Risoluzione dei problemi di AD Connector - AWS Directory Service
Problemi di creazioneProblemi di connettivitàProblemi di autenticazioneProblemi di manutenzioneNon riesco a eliminare il mio AD Connector

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di AD Connector

Quanto segue può aiutarti a risolvere alcuni problemi comuni che potresti riscontrare durante la creazione o l'utilizzo di AD Connector.

Problemi di creazione

Di seguito sono riportati i problemi di creazione più comuni per AD Connector

Visualizzo un messaggi odi errore "AZ Constrained" (AZ vincolata) quando creo una directory

Alcuni AWS account creati prima del 2012 potrebbero avere accesso alle zone di disponibilità nelle regioni Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (California settentrionale) o Asia Pacifico (Tokyo) che non supportano AWS Directory Service le directory. Se ricevi un errore come questo durante la creazione di unaActive Directory, scegli una sottorete in una zona di disponibilità diversa e prova a creare nuovamente la directory.

Ricevo l'errore «Rilevati problemi di connettività» quando tento di creare AD Connector

Se ricevi l'errore «Rilevato problema di connettività» durante il tentativo di creare un connettore AD, l'errore potrebbe essere dovuto alla disponibilità delle porte o alla complessità della password di AD Connector. Puoi testare la connessione del tuo AD Connector per vedere se sono disponibili le seguenti porte:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

Per testare la connessione, consultaTest di un AD Connector. Il test di connessione deve essere eseguito sull'istanza unita a entrambe le sottoreti a cui sono associati gli indirizzi IP del connettore AD.

Se il test di connessione ha esito positivo e l'istanza si unisce al dominio, controlla la password di AD Connector. AD Connector deve soddisfare i requisiti di complessità delle AWS password. Per ulteriori informazioni, consulta Account di servizio inPrerequisiti di AD Connector.

Se il tuo AD Connector non soddisfa questi requisiti, ricrea il tuo AD Connector con una password conforme a questi requisiti.

Problemi di connettività

Di seguito sono riportati i problemi di connettività più comuni per AD Connector

Ricevo un messaggio di errore "Connectivity issues detected" (Problemi di connettività rilevati) quando cerco di connettermi alla mia directory in locale

Ricevi un messaggio di errore simile al seguente quando ti connetti alla tua directory in locale:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector deve essere in grado di comunicare con i controller dei domini on-premise tramite TCP e UDP attraverso le seguenti porte. Verifica che i gruppi di sicurezza e i firewall in locale permettano la comunicazione TCP e UDP su queste porte. Per ulteriori informazioni, consulta Prerequisiti di AD Connector.

  • 88 (Kerberos)

  • 389 (LDAP)

Potrebbero essere necessarie porte TCP/UDP aggiuntive a seconda delle esigenze. Vedi l'elenco seguente per alcune di queste porte. Per ulteriori informazioni sulle porte utilizzate daActive Directory, vedi Come configurare un firewall per Active Directory domini e trust nella Microsoft documentazione.

  • 135 (RPC Endpoint Mapper)

  • 646 (SSL LDAP)

  • 3268 (LDAP GC)

  • 3269 (LDAP GC SSL)

Mostra piùMostra meno

Ricevo un messaggio di errore "DNS unavailable" (DNS non disponibile) quando cerco di connettermi alla mia directory in locale

Ricevi un messaggio di errore simile al seguente quando ti connetti alla tua directory in locale:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector deve essere in grado di comunicare con i tuoi server DNS on-premise tramite TCP e UDP attraverso la porta 53. Verifica che i gruppi di sicurezza e i firewall in locale permettano la comunicazione TCP e UDP su questa porta. Per ulteriori informazioni, consulta Prerequisiti di AD Connector.

Ricevo un messaggio di errore "SRV record" (record SRV) quando cerco di connettermi alla mia directory in locale

Ricevi un messaggio di errore simile a uno o più dei seguenti quando ti connetti alla tua directory in locale:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector deve ottenere i record SRV _ldap._tcp.<DnsDomainName> e _kerberos._tcp.<DnsDomainName> quando si connette alla tua directory. Riceverai questo messaggio di errore se il servizio non è in grado di ottenere questi record dai server DNS che hai specificato al momento della connessione alla tua directory. Per ulteriori informazioni su questi record SRV, consulta SRV record requirements.

