Solução de problemas do AD Connector - AWS Directory Service
Problemas de criaçãoProblemas de conectividadeProblemas de autenticaçãoProblemas de manutençãoNão consigo excluir meu AD Connector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas do AD Connector

O que segue pode ajudá-lo a solucionar alguns problemas comuns que você pode encontrar ao criar ou usar seu AD Connector.

Problemas de criação

A seguir estão os problemas comuns de criação do AD Connector

Recebo um erro de "AZ Constrained" quando crio um diretório

Algumas AWS contas criadas antes de 2012 podem ter acesso às zonas de disponibilidade nas regiões Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Norte da Califórnia) ou Ásia-Pacífico (Tóquio) que não oferecem suporte a AWS Directory Service diretórios. Se você receber um erro como esse ao criar umActive Directory, escolha uma sub-rede em uma zona de disponibilidade diferente e tente criar o diretório novamente.

Eu recebo o erro “Problemas de conectividade detectados” quando tento criar o AD Connector

Se você receber o erro “Problema de conectividade detectado” ao tentar criar um AD Connector, o erro pode ser devido à disponibilidade da porta ou à complexidade da senha do AD Connector. Você pode testar a conexão do seu AD Connector para ver se as seguintes portas estão disponíveis:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

Para testar sua conexão, consulteTestar o AD Connector. O teste de conexão deve ser realizado na instância associada às duas sub-redes às quais os endereços IP do AD Connector estão associados.

Se o teste de conexão for bem-sucedido e a instância ingressar no domínio, verifique a senha do AD Connector. O AD Connector deve atender aos requisitos de complexidade da AWS senha. Para obter mais informações, consulte Conta de serviço emPré-requisitos do AD Connector.

Se o AD Connector não atender a esses requisitos, recrie seu AD Connector com uma senha que esteja em conformidade com esses requisitos.

Problemas de conectividade

A seguir estão os problemas comuns de conectividade do AD Connector

Eu recebo um erro "Problemas de conectividade detectados" quando tento me conectar ao meu diretório on-premises

Você recebe uma mensagem de erro semelhante à seguinte quando se conecta ao seu diretório local:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

O AD Connector deve ser capaz de se comunicar com seus controladores de domínio on-premises via TCP e UDP nas portas a seguir. Verifique se seus grupos de segurança e firewalls on-premises permitem a comunicação de TCP e UDP por estas portas. Para ter mais informações, consulte Pré-requisitos do AD Connector.

  • 88 (Kerberos)

  • 389 (LDAP)

Você pode precisar de portas TCP/UDP adicionais, dependendo de suas necessidades. Consulte a lista a seguir para ver algumas dessas portas. Para obter mais informações sobre portas usadas porActive Directory, consulte Como configurar um firewall para Active Directory domínios e relações de confiança na Microsoft documentação.

  • 135 (mapeador de pontos finais RPC)

  • 646 (SSL LDAP)

  • 3268 (PULSAÇÃO DE BANDA)

  • 3269 (LDAP GC SSL)

Mostrar maisMostrar menos

Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório on-premises

Você recebe uma mensagem de erro semelhante à seguinte quando se conecta ao seu diretório local:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

O AD Connector deve ser capaz de se comunicar com seus servidores de DNS on-premises via TCP e UDP na porta 53. Verifique se seus grupos de segurança e firewalls on-premises permitem a comunicação de TCP e UDP por essa porta. Para ter mais informações, consulte Pré-requisitos do AD Connector.

Eu recebo um erro "Registro SRV" quando tento me conectar ao meu diretório on-premises

Você recebe uma mensagem de erro semelhante a uma ou mais das seguintes quando se conecta ao seu diretório on-premises:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

O AD Connector precisa obter os registros de SRV _ldap._tcp.<DnsDomainName> e _kerberos._tcp.<DnsDomainName> ao se conectar ao seu diretório. Você receberá esse erro se o serviço não conseguir obter esses registros dos servidores DNS que você especificou ao se conectar ao seu diretório. Para obter mais informações sobre esses registros SRV, consulte SRV record requirements.

