Risoluzione dei problemi di AD Connector - AWS Directory Service
Problemi di creazioneProblemi di connettivitàProblemi di autenticazioneProblemi di manutenzioneNon riesco a eliminare il mio AD Connector

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di AD Connector

Quanto segue può aiutarti a risolvere alcuni problemi comuni che potresti riscontrare durante la creazione o l'utilizzo di AD Connector.

Problemi di creazione

Di seguito sono riportati i problemi di creazione più comuni per AD Connector.

Visualizzo un messaggi odi errore "AZ Constrained" (AZ vincolata) quando creo una directory

Alcuni AWS account creati prima del 2012 potrebbero avere accesso alle zone di disponibilità nelle regioni Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (California settentrionale) o Asia Pacifico (Tokyo) che non supportano AWS Directory Service le directory. Se ricevi un errore come questo durante la creazione di un Active Directory, scegli una sottorete in un'altra zona di disponibilità e prova a creare nuovamente la directory.

Ricevo l'errore «Rilevati problemi di connettività» quando tento di creare AD Connector

Se ricevi l'errore «Rilevato problema di connettività» durante il tentativo di creare un connettore AD, l'errore potrebbe essere dovuto alla disponibilità delle porte o alla complessità della password di AD Connector. Puoi testare la connessione del tuo AD Connector per vedere se sono disponibili le seguenti porte:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 () LDAP

Per verificare la connessione, consultaTest di un AD Connector. Il test di connessione deve essere eseguito sull'istanza unita a entrambe le sottoreti a cui sono associati gli indirizzi IP del connettore AD.

Se il test di connessione ha esito positivo e l'istanza si unisce al dominio, controlla la password di AD Connector. AD Connector deve soddisfare i requisiti di complessità delle AWS password. Per ulteriori informazioni, consulta Account di servizio inPrerequisiti di AD Connector.

Se il tuo AD Connector non soddisfa questi requisiti, ricrea il tuo AD Connector con una password conforme a questi requisiti.

Problemi di connettività

Di seguito sono riportati i problemi di connettività più comuni per AD Connector.

Ricevo un messaggio di errore "Connectivity issues detected" (Problemi di connettività rilevati) quando cerco di connettermi alla mia directory in locale

Ricevi un messaggio di errore simile al seguente quando ti connetti alla tua directory in locale:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector deve essere in grado di comunicare con i controller di dominio locali tramite TCP e UDP tramite le seguenti porte. Verifica che i gruppi di sicurezza e i firewall locali consentano la UDP comunicazione su TCP queste porte. Per ulteriori informazioni, consulta Prerequisiti di AD Connector.

  • 88 (Kerberos)

  • 389 () LDAP

Potrebbero essere necessarie UDP porteTCP/aggiuntive a seconda delle esigenze. Vedi l'elenco seguente per alcune di queste porte. Per ulteriori informazioni sulle porte utilizzate da Active Directory, vedi Come configurare un firewall per Active Directory domini e trust in Microsoft documentazione.

  • 135 (RPCEndpoint Mapper)

  • 646 () LDAP SSL

  • 3268 (GC) LDAP

  • 3269 (GC) LDAP SSL

Mostra piùMostra meno

Ricevo un errore "DNSnon disponibile» quando provo a connettermi alla mia directory locale

Ricevi un messaggio di errore simile al seguente quando ti connetti alla tua directory in locale:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector deve essere in grado di comunicare con i DNS server locali tramite TCP e UDP tramite la porta 53. Verifica che i gruppi di sicurezza e i firewall locali TCP consentano la UDP comunicazione su questa porta. Per ulteriori informazioni, consulta Prerequisiti di AD Connector.

Ricevo un errore "SRVrecord» quando provo a connettermi alla mia directory locale

Ricevi un messaggio di errore simile a uno o più dei seguenti quando ti connetti alla tua directory in locale:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector deve ottenere i _kerberos._tcp.<DnsDomainName> SRV record _ldap._tcp.<DnsDomainName> and quando si connette alla tua directory. Questo errore verrà visualizzato se il servizio non è in grado di ottenere questi record dai DNS server specificati durante la connessione alla directory. Per ulteriori informazioni su questi SRV record, vedereSRV record requirements.

