本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 故障診斷 Connector for AD 錯誤代碼
<a name="c4adTroubleshootingError"></a>

Connector for AD 會傳送錯誤訊息有幾個原因。如需每個錯誤的資訊以及解決這些錯誤的建議，請參閱下表。您可以透過訂閱 Amazon EventBridge 排程器事件 （事件來源：`aws.pca-connector-ad`) 或使用 Windows 中的手動註冊來接收這些錯誤。


| 錯誤碼 | 根本原因 | 修補 | 
| --- | --- | --- | 
| 0x8FFFA000 | Kerberos 身分驗證失敗。 | 請確定您的目錄是可存取的，且用戶端是使用者或電腦。如果您使用自動註冊，請修正您的 AWS 資源服務主體。如果您使用 Active Directory UI 取得憑證，請執行 `gpupdate /force`。 | 
| 0x8FFFA001 | SOAP 訊息必須包含動作標頭。 | 新增動作標頭。 | 
| 0x8FFFA002 | 連接器無法存取其連接的私有 CA。 | 透過建立 AWS 資源存取管理員 (RAM) 來共用私有 CA 與連接器，以在私有 CA 與 Connector for AD 服務之間共用。 | 
| 0x8FFFA003 | 此連接器的私有 CA 未處於作用中狀態。 | 將私有 CA 移至作用中狀態。如果您的私有 CA 處於待定憑證狀態，請安裝 CA 憑證。 | 
| 0x8FFFA004 | 此連接器的私有 CA 不存在。 | 如果憑證授權機構處於已刪除狀態，請將憑證授權機構移至作用中狀態。如果您的私有 CA 已永久刪除，請使用不同的 CA 建立新的連接器。 | 
| 0x8FFFA005 | 範本指定了憑證主體的`directoryGuid`屬性或主體替代名稱，但在請求者的 AD 物件中找不到屬性。 | Active Directory 不會`directoryGuid`為您的目錄產生 。Active Directory 中的故障診斷。 | 
| 0x8FFFA006 | 範本指定了憑證主體的`dnsHostName`屬性或主體替代名稱，但在請求者的 AD 物件中找不到屬性。 | 將 `dnsHostName` 屬性新增至 AD 物件。 | 
| 0x8FFFA007 | 範本指定要包含在憑證主體或主體替代名稱中的電子郵件屬性，但未在請求者的 AD 物件中找到屬性。 | 將電子郵件屬性新增至 AD 物件 | 
| 0x8FFFA008 | SOAP 訊息必須具有 `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies`或 的動作標頭`http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep`。 | 更新動作標頭以使用其中一個指定的值。 | 
| 0x8FFFA009 | BinarySecurityToken 必須在 中編碼`http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary`。 | 更新二進位安全字符類型。 | 
| 0x8FFFA00A | BinarySecurityToken 無效。 | 檢查 CSR 是否正確產生。 | 
| 0x8FFFA00B | BinarySecurityToken 的值類型必須為 `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7`或 `http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10`。 | 將二進位安全字符值類型更新為有效值。 | 
| 0x8FFFA00C | BinarySecurityToken 包含無效的 CMS。 | Base64 有效，但密碼編譯訊息語法 (CMS) 無效。檢閱 CMS 語法。 | 
| 0x8FFFA00D | BinarySecurityToken 包含無效的 CSR。 | 檢查 CSR 是否正確產生。 | 
| 0x8FFFA00E | 私有 CA 無法使用特定範本發行憑證。 | 從 檢閱驗證例外狀況 AWS 私有 CA。您可以在 Amazon EventBridge 或 中檢視驗證例外狀況 AWS CloudTrail。 | 
| 0x8FFFA00F | SOAP 訊息的請求類型必須為 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`。 | 將請求類型設定為 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`。 | 
| 0x8FFFA010 | SOAP 訊息必須具有連接器`CertificateEnrollmentPolicyServerEndpoint`欄位的 到 標頭，或 XCEP 回應中的 URI 欄位。 | 將請求安全字符的標頭設定為 XCEP 回應中的 `CertificateEnrollmentPolicyServerEndpoint` 欄位或 URI 欄位。 | 
| 0x8FFFA011 | SOAP 訊息只能有一個動作標頭。 | 檢閱請求安全字符的 SOAP 訊息標頭，並正確設定標頭。 | 
| 0x8FFFA012 | SOAP 訊息只能有一個`messageId`標頭。 | 檢閱請求安全字符的 SOAP 訊息標頭，並正確設定標頭。 | 
| 0x8FFFA013 | SOAP 訊息只能有一個 到 標頭。 | 檢閱請求安全字符的 SOAP 訊息標頭，並正確設定標頭。 | 
| 0x8FFFA014 | 請求者無法存取請求的範本。 | 透過建立存取控制項目，允許申請者的群組使用請求的範本註冊。 | 
| 0x8FFFA015 | BinarySecurityToken 中必須有 `CertificateTemplateInformation`或 `CertificateTemplateName`延伸模組。 | 將安全延伸模組新增至您的 CSR。 | 
| 0x8FFFA016 | 找不到指定連接器的請求範本。 | 範本是每個連接器的子資源。使用 建立連接器的範本`createTemplate`。 | 
| 0x8FFFA017 | 由於請求調節，因此請求遭到拒絕。 | 降低請求率。 | 
| 0x8FFFA018 | SOAP 訊息必須包含 `to`標頭。 | 檢閱 SOAP 訊息的標頭。 | 
| 0x8FFFA019 | 由於無法辨識的標頭，無法處理 SOAP 訊息。 | 檢閱 SOAP 訊息的標頭。 | 
| 0x8FFFA01A | 範本指定要包含在憑證主體或主體替代名稱中的 UPN 屬性，但未在請求者的 AD 物件中找到屬性。 | 將 UPN 新增至 Active Directory 物件。 |