Problemas de autenticação

Aqui estão alguns problemas comuns de autenticação com o AD Connector:

Eu recebo o erro “Falha na validação do certificado” quando tento entrar Amazon WorkSpaces com um cartão inteligente

Você recebe uma mensagem de erro semelhante à seguinte ao tentar entrar no seu WorkSpaces com um cartão inteligente:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

O erro ocorre se o certificado do cartão inteligente não estiver armazenado adequadamente no cliente que usa os certificados. Para obter mais informações sobre os requisitos do AD Connector e do cartão inteligente, consultePré-requisitos.

Use os procedimentos a seguir para solucionar problemas com a capacidade do cartão inteligente de armazenar certificados no repositório de certificados do usuário:

  1. No dispositivo que está tendo problemas para acessar os certificados, acesse o Microsoft Management Console (MMC).

    Importante

    Antes de prosseguir, crie uma cópia do certificado do cartão inteligente.

  2. Navegue até o repositório de certificados no MMC. Exclua o certificado de cartão inteligente do usuário do repositório de certificados. Para obter mais informações sobre como visualizar o repositório de certificados no MMC, consulte Como: Exibir certificados com o snap-in do MMC na documentação. Microsoft

  3. Remova o cartão inteligente.

  4. Reinsira o cartão inteligente para que ele possa preencher novamente o certificado do cartão inteligente no armazenamento de certificados do usuário.

    Atenção

    Se o cartão inteligente não estiver preenchendo novamente o certificado no armazenamento do usuário, ele não poderá ser usado para autenticação do cartão WorkSpaces inteligente.

A conta de serviço do AD Connector deve ter o seguinte:

  • my/spnadicionado ao nome do princípio de serviço

  • Delegado para o serviço LDAP

Depois que o certificado for preenchido novamente no cartão inteligente, o controlador de domínio local deverá ser verificado para determinar se ele está bloqueado do mapeamento do nome principal do usuário (UPN) para o nome alternativo do assunto. Para obter mais informações sobre essa alteração, consulte Como desativar o nome alternativo do assunto para mapeamento de UPN na Microsoft documentação.

Use o procedimento a seguir para verificar a chave de registro do seu controlador de domínio:

  1. No Editor do Registro, navegue até a seguinte chave de seção

    HKEY_LOCAL_MACHINE\ SYSTEM\\ Serviços\ Kdc\ CurrentControlSet UseSubjectAltName

  2. Selecione UseSubjectAltName. Certifique-se de que o valor esteja definido como 0.

nota

Se a chave do registro estiver definida nos controladores de domínio locais, o AD Connector não conseguirá localizar os usuários Active Directory e resultar na mensagem de erro acima.

Os certificados da Autoridade Certificadora (CA) devem ser enviados para o certificado de cartão inteligente AD Connector. O certificado deve conter informações do OCSP. A seguir, listamos os requisitos adicionais para a CA:

  • O certificado deve estar na Autoridade Raiz Confiável do Controlador de Domínio, do Servidor da Autoridade de Certificação e do WorkSpaces.

  • Os certificados offline e de CA raiz não conterão as informações do OSCP. Esses certificados contêm informações sobre sua revogação.

  • Se você estiver usando um certificado CA de terceiros para autenticação por cartão inteligente, os certificados CA e intermediários precisarão ser publicados no repositório Active Directory NTAuth. Eles devem ser instalados na autoridade raiz confiável de todos os controladores de domínio, servidores de autoridade de certificação e. WorkSpaces

    • Você pode usar o comando a seguir para publicar certificados no repositório Active Directory NTauth:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Para obter mais informações sobre a publicação de certificados na loja NTAuth, consulte Importar o certificado CA emissor para a loja Enterprise NTAuth no Access Amazon WorkSpaces with Common Access Cards Installation Guide.

Você pode verificar se o certificado do usuário ou os certificados da cadeia CA são verificados pelo OCSP seguindo este procedimento:

  1. Exporte o certificado do cartão inteligente para um local na máquina local, como a unidade C:.

  2. Abra um prompt de linha de comando e navegue até o local onde o certificado de cartão inteligente exportado está armazenado.

