Fehlerbehebung in AD Connector - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung in AD Connector

Im Folgenden können Sie einige häufig auftretende Probleme beheben, die bei der Erstellung oder Verwendung Ihres AD Connector auftreten können.

Probleme bei der Erstellung

Der Fehler „Beschränktes AZ” wird angezeigt, wenn ich ein Verzeichnis erstellen will.

Einige AWS Konten, die vor 2012 erstellt wurden, haben möglicherweise Zugriff auf Availability Zones in den Regionen USA Ost (Nord-Virginia), USA West (Nordkalifornien) oder Asien-Pazifik (Tokio), die keine AWS Directory Service Verzeichnisse unterstützen. Wenn Sie beim Erstellen eines solchen Fehlers eine Fehlermeldung erhalten Active Directory, wählen Sie ein Subnetz in einer anderen Availability Zone und versuchen Sie erneut, das Verzeichnis zu erstellen.

Ich erhalte die Fehlermeldung „Verbindungsprobleme erkannt“, wenn ich versuche, AD Connector zu erstellen

Wenn Sie beim Versuch, einen AD Connector zu erstellen, die Fehlermeldung „Verbindungsproblem erkannt“ erhalten, kann der Fehler auf die Portverfügbarkeit oder die Komplexität des AD Connector-Passworts zurückzuführen sein. Sie können die Verbindung Ihres AD Connectors testen, um festzustellen, ob die folgenden Anschlüsse verfügbar sind:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

Informationen zum Testen Ihrer Verbindung finden Sie unterTesten Sie Ihren AD Connector. Der Verbindungstest sollte für die Instanz durchgeführt werden, die mit beiden Subnetzen verbunden ist, denen die IP-Adressen des AD Connectors zugeordnet sind.

Wenn der Verbindungstest erfolgreich ist und die Instanz der Domäne beitritt, überprüfen Sie das Passwort Ihres AD Connectors. AD Connector muss die Anforderungen an die AWS Passwortkomplexität erfüllen. Weitere Informationen finden Sie unter Dienstkonto unterAD-Connector-Voraussetzungen.

Wenn Ihr AD Connector diese Anforderungen nicht erfüllt, erstellen Sie Ihren AD Connector mit einem Passwort, das diesen Anforderungen entspricht, neu.

Probleme mit der Verbindung

Ich erhalte die Fehlermeldung „Connectivity issues detected“, wenn ich eine Verbindung zu meinem On-Premises-Verzeichnis herstellen möchte

Sie erhalten eine Fehlermeldung ähnlich der Folgenden, wenn Sie eine Verbindung zu Ihrem On-Premises-Verzeichnis herstellen möchten:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector muss mit Ihren On-Premises-Domain-Controllern via TCP und UDP über folgende Ports kommunizieren können. Überprüfen Sie, ob Ihre Sicherheitsgruppen und On-Premises-Firewalls die TCP- und UDP-Kommunikation über diese Ports erlauben. Weitere Informationen finden Sie unter AD-Connector-Voraussetzungen.

  • 88 (Kerberos)

  • 389 (LDAP)

Je nach Bedarf benötigen Sie möglicherweise zusätzliche TCP/UDP-Ports. In der folgenden Liste finden Sie einige dieser Ports. Weitere Informationen zu den Ports, die von verwendet werden Active Directory, siehe So konfigurieren Sie eine Firewall für Active Directory Domänen und vertraut auf Microsoft -Dokumentation.

  • 135 (RPC-Endpunktmapper)

  • 646 (LDAP-SSL)

  • 3268 (LDAP-GC)

  • 3269 (LDAP-GC-SSL)

Ich erhalte die Fehlermeldung „DNS unavailable“, wenn ich eine Verbindung zu meinem On-Premises-Verzeichnis herstellen möchte

Sie erhalten eine Fehlermeldung ähnlich der Folgenden, wenn Sie eine Verbindung zu Ihrem On-Premises-Verzeichnis herstellen möchten:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector muss über TCP und UDP über Port 53 mit Ihrem On-Premises-DNS-Server kommunizieren können. Stellen Sie sicher, dass Ihre Sicherheitsgruppen und On-Premises-Firewalls die TCP- und UDP-Kommunikation über diesen Port erlauben. Weitere Informationen finden Sie unter AD-Connector-Voraussetzungen.

