Résolution des problèmes liés à AD Connector - AWS Directory Service
Problèmes de créationProblèmes de connectivitéProblèmes d'authentificationProblèmes de maintenanceJe ne parviens pas à supprimer mon AD Connector

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes liés à AD Connector

Les informations suivantes peuvent vous aider à résoudre certains problèmes courants que vous pouvez rencontrer lors de la création ou de l'utilisation de votre AD Connector.

Problèmes de création

Les problèmes de création suivants sont courants pour AD Connector :

L'erreur « AZ Constrained » s'affiche lorsque je crée un annuaire

Certains AWS comptes créés avant 2012 peuvent avoir accès aux zones de disponibilité des régions de l'est des États-Unis (Virginie du Nord), de l'ouest des États-Unis (Californie du Nord) ou de l'Asie-Pacifique (Tokyo) qui ne prennent pas en charge les AWS Directory Service annuaires. Si vous recevez une erreur de ce type lors de la création d'un Active Directory, choisissez un sous-réseau dans une autre zone de disponibilité et réessayez de créer le répertoire.

Je reçois le message d'erreur « Problèmes de connectivité détectés » lorsque j'essaie de créer un AD Connector

Si vous recevez le message d'erreur « Problème de connectivité détecté » lorsque vous essayez de créer un AD Connector, cela peut être dû à la disponibilité du port ou à la complexité du mot de passe AD Connector. Vous pouvez tester la connexion de votre connecteur AD pour vérifier si les ports suivants sont disponibles :

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

Pour tester votre connexion, consultezTest de votre connecteur AD Connector. Le test de connexion doit être effectué sur l'instance jointe aux deux sous-réseaux auxquels les adresses IP du connecteur AD sont associées.

Si le test de connexion est réussi et que l'instance rejoint le domaine, vérifiez le mot de passe de votre connecteur AD. AD Connector doit répondre aux exigences AWS de complexité des mots de passe. Pour plus d'informations, consultez la section Compte de service dansConditions préalables requises pour AD Connector.

Si votre AD Connector ne répond pas à ces exigences, recréez-le avec un mot de passe conforme à ces exigences.

Problèmes de connectivité

Les problèmes de connectivité courants liés à AD Connector sont les suivants :

L'erreur « Connectivity issues detected » s'affiche lorsque je tente de me connecter à mon annuaire sur site

Un message d'erreur similaire à ce qui suit s'affiche lors de la connexion à votre annuaire sur site :

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector doit être en mesure de communiquer avec vos contrôleurs de domaine locaux via TCP et UDP via les ports suivants. Vérifiez que vos groupes de sécurité et vos pare-feux locaux autorisent UDP la communication TCP via ces ports. Pour de plus amples informations, veuillez consulter Conditions préalables requises pour AD Connector.

  • 88 (Kerberos)

  • 389 (LDAP)

Vous aurez peut-être besoin de UDP portsTCP/supplémentaires en fonction de vos besoins. Consultez la liste suivante pour certains de ces ports. Pour plus d'informations sur les ports utilisés par Active Directory, voir Comment configurer un pare-feu pour Active Directory domaines et trusts dans Microsoft .

  • 135 (RPCEndpoint Mapper)

  • 646 () LDAP SSL

  • 3268 (LDAPGC)

  • 3269 (LDAPGCSSL)

Afficher plusAfficher moins

Je reçois un message d'erreur « DNS indisponible » lorsque j'essaie de me connecter à mon annuaire local

Un message d'erreur similaire à ce qui suit s'affiche lors de la connexion à votre annuaire sur site :

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector doit être en mesure de communiquer avec vos DNS serveurs locaux via TCP et UDP via le port 53. Vérifiez que vos groupes de sécurité et vos pare-feux locaux autorisent TCP les UDP communications via ce port. Pour de plus amples informations, veuillez consulter Conditions préalables requises pour AD Connector.

Je reçois un message d'erreur « SRV record » lorsque j'essaie de me connecter à mon répertoire local

Un message d'erreur similaire à un ou plusieurs des messages suivants s'affiche lors de la connexion à votre annuaire sur site :

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector doit obtenir les _kerberos._tcp.<DnsDomainName> SRV enregistrements _ldap._tcp.<DnsDomainName> et lors de la connexion à votre annuaire. Vous obtiendrez cette erreur si le service ne parvient pas à obtenir ces enregistrements auprès des DNS serveurs que vous avez spécifiés lors de la connexion à votre annuaire. Pour plus d'informations sur ces SRV enregistrements, consultezSRV record requirements.

