Problembehebung bei Active Directory - Amazon AppStream 2.0

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Problembehebung bei Active Directory

Die folgenden Probleme können auftreten, wenn Sie Active Directory mit Amazon AppStream 2.0 einrichten und verwenden. Weitere Hilfe zu Benachrichtigungscodes bei der Fehlerbehebung finden Sie unter Benachrichtigungscodes für die Fehlerbehebung.

Meine Image Builder- und Flotten-Instances bleiben im Status "Schwebend" hängen

Es kann bis zu 25 Minuten dauern, bis Image Builder- und Flotte-Instances in einen betriebsbereiten Status übergehen und verfügbar sind. Wenn es wesentlich länger als 25 Minuten dauert, bis Ihre Instances verfügbar sind, überprüfen Sie in Active Directory, ob neue Computerobjekte in den richtigen Organisationseinheiten erstellt wurden. Wenn neue Objekte vorhanden sind, stehen die Streaming-Instances demnächst zur Verfügung. Wenn die Objekte nicht angezeigt werden, überprüfen Sie die Details der Verzeichniskonfiguration unter AppStream-2.0-Verzeichniskonfiguration: Verzeichnisname (vollqualifizierter Domain-Name des Verzeichnisses, die Anmeldeinformationen für das Servicekonto sowie der spezifische Name der Organisationseinheit).

Image-Builder- und Flottenfehler werden in der AppStream-2.0-Konsole auf der Registerkarte Benachrichtigungen für die Flotte oder den Image Builder angezeigt. Flottenfehler sind auch bei Verwendung der AppStream-2.0-API über die Operation DescribeFleets oder über den CLI-Befehl describe-fleets verfügbar.

Meine Benutzer können sich nicht bei der SAML-Anmeldung anmelden.

AppStream 2.0 verwendet das SAML_Subject-Attribut „NameID“ von Ihrem Identitätsanbieter, um das Feld „Benutzername“ für die Anmeldung Ihres Benutzers zu füllen. Der Benutzername kann entweder als „domain\username“ oder „user@domain.com“ formatiert sein. Bei Verwendung des Formats "domain\username" kann domain der NetBIOS-Name oder der vollständig qualifizierte Domänenname sein. Wenn Sie das Format „user@domain.com“ verwenden, kann das Attribut UserPrincipalName verwendet werden. Wenn Sie sichergestellt haben, dass Ihre SAML_Subject-Attribut korrekt konfiguriert ist und das Problem weiterhin besteht, wenden Sie sich bitte an den AWS Support. Weitere Informationen finden Sie unter AWS Support Center.

Meine Flotten-Instances funktionieren für einen Benutzer, aber das Auswechseln wird nicht richtig ausgeführt.

Flotten-Instances werden gewechselt, nachdem ein Benutzer eine Sitzung abgeschlossen hat, um sicherzustellen, dass jeder Benutzer eine neue Instance erhält. Wenn die ausgewechselte Flotten-Instance online geht, tritt sie der Domäne unter Verwendung des Computernamens der vorherigen Instance bei. Um sicherzustellen, dass diese Operation erfolgreich ist, benötigt das Service-Konto die Berechtigungen Passwort ändern und Passwort zurücksetzen für die Organisationseinheit (OU), der das Computerobjekt beitritt. Überprüfen Sie die Berechtigungen für das Service-Konto und versuchen Sie es erneut. Wenn das Problem weiterhin besteht, wenden Sie sich bitte an AWS Support. Weitere Informationen finden Sie unter AWS Support Center.

Meine Benutzer-Gruppenrichtlinienobjekte werden nicht erfolgreich angewendet.

