Résolution des problèmes liés à AD Connector

Les informations suivantes peuvent vous aider à résoudre certains problèmes courants que vous pouvez rencontrer lors de la création ou de l'utilisation de votre AD Connector.

Problèmes liés à la création

Les problèmes de création suivants sont courants pour AD Connector

• L'erreur « AZ Constrained » s'affiche lorsque je crée un annuaire

• Je reçois le message d'erreur « Problèmes de connectivité détectés » lorsque j'essaie de créer un AD Connector

L'erreur « AZ Constrained » s'affiche lorsque je crée un annuaire

Certains AWS comptes créés avant 2012 peuvent avoir accès aux zones de disponibilité des régions de l'est des États-Unis (Virginie du Nord), de l'ouest des États-Unis (Californie du Nord) ou de l'Asie-Pacifique (Tokyo) qui ne prennent pas en charge les AWS Directory Service annuaires. Si vous recevez une telle erreur lors de la création d'unActive Directory, choisissez un sous-réseau dans une autre zone de disponibilité et réessayez de créer le répertoire.

Je reçois le message d'erreur « Problèmes de connectivité détectés » lorsque j'essaie de créer un AD Connector

Si vous recevez le message d'erreur « Problème de connectivité détecté » lorsque vous essayez de créer un AD Connector, cela peut être dû à la disponibilité du port ou à la complexité du mot de passe AD Connector. Vous pouvez tester la connexion de votre connecteur AD pour vérifier si les ports suivants sont disponibles :

• 53 (DNS)

• 88 (Kerberos)

• 389 (LDAP)

Pour tester votre connexion, consultezTest de votre connecteur AD Connector. Le test de connexion doit être effectué sur l'instance jointe aux deux sous-réseaux auxquels les adresses IP du connecteur AD sont associées.

Si le test de connexion est réussi et que l'instance rejoint le domaine, vérifiez le mot de passe de votre connecteur AD. AD Connector doit répondre aux exigences AWS de complexité des mots de passe. Pour plus d'informations, consultez la section Compte de service dansConditions préalables requises pour AD Connector.

Si votre AD Connector ne répond pas à ces exigences, recréez-le avec un mot de passe conforme à ces exigences.

Problèmes de connectivité

Les problèmes de connectivité courants liés à AD Connector sont les suivants :

• L'erreur « Connectivity issues detected » s'affiche lorsque je tente de me connecter à mon annuaire sur site

• L'erreur « DNS unavailable » s'affiche lorsque j'essaie de me connecter à mon annuaire sur site

• L'erreur « SRV record » s'affiche lorsque je tente de me connecter à mon annuaire sur site

L'erreur « Connectivity issues detected » s'affiche lorsque je tente de me connecter à mon annuaire sur site

Un message d'erreur similaire à ce qui suit s'affiche lors de la connexion à votre annuaire sur site :

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector doit être capable de communiquer avec vos contrôleurs de domaine sur site via les protocoles TCP et UDP sur les ports suivants. Vérifiez que vos groupes de sécurité et pare-feu sur site autorisent la communication TCP et UDP sur ces ports. Pour plus d’informations, consultez Conditions préalables requises pour AD Connector.

• 88 (Kerberos)

• 389 (LDAP)

Vous aurez peut-être besoin de ports TCP/UDP supplémentaires en fonction de vos besoins. Consultez la liste suivante pour certains de ces ports. Pour plus d'informations sur les ports utilisés parActive Directory, consultez la section Comment configurer un pare-feu pour les Active Directory domaines et les approbations dans Microsoft la documentation.

• 135 (mappeur de points de terminaison RPC)

• 646 (LDAP SSL)

• 3268 (LDAP GC)

• 3269 (LDAP GC SSL)

Afficher plusAfficher moins

L'erreur « DNS unavailable » s'affiche lorsque j'essaie de me connecter à mon annuaire sur site

Un message d'erreur similaire à ce qui suit s'affiche lors de la connexion à votre annuaire sur site :

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector doit être capable de communiquer avec vos serveurs DNS sur site via les protocoles TCP et UDP sur le port 53. Vérifiez que vos groupes de sécurité et pare-feu sur site autorisent la communication TCP et UDP sur ce port. Pour plus d’informations, consultez Conditions préalables requises pour AD Connector.

L'erreur « SRV record » s'affiche lorsque je tente de me connecter à mon annuaire sur site

Un message d'erreur similaire à un ou plusieurs des messages suivants s'affiche lors de la connexion à votre annuaire sur site :

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector doit obtenir les enregistrements SRV _ldap._tcp.<DnsDomainName> et _kerberos._tcp.<DnsDomainName> lors de la connexion à votre annuaire. Cette erreur s'affiche si le service ne peut pas obtenir ces enregistrements auprès des serveurs DNS que vous avez spécifiés lors de la connexion à votre annuaire. Pour plus d'informations sur ces enregistrements SRV, veuillez consulter SRV record requirements.

