Memecahkan masalah AD Connector - AWS Directory Service
Masalah pembuatanMasalah konektivitasMasalah otentikasiMasalah pemeliharaanSaya tidak dapat menghapus AD Connector saya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan masalah AD Connector

Berikut ini dapat membantu Anda memecahkan masalah umum yang mungkin Anda temui saat membuat atau menggunakan AD Connector.

Masalah pembuatan

Berikut ini adalah masalah pembuatan yang umum untuk AD Connector

Saya menerima kesalahan “AZ Dibatasi” saat saya membuat direktori

Beberapa AWS akun yang dibuat sebelum 2012 mungkin memiliki akses ke Availability Zones di Wilayah AS Timur (Virginia N.), AS Barat (California N.), atau Asia Pasifik (Tokyo) yang tidak mendukung AWS Directory Service direktori. Jika Anda menerima kesalahan seperti ini saat membuat Active Directory, pilih subnet di Availability Zone yang berbeda dan coba buat direktori lagi.

Saya menerima kesalahan “Masalah konektivitas terdeteksi” ketika saya mencoba membuat AD Connector

Jika Anda menerima kesalahan “Masalah konektivitas terdeteksi” saat mencoba membuat Konektor AD, kesalahan mungkin karena ketersediaan port atau kompleksitas kata sandi AD Connector. Anda dapat menguji koneksi Konektor AD untuk melihat apakah port berikut tersedia:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 () LDAP

Untuk menguji koneksi Anda, lihatUji AD Connector Anda. Tes koneksi harus dilakukan pada instance yang digabungkan ke kedua subnet yang terkait dengan alamat IP Konektor AD.

Jika tes koneksi berhasil dan instance bergabung dengan domain, periksa kata sandi Konektor AD Anda. AD Connector harus memenuhi persyaratan kompleksitas AWS kata sandi. Untuk informasi selengkapnya, lihat Akun layanan diPrasyarat AD Connector.

Jika AD Connector Anda tidak memenuhi persyaratan ini, buat ulang AD Connector Anda dengan kata sandi yang sesuai dengan persyaratan ini.

Masalah konektivitas

Berikut ini adalah masalah konektivitas umum untuk AD Connector

Saya menerima error “Masalah koneksi terdeteksi” ketika mencoba menghubungkan ke direktori on-premise saya

Anda menerima pesan error yang serupa dengan yang berikut ini saat menghubungkan ke direktori on-premise Anda:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector harus dapat berkomunikasi dengan pengontrol domain lokal Anda melalui TCP dan UDP melalui port berikut. Verifikasi bahwa grup keamanan dan firewall lokal Anda mengizinkan TCP dan UDP berkomunikasi melalui port ini. Untuk informasi selengkapnya, lihat Prasyarat AD Connector.

  • 88 (Kerberos)

  • 389 () LDAP

Anda mungkin memerlukan tambahan TCP UDP /port tergantung pada kebutuhan Anda. Lihat daftar berikut untuk beberapa port ini. Untuk informasi lebih lanjut tentang port yang digunakan oleh Active Directory, lihat Cara mengkonfigurasi firewall untuk Active Directory domain dan kepercayaan di Microsoft dokumentasi.

  • 135 (RPCPemetaan Titik Akhir)

  • 646 () LDAP SSL

  • 3268 (GC) LDAP

  • 3269 (GC) LDAP SSL

Tampilkan lebih banyakTampilkan lebih sedikit

Saya menerima kesalahan "DNStidak tersedia” ketika saya mencoba terhubung ke direktori lokal saya

Anda menerima pesan error yang serupa dengan yang berikut ini saat menghubungkan ke direktori on-premise Anda:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector harus dapat berkomunikasi dengan DNS server lokal Anda melalui TCP dan UDP melalui port 53. Pastikan grup keamanan dan firewall lokal Anda mengizinkan TCP dan UDP berkomunikasi melalui port ini. Untuk informasi selengkapnya, lihat Prasyarat AD Connector.

Saya menerima kesalahan "SRVrekam” ketika saya mencoba terhubung ke direktori lokal saya

Anda menerima pesan error yang serupa dengan satu atau beberapa berikut ini saat menghubungkan ke direktori on-premise Anda:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector perlu mendapatkan _ldap._tcp.<DnsDomainName> dan _kerberos._tcp.<DnsDomainName> SRV catatan saat menghubungkan ke direktori Anda. Anda akan mendapatkan kesalahan ini jika layanan tidak dapat memperoleh catatan ini dari DNS server yang Anda tentukan saat menghubungkan ke direktori Anda. Untuk informasi lebih lanjut tentang SRV catatan ini, lihatSRV record requirements.

