本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AD Connector 疑難排解
以下可協助您疑難排解在建立或使用 AD Connector 時可能遇到的一些常見問題。
建立問題
以下是 AD Connector 的常見建立問題
當我建立目錄時,收到「AZ 限制」錯誤
在 2012 年之前建立的某些 AWS 帳戶可能可以存取美國東部 (維吉尼亞北部)、美國西部 (加利佛尼亞北部) 或亞太區域 (東京) 不支援 AWS Directory Service 目錄的可用區域。如果您在建立 時收到這類錯誤Active Directory,請選擇不同可用區域中的子網路,然後再次嘗試建立目錄。
當我嘗試建立 AD Connector 時,收到「偵測到連線問題」錯誤
如果您在嘗試建立 AD Connector 時收到「偵測到連線問題」錯誤,則錯誤可能是因為連接埠可用性或 AD Connector 密碼複雜性。您可以測試 AD Connector 的連線,以查看下列連接埠是否可用:
-
53 (DNS)
-
88 (Kerberos)
-
389 (LDAP)
若要測試您的連線,請參閱 測試您的 AD Connector。連線測試應在與 AD Connector 的 IP 地址相關聯的兩個子網路所連接的執行個體上執行。
如果連線測試成功且執行個體加入網域,請檢查 AD Connector 的密碼。AD Connector 必須符合 AWS 密碼複雜性要求。如需詳細資訊,請參閱 中的服務帳戶AD Connector 事前準備。
如果您的 AD Connector 不符合這些要求,請使用符合這些要求的密碼重新建立 AD Connector。
連線問題
以下是 AD Connector 的常見連線問題
當我嘗試連線到內部部署目錄時,收到「偵測到連線問題」錯誤
當您連線到內部部署目錄時,您會收到類似如下的錯誤訊息:
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.AD Connector 必須能夠經由透過下列連接埠的 TCP 和 UDP 與您的內部部署域控制站通訊。確認您的安全群組和內部部署防火牆允許透過這些連接埠的 TCP 和 UDP 通訊。如需詳細資訊,請參閱AD Connector 事前準備。
-
88 (Kerberos)
-
389 (LDAP)
視您的需求而定,您可能需要額外的 TCP/UDP 連接埠。請參閱下列清單,了解其中一些連接埠。如需 所使用的連接埠詳細資訊Active Directory,請參閱 Microsoft 文件中的如何設定Active Directory網域和信任的防火牆
-
135 (RPC Endpoint Mapper)
-
646 (LDAP SSL)
-
3268 (LDAP GC)
-
3269 (LDAP GC SSL)
當我嘗試連線到內部部署目錄時,收到「DNS 無法使用」錯誤
當您連線到內部部署目錄時,您會收到類似如下的錯誤訊息:
DNS unavailable (TCP port 53) for IP: <DNS IP address>AD Connector 必須能夠經由透過連接埠 53 的 TCP 和 UDP 與您的內部部署 DNS 伺服器通訊。確認您的安全群組和內部部署防火牆允許透過此連接埠的 TCP 和 UDP 通訊。如需詳細資訊,請參閱AD Connector 事前準備。
當我嘗試連線到內部部署目錄時,收到「SRV 記錄」錯誤
當您連線到內部部署目錄時,您會收到類似下列一或多個錯誤訊息:
SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>連線到您的目錄時,AD Connector 需要取得 _ldap._tcp. 和 <DnsDomainName>_kerberos._tcp. SRV 記錄。如果此服務無法從您在連線到目錄時所指定的 DNS 伺服器取得這些記錄,您會收到此錯誤。如需這些 SRV 記錄的詳細資訊,請參閱「SRV record requirements」。<DnsDomainName>
身分驗證問題
以下是 AD Connector 的一些常見身分驗證問題:
當我嘗試 Amazon WorkSpaces 使用智慧卡登入 時,收到「憑證驗證失敗」錯誤
當您嘗試使用智慧卡登入 WorkSpaces 時,會收到類似以下的錯誤訊息:
ERROR: Certificate Validation failed.
