Risoluzione dei problemi di Active Directory - Amazon AppStream 2.0
Gli Image Builder e le istanze dei parchi istanze sono bloccati nello stato PENDING.Gli utenti non possono effettuare l'accesso con l'applicazione SAML.Le istanze del parco istanze funzionano per un utente, ma non vengono riutilizzate correttamente.Gli oggetti della policy di gruppo dell'utente non sono applicati correttamente.Le mie istanze di streaming AppStream 2.0 non entrano a far parte del dominio Active Directory.L'accesso dell'utente sta richiedendo molto tempo in una sessione di streaming aggiunta al dominio.Gli utenti non possono accedere a una risorsa di dominio in una sessione di streaming aggiunta al dominio, ma possono accedere alla risorsa da un Image Builder aggiunto al dominio.I miei utenti ricevono l'errore "Certificate-Based Authentication not available" e viene richiesto di inserire la password del dominio. Oppure gli utenti ricevono l'errore "Disconnected from session" quando iniziano una sessione abilitata con l'autenticazione basata su certificati.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di Active Directory

Di seguito sono riportati i problemi che potrebbero verificarsi durante la configurazione e l'utilizzo di Active Directory con Amazon AppStream 2.0. Per facilitare la risoluzione dei problemi, consulta i codici di notifica Risoluzione dei problemi dei codici di notifica.

Gli Image Builder e le istanze dei parchi istanze sono bloccati nello stato PENDING.

Gli Image Builder e le istanze dei parchi istanze possono richiedere fino a 25 minuti per passare a uno stato pronto e diventare disponibili. Se le istanze richiedono più di 25 minuti per diventare disponibili, in Active Directory, verifica che i nuovi oggetti computer siano stati creati nella corrette unità organizzative (UO). Se sono presenti nuovi oggetti, le istanze di streaming saranno presto disponibili. Se gli oggetti non sono presenti, controlla i dettagli di configurazione della directory in Directory Config AppStream 2.0: nome della directory (il nome di dominio completo della directory, le credenziali di accesso dell'account di servizio e il nome distinto dell'unità organizzativa).

Gli errori del generatore di immagini e del parco immagini vengono visualizzati nella console AppStream 2.0 nella scheda Notifiche per il parco immagini o il generatore di immagini. Gli errori della flotta sono disponibili anche utilizzando l'API AppStream 2.0 tramite l'DescribeFleetsoperazione o il comando CLI describe-fleets.

Gli utenti non possono effettuare l'accesso con l'applicazione SAML.

AppStream 2.0 si basa sull'attributo SAML_Subject «NameID» del tuo provider di identità per compilare il campo nome utente per accedere all'utente. Il nome utente può essere formattato come "domain\username" o "user@domain.com". Se si sta usando il formato "domain\username", domain può essere il nome NetBIOS o il nome di dominio completo. Se si utilizza il formato "user@domain.com", è possibile utilizzare l'attributo. UserPrincipalName Se hai verificato che l'attributo SAML_Subject è configurato correttamente e il problema persiste, contatta AWS Support. Per ulteriori informazioni, consulta Centro di AWS Support.

Le istanze del parco istanze funzionano per un utente, ma non vengono riutilizzate correttamente.

Le istanze del parco istanze sono riutilizzate dopo che un utente ha completato una sessione, garantendo che ciascun utente disponga di una nuova istanza. Quando l'istanza del parco istanze riutilizzata viene portata online, si unisce al dominio utilizzando il nome computer della precedente istanza. Per garantire che l'operazione sia eseguita correttamente, l'account del servizio richiede le autorizzazioni Cambia password e Reimposta password sull'unità organizzativa (UO) a cui l'oggetto computer è stato aggiunto. Controlla le autorizzazioni dell'account del servizio e riprova. Se il problema persiste, contatta AWS Support. Per ulteriori informazioni, consulta Centro di AWS Support.

Gli oggetti della policy di gruppo dell'utente non sono applicati correttamente.

Per impostazione predefinita, gli oggetti computer si applicano alle policy a livello di computer in base all'UO in cui si trova l'oggetto computer, durante l'applicazione delle policy a livello di utente in base all'UO in cui si trova l'utente. Se le policy a livello di utente non vengono applicate, è possibile procedere in uno dei seguenti modi:

  • Spostare le policy a livello di utente nell'UO in cui si trova l'oggetto Active Directory dell'utente

  • Abilitare l'elaborazione di loopback a livello di computer, che si applica alle policy a livello di utente nell'UO dell'oggetto computer.

Per ulteriori informazioni, consulta Elaborazione di loopback delle policy di gruppo nel supporto Microsoft.

