Memecahkan masalah AD Connector - AWS Directory Service
Masalah pembuatanMasalah konektivitasMasalah otentikasiMasalah pemeliharaanSaya tidak dapat menghapus AD Connector

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan masalah AD Connector

Berikut ini dapat membantu Anda memecahkan masalah umum yang mungkin Anda temui saat membuat atau menggunakan AD Connector.

Masalah pembuatan

Berikut ini adalah masalah pembuatan yang umum untuk AD Connector

Saya menerima kesalahan “AZ Dibatasi” saat saya membuat direktori

Beberapa AWS akun yang dibuat sebelum 2012 mungkin memiliki akses ke Availability Zones di Wilayah AS Timur (Virginia N.), AS Barat (California N.), atau Asia Pasifik (Tokyo) yang tidak mendukung AWS Directory Service direktori. Jika Anda menerima kesalahan seperti ini saat membuatActive Directory, pilih subnet di Availability Zone yang berbeda dan coba buat direktori lagi.

Saya menerima kesalahan “Masalah konektivitas terdeteksi” ketika saya mencoba membuat AD Connector

Jika Anda menerima kesalahan “Masalah konektivitas terdeteksi” saat mencoba membuat Konektor AD, kesalahan mungkin karena ketersediaan port atau kompleksitas kata sandi AD Connector. Anda dapat menguji koneksi Konektor AD untuk melihat apakah port berikut tersedia:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

Untuk menguji koneksi Anda, lihatUji AD Connector Anda. Tes koneksi harus dilakukan pada instance yang digabungkan ke kedua subnet yang terkait dengan alamat IP Konektor AD.

Jika tes koneksi berhasil dan instance bergabung dengan domain, periksa kata sandi Konektor AD Anda. AD Connector harus memenuhi persyaratan kompleksitas AWS kata sandi. Untuk informasi selengkapnya, lihat Akun layanan diPrasyarat AD Connector.

Jika AD Connector Anda tidak memenuhi persyaratan ini, buat ulang AD Connector Anda dengan kata sandi yang sesuai dengan persyaratan ini.

Masalah konektivitas

Berikut ini adalah masalah konektivitas umum untuk AD Connector

Saya menerima error “Masalah koneksi terdeteksi” ketika mencoba menghubungkan ke direktori on-premise saya

Anda menerima pesan error yang serupa dengan yang berikut ini saat menghubungkan ke direktori on-premise Anda:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector harus dapat berkomunikasi dengan pengendali domain on-premise Anda melalui TCP dan UDP melewati port-port berikut. Verifikasi bahwa grup keamanan dan firewall on-premise mengizinkan komunikasi TCP dan UDP melewati port-port ini. Untuk informasi selengkapnya, lihat Prasyarat AD Connector.

  • 88 (Kerberos)

  • 389 (LDAP)

Anda mungkin memerlukan port TCP/UDP tambahan tergantung pada kebutuhan Anda. Lihat daftar berikut untuk beberapa port ini. Untuk informasi selengkapnya tentang port yang digunakanActive Directory, lihat Cara mengonfigurasi firewall untuk Active Directory domain dan trust dalam Microsoft dokumentasi.

  • 135 (Pemetaan Titik Akhir RPC)

  • 646 (LDAP SSL)

  • 3268 (LDAP GC)

  • 3269 (LDAP GC SSL)

Tampilkan lebih banyakTampilkan lebih sedikit

Saya menerima error “DNS tidak tersedia” ketika mencoba menghubungkan ke direktori on-premise saya

Anda menerima pesan error yang serupa dengan yang berikut ini saat menghubungkan ke direktori on-premise Anda:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector harus dapat berkomunikasi dengan server DNS on-premise Anda melalui TCP dan UDP melewati port 53. Verifikasi bahwa grup keamanan dan firewall on-premise mengizinkan komunikasi TCP dan UDP melewati port ini. Untuk informasi selengkapnya, lihat Prasyarat AD Connector.

Saya menerima error “catatan SRV” ketika mencoba menghubungkan ke direktori on-premise saya

Anda menerima pesan error yang serupa dengan satu atau beberapa berikut ini saat menghubungkan ke direktori on-premise Anda:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector perlu memperoleh catatan SRV _ldap._tcp.<DnsDomainName> dan _kerberos._tcp.<DnsDomainName> saat menghubungkan ke direktori Anda. Anda akan mendapatkan error ini jika layanan tidak dapat memperoleh catatan ini dari server DNS yang Anda tentukan saat menghubungkan ke direktori Anda. Untuk informasi selengkapnya mengenai catatan SRV ini, lihat SRV record requirements.

