Solución de problemas de Conector AD - AWS Directory Service
Problemas en la creaciónProblemas de conectividadProblemas de autenticaciónProblemas de mantenimientoNo puedo eliminar mi Conector AD

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de Conector AD

La siguiente información puede ayudarlo a solucionar algunos problemas comunes que podría encontrar a la hora de crear o utilizar el Conector AD.

Problemas en la creación

Los siguientes son problemas de creación comunes del Conector AD:

He recibido un error “AZ Constrained” a la hora de crear un directorio

Es posible que algunas AWS cuentas creadas antes de 2012 tengan acceso a zonas de disponibilidad en las regiones EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Norte de California) o Asia-Pacífico (Tokio) que no admiten AWS Directory Service directorios. Si recibe un error como este al crear un Active Directory, elija una subred en una zona de disponibilidad diferente e intente crear el directorio de nuevo.

Aparece el error de «Problemas de conectividad detectados» cuando intento crear un Conector AD

Si recibe el error «Se ha detectado un problema de conectividad» al intentar crear un Conector AD, el error podría deberse a la disponibilidad de puertos o a la complejidad de la contraseña de Conector AD. Puede probar la conexión del Conector AD para comprobar si los siguientes puertos están disponibles:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

Para probar la conexión, consulte Probar el conector de AD. La prueba de conexión se debe realizar en la instancia vinculada a las dos subredes a las que están asociadas las direcciones IP del Conector AD.

Si la prueba de conexión se realiza correctamente y la instancia se une al dominio, entonces compruebe la contraseña del Conector AD. AD Connector debe cumplir con los requisitos de complejidad de las AWS contraseñas. Para obtener más información, consulte Cuenta de servicio de Requisitos previos de Conector AD.

Si su Conector AD no cumple estos requisitos, vuelva a crearlo con una contraseña que sí lo haga.

Problemas de conectividad

Los siguientes son problemas de conectividad comunes del Conector AD

Aparece el error “Problemas de conectividad detectados” cuando intento conectarme a mi directorio en las instalaciones

Cuando se conecta al directorio en las instalaciones, aparece un error similar al siguiente:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

Es necesario que Conector AD pueda comunicarse con los controladores de dominio en las instalaciones a través de TCP y UDP en los siguientes puertos. Asegúrese de que los grupos de seguridad y los firewall en las instalaciones permiten la comunicación TCP y UDP a través de dichos puertos. Para obtener más información, consulte Requisitos previos de Conector AD.

  • 88 (Kerberos)

  • 389 (LDAP)

Es posible que necesite puertos TCP/UDP adicionales según sus necesidades. Consulte la siguiente lista para ver algunos de estos puertos. Para obtener más información sobre los puertos utilizados por Active Directory, consulte Cómo configurar un firewall para Active Directory dominios y confianzas en Microsoft .

  • 135 (RPC Endpoint Mapper)

  • 646 (LDAP SSL)

  • 3268 (LDAP GC)

  • 3269 (LDAP GC SSL)

Mostrar másMostrar menos

Aparece el error «DNS no disponible» cuando intento conectarme a mi directorio en las instalaciones

Cuando se conecta al directorio en las instalaciones, aparece un error similar al siguiente:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

Es necesario que Conector AD pueda comunicarse con los servidores DNS en las instalaciones a través de TCP y UDP en el puerto 53. Asegúrese de que los grupos de seguridad y los firewalls en las instalaciones permiten la comunicación TCP y UDP a través de dicho puerto. Para obtener más información, consulte Requisitos previos de Conector AD.

Aparece el error “Registro SRV” cuando intento conectarme a mi directorio en las instalaciones

Al conectarse al directorio en las instalaciones, puede aparecer un error similar a los siguientes:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

Cuando Conector AD se conecta al directorio, necesita obtener los registros SRV _ldap._tcp.<DnsDomainName> y _kerberos._tcp.<DnsDomainName>. Este error aparecerá si el servicio no puede obtener estos registros de los servidores DNS que especificó al conectarse a su directorio. Para obtener más información acerca de estos registros SRV, consulte SRV record requirements.

Problemas de autenticación

A continuación se muestran algunos problemas de autenticación comunes de Conector AD:

Aparece el mensaje de error «No se pudo validar el certificado» cuando intento iniciar sesión Amazon WorkSpaces con una tarjeta inteligente

Al intentar iniciar sesión en su cuenta WorkSpaces con una tarjeta inteligente, recibe un mensaje de error similar al siguiente:

ERROR: Certificate Validation failed. 
                Please try again by restarting your browser or application and make sure you select the correct certificate.

