Pemecahan Masalah Active Directory - Amazon AppStream 2.0
Pembuat gambar dan instance armada saya terjebak di PENDING negara bagian.Pengguna saya tidak dapat masuk dengan SAML aplikasi.Instance armada saya berfungsi untuk satu pengguna tetapi tidak berputar dengan benar.Objek Kebijakan Grup pengguna saya tidak berhasil diterapkan.Instans streaming AppStream 2.0 saya tidak bergabung dengan domain Direktori Aktif.Login pengguna membutuhkan waktu lama untuk diselesaikan pada sesi streaming yang bergabung dengan domain.Pengguna saya tidak dapat mengakses sumber daya domain dalam sesi streaming yang bergabung dengan domain, tetapi mereka dapat mengakses sumber daya dari pembuat gambar yang bergabung dengan domain.Pengguna saya menerima kesalahan “Otentikasi Berbasis Sertifikat tidak tersedia” dan diminta untuk memasukkan kata sandi domain mereka. Atau pengguna menerima kesalahan “Terputus dari sesi” saat mereka memulai sesi yang diaktifkan dengan otentikasi berbasis sertifikat.Saya mengalami kegagalan bergabung dengan domain setelah mengubah akun layanan Active Directory (AD).

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemecahan Masalah Active Directory

Berikut ini adalah masalah yang mungkin terjadi saat Anda menyiapkan dan menggunakan Active Directory dengan Amazon AppStream 2.0. Untuk bantuan memecahkan masalah kode notifikasi, lihat. Pemecahan Masalah Kode Pemberitahuan

Pembuat gambar dan instance armada saya terjebak di PENDING negara bagian.

Pembuat gambar dan instance armada dapat memakan waktu hingga 25 menit untuk pindah ke keadaan siap dan tersedia. Jika instans Anda membutuhkan waktu lebih dari 25 menit untuk tersedia, di Active Directory, verifikasi apakah objek komputer baru dibuat di unit organisasi yang benar (OUs). Jika ada objek baru, instance streaming akan segera tersedia. Jika objek tidak ada, periksa detail konfigurasi direktori di AppStream 2.0 Directory Config: Directory name (nama domain yang sepenuhnya memenuhi syarat dari direktori, kredenal login akun layanan, dan nama yang dibedakan OU.

Kesalahan pembuat gambar dan armada ditampilkan di konsol AppStream 2.0 pada tab Pemberitahuan untuk armada atau pembuat gambar. Kesalahan armada juga tersedia menggunakan AppStream 2.0 API melalui DescribeFleetsoperasi atau CLI perintah deskripsi-armada.

Pengguna saya tidak dapat masuk dengan SAML aplikasi.

AppStream 2.0 bergantung pada atribut SAML _Subject “nameId” dari penyedia identitas Anda untuk mengisi bidang nama pengguna untuk masuk ke pengguna Anda. Nama pengguna dapat diformat sebagai "domain\username“, atau"user@domain.com”. Jika Anda menggunakan format “domain\username”, domain dapat berupa BIOS nama Net atau nama domain yang sepenuhnya memenuhi syarat. Jika menggunakan format user@domain.com "", UserPrincipalName atribut dapat digunakan. Jika Anda telah memverifikasi atribut SAML _Subject Anda dikonfigurasi dengan benar dan masalah tetap ada, hubungi. AWS Support Untuk informasi lebih lanjut, lihat AWS Support Pusat.

Instance armada saya berfungsi untuk satu pengguna tetapi tidak berputar dengan benar.

Instance armada didaur ulang setelah pengguna menyelesaikan sesi, memastikan bahwa setiap pengguna memiliki instance baru. Ketika instance armada bersepeda dibawa online, ia bergabung dengan domain menggunakan nama komputer dari instance sebelumnya. Untuk memastikan bahwa operasi ini berhasil, akun layanan memerlukan izin Ubah Kata Sandi dan Atur Ulang Kata Sandi pada unit organisasi (OU) tempat objek komputer bergabung. Periksa izin akun layanan dan coba lagi. Jika masalah berlanjut, hubungi AWS Support. Untuk informasi lebih lanjut, lihat AWS Support Pusat.

Objek Kebijakan Grup pengguna saya tidak berhasil diterapkan.