Masalah otentikasi

Berikut adalah beberapa masalah otentikasi umum dengan AD Connector:

Saya menerima kesalahan '“Validasi Sertifikat gagal” ketika saya mencoba masuk Amazon WorkSpaces dengan kartu pintar

Anda menerima pesan galat yang mirip dengan berikut ini ketika Anda mencoba masuk WorkSpaces dengan kartu pintar:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

Kesalahan terjadi jika sertifikat kartu pintar tidak disimpan dengan benar pada klien yang menggunakan sertifikat. Untuk informasi selengkapnya tentang AD Connector dan persyaratan kartu pintar, lihatPrasyarat.

Gunakan prosedur berikut untuk memecahkan masalah kemampuan kartu pintar untuk menyimpan sertifikat di toko sertifikat pengguna:

  1. Pada perangkat yang mengalami kesulitan mengakses sertifikat, akses Microsoft Management Console (MMC).

    penting

    Sebelum bergerak maju, buat salinan sertifikat kartu pintar.

  2. Arahkan ke toko sertifikat di MMC. Hapus sertifikat kartu pintar pengguna dari toko sertifikat. Untuk informasi selengkapnya tentang melihat penyimpanan sertifikat di MMC, lihat Cara: Melihat sertifikat dengan snap-in MMC dalam dokumentasi. Microsoft

  3. Lepaskan kartu pintar.

  4. Masukkan kembali kartu pintar sehingga dapat mengisi kembali sertifikat kartu pintar di toko sertifikat pengguna.

    Awas

    Jika kartu pintar tidak mengisi kembali sertifikat ke toko pengguna maka tidak dapat digunakan untuk otentikasi kartu WorkSpaces pintar.

Akun Layanan Konektor AD harus memiliki yang berikut:

  • my/spnditambahkan ke Nama Prinsip Layanan

  • Delegasikan untuk layanan LDAP

Setelah sertifikat diisi kembali pada kartu pintar, pengontrol domain on-premise harus diperiksa untuk menentukan apakah mereka diblokir dari pemetaan Nama Utama Pengguna (UPN) untuk Nama Alternatif Subjek. Untuk informasi selengkapnya tentang perubahan ini, lihat Cara menonaktifkan Nama Alternatif Subjek untuk pemetaan UPN dalam Microsoft dokumentasi.

Gunakan prosedur berikut untuk memeriksa kunci registri pengontrol domain Anda:

  1. Di Editor Registri, arahkan ke kunci sarang berikut

    HKEY_LOCAL_MACHINE\ SISTEM\\ Layanan\ Kdc\ CurrentControlSet UseSubjectAltName

  2. Pilih UseSubjectAltName. Pastikan nilainya disetel ke 0.

catatan

Jika kunci registri diatur pada Pengontrol Domain on-premise maka AD Connector tidak akan dapat menemukan pengguna Active Directory dan menghasilkan pesan kesalahan di atas.

Sertifikat Otoritas Sertifikat (CA) harus diunggah ke sertifikat kartu pintar AD Connector. Sertifikat harus berisi informasi OCSP. Berikut daftar persyaratan tambahan untuk CA:

  • Sertifikat harus berada di Otoritas Root Tepercaya dari Pengontrol Domain, Server Otoritas Sertifikat, dan WorkSpaces.

  • Sertifikat Offline dan Root CA tidak akan berisi informasi OSCP. Sertifikat ini berisi informasi tentang pencabutan mereka.

  • Jika Anda menggunakan sertifikat CA pihak ketiga untuk otentikasi kartu pintar, maka CA dan sertifikat perantara harus dipublikasikan ke toko Active Directory NTAuth. Mereka harus diinstal di otoritas root tepercaya untuk semua pengontrol domain, server otoritas sertifikat, dan WorkSpaces.

    • Anda dapat menggunakan perintah follow untuk menerbitkan sertifikat ke toko Active Directory NTAuth:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Untuk informasi selengkapnya tentang menerbitkan sertifikat ke toko NTAuth, lihat Mengimpor sertifikat CA yang diterbitkan ke toko Enterprise NTAuth di Access Amazon WorkSpaces dengan Panduan Instalasi Kartu Akses Umum.

Anda dapat memeriksa untuk melihat apakah sertifikat pengguna atau sertifikat rantai CA diverifikasi oleh OCSP dengan mengikuti prosedur ini:

  1. Ekspor sertifikat kartu pintar ke lokasi di mesin lokal seperti drive C:.

  2. Buka prompt Baris Perintah dan arahkan ke lokasi penyimpanan sertifikat kartu pintar yang diekspor.

  3. Masukkan perintah berikut:

    certutil -URL Certficate_name.cer

  4. Jendela pop-up akan muncul mengikuti perintah. Pilih opsi OCSP di sudut kanan dan pilih Ambil. Status harus kembali seperti yang diverifikasi.

