungen für die CA aufgeführt:

  • Das Zertifikat sollte sich in der vertrauenswürdigen Stammzertifizierungsstelle des Domänencontrollers, des Zertifizierungsstellenservers und des befinden WorkSpaces.

  • Offline- und Root-CA-Zertifikate enthalten keine OSCP-Informationen. Diese Zertifikate enthalten Informationen über ihren Widerruf.

  • Wenn Sie ein Zertifizierungsstellenzertifikat eines Drittanbieters für die Smartcard-Authentifizierung verwenden, müssen die Zertifizierungsstelle und die Zwischenzertifikate im Active Directory NTAuth Store veröffentlicht werden. Sie müssen in der vertrauenswürdigen Stammzertifizierungsstelle für alle Domänencontroller, Zertifizierungsstellenserver und installiert sein. WorkSpaces

    • Sie können den folgenden Befehl verwenden, um Zertifikate im Active Directory NTAuth Store zu veröffentlichen:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Weitere Informationen zum Veröffentlichen von Zertifikaten im NTauth-Speicher finden Sie unter Import des ausstellenden CA-Zertifikats in den Enterprise NTauth-Speicher im Access Amazon WorkSpaces with Common Access Cards Installation Guide.

Gehen Sie wie folgt vor, um zu überprüfen, ob das Benutzerzertifikat oder die CA-Kettenzertifikate von OCSP verifiziert wurden:

  1. Exportieren Sie das Smartcard-Zertifikat an einen Speicherort auf dem lokalen Computer, z. B. auf Laufwerk C:.

  2. Öffnen Sie eine Befehlszeilenaufforderung und navigieren Sie zu dem Speicherort, an dem das exportierte Smartcard-Zertifikat gespeichert ist.

  3. Geben Sie den folgenden Befehl ein:

    certutil -URL Certficate_name.cer

  4. Nach dem Befehl sollte ein Popup-Fenster angezeigt werden. Wählen Sie die Option OCSP in der rechten Ecke und wählen Sie Abrufen. Der Status sollte wieder als verifiziert angezeigt werden.

Weitere Informationen zum Befehl certutil finden Sie in der Dokumentation unter certutil Microsoft

Mehr anzeigenWeniger anzeigen

Der Fehler „Ungültige Anmeldeinformationen” wird angezeigt, wenn das von AD Connector verwendete Servicekonto versucht, sich zu authentifizieren

Das kann passieren, wenn die Festplatte auf Ihrem Domain-Controller nicht mehr über genügend Speicherplatz verfügt. Stellen Sie sicher, dass Ihre Domain-Controller-Festplatten nicht voll sind.

Ich erhalte die Fehlermeldung „Authentifizierung nicht möglich“, wenn ich AWS Anwendungen für die Suche nach Benutzern oder Gruppen verwende

Bei der Suche nach Benutzern während der Verwendung von AWS Anwendungen wie Amazon WorkSpaces oder Amazon können Fehler auftreten QuickSight, auch wenn der AD Connector Connector-Status aktiv war. Abgelaufene Anmeldeinformationen können AD Connector daran hindern, Abfragen von Objekten in Ihrem Active Directory durchzuführen. Aktualisieren Sie das Passwort für das Servicekonto anhand der unter angegebenen SchritteDer nahtlose Domänenbeitritt für Amazon EC2 EC2-Instances funktioniert nicht mehr.

Ich erhalte eine Fehlermeldung zu meinen Verzeichnisanmeldedaten, wenn ich versuche, das AD Connector Connector-Dienstkonto zu aktualisieren

Sie erhalten eine Fehlermeldung, die einer oder mehreren der folgenden ähnelt, wenn Sie versuchen, das AD Connector Connector-Dienstkonto zu aktualisieren:

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Möglicherweise liegt ein Problem mit der Zeitsynchronisierung und Kerberos vor. AD Connector sendet Kerberos-Authentifizierungsanforderungen an. Active Directory Diese Anfragen sind zeitkritisch, und wenn die Anfragen verzögert werden, schlagen sie fehl. Informationen zur Behebung dieses Problems finden Sie in der Dokumentation Empfehlung — Konfiguration des Root-PDC mit einer autoritativen Zeitquelle und Vermeidung von weit verbreitetem Zeitversatz. Microsoft Weitere Informationen zu Zeitdienst und Synchronisation finden Sie unten:

Mehr anzeigenWeniger anzeigen

Einige meiner Benutzer können sich in meinem Verzeichnis nicht authentifizieren.

Für Ihre Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Dies ist die Standardeinstellung für neue Benutzerkonten und sie sollte nicht geändert werden. Weitere Informationen zu dieser Einstellung finden Sie unter Vorauthentifizierung auf Microsoft TechNet.

Probleme mit der Wartung

Im Folgenden sind häufig auftretende Wartungsprobleme für AD Connector aufgeführt

  • Mein Verzeichnis bleibt dauerhaft im Status „Angefragt”.

  • Der nahtlose Domänenbeitritt für Amazon EC2 EC2-Instances funktioniert nicht mehr

Mein Verzeichnis bleibt dauerhaft im Status „Angefragt”.

Wenn sich Ihr Verzeichnis länger als fünf Minuten im „Angefragt”-Status befindet, löschen Sie das Verzeichnis und erstellen es neu. Wenn dieses Problem weiterhin besteht, wenden Sie sich an den AWS Support.

Der nahtlose Domänenbeitritt für Amazon EC2 EC2-Instances funktioniert nicht mehr

Wenn eine zuvor funktionierende nahtlose Domainverbindung für EC2-Instances bei aktivem AD Connector nicht mehr funktioniert, sind die Anmeldeinformationen für Ihr AD-Connector-Servicekonto möglicherweise abgelaufen. Abgelaufene Anmeldeinformationen können verhindern, dass AD Connector Computerobjekte in Ihrem erstelltActive Directory.

Um dieses Problem zu beheben, aktualisieren Sie die Passwörter des Service-Kontos in der folgenden Reihenfolge, damit die Passwörter übereinstimmen:

  1. Aktualisieren Sie das Passwort für das Dienstkonto in IhremActive Directory.

  2. Aktualisieren Sie das Passwort für das Dienstkonto in Ihrem AD Connector in AWS Directory Service. Weitere Informationen finden Sie unter Ihre Anmeldeinformationen für Ihr AD-Connector-Servicekonto in AWS Directory Service aktualisieren.

Wichtig

Wenn Sie das Passwort nur in aktualisieren, wird die Passwortänderung AWS Directory Service nicht auf Ihr vorhandenes lokales System übertragen. Active Directory Daher ist es wichtig, dass Sie die Änderung in der Reihenfolge vornehmen, die im vorherigen Verfahren angegeben wurde.

Ich kann meinen AD Connector nicht löschen

Wenn Ihr AD Connector in einen funktionsunfähigen Zustand wechselt, haben Sie keinen Zugriff mehr auf Ihre Domain-Controller. Wir blockieren das Löschen eines AD Connector, wenn noch Anwendungen damit verknüpft sind, da eine dieser Anwendungen das Verzeichnis möglicherweise immer noch verwendet. Eine Liste der Anwendungen, die Sie deaktivieren müssen, um Ihren AD Connector zu löschen, finden Sie unterIhr AD Connector löschen. Wenn Sie Ihren AD Connector immer noch nicht löschen können, können Sie hier Hilfe anfordern AWS Support.