Masalah otentikasi

Berikut adalah beberapa masalah otentikasi umum dengan AD Connector:

Saya menerima kesalahan '“Validasi Sertifikat gagal” ketika saya mencoba masuk Amazon WorkSpaces dengan kartu pintar

Anda menerima pesan galat yang mirip dengan berikut ini ketika Anda mencoba masuk WorkSpaces dengan kartu pintar:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

Kesalahan terjadi jika sertifikat kartu pintar tidak disimpan dengan benar pada klien yang menggunakan sertifikat. Untuk informasi selengkapnya tentang AD Connector dan persyaratan kartu pintar, lihatPrasyarat.

Gunakan prosedur berikut untuk memecahkan masalah kemampuan kartu pintar untuk menyimpan sertifikat di toko sertifikat pengguna:

  1. Pada perangkat yang mengalami kesulitan mengakses sertifikat, akses Microsoft Management Console (MMC).

    penting

    Sebelum bergerak maju, buat salinan sertifikat kartu pintar.

  2. Arahkan ke toko sertifikat diMMC. Hapus sertifikat kartu pintar pengguna dari toko sertifikat. Untuk informasi selengkapnya tentang melihat penyimpanan sertifikat diMMC, lihat Cara: Melihat sertifikat dengan MMC snap-in di Microsoft dokumentasi.

  3. Lepaskan kartu pintar.

  4. Masukkan kembali kartu pintar sehingga dapat mengisi kembali sertifikat kartu pintar di toko sertifikat pengguna.

    Awas

    Jika kartu pintar tidak mengisi kembali sertifikat ke toko pengguna maka tidak dapat digunakan untuk otentikasi kartu WorkSpaces pintar.

Akun Layanan Konektor AD harus memiliki yang berikut:

  • my/spnditambahkan ke Nama Prinsip Layanan

  • Delegasikan untuk layanan LDAP

Setelah sertifikat diisi kembali pada kartu pintar, pengontrol domain on-premise harus diperiksa untuk menentukan apakah sertifikat tersebut diblokir dari pemetaan Nama Utama Pengguna (UPN) untuk Nama Alternatif Subjek. Untuk informasi selengkapnya tentang perubahan ini, lihat Cara menonaktifkan Nama Alternatif Subjek untuk UPN pemetaan Microsoft dokumentasi.

Gunakan prosedur berikut untuk memeriksa kunci registri pengontrol domain Anda:

  1. Di Editor Registri, arahkan ke kunci sarang berikut

    HKEY_ LOCAL _MACHINE\SYSTEM\CurrentControlSet\ Layanan\ Kdc\ UseSubjectAltName

  2. Pilih UseSubjectAltName. Pastikan nilainya disetel ke 0.

catatan

Jika kunci registri diatur pada Pengontrol Domain on-premise maka AD Connector tidak akan dapat menemukan pengguna di Active Directory dan menghasilkan pesan kesalahan di atas.

Sertifikat Otoritas Sertifikat (CA) harus diunggah ke sertifikat kartu pintar AD Connector. Sertifikat harus berisi OCSP informasi. Berikut daftar persyaratan tambahan untuk CA:

  • Sertifikat harus berada di Otoritas Root Tepercaya dari Pengontrol Domain, Server Otoritas Sertifikat, dan WorkSpaces.

  • Sertifikat Offline dan Root CA tidak akan berisi OSCP informasi. Sertifikat ini berisi informasi tentang pencabutan mereka.

  • Jika Anda menggunakan sertifikat CA pihak ketiga untuk otentikasi kartu pintar, maka CA dan sertifikat perantara harus dipublikasikan ke Active Directory NTAuthtoko. Mereka harus diinstal di otoritas root tepercaya untuk semua pengontrol domain, server otoritas sertifikat, dan WorkSpaces.

    • Anda dapat menggunakan perintah ikuti untuk mempublikasikan sertifikat ke Active Directory NTAuthtoko:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Untuk informasi selengkapnya tentang menerbitkan sertifikat ke NTAuth toko, lihat Mengimpor sertifikat CA yang diterbitkan ke NTAuth toko Enterprise di Access Amazon WorkSpaces dengan Panduan Instalasi Kartu Akses Umum.

Anda dapat memeriksa untuk melihat apakah sertifikat pengguna atau sertifikat rantai CA diverifikasi OCSP dengan mengikuti prosedur ini:

  1. Ekspor sertifikat kartu pintar ke lokasi di mesin lokal seperti drive C:.

  2. Buka prompt Baris Perintah dan arahkan ke lokasi penyimpanan sertifikat kartu pintar yang diekspor.

  3. Masukkan perintah berikut:

    certutil -URL Certficate_name.cer

  4. Jendela pop-up akan muncul mengikuti perintah. Pilih OCSPopsi di sudut kanan dan pilih Ambil. Status harus kembali seperti yang diverifikasi.

