本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
故障排除 Activ
以下是您在亚马逊 AppStream 2.0 上设置和使用 Active Directory 时可能出现的问题。有关通知代码问题排查的帮助信息,请参阅 通知代码问题排查。
问题
我的映像生成器和队列实例卡在“待处理”状态。
映像生成器和队列实例最多可能需要 25 分钟才能转入准备就绪状态并变得可用。如果您的实例变为可用状态耗时超过 25 分钟,请在 Active Directory 中检查是否在正确的组织单位 (OU) 中创建了新的计算机对象。如果有新对象,则流实例将很快可用。如果对象不存在,请检查 AppStream 2.0 Directory Config 中的目录配置详细信息:目录名称(目录的完全限定域名、服务帐号登录凭证和 OU 标识名)。
镜像生成器和队列错误显示在 AppStream 2.0 控制台的队列或映像生成器的通知选项卡上。使用 AppStream 2.0 API 通过DescribeFleets操作或 CLI 命令 d escribe-fleets 也可以发现舰队错误。
我的用户无法登录 SAML 应用程序。
AppStream 2.0 依赖您的身份提供商的 saml_subject “nameID” 属性来填充用户名字段以登录您的用户。该用户名的格式可以是“domain\usernameuser@domain.com”。如果您使用的是“domain\usernamedomainuser@domain.com” 格式,则可以使用该 UserPrincipalName 属性。如果您已验证您的 saml_subject 属性配置正确且问题仍然存在,请联系AWS Support。有关更多信息,请参阅AWS Support中心
我的队列实例能用于一个用户,但不能正确循环.
当一个用户完成会话后,队列实例会进行循环,确保每个用户都有一个新实例。当循环的队列实例联机时,它使用以前实例的计算机名称加入域。要确保此操作成功,服务账户需要拥有计算机对象所加入的组织单位 (OU) 的更改密码和重置密码权限。请检查服务账户权限,然后重试。如果问题仍存在,请联系 AWS Support。有关更多信息,请参阅AWS Support中心
我的用户组策略对象无法成功应用。
默认情况下,计算机对象基于它们所在的 OU 来应用计算机级策略,基于用户所在的 OU 应用用户级策略。如果您的用户级策略未应用,可以执行以下操作之一:
-
将用户级策略移到用户 Active Directory 对象所在的 OU 中
-
启用计算机级别的环回处理,这将在计算机对象 OU 中应用用户级策略。
有关更多信息,请参阅 Microsoft 支持网站上的组策略环回处理
我的 AppStream 2.0 直播实例没有加入 Active Directory 域。
要在 AppStream 2.0 中使用的 Active Directory 域必须可通过其完全限定域名 (FQDN) 通过启动流媒体实例的 VPC 进行访问。
测试域能否访问
-
在与 AppStream 2.0 相同的 VPC、子网和安全组中启动 Amazon EC2 实例。
-
使用您打算在 AppStream 2.0 中使用的服务账户的 FQDN(例如,
yourdomain.example.com)将 EC2 实例手动加入您的 Active Directory 域。在 Windows PowerShell 控制台中,使用以下命令:netdom joincomputer/domain:FQDN/OU:path/ud:user/pd:password如果此手动加入操作失败,请转至下一步。
-
如果您无法手动加入到域,请打开命令提示符,然后使用
nslookup命令验证能否解析 FQDN。例如:nslookupyourdomain.exampleco.com域名解析成功时会返回一个有效的 IP 地址。如果无法解析 FQDN,则可能需要使用为您的域设置的 DHCP 选项来更新您的 VPC DNS 服务器。然后,返回到这一步。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集。
-
如果已解析 FQDN,请使用
telnet命令验证连接。telnetyourdomain.exampleco.com389连接成功后会显示一个空白命令提示符窗口,其中不包含任何连接错误。您可能需要在 EC2 实例上安装 Telnet 客户端功能。有关更多信息,请参阅 Microsoft 文档中的安装 Telnet 客户端
。
如果您无法手动将 EC2 实例加入域,但成功解析了 FQDN 并测试了与 Telnet 客户端的连接性,则您的 VPC 安全组可能在阻止访问。Active Directory 需要特定的网络端口设置。有关更多信息,请参阅 Microsoft 文档中的 Active Directory 和 Active Directory 域服务端口要求
用户登录要花很长时间才能完成加入域的流会话.
