Solución de problemas de Conector AD - AWS Directory Service
Problemas de creaciónProblemas de conectividadProblemas de autenticaciónProblemas de mantenimientoNo puedo eliminar mi Conector AD

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de Conector AD

Lo siguiente puede ayudarte a solucionar algunos problemas comunes que pueden surgir al crear o usar tu AD Connector.

Problemas de creación

Los siguientes son problemas de creación comunes para AD Connector:

He recibido un error “AZ Constrained” a la hora de crear un directorio

Es posible que algunas AWS cuentas creadas antes de 2012 tengan acceso a zonas de disponibilidad en las regiones EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Norte de California) o Asia Pacífico (Tokio) que no admiten AWS Directory Service directorios. Si recibe un error como este al crear unaActive Directory, elija una subred en una zona de disponibilidad diferente e intente crear el directorio de nuevo.

Aparece el error «Se han detectado problemas de conectividad» cuando intento crear AD Connector

Si recibes el error «Se ha detectado un problema de conectividad» al intentar crear un conector AD, el error podría deberse a la disponibilidad de los puertos o a la complejidad de la contraseña del conector AD. Puedes probar la conexión del conector AD para comprobar si están disponibles los siguientes puertos:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

Para probar la conexión, consulteProbar el conector de AD. La prueba de conexión debe realizarse en la instancia unida a las dos subredes a las que están asociadas las direcciones IP del conector AD.

Si la prueba de conexión se realiza correctamente y la instancia se une al dominio, comprueba la contraseña del conector AD. AD Connector debe cumplir con los requisitos de complejidad de las AWS contraseñas. Para obtener más información, consulte Cuenta de servicio enRequisitos previos de Conector AD.

Si su AD Connector no cumple estos requisitos, vuelva a crearlo con una contraseña que cumpla con estos requisitos.

Problemas de conectividad

Los siguientes son problemas de conectividad comunes para AD Connector

Aparece el error “Problemas de conectividad detectados” cuando intento conectarme a mi directorio en las instalaciones

Cuando se conecta al directorio on-premise, aparece un error similar al siguiente:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

Es necesario que Conector AD pueda comunicarse con los controladores de dominio en las instalaciones a través de TCP y UDP en los siguientes puertos. Asegúrese de que los grupos de seguridad y los firewall on-premise permiten la comunicación TCP y UDP a través de dichos puertos. Para obtener más información, consulte Requisitos previos de Conector AD.

  • 88 (Kerberos)

  • 389 (LDAP)

Es posible que necesite puertos TCP/UDP adicionales según sus necesidades. Consulte la siguiente lista para ver algunos de estos puertos. Para obtener más información sobre los puertos que utilizanActive Directory, consulte Cómo configurar un firewall para Active Directory dominios y confianzas en Microsoft la documentación.

  • 135 (RPC Endpoint Mapper)

  • 646 (LDAP SSL)

  • 3268 (LDAP GC)

  • 3269 (LDAP GC SSL)

Mostrar másMostrar menos

Aparece el error “DNS no disponible” cuando intento conectarme a mi directorio on-premise

Cuando se conecta al directorio on-premise, aparece un error similar al siguiente:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

Es necesario que Conector AD pueda comunicarse con los servidores DNS en las instalaciones a través de TCP y UDP en el puerto 53. Asegúrese de que los grupos de seguridad y los firewalls on-premise permiten la comunicación TCP y UDP a través de dicho puerto. Para obtener más información, consulte Requisitos previos de Conector AD.

Aparece el error “Registro SRV” cuando intento conectarme a mi directorio en las instalaciones

Al conectarse al directorio on-premise, puede aparecer un error similar a los siguientes:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

Cuando Conector AD se conecta al directorio, necesita obtener los registros SRV _ldap._tcp.<DnsDomainName> y _kerberos._tcp.<DnsDomainName>. Este error aparecerá si el servicio no puede obtener estos registros de los servidores DNS que especificó al conectarse a su directorio. Para obtener más información acerca de estos registros SRV, consulte SRV record requirements.

