AD Connector 疑難排解 - AWS Directory Service
創作問題連線問題驗證問題維護問題我無法刪除我的 AD Connector

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AD Connector 疑難排解

下列項目可協助您疑難排解建立或使用 AD Connector 時可能會遇到的一些常見問題。

創作問題

以下是 AD Connector 的常見建立問題

當我建立目錄時,收到「AZ 限制」錯誤

在 2012 年之前建立的某些 AWS 帳戶可能會存取不支援 AWS Directory Service 目錄的美國東部 (維吉尼亞北部)、美國西部 (加利佛尼亞北部) 或亞太區域 (東京) 區域的可用區域。如果您在建立時收到類似的錯誤訊息Active Directory,請在不同的可用區域中選擇子網路,然後嘗試再次建立目錄。

我嘗試建立 AD 連接器時收到「偵測到連線問題」錯誤

如果您在嘗試建立 AD 連接器時收到「偵測到連線問題」錯誤,則此錯誤可能是因為連接埠可用性或 AD Connector 密碼複雜性所致。您可以測試 AD 連接器的連線,以查看下列連接埠是否可用:

  • 53 (DNS)

  • 88 (Kerberos)

  • 389 (LDAP)

若要測試連線,請參閱測試您的 AD Connector。連線測試應該在連接至 AD 連接器 IP 位址相關聯的兩個子網路的執行個體上執行。

如果連線測試成功,且執行個體加入網域,請檢查 AD 連接器的密碼。AD Connector 必須符合 AWS 密碼複雜性需求。如需詳細資訊,請參閱中的服務帳戶AD Connector 事前準備

如果您的 AD Connector 不符合這些需求,請使用符合這些需求的密碼重新建立 AD Connector。

連線問題

以下是 AD 連接器的常見連線問題

當我嘗試連線到內部部署目錄時,收到「偵測到連線問題」錯誤

當您連線到內部部署目錄時,您會收到類似如下的錯誤訊息:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address> Kerberos/authentication unavailable (TCP port 88) for IP: <IP address> Please ensure that the listed ports are available and retry the operation.

AD Connector 必須能夠經由透過下列連接埠的 TCP 和 UDP 與您的內部部署域控制站通訊。確認您的安全群組和內部部署防火牆允許透過這些連接埠的 TCP 和 UDP 通訊。如需詳細資訊,請參閱 AD Connector 事前準備

  • 88 (Kerberos)

  • 389 (LDAP)

根據您的需求,您可能需要額外的 TCP/UDP 連接埠。請參閱下列清單以瞭解其中一些連接埠。如需所使用之連接埠的相關資訊Active Directory,請參閱Microsoft說明文件中的如何為Active Directory網域和信任設定防火牆

  • 135 (RPC 端點對應程式)

  • 646 (安全伺服器)

  • 3268 (少量政府)

  • 3269 (目錄網路伺服器)

顯示較多顯示較少

當我嘗試連線到內部部署目錄時,收到「DNS 無法使用」錯誤

當您連線到內部部署目錄時,您會收到類似如下的錯誤訊息:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector 必須能夠經由透過連接埠 53 的 TCP 和 UDP 與您的內部部署 DNS 伺服器通訊。確認您的安全群組和內部部署防火牆允許透過此連接埠的 TCP 和 UDP 通訊。如需詳細資訊,請參閱 AD Connector 事前準備

當我嘗試連線到內部部署目錄時,收到「SRV 記錄」錯誤

當您連線到內部部署目錄時,您會收到類似下列一或多個錯誤訊息:

SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>

連線到您的目錄時,AD Connector 需要取得 _ldap._tcp.<DnsDomainName>_kerberos._tcp.<DnsDomainName> SRV 記錄。如果此服務無法從您在連線到目錄時所指定的 DNS 伺服器取得這些記錄,您會收到此錯誤。如需這些 SRV 記錄的詳細資訊,請參閱「SRV record requirements」。

驗證問題

以下是 AD Connector 的一些常見驗證問題:

當我嘗試 Amazon WorkSpaces 使用智慧卡登入時,收到「憑證驗證失敗」錯誤訊息

當您嘗試 WorkSpaces 使用智慧卡登入時,您會收到類似下列內容的錯誤訊息:

ERROR: Certificate Validation failed. Please try again by restarting your browser or application and make sure you select the correct certificate.