Untuk informasi lebih lanjut tentang perintah certutil, lihat certutil di Microsoft dokumentasi

Tampilkan lebih banyakTampilkan lebih sedikit

Saya menerima error “Kredensial Tidak Valid” saat akun layanan yang digunakan oleh AD Connector mencoba untuk mengautentikasi

Hal ini dapat terjadi jika hard drive pada pengendali domain Anda kehabisan ruang. Pastikan bahwa hard drive pengendali domain Anda tidak penuh.

Saya menerima kesalahan “Tidak Dapat Mengautentikasi” saat menggunakan AWS aplikasi untuk mencari pengguna atau grup

Anda mungkin mengalami kesalahan saat mencari pengguna saat menggunakan AWS aplikasi, seperti WorkSpaces atau Amazon QuickSight, bahkan saat status AD Connector aktif. Kredensial yang kedaluwarsa dapat mencegah AD Connector menyelesaikan kueri pada objek di Direktori Aktif Anda. Perbarui kata sandi untuk akun layanan menggunakan langkah-langkah yang dipesan yang disediakan diGabungan domain yang mulus untuk EC2 instans Amazon berhenti berfungsi.

Saya menerima kesalahan tentang kredensil direktori saya ketika saya mencoba memperbarui akun layanan AD Connector

Anda menerima pesan galat yang mirip dengan satu atau beberapa hal berikut saat mencoba memperbarui akun layanan AD Connector:

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Mungkin ada masalah dengan sinkronisasi waktu dan Kerberos. AD Connector mengirimkan permintaan otentikasi Kerberos ke Active Directory. Permintaan ini sensitif terhadap waktu dan jika permintaan ditunda, mereka akan gagal. Untuk mengatasi masalah ini, lihat Rekomendasi - Mengonfigurasi Root PDC dengan Sumber Waktu Otoritatif dan Hindari Kemiringan Waktu yang Luas Microsoft dokumentasi. Untuk informasi lebih lanjut tentang layanan waktu dan sinkronisasi, lihat di bawah ini:

Tampilkan lebih banyakTampilkan lebih sedikit

Beberapa pengguna saya tidak dapat mengautentikasi dengan direktori saya

Akun pengguna Anda harus mengaktifkan pra-autentikasi Kerberos. Ini adalah pengaturan default untuk akun pengguna baru, tetapi tidak boleh diubah. Untuk informasi selengkapnya tentang pengaturan ini, buka Preauthentication on Microsoft TechNet.

Masalah pemeliharaan

Berikut ini adalah masalah perawatan umum untuk AD Connector

  • Direktori saya terjebak dalam status “Diminta”

  • Gabungan domain yang mulus untuk EC2 instans Amazon berhenti berfungsi

Direktori saya terjebak dalam status “Diminta”

Jika Anda memiliki direktori yang telah berada dalam status “Diminta” selama lebih dari lima menit, coba hapus direktori dan buat ulang. Jika masalah ini berlanjut, hubungi AWS Support.

Gabungan domain yang mulus untuk EC2 instans Amazon berhenti berfungsi

Jika gabungan domain mulus untuk EC2 instans berfungsi dan kemudian berhenti saat AD Connector aktif, kredensil untuk akun layanan AD Connector Anda mungkin telah kedaluwarsa. Kredensi kedaluwarsa dapat mencegah AD Connector membuat objek komputer di Active Directory.

Untuk mengatasi masalah ini, perbarui kata sandi akun layanan dalam urutan berikut sehingga kata sandi cocok:

  1. Perbarui kata sandi untuk akun layanan di akun Anda Active Directory.

  2. Perbarui kata sandi untuk akun layanan di AD Connector Anda di AWS Directory Service. Untuk informasi selengkapnya, lihat Memperbarui kredensi akun layanan AD Connector Anda di AWS Management Console.

penting

Memperbarui kata sandi hanya di AWS Directory Service tidak mendorong perubahan kata sandi ke lokal Anda yang ada Active Directory jadi penting untuk melakukannya dalam urutan yang ditunjukkan pada prosedur sebelumnya.

Saya tidak dapat menghapus AD Connector saya

Jika AD Connector beralih ke status tidak dapat dioperasikan, Anda tidak lagi memiliki akses ke pengontrol domain. Kami memblokir penghapusan AD Connector ketika masih ada aplikasi yang terhubung dengannya karena salah satu aplikasi tersebut mungkin masih menggunakan direktori. Untuk daftar aplikasi yang perlu Anda nonaktifkan untuk menghapus AD Connector Anda, lihatMenghapus AD Connector. Jika Anda masih tidak dapat menghapus AD Connector, Anda dapat meminta bantuan melalui AWS Support.