Solución de problemas de Active Directory - Amazon AppStream 2.0
Mis generadores de imágenes y mis instancias de la flota se han quedado atascados en el estado PENDING (Pendiente).Mis usuarios no pueden iniciar sesión con la aplicación SAMLMis instancias de la flota funcionan para un usuario, pero no pasan correctamente al ciclo siguiente.Los objetos de política de grupo de mi usuario no se aplican correctamente.Mis instancias de streaming de AppStream 2.0 no se incorporan al dominio de Active Directory.El inicio de sesión de usuario tarda mucho tiempo en completarse en una sesión de streaming incorporada en un dominio.Mis usuarios no pueden acceder a un recurso de dominio de una sesión de streaming unida al dominio, pero sí pueden acceder a ese mismo recurso desde un generador de imágenes unido al dominio.Mis usuarios reciben el error “La autenticación basada en certificados no está disponible” y se les pide que introduzcan la contraseña de su dominio. O bien, los usuarios reciben el error “Desconectado de la sesión” cuando inician una sesión habilitada con la autenticación basada en certificados.Estoy experimentando errores al unirme a un dominio después de cambiar la cuenta de servicio de Active Directory (AD).

Solución de problemas de Active Directory

A continuación aparecen algunos problemas que pueden producirse al configurar y utilizar Active Directory con Amazon AppStream 2.0. Para obtener ayuda para solucionar problemas de códigos de notificación, consulte Solución de problemas con los códigos de notificación.

Mis generadores de imágenes y mis instancias de la flota se han quedado atascados en el estado PENDING (Pendiente).

Los generadores de imágenes y las instancias de la flota pueden tardar hasta 25 minutos en pasar al estado listo y estar disponibles. Si las instancias tardan más de 25 minutos en estar disponibles, compruebe en Active Directory si los objetos de equipo nuevos se han creado en las unidades organizativas correctas (OU). Si hay objetos nuevos, las instancias de streaming estarán disponibles pronto. Si no aparecen los objetos, compruebe los detalles de configuración del directorio en el objeto Directory Config de AppStream 2.0: nombre del directorio (el nombre de dominio completo del directorio, las credenciales de inicio de sesión de la cuenta de servicio y el nombre distinguido de la OU).

Los errores del generador de imágenes y la flota se muestran en la consola de AppStream 2.0, en la pestaña Notificaciones del generador de imágenes o de la flota. Los errores de flota también están disponibles mediante la API de AppStream 2.0 a través de la operación DescribeFleets o el comando de la CLI describe-fleets.

Mis usuarios no pueden iniciar sesión con la aplicación SAML

AppStream 2.0 se basa en el atributo "NameID" de SAML_Subject de su proveedor de identidades para completar el campo de nombre de usuario para que el usuario inicie sesión. El nombre de usuario puede tener el formato "domain\username" o "user@domain.com". Si usa el formato "domain\username", domain puede ser el nombre NetBIOS o el nombre de dominio completo. En caso de que se utilice el formato "user@domain.com", se puede utilizar el atributo UserPrincipalName. Si ha comprobado que su atributo SAML_Subject está configurado correctamente y el problema persiste, póngase en contacto con AWS Support. Para obtener más información, consulte el Centro de AWS Support.

Mis instancias de la flota funcionan para un usuario, pero no pasan correctamente al ciclo siguiente.

Las instancias de la flota pasan al ciclo siguiente cuando un usuario completa una sesión; de esta manera, se garantiza que cada usuario tenga una instancia nueva. Cuando la instancia de la flota que ha pasado al ciclo siguiente se pone online, se incorpora al dominio usando el nombre de equipo de la instancia anterior. Para garantizar que esta operación se realice correctamente, la cuenta de servicio necesita permisos para Cambiar contraseña y Restablecer contraseña sobre la unidad organizativa (OU) a la que se incorpora el objeto de equipo. Compruebe los permisos de la cuenta del servicio y vuelva a intentarlo. Si el problema sigue sin resolverse, póngase en contacto con AWS Support. Para obtener más información, consulte el Centro de AWS Support.