Le mie istanze di streaming AppStream 2.0 non entrano a far parte del dominio Active Directory.

Il dominio Active Directory da utilizzare con AppStream 2.0 deve essere accessibile tramite il suo nome di dominio completo (FQDN) tramite il VPC in cui vengono lanciate le istanze di streaming.

Per verificare che il dominio sia accessibile

  1. Avvia un'istanza Amazon EC2 nello stesso VPC, sottorete e gruppi di sicurezza utilizzati con la versione 2.0. AppStream

  2. Aggiungi manualmente l'istanza EC2 al tuo dominio Active Directory utilizzando il nome di dominio completo (ad esempioyourdomain.example.com) con l'account di servizio che intendi utilizzare con la versione 2.0. AppStream Utilizza il seguente comando in una console Windows: PowerShell 

    netdom join computer /domain:FQDN /OU:path /ud:user /pd:password

    Se tale unione manuale non va a buon fine, passare alla fase successiva.

  3. Se non è possibile aggiungere manualmente al dominio, aprire un prompt dei comandi e verificare che sia possibile risolvere il FQDN utilizzando il comando nslookup. Per esempio:

    nslookup yourdomain.exampleco.com

    La corretta risoluzione dei nomi restituisce un indirizzo IP valido. Se non è possibile risolvere l'FQDN, potrebbe essere necessario aggiornare il server DNS del VPC utilizzando un'opzione DHCP impostata per il dominio. Quindi, tornare su questa fase. Per ulteriori informazioni, consulta Set opzioni DHCP nella Guida per l'utente di Amazon VPC.

  4. Se l'FQDN viene risolto, utilizzare il comando telnet per convalidare la connettività.

    telnet yourdomain.exampleco.com 389

    La connessione riuscita mostra una finestra del prompt dei comandi vuota senza errori di connessione. Potrebbe essere necessario installare la funzione del client telnet sull'istanza EC2. Per ulteriori informazioni, consulta Installazione del client telnet nella documentazione Microsoft.

Se non è stato possibile unire manualmente l'istanza EC2 al dominio, ma è stato possibile risolvere l'FQDN e testare la connessione con il client telnet, i gruppi di sicurezza VPC potrebbero impedire l'accesso. Active Directory richiede alcune delle impostazioni della porta di rete. Per ulteriori informazioni, consulta Requisiti di Active Directory e della porta dei servizi del dominio Active Directory nella documentazione Microsoft.

L'accesso dell'utente sta richiedendo molto tempo in una sessione di streaming aggiunta al dominio.

AppStream 2.0 esegue un'azione di accesso a Windows dopo che gli utenti hanno fornito la password del dominio. Una volta completata l'autenticazione, AppStream 2.0 avvia l'applicazione. Il tempo di accesso e avvio è influenzato da molte variabili, quali il conflitto di rete nei controller del dominio o il tempo richiesto per l'applicazione delle impostazioni di Criteri di gruppo all'istanza di streaming. Se l'autenticazione di dominio richiede troppo tempo, prova a eseguire le seguenti operazioni.

  • Riduci al minimo la latenza di rete dalla regione AppStream 2.0 ai controller di dominio scegliendo i controller di dominio corretti. Ad esempio, se il parco istanze si trova in us-east-1, utilizzare i controller di dominio con elevata larghezza di banda e a bassa latenza per us-east-1 tramite le mappature di zona dei servizi e dei siti Active Directory. Per ulteriori informazioni, consulta Servizi e siti Active Directory nella documentazione di Microsoft.

  • Assicurati che le impostazioni di Criteri di gruppo e gli script di accesso utente non impieghino troppo tempo per essere applicati o eseguiti.

Se l'accesso degli utenti del dominio alla AppStream versione 2.0 non riesce e viene visualizzato il messaggio «Si è verificato un errore sconosciuto», potrebbe essere necessario aggiornare le impostazioni dei Criteri di gruppo descritte in. Prima di iniziare a utilizzare Active Directory con 2.0 AppStream In caso contrario, queste impostazioni potrebbero impedire alla AppStream versione 2.0 di autenticare e accedere agli utenti del dominio.

Gli utenti non possono accedere a una risorsa di dominio in una sessione di streaming aggiunta al dominio, ma possono accedere alla risorsa da un Image Builder aggiunto al dominio.

Confermare che il parco istanze sia creato nello stesso VPC, nelle stesse sottoreti e negli stessi gruppi di sicurezza dell'Image Builder e che l'utente disponga di autorizzazioni appropriate per accedere e utilizzare la risorsa di dominio.