Problèmes d'authentification

Voici quelques problèmes d'authentification courants liés à AD Connector :

• Je reçois un message d'erreur « Échec de la validation du certificat » lorsque j'essaie de me connecter à l' Amazon WorkSpaces aide d'une carte à puce

• L'erreur « Invalid Credentials » s'affiche lorsque le compte de service utilisé par AD Connector tente une authentification

• Je reçois un message d'erreur « Impossible de m'authentifier » lorsque j'utilise AWS des applications pour rechercher des utilisateurs ou des groupes

• Je reçois un message d'erreur concernant mes informations d'identification d'annuaire lorsque j'essaie de mettre à jour le compte du service AD Connector

• Certains de mes utilisateurs ne peuvent pas s'authentifier avec mon annuaire

Je reçois un message d'erreur « Échec de la validation du certificat » lorsque j'essaie de me connecter à l' Amazon WorkSpaces aide d'une carte à puce

Vous recevez un message d'erreur similaire au suivant lorsque vous essayez de vous connecter à l' WorkSpaces aide d'une carte à puce :

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

L'erreur se produit si le certificat de la carte à puce n'est pas correctement stocké sur le client qui utilise les certificats. Pour plus d'informations sur les exigences relatives à l'AD Connector et aux cartes à puce, consultezPrérequis.

Utilisez les procédures suivantes pour résoudre les problèmes liés à la capacité de la carte à puce à stocker des certificats dans le magasin de certificats de l'utilisateur :

1. Sur l'appareil qui rencontre des difficultés pour accéder aux certificats, accédez au Microsoft Management Console (MMC).

   Important

   Avant de poursuivre, créez une copie du certificat de la carte à puce.

2. Accédez au magasin de certificats dans la MMC. Supprimez le certificat de carte à puce de l'utilisateur du magasin de certificats. Pour plus d'informations sur l'affichage du magasin de certificats dans la MMC, voir Comment : afficher les certificats avec le composant logiciel enfichable MMC dans la documentation. Microsoft

3. Retirez la carte à puce.

4. Réinsérez la carte à puce afin qu'elle puisse remplir à nouveau le certificat de carte à puce dans le magasin de certificats de l'utilisateur.

   Avertissement

   Si la carte à puce ne recharge pas le certificat dans le magasin de l'utilisateur, elle ne peut pas être utilisée pour l'authentification par carte à WorkSpaces puce.

Le compte de service du connecteur AD doit comporter les éléments suivants :

• my/spnajouté au nom du principe de service

• Délégué pour le service LDAP

Une fois le certificat rechargé sur la carte à puce, le contrôleur de domaine sur site doit être vérifié pour déterminer s'il est bloqué lors du mappage du nom d'utilisateur principal (UPN) pour le nom alternatif du sujet. Pour plus d'informations sur cette modification, consultez Comment désactiver le nom alternatif du sujet pour le mappage UPN dans Microsoft la documentation.

Pour vérifier la clé de registre de votre contrôleur de domaine, procédez comme suit :

1. Dans l'éditeur de registre, accédez à la clé de ruche suivante

   HKEY_LOCAL_MACHINE \ SYSTÈME \ \ Services \ Kdc \ CurrentControlSet UseSubjectAltName

2. Sélectionnez UseSubjectAltName. Assurez-vous que la valeur est définie sur 0.

Note

Si la clé de registre est définie sur les contrôleurs de domaine locaux, l'AD Connector ne sera pas en mesure de localiser les utilisateurs Active Directory et le message d'erreur ci-dessus s'affichera.

Les certificats de l'autorité de certification (CA) doivent être téléchargés sur le certificat de carte à puce AD Connector. Le certificat doit contenir des informations OCSP. La liste suivante répertorie les exigences supplémentaires pour l'autorité de certification :

• Le certificat doit se trouver dans l'autorité racine sécurisée du contrôleur de domaine, du serveur de l'autorité de certification et du WorkSpaces.

• Les certificats hors ligne et Root CA ne contiendront pas les informations OSCP. Ces certificats contiennent des informations relatives à leur révocation.

• Si vous utilisez un certificat d'autorité de certification tiers pour l'authentification par carte à puce, l'autorité de certification et les certificats intermédiaires doivent être publiés dans le magasin Active Directory NTAuth. Ils doivent être installés dans l'autorité racine approuvée pour tous les contrôleurs de domaine, serveurs d'autorités de certification et WorkSpaces.

  • Vous pouvez utiliser la commande suivante pour publier des certificats dans le magasin Active Directory NTAuth :

    certutil -dspublish -f Third_Party_CA.cer NTAuthCA

Pour plus d'informations sur la publication de certificats dans le magasin NTAuth, voir Importer le certificat CA émetteur dans le magasin Enterprise NTAuth dans le guide d'installation d'Access Amazon WorkSpaces with Common Access Cards.

Vous pouvez vérifier si le certificat utilisateur ou les certificats de chaîne CA sont vérifiés par OCSP en suivant cette procédure :

1. Exportez le certificat de carte à puce vers un emplacement sur la machine locale, tel que le lecteur C :.

2. Ouvrez une invite de ligne de commande et naviguez jusqu'à l'emplacement où le certificat de carte à puce exporté est stocké.

