I miei generatori di immagini e le mie istanze della flotta sono bloccati nello PENDING stato.I miei utenti non sono in grado di accedere con l'applicazione. SAML Le istanze del parco istanze funzionano per un utente, ma non vengono riutilizzate correttamente.Gli oggetti della policy di gruppo dell'utente non sono applicati correttamente.Le mie istanze di streaming AppStream 2.0 non entrano a far parte del dominio Active Directory.L'accesso dell'utente sta richiedendo molto tempo in una sessione di streaming aggiunta al dominio.Gli utenti non possono accedere a una risorsa di dominio in una sessione di streaming aggiunta al dominio, ma possono accedere alla risorsa da un Image Builder aggiunto al dominio.I miei utenti ricevono l'errore "Certificate-Based Authentication not available" e viene richiesto di inserire la password del dominio. Oppure gli utenti ricevono l'errore "Disconnected from session" quando iniziano una sessione abilitata con l'autenticazione basata su certificati.Sto riscontrando errori di accesso al dominio dopo aver modificato l'account del servizio Active Directory (AD).

Risoluzione dei problemi di Active Directory

Di seguito sono riportati i problemi che potrebbero verificarsi durante la configurazione e l'utilizzo di Active Directory con Amazon AppStream 2.0. Per facilitare la risoluzione dei problemi, consulta i codici di notifica Risoluzione dei problemi dei codici di notifica.

Problemi

I miei generatori di immagini e le mie istanze della flotta sono bloccati nello PENDING stato.
I miei utenti non sono in grado di accedere con l'applicazione. SAML
Le istanze del parco istanze funzionano per un utente, ma non vengono riutilizzate correttamente.
Gli oggetti della policy di gruppo dell'utente non sono applicati correttamente.
Le mie istanze di streaming AppStream 2.0 non entrano a far parte del dominio Active Directory.
L'accesso dell'utente sta richiedendo molto tempo in una sessione di streaming aggiunta al dominio.
Gli utenti non possono accedere a una risorsa di dominio in una sessione di streaming aggiunta al dominio, ma possono accedere alla risorsa da un Image Builder aggiunto al dominio.
I miei utenti ricevono l'errore "Certificate-Based Authentication not available" e viene richiesto di inserire la password del dominio. Oppure gli utenti ricevono l'errore "Disconnected from session" quando iniziano una sessione abilitata con l'autenticazione basata su certificati.
Sto riscontrando errori di accesso al dominio dopo aver modificato l'account del servizio Active Directory (AD).

I miei generatori di immagini e le mie istanze della flotta sono bloccati nello PENDING stato.

Gli Image Builder e le istanze dei parchi istanze possono richiedere fino a 25 minuti per passare a uno stato pronto e diventare disponibili. Se le istanze impiegano più di 25 minuti a diventare disponibili, verifica in Active Directory se sono stati creati nuovi oggetti informatici nelle unità organizzative corrette (). OUs Se sono presenti nuovi oggetti, le istanze di streaming saranno presto disponibili. Se gli oggetti non sono presenti, controlla i dettagli di configurazione della directory in Directory Config AppStream 2.0: nome della directory (il nome di dominio completo della directory, le credenziali di accesso dell'account di servizio e il nome distinto dell'unità organizzativa).

Gli errori del generatore di immagini e del parco immagini vengono visualizzati nella console AppStream 2.0 nella scheda Notifiche per il parco immagini o il generatore di immagini. Gli errori della flotta sono disponibili anche utilizzando la AppStream versione 2.0 API tramite l'DescribeFleetsoperazione o il CLI comando describe-fleets.

I miei utenti non sono in grado di accedere con l'applicazione. SAML

AppStream 2.0 si basa sull'attributo SAML _Subject «NameID» del tuo provider di identità per compilare il campo nome utente per accedere al tuo utente. Il nome utente può essere formattato come "domain\username" o "user@domain.com". Se si utilizza il formato "domain\username", domain può essere il nome di rete o il BIOS nome di dominio completo. Se si utilizza il formato user@domain.com "", è possibile utilizzare l' UserPrincipalName attributo. Se hai verificato che l'attributo SAML _Subject sia configurato correttamente e il problema persiste, contatta. AWS Support Per ulteriori informazioni, consulta Centro di AWS Support.

Le istanze del parco istanze funzionano per un utente, ma non vengono riutilizzate correttamente.