Problemi di autenticazione

Ecco alcuni problemi di autenticazione comuni con AD Connector:

Ricevo il messaggio di errore «Convalida del certificato non riuscita» quando cerco di accedere Amazon WorkSpaces con una smart card

Quando tenti di accedere al tuo account WorkSpaces con una smart card, ricevi un messaggio di errore simile al seguente:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

L'errore si verifica se il certificato della smart card non è archiviato correttamente nel client che utilizza i certificati. Per ulteriori informazioni sui requisiti di AD Connector e smart card, consultaPrerequisiti.

Utilizzare le seguenti procedure per risolvere i problemi relativi alla capacità della smart card di memorizzare i certificati nell'archivio certificati dell'utente:

  1. Sul dispositivo che presenta problemi di accesso ai certificati, accedi a Microsoft Management Console (MMC).

    Importante

    Prima di procedere, crea una copia del certificato della smart card.

  2. Accedere all'archivio dei certificati nella MMC. Eliminare il certificato smart card dell'utente dall'archivio certificati. Per ulteriori informazioni sulla visualizzazione dell'archivio certificati nella MMC, vedere Procedura: Visualizzazione dei certificati con lo snap-in MMC nella documentazione. Microsoft

  3. Rimuovere la smart card.

  4. Reinserire la smart card in modo che possa ripopolare il certificato della smart card nell'archivio certificati dell'utente.

    avvertimento

    Se la smart card non ripopola il certificato nell'archivio utenti, non può essere utilizzata per l'autenticazione tramite smart card. WorkSpaces

L'account di servizio di AD Connector deve avere quanto segue:

  • my/spnaggiunto al nome principale del servizio

  • Delegato per il servizio LDAP

Dopo aver ripopolato il certificato sulla smart card, è necessario controllare il controller di dominio locale per determinare se è bloccato dalla mappatura UPN (User Principal Name) per Subject Alternative Name. Per ulteriori informazioni su questa modifica, vedi Come disabilitare la mappatura Subject Alternative Name for UPN nella documentazione. Microsoft

Utilizza la seguente procedura per controllare la chiave di registro del controller di dominio:

  1. Nell'editor del registro, accedi alla seguente chiave hive

    HKEY_LOCAL_MACHINE\ SYSTEM\\ Services\ Kdc\ CurrentControlSet UseSubjectAltName

  2. Seleziona UseSubjectAltName. Assicurati che il valore sia impostato su 0.

Nota

Se la chiave di registro è impostata sui controller di dominio locali, AD Connector non sarà in grado di localizzare gli utenti Active Directory e genererà il messaggio di errore sopra riportato.

I certificati Certificate Authority (CA) devono essere caricati nel certificato smart card AD Connector. Il certificato deve contenere informazioni OCSP. Di seguito sono elencati i requisiti aggiuntivi per la CA:

  • Il certificato deve trovarsi nella Trusted Root Authority del controller di dominio, nel server dell'autorità di certificazione e nel WorkSpaces.

  • I certificati CA offline e root non conterranno le informazioni OSCP. Questi certificati contengono informazioni sulla loro revoca.

  • Se si utilizza un certificato CA di terze parti per l'autenticazione con smart card, è necessario pubblicare la CA e i certificati intermedi nell'archivio Active Directory NTAuth. Devono essere installati nell'autorità principale attendibile per tutti i controller di dominio, i server delle autorità di certificazione e. WorkSpaces

    • È possibile utilizzare il comando seguente per pubblicare certificati nell'archivio Active Directory NTAuth:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Per ulteriori informazioni sulla pubblicazione dei certificati nello store NTAuth, consulta Importazione del certificato CA emittente nell'archivio Enterprise NTAuth nella Guida all'installazione di Access Amazon WorkSpaces with Common Access Cards.

Puoi verificare se il certificato utente o i certificati della catena CA sono verificati da OCSP seguendo questa procedura:

  1. Esporta il certificato della smart card in una posizione sul computer locale come l'unità C:.

  2. Aprire un prompt della riga di comando e accedere alla posizione in cui è archiviato il certificato smart card esportato.

  3. Immetti il comando seguente:

    certutil -URL Certficate_name.cer

  4. Dopo il comando dovrebbe apparire una finestra pop-up. Seleziona l'opzione OCSP nell'angolo destro e seleziona Recupera. Lo stato dovrebbe tornare come verificato.