El error se produce si el certificado de la tarjeta inteligente no está almacenado correctamente en el cliente que usa los certificados. Para obtener más información sobre los requisitos de AD Connector y las tarjetas inteligentes, consulte Requisitos previos.

Uso de los siguientes procedimientos para solucionar problemas relacionados con la capacidad de la tarjeta inteligente para almacenar certificados en el almacén de certificados del usuario:

  1. En el dispositivo que tiene problemas para acceder a los certificados, acceda al Microsoft Management Console (MMC).

    importante

    Antes de continuar, cree una copia del certificado de la tarjeta inteligente.

  2. Navegue hasta el almacén de certificados de la MMC. Elimine el certificado de tarjeta inteligente del usuario del almacén de certificados. Para obtener más información sobre cómo ver el almacén de certificados en la MMC, consulte Cómo ver los certificados con el complemento MMC en Microsoft .

  3. Extraiga la tarjeta inteligente.

  4. Vuelva a insertar la tarjeta inteligente para que pueda volver a rellenar el certificado de la tarjeta inteligente en el almacén de certificados del usuario.

    aviso

    Si la tarjeta inteligente no rellena el certificado en el almacén de usuarios, no se puede utilizar para la autenticación con tarjeta inteligente. WorkSpaces

La cuenta de servicio de Conector AD debe tener lo siguiente:

  • my/spn agregado al nombre principal del servicio

  • Delegado para el servicio LDAP

Una vez que se haya rellenado el certificado en la tarjeta inteligente, se debe comprobar el controlador de dominio en las instalaciones para determinar si se ha bloqueado la asignación del nombre principal de usuario (UPN) al nombre alternativo del sujeto. Para obtener más información sobre este cambio, consulte Cómo deshabilitar el nombre alternativo del sujeto para la asignación UPN en Microsoft .

Uso del siguiente procedimiento para comprobar la clave del registro del controlador de dominio:

  • En el Editor del registro, navegue hasta el siguiente grupo de claves:

    HKEY_LOCAL_MACHINE\ SYSTEM\\ Services\ Kdc\ CurrentControlSet UseSubjectAltName

    1. Inspeccione el UseSubjectAltName valor de:

      1. Si el valor se establece en 0, la asignación de nombres alternativos del sujeto está deshabilitada y debe asignar explícitamente un certificado determinado a un solo usuario. Si un certificado está asignado a varios usuarios y este valor es 0, no se podrá iniciar sesión con ese certificado.

      2. Si el valor no está establecido o establecido en 1, debe asignar explícitamente un certificado determinado a un solo usuario o usar el campo Nombre alternativo del sujeto para iniciar sesión.

        1. Si el campo Nombre alternativo del sujeto existe en el certificado, se le dará prioridad.

        2. Si el campo Nombre alternativo del sujeto no existe en el certificado y el certificado está asignado explícitamente a más de un usuario, no se podrá iniciar sesión con ese certificado.

nota

Si la clave de registro está configurada en los controladores de dominio locales, el AD Connector no podrá localizar a los usuarios en Active Directory y generarán el mensaje de error anterior.

Los certificados de entidades de certificación (CA) se deben cargar en el certificado de la tarjeta inteligente de Conector AD. El certificado debe contener información sobre el OCSP. A continuación se enumeran los requisitos adicionales para las CA:

  • El certificado debe estar en la autoridad raíz de confianza del controlador de dominio, el servidor de la autoridad de certificación y el WorkSpaces.

  • Los certificados de CA raíz y fuera de línea no contendrán la información de OSCP. Estos certificados contienen información sobre su revocación.

  • Si utiliza un certificado de CA de terceros para la autenticación con tarjeta inteligente, la CA y los certificados intermedios deben publicarse en el Active Directory NTAuth almacenar. Deben estar instalados en la autoridad raíz de confianza para todos los controladores de dominio, servidores de la autoridad de certificación y WorkSpaces.

    • Puede usar el siguiente comando para publicar los certificados en Active Directory NTAuth almacenar:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Para obtener más información sobre la publicación de certificados en la NTAuth tienda, consulte Importación del certificado de CA emisor a la NTAuth tienda empresarial en la Guía de instalación de Access Amazon WorkSpaces with Common Access Cards.

