故障診斷 Active Directory - Amazon AppStream 2.0
我的映像構建器和車隊實例卡在狀PENDING態中。我的使用者無法使用應用SAML程式登入。我的機群執行個體針對一名使用者可正常運作,但無法正確的循環。我的使用者群組原則物件未成功套用。我的 AppStream 2.0 串流執行個體沒有加入活動目錄網域。在加入網域的串流工作階段上,使用者登入花費很長時間才完成。我的使用者無法存取加入網域串流工作階段中的網域資源,但他們可以存取來自加入網域映像建置器的資源。我的使用者收到錯誤「憑證型身分驗證無法使用」和提示他們輸入其網域密碼的訊息。或者,當使用者啟動透過憑證型身分驗證啟用的工作階段時,收到錯誤「工作階段已中斷連線」。變更使用中目錄 (AD) 服務帳戶後,我遇到網域加入失敗。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

故障診斷 Active Directory

以下是當您在 Amazon AppStream 2.0 上設置和使用活動目錄時可能會發生的問題。如需故障診斷通知代碼的協助,請參閱故障診斷通知代碼

我的映像構建器和車隊實例卡在狀PENDING態中。

映像建置器和機群執行個體最多可能需要 25 分鐘來移動到準備就緒狀態並開放使用。如果您的執行個體需要超過 25 分鐘才能使用,請在 Active Directory 中確認是否使用正確的組織單位 (OUs) 建立新的電腦物件。若有新的物件,串流執行個體很快就會開放使用。如果物件不存在,請檢查 AppStream 2.0 目錄設 Config:目錄名稱 (目錄的完整網域名稱、服務帳戶登入認證和 OU 辨別名稱) 中的目錄組態詳細資料。

映像產生器和叢集錯誤會顯示在叢集或映像產生器的 [通知] 索引標籤上的 AppStream 2.0 主控台中。叢集錯誤也可以使用 AppStream 2.0 API 透過DescribeFleets作業或CLI指令描述叢集來取得。

我的使用者無法使用應用SAML程式登入。

AppStream 2.0 依賴身分識別提供者的 SAML _Subject「NameID」屬性來填入使用者名稱欄位以登入您的使用者。使用者名稱的格式可以是 "domain\username" 或 "user@domain.com"。如果您使用 "domain\username" 格式,domain可以是網路BIOS名稱或完整網域名稱。如果使用 "user@domain.com" 格式,則可以使用 UserPrincipalName 屬性。如果您已驗證您的 SAML _Subject 屬性設定正確且問題仍然存在,請連絡 AWS Support。如需詳細資訊,請參閱 AWS Support 中心

我的機群執行個體針對一名使用者可正常運作,但無法正確的循環。

機群執行個體會在使用者完成工作階段後循環,確保每個使用者都擁有新的執行個體。當循環的機群執行個體回到線上時,它會使用先前執行個體的電腦名稱加入網域。為了確保此操作成功運作,服務帳戶必須具備電腦物件欲加入組織單位 (OU) 上的變更密碼重設密碼許可。請檢查服務帳戶許可並再試一次。如果問題仍然存在,請聯繫 AWS Support。如需詳細資訊,請參閱 AWS Support 中心

我的使用者群組原則物件未成功套用。

根據預設,電腦物件會根據電腦物件所在的 OU 套用電腦層級政策,並根據使用者所在的 OU 套用使用者層級政策。若您的使用者層級政策沒有套用,您可以執行下列其中一項作業:

  • 將使用者層級政策移動到使用者 Active Directory 物件所在的 OU。

  • 啟用電腦層級迴路處理,在電腦物件 OU 上套用使用者層級政策。

如需詳細資訊,請參閱 Microsoft 支援服務的 Loopback processing of Group Policy

我的 AppStream 2.0 串流執行個體沒有加入活動目錄網域。

要搭配 AppStream 2.0 使用的 Active Directory 網域必須透過其啟動串流執行個體的VPC完整網域名稱 (FQDN) 存取。

測試是否可存取您的網域

  1. 在與 AppStream 2.0 搭配使用的相同VPC子網路和安全群組中啟動 Amazon EC2 執行個體。

  2. 使用 FQDN (例如yourdomain.example.com) 搭配您打算搭配 AppStream 2.0 使用的服務帳戶,將EC2執行個體手動加入您的 Active Directory 網域。在 Windows PowerShell 主控台中使用下列命令:

    netdom join computer /domain:FQDN /OU:path /ud:user /pd:password

    若此手動加入失敗,請繼續下一個步驟。

  3. 如果您無法手動加入網域,請開啟命令提示字元,並確認您可以FQDN使用nslookup指令來解決此問題。例如:

    nslookup yourdomain.exampleco.com

    若成功解析名稱,則會傳回有效的 IP 地址。如果您無法解決您的問題FQDN,您可能需要使用網域的DHCP選項集來更新VPCDNS伺服器。然後,請返回此步驟。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的DHCP選項集