Los objetos de política de grupo de mi usuario no se aplican correctamente.

De forma predeterminada, los objetos de equipo aplican políticas de nivel de equipo basadas en la OU en la que reside el objeto de equipo, además de aplicar políticas de nivel de usuario en la OU en la que reside el usuario. Si las políticas de nivel de usuario no se aplican, puede elegir realizar una de las operaciones siguientes:

  • Mover las políticas de nivel de usuario a la OU en la que reside el objeto de Active Directory del usuario

  • Habilite un "procesamiento de bucle invertido" de nivel de equipo que aplique las políticas de nivel de usuario en la OU del objeto de equipo.

Para obtener más información, consulte el procesamiento de bucle invertido de la política de grupo en el soporte técnico de Microsoft.

Mis instancias de streaming de AppStream 2.0 no se incorporan al dominio de Active Directory.

El dominio de Active Directory que se va a utilizar con AppStream 2.0 debe ser accesible a través de su nombre de dominio completo (FQDN) a través de la VPC en la que se lanzan las instancias de streaming.

Para probar que su dominio sea accesible

  1. Lance una instancia de Amazon EC2 en la misma VPC, subred y grupos de seguridad que utiliza con AppStream 2.0.

  2. Incorpore manualmente la instancia EC2 a su dominio de Active Directory usando el FQDN (por ejemplo, yourdomain.example.com) con la cuenta de servicio que va a utilizar con AppStream 2.0. Ejecute el siguiente comando en una consola de PowerShell de Windows:

    netdom join computer /domain:FQDN /OU:path /ud:user /pd:password

    Si esta unión manual da un resultado erróneo, vaya al paso siguiente.

  3. Si no puede incorporarse manualmente a su dominio, abra un símbolo del sistema y compruebe que pueda resolver el FQDN ejecutando el comando nslookup. Por ejemplo:

    nslookup yourdomain.exampleco.com

    Una resolución de nombre correcta devuelve una dirección IP válida. Si no puede resolver el FQDN, es posible que deba actualizar los servidores DNS de la VPC utilizando una opción de DHCP establecida en su dominio. A continuación, vuelva a este paso. Para obtener más información, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.

  4. Si el FQDN se resuelve, utilice el comando telnet para validar la conectividad.

    telnet yourdomain.exampleco.com 389

    Si la conexión es correcta, se visualiza una ventana de símbolo del sistema en blanco sin errores de conexión. Es posible que deba instalar la característica cliente de Telnet en su instancia EC2. Para obtener más información, consulte Install Telnet Client en la documentación de Microsoft.

Si no ha podido unir manualmente la instancia EC2 al dominio, pero ha conseguido resolver el FQDN y probar la conectividad con el cliente de Telnet, es posible que los grupos de seguridad de VPC sean los responsables de que no consiga obtener acceso. Active Directory requiere una determinada configuración del puerto de red. Para obtener más información, consulte Active Directory and Active Directory Domain Services Port Requirements en la documentación de Microsoft.

El inicio de sesión de usuario tarda mucho tiempo en completarse en una sesión de streaming incorporada en un dominio.

AppStream 2.0 realiza una acción de inicio de sesión de Windows después de que los usuarios proporcionen su contraseña de dominio. Después de una autenticación correcta, AppStream 2.0 lanza la aplicación. Los tiempos de inicio de sesión y de lanzamiento se ven afectados por muchas variables, como, por ejemplo, la contención de red a los controladores de dominio o el tiempo necesario para aplicar la configuración de política de grupo a la instancia de streaming. Si la autenticación de dominio tarda demasiado tiempo en completarse, pruebe a realizar las siguientes acciones.

  • Minimice la latencia de red desde su región de AppStream 2.0 a los controladores de dominio eligiendo los controladores de dominio correctos. Por ejemplo, si su flota se encuentra en us-east-1, utilice controladores de dominio con gran ancho de banda y baja latencia para us-east-1 mediante mapeos de zona de sitios y servicios de Active Directory. Para obtener más información, consulte Active Directory Sites and Services en la documentación de Microsoft.