Ich erhalte die Fehlermeldung „SRV record“, wenn ich eine Verbindung zu meinem On-Premises-Verzeichnis herstellen möchte

Sie erhalten eine Fehlermeldung ähnlich einer oder mehr der Folgenden, wenn Sie eine Verbindung zu Ihrem On-Premises-Verzeichnis herstellen möchten:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector muss beim Aufbau einer Verbindung zu Ihrem Verzeichnis SRV-Datensätze für _ldap._tcp.<DnsDomainName> und _kerberos._tcp.<DnsDomainName> abrufen. Sie erhalten diese Fehlermeldung, wenn der Service diese Datensätze nicht von den DNS-Servern abrufen kann, die Sie beim Aufbau einer Verbindung zu ihrem Verzeichnis angegeben haben. Weitere Informationen zu diesen SRV-Datensätzen finden Sie unter SRV record requirements.

Probleme mit der Authentifizierung

Ich erhalte die Fehlermeldung „Die Zertifikatsüberprüfung ist fehlgeschlagen“, wenn ich versuche, mich Amazon WorkSpaces mit einer Smartcard anzumelden

Sie erhalten eine Fehlermeldung ähnlich der folgenden, wenn Sie versuchen, sich WorkSpaces mit einer Smartcard bei Ihrem anzumelden:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

Der Fehler tritt auf, wenn das Zertifikat der Smartcard nicht ordnungsgemäß auf dem Client gespeichert ist, der die Zertifikate verwendet. Weitere Informationen zu AD Connector- und Smartcard-Anforderungen finden Sie unterVoraussetzungen.

Gehen Sie wie folgt vor, um Probleme mit der Smartcard zu beheben, Zertifikate im Zertifikatsspeicher des Benutzers zu speichern:
  1. Greifen Sie auf dem Gerät, das Probleme beim Zugriff auf die Zertifikate hat, auf Microsoft Management Console (MMC).

    Wichtig

    Bevor Sie fortfahren, erstellen Sie eine Kopie des Smartcard-Zertifikats.

  2. Navigieren Sie zum Zertifikatsspeicher in der MMC. Löschen Sie das Smartcard-Zertifikat des Benutzers aus dem Zertifikatsspeicher. Weitere Informationen zum Anzeigen des Zertifikatsspeichers in der MMC finden Sie unter Vorgehensweise: Anzeigen von Zertifikaten mit dem MMC-Snap-In Microsoft -Dokumentation.

  3. Entfernen Sie die Smartcard.

  4. Setzen Sie die Smartcard erneut ein, damit sie das Smartcard-Zertifikat im Zertifikatsspeicher des Benutzers erneut auffüllen kann.

    Warnung

    Wenn die Smartcard das Zertifikat nicht erneut im Benutzerspeicher auffüllt, kann sie nicht für die Smartcard-Authentifizierung verwendet werden. WorkSpaces

Das Dienstkonto des AD Connectors sollte über Folgendes verfügen:

  • my/spnzum Dienstprinzipalnamen hinzugefügt

  • Delegiert für den LDAP-Dienst

Nach dem erneuten Auffüllen des Zertifikats auf der Smartcard sollte der lokale Domänencontroller daraufhin überprüft werden, ob die Zuordnung des Benutzerprinzipalnamens (UPN) für den alternativen Betreffnamen gesperrt ist. Weitere Informationen zu dieser Änderung finden Sie unter So deaktivieren Sie den alternativen Betreffnamen für die UPN-Zuordnung in Microsoft -Dokumentation.

Gehen Sie wie folgt vor, um den Registrierungsschlüssel Ihres Domänencontrollers zu überprüfen:
  • Navigieren Sie im Registrierungseditor zum folgenden Hive-Schlüssel

    HKEY_LOCAL_MACHINE\ SYSTEM\\ Services\ Kdc\ CurrentControlSet UseSubjectAltName

    1. Untersuchen Sie den UseSubjectAltName Wert von:

      1. Wenn der Wert auf 0 gesetzt ist, ist die Zuordnung von alternativen Antragstellernamen deaktiviert und Sie müssen ein bestimmtes Zertifikat explizit nur einem Benutzer zuordnen. Wenn ein Zertifikat mehreren Benutzern zugeordnet ist und dieser Wert 0 ist, schlägt die Anmeldung mit diesem Zertifikat fehl.