Problemi di autenticazione

Ecco alcuni problemi di autenticazione comuni con AD Connector:

Ricevo un errore «Convalida del certificato non riuscita» quando tento di accedere Amazon WorkSpaces con una smart card

Quando tenti di accedere al tuo account WorkSpaces con una smart card, ricevi un messaggio di errore simile al seguente:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

L'errore si verifica se il certificato della smart card non è archiviato correttamente nel client che utilizza i certificati. Per ulteriori informazioni sui requisiti di AD Connector e smart card, consultaPrerequisiti.

Utilizzare le seguenti procedure per risolvere i problemi relativi alla capacità della smart card di memorizzare i certificati nell'archivio certificati dell'utente:

  1. Sul dispositivo che presenta problemi di accesso ai certificati, accedi a Microsoft Management Console (MMC).

    Importante

    Prima di procedere, crea una copia del certificato della smart card.

  2. Accedere all'archivio certificati inMMC. Eliminare il certificato smart card dell'utente dall'archivio certificati. Per ulteriori informazioni sulla visualizzazione dell'archivio certificati inMMC, vedere Procedura: Visualizzazione dei certificati con lo MMC snap-in Microsoft documentazione.

  3. Rimuovere la smart card.

  4. Reinserire la smart card in modo che possa ripopolare il certificato della smart card nell'archivio certificati dell'utente.

    avvertimento

    Se la smart card non ripopola il certificato nell'archivio utenti, non può essere utilizzata per l'autenticazione tramite smart card. WorkSpaces

L'account di servizio di AD Connector deve avere quanto segue:

  • my/spnaggiunto al nome principale del servizio

  • Delegato al servizio LDAP

Dopo aver ripopolato il certificato sulla smart card, è necessario controllare il controller di dominio locale per determinare se è bloccato dalla mappatura del nome utente principale (UPN) per il nome alternativo del soggetto. Per ulteriori informazioni su questa modifica, vedi Come disabilitare il nome alternativo del soggetto per la mappatura in UPN Microsoft documentazione.

Utilizza la procedura seguente per controllare la chiave di registro del controller di dominio:

  1. Nell'editor del registro, vai alla seguente chiave hive

    HKEY_ LOCAL _MACHINE\\SYSTEM\ ServiziCurrentControlSet\ Kdc\ UseSubjectAltName

  2. Seleziona UseSubjectAltName. Assicuratevi che il valore sia impostato su 0.

Nota

Se la chiave di registro è impostata sui controller di dominio locali, AD Connector non sarà in grado di localizzare gli utenti in Active Directory e restituisce il messaggio di errore sopra riportato.

I certificati Certificate Authority (CA) devono essere caricati nel certificato smart card AD Connector. Il certificato deve contenere OCSP informazioni. Di seguito sono elencati i requisiti aggiuntivi per la CA:

  • Il certificato deve trovarsi nella Trusted Root Authority del controller di dominio, nel server dell'autorità di certificazione e nel WorkSpaces.

  • I certificati CA offline e root non conterranno le OSCP informazioni. Questi certificati contengono informazioni sulla loro revoca.

  • Se si utilizza un certificato CA di terze parti per l'autenticazione con smart card, la CA e i certificati intermedi devono essere pubblicati su Active Directory NTAuthmemorizzare. Devono essere installati nell'autorità root affidabile per tutti i controller di dominio, i server delle autorità di certificazione e WorkSpaces.

    • È possibile utilizzare il comando seguente per pubblicare certificati su Active Directory NTAuthmemorizzare:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Per ulteriori informazioni sulla pubblicazione dei certificati nello NTAuth store, consulta Importazione del certificato CA emittente nell'Enterprise NTAuth store nella Guida all'installazione di Access Amazon WorkSpaces with Common Access Cards.

Puoi verificare se il certificato utente o i certificati della catena CA sono verificati OCSP seguendo questa procedura:

  1. Esporta il certificato smart card in una posizione sul computer locale come l'unità C:.

  2. Aprire un prompt della riga di comando e accedere alla posizione in cui è archiviato il certificato smart card esportato.

  3. Immetti il comando seguente:

    certutil -URL Certficate_name.cer

  4. Dopo il comando dovrebbe apparire una finestra pop-up. Seleziona l'OCSPopzione nell'angolo destro e seleziona Recupera. Lo stato dovrebbe tornare come verificato.