  • Asegúrese de que sus scripts de configuración de políticas de grupo e inicio de sesión de usuario no tarden excesivamente en aplicarse o ejecutarse.

Si el inicio de sesión de los usuarios de su dominio en AppStream 2.0 devuelve un error con el mensaje "Se ha producido un error desconocido", es posible que deba actualizar la configuración de la política de grupo descrita en Antes de empezar a utilizar Active Directory con Amazon AppStream 2.0. De lo contrario, es posible que esta configuración impida que los usuarios de su dominio se autentiquen e inicien sesión en AppStream 2.0.

Mis usuarios no pueden acceder a un recurso de dominio de una sesión de streaming unida al dominio, pero sí pueden acceder a ese mismo recurso desde un generador de imágenes unido al dominio.

Confirme que la flota se ha creado en la misma VPC, subredes y grupos de seguridad que el generador de imágenes, y que el usuario tiene los permisos adecuados para acceder al recurso del dominio y usarlo.

Mis usuarios reciben el error “La autenticación basada en certificados no está disponible” y se les pide que introduzcan la contraseña de su dominio. O bien, los usuarios reciben el error “Desconectado de la sesión” cuando inician una sesión habilitada con la autenticación basada en certificados.

Estos errores se producen si la autenticación basada en certificados no se realizó correctamente durante la sesión. El error “La autenticación basada en certificados no está disponible” aparece cuando la autenticación basada en certificados está habilitada para permitir el inicio de sesión mediante contraseña. El error “Desconectado de la sesión” aparece cuando la autenticación basada en certificados está habilitada sin recurso alternativo.

El usuario puede actualizar la página en el cliente web o volver a conectarse desde el cliente para Windows, ya que puede tratarse de un problema intermitente con la autenticación basada en certificados. Si el problema persiste, el error de autenticación basada en certificados puede deberse a uno de los siguientes problemas:

  • AppStream 2.0 no pudo comunicarse con la CA privada de AWS o la CA privada de AWS no emitió el certificado. Consulte CloudTrail para determinar si se emitió un certificado. Para obtener más información, consulte ¿Qué es AWS CloudTrail? y Administración de la autenticación basada en certificados.

  • El controlador de dominio no tiene un certificado de controlador de dominio para el inicio de sesión con tarjeta inteligente o ha caducado. Para obtener más información, consulte el paso 7.a de Requisitos previos.

  • El certificado no es de confianza. Para obtener más información, consulte el paso 7.c de Requisitos previos.

  • El formato UserPrincipalName para SAML_Subject NameID no tiene el formato correcto o no se resuelve en el dominio real del usuario. Para obtener más información, consulte el paso 1 de Requisitos previos.

  • El atributo ObjectSid (opcional) de la aserción SAML no coincide con el identificador de seguridad (SID) de Active Directory del usuario especificado en SAML_Subject NameID. Confirme que la asignación de atributos es correcta en su federación de SAML y que su proveedor de identidad de SAML está sincronizando el atributo SID para el usuario de Active Directory.

  • El agente de AppStream 2.0 no admite la autenticación basada en certificados. Utilice la versión 10-13-2022 o posterior del agente de AppStream 2.0.

  • Hay configuraciones de política de grupo que modifican la configuración predeterminada de Active Directory para el inicio de sesión con tarjeta inteligente o toman medidas si se retira una tarjeta inteligente de un lector de tarjetas inteligentes. Esta configuración puede provocar un comportamiento inesperado adicional además de los errores enumerados anteriormente. La autenticación basada en certificados presenta una tarjeta inteligente virtual en el sistema operativo de la instancia y la elimina una vez finalizado el inicio de sesión. Para obtener más información, consulte Configuración de directiva de grupo principal para tarjetas inteligentes y Configuración de directiva de grupo de tarjeta inteligente adicional y claves del Registro. No habilite el Inicio de sesión con tarjeta inteligente para Active Directory en su pila si desea utilizar la autenticación basada en certificados. Para obtener más información, consulte Tarjetas inteligentes.