  3. Digite o comando :

    certutil -URL Certficate_name.cer

  4. Uma janela pop-up deve aparecer após o comando. Selecione a opção OCSP no canto direito e selecione Recuperar. O status deve retornar conforme verificado.

Para obter mais informações sobre o comando certutil, consulte certutil na documentação Microsoft

Mostrar maisMostrar menos

Recebo um erro "Credenciais inválidas" quando a conta de serviço usada pelo AD Connector tenta se autenticar

Isso pode ocorrer se o disco rígido no controlador de domínio ficar sem espaço. Verifique se os discos rígidos do controlador de domínio não estão cheios.

Eu recebo o erro “Não é possível autenticar” ao usar AWS aplicativos para pesquisar usuários ou grupos

Você pode encontrar erros ao pesquisar usuários ao usar AWS aplicativos, como WorkSpaces o Amazon QuickSight, mesmo quando o status do AD Connector estava ativo. As credenciais expiradas podem impedir que o AD Connector conclua consultas de objetos em seu Active Directory. Atualize a senha da conta de serviço usando as etapas ordenadas fornecidas emA união perfeita de domínios para instâncias do Amazon EC2 parou de funcionar.

Eu recebo um erro sobre minhas credenciais de diretório quando tento atualizar a conta de serviço do AD Connector

Você recebe uma mensagem de erro semelhante a uma ou mais das seguintes ao tentar atualizar a conta de serviço do AD Connector:

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Pode haver um problema com a sincronização de horário e o Kerberos. O AD Connector envia solicitações de autenticação Kerberos para o. Active Directory Essas solicitações são urgentes e, se atrasarem, falharão. Para resolver esse problema, consulte Recomendação - Configurar o PDC raiz com uma fonte de tempo autorizada e evitar distorções de tempo generalizadas na documentação. Microsoft Para obter mais informações sobre serviço de horário e sincronização, veja abaixo:

Mostrar maisMostrar menos

Alguns dos meus usuários não podem se autenticar com meu diretório

Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Essa é a configuração padrão para contas de usuário novas, mas ela não deve ser modificada. Para obter mais informações sobre essa configuração, acesse Pré-autenticação em Microsoft TechNet.

Problemas de manutenção

A seguir estão os problemas comuns de manutenção do AD Connector

  • Meu diretório está travado no estado "Requested"

  • A união perfeita de domínios para instâncias do Amazon EC2 parou de funcionar

Meu diretório está travado no estado "Requested"

Se você tiver um diretório que está no estado “solicitado” por mais de cinco minutos, tente excluir o diretório e recriá-lo. Se esse problema continuar, entre em contato com o AWS Support.

A união perfeita de domínios para instâncias do Amazon EC2 parou de funcionar

Se a associação direta a domínios para instâncias do EC2 estava funcionando e foi interrompida enquanto o AD Connector estava ativo, as credenciais para sua conta de serviço do AD Connector podem ter expirado. Credenciais expiradas podem impedir que o AD Connector crie objetos de computador em seu. Active Directory

Para resolver esse problema, atualize as senhas da conta de serviço na seguinte ordem para que as senhas correspondam:

  1. Atualize a senha da conta de serviço em seuActive Directory.

  2. Atualize a senha da conta de serviço em seu AD Connector em AWS Directory Service. Para ter mais informações, consulte Atualizar suas credenciais da conta de serviço do AD Connector no AWS Directory Service.

Importante

Atualizar a senha somente em AWS Directory Service não envia a alteração da senha para o local existenteActive Directory, portanto, é importante fazer isso na ordem mostrada no procedimento anterior.

Não consigo excluir meu AD Connector

Se o AD Connector mudar para um estado inoperável, você não terá mais acesso aos seus controladores de domínio. Bloqueamos a exclusão de um AD Connector quando ainda há aplicações vinculadas a ele porque uma dessas aplicações ainda pode estar usando o diretório. Para obter uma lista de aplicativos que você precisa desativar para excluir seu AD Connector, consulteExcluir seu AD Connector. Se ainda não conseguir excluir seu AD Connector, você pode solicitar ajuda por meio de AWS Support.