Standardmäßig gelten für Computerobjekte Richtlinien auf Computerebene basierend auf der OU, in der sich das Computerobjekt befindet, während Richtlinien auf Benutzerebene basierend auf der OU angewendet werden, in der sich der Benutzer befindet. Wenn Ihre Benutzerebenenrichtlinien nicht angewendet werden, können Sie einen der folgenden Schritte ausführen:

  • Verschieben Sie die Benutzerebenenrichtlinien in die OU, in der sich das Active Directory-Objekt des Benutzers befindet

  • Aktivieren Sie die Loopback-Verarbeitung der Computerebene, die die Richtlinien auf Benutzerebene in der OU des Computerobjekts anwendet.

Weitere Informationen finden Sie unter Loopback-Verarbeitung von Gruppenrichtlinien beim Microsoft Support.

Meine Streaming-Instances von AppStream 2.0 schließen sich nicht der Active-Directory-Domain an.

Die Active-Directory-Domain zur Verwendung mit AppStream 2.0 muss über den vollständig qualifizierten Domain-Namen (FQDN) über die VPC erreichbar sein, in der Ihre Streaming-Instances gestartet werden.

Wie Sie testen, ob ein Zugriff auf Ihre Domäne möglich ist
  1. Starten Sie eine AppStream-2.0-Instance in derselben VPC, im selben Subnetz und in denselben Sicherheitsgruppen, die Sie für AppStream 2.0 verwenden.

  2. Verbinden Sie die EC2-Instance manuell mit Ihrer Active-Directory-Domain. Verwenden Sie dafür den FQDN (z. B. yourdomain.example.com) mit dem Servicekonto, das Sie für AppStream 2.0 verwenden möchten. Führen Sie unter Windows folgenden Befehl in einer PowerShell-Konsole aus.

    netdom join computer /domain:FQDN /OU:path /ud:user /pd:password

    Wenn diese manuelle Verbindung fehlschlägt, fahren Sie mit dem nächsten Schritt fort.

  3. Wenn Sie keine manuelle Verbindung mit Ihrer Domain einrichten können, öffnen Sie eine Eingabeaufforderung und stellen sicher, dass Sie den FQDN mit dem Befehl nslookup auflösen können. Beispiel:

    nslookup yourdomain.exampleco.com

    Die erfolgreiche Namensauflösung gibt eine gültige IP-Adresse zurück. Wenn Sie Ihren FQDN nicht auflösen können, müssen sie möglicherweise Ihre VPC DNS-Server durch Verwendung einer DHCP-Option für Ihre Domäne aktualisieren. Anschließend kehren Sie zu diesem Schritt zurück. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

  4. Wenn der FQDN aufgelöst wird, prüfen Sie die Konnektivität mit dem Befehl telnet.

    telnet yourdomain.exampleco.com 389

    Bei einer erfolgreichen Verbindung wird eine leere Eingabeaufforderung ohne Verbindungsfehler angezeigt. Möglicherweise müssen Sie die Telnet Client-Funktion auf Ihrer EC2-Instance installieren. Weitere Informationen finden Sie unter Install Telnet Client in der Microsoft-Dokumentation.

Wenn Sie die EC2-Instance nicht manuell mit Ihrer Domäne verbinden konnten, jedoch in der Lage waren, den FQDN erfolgreich aufzulösen und die Konnektivität mit dem Telnet-Client zu testen, verhindern möglicherweise Ihre VPC-Sicherheitsgruppen den Zugriff. Für Active Directory sind bestimmte Netzwerk-Port-Einstellungen erforderlich. Weitere Informationen finden Sie unter Service-Port-Anforderungen von Active Directory und Active Directory Domain in der Microsoft-Dokumentation.

Bei der Benutzeranmeldung dauert es sehr lang, eine mit einer Domäne verbundene Streaming-Sitzung abzuschließen.