如果智慧卡的憑證未正確儲存在使用憑證的用戶端上,就會發生錯誤。如需 AD Connector 和智慧卡需求的詳細資訊,請參閱必要條件

請使用下列程序疑難排解智慧卡在使用者憑證存放區中儲存憑證的能力:

  1. 在存取憑證時遇到問題的裝置上,存取 Microsoft Management Console (MMC)。

    重要

    在下一步之前,請先建立智慧卡憑證的副本。

  2. 導覽至 MMC 中的憑證存放區。從憑證存放區刪除使用者的智慧卡憑證。如需檢視 MMC 中憑證存放區的詳細資訊,請參閱說明文件中的 HOW TO:使用 MMC 嵌入式管理單元檢視憑證。Microsoft

  3. 移除智慧卡。

  4. 重新插入智慧卡,以便在使用者的憑證存放區中重新填入智慧卡憑證。

    警告

    如果智慧卡未將憑證重新填入使用者存放區,則無法將其用於 WorkSpaces 智慧卡驗證。

AD 連接器的服務帳戶應具有下列項目:

  • my/spn已新增至服務原則名稱

  • 委派給 LDAP 服務

在智慧卡上重新填入憑證之後,應該檢查內部部署網域控制站,以判斷它們是否遭到主體替代名稱的使用者主體名稱 (UPN) 對應封鎖。如需有關此變更的詳細資訊,請參閱Microsoft說明文件中的如何停用 UPN 對應的主體替代名稱

請使用下列程序來檢查網域控制站的登錄機碼:

  1. 登錄編輯程式中,瀏覽至下列 Hive 機碼

    HKEY _ 本地機器\ 系統\\ 服務\ Kdc\ CurrentControlSet UseSubjectAltName

  2. 選取 UseSubjectAltName。確保該值設置為 0。

注意

如果在內部部署網域控制站上設定登錄機碼,則 AD Connector 器將無法找到使用者,Active Directory並導致上述錯誤訊息。

憑證授權單位 (CA) 憑證應該上傳至 AD Connector 智慧卡憑證。憑證應包含 OCSP 資訊。以下列出 CA 的其他需求:

  • 憑證應位於網域控制站的受信任根授權單位、憑證授權單位伺服器和 WorkSpaces.

  • 離線和根 CA 憑證不會包含 OSCP 資訊。這些憑證包含其撤銷的相關資訊。

  • 如果您使用協力廠商 CA 憑證進行智慧卡驗證,則 CA 和中繼憑證必須發行至 Active Directory NTauth 存放區。它們必須安裝在所有網域控制站、憑證授權單位伺服器和的受信任根授權單位中 WorkSpaces。

    • 您可以使用跟隨命令將證書發佈到 Active Directory NTAuth 存儲區:

      certutil -dspublish -f Third_Party_CA.cer NTAuthCA

如需 WorkSpaces 有關將憑證發佈到 NTAuth 存放區的詳細資訊,請參閱使用一般存取卡存取 Amazon 安裝指南中的將發行的 CA 憑證匯入企業 NTAuth 存放區。

您可以依照下列程序檢查使用者憑證或 CA 鏈結憑證是否已由 OCSP 驗證:

