Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Solución de problemas con AWS Private CA Connector for Active Directory
Utilice la información que aparece aquí para diagnosticar y solucionar los problemas de AWS Private Certificate Authority Connector for AD.
**Topics**
+ [Solucione los problemas de los códigos de error de Connector for AD](c4adTroubleshootingError.md)
+ [Solucione los errores de creación del conector AD en el conector](c4adTroubleshootingConnectorCreationFailure.md)
+ [Solucione el error de creación del SPN de AD en el conector](c4adTroubleshootingSpnFailure.md)
+ [Soluciona problemas de actualización de plantillas de Connector for AD](c4adTroubleshootingUpdatedTemplate.md)
# Solucione los problemas de los códigos de error de Connector for AD
Connector para AD envía mensajes de error por varios motivos. Para obtener información sobre cada error y recomendaciones para resolverlos, consulte la siguiente tabla. Puede recibir estos errores suscribiéndose a los eventos de Amazon EventBridge Scheduler (fuente del evento:`aws.pca-connector-ad`) o mediante la inscripción manual en Windows.
| Código de error | Causa raíz | Corrección |
| --- | --- | --- |
| 0x8FFFA000 | Error en la autenticación de Kerberos. | Asegúrese de que se pueda acceder a su directorio y de que el cliente sea un usuario o un ordenador. Si utilizas la inscripción automática, corrige el principal de tu servicio AWS de recursos. Si utiliza la interfaz de usuario de Active Directory para obtener un certificado, ejecute `gpupdate /force`. |
| 0x8FFFA001 | El mensaje SOAP debe contener un encabezado de acción. | Agregue una acción de encabezado. |
| 0x8FFFA002 | El conector no tiene acceso a la CA privada a la que está conectado. | Comparta su CA privada con el conector creando un Resource Access Manager (RAM) de AWS para compartir entre su CA privada y el servicio del Conector para AD. |
| 0x8FFFA003 | La CA privada de este conector no está activa. | Mueva la CA privada al estado Activo. Si su CA privada está en estado de certificado pendiente, instale el certificado de CA. |
| 0x8FFFA004 | La CA privada de este conector no existe. | Mueva la entidad de certificación al estado Activo si se encuentra en el estado Eliminado. Si su CA privada se elimina permanentemente, cree un nuevo conector con una CA diferente. |
| 0x8FFFA005 | La plantilla especificó el atributo `directoryGuid` del asunto del certificado o su nombre alternativo, pero el atributo no se encontró en el objeto AD del solicitante. | Active Directory no generó un `directoryGuid` para su directorio. Solución de problemas de Active Directory. |
| 0x8FFFA006 | La plantilla especificó el atributo `dnsHostName` del asunto del certificado o su nombre alternativo, pero el atributo no se encontró en el objeto AD del solicitante. | Agregue el atributo de `dnsHostName` a su objeto de AD. |
| 0x8FFFA007 | La plantilla especificó el atributo de correo electrónico que se debe incluir en el asunto del certificado o su nombre alternativo, pero el atributo no se encontró en el objeto AD para el solicitante. | Agregue el atributo de correo electrónico a su objeto de AD |
| 0x8FFFA008 | El mensaje SOAP debe tener un encabezado de acción igual a `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies` o `http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep`. | Actualice el encabezado de la acción para usar uno de los valores especificados. |
| 0x8FFFA009 | BinarySecurityToken Debe estar codificado en`http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary`. | Actualice el tipo de token de seguridad binario. |
| 0x8FFFA00A | El no BinarySecurityToken es válido. | Compruebe que la CSR se generó correctamente. |