  • El punto de distribución CRL de la CA privada no está en línea ni se puede acceder a él desde la instancia de flota de AppStream 2.0 ni desde el controlador de dominio. Para obtener más información, consulte el paso 5 de Requisitos previos.

Los pasos adicionales de solución de problemas incluyen revisar los registros de eventos de Windows de la instancia de AppStream 2.0. Un suceso habitual que hay que revisar para detectar un error de inicio de sesión es el 4625 (F): Una cuenta no pudo iniciar sesión. Para obtener más información sobre la captura de información de registro, consulte Registros de aplicaciones persistentes y eventos de Windows. Como alternativa, para solucionar problemas de una sesión activa de AppStream 2.0 como administrador, puede conectarse a los registros mediante un visor de eventos en otro equipo. Para obtener más información, consulte Cómo seleccionar equipos en el Visor de eventos. O bien, puede conectarse mediante un Escritorio remoto para establecer una conexión con la dirección IP privada de la instancia desde otro equipo que pueda conectarse a los Servicios de Escritorio remoto en su nube privada virtual (VPC) de AppStream 2.0. Utilice la AWS CLI para determinar la dirección IP de la sesión en función de la región de AWS, el nombre de la pila de AppStream 2.0, el nombre de la flota, el ID de usuario y el tipo de autenticación. Para obtener más información, consulte la AWS Command Line Interface.

Si el problema sigue sin resolverse, póngase en contacto con AWS Support. Para obtener más información, consulte el Centro de AWS Support.

Estoy experimentando errores al unirme a un dominio después de cambiar la cuenta de servicio de Active Directory (AD).

Si tiene una flota existente con una imagen basada en la actualización del sistema operativo Microsoft Windows Server de agosto de 2024 y cambia la cuenta de servicio de Active Directory (AD) para dicha flota, es posible que las instancias de su flota sufran errores al unirse a dominios durante el aprovisionamiento.

Microsoft ha publicado el parche KB5020276, que modifica el comportamiento de las operaciones de unión a dominios. AppStream 2.0 reutiliza los objetos de equipo existentes al unir las instancias de streaming a dominios de AD. Este objeto de equipo se genera mediante la cuenta de servicio de AD que proporciona al crear una flota u objeto Directory Config con AppStream 2.0. Antes de este parche de Microsoft, las nuevas cuentas de servicio de AD podían reutilizar objetos de equipo existentes creados por AppStream 2.0, siempre que tuvieran permisos de creación de objetos de equipo configurados en la unidad organizativa (UO).

Cuando se aplique el parche de Microsoft, a partir del 13 de agosto de 2024, y si cambia su cuenta de servicio de AD por una flota de AppStream 2.0 existente, la nueva cuenta de servicio ya no podrá reutilizar los objetos de equipo existentes en AD. Esto provoca errores de unión a dominios en las flotas de AppStream 2.0, y se muestra uno de los siguientes mensajes de error en las notificaciones de flota:

  • DOMAIN_JOIN_INTERNAL_SERVICE_ERROR “The group name could not be found” (No se pudo encontrar el nombre del grupo)

  • Existe una cuenta con el mismo nombre en Active Directory. La política de seguridad bloqueó la reutilización de la cuenta

Para controlar qué cuenta puede reutilizar los objetos de equipo existentes, Microsoft ha implementado una nueva configuración de política de grupo denominada Controlador de dominio: permitir la reutilización de la cuenta de equipo mientras se une al dominio. Esta configuración le permite especificar una lista de cuentas de servicio de confianza que no se comprueban durante la operación de unión al dominio. Para su configuración de AD autoadministrada, le recomendamos que siga los pasos documentados por Microsoft para añadir su cuenta de servicio de AD a la nueva política de listas de permitidos mediante políticas de grupo en un controlador de dominio.

En el caso de Active Directory administrado (MAD), debe reiniciar la flota de AppStream 2.0 después de realizar cambios en su cuenta de servicio de unión a dominios de AppStream 2.0.

Si el problema sigue sin resolverse, póngase en contacto con AWS Support. Para obtener más información, consulte el Centro de AWS Support.