As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Solução de problemas do AD Connector
Os tópicos a seguir podem ajudar a solucionar alguns problemas comuns que podem ser encontrados ao criar ou usar o AD Connector.
Tópicos
Problemas de criação
A seguir estão os problemas comuns de criação do AD Connector
Recebo um erro de "AZ Constrained" quando crio um diretório
Algumas AWS contas criadas antes de 2012 podem ter acesso às zonas de disponibilidade nas regiões Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Norte da Califórnia) ou Ásia-Pacífico (Tóquio) que não oferecem suporte a AWS Directory Service diretórios. Se você receber um erro como esse ao criar um Active Directory, escolha uma sub-rede em uma zona de disponibilidade diferente e tente criar o diretório novamente.
Eu recebo um erro “Problemas de conectividade detectados” quando tento criar um AD Connector
Se você receber o erro "Problema de conectividade detectado" ao tentar criar um AD Connector, o erro pode ser devido à disponibilidade da porta ou à complexidade da senha do AD Connector. Você pode testar a conexão do AD Connector para ver se as seguintes portas estão disponíveis:
-
53 (DNS)
-
88 (Kerberos)
-
389 (LDAP)
Para testar sua conexão, consulte Testar o AD Connector. O teste de conexão deve ser realizado na instância associada às duas sub-redes às quais os endereços IP do AD Connector estão associados.
Se o teste de conexão tiver êxito e a instância ingressar no domínio, verifique a senha do AD Connector. O AD Connector deve atender aos requisitos de complexidade da AWS senha. Para obter mais informações, consulte Contas de serviço em Pré-requisitos do AD Connector.
Se o AD Connector não atender a esses requisitos, recrie o AD Connector com uma senha que esteja em conformidade com esses requisitos.
Problemas de conectividade
A seguir estão os problemas comuns de conectividade do AD Connector
Eu recebo um erro "Problemas de conectividade detectados" quando tento me conectar ao meu diretório on-premises
Você recebe uma mensagem de erro semelhante à seguinte quando se conecta ao seu diretório on-premises:
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.O AD Connector deve ser capaz de se comunicar com seus controladores de domínio on-premises via TCP e UDP nas portas a seguir. Verifique se seus grupos de segurança e firewalls on-premises permitem a comunicação de TCP e UDP por estas portas. Para obter mais informações, consulte Pré-requisitos do AD Connector.
-
88 (Kerberos)
-
389 (LDAP)
Você pode precisar de portas TCP/UDP adicionais, dependendo de suas necessidades. Consulte a lista a seguir para ver algumas dessas portas. Para obter mais informações sobre portas usadas pelo Active Directory, consulte Como configurar um firewall para Active Directory domínios e relações de confiança em
-
135 (RPC Endpoint Mapper)
-
646 (LDAP SSL)
-
3268 (LDAP GC)
-
3269 (LDAP GC SSL)
Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório on-premises
Você recebe uma mensagem de erro semelhante à seguinte quando se conecta ao seu diretório on-premises:
DNS unavailable (TCP port 53) for IP: <DNS IP address>O AD Connector deve ser capaz de se comunicar com seus servidores de DNS on-premises via TCP e UDP na porta 53. Verifique se seus grupos de segurança e firewalls on-premises permitem a comunicação de TCP e UDP por essa porta. Para obter mais informações, consulte Pré-requisitos do AD Connector.
Eu recebo um erro "Registro SRV" quando tento me conectar ao meu diretório on-premises
Você recebe uma mensagem de erro semelhante a uma ou mais das seguintes quando se conecta ao seu diretório on-premises:
SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>O AD Connector precisa obter os registros de SRV _ldap._tcp. e <DnsDomainName>_kerberos._tcp. ao se conectar ao seu diretório. Você receberá esse erro se o serviço não conseguir obter esses registros dos servidores DNS que você especificou ao se conectar ao seu diretório. Para obter mais informações sobre esses registros SRV, consulte SRV record requirements.<DnsDomainName>
Problemas de autenticação
Estes estão alguns problemas de autenticação comuns com o AD Connector:
Eu recebo o erro “Falha na validação do certificado” quando tento entrar Amazon WorkSpaces com um cartão inteligente
Você recebe uma mensagem de erro semelhante à seguinte ao tentar entrar no seu WorkSpaces com um cartão inteligente:
ERROR: Certificate Validation failed.