Problèmes d'authentification

Voici quelques problèmes d'authentification courants liés à AD Connector :

Je reçois un message d'erreur « Échec de la validation du certificat » lorsque j'essaie de me connecter à l' Amazon WorkSpaces aide d'une carte à puce

Vous recevez un message d'erreur similaire au suivant lorsque vous essayez de vous connecter à l' WorkSpaces aide d'une carte à puce :

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

L'erreur se produit si le certificat de la carte à puce n'est pas correctement stocké sur le client qui utilise les certificats. Pour plus d'informations sur les exigences relatives à l'AD Connector et aux cartes à puce, consultezPrérequis.

Utilisez les procédures suivantes pour résoudre les problèmes liés à la capacité de la carte à puce à stocker des certificats dans le magasin de certificats de l'utilisateur :

  1. Sur l'appareil qui rencontre des difficultés pour accéder aux certificats, accédez au Microsoft Management Console (MMC).

    Important

    Avant de poursuivre, créez une copie du certificat de la carte à puce.

  2. Accédez au magasin de certificats dans leMMC. Supprimez le certificat de carte à puce de l'utilisateur du magasin de certificats. Pour plus d'informations sur l'affichage du magasin de certificats dans leMMC, voir Comment : afficher les certificats à l'aide du MMC composant logiciel enfichable intégré Microsoft .

  3. Retirez la carte à puce.

  4. Réinsérez la carte à puce afin qu'elle puisse remplir à nouveau le certificat de carte à puce dans le magasin de certificats de l'utilisateur.

    Avertissement

    Si la carte à puce ne recharge pas le certificat dans le magasin de l'utilisateur, elle ne peut pas être utilisée pour l'authentification par carte à WorkSpaces puce.

Le compte de service du connecteur AD doit comporter les éléments suivants :

  • my/spnajouté au nom du principe de service

  • Délégué pour le LDAP service

Une fois le certificat rechargé sur la carte à puce, le contrôleur de domaine local doit être vérifié pour déterminer s'il est bloqué lors du mappage du nom d'utilisateur principal (UPN) pour le nom alternatif du sujet. Pour plus d'informations sur cette modification, voir Comment désactiver le nom alternatif du sujet pour le UPN mappage dans Microsoft .

Pour vérifier la clé de registre de votre contrôleur de domaine, procédez comme suit :

  1. Dans l'éditeur de registre, accédez à la clé de ruche suivante

    HKEY_ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Kdc \ UseSubjectAltName

  2. Sélectionnez UseSubjectAltName. Assurez-vous que la valeur est définie sur 0.

Note

Si la clé de registre est définie sur les contrôleurs de domaine locaux, l'AD Connector ne sera pas en mesure de localiser les utilisateurs dans Active Directory et entraînent le message d'erreur ci-dessus.

Les certificats de l'autorité de certification (CA) doivent être téléchargés sur le certificat de carte à puce AD Connector. Le certificat doit contenir des OCSP informations. La liste suivante répertorie les exigences supplémentaires pour l'autorité de certification :

  • Le certificat doit se trouver dans l'autorité racine sécurisée du contrôleur de domaine, du serveur de l'autorité de certification et du WorkSpaces.

  • Les certificats hors ligne et racine de l'autorité de certification ne contiendront pas OSCP ces informations. Ces certificats contiennent des informations relatives à leur révocation.

  • Si vous utilisez un certificat d'autorité de certification tiers pour l'authentification par carte à puce, le certificat d'autorité de certification et les certificats intermédiaires doivent être publiés sur Active Directory NTAuthboutique. Ils doivent être installés dans l'autorité racine approuvée pour tous les contrôleurs de domaine, serveurs d'autorités de certification et WorkSpaces.

    • Vous pouvez utiliser la commande suivante pour publier des certificats sur le Active Directory NTAuthboutique :

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Pour plus d'informations sur la publication de certificats dans le NTAuth magasin, consultez Importer le certificat CA émetteur dans le NTAuth magasin Enterprise dans le guide d'installation d'Access Amazon WorkSpaces with Common Access Cards.

Vous pouvez vérifier si le certificat utilisateur ou les certificats de chaîne CA sont vérifiés OCSP en suivant cette procédure :

  1. Exportez le certificat de carte à puce vers un emplacement sur la machine locale, tel que le lecteur C :.

  2. Ouvrez une invite de ligne de commande et naviguez jusqu'à l'emplacement où le certificat de carte à puce exporté est stocké.

