문제 해결 AD Connector - AWS Directory Service
생성 문제연결 문제인증 문제유지 관리 문제AD Connector를 삭제할 수 없는 경우

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

문제 해결 AD Connector

다음은 AD Connector를 만들거나 사용할 때 발생할 수 있는 몇 가지 일반적인 문제를 해결하는 데 도움이 될 수 있습니다.

생성 문제

다음은 AD Connector의 일반적인 생성 문제입니다.

디렉터리를 생성할 때 "AZ Constrained" 오류 메시지가 표시됩니다.

2012년 이전에 생성된 일부 AWS 계정은 디렉터리를 지원하지 AWS Directory Service 않는 미국 동부 (버지니아 북부), 미국 서부 (캘리포니아 북부) 또는 아시아 태평양 (도쿄) 지역의 가용 영역에 액세스할 수 있습니다. 를 생성할 때 이와 같은 오류가 발생하면 다른 Active Directory 가용 영역에 있는 서브넷을 선택하고 디렉터리를 다시 생성해 보십시오.

AD Connector를 만들려고 할 때 “연결 문제가 감지되었습니다.” 오류 메시지가 나타납니다.

AD 커넥터를 만들려고 할 때 “연결 문제가 발견됨” 오류가 표시되면 포트 가용성 또는 AD Connector 암호의 복잡성 때문일 수 있습니다. AD 커넥터의 연결을 테스트하여 다음 포트를 사용할 수 있는지 확인할 수 있습니다.

  • 53(DNS)

  • 88(Kerberos)

  • 389(LDAP)

연결을 테스트하려면 을 참조하십시오AD 커넥터 테스트. AD 커넥터의 IP 주소가 연결된 두 서브넷에 연결된 인스턴스에서 연결 테스트를 수행해야 합니다.

연결 테스트에 성공하고 인스턴스가 도메인에 가입하면 AD 커넥터의 비밀번호를 확인하십시오. AD Connector는 AWS 암호 복잡성 요구 사항을 충족해야 합니다. 자세한 내용은 의 서비스 계정을 참조하십시오AD Connector 사전 조건.

AD Connector가 이러한 요구 사항을 충족하지 않는 경우 이러한 요구 사항을 준수하는 암호로 AD Connector를 다시 만드십시오.

연결 문제

다음은 AD Connector의 일반적인 연결 문제입니다.

내 온프레미스 디렉터리에 연결할 때 "Connectivity issues detected" 오류가 표시되는 경우

온프레미스 디렉터리에 연결할 때 다음과 비슷한 오류 메시지가 표시됩니다.

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector에서 다음 포트를 통해 TCP 및 UDP를 경유하여 온프레미스 도메인 컨트롤러와 통신할 수 있어야 합니다. 보안 그룹 및 온프레미스 방화벽에서 이러한 포트를 통한 TCP 및 UDP 통신을 허용하는지 확인합니다. 자세한 정보는 AD Connector 사전 조건을 참조하세요.

  • 88(Kerberos)

  • 389(LDAP)

필요에 따라 추가 TCP/UDP 포트가 필요할 수 있습니다. 이러한 포트 중 일부에 대해서는 다음 목록을 참조하십시오. 에서 사용하는 포트에 대한 자세한 내용은 Microsoft 설명서의 Active Directory도메인 및 트러스트용 방화벽을 구성하는 방법을 참조하십시오. Active Directory

  • 135 (RPC 엔드포인트 매퍼)

  • 646 (LDAP SSL)

  • 3268 (LDAP GC)

  • 3269 (LDAP GC SSL)

더보기간략히 보기

온프레미스 디렉터리에 연결할 때 "DNS unavailable" 오류가 표시되는 경우

온프레미스 디렉터리에 연결할 때 다음과 비슷한 오류 메시지가 표시됩니다.

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector에서 포트 53을 통해 TCP 및 UDP를 경유하여 온프레미스 DNS 서버와 통신할 수 있어야 합니다. 보안 그룹 및 온프레미스 방화벽에서 이 포트를 통한 TCP 및 UDP 통신을 허용하는지 확인합니다. 자세한 정보는 AD Connector 사전 조건을 참조하세요.

내 온프레미스 디렉터리에 연결할 때 "SRV record" 오류가 표시되는 경우

온프레미스 디렉터리에 연결할 때 다음 중 하나 이상과 비슷한 오류 메시지가 표시됩니다.

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector는 디렉터리에 연결할 때 _ldap._tcp.<DnsDomainName>_kerberos._tcp.<DnsDomainName> SRV 레코드를 가져와야 합니다. 서비스에서 디렉터리에 연결할 때 지정한 DNS 서버로부터 이러한 레코드를 가져올 수 없는 경우에 이 오류가 표시됩니다. 이러한 SRV 레코드에 대한 자세한 내용은 SRV record requirements을 참조하세요.

인증 문제

AD Connector와 관련된 몇 가지 일반적인 인증 문제는 다음과 같습니다.