  4. 如果FQDN解決,請使用telnet指令驗證連線。

    telnet yourdomain.exampleco.com 389

    若成功連線,則會顯示一個空白命令提示視窗,而沒有任何連線錯誤。您可能需要在EC2執行個體上安裝 Telnet 用戶端功能。如需詳細資訊,請參閱 Microsoft 文件中的 Install Telnet Client

如果您無法手動將EC2執行個體加入您的網域,但成功解析FQDN和測試 Telnet Client 的連線,您的VPC安全性群組可能會阻止存取。Active Directory 需要特定的網路連接埠設定。如需詳細資訊,請參閱 Microsoft 文件中的 Active Directory and Active Directory Domain Services Port Requirements

在加入網域的串流工作階段上,使用者登入花費很長時間才完成。

AppStream 2.0 會在使用者提供網域密碼後執行 Windows 登入動作。成功驗證後, AppStream 2.0 會啟動應用程式。登入和啟動時間會受到許多變數影響,例如針對網域控制站的網路競爭,或是將群組政策設定套用到串流執行個體所需要的時間。若網域身分驗證的完成時間耗時太長,請嘗試執行以下動作。

  • 選擇正確的網域控制站,將 AppStream 2.0 區域到網域控制站的網路延遲降至最低。例如,若您的機群位於 us-east-1,請透過 Active Directory Sites and Services 區域映射,使用針對 us-east-1 具有高頻寬和低延遲的網域控制站。如需詳細資訊,請參閱 Microsoft 文件中的 Active Directory Sites and Services

  • 確認您的群組政策設定和使用者登入指令碼並未花費過長的時間套用或執行。

如果您的網域使用者登入 AppStream 2.0 失敗,並顯示「發生未知錯誤」訊息,您可能需要更新中所述的群組原則設定在你開始使用活動目錄 AppStream 2.0。否則,這些設定可能會阻止 AppStream 2.0 驗證和登入您的網域使用者。

我的使用者無法存取加入網域串流工作階段中的網域資源,但他們可以存取來自加入網域映像建置器的資源。

確認您的叢集是在與映像產生器相同VPC的子網路和安全性群組中建立,且您的使用者具有存取和使用網域資源所需的權限。

我的使用者收到錯誤「憑證型身分驗證無法使用」和提示他們輸入其網域密碼的訊息。或者,當使用者啟動透過憑證型身分驗證啟用的工作階段時,收到錯誤「工作階段已中斷連線」。

如果工作階段的憑證型身分驗證未成功,就會發生這些錯誤。啟用憑證型身分驗證以允許恢復為使用密碼登入時,就會顯示「憑證型身分驗證無法使用」錯誤。啟用憑證型身分驗證但無後援時,就會顯示「工作階段已中斷連線」錯誤。

使用者可以在 Web 用戶端上重新整理頁面,或從適用於 Windows 的用戶端重新連線,因為這可能是憑證型身分驗證的間歇性問題。如果問題仍然存在,則憑證型身分驗證失敗可能是下列其中一個問題所造成:

  • AppStream 2.0 無法與 AWS 私有 CA 通訊,或 AWS 私有 CA 未核發憑證。檢查 CloudTrail 以確定是否已發行憑證。如需詳細資訊,請參閱什麼是 AWS CloudTrail?管理憑證型身分驗證

  • 網域控制站沒有用於智慧卡登入的網域控制站憑證,或憑證已過期。如需詳細資訊,請參閱 必要條件 中的步驟 7.a。

  • 憑證不受信任。如需詳細資訊,請參閱 必要條件 中的步驟 7.c。

  • SAML_Subject NameID 的 userPrincipalName 格式未正確格式化,或無法解析為使用者的實際網域。如需詳細資訊,請參閱 必要條件 中的步驟 1。

  • SAML判斷提示中的 (選用) ObjectSid 屬性不符合在 SAML _ 主旨 NameID 中指定之使用者的 Active Directory 安全性識別碼 (SID)。確認您的同SAML盟中的屬性對應是否正確,而且您的SAML身分識別提供者正在同步處理 Active Directory 使用者的SID屬性。