  3. Entrez la commande suivante :

    certutil -URL Certficate_name.cer

  4. Une fenêtre contextuelle devrait apparaître après la commande. Sélectionnez l'OCSPoption dans le coin droit, puis sélectionnez Récupérer. Le statut devrait revenir tel que vérifié.

Pour plus d'informations sur la commande certutil, consultez certutil dans Microsoft documentation

Afficher plusAfficher moins

L'erreur « Invalid Credentials » s'affiche lorsque le compte de service utilisé par AD Connector tente une authentification

Cela peut se produire si le disque dur de votre contrôleur de domaine manque d'espace libre. Assurez-vous que les disques durs de votre contrôleur de domaine ne sont pas pleins.

Je reçois un message d'erreur « Impossible d'authentifier » lorsque j'utilise AWS des applications pour rechercher des utilisateurs ou des groupes

Vous pouvez rencontrer des erreurs lors de la recherche d'utilisateurs lorsque vous utilisez AWS des applications, telles qu' WorkSpaces Amazon QuickSight, même lorsque le statut AD Connector était actif. Les informations d'identification ayant expiré peuvent empêcher AD Connector d'exécuter des requêtes sur les objets dans votre Active Directory. Mettez à jour le mot de passe du compte de service en suivant les étapes indiquées dansLa jointure de domaine fluide pour les EC2 instances Amazon a cessé de fonctionner.

Je reçois un message d'erreur concernant mes informations d'identification d'annuaire lorsque j'essaie de mettre à jour le compte du service AD Connector

Vous recevez un message d'erreur similaire à l'un ou plusieurs des suivants lorsque vous essayez de mettre à jour le compte de service AD Connector :

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Il y a peut-être un problème avec la synchronisation de l'heure et Kerberos. AD Connector envoie des demandes d'authentification Kerberos à Active Directory. Ces demandes sont urgentes et, si elles sont retardées, elles échoueront. Pour résoudre ce problème, voir Recommandation : configurer la racine PDC avec une source de temps officielle et éviter un décalage temporel généralisé dans Microsoft . Pour plus d'informations sur le service horaire et la synchronisation, voir ci-dessous :

Afficher plusAfficher moins

Certains de mes utilisateurs ne peuvent pas s'authentifier avec mon annuaire

Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Il s'agit du paramètre par défaut pour les nouveaux comptes d'utilisateur, mais il ne doit pas être modifié. Pour plus d'informations sur ce paramètre, consultez la section Préauthentification sur Microsoft TechNet.

Problèmes de maintenance

Les problèmes de maintenance courants liés à AD Connector sont les suivants :

  • Mon annuaire est bloqué à l'état « Demandé »

  • La jointure de domaine fluide pour les EC2 instances Amazon a cessé de fonctionner

Mon annuaire est bloqué à l'état « Demandé »

Si vous avez un annuaire qui se trouve à l'état « Demandé » depuis plus de cinq minutes, essayez de supprimer l'annuaire et de le recréer. Si le problème persiste, contactez AWS Support.

La jointure de domaine fluide pour les EC2 instances Amazon a cessé de fonctionner

Si la jointure fluide des domaines pour les EC2 instances fonctionnait puis s'arrêtait alors que l'AD Connector était actif, les informations d'identification de votre compte de service AD Connector ont peut-être expiré. Les informations d'identification expirées peuvent empêcher AD Connector de créer des objets informatiques dans votre Active Directory.

Pour résoudre ce problème, mettez à jour le mot de passe du compte de service dans l'ordre suivant afin que les mots de passe soient identiques :

  1. Mettez à jour le mot de passe du compte de service dans votre Active Directory.

  2. Mettez à jour le mot de passe du compte de service dans votre AD Connector dans AWS Directory Service. Pour de plus amples informations, veuillez consulter Mettre à jour les informations d'identification de votre compte de service AD Connector dans AWS Management Console.

Important

La mise à jour du mot de passe uniquement dans AWS Directory Service n'entraîne pas le changement de mot de passe sur votre site existant Active Directory il est donc important de le faire dans l'ordre indiqué dans la procédure précédente.

Je ne parviens pas à supprimer mon AD Connector

Si votre AD Connector passe à un statut inutilisable, vous n'avez plus accès à vos contrôleurs de domaine. Nous bloquons la suppression d'un AD Connector lorsque des applications y sont encore liées, car l'une de ces applications utilise peut-être encore l'annuaire. Pour obtenir la liste des applications que vous devez désactiver pour supprimer votre AD Connector, consultezSupprimer votre AD Connector. Si vous ne parvenez toujours pas à supprimer votre AD Connector, vous pouvez demander de l'aide via AWS Support.