| 0x8FFFA00B | BinarySecurityToken Debe tener un tipo de valor igual `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7` o igual a`http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10`. | Actualice el tipo de valor del token de seguridad binario a un valor válido. |
| 0x8FFFA00C | El CMS no válido BinarySecurityToken contenido. | El Base64 es válido, pero la sintaxis del mensaje criptográfico (CMS) no es válida. Revise la sintaxis del CMS. |
| 0x8FFFA00D | BinarySecurityToken Contenía una CSR no válida. | Compruebe que la CSR se haya generado correctamente. |
| 0x8FFFA00E | La CA privada no pudo emitir un certificado con la plantilla específica. | Revise la excepción de validación de AWS Private CA. Puedes ver la excepción de validación en Amazon EventBridge o AWS CloudTrail. |
| 0x8FFFA00F | El mensaje de SOAP debe tener un tipo de solicitud de `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`. | Establezca el tipo de solicitud en `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`. |
| 0x8FFFA010 | El mensaje SOAP debe tener un encabezado de destino en el campo `CertificateEnrollmentPolicyServerEndpoint` del conector o en el campo URI de la respuesta de XCEP. | Defina el encabezado del token de seguridad de la solicitud en el campo `CertificateEnrollmentPolicyServerEndpoint` o en el campo URI de la respuesta de XCEP. |
| 0x8FFFA011 | El mensaje SOAP debe tener solo un encabezado de acción. | Revise el encabezado del mensaje SOAP del token de seguridad de la solicitud y configúrelo correctamente. |
| 0x8FFFA012 | El mensaje SOAP debe tener solo un encabezado `messageId`. | Revise el encabezado del mensaje SOAP del token de seguridad de la solicitud y configúrelo correctamente. |
| 0x8FFFA013 | El mensaje SOAP debe tener solo un encabezado . | Revise el encabezado del mensaje SOAP del token de seguridad de la solicitud y configúrelo correctamente. |
| 0x8FFFA014 | El solicitante no tiene acceso a la plantilla solicitada. | Cree una entrada de control de acceso para permitir que el grupo del solicitante se inscriba utilizando la plantilla solicitada. |
| 0x8FFFA015 | La extensión `CertificateTemplateInformation` o la `CertificateTemplateName` extensión deben estar presentes en BinarySecurityToken. | Añada la extensión de seguridad a su CSR. |
| 0x8FFFA016 | No se encontró la plantilla solicitada para el conector indicado. | Las plantillas son recursos secundarios para cada conector. Cree la plantilla para el conector utilizando `createTemplate`. |
| 0x8FFFA017 | La solicitud fue denegada debido a una limitación de la solicitud. | Reduzca la taza de solicitudes. |
| 0x8FFFA018 | El mensaje SOAP debe contener un encabezado de `to`. | Revise el encabezado del mensaje SOAP. |
| 0x8FFFA019 | No se pudo procesar el mensaje SOAP debido a un encabezado no reconocido. | Revise el encabezado del mensaje SOAP. |
| 0x8FFFA01A | La plantilla especificó el atributo UPN que se debe incluir en el asunto del certificado o su nombre alternativo, pero el atributo no se encontró en el objeto AD para el solicitante. | Agregue un UPN al objeto de Active Directory. |
# Solucione los errores de creación del conector AD en el conector
La creación de un conector para AD puede fallar por varios motivos. Si se produce un error en la creación del conector, recibirás el motivo del error en la respuesta de la API. Si utilizas la consola, el motivo del error se muestra en la página de **detalles** del conector, en el campo **Detalles de estado adicionales** del contenedor de **detalles** del conector. En la siguiente tabla se describen los motivos del error y los pasos recomendados para su resolución.