Problemas de autenticación

Estos son algunos de los problemas de autenticación más comunes con AD Connector:

Aparece el mensaje de error «No se pudo validar el certificado» cuando intento iniciar sesión Amazon WorkSpaces con una tarjeta inteligente

Al intentar iniciar sesión en su cuenta WorkSpaces con una tarjeta inteligente, recibe un mensaje de error similar al siguiente:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

El error se produce si el certificado de la tarjeta inteligente no está almacenado correctamente en el cliente que usa los certificados. Para obtener más información sobre los requisitos de AD Connector y tarjetas inteligentes, consulteRequisitos previos.

Utilice los siguientes procedimientos para solucionar problemas relacionados con la capacidad de la tarjeta inteligente para almacenar certificados en el almacén de certificados del usuario:

  1. En el dispositivo que tiene problemas para acceder a los certificados, acceda al Microsoft Management Console (MMC).

    importante

    Antes de continuar, cree una copia del certificado de la tarjeta inteligente.

  2. Navegue hasta el almacén de certificados de la MMC. Elimine el certificado de tarjeta inteligente del usuario del almacén de certificados. Para obtener más información sobre cómo ver el almacén de certificados en la MMC, consulte Cómo ver los certificados con el complemento MMC en la documentación. Microsoft

  3. Extraiga la tarjeta inteligente.

  4. Vuelva a insertar la tarjeta inteligente para que pueda volver a rellenar el certificado de la tarjeta inteligente en el almacén de certificados del usuario.

    aviso

    Si la tarjeta inteligente no rellena el certificado en el almacén de usuarios, no se puede utilizar para la autenticación con tarjeta inteligente. WorkSpaces

La cuenta de servicio del conector AD debe tener lo siguiente:

  • my/spnagregado al nombre principal del servicio

  • Delegado para el servicio LDAP

Una vez rellenado el certificado en la tarjeta inteligente, se debe comprobar el controlador de dominio local para determinar si se ha bloqueado la asignación del nombre principal de usuario (UPN) al nombre alternativo del sujeto. Para obtener más información sobre este cambio, consulte Cómo deshabilitar el nombre alternativo del sujeto para la asignación de UPN en la documentación. Microsoft

Utilice el siguiente procedimiento para comprobar la clave de registro del controlador de dominio:

  1. En el Editor del Registro, navegue hasta la siguiente clave secundaria

    HKEY_LOCAL_MACHINE\ SYSTEM\\ Services\ Kdc\ CurrentControlSet UseSubjectAltName

  2. UseSubjectAltNameSeleccione. Asegúrese de que el valor esté establecido en 0.

nota

Si la clave de registro está configurada en los controladores de dominio locales, el AD Connector no podrá localizar a los usuarios Active Directory y generará el mensaje de error anterior.

Los certificados de la entidad de certificación (CA) se deben cargar en el certificado de la tarjeta inteligente AD Connector. El certificado debe contener información sobre el OCSP. A continuación se enumeran los requisitos adicionales para la CA:

  • El certificado debe estar en la autoridad raíz de confianza del controlador de dominio, el servidor de la autoridad de certificación y el WorkSpaces.

  • Los certificados de CA raíz y fuera de línea no contendrán la información de la OSCP. Estos certificados contienen información sobre su revocación.

  • Si utiliza un certificado de CA de terceros para la autenticación con tarjeta inteligente, la CA y los certificados intermedios deben publicarse en el almacén de Active Directory NTauth. Deben estar instalados en la entidad raíz de confianza para todos los controladores de dominio, los servidores de la entidad de certificación y. WorkSpaces

    • Puede usar el siguiente comando para publicar certificados en el almacén de Active Directory NTauth:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Para obtener más información sobre la publicación de certificados en la tienda de NTauth, consulte Importación del certificado de CA emisor a la tienda de NTauth empresarial en la Guía de instalación de Access Amazon WorkSpaces with Common Access Cards.

Para comprobar si OCSP verifica el certificado de usuario o los certificados en cadena de CA, sigue este procedimiento:

  1. Exporte el certificado de la tarjeta inteligente a una ubicación de la máquina local, como la unidad C:.

  2. Abra una línea de comandos y vaya a la ubicación en la que está almacenado el certificado de tarjeta inteligente exportado.

  3. Escriba el siguiente comando:

    certutil -URL Certficate_name.cer

  4. Tras el comando, debería aparecer una ventana emergente. Seleccione la opción OCSP en la esquina derecha y seleccione Recuperar. El estado debería volver a ser verificado.