AppStream 2.0 在用户提供域密码后执行 Windows 登录操作。成功进行身份验证后, AppStream 2.0 启动应用程序。登录和启动时间受多个变量影响,如域控制器的网络连接或将组策略设置应用流实例所用的时间。如果域身份验证耗时太长,请尝试执行以下操作。
-
通过选择正确的域控制器,最大限度地减少从 AppStream 2.0 区域到域控制器的网络延迟。例如,如果您的队列在
us-east-1,则通过 Active Directory 站点和服务区域映射使用对us-east-1具有高带宽和低延迟的域控制器。有关更多信息,请参阅 Microsoft 文档中的 Active Directory 站点和服务。 -
确保您的组策略设置和用户登录脚本的应用或运行不会耗时过长。
如果您的域用户登录到 AppStream 2.0 失败并显示 “出现未知错误” 消息,则可能需要更新中所述的组策略设置在你开始使用 AppStream 2.0 版本的 Active Direc。否则,这些设置可能会阻止 AppStream 2.0 对您的域用户进行身份验证和登录。
我的用户在加入域的流会话中无法访问域资源,但可以访问加入域的映像生成器中的资源。
请确认您的队列是在映像生成器所在的同一 VPC、子网和安全组中创建的,并且您的用户具有访问和使用域资源所需的权限。
我的用户收到 “基于证书的身份验证不可用” 错误并被提示输入他们的域密码。或者,当用户启动启用了基于证书的身份验证的会话时,会收到 “与会话断开连接” 错误。
如果会话中基于证书的身份验证失败,则会发生这些错误。启用基于证书的身份验证以允许回退到密码登录时,会显示 “基于证书的身份验证不可用” 错误。当启用基于证书的身份验证而不进行回退时,将显示 “已断开会话连接” 错误。
用户可以刷新 Web 客户端上的页面,也可以从 Windows 客户端重新连接,因为这可能是基于证书的身份验证的间歇性问题。如果问题仍然存在,则基于证书的身份验证失败可能由以下问题之一导致:
-
AppStream 2.0 无法与AWS私有 CA 通信,或者AWS私有 CA 未颁发证书。检查 CloudTrail 是否已颁发证书。有关更多信息,请参什么是 AWS CloudTrail? 和管理基于证书的身份验证。
-
域控制器没有用于智能卡登录的域控制器证书,或者该证书已过期。有关更多信息,请参阅中的步骤 7.a先决条件。
-
该证书不可信。有关更多信息,请参阅中的步骤 7.c先决条件。
-
saml_Subject NameID 的格式格式不正确,或者无法解析为用户的实际域。 userPrincipalName 有关更多信息,请参阅中的步骤 1先决条件。
-
您的 SAML 断言中的(可选) ObjectSid 属性与 saml_Subject NameID 中指定的用户的 Active Directory 安全标识符 (SID) 不匹配。确认您的 SAML 联盟中的属性映射是正确的,并且您的 SAML 身份提供商正在同步 Active Directory 用户的 SID 属性。
-
AppStream 2.0 代理不支持基于证书的身份验证。使用 AppStream 2.0 代理版本 10-13-2022 或更高版本。
-
有些组策略设置正在修改智能卡登录的默认 Active Directory 设置,或者在智能卡读卡器中移除智能卡时采取措施。除上面列出的错误外,这些设置可能会导致其他意外行为。基于证书的身份验证向实例操作系统提供虚拟智能卡,并在登录完成后将其删除。有关更多信息,请参阅智能卡的主组策略设置
和其他智能卡组策略设置和注册表项 。如果您想使用基于证书的身份验证,请不要为堆栈中的 Active Directory 启用智能卡登录。有关更多信息,请参阅智能卡: -
私有 CA 的 CRL 分发点不可联机或无法从 AppStream 2.0 队列实例或域控制器访问。有关更多信息,请参阅先决条件中的步骤 5。
其他故障排除步骤包括查看 AppStream 2.0 实例 Windows 事件日志。经常要查看的登录失败事件是 4625 (F):账户登录失败
如果问题仍存在,请联系 AWS Support。有关更多信息,请参阅AWS Support中心