AppStream 2.0 führt eine Windows-Anmeldung durch, nachdem Benutzer ihr Domain-Passwort angeben. Nach erfolgreicher Authentifizierung startet AppStream 2.0 die Anwendung. Die Anmelde- und Startzeiten werden von vielen Variablen beeinflusst, z. B. Netzwerkkonflikten bei den Domänencontrollern oder der Zeit, wie lange es dauert, Gruppenrichtlinieneinstellungen auf die Streaming-Instance anzuwenden. Wenn Domänenauthentifizierung zu lange dauert, versuchen Sie es mit folgenden Aktionen:

  • Minimieren Sie die Netzwerklatenz von Ihrer AppStream-2.0-Region zu Ihren Domain-Controllern, indem Sie die richtigen Domain-Controller auswählen. Wenn sich beispielsweise Ihre Flotte in us-east-1 befindet, verwenden Sie Domänencontroller mit hoher Bandbreite und geringer Latenz zu us-east-1 unter Verwendung von Zonenzuordnungen von Active Directory-Standorten und -Diensten. Weitere Informationen finden Sie unter Active Directory-Standorte und -Services in der Microsoft-Dokumentation.

  • Stellen Sie sicher, dass Ihre Gruppenrichtlinieneinstellungen und Benutzer-Anmeldeskripts nicht übermäßig lang für die Anwendung oder Ausführung benötigen.

Wenn die Anmeldung Ihrer Domain-Benutzer bei AppStream 2.0 mit der Meldung „Ein unbekannter Fehler ist aufgetreten“ fehlschlägt, müssen Sie möglicherweise die unter Bevor Sie Active Directory mit AppStream 2.0 verwenden beschriebenen Gruppenrichtlinieneinstellungen aktualisieren. Andernfalls könnten diese Einstellungen AppStream 2.0 daran hindern, Ihre Domain-Benutzer zu authentifizieren und anzumelden.

Meine Benutzer können nicht auf eine Domänenressource in einer Streaming-Sitzung mit angeschlossener Domäne zugreifen, haben jedoch Zugriff auf die Ressource über einen an die Domäne angeschlossenen Image Builder.

Bestätigen Sie, dass Ihre Flotte in derselben VPC, in denselben Subnetzen und denselben Sicherheitsgruppen wie Ihr Image Builder erstellt wird und dass Ihr Benutzer über die erforderlichen Berechtigungen für den Zugriff auf die Domänenressource und ihre Nutzung verfügt.

Meine Benutzer erhalten die Fehlermeldung „Zertifikatsbasierte Authentifizierung nicht verfügbar“ und werden aufgefordert, ihr Domain-Kennwort einzugeben. Oder Benutzer erhalten die Fehlermeldung „Sitzung wurde getrennt“, wenn sie eine Sitzung starten, die mit zertifikatsbasierter Authentifizierung aktiviert ist.

Diese Fehler treten auf, wenn die zertifikatsbasierte Authentifizierung für die Sitzung fehlgeschlagen ist. Die Fehlermeldung „Zertifikatsbasierte Authentifizierung nicht verfügbar“ wird angezeigt, wenn die zertifikatsbasierte Authentifizierung aktiviert ist, um einen Rückgriff auf die Passwortanmeldung zu ermöglichen. Die Fehlermeldung „Sitzung wurde getrennt“ wird angezeigt, wenn die zertifikatsbasierte Authentifizierung ohne Fallback aktiviert ist.

Die Benutzer können die Seite auf dem Web-Client aktualisieren oder die Verbindung über den Client für Windows erneut herstellen, da es sich hierbei um ein zeitweiliges Problem mit der zertifikatsbasierten Authentifizierung handeln kann. Wenn das Problem weiterhin besteht, kann der Fehler bei der zertifikatsbasierten Authentifizierung auf eines der folgenden Probleme zurückzuführen sein:

  • AppStream 2.0 konnte nicht mit der privaten AWS-Zertifizierungsstelle kommunizieren oder die private AWS-Zertifizierungsstelle hat das Zertifikat nicht ausgestellt. Überprüfen Sie CloudTrail, um festzustellen, ob ein Zertifikat ausgestellt wurde. Weitere Informationen finden Sie unter Was ist AWS CloudTrail? und Verwalten der zertifikatsbasierten Authentifizierung.