3. Entrez la commande suivante :

   certutil -URL Certficate_name.cer

4. Une fenêtre contextuelle devrait apparaître à la suite de la commande. Sélectionnez l'option OCSP dans le coin droit, puis sélectionnez Récupérer. Le statut devrait revenir tel que vérifié.

Pour plus d'informations sur la commande certutil, consultez certutil dans la documentation Microsoft

Afficher plusAfficher moins

L'erreur « Invalid Credentials » s'affiche lorsque le compte de service utilisé par AD Connector tente une authentification

Cela peut se produire si le disque dur de votre contrôleur de domaine manque d'espace libre. Assurez-vous que les disques durs de votre contrôleur de domaine ne sont pas pleins.

Je reçois un message d'erreur « Impossible de m'authentifier » lorsque j'utilise AWS des applications pour rechercher des utilisateurs ou des groupes

Vous pouvez rencontrer des erreurs lors de la recherche d'utilisateurs lors de l'utilisation d' AWS applications, telles qu' WorkSpaces Amazon QuickSight, même lorsque le statut AD Connector était actif. Les informations d'identification ayant expiré peuvent empêcher AD Connector d'exécuter des requêtes sur les objets dans votre Active Directory. Mettez à jour le mot de passe du compte de service en suivant les étapes indiquées dansLa jointure de domaine fluide pour les instances Amazon EC2 a cessé de fonctionner.

Je reçois un message d'erreur concernant mes informations d'identification d'annuaire lorsque j'essaie de mettre à jour le compte du service AD Connector

Vous recevez un message d'erreur similaire à l'un ou plusieurs des suivants lorsque vous essayez de mettre à jour le compte de service AD Connector :

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.

An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials

Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

Il se peut qu'il y ait un problème avec la synchronisation de l'heure et Kerberos. AD Connector envoie des demandes d'authentification Kerberos à. Active Directory Ces demandes sont urgentes et, si elles sont retardées, elles échoueront. Pour résoudre ce problème, consultez la section Recommandation - Configurer le PDC racine avec une source de temps officielle et éviter un décalage temporel généralisé dans la documentation. Microsoft Pour plus d'informations sur le service horaire et la synchronisation, voir ci-dessous :

• Comment fonctionne le Windows Time Service

• Tolérance maximale pour la synchronisation de l'horloge de l'ordinateur

• WindowsOutils et paramètres du service de gestion du temps

Afficher plusAfficher moins

Certains de mes utilisateurs ne peuvent pas s'authentifier avec mon annuaire

Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Il s'agit du paramètre par défaut pour les nouveaux comptes d'utilisateur, mais il ne doit pas être modifié. Pour plus d'informations sur ce paramètre, consultez la section Préauthentification activée Microsoft TechNet.

Problèmes de maintenance

Les problèmes de maintenance courants liés à AD Connector sont les suivants :

• Mon annuaire est bloqué à l'état « Demandé »

• La jointure de domaine fluide pour les instances Amazon EC2 a cessé de fonctionner

Mon annuaire est bloqué à l'état « Demandé »

Si vous avez un annuaire qui se trouve à l'état « Demandé » depuis plus de cinq minutes, essayez de supprimer l'annuaire et de le recréer. Si le problème persiste, contactez AWS Support.

La jointure de domaine fluide pour les instances Amazon EC2 a cessé de fonctionner

Si une liaison de domaine transparente pour les instances EC2 était en cours puis a été interrompue pendant que l'AD Connector était actif, cela peut indiquer que les informations d'identification de votre compte de service AD Connector ont expiré. Les informations d'identification expirées peuvent empêcher AD Connector de créer des objets informatiques dans votreActive Directory.

Pour résoudre ce problème, mettez à jour le mot de passe du compte de service dans l'ordre suivant afin que les mots de passe soient identiques :

1. Mettez à jour le mot de passe du compte de service dans votreActive Directory.

2. Mettez à jour le mot de passe du compte de service dans votre AD Connector dans AWS Directory Service. Pour plus d’informations, consultez Mettre à jour les informations d'identification de votre compte de service AD Connector dans AWS Directory Service.

Important

La mise à jour du mot de passe uniquement dans AWS Directory Service n'entraîne pas le changement de mot de passe sur votre site existant. Il est Active Directory donc important de le faire dans l'ordre indiqué dans la procédure précédente.

Je ne parviens pas à supprimer mon AD Connector

Si votre AD Connector passe à un statut inutilisable, vous n'avez plus accès à vos contrôleurs de domaine. Nous bloquons la suppression d'un AD Connector lorsque des applications y sont encore liées, car l'une de ces applications utilise peut-être encore l'annuaire. Pour obtenir la liste des applications que vous devez désactiver afin de supprimer votre AD Connector, consultezSupprimer votre AD Connector. Si vous ne parvenez toujours pas à supprimer votre AD Connector, vous pouvez demander de l'aide via AWS Support.