Please try again by restarting your browser or application and make sure you select the correct certificate.O erro ocorre se o certificado do cartão inteligente não estiver armazenado adequadamente no cliente que usa os certificados. Para obter mais informações sobre os requisitos do AD Connector e do cartão inteligente, consulte Pré-requisitos.
Use os seguinte procedimentos para solucionar problemas com a capacidade do cartão inteligente de armazenar certificados no repositório de certificados do usuário:
-
No dispositivo que está tendo problemas para acessar os certificados, acesse o Microsoft Management Console (MMC).
Importante
Antes de prosseguir, crie uma cópia do certificado do cartão inteligente.
-
Navegue até o repositório de certificados no MMC. Exclua o certificado de cartão inteligente do usuário do repositório de certificados. Para obter mais informações sobre como visualizar o repositório de certificados no MMC, consulte Como: Exibir certificados com o snap-in do MMC
Microsoft documentação. -
Remova o cartão inteligente.
-
Reinsira o cartão inteligente para que ele possa preencher novamente o certificado do cartão inteligente no armazenamento de certificados do usuário.
Atenção
Se o cartão inteligente não estiver preenchendo novamente o certificado no armazenamento do usuário, ele não poderá ser usado para autenticação do cartão WorkSpaces inteligente.
A conta de serviço do AD Connector deve ter o seguinte:
-
my/spnadicionado ao nome do princípio de serviço -
Delegado para o serviço LDAP
Depois que o certificado for preenchido novamente no cartão inteligente, o controlador de domínio local deverá ser verificado para determinar se ele está bloqueado do mapeamento do nome principal do usuário (UPN) para o nome alternativo do assunto. Para obter mais informações sobre essa alteração, consulte Como desativar o nome alternativo do assunto para mapeamento de UPN no
Use o seguinte procedimento para verificar a chave de Registro do seu controlador de domínio:
-
No Editor de Registros, navegue para a seguinte chave de registro:
HKEY_LOCAL_MACHINE\ SYSTEM\\ Serviços\ Kdc\ CurrentControlSet UseSubjectAltName
-
Inspecione o valor de UseSubjectAltName:
-
Se o valor for definido como 0, o mapeamento do nome alternativo do assunto será desativado e você deverá mapear explicitamente um determinado certificado para apenas 1 usuário. Se um certificado for mapeado para vários usuários e esse valor for 0, o login com esse certificado falhará.
-
Se o valor não estiver definido ou definido como 1, você deverá mapear explicitamente um determinado certificado para somente 1 usuário ou usar o campo Nome alternativo do assunto para fazer login.
-
Se o campo Nome alternativo do assunto existir no certificado, ele será priorizado.
-
Se o campo Nome alternativo do assunto não existir no certificado e o certificado estiver explicitamente mapeado para mais de um usuário, o login com esse certificado falhará.
-
-
-
nota
Se a chave do registro estiver definida nos controladores de domínio locais, o AD Connector não conseguirá localizar os usuários em Active Directory e resultam na mensagem de erro acima.
Os certificados da autoridade de certificação (CA) devem ser enviados para o certificado de cartão inteligente do AD Connector. O certificado deve conter informações do OCSP. A seguir, listamos os requisitos adicionais para a CA:
-
O certificado deve estar na Autoridade Raiz Confiável do Controlador de Domínio, do Servidor da Autoridade de Certificação e do WorkSpaces.
-
Os certificados off-line e de CA raiz não conterão as informações do OSCP. Esses certificados contêm informações sobre sua revogação.
-
Se você estiver usando um certificado CA de terceiros para autenticação por cartão inteligente, os certificados CA e intermediários precisarão ser publicados no Active Directory NTAuth loja. Eles devem ser instalados na autoridade raiz confiável de todos os controladores de domínio, servidores de autoridade de certificação e. WorkSpaces
-
Você pode usar o comando follow para publicar certificados no Active Directory NTAuth loja:
certutil -dspublish -fThird_Party_CA.cerNTAuthCA
-
Para obter mais informações sobre a publicação de certificados na NTAuth loja, consulte Importar o certificado CA emissor para a NTAuth loja Enterprise no Access Amazon WorkSpaces with Common Access Cards Installation Guide.