Secara default, objek komputer menerapkan kebijakan tingkat komputer berdasarkan OU di mana objek komputer berada, sambil menerapkan kebijakan tingkat pengguna berdasarkan OU di mana pengguna berada. Jika kebijakan tingkat pengguna Anda tidak diterapkan, Anda dapat melakukan salah satu hal berikut:

  • Pindahkan kebijakan tingkat pengguna ke OU tempat objek Active Directory pengguna berada

  • Aktifkan pemrosesan loopback tingkat komputer, yang menerapkan kebijakan tingkat pengguna di objek komputer OU.

Untuk informasi selengkapnya, lihat Pemrosesan Loopback Kebijakan Grup di Microsoft Support.

Instans streaming AppStream 2.0 saya tidak bergabung dengan domain Direktori Aktif.

Domain Active Directory untuk digunakan dengan AppStream 2.0 harus dapat diakses melalui nama domain yang sepenuhnya memenuhi syarat (FQDN) melalui VPC di mana instance streaming Anda diluncurkan.

Untuk menguji apakah domain Anda dapat diakses

  1. Luncurkan EC2 instans Amazon di grup yang samaVPC, subnet, dan keamanan yang Anda gunakan dengan AppStream 2.0.

  2. Gabung EC2 instance secara manual ke domain Active Directory Anda dengan menggunakan FQDN (misalnya,yourdomain.example.com) dengan akun layanan yang ingin Anda gunakan dengan AppStream 2.0. Gunakan perintah berikut di PowerShell konsol Windows:

    netdom join computer /domain:FQDN /OU:path /ud:user /pd:password

    Jika gabungan manual ini gagal, lanjutkan ke langkah berikutnya.

  3. Jika Anda tidak dapat bergabung secara manual ke domain Anda, buka prompt perintah dan verifikasi bahwa Anda dapat menyelesaikan FQDN penggunaan nslookup perintah. Sebagai contoh:

    nslookup yourdomain.exampleco.com

    Resolusi nama yang berhasil mengembalikan alamat IP yang valid. Jika Anda tidak dapat menyelesaikannyaFQDN, Anda mungkin perlu memperbarui VPC DNS server Anda dengan menggunakan DHCP opsi yang ditetapkan untuk domain Anda. Kemudian, kembali ke langkah ini. Untuk informasi selengkapnya, lihat Set DHCP Opsi di Panduan VPC Pengguna Amazon.

  4. Jika FQDN menyelesaikan, gunakan telnet perintah untuk memvalidasi konektivitas.

    telnet yourdomain.exampleco.com 389

    Koneksi yang berhasil menunjukkan jendela prompt perintah kosong tanpa kesalahan koneksi. Anda mungkin perlu menginstal fitur Telnet Client pada EC2 instans Anda. Untuk informasi selengkapnya, lihat Menginstal Klien Telnet di dokumentasi Microsoft.

Jika Anda tidak dapat menggabungkan EC2 instans secara manual ke domain Anda, tetapi berhasil menyelesaikan FQDN dan menguji konektivitas dengan Klien Telnet, grup VPC keamanan Anda mungkin mencegah akses. Active Directory memerlukan pengaturan port jaringan tertentu. Untuk informasi selengkapnya, lihat Persyaratan Port Layanan Domain Direktori Aktif dan Direktori Aktif dalam dokumentasi Microsoft.

Login pengguna membutuhkan waktu lama untuk diselesaikan pada sesi streaming yang bergabung dengan domain.

AppStream 2.0 melakukan tindakan login Windows setelah pengguna memberikan kata sandi domain mereka. Setelah otentikasi berhasil, AppStream 2.0 meluncurkan aplikasi. Waktu login dan peluncuran dipengaruhi oleh banyak variabel, seperti pertentangan jaringan untuk pengontrol domain atau waktu yang diperlukan untuk menerapkan pengaturan Kebijakan Grup ke instance streaming. Jika otentikasi domain terlalu lama untuk diselesaikan, coba lakukan tindakan berikut.

  • Minimalkan latensi jaringan dari Wilayah AppStream 2.0 Anda ke pengontrol domain Anda dengan memilih pengontrol domain yang benar. Misalnya, jika armada Anda masukus-east-1, gunakan pengontrol domain dengan bandwidth tinggi dan latensi rendah untuk us-east-1 melalui pemetaan zona Situs dan Layanan Direktori Aktif. Untuk informasi selengkapnya, lihat Situs dan Layanan Direktori Aktif di dokumentasi Microsoft.

  • Pastikan pengaturan Kebijakan Grup dan skrip login pengguna Anda tidak membutuhkan waktu lama untuk diterapkan atau dijalankan.