Per ulteriori informazioni sul comando certutil, vedere certutil nella documentazione Microsoft

Mostra piùMostra meno

Ricevo un messaggio errore "Credenziali non valide" quando l'account del servizio utilizzato da AD Connector cerca di eseguire l'autenticazione

Questo può verificarsi se il disco rigido sul tuo controller dei domini esaurisce lo spazio. Verifica che i dischi rigidi del tuo controller dei domini non siano pieni.

Ricevo il messaggio di errore «Impossibile autenticarsi» quando utilizzo AWS le applicazioni per cercare utenti o gruppi

Potresti riscontrare errori durante la ricerca di utenti durante l'utilizzo di AWS applicazioni, come Amazon WorkSpaces o Amazon QuickSight, anche quando lo stato di AD Connector era attivo. Le credenziali scadute possono impedire a AD Connector di completare le query su oggetti in Active Directory. Aggiorna la password per l'account del servizio utilizzando i passaggi ordinati forniti inL'aggiunta fluida al dominio per le istanze Amazon EC2 ha smesso di funzionare.

Ricevo un errore relativo alle mie credenziali di directory quando tento di aggiornare l'account del servizio AD Connector

Quando tenti di aggiornare l'account del servizio AD Connector, ricevi un messaggio di errore simile a uno o più dei seguenti:

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Potrebbe esserci un problema con la sincronizzazione dell'ora e Kerberos. AD Connector invia le richieste di autenticazione Kerberos a. Active Directory Queste richieste richiedono un intervallo di tempo limitato e, se vengono ritardate, avranno esito negativo. Per risolvere questo problema, vedi Raccomandazione: configurare il Root PDC con un'origine temporale autorevole ed evitare una distorsione temporale diffusa nella documentazione. Microsoft Per ulteriori informazioni sul servizio orario e sulla sincronizzazione, vedi sotto:

Mostra piùMostra meno

Alcuni dei miei utenti non possono eseguire l'autenticazione con la mia directory

I tuoi account utente devono avere la preautenticazione Kerberos abilitata. Questa è l'impostazione predefinita per i nuovi account utente e non deve essere modificata. Per ulteriori informazioni su questa impostazione, vai a Preautenticazione attiva Microsoft TechNet.

Problemi di manutenzione

Di seguito sono riportati i problemi di manutenzione più comuni per AD Connector

  • La mia directory è bloccata nello stato "Requested" (Richiesta)

  • L'aggiunta fluida al dominio per le istanze Amazon EC2 ha smesso di funzionare

La mia directory è bloccata nello stato "Requested" (Richiesta)

Se disponi di una directory che è stata nello stato "Richiesta" per più di cinque minuti, prova a eliminare la directory e a ricrearla. Se il problema persiste, contatta AWS Support.

L'aggiunta fluida al dominio per le istanze Amazon EC2 ha smesso di funzionare

Se l'aggiunta del dominio uniforme per istanze EC2 funzionava e poi si è arrestata mentre AD Connector era attivo, le credenziali per l'account del servizio di AD Connector potrebbero essere scadute. Le credenziali scadute possono impedire ad AD Connector di creare oggetti informatici nel tuo. Active Directory

Per risolvere questo problema, aggiorna le password dell'account del servizio nell'ordine seguente, in modo che corrispondano:

  1. Aggiorna la password per l'account di servizio nel tuo. Active Directory

  2. Aggiorna la password per l'account di servizio nel tuo AD Connector in AWS Directory Service. Per ulteriori informazioni, consulta Aggiornare le credenziali dell'account del servizio AD Connector in AWS Directory Service.

Importante

L'aggiornamento della password solo in AWS Directory Service non trasferisce la modifica della password all'ambiente locale esistente, Active Directory quindi è importante farlo nell'ordine mostrato nella procedura precedente.

Non riesco a eliminare il mio AD Connector

Se il tuo AD Connector passa a uno stato non funzionante, non hai più accesso ai controller di dominio. Blocchiamo l'eliminazione di un AD Connector quando ci sono ancora applicazioni ad esso collegate perché una di queste applicazioni potrebbe ancora utilizzare la directory. Per un elenco delle applicazioni che devi disabilitare per eliminare il tuo AD Connector, consultaEliminare AD Connector. Se ancora non riesci a eliminare il tuo AD Connector, puoi richiedere assistenza tramite AWS Support.