Para obtener más información sobre el comando certutil, consulte certutil en la documentación Microsoft

Mostrar másMostrar menos

He recibido un error “Credenciales no válidas” cuando la cuenta de servicio que utiliza Conector AD intenta autenticarse

Esto puede ocurrir si el disco duro del controlador de dominio se queda sin espacio. Asegúrese de que los discos duros del controlador de dominio no estén llenos.

Aparece el mensaje de error «No se puede autenticar» cuando utilizo AWS aplicaciones para buscar usuarios o grupos

Es posible que se produzcan errores al buscar usuarios mientras utiliza AWS aplicaciones, como WorkSpaces Amazon QuickSight, incluso cuando el estado del AD Connector estaba activo. Las credenciales caducadas pueden impedir que Conector AD complete consultas en Active Directory. Actualiza la contraseña de la cuenta de servicio siguiendo los pasos ordenados que se indican enLa unión de dominios perfecta para las instancias de Amazon EC2 dejó de funcionar.

Recibo un error sobre las credenciales de mi directorio cuando intento actualizar la cuenta de servicio AD Connector

Al intentar actualizar la cuenta de servicio de AD Connector, recibe un mensaje de error similar a uno o varios de los siguientes:

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Es posible que haya un problema con la sincronización horaria y Kerberos. AD Connector envía las solicitudes de autenticación de Kerberos aActive Directory. Estas solicitudes son urgentes y, si se retrasan, fallarán. Para resolver este problema, consulte la recomendación: configurar el PDC raíz con una fuente horaria autorizada y evitar un sesgo horario generalizado en la documentación. Microsoft Para obtener más información sobre el servicio horario y la sincronización, consulte lo siguiente:

Mostrar másMostrar menos

Algunos de mis usuarios no pueden autenticarse con mi directorio

Las cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Es la configuración predeterminada para cuentas de usuario nuevas y no debe modificarse. Para obtener más información sobre esta configuración, consulte Autenticación previa activada Microsoft TechNet.

Problemas de mantenimiento

Los siguientes son problemas de mantenimiento comunes del AD Connector:

  • Mi directorio se bloquea en el estado “Solicitado”

  • La unión de dominios perfecta para las instancias de Amazon EC2 dejó de funcionar

Mi directorio se bloquea en el estado “Solicitado”

Si tiene un directorio que haya estado en estado “Solicitado” durante más de cinco minutos, pruebe a eliminar el directorio y vuelva a crearlo. Si este problema sigue sin resolverse, póngase en contacto con AWS Support.

La unión de dominios perfecta para las instancias de Amazon EC2 dejó de funcionar

La unión a dominios sencilla para instancias de EC2 estaba funcionando y, a continuación, se detuvo mientras Conector AD estaba activo, es posible que las credenciales de la cuenta de servicio de Conector AD hayan caducado. Las credenciales caducadas pueden impedir que AD Connector cree objetos de ordenador en suActive Directory.

Para resolver este problema, actualice las contraseñas de la cuenta de servicio en el orden que se indica a continuación, de modo que las contraseñas coincidan:

  1. Actualice la contraseña de la cuenta de servicio de suActive Directory.

  2. Actualiza la contraseña de la cuenta de servicio en tu AD Connector en AWS Directory Service. Para obtener más información, consulte Actualización de las credenciales de su cuenta de servicio de Conector AD en AWS Directory Service.

importante

Si se actualiza la contraseña solo en, el cambio de contraseña AWS Directory Service no se transfiere a la versión local existente, Active Directory por lo que es importante hacerlo en el orden indicado en el procedimiento anterior.

No puedo eliminar mi Conector AD

Si Conector AD pasa a un estado inoperativo, ya no tendrá acceso a los controladores de dominio. Bloqueamos la eliminación de un Conector AD cuando todavía hay aplicaciones vinculadas a él porque es posible que una de esas aplicaciones siga utilizando el directorio. Para obtener una lista de las aplicaciones que debe deshabilitar para eliminar su AD Connector, consulteEliminación de Conector AD. Si sigues sin poder eliminar tu AD Connector, puedes solicitar ayuda a través de este enlace AWS Support.