Untuk informasi lebih lanjut tentang perintah certutil, lihat certutil dalam dokumentasi Microsoft

Tampilkan lebih banyakTampilkan lebih sedikit

Saya menerima error “Kredensial Tidak Valid” saat akun layanan yang digunakan oleh AD Connector mencoba untuk mengautentikasi

Hal ini dapat terjadi jika hard drive pada pengendali domain Anda kehabisan ruang. Pastikan bahwa hard drive pengendali domain Anda tidak penuh.

Saya menerima kesalahan “Tidak Dapat Mengautentikasi” saat menggunakan AWS aplikasi untuk mencari pengguna atau grup

Anda mungkin mengalami kesalahan saat mencari pengguna saat menggunakan AWS aplikasi, seperti WorkSpaces atau Amazon QuickSight, bahkan saat status AD Connector aktif. Kredensial yang kedaluwarsa dapat mencegah AD Connector menyelesaikan kueri pada objek di Direktori Aktif Anda. Perbarui kata sandi untuk akun layanan menggunakan langkah-langkah yang dipesan yang disediakan diGabungan domain yang mulus untuk instans Amazon EC2 berhenti berfungsi.

Saya menerima kesalahan tentang kredensil direktori saya ketika saya mencoba memperbarui akun layanan AD Connector

Anda menerima pesan galat yang mirip dengan satu atau beberapa hal berikut saat mencoba memperbarui akun layanan AD Connector:

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Mungkin ada masalah dengan sinkronisasi waktu dan Kerberos. AD Connector mengirimkan permintaan otentikasi Kerberos ke. Active Directory Permintaan ini sensitif terhadap waktu dan jika permintaan ditunda, mereka akan gagal. Untuk mengatasi masalah ini, lihat Rekomendasi - Mengonfigurasi Root PDC dengan Sumber Waktu Otoritatif dan Hindari Kemiringan Waktu Luas dalam dokumentasi. Microsoft Untuk informasi lebih lanjut tentang layanan waktu dan sinkronisasi, lihat di bawah ini:

Tampilkan lebih banyakTampilkan lebih sedikit

Beberapa pengguna saya tidak dapat mengautentikasi dengan direktori saya

Akun pengguna Anda harus mengaktifkan pra-autentikasi Kerberos. Ini adalah pengaturan default untuk akun pengguna baru, tetapi tidak boleh diubah. Untuk informasi selengkapnya tentang pengaturan ini, buka Preauthentication on. Microsoft TechNet

Masalah pemeliharaan

Berikut ini adalah masalah perawatan umum untuk AD Connector

  • Direktori saya terjebak dalam status “Diminta”

  • Gabungan domain yang mulus untuk instans Amazon EC2 berhenti berfungsi

Direktori saya terjebak dalam status “Diminta”

Jika Anda memiliki direktori yang telah berada dalam status “Diminta” selama lebih dari lima menit, coba hapus direktori dan buat ulang. Jika masalah ini berlanjut, hubungi AWS Support.

Gabungan domain yang mulus untuk instans Amazon EC2 berhenti berfungsi

Jika penggabungan domain yang mulus untuk instans EC2 bekerja dan kemudian berhenti saat AD Connector aktif, kredensial untuk akun layanan AD Connector Anda mungkin telah kedaluwarsa. Kredensyal kedaluwarsa dapat mencegah AD Connector membuat objek komputer di file Anda. Active Directory

Untuk mengatasi masalah ini, perbarui kata sandi akun layanan dalam urutan berikut sehingga kata sandi cocok:

  1. Perbarui kata sandi untuk akun layanan di akun AndaActive Directory.

  2. Perbarui kata sandi untuk akun layanan di AD Connector Anda di AWS Directory Service. Untuk informasi selengkapnya, lihat Memperbarui kredensial akun layanan AD Connector Anda di AWS Directory Service.

penting

Memperbarui kata sandi hanya di AWS Directory Service tidak mendorong perubahan kata sandi ke tempat Anda yang ada Active Directory sehingga penting untuk melakukannya dalam urutan yang ditunjukkan pada prosedur sebelumnya.

Saya tidak dapat menghapus AD Connector

Jika AD Connector beralih ke status tidak dapat dioperasikan, Anda tidak lagi memiliki akses ke pengontrol domain. Kami memblokir penghapusan AD Connector ketika masih ada aplikasi yang terhubung dengannya karena salah satu aplikasi tersebut mungkin masih menggunakan direktori. Untuk daftar aplikasi yang perlu Anda nonaktifkan untuk menghapus AD Connector Anda lihatHapus AD Connector. Jika Anda masih tidak dapat menghapus AD Connector, Anda dapat meminta bantuan melalui AWS Support.