Le istanze del parco istanze sono riutilizzate dopo che un utente ha completato una sessione, garantendo che ciascun utente disponga di una nuova istanza. Quando l'istanza del parco istanze riutilizzata viene portata online, si unisce al dominio utilizzando il nome computer della precedente istanza. Per garantire che l'operazione sia eseguita correttamente, l'account del servizio richiede le autorizzazioni Cambia password e Reimposta password sull'unità organizzativa (UO) a cui l'oggetto computer è stato aggiunto. Controlla le autorizzazioni dell'account del servizio e riprova. Se il problema persiste, contatta. AWS Support Per ulteriori informazioni, consulta Centro di AWS Support.

Gli oggetti della policy di gruppo dell'utente non sono applicati correttamente.

Per impostazione predefinita, gli oggetti computer si applicano alle policy a livello di computer in base all'UO in cui si trova l'oggetto computer, durante l'applicazione delle policy a livello di utente in base all'UO in cui si trova l'utente. Se le policy a livello di utente non vengono applicate, è possibile procedere in uno dei seguenti modi:

Spostare le policy a livello di utente nell'UO in cui si trova l'oggetto Active Directory dell'utente
Abilitare l'elaborazione di loopback a livello di computer, che si applica alle policy a livello di utente nell'UO dell'oggetto computer.

Per ulteriori informazioni, consulta Elaborazione di loopback delle policy di gruppo nel supporto Microsoft.

Le mie istanze di streaming AppStream 2.0 non entrano a far parte del dominio Active Directory.

Il dominio Active Directory da utilizzare con AppStream 2.0 deve essere accessibile tramite il relativo nome di dominio completo (FQDN) tramite il quale vengono VPC avviate le istanze di streaming.

Per verificare che il dominio sia accessibile

Avvia un'EC2istanza Amazon nella stessa VPC sottorete e negli stessi gruppi di sicurezza utilizzati con la AppStream versione 2.0.
Aggiungi manualmente l'EC2istanza al tuo dominio Active Directory utilizzando FQDN (ad esempioyourdomain.example.com) l'account di servizio che intendi utilizzare con la AppStream versione 2.0. Utilizza il seguente comando in una PowerShell console Windows:
```
netdom join computer /domain:FQDN /OU:path /ud:user /pd:password
```
Se tale unione manuale non va a buon fine, passare alla fase successiva.
Se non riesci ad aggiungere manualmente il tuo dominio, apri un prompt dei comandi e verifica di poter risolvere il problema FQDN utilizzando il nslookup comando. Per esempio:
```
nslookup yourdomain.exampleco.com
```
La corretta risoluzione dei nomi restituisce un indirizzo IP valido. Se non riesci a risolvere il problemaFQDN, potresti dover aggiornare i VPC DNS server utilizzando un set di DHCP opzioni per il tuo dominio. Quindi, tornare su questa fase. Per ulteriori informazioni, consulta la sezione DHCPOptions Sets nella Amazon VPC User Guide.
Se si FQDN risolve, usa il telnet comando per convalidare la connettività.
```
telnet yourdomain.exampleco.com 389
```
La connessione riuscita mostra una finestra del prompt dei comandi vuota senza errori di connessione. Potrebbe essere necessario installare la funzionalità Telnet Client sull'istanza. EC2 Per ulteriori informazioni, consulta Installazione del client telnet nella documentazione Microsoft.

Se non sei riuscito a aggiungere manualmente l'EC2istanza al tuo dominio, ma sei riuscito a risolvere FQDN e testare la connettività con il client Telnet, i tuoi gruppi di VPC sicurezza potrebbero impedire l'accesso. Active Directory richiede alcune delle impostazioni della porta di rete. Per ulteriori informazioni, consulta Requisiti di Active Directory e della porta dei servizi del dominio Active Directory nella documentazione Microsoft.

L'accesso dell'utente sta richiedendo molto tempo in una sessione di streaming aggiunta al dominio.

AppStream 2.0 esegue un'azione di accesso a Windows dopo che gli utenti hanno fornito la password del dominio. Una volta completata l'autenticazione, AppStream 2.0 avvia l'applicazione. Il tempo di accesso e avvio è influenzato da molte variabili, quali il conflitto di rete nei controller del dominio o il tempo richiesto per l'applicazione delle impostazioni di Criteri di gruppo all'istanza di streaming. Se l'autenticazione di dominio richiede troppo tempo, prova a eseguire le seguenti operazioni.