Você pode verificar se o certificado do usuário ou os certificados da cadeia de CA são verificados pelo OCSP seguindo este procedimento:
-
Exporte o certificado do cartão inteligente para uma localização na máquina local, como a unidade C:.
-
Abra um prompt de linha de comando e navegue até o local em que o certificado de cartão inteligente exportado está armazenado.
-
Digite o comando:
certutil -URLCertficate_name.cer -
Uma janela pop-up deve aparecer após o comando. Selecione a opção OCSP no canto direito e selecione Recuperar. O status deve retornar conforme verificado.
Para obter mais informações sobre o comando certutil, consulte certutil em
Recebo um erro "Credenciais inválidas" quando a conta de serviço usada pelo AD Connector tenta se autenticar
Isso pode ocorrer se o disco rígido no controlador de domínio ficar sem espaço. Verifique se os discos rígidos do controlador de domínio não estão cheios.
Eu recebo o erro “Não é possível autenticar” ao usar AWS aplicativos para pesquisar usuários ou grupos
Você pode encontrar erros ao pesquisar usuários ao usar AWS aplicativos, como WorkSpaces o Amazon QuickSight, mesmo quando o status do AD Connector estava ativo. As credenciais expiradas podem impedir que o AD Connector conclua consultas de objetos em seu Active Directory. Atualize a senha da conta de serviço usando as etapas ordenadas fornecidas em A associação perfeita de domínios para EC2 instâncias da Amazon parou de funcionar.
Eu recebo um erro sobre minhas credenciais de diretório quando tento atualizar a conta de serviço do AD Connector
Você recebe uma mensagem de erro semelhante a uma ou mais das seguintes quando tenta atualizar a conta de serviço do AD Connector:
Message:An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials.An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account CredentialsMessage:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combinationPode haver um problema com a sincronização de horário e o Kerberos. O AD Connector envia solicitações de autenticação Kerberos para Active Directory. Essas solicitações são urgentes e, se atrasarem, falharão. Para resolver esse problema, consulte Recomendação - Configurar o PDC raiz com uma fonte de tempo autorizada e evitar distorções de tempo generalizadas
Alguns dos meus usuários não podem se autenticar com meu diretório
Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Essa é a configuração padrão para contas de usuário novas, mas ela não deve ser modificada. Para obter mais informações sobre essa configuração, acesse Pré-autenticação
Problemas de manutenção
A seguir estão os problemas comuns de manutenção do AD Connector
-
Meu diretório está travado no estado "Requested"
-
A associação perfeita de domínios para EC2 instâncias da Amazon parou de funcionar
Meu diretório está travado no estado "Requested"
Se você tiver um diretório que está no estado “solicitado” por mais de cinco minutos, tente excluir o diretório e recriá-lo. Se esse problema continuar, entre em contato com o AWS Support
A associação perfeita de domínios para EC2 instâncias da Amazon parou de funcionar
Se a associação perfeita de EC2 instâncias ao domínio estava funcionando e foi interrompida enquanto o AD Connector estava ativo, as credenciais da sua conta de serviço do AD Connector podem ter expirado. Credenciais expiradas podem impedir que o AD Connector crie objetos de computador em seu Active Directory.
Para resolver esse problema, atualize as senhas da conta de serviço na seguinte ordem para que as senhas correspondam:
-
Atualize a senha da conta de serviço em seu Active Directory.
-
Atualize a senha da conta de serviço no AD Connector no AWS Directory Service. Para obter mais informações, consulte Atualizar suas credenciais da conta de serviço do AD Connector no AWS Management Console.
Importante
Atualizar a senha somente em AWS Directory Service não envia a alteração da senha para o local existente. Active Directory por isso, é importante fazer isso na ordem mostrada no procedimento anterior.
Não consigo excluir meu AD Connector
Se o AD Connector mudar para um estado inoperável, você não terá mais acesso aos seus controladores de domínio. Bloqueamos a exclusão de um AD Connector quando ainda há aplicações vinculadas a ele porque uma dessas aplicações ainda pode estar usando o diretório. Para obter uma lista das aplicações que você precisa desabilitar para excluir seu AD Connector, consulte Exclusão do AD Connector. Se ainda não conseguir excluir seu AD Connector, você pode solicitar ajuda por meio do AWS Support