  • Der Domain-Controller hat kein Domain-Controllerzertifikat für die Smartcard-Anmeldung oder es ist abgelaufen. Weitere Informationen finden Sie in Schritt 7.a unter Voraussetzungen.

  • Das Zertifikat ist nicht vertrauenswürdig. Weitere Informationen finden Sie in Schritt 7.c unter Voraussetzungen.

  • Das Format userPrincipalName für die SAML_Subject NameID ist nicht richtig formatiert oder wird nicht in die tatsächliche Domain des Benutzers aufgelöst. Weitere Informationen finden Sie in Schritt 1 unter Voraussetzungen.

  • Das (optionale) Attribut ObjectSid in Ihrer SAML-Assertion stimmt nicht mit der Active-Directory-Sicherheits-ID (SID) für den in SAML_Subject NameID angegebenen Benutzer überein. Vergewissern Sie sich, dass die Attributzuordnung in Ihrem SAML-Verbund korrekt ist und dass Ihr SAML-Identitätsanbieter das SID-Attribut für den Active-Directory-Benutzer synchronisiert.

  • Der AppStream-2.0-Agent unterstützt keine zertifikatsbasierte Authentifizierung. Verwenden Sie die Version 10-13-2022 oder höher des AppStream-2.0-Agenten.

  • Es gibt Gruppenrichtlinieneinstellungen, die die Standardeinstellungen von Active Directory für die Smartcard-Anmeldung ändern oder Maßnahmen ergreifen, wenn eine Smartcard aus einem Smartcard-Lesegerät entfernt wird. Diese Einstellungen können neben den oben aufgeführten Fehlern noch weitere unerwartete Verhaltensweisen verursachen. Bei der zertifikatsbasierten Authentifizierung wird dem Betriebssystem der Instance eine virtuelle Smartcard vorgelegt, die nach der Anmeldung wieder entfernt wird. Weitere Informationen finden Sie unter Primary Group Policy settings for smart cards und Additional smart card Group Policy settings and registry keys. Aktivieren Sie die Smartcard-Anmeldung für Active Directory nicht in Ihrem Stack, wenn Sie die zertifikatsbasierte Authentifizierung verwenden möchten. Weitere Informationen finden Sie unter Smartcards.

  • Der CRL-Verteilungspunkt für die private Zertifizierungsstelle ist weder online noch von der AppStream-2.0-Flotten-Instance oder dem Domain-Controller aus zugänglich. Weitere Informationen finden Sie in Schritt 5 unter Voraussetzungen.

Zusätzliche Schritte zur Fehlerbehebung umfassen die Überprüfung der Windows-Ereignisprotokolle der AppStream-2.0-Instances. Ein häufiges Ereignis, das Sie auf Anmeldefehler überprüfen sollten, ist 4625(F): An account failed to log on. Weitere Informationen zum Erfassen von Protokollinformationen finden Sie unter Dauerhafte Anwendungs- und Windows-Ereignisprotokolle. Alternativ können Sie zur Fehlerbehebung bei einer aktiven AppStream-2.0-Sitzung als Administrator eine Verbindung zu den Protokollen über eine Ereignisanzeige auf einem anderen Computer herstellen. Weitere Informationen finden Sie unter How to Select Computers in Event Viewer. Sie können sich auch per Remote Desktop mit der privaten IP-Adresse der Instance verbinden, und zwar von einem anderen Computer aus. Dieser kann eine Verbindung zu den Remote Desktop Services in Ihrer AppStream 2.0 Virtual Private Cloud (VPC) herstellen. Verwenden Sie die AWS CLI, um die IP-Adresse für die Sitzung anhand der AWS-Region, des AppStream-2.0-Stack-Namens, des Flottennamens, der Benutzer-ID und des Authentifizierungstyps zu ermitteln. Weitere Informationen finden Sie unter AWS Command Line Interface.

Wenn das Problem weiterhin besteht, wenden Sie sich bitte an AWS Support. Weitere Informationen finden Sie unter AWS Support Center.