Riduci al minimo la latenza di rete dalla regione AppStream 2.0 ai controller di dominio scegliendo i controller di dominio corretti. Ad esempio, se il parco istanze si trova in us-east-1, utilizzare i controller di dominio con elevata larghezza di banda e a bassa latenza per us-east-1 tramite le mappature di zona dei servizi e dei siti Active Directory. Per ulteriori informazioni, consulta Servizi e siti Active Directory nella documentazione di Microsoft.
Assicurati che le impostazioni di Criteri di gruppo e gli script di accesso utente non impieghino troppo tempo per essere applicati o eseguiti.

Se l'accesso degli utenti del dominio alla AppStream versione 2.0 non riesce e viene visualizzato il messaggio «Si è verificato un errore sconosciuto», potrebbe essere necessario aggiornare le impostazioni dei Criteri di gruppo descritte in. Prima di iniziare a utilizzare Active Directory con Amazon AppStream 2.0 In caso contrario, queste impostazioni potrebbero impedire alla AppStream versione 2.0 di autenticare e accedere agli utenti del dominio.

Gli utenti non possono accedere a una risorsa di dominio in una sessione di streaming aggiunta al dominio, ma possono accedere alla risorsa da un Image Builder aggiunto al dominio.

Verifica che la tua flotta sia creata nelle stesse VPC sottoreti e gruppi di sicurezza del tuo generatore di immagini e che l'utente disponga delle autorizzazioni necessarie per accedere e utilizzare la risorsa del dominio.

I miei utenti ricevono l'errore "Certificate-Based Authentication not available" e viene richiesto di inserire la password del dominio. Oppure gli utenti ricevono l'errore "Disconnected from session" quando iniziano una sessione abilitata con l'autenticazione basata su certificati.

Questi errori si verificano se l'autenticazione basata su certificati non ha avuto esito positivo per la sessione. L'errore "Certificate-Based Authentication not available" viene visualizzato quando l'autenticazione basata su certificati è abilitata per consentire il fallback all'accesso tramite password. L'errore "Disconnected from session" viene visualizzato quando l'autenticazione basata su certificati è abilitata senza fallback.

L'utente può aggiornare la pagina sul client Web o ricollegarsi dal client per Windows, poiché con l'autenticazione basata su certificati questo potrebbe essere un problema intermittente. Se il problema persiste, ecco le possibili cause dell'errore di autenticazione basata su certificati:

AppStream 2.0 non è riuscito a comunicare con AWS Private CA o AWS Private CA non ha emesso il certificato. Verifica CloudTrail se è stato emesso un certificato. Per ulteriori informazioni, vedi Cos'è AWS CloudTrail? eGestione dell'autenticazione basata su certificati.
Il controller di dominio non dispone di un apposito certificato per l'accesso con smart card oppure è scaduto. Per ulteriori informazioni, consulta la fase 7.a in Prerequisiti.
Il certificato non è attendibile. Per ulteriori informazioni, consulta la fase 7.c in Prerequisiti.
Il userPrincipalName formato per SAML _Subject NameID non è formattato correttamente o non si risolve nel dominio effettivo dell'utente. Per ulteriori informazioni, consulta la fase 1 in Prerequisiti.
L' ObjectSid attributo (opzionale) nell'SAMLasserzione non corrisponde all'identificatore di sicurezza di Active Directory (SID) per l'utente specificato in SAML _Subject NameID. Verifica che la mappatura degli attributi sia corretta nella tua SAML federazione e che il tuo provider di SAML identità stia sincronizzando l'attributo per l'SIDutente di Active Directory.
L'agente AppStream 2.0 non supporta l'autenticazione basata su certificati. Utilizza la versione AppStream 2.0 dell'agente 10-13-2022 o successiva.
Esistono impostazioni di Criteri di gruppo che modificano le impostazioni predefinite di Active Directory per l'accesso con smart card o intervengono se una smart card viene rimossa da un lettore. Queste impostazioni possono causare altri comportamenti imprevisti oltre agli errori sopra elencati. L'autenticazione basata su certificati presenta al sistema operativo dell'istanza una smart card virtuale e la rimuove una volta completato l'accesso. Per ulteriori informazioni, consulta Impostazioni di Criteri di gruppo principali per le smart card e Impostazioni aggiuntive Criteri di gruppo smart card e chiavi del Registro di sistema. Non abilitare Accesso tramite smart card per Active Directory nello stack se desideri utilizzare l'autenticazione basata su certificati. Per ulteriori informazioni, consulta Smart card.
Il punto di CRL distribuzione per la CA privata non è online o accessibile dall'istanza della flotta AppStream 2.0 o dal controller di dominio. Per ulteriori informazioni, consulta la fase 5 in Prerequisiti.

