針對適用於 AD 連接器建立失敗的 Connector 進行故障診斷

建立 AD 連接器的 連接器可能會因為各種原因而失敗。當連接器建立失敗時，您會在 API 回應中收到失敗原因。如果您使用的是 主控台，則失敗原因會顯示在 Connector 詳細資訊容器中 內的其他狀態詳細資訊欄位下的 Connector 詳細資訊頁面中。下表說明故障原因和建議的解決步驟。

失敗狀態	描述	修補
CA_CERTIFICATE_REGISTRATION_FAILED	Connector for AD 無法將 CA 憑證匯入您的目錄。	檢閱先決條件頁面，並檢查您的服務帳戶是否具有適當的許可。將正確的許可委派給服務帳戶後，請刪除失敗的連接器並建立新的連接器。如需有關委派許可的資訊，請參閱《 AWS Directory Service 管理指南》中的將權限委派給您的服務帳戶。
DIRECTORY_ACCESS_DENIED	Connector for AD 無法存取您的目錄。	您必須授予 Connector for AD 存取您的目錄。檢閱 步驟 4：建立 IAM 政策區段，以確保您與 AWS 帳戶相關聯的 IAM 政策可讓您存取和描述目錄。將正確的許可授予您的 AWS 角色之後，請刪除失敗的連接器並建立新的連接器。 如果將 Connector for AD 與 AWS Directory Service AD Connector 搭配使用，請確定 AD Connector 服務帳戶的密碼未過期且有效。如需 AD Connector 服務帳戶的相關資訊，請參閱 AD Connector 管理指南中的 AD Connector 入門。
INTERNAL_FAILURE	Connector for AD 發生內部故障。	請稍後再試。刪除失敗的連接器並建立新的連接器。
INSUFFICIENT_FREE_ADDRESSES	VPC 子網路必須至少有一個可用的私有 IP 地址。	確保子網路中有可用的私有 IP 地址。刪除失敗的連接器並建立新的連接器。
INVALID_SUBNET_IP_PROTOCOL	Connector for AD 無法在您的 VPC 上建立端點，因為與您的目錄相關聯的子網路不支援指定的 IP 地址類型。	確保託管目錄的 VPC 和子網路支援您選擇的 IP 地址類型。如需詳細資訊，請參閱 IP 地址類型。刪除失敗的連接器，並使用支援的 IP 地址類型建立新的連接器。
PRIVATECA_ACCESS_DENIED	Connector for AD 無法存取您的私有 CA。	檢閱先決條件頁面，並檢查您是否具有建立連接器的許可。如需相關資訊，請參閱步驟 4：建立 IAM 政策。 如果您要透過 AWS CLI 或 API 建立連接器，請檢閱先決條件頁面，並檢查您是否已使用 Connector for AD 共用私有 CA AWS Resource Access Manager。 檢查並修正 IAM 許可 AWS RAM 和資源共用之後，請刪除失敗的連接器並建立新的連接器。
PRIVATECA_RESOURCE_NOT_FOUND	Connector for AD 找不到指定的私有 CA。	請確定您指定正確的私有 CA Amazon Resource Name (ARN)，然後刪除故障的連接器，並使用預期的私有 CA ARN 建立新的連接器。
SECURITY_GROUP_NOT_IN_VPC	安全群組不在託管目錄的 VPC 中。	使用託管目錄的 VPC 中的安全群組。如需詳細資訊，請參閱步驟 7：設定安全群組。刪除失敗的連接器，並使用 VPC 中的安全群組建立新的連接器。
VPC_ACCESS_DENIED	Connector for AD 無法存取託管目錄的 Amazon VPC。	檢查您的 IAM 許可。刪除失敗的連接器並建立新的連接器。如需包含存取許可的範例 IAM 政策，請參閱 步驟 4：建立 IAM 政策
VPC_ENDPOINT_LIMIT_EXCEEDED	Connector for AD 無法在 Amazon VPC 中建立端點。您已達到您可以為帳戶建立的 VPC 端點限制。	刪除 Amazon VPC 端點，或請求提高限制。完成兩個步驟的其中一個後，請刪除失敗的連接器並建立新的連接器。如需配額的相關資訊，請參閱 Amazon Virtual Private Cloud Service 配額。
VPC_RESOURCE_NOT_FOUND	Connector for AD 找不到指定的 VPC。	請確定您已指定正確的 VPC，且 VPC 存在。然後刪除故障的連接器，並使用正確的 VPC ID 建立新的連接器。