      2. Wenn der Wert nicht oder auf 1 gesetzt ist, müssen Sie ein bestimmtes Zertifikat explizit nur einem Benutzer zuordnen oder das Feld Alternativer Name des Antragstellers für die Anmeldung verwenden.

        1. Wenn das Feld Alternativer Name des Antragstellers auf dem Zertifikat vorhanden ist, wird es priorisiert.

        2. Wenn das Feld Alternativer Name des Antragstellers nicht auf dem Zertifikat vorhanden ist und das Zertifikat explizit mehr als einem Benutzer zugeordnet ist, schlägt die Anmeldung mit diesem Zertifikat fehl.

Anmerkung

Wenn der Registrierungsschlüssel auf den lokalen Domänencontrollern festgelegt ist, kann der AD Connector die Benutzer nicht finden in Active Directory und führen zu der obigen Fehlermeldung.

Die Zertifikate der Zertifizierungsstelle (CA) sollten auf das AD Connector-Smartcard-Zertifikat hochgeladen werden. Das Zertifikat sollte OCSP-Informationen enthalten. Im Folgenden sind zusätzliche Anforderungen für die CA aufgeführt:

  • Das Zertifikat sollte sich in der vertrauenswürdigen Stammzertifizierungsstelle des Domänencontrollers, des Zertifizierungsstellenservers und des befinden WorkSpaces.

  • Offline- und Root-CA-Zertifikate enthalten keine OSCP-Informationen. Diese Zertifikate enthalten Informationen über ihren Widerruf.

  • Wenn Sie ein Zertifizierungsstellenzertifikat eines Drittanbieters für die Smartcard-Authentifizierung verwenden, müssen die Zertifizierungsstelle und die Zwischenzertifikate auf der Active Directory NTAuth speichern. Sie müssen in der vertrauenswürdigen Stammzertifizierungsstelle für alle Domänencontroller, Zertifizierungsstellenserver und installiert sein WorkSpaces.

    • Sie können den folgenden Befehl verwenden, um Zertifikate auf der Active Directory NTAuth speichern:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Weitere Informationen zum Veröffentlichen von Zertifikaten im NTAuth Store finden Sie im Installationshandbuch Access Amazon WorkSpaces with Common Access Cards unter Import des ausstellenden CA-Zertifikats in den Enterprise NTAuth Store.

Gehen Sie wie folgt vor, um zu überprüfen, ob das Benutzerzertifikat oder die CA-Kettenzertifikate von OCSP verifiziert wurden:
  1. Exportieren Sie das Smartcard-Zertifikat an einen Speicherort auf dem lokalen Computer, z. B. auf Laufwerk C:.

  2. Öffnen Sie eine Befehlszeilenaufforderung und navigieren Sie zu dem Speicherort, an dem das exportierte Smartcard-Zertifikat gespeichert ist.

  3. Geben Sie den folgenden Befehl ein:

    certutil -URL Certficate_name.cer
  4. Nach dem Befehl sollte ein Popup-Fenster angezeigt werden. Wählen Sie die Option OCSP in der rechten Ecke und wählen Sie Abrufen. Der Status sollte wieder als verifiziert angezeigt werden.

Weitere Informationen zum Befehl certutil finden Sie unter certutil Microsoft Dokumentation

Der Fehler „Ungültige Anmeldeinformationen” wird angezeigt, wenn das von AD Connector verwendete Servicekonto versucht, sich zu authentifizieren

Das kann passieren, wenn die Festplatte auf Ihrem Domain-Controller nicht mehr über genügend Speicherplatz verfügt. Stellen Sie sicher, dass Ihre Domain-Controller-Festplatten nicht voll sind.

Ich erhalte die Fehlermeldung „Authentifizierung nicht möglich“, wenn ich AWS Anwendungen für die Suche nach Benutzern oder Gruppen verwende

Bei der Suche nach Benutzern während der Verwendung von AWS Anwendungen wie Amazon WorkSpaces oder Amazon können Fehler auftreten QuickSight, auch wenn der AD Connector Connector-Status aktiv war. Abgelaufene Anmeldeinformationen können AD Connector daran hindern, Abfragen von Objekten in Ihrem Active Directory durchzuführen. Aktualisieren Sie das Passwort für das Servicekonto anhand der unter angegebenen SchritteDer nahtlose Domänenbeitritt für EC2 Amazon-Instances funktioniert nicht mehr.