  • AppStream 2.0 代理程式不支援憑證型驗證。使用 AppStream 2.0 代理程式版本 10 至 13 年或更新版本。

  • 有些群組政策設定會修改智慧卡登入的預設 Active Directory 設定,或在智慧卡從智慧卡讀卡機取出時採取動作。這些設定可能導致上述錯誤以外的其他非預期行為。憑證型身分驗證會向執行個體作業系統出示虛擬智慧卡,並在登入完成後將其移除。如需詳細資訊,請參閱智慧卡的主要群組政策設定其他智慧卡群組政策設定和登錄機碼。如果您想要使用憑證型身分驗證,則不要在堆疊中啟用 Active Directory 的智慧卡登入。如需詳細資訊,請參閱智慧卡

  • 私有 CA 的CRL發佈點不在線上,也無法從 AppStream 2.0 叢集執行個體或網域控制站存取。如需詳細資訊,請參閱 必要條件 中的步驟 5。

其他疑難排解步驟包括檢閱 AppStream 2.0 執行個體 Windows 事件記錄檔。一個應檢閱的常見登入錯誤事件為 4625 (F) :帳戶無法登入。如需擷取日誌資訊的詳細資訊,請參閱保留應用程式和 Windows 事件日誌。或者,若要以系統管理員身分對作用中 AppStream 2.0 工作階段進行疑難排解,您可以使用另一部電腦上的事件檢視器連線到記錄檔。如需詳細資訊,請參閱如何在事件檢視器中選取電腦。或者,您也可以使用遠端桌面連線至執行個體私有 IP 位址,從另一部電腦連線至 AppStream 2.0 虛擬私人雲端中的遠端桌面服務 (VPC)。使用根據 AWS 區域、 AppStream 2.0 堆疊名稱、叢集名稱、使用者 ID 和驗證類型 AWS CLI來判斷工作階段的 IP 位址。如需詳細資訊,請參閱AWS Command Line Interface。

如果問題仍然存在,請聯繫 AWS Support。如需詳細資訊,請參閱 AWS Support 中心

變更使用中目錄 (AD) 服務帳戶後,我遇到網域加入失敗。

如果您現有的叢集包含以 2024 年 8 月 Microsoft Windows Server 作業系統更新為基礎的映像,而且如果您變更該叢集的 Active Directory (AD) 服務帳戶,則叢集執行個體可能會在佈建期間遇到網域加入失敗。

Microsoft 發布了修補程序 KB5020276,修改了域加入操作的行為。 AppStream 將串流執行個體加入 AD 網域時,2.0 會重複使用現有的電腦物件。這個電腦物件是使用您在使用 AppStream 2.0 建立叢集或目錄 Config 時所提供的 AD 服務帳戶所產生。在此 Microsoft 修補程式之前,新的 AD 服務帳戶可以重複使用由 AppStream 2.0 建立的現有電腦物件,只要它們具有組織單位 (OU) 中設定的「建立電腦物件」權限。

當 Microsoft 修補程式強制執行時,從 2024 年 8 月 13 日開始,如果您變更現有 AppStream 2.0 叢集的 AD 服務帳戶,新的服務帳戶將無法再重複使用 AD 中現有的電腦物件。這會導致 AppStream 2.0 叢集上的網域加入失敗,叢集通知下會出現下列其中一個錯誤訊息:

  • DOMAIN_ JOIN _ INTERNAL _ SERVICE _ ERROR「找不到群組名稱。」

  • 活動目錄中存在具有相同名稱的帳戶。重複使用該帳戶被安全策略阻止

若要控制哪個帳戶可以重複使用現有的電腦物件,Microsoft 已實作新的群組原則設定,稱為網域控制站:允許電腦帳戶在網域加入期間重複使用。此設定可讓您指定在網域加入作業期間略過檢查的信任服務帳戶清單。對於自我管理 AD 設定,我們建議您遵循 Microsoft 記錄的步驟,將 AD 服務帳戶新增至新的允許清單原則,使用網域控制站上的群組原則。

對於受管理的 Active Directory (MAD),您必須在變更 AppStream 2.0 網域加入服務帳戶之後重新啟動 AppStream 2.0 叢集。

如果問題仍然存在,請聯繫 AWS Support。如需詳細資訊,請參閱 AWS Support 中心