Cómo comprobar si el OCSP verifica el certificado de usuario o los certificados en cadena de CA, siga este procedimiento:

  1. Exporte el certificado de la tarjeta inteligente a una ubicación de la máquina local, como la unidad C:.

  2. Abra una petición de línea de comandos y navegue hasta la ubicación en la que está almacenado el certificado de tarjeta inteligente exportado.

  3. Escriba el siguiente comando:

    certutil -URL Certficate_name.cer

  4. Aparecerá una ventana emergente después del comando. Seleccione la opción OCSP en la esquina derecha y elija Recuperar. El estado debería volver como verificado.

Para obtener más información sobre el comando certutil, consulte certutil en Microsoft documentación

Mostrar másMostrar menos

He recibido un error “Credenciales no válidas” cuando la cuenta de servicio que utiliza Conector AD intenta autenticarse

Esto puede ocurrir si el disco duro del controlador de dominio se queda sin espacio. Asegúrese de que los discos duros del controlador de dominio no estén llenos.

Aparece el mensaje de error «No se puede autenticar» cuando utilizo AWS aplicaciones para buscar usuarios o grupos

Es posible que se produzcan errores al buscar usuarios al utilizar AWS aplicaciones, como WorkSpaces Amazon QuickSight, incluso cuando el estado del AD Connector esté activo. Las credenciales caducadas pueden impedir que Conector AD complete consultas en Active Directory. Actualice la contraseña de la cuenta de servicio siguiendo por orden los pasos indicados en La unión fluida de dominios para las EC2 instancias de Amazon dejó de funcionar.

Recepción de un error sobre las credenciales de mi directorio cuando intento actualizar la cuenta de servicio de Conector AD

Al intentar actualizar la cuenta de servicio de Conector AD, aparece un mensaje de error similar a uno o varios de los siguientes:

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Es posible que haya un problema con la sincronización horaria y Kerberos. AD Connector envía las solicitudes de autenticación de Kerberos a Active Directory. Estas solicitudes son urgentes y, si se retrasan, no se aceptarán. Para resolver este problema, consulte la recomendación: configurar el PDC raíz con una fuente de tiempo autorizada y evitar un sesgo horario generalizado Microsoft . Para obtener más información sobre el servicio temporal y la sincronización, consulte lo siguiente:

Mostrar másMostrar menos

Algunos de mis usuarios no pueden autenticarse con mi directorio

Las cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Es la configuración predeterminada para cuentas de usuario nuevas y no debe modificarse. Para obtener más información sobre esta configuración, consulte Autenticación previa en Microsoft TechNet.

Problemas de mantenimiento

Los siguientes son problemas de mantenimiento comunes del conector AD:

  • Mi directorio se bloquea en el estado “Solicitado”

  • La unión fluida de dominios para las EC2 instancias de Amazon dejó de funcionar

Mi directorio se bloquea en el estado “Solicitado”

Si tiene un directorio que haya estado en estado “Solicitado” durante más de cinco minutos, pruebe a eliminar el directorio y vuelva a crearlo. Si este problema sigue sin resolverse, póngase en contacto con AWS Support.

La unión fluida de dominios para las EC2 instancias de Amazon dejó de funcionar

Si la unión perfecta de dominios para EC2 las instancias funcionaba y, después, se detuvo mientras el AD Connector estaba activo, es posible que las credenciales de la cuenta de servicio de AD Connector hayan caducado. Las credenciales caducadas pueden impedir que AD Connector cree objetos de ordenador en su Active Directory.

Para resolver este problema, actualice las contraseñas de la cuenta de servicio en el orden que se indica a continuación, de modo que las contraseñas coincidan:

  1. Actualice la contraseña de la cuenta de servicio de su Active Directory.

  2. Actualice la contraseña de la cuenta de servicio del conector AD en AWS Directory Service. Para obtener más información, consulte Actualización de las credenciales de la cuenta de servicio de AD Connector en AWS Management Console.

importante

Si se actualiza la contraseña solo en, AWS Directory Service no se transfiere el cambio de contraseña a su entorno local actual Active Directory por lo que es importante hacerlo en el orden indicado en el procedimiento anterior.

No puedo eliminar mi Conector AD

Si Conector AD pasa a un estado inoperativo, ya no tendrá acceso a los controladores de dominio. Bloqueamos la eliminación de un Conector AD cuando todavía hay aplicaciones vinculadas a él porque es posible que una de esas aplicaciones siga utilizando el directorio. Para obtener una lista de las aplicaciones que debe deshabilitar para eliminar el conector AD, consulte Eliminación del Conector AD. Si aún no puede eliminar el conector AD, puede solicitar ayuda a través de AWS Support.