I miei utenti ricevono l'errore "Certificate-Based Authentication not available" e viene richiesto di inserire la password del dominio. Oppure gli utenti ricevono l'errore "Disconnected from session" quando iniziano una sessione abilitata con l'autenticazione basata su certificati.

Questi errori si verificano se l'autenticazione basata su certificati non ha avuto esito positivo per la sessione. L'errore "Certificate-Based Authentication not available" viene visualizzato quando l'autenticazione basata su certificati è abilitata per consentire il fallback all'accesso tramite password. L'errore "Disconnected from session" viene visualizzato quando l'autenticazione basata su certificati è abilitata senza fallback.

L'utente può aggiornare la pagina sul client Web o ricollegarsi dal client per Windows, poiché con l'autenticazione basata su certificati questo potrebbe essere un problema intermittente. Se il problema persiste, ecco le possibili cause dell'errore di autenticazione basata su certificati:

  • AppStream 2.0 non è riuscito a comunicare con AWS Private CA oppure AWS Private CA non ha emesso il certificato. Verifica CloudTrail se è stato emesso un certificato. Per ulteriori informazioni, vedi Cos'è AWS CloudTrail? eGestione dell'autenticazione basata su certificati.

  • Il controller di dominio non dispone di un apposito certificato per l'accesso con smart card oppure è scaduto. Per ulteriori informazioni, consulta la fase 7.a in Prerequisiti.

  • Il certificato non è attendibile. Per ulteriori informazioni, consulta la fase 7.c in Prerequisiti.

  • Il userPrincipalName formato per il SAML_Subject NameID non è formattato correttamente o non si risolve nel dominio effettivo dell'utente. Per ulteriori informazioni, consulta la fase 1 in Prerequisiti.

  • L' ObjectSid attributo (opzionale) nell'asserzione SAML non corrisponde all'identificatore di sicurezza (SID) di Active Directory per l'utente specificato nel NameID SAML_Subject. Verifica che la mappatura degli attributi sia corretta nella federazione SAML e che il gestore dell'identità digitale SAML stia sincronizzando l'attributo SID per l'utente Active Directory.

  • L'agente 2.0 non supporta l'autenticazione basata su certificati. AppStream Utilizza la versione AppStream 2.0 dell'agente 10-13-2022 o successiva.

  • Esistono impostazioni di Criteri di gruppo che modificano le impostazioni predefinite di Active Directory per l'accesso con smart card o intervengono se una smart card viene rimossa da un lettore. Queste impostazioni possono causare altri comportamenti imprevisti oltre agli errori sopra elencati. L'autenticazione basata su certificati presenta al sistema operativo dell'istanza una smart card virtuale e la rimuove una volta completato l'accesso. Per ulteriori informazioni, consulta Impostazioni di Criteri di gruppo principali per le smart card e Impostazioni aggiuntive Criteri di gruppo smart card e chiavi del Registro di sistema. Non abilitare Accesso tramite smart card per Active Directory nello stack se desideri utilizzare l'autenticazione basata su certificati. Per ulteriori informazioni, consulta Smart card.

  • Il punto di distribuzione CRL per la CA privata non è online né accessibile dall'istanza della flotta AppStream 2.0 o dal controller di dominio. Per ulteriori informazioni, consulta la fase 5 in Prerequisiti.

Ulteriori passaggi per la risoluzione dei problemi prevedono la revisione dei registri degli eventi di Windows dell'istanza AppStream 2.0. Un evento comune da esaminare in caso di errore di accesso è 4625(F): An account failed to log on. Per ulteriori informazioni sull'acquisizione delle informazioni di log, consulta l'argomento relativo alla Log eventi delle applicazioni persistenti e di Windows. In alternativa, per risolvere i problemi di una sessione AppStream 2.0 attiva come amministratore, è possibile connettersi ai registri utilizzando un Visualizzatore eventi su un altro computer. Per ulteriori informazioni, consulta Come selezionare computer in Visualizzatore eventi. In alternativa, puoi connetterti utilizzando Remote Desktop per connetterti all'indirizzo IP privato dell'istanza da un altro computer in grado di connettersi a Remote Desktop Services nel tuo cloud privato AppStream virtuale (VPC) 2.0. Utilizza la AWS CLI per determinare l'indirizzo IP per la sessione in base alla AWS regione, al nome dello stack AppStream 2.0, al nome del parco veicoli, all'ID utente e al tipo di autenticazione. Per ulteriori informazioni, consulta AWS Command Line Interface.

Se il problema persiste, contatta. AWS Support Per ulteriori informazioni, consulta Centro di AWS Support.