Per ulteriori informazioni sul comando certutil, vedere certutil in Microsoft documentazione

Mostra piùMostra meno

Ricevo un messaggio errore "Credenziali non valide" quando l'account del servizio utilizzato da AD Connector cerca di eseguire l'autenticazione

Questo può verificarsi se il disco rigido sul tuo controller dei domini esaurisce lo spazio. Verifica che i dischi rigidi del tuo controller dei domini non siano pieni.

Ricevo un errore «Impossibile autenticarsi» quando utilizzo AWS applicazioni per cercare utenti o gruppi

Potresti riscontrare errori durante la ricerca di utenti durante l'utilizzo di AWS applicazioni, come Amazon WorkSpaces o Amazon QuickSight, anche quando lo stato di AD Connector era attivo. Le credenziali scadute possono impedire a AD Connector di completare le query su oggetti in Active Directory. Aggiorna la password per l'account del servizio utilizzando i passaggi ordinati forniti inL'aggiunta fluida al dominio per le EC2 istanze Amazon ha smesso di funzionare.

Ricevo un errore relativo alle mie credenziali di directory quando tento di aggiornare l'account del servizio AD Connector

Quando tenti di aggiornare l'account del servizio AD Connector, ricevi un messaggio di errore simile a uno o più dei seguenti:

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Potrebbe esserci un problema con la sincronizzazione dell'ora e Kerberos. AD Connector invia le richieste di autenticazione Kerberos a Active Directory. Queste richieste richiedono un intervallo di tempo limitato e se vengono ritardate, avranno esito negativo. Per risolvere questo problema, vedi Raccomandazione: configura la radice PDC con una fonte temporale autorevole ed evita una distorsione temporale diffusa Microsoft documentazione. Per ulteriori informazioni sul servizio orario e sulla sincronizzazione, vedi sotto:

Mostra piùMostra meno

Alcuni dei miei utenti non possono eseguire l'autenticazione con la mia directory

I tuoi account utente devono avere la preautenticazione Kerberos abilitata. Questa è l'impostazione predefinita per i nuovi account utente e non deve essere modificata. Per ulteriori informazioni su questa impostazione, vai a Preautenticazione su Microsoft TechNet.

Problemi di manutenzione

Di seguito sono riportati i problemi di manutenzione più comuni per AD Connector.

  • La mia directory è bloccata nello stato "Requested" (Richiesta)

  • L'aggiunta fluida al dominio per le EC2 istanze Amazon ha smesso di funzionare

La mia directory è bloccata nello stato "Requested" (Richiesta)

Se disponi di una directory che è stata nello stato "Richiesta" per più di cinque minuti, prova a eliminare la directory e a ricrearla. Se il problema persiste, contatta AWS Support.

L'aggiunta fluida al dominio per le EC2 istanze Amazon ha smesso di funzionare

Se Seamless Domain Join for EC2 Instances funzionava e poi si è interrotto mentre AD Connector era attivo, le credenziali per il tuo account di servizio AD Connector potrebbero essere scadute. Le credenziali scadute possono impedire ad AD Connector di creare oggetti informatici nel tuo Active Directory.

Per risolvere questo problema, aggiorna le password dell'account del servizio nell'ordine seguente, in modo che corrispondano:

  1. Aggiorna la password per l'account di servizio nel tuo Active Directory.

  2. Aggiorna la password per l'account di servizio nel tuo AD Connector in AWS Directory Service. Per ulteriori informazioni, consulta Aggiornamento delle credenziali dell'account del servizio AD Connector in AWS Management Console.

Importante

L'aggiornamento della password solo in AWS Directory Service non comporta il trasferimento della modifica della password all'ambiente locale esistente Active Directory quindi è importante farlo nell'ordine mostrato nella procedura precedente.

Non riesco a eliminare il mio AD Connector

Se il tuo AD Connector passa a uno stato non funzionante, non hai più accesso ai controller di dominio. Blocchiamo l'eliminazione di un AD Connector quando ci sono ancora applicazioni ad esso collegate perché una di queste applicazioni potrebbe ancora utilizzare la directory. Per un elenco delle applicazioni che devi disabilitare per eliminare il tuo AD Connector, consultaEliminazione di AD Connector. Se ancora non riesci a eliminare il tuo AD Connector, puoi richiedere assistenza tramite AWS Support.