Jika login pengguna domain Anda ke AppStream 2.0 gagal dengan pesan “Terjadi kesalahan yang tidak diketahui,” Anda mungkin perlu memperbarui pengaturan Kebijakan Grup yang dijelaskan diSebelum Anda Mulai Menggunakan Active Directory dengan Amazon AppStream 2.0. Jika tidak, pengaturan ini dapat mencegah AppStream 2.0 mengautentikasi dan masuk ke pengguna domain Anda.

Pengguna saya tidak dapat mengakses sumber daya domain dalam sesi streaming yang bergabung dengan domain, tetapi mereka dapat mengakses sumber daya dari pembuat gambar yang bergabung dengan domain.

Konfirmasikan bahwa armada Anda dibuat dalam subnet, dan grup keamanan yang sama VPC dengan pembuat gambar Anda, dan bahwa pengguna Anda memiliki izin yang diperlukan untuk mengakses dan menggunakan sumber daya domain.

Pengguna saya menerima kesalahan “Otentikasi Berbasis Sertifikat tidak tersedia” dan diminta untuk memasukkan kata sandi domain mereka. Atau pengguna menerima kesalahan “Terputus dari sesi” saat mereka memulai sesi yang diaktifkan dengan otentikasi berbasis sertifikat.

Kesalahan ini terjadi jika otentikasi berbasis sertifikat tidak berhasil untuk sesi tersebut. Kesalahan “Otentikasi Berbasis Sertifikat tidak tersedia” ditampilkan saat otentikasi berbasis sertifikat diaktifkan untuk memungkinkan fallback ke login kata sandi. Kesalahan “Terputus dari sesi” ditampilkan saat otentikasi berbasis sertifikat diaktifkan tanpa fallback.

Pengguna dapat me-refresh halaman pada klien web atau menyambung kembali dari klien untuk Windows, karena ini mungkin merupakan masalah intermiten dengan otentikasi berbasis sertifikat. Jika masalah berlanjut, kegagalan otentikasi berbasis sertifikat dapat diakibatkan oleh salah satu masalah berikut:

  • AppStream 2.0 tidak dapat berkomunikasi dengan AWS Private CA, atau AWS Private CA tidak mengeluarkan sertifikat. Periksa CloudTrail untuk menentukan apakah sertifikat dikeluarkan. Untuk informasi lebih lanjut, lihat Apa itu AWS CloudTrail? danKelola Otentikasi Berbasis Sertifikat.

  • Pengontrol domain tidak memiliki sertifikat pengontrol domain untuk logon kartu pintar, atau kedaluwarsa. Untuk informasi lebih lanjut, lihat langkah 7.a diPrasyarat.

  • Sertifikat tidak dipercaya. Untuk informasi selengkapnya, lihat langkah 7.c diPrasyarat.

  • userPrincipalName Format untuk NameID SAML _Subject tidak diformat dengan benar, atau tidak diselesaikan ke domain aktual untuk pengguna. Untuk informasi lebih lanjut, lihat langkah 1 diPrasyarat.

  • ObjectSid Atribut (opsional) dalam SAML pernyataan Anda tidak cocok dengan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang ditentukan dalam NameID SAML _Subjek. Konfirmasikan bahwa pemetaan atribut sudah benar di SAML federasi Anda, dan penyedia SAML identitas Anda menyinkronkan SID atribut untuk pengguna Active Directory.

  • Agen AppStream 2.0 tidak mendukung otentikasi berbasis sertifikat. Gunakan agen AppStream 2.0 versi 10-13-2022 atau yang lebih baru.

  • Ada pengaturan Kebijakan Grup yang memodifikasi pengaturan Active Directory default untuk logon kartu pintar, atau mengambil tindakan jika kartu pintar dihapus dari pembaca kartu pintar. Pengaturan ini dapat menyebabkan perilaku tak terduga tambahan selain kesalahan yang tercantum di atas. Otentikasi berbasis sertifikat menyajikan kartu pintar virtual ke sistem operasi instance, dan menghapusnya setelah logon selesai. Untuk informasi selengkapnya, lihat Pengaturan Kebijakan Grup Utama untuk kartu pintar dan Pengaturan Kebijakan Grup kartu pintar tambahan dan kunci registri. Jangan aktifkan kartu pintar masuk untuk Active Directory di tumpukan Anda jika Anda ingin menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Kartu Pintar.