Ich erhalte eine Fehlermeldung zu meinen Verzeichnisanmeldedaten, wenn ich versuche, das AD Connector Connector-Dienstkonto zu aktualisieren

Sie erhalten eine Fehlermeldung, die einer oder mehreren der folgenden ähnelt, wenn Sie versuchen, das AD Connector Connector-Dienstkonto zu aktualisieren:

Message:An Error Has Occurred Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred Your directory needs a credential update. Please update the directory credentials following Update your AD Connector Service Account Credentials
Message: An Error Has Occurred Your request has a problem. Please see the following details. There was an error with the service account/password combination

Möglicherweise liegt ein Problem mit der Zeitsynchronisierung und Kerberos vor. AD Connector sendet Kerberos-Authentifizierungsanforderungen an Active Directory. Diese Anfragen sind zeitkritisch, und wenn die Anfragen verzögert werden, schlagen sie fehl. Informationen zur Behebung dieses Problems finden Sie unter Empfehlung — Konfigurieren Sie den Root-PDC mit einer autoritativen Zeitquelle und vermeiden Sie weitverbreitete Zeitverzögerungen Microsoft -Dokumentation. Weitere Informationen zu Zeitdienst und Synchronisation finden Sie unten:

Einige meiner Benutzer können sich in meinem Verzeichnis nicht authentifizieren.

Für Ihre Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Dies ist die Standardeinstellung für neue Benutzerkonten und sie sollte nicht geändert werden. Weitere Informationen zu dieser Einstellung finden Sie unter Vorauthentifizierung auf Microsoft TechNet.

Probleme mit der Wartung

Im Folgenden sind häufig auftretende Wartungsprobleme für AD Connector aufgeführt
  • Mein Verzeichnis bleibt dauerhaft im Status „Angefragt”.

  • Der nahtlose Domänenbeitritt für EC2 Amazon-Instances funktioniert nicht mehr

Mein Verzeichnis bleibt dauerhaft im Status „Angefragt”.

Wenn sich Ihr Verzeichnis länger als fünf Minuten im „Angefragt”-Status befindet, löschen Sie das Verzeichnis und erstellen es neu. Wenn dieses Problem weiterhin besteht, wenden Sie sich an den AWS -Support.

Der nahtlose Domänenbeitritt für EC2 Amazon-Instances funktioniert nicht mehr

Wenn der nahtlose Domänenbeitritt für EC2 Instanzen funktionierte und dann gestoppt wurde, während der AD Connector aktiv war, sind die Anmeldeinformationen für Ihr AD Connector Connector-Dienstkonto möglicherweise abgelaufen. Abgelaufene Anmeldeinformationen können verhindern, dass AD Connector Computerobjekte in Ihrem Active Directory.

Um dieses Problem zu beheben, aktualisieren Sie die Passwörter des Service-Kontos in der folgenden Reihenfolge, damit die Passwörter übereinstimmen:
  1. Aktualisieren Sie das Passwort für das Dienstkonto in Ihrem Active Directory.

  2. Aktualisieren Sie das Passwort für das Dienstkonto in Ihrem AD Connector in AWS Directory Service. Weitere Informationen finden Sie unter Aktualisierung der Anmeldeinformationen Ihres AD Connector Connector-Dienstkontos in AWS Management Console.

Wichtig

Wenn Sie das Passwort nur in aktualisieren, wird die Passwortänderung AWS Directory Service nicht auf Ihr vorhandenes lokales System übertragen Active Directory Daher ist es wichtig, dies in der Reihenfolge zu tun, die im vorherigen Verfahren angegeben wurde.

Ich kann meinen AD Connector nicht löschen

Wenn Ihr AD Connector in einen funktionsunfähigen Zustand wechselt, haben Sie keinen Zugriff mehr auf Ihre Domain-Controller. Wir blockieren das Löschen eines AD Connector, wenn noch Anwendungen damit verknüpft sind, da eine dieser Anwendungen das Verzeichnis möglicherweise immer noch verwendet. Eine Liste der Anwendungen, die Sie deaktivieren müssen, um Ihren AD Connector zu löschen, finden Sie unterIhren AD Connector löschen. Wenn Sie Ihren AD Connector immer noch nicht löschen können, können Sie hier Hilfe anfordern AWS -Support.