스마트 카드로 로그인하려고 Amazon WorkSpaces 하면 '인증서 유효성 검증에 실패했습니다' 오류 메시지가 나타납니다.

스마트 WorkSpaces 카드로 로그인하려고 하면 다음과 비슷한 오류 메시지가 나타납니다.

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

스마트 카드의 인증서가 인증서를 사용하는 클라이언트에 제대로 저장되지 않은 경우 오류가 발생합니다. AD Connector 및 스마트 카드 요구 사항에 대한 자세한 내용은 을 참조하십시오필수 조건.

다음 절차를 사용하여 사용자의 인증서 저장소에 인증서를 저장하는 스마트 카드의 기능 문제를 해결하십시오.

  1. 인증서에 액세스하는 데 문제가 있는 장치에서 Microsoft Management Console (MMC) 에 액세스합니다.

    중요

    진행하기 전에 스마트 카드 인증서의 사본을 만드십시오.

  2. MMC의 인증서 저장소로 이동합니다. 인증서 저장소에서 사용자의 스마트 카드 인증서를 삭제합니다. MMC의 인증서 저장소를 보는 방법에 대한 자세한 내용은 설명서의 방법: MMC 스냅인을 사용하여 인증서 보기를 참조하십시오. Microsoft

  3. 스마트 카드를 제거합니다.

  4. 사용자의 인증서 저장소에 있는 스마트 카드 인증서를 다시 채울 수 있도록 스마트 카드를 다시 삽입합니다.

    주의

    스마트 카드가 사용자 저장소에 인증서를 다시 채우지 않는 경우 스마트 카드 인증에 사용할 수 없습니다. WorkSpaces

AD 커넥터의 서비스 계정에는 다음이 있어야 합니다.

  • my/spn서비스 원칙 이름에 추가됨

  • LDAP 서비스를 위임받았습니다.

스마트 카드에 인증서를 다시 채운 후에는 온프레미스 도메인 컨트롤러를 검사하여 해당 도메인 컨트롤러가 주체 대체 이름에 대한 UPN (사용자 계정 이름) 매핑에서 차단되었는지 확인해야 합니다. 이 변경 사항에 대한 자세한 내용은 설명서에서 UPN 매핑의 주체 대체 이름을 비활성화하는 방법을 참조하십시오. Microsoft

다음 절차를 사용하여 도메인 컨트롤러의 레지스트리 키를 확인하십시오.

  1. 레지스트리 편집기에서 다음 하이브 키로 이동합니다.

    HKEY_LOCAL_MACHINE\ SYSTEM\\ 서비스\ Kdc\ CurrentControlSet UseSubjectAltName

  2. UseSubjectAltName선택. 값이 0으로 설정되어 있는지 확인합니다.

참고

온-프레미스 도메인 컨트롤러에서 레지스트리 키를 설정하면 AD Connector가 사용자를 찾을 수 없어 위와 같은 오류 메시지가 표시됩니다. Active Directory

CA (인증 기관) 인증서를 AD Connector 스마트 카드 인증서에 업로드해야 합니다. 인증서에는 OCSP 정보가 포함되어야 합니다. 다음은 CA에 대한 추가 요구 사항 목록입니다.

  • 인증서는 도메인 컨트롤러의 신뢰할 수 있는 루트 기관, 인증 기관 서버 및 에 있어야 WorkSpaces 합니다.

  • 오프라인 및 루트 CA 인증서에는 OSCP 정보가 포함되지 않습니다. 이러한 인증서에는 해지에 대한 정보가 들어 있습니다.

  • 스마트 카드 인증에 타사 CA 인증서를 사용하는 경우 CA 및 중간 인증서를 Active Directory NAuth 저장소에 게시해야 합니다. 모든 도메인 컨트롤러, 인증 기관 서버 및 기타 서버의 신뢰할 수 있는 루트 기관에 설치해야 합니다. WorkSpaces

    • 다음 명령을 사용하여 인증서를 Active Directory NTAuth 저장소에 게시할 수 있습니다.

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

인증서를 NTAuth 스토어에 게시하는 방법에 대한 자세한 내용은 공용 액세스 카드를 사용하여 Access Amazon의 엔터프라이즈 NTAuth 스토어로 발급 CA 인증서 가져오기 설치 WorkSpaces 가이드를 참조하십시오.

다음 절차에 따라 OCSP에서 사용자 인증서 또는 CA 체인 인증서를 확인했는지 확인할 수 있습니다.

  1. C: 드라이브와 같은 로컬 컴퓨터의 위치로 스마트 카드 인증서를 내보냅니다.

  2. 명령줄 프롬프트를 열고 내보낸 스마트 카드 인증서가 저장된 위치를 탐색합니다.