Please try again by restarting your browser or application and make sure you select the correct certificate.如果智慧卡的憑證未正確存放在使用憑證的用戶端上,則會發生此錯誤。如需 AD Connector 和智慧卡需求的詳細資訊,請參閱必要條件。
使用下列程序來疑難排解智慧卡在使用者憑證存放區中存放憑證的能力:
-
在無法存取憑證的裝置上,存取 Microsoft Management Console(MMC)。
重要
在繼續之前,請建立智慧卡憑證的副本。
-
導覽至 MMC 中的憑證存放區。從憑證存放區刪除使用者的智慧卡憑證。如需在 MMC 中檢視憑證存放區的詳細資訊,請參閱 Microsoft 文件中的如何:使用 MMC 嵌入檢視憑證
。 -
移除智慧卡。
-
重新插入智慧卡,以便重新填入使用者憑證存放區中的智慧卡憑證。
警告
如果智慧卡未將憑證重新複製到使用者存放區,則無法用於 WorkSpaces 智慧卡身分驗證。
AD Connector 的服務帳戶應具有下列項目:
-
my/spn已新增至服務原則名稱 -
委派給 LDAP 服務
在智慧卡上重新填入憑證後,應檢查內部部署網域控制器,以確定它們是否被封鎖,而無法映射主體別名的 使用者主體名稱 (UPN)。如需此變更的詳細資訊,請參閱 Microsoft 文件中的如何停用 UPN 映射的主體別名
使用下列程序來檢查網域控制器的登錄機碼:
-
在登錄編輯器中,導覽至下列 hive 金鑰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName
-
檢查 UseSubjectAltName 的值:
-
如果值設為 0,則停用主體別名映射,而且您必須將指定的憑證明確映射到僅 1 個使用者。如果憑證映射到多個使用者,且此值為 0,使用該憑證登入將會失敗。
-
如果值未設定或設定為 1,您必須明確地將指定的憑證對應至僅 1 個使用者,或使用主體別名欄位登入。
-
如果憑證上存在主旨別名欄位,則會排定優先順序。
-
如果憑證上不存在主旨別名欄位,且憑證明確對應至多個使用者,使用該憑證登入將會失敗。
-
-
-
注意
如果在內部部署網域控制器上設定登錄機碼,AD Connector 將無法在 中找到使用者Active Directory,並導致上述錯誤訊息。
Certificate Authority (CA) 憑證應上傳至 AD Connector 智慧卡憑證。憑證應包含 OCSP 資訊。下列列出 CA 的其他需求:
-
憑證應該位於網域控制站、憑證授權機構伺服器和 WorkSpaces 的信任根授權機構中。
-
離線和根 CA 憑證不會包含 OSCP 資訊。這些憑證包含其撤銷的相關資訊。
-
如果您使用第三方 CA 憑證進行智慧卡身分驗證,則需要將 CA 和中繼憑證發佈到 Active Directory NTAuth 存放區。它們必須安裝在所有網域控制站、憑證授權機構伺服器和 WorkSpaces 的信任根授權機構中。
-
您可以使用下列命令,將憑證發佈至 Active Directory NTAuth 存放區:
certutil -dspublish -fThird_Party_CA.cerNTAuthCA
-
如需將憑證發佈至 NTAuth 存放區的詳細資訊,請參閱 使用通用存取卡存取 Amazon WorkSpaces 安裝指南中的將發行 CA 憑證匯入企業 NTAuth 存放區。
您可以依照下列程序,檢查 OCSP 是否驗證使用者憑證或 CA 鏈結憑證:
-
將智慧卡憑證匯出至本機機器上的位置,例如 C: 磁碟機。
-
開啟命令列提示,並導覽至儲存匯出智慧卡憑證的位置。
-
輸入以下命令:
certutil -URLCertficate_name.cer -
快顯視窗應該會顯示在 命令後面。選取右上角的 OCSP 選項,然後選取擷取。狀態應傳回為已驗證。
如需 certutil 命令的詳細資訊,請參閱 Microsoft 文件中的 certutil
當 AD Connector 所使用的服務帳戶嘗試進行身分驗證時,我收到「憑證無效」錯誤
如果您的網域控制器上的硬碟空間不足,就會發生此問題。請確定您的網域控制器硬碟未滿。
使用 AWS 應用程式搜尋使用者或群組時,我收到「無法驗證」錯誤
即使 AD Connector 狀態處於作用中狀態,使用 WorkSpaces 或 Amazon QuickSight 等 AWS 應用程式搜尋使用者時,您也可能遇到錯誤。過期的憑證會使得 AD Connector 無法在 Active Directory 中無法完成物件的相關查詢。使用 中提供的排序步驟來更新服務帳戶的密碼Amazon EC2 執行個體的無縫網域聯結停止運作。
當我嘗試更新 AD Connector 服務帳戶時,收到有關目錄登入資料的錯誤
嘗試更新 AD Connector 服務帳戶時,您會收到類似下列一或多個的錯誤訊息:
Message:An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials.An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account CredentialsMessage:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination時間同步和 Kerberos 可能有問題。AD Connector 會將 Kerberos 身分驗證請求傳送至 Active Directory。這些請求具有時間敏感性,如果請求延遲,則會失敗。若要解決此問題,請參閱Microsoft文件中的建議 - 使用授權時間來源設定根 PDC 並避免廣為傳播時間偏移
我有一些使用者無法使用我的目錄進行身分驗證
您的使用者帳戶必須啟用 Kerberos 預先驗證。此為新使用者帳戶的預設設定,不應該予以修改。如需此設定的詳細資訊,請前往 Microsoft TechNet 上的預先驗證
維護問題
以下是 AD Connector 的常見維護問題
-
我的目錄凍結於「已請求」狀態
-
Amazon EC2 執行個體的無縫網域聯結停止運作
我的目錄凍結於「已請求」狀態
如果您的目錄處於「已請求」狀態超過五分鐘,請嘗試刪除目錄後再重新建立。如果問題仍存在,請聯絡 AWS 支援
Amazon EC2 執行個體的無縫網域聯結停止運作
如果適用於 EC2 執行個體的無縫域加入原本在運作中,並在 AD Connector 作用中時停止,則 AD Connector 服務帳戶的憑證可能已過期。 過期的憑證可防止 AD Connector 在 中建立電腦物件Active Directory。
若要解決這個問題,請依下列順序更新服務帳戶密碼,讓密碼符合以下:
-
更新 中服務帳戶的密碼Active Directory。
-
在 中更新 AD Connector 中服務帳戶的密碼 AWS Directory Service。如需詳細資訊,請參閱在 中更新您的 AD Connector 服務帳戶憑證 AWS Management Console。
重要
僅更新 中的密碼 AWS Directory Service 不會將密碼變更推送到您現有的內部部署,Active Directory因此請務必依照先前程序所示的順序執行。
我無法刪除我的 AD Connector
如果您的 AD Connector 切換到不可操作狀態,您將無法再存取域控制站。當仍有應用程式連結到某個 AD Connector 時,我們會阻止您刪除它,因為可能還有應用程式在使用相應目錄。如需您需要停用的應用程式清單,以便刪除 AD Connector,請參閱 刪除 AD Connector。如果您仍然無法刪除 AD Connector,您可以透過 請求協助AWS 支援