  1. 將智慧卡憑證匯出至本機電腦上的位置,例如 C: 磁碟機。

  2. 開啟命令列提示,並瀏覽至儲存匯出智慧卡憑證的位置。

  3. 輸入以下命令:

    certutil -URL Certficate_name.cer

  4. 命令後面應會出現一個彈出窗口。選取右上角的 OCSP 選項,然後選取擷取。狀態應返回為已驗證。

如需有關 certutil 命令的詳細資訊,請參閱文件中的 cer tutil Microsoft

顯示較多顯示較少

當 AD Connector 所使用的服務帳戶嘗試進行身分驗證時,我收到「憑證無效」錯誤

如果您的網域控制器上的硬碟空間不足,就會發生此問題。請確定您的網域控制器硬碟未滿。

我在使用應用程式搜尋使 AWS 用者或群組時收到「無法驗證」的錯誤訊息

在使用應用程式 (例如 WorkSpaces 或 Amazon) 時搜尋使 AWS 用者時,即使 AD Connector 狀態為作用中 QuickSight,您也可能會遇到錯誤。過期的憑證會使得 AD Connector 無法在 Active Directory 中無法完成物件的相關查詢。使用中提供的順序步驟更新服務帳戶的密碼Amazon EC2 實例的無縫域加入停止工作

當我嘗試更新 AD Connector 服務帳戶時,我收到有關目錄認證的錯誤

嘗試更新 AD Connector 服務帳戶時,您會收到類似下列一或多項的錯誤訊息︰

Message:An Error Has Occurred 
Your directory needs a credential update. Please update the directory credentials.
An Error Has Occurred
Your directory needs a credential update. Please update the directory credentials
following Update your AD Connector Service Account Credentials
Message:
An Error Has Occurred
Your request has a problem. Please see the following details.
There was an error with the service account/password combination

時間同步處理和 Kerberos 可能存在問題。AD Connector 會將 Kerberos 驗證要求傳送至。Active Directory這些請求是時間敏感的,如果請求被延遲,他們將失敗。若要解決此問題,請參閱文件中的建議-使用授權時間來源設定根 PDC 和避免廣泛的時間偏差。Microsoft如需有關計時服務和同步處理的詳細資訊,請參閱下文:

顯示較多顯示較少

我有一些使用者無法使用我的目錄進行身分驗證

您的使用者帳戶必須啟用 Kerberos 預先驗證。此為新使用者帳戶的預設設定,不應該予以修改。如需有關此設定的詳細資訊,請移至預先驗證的Microsoft TechNet。

維護問題

以下是 AD Connector 的常見維護問題

  • 我的目錄凍結於「已請求」狀態

  • Amazon EC2 實例的無縫域加入停止工作

我的目錄凍結於「已請求」狀態

如果您的目錄處於「已請求」狀態超過五分鐘,請嘗試刪除目錄後再重新建立。如果問題仍存在,請聯絡 AWS Support

Amazon EC2 實例的無縫域加入停止工作

如果適用於 EC2 執行個體的無縫域加入原本在運作中,並在 AD Connector 作用中時停止,則 AD Connector 服務帳戶的憑證可能已過期。​ 過期的認證可能會阻止 AD Connector 在您的Active Directory.

若要解決這個問題,請依下列順序更新服務帳戶密碼,讓密碼符合以下:

  1. 更新您的服務帳戶的密碼Active Directory。

  2. 在中更新 AD Connector 中服務帳戶的密碼 AWS Directory Service。如需詳細資訊,請參閱 在 AWS Directory Service 中更新 AD Connector 服務帳戶憑證

重要

僅在中更新密碼 AWS Directory Service 並不會將密碼變更推送到現有的內部部署,Active Directory因此請務必依照上一個程序所示的順序進行密碼變更。

我無法刪除我的 AD Connector

如果您的 AD Connector 切換到不可操作狀態,您將無法再存取域控制站。當仍有應用程式連結到某個 AD Connector 時,我們會阻止您刪除它,因為可能還有應用程式在使用相應目錄。如需需要停用才能刪除 AD Connector 的應用程式清單,請參閱刪除 AD Connector。如果您仍然無法刪除 AD Connector,您可以透過以下方式要求協助AWS Support