  3. 다음 명령을 입력합니다.

    certutil -URL Certficate_name.cer

  4. 명령 다음에 팝업 창이 나타나야 합니다. 오른쪽 모서리에서 OCSP 옵션을 선택하고 검색을 선택합니다. 상태가 확인된 상태로 돌아와야 합니다.

certutil 명령에 대한 자세한 내용은 설명서의 certutil을 참조하십시오. Microsoft

더보기간략히 보기

AD Connector에서 사용되는 서비스 계정이 인증을 시도할 때 "Invalid Credentials" 오류가 표시되는 경우

도메인 컨트롤러 상의 하드 드라이브에 공간이 부족할 경우 이러한 오류가 발생할 수 있습니다. 도메인 컨트롤러의 하드 드라이브가 가득 차지 않았는지 확인합니다.

AWS 애플리케이션을 사용하여 사용자 또는 그룹을 검색할 때 “인증할 수 없음” 오류 메시지가 나타납니다.

AD Connector 상태가 활성 상태인 경우에도 Amazon WorkSpaces QuickSight 등의 AWS 애플리케이션을 사용하는 동안 사용자를 검색할 때 오류가 발생할 수 있습니다. 보안 인증이 만료되면 AD Connector가 Active Directory의 객체에 대한 쿼리를 완료하지 못할 수 있습니다. 에 제공된 순서에 따라 서비스 계정의 비밀번호를 업데이트하십시오Amazon EC2 인스턴스에 대한 원활한 도메인 조인이 작동을 멈췄습니다..

AD Connector 서비스 계정을 업데이트하려고 하면 디렉터리 자격 증명에 대한 오류 메시지가 나타납니다.

AD Connector 서비스 계정을 업데이트하려고 할 때 다음 중 하나 이상과 비슷한 오류 메시지가 나타납니다.

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

시간 동기화 및 Kerberos에 문제가 있을 수 있습니다. AD Connector는 에 Kerberos 인증 요청을 보냅니다. Active Directory 이러한 요청은 시간에 민감하며 요청이 지연되면 실패합니다. 이 문제를 해결하려면 설명서의 권장 사항 - 신뢰할 수 있는 시간 소스로 루트 PDC를 구성하고 시간 왜곡이 확산되지 않도록 하기 항목을 참조하십시오. Microsoft 시간 서비스 및 동기화에 대한 자세한 내용은 아래를 참조하십시오.

더보기간략히 보기

일부 사용자들이 내 디렉터리를 통해 인증을 할 수 없는 경우

사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이것이 새 사용자 계정에 대한 기본 설정이며 이를 변경해서는 안 됩니다. 이 설정에 대한 자세한 내용은 사전 인증 Microsoft TechNet 켜기를 참조하십시오.

유지 관리 문제

다음은 AD Connector의 일반적인 유지 관리 문제입니다.

  • 디렉터리가 "Requested" 상태에 멈춰있는 경우

  • Amazon EC2 인스턴스에 대한 원활한 도메인 조인이 작동을 멈췄습니다.

디렉터리가 "Requested" 상태에 멈춰있는 경우

"Requested" 상태에 5분 이상 멈춰있는 디렉터리가 있으면 이를 삭제하고 다시 생성해보세요. 문제가 지속될 경우 AWS Support에 문의하세요.

Amazon EC2 인스턴스에 대한 원활한 도메인 조인이 작동을 멈췄습니다.

AD Connector가 활성 상태인데 EC2 인스턴스의 원활한 도메인 조인이 잘 작동하다가 멈췄다면 AD Connector 서비스 계정의 자격 증명이 만료되었을 수 있습니다. 자격 증명이 만료되면 AD Connector에서 컴퓨터 개체를 만들지 못할 수 Active Directory 있습니다.

이 문제를 해결하려면 서비스 계정 암호를 다음 순서로 업데이트하여 암호가 서로 일치하게 하세요.

  1. 에 있는 서비스 계정의 암호를 업데이트하십시오. Active Directory

  2. 에서 AD Connector의 서비스 계정 암호를 업데이트하십시오 AWS Directory Service. 자세한 정보는 ​AWS Directory Service에서 AD Connector 서비스 계정 자격 증명을 업데이트을 참조하세요.

중요

에서만 암호를 업데이트하면 암호 변경 내용이 기존 온-프레미스로 푸시되지 AWS Directory Service Active Directory 않으므로 이전 절차에 표시된 순서대로 변경하는 것이 중요합니다.

AD Connector를 삭제할 수 없는 경우

AD Connector가 작동 불가능 상태로 전환되면 도메인 컨트롤러에 더 이상 액세스할 수 없습니다. AD Connector에 연결된 애플리케이션이 있는 경우 해당 애플리케이션 중 하나가 여전히 디렉터리를 사용하고 있을 수 있으므로 AD Connector의 삭제를 차단합니다. AD Connector를 삭제하기 위해 비활성화해야 하는 응용 프로그램 목록은 을 참조하십시오AD Connector 삭제. 그래도 AD Connector를 삭제할 수 없는 경우 를 통해 도움을 요청할 수 AWS Support있습니다.