  • Titik CRL distribusi untuk CA pribadi tidak online atau dapat diakses baik dari instance armada AppStream 2.0 atau pengontrol domain. Untuk informasi selengkapnya, lihat langkah 5 di Prasyarat.

Langkah-langkah pemecahan masalah tambahan melibatkan peninjauan log peristiwa Windows AppStream 2.0 instance. Peristiwa umum untuk ditinjau untuk kegagalan logon adalah 4625 (F): Akun gagal masuk. Untuk informasi selengkapnya tentang menangkap informasi log, lihat Aplikasi yang bertahan dan log peristiwa Windows. Atau, untuk memecahkan masalah sesi AppStream 2.0 aktif sebagai administrator, Anda dapat terhubung ke log menggunakan Event Viewer di komputer lain. Untuk informasi selengkapnya, lihat Cara Memilih Komputer di Penampil Acara. Atau, Anda dapat terhubung dengan menggunakan Remote Desktop untuk terhubung ke alamat IP pribadi instance dari komputer lain yang dapat terhubung ke Layanan Desktop Jarak Jauh di cloud pribadi AppStream 2.0virtual () VPC Anda. Gunakan AWS CLI untuk menentukan alamat IP untuk sesi berdasarkan AWS Region, AppStream 2.0 nama tumpukan, nama armada, ID pengguna, dan jenis otentikasi. Untuk informasi lebih lanjut, lihat AWS Command Line Interface.

Jika masalah berlanjut, hubungi AWS Support. Untuk informasi lebih lanjut, lihat AWS Support Pusat.

Saya mengalami kegagalan bergabung dengan domain setelah mengubah akun layanan Active Directory (AD).

Jika Anda memiliki armada yang sudah ada dengan gambar berdasarkan pembaruan sistem operasi Microsoft Windows Server Agustus 2024, dan jika Anda mengubah akun layanan Active Directory (AD) untuk armada tersebut, instance armada Anda mungkin mengalami kegagalan gabungan domain selama penyediaan.

Microsoft telah merilis patch KB5020276, yang memodifikasi perilaku operasi domain join. AppStream 2.0 menggunakan kembali objek komputer yang ada saat menggabungkan instans streaming Anda ke domain AD Anda. Objek komputer ini dibuat menggunakan akun layanan AD yang Anda berikan saat Anda membuat armada atau Directory Config dengan AppStream 2.0. Sebelum patch Microsoft ini, akun layanan AD baru dapat menggunakan kembali objek komputer yang ada yang dibuat oleh AppStream 2.0, selama mereka memiliki izin “Buat Objek Komputer” yang dikonfigurasi di unit organisasi (OU).

Ketika patch Microsoft diberlakukan, mulai 13 Agustus 2024, dan jika Anda mengubah akun layanan AD Anda untuk armada AppStream 2.0 yang ada, akun layanan baru tidak akan lagi dapat menggunakan kembali objek komputer yang ada di AD. Hal ini mengakibatkan kegagalan gabungan domain pada armada AppStream 2.0, dengan salah satu pesan kesalahan berikut di bawah pemberitahuan armada:

  • DOMAIN_ JOIN _ INTERNAL SERVICE _ _ ERROR “Nama grup tidak dapat ditemukan.”

  • Akun dengan nama yang sama ada di Active Directory. Penggunaan kembali akun diblokir oleh kebijakan keamanan

Untuk mengontrol akun mana yang dapat menggunakan kembali objek komputer yang ada, Microsoft telah menerapkan pengaturan Kebijakan Grup baru yang disebut Pengontrol domain: Izinkan penggunaan kembali akun komputer selama bergabung dengan domain. Pengaturan ini memungkinkan Anda menentukan daftar akun layanan tepercaya yang melewati pemeriksaan selama operasi gabungan domain. Untuk konfigurasi AD yang dikelola sendiri, sebaiknya ikuti langkah-langkah yang didokumentasikan Microsoft untuk menambahkan akun layanan iklan Anda ke kebijakan daftar izinkan baru, menggunakan Kebijakan Grup pada pengontrol domain.

Untuk Managed Active Directory (MAD), Anda harus memulai ulang armada AppStream 2.0 setelah Anda membuat perubahan pada akun layanan gabungan domain AppStream 2.0 Anda.

Jika masalah berlanjut, hubungi AWS Support. Untuk informasi lebih lanjut, lihat AWS Support Pusat.