문제 해결 AD Connector - AWS Directory Service
EC2 인스턴스의 원활한 도메인 조인 작동 중지됨AWS 애플리케이션을 사용하여 사용자 또는 그룹을 검색하는 중 "인증 불가" 오류 발생온프레미스 디렉터리에 연결할 때 "DNS unavailable" 오류가 표시되는 경우내 온프레미스 디렉터리에 연결할 때 "Connectivity issues detected" 오류가 표시되는 경우내 온프레미스 디렉터리에 연결할 때 "SRV record" 오류가 표시되는 경우디렉터리가 "Requested" 상태에 멈춰있는 경우디렉터리를 생성할 때 "AZ Constrained" 오류 메시지가 표시됩니다.일부 사용자들이 내 디렉터리를 통해 인증을 할 수 없는 경우AD Connector에서 사용되는 서비스 계정이 인증을 시도할 때 "Invalid Credentials" 오류가 표시되는 경우AD Connector를 삭제할 수 없는 경우

문제 해결 AD Connector

다음은 디렉터리를 생성 또는 사용할 때 발생할 수 있는 일부 일반적인 문제를 해결하는 데 도움이 될 수 있습니다.

여기, AD Connector에서 발생할 수 있는 일부 일반적인 문제가 나와 있습니다.

EC2 인스턴스의 원활한 도메인 조인 작동 중지됨

AD Connector가 활성 상태인데 EC2 인스턴스의 원활한 도메인 조인이 잘 작동하다가 멈췄다면 AD Connector 서비스 계정의 자격 증명이 만료되었을 수 있습니다. 보안 인증이 만료되면 AD Connector가 Active Directory에 컴퓨터 객체를 생성하지 못하게 될 수 있습니다.

이 문제를 해결하려면 서비스 계정 암호를 다음 순서로 업데이트하여 암호가 서로 일치하게 하세요.

  1. Active Directory에서 서비스 계정의 암호 업데이트

  2. ​AWS Directory Service에서 AD Connector​의 서비스 계정 암호 업데이트

AWS Directory Service에서만 암호를 업데이트하면 기존의 온프레미스 Active Directory에는 변경된 암호가 푸시되지 않기 때문에 여기 나온 순서에 따라 처리해야 합니다.

AWS 애플리케이션을 사용하여 사용자 또는 그룹을 검색하는 중 "인증 불가" 오류 발생

WorkSpaces 또는 Amazon QuickSight 같은 AWS 애플리케이션을 사용하여 사용자를 검색할 때 AD Connector가 활성 상태여도 오류가 발생할 수 있습니다. 보안 인증이 만료되면 AD Connector가 Active Directory의 객체에 대한 쿼리를 완료하지 못할 수 있습니다. 위에 제시된 단계 순서에 따라 서비스 계정의 암호를 업데이트하세요.

온프레미스 디렉터리에 연결할 때 "DNS unavailable" 오류가 표시되는 경우

온프레미스 디렉터리에 연결할 때 다음과 비슷한 오류 메시지가 표시됩니다.

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector에서 포트 53을 통해 TCP 및 UDP를 경유하여 온프레미스 DNS 서버와 통신할 수 있어야 합니다. 보안 그룹 및 온프레미스 방화벽에서 이 포트를 통한 TCP 및 UDP 통신을 허용하는지 확인합니다. 자세한 내용은 AD Connector 사전 조건 섹션을 참조하세요.

내 온프레미스 디렉터리에 연결할 때 "Connectivity issues detected" 오류가 표시되는 경우

온프레미스 디렉터리에 연결할 때 다음과 비슷한 오류 메시지가 표시됩니다.

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address>
Kerberos/authentication unavailable (TCP port 88) for IP: <IP address>
Please ensure that the listed ports are available and retry the operation.

AD Connector에서 다음 포트를 통해 TCP 및 UDP를 경유하여 온프레미스 도메인 컨트롤러와 통신할 수 있어야 합니다. 보안 그룹 및 온프레미스 방화벽에서 이러한 포트를 통한 TCP 및 UDP 통신을 허용하는지 확인합니다. 자세한 내용은 AD Connector 사전 조건 섹션을 참조하세요.

  • 88(Kerberos)

  • 389(LDAP)

내 온프레미스 디렉터리에 연결할 때 "SRV record" 오류가 표시되는 경우

온프레미스 디렉터리에 연결할 때 다음 중 하나 이상과 비슷한 오류 메시지가 표시됩니다.

SRV record for LDAP does not exist for IP: <DNS IP address>

SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector는 디렉터리에 연결할 때 _ldap._tcp.<DnsDomainName>_kerberos._tcp.<DnsDomainName> SRV 레코드를 가져와야 합니다. 서비스에서 디렉터리에 연결할 때 지정한 DNS 서버로부터 이러한 레코드를 가져올 수 없는 경우에 이 오류가 표시됩니다. 이러한 SRV 레코드에 대한 자세한 내용은 SRV record requirements을 참조하세요.

디렉터리가 "Requested" 상태에 멈춰있는 경우

"Requested" 상태에 5분 이상 멈춰있는 디렉터리가 있으면 이를 삭제하고 다시 생성해보세요. 문제가 지속될 경우 AWS Support 센터에 문의하세요.

디렉터리를 생성할 때 "AZ Constrained" 오류 메시지가 표시됩니다.

2012년 이전에 생성된 일부 AWS 계정은 AWS Directory Service 디렉터리를 지원하지 않는 미국 동부(버지니아 북부), 미국 서부(캘리포니아 북부) 또는 아시아 태평양(도쿄) 리전에서 가용 영역에 액세스할 수 있습니다. 디렉터리를 생성할 때 이와 같은 오류 메시지가 표시되면 다른 가용 영역의 서브넷을 선택하고 디렉터리를 다시 생성해보세요.

일부 사용자들이 내 디렉터리를 통해 인증을 할 수 없는 경우

사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이것이 새 사용자 계정에 대한 기본 설정이며 이를 변경해서는 안 됩니다. 이 설정에 대한 자세한 정보는 Microsoft TechNet의 사전 인증을 참조하세요.

AD Connector에서 사용되는 서비스 계정이 인증을 시도할 때 "Invalid Credentials" 오류가 표시되는 경우

도메인 컨트롤러 상의 하드 드라이브에 공간이 부족할 경우 이러한 오류가 발생할 수 있습니다. 도메인 컨트롤러의 하드 드라이브가 가득 차지 않았는지 확인합니다.

AD Connector를 삭제할 수 없는 경우

AD Connector가 작동 불가능 상태로 전환되면 도메인 컨트롤러에 더 이상 액세스할 수 없습니다. AD Connector에 연결된 애플리케이션이 있는 경우 해당 애플리케이션 중 하나가 여전히 디렉터리를 사용하고 있을 수 있으므로 AD Connector의 삭제를 차단합니다. AWS Support에 문의하세요.