Ulteriori passaggi per la risoluzione dei problemi prevedono la revisione dei registri degli eventi di Windows dell'istanza AppStream 2.0. Un evento comune da esaminare in caso di errore di accesso è 4625(F): An account failed to log on. Per ulteriori informazioni sull'acquisizione delle informazioni di log, consulta l'argomento relativo alla Log eventi delle applicazioni persistenti e di Windows. In alternativa, per risolvere i problemi di una sessione AppStream 2.0 attiva come amministratore, è possibile connettersi ai registri utilizzando un Visualizzatore eventi su un altro computer. Per ulteriori informazioni, consulta Come selezionare computer in Visualizzatore eventi. In alternativa, è possibile connettersi utilizzando Remote Desktop per connettersi all'indirizzo IP privato dell'istanza da un altro computer in grado di connettersi a Remote Desktop Services nel cloud privato AppStream virtuale 2.0 (). VPC Utilizzate il AWS CLI per determinare l'indirizzo IP per la sessione in base alla AWS regione, al nome dello stack AppStream 2.0, al nome del parco veicoli, all'ID utente e al tipo di autenticazione. Per ulteriori informazioni, consulta.AWS Command Line Interface

Se il problema persiste, contatta AWS Support. Per ulteriori informazioni, consulta Centro di AWS Support.

Sto riscontrando errori di accesso al dominio dopo aver modificato l'account del servizio Active Directory (AD).

Se disponi di un parco istanze esistente con un'immagine basata sull'aggiornamento del sistema operativo Microsoft Windows Server di agosto 2024 e se modifichi l'account del servizio Active Directory (AD) per quel parco istanze, le istanze del parco istanze potrebbero riscontrare errori di aggiunta al dominio durante il provisioning.

Microsoft ha rilasciato una patch KB5020276, che modifica il comportamento delle operazioni di aggiunta al dominio. AppStream 2.0 riutilizza gli oggetti informatici esistenti quando unisce le istanze di streaming ai domini AD. Questo oggetto informatico viene generato utilizzando l'account del servizio AD fornito quando si crea una flotta o una configurazione di directory con AppStream 2.0. Prima di questa patch di Microsoft, i nuovi account del servizio AD potevano riutilizzare gli oggetti informatici esistenti creati dalla AppStream versione 2.0, purché avessero le autorizzazioni «Create Computer Object» configurate nell'unità organizzativa (OU).

Quando la patch Microsoft verrà applicata, a partire dal 13 agosto 2024, e se modifichi l'account del servizio AD per una flotta AppStream 2.0 esistente, il nuovo account di servizio non sarà più in grado di riutilizzare gli oggetti computer esistenti nell'AD. Ciò comporta errori di aggiunta al dominio nelle flotte AppStream 2.0, con uno dei seguenti messaggi di errore nelle notifiche del parco veicoli:

DOMAIN_ JOIN _ _ INTERNAL SERVICE _ ERROR «Il nome del gruppo non è stato trovato.»
In Active Directory esiste un account con lo stesso nome. Il riutilizzo dell'account è stato bloccato dalla politica di sicurezza

Per controllare quale account può riutilizzare gli oggetti del computer esistenti, Microsoft ha implementato una nuova impostazione dei Criteri di gruppo denominata Controller di dominio: consenti il riutilizzo dell'account del computer durante l'aggiunta al dominio. Questa impostazione consente di specificare un elenco di account di servizio attendibili che ignorano il controllo durante l'operazione di aggiunta al dominio. Per la configurazione AD autogestita, ti consigliamo di seguire i passaggi documentati da Microsoft per aggiungere l'account del servizio AD alla nuova politica di elenco degli elenchi consentiti, utilizzando i criteri di gruppo su un controller di dominio.

Per Managed Active Directory (MAD), è necessario riavviare la flotta AppStream 2.0 dopo aver apportato modifiche all'account del servizio di aggiunta al dominio AppStream 2.0.

Se il problema persiste, contatta AWS Support. Per ulteriori informazioni, consulta Centro di AWS Support.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risoluzione dei problemi dei parchi istanze

Risoluzione dei problemi degli utenti della AppStream versione 2.0