| Estado del fallo | Descripción | Corrección |
| --- | --- | --- |
| CA\$1CERTIFICATE\$1REGISTRATION\$1FAILED | Connector for AD no puede importar los certificados de CA a su directorio. | Revise la página de [requisitos previos](connector-for-ad-getting-started-prerequisites.md) y compruebe que su cuenta de servicio tiene los permisos correctos. Tras delegar los permisos correctos en su cuenta de servicio, elimine el conector defectuoso y cree uno nuevo. Para obtener información sobre la delegación de permisos, consulte [Delegar privilegios en su cuenta de servicio](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges) en la Guía de *AWS Directory Service administración*. |
| DIRECTORY\$1ACCESS\$1DENIED | Connector para AD no puede acceder a su directorio. | Debe conceder a Connector for AD el acceso a su directorio. Revise la [Paso 4: Crear una política de IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam) sección para asegurarse de que la política de IAM asociada a su AWS cuenta le permite acceder a los directorios y describirlos. Tras conceder los permisos correctos a su AWS función, elimine el conector defectuoso y cree uno nuevo. Si utiliza Connector for AD con un conector AWS Directory Service AD, asegúrese de que la contraseña de la cuenta de servicio de AD Connector no esté caducada y sea válida. Para obtener información sobre las cuentas de servicio de AD Connector, consulte [Introducción a AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html) en la *Guía de administración de AD Connector*. |
| INTERNAL\$1FAILURE | El conector para AD sufrió un fallo interno. | Inténtelo de nuevo más tarde. Elimine el conector defectuoso y cree uno nuevo. |
| INSUFFICIENT\$1FREE\$1ADDRESSES | La subred de VPC debe tener al menos una dirección IP privada disponible. | Asegúrese de que haya una dirección IP privada disponible en la subred. Elimine el conector defectuoso y cree uno nuevo. |
| INVALID\$1SUBNET\$1IP\$1PROTOCOL | Connector for AD no puede crear el punto final en la VPC porque las subredes asociadas a su directorio no admiten el tipo de dirección IP especificado. | Asegúrese de que la VPC y las subredes que alojan el directorio sean compatibles con el tipo de dirección IP que haya elegido. Para obtener más información, consulte Tipos de [direcciones IP.](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type) Elimine el conector defectuoso y cree uno nuevo con el tipo de dirección IP compatible. |
| PRIVATECA\$1ACCESS\$1DENIED | Connector for AD no puede acceder a su CA privada. | Revisa la página de [requisitos previos](connector-for-ad-getting-started-prerequisites.md) y comprueba que tienes los permisos para crear un conector. Para obtener más información, consulte [Paso 4: Crear una política de IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam). Si va a crear un conector a través AWS CLI de una API, consulte la página de [requisitos previos](connector-for-ad-getting-started-prerequisites.md) y compruebe que ha compartido la CA privada con Connector para que la utilice AD. AWS Resource Access Manager Tras comprobar y corregir los permisos de IAM y el uso compartido de AWS RAM recursos, elimina el conector defectuoso y crea uno nuevo. |
| PRIVATECA\$1RESOURCE\$1NOT\$1FOUND | Connector for AD no encuentra la CA privada especificada. | Asegúrese de especificar el [nombre de recurso (ARN) de](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) CA privado correcto y, a continuación, elimine el conector defectuoso y cree uno nuevo con el ARN de CA privado que desee. |
| SECURITY\$1GROUP\$1NOT\$1IN\$1VPC | El grupo de seguridad no está en la VPC que aloja el directorio. | Utilice un grupo de seguridad que esté en la VPC que aloja el directorio. Para obtener más información, consulte [Paso 7: Configurar grupos de seguridad](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups). Elimine el conector defectuoso y cree uno nuevo con un grupo de seguridad que esté en la VPC. |
| VPC\$1ACCESS\$1DENIED | Connector for AD no puede acceder a la Amazon VPC que aloja su directorio. | Verifique sus permisos de IAM. Elimine el conector defectuoso y cree uno nuevo. Para ver un ejemplo de política de IAM que incluye permisos de acceso, consulte [Paso 4: Crear una política de IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam) |
| VPC\$1ENDPOINT\$1LIMIT\$1EXCEEDED | Connector for AD no puede crear un punto de conexión en su Amazon VPC. Has alcanzado el límite de puntos de conexión de VPC que puedes crear para tu cuenta. | Elimine los puntos de enlace de Amazon VPC o solicite un aumento del límite. Una vez que haya realizado uno de los dos pasos, elimine el conector defectuoso y cree uno nuevo. Para obtener información sobre las cuotas, consulte las [cuotas de Amazon Virtual Private Cloud Service](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| VPC\$1RESOURCE\$1NOT\$1FOUND | Connector for AD no encuentra la VPC especificada. | Asegúrese de haber especificado la VPC correcta y de que la VPC existe. A continuación, elimine el conector defectuoso y cree uno nuevo con el ID de VPC correcto. |
# Solucione el error de creación del SPN de AD en el conector
La creación del nombre principal del servicio (SPN) puede fallar por varios motivos. Si se produce un error al crear un SPN, recibirás el motivo del error en la respuesta de la API. Si utilizas la consola, el motivo del error se muestra en la página de detalles del conector, en el campo **Detalles de estado adicionales** del contenedor del **nombre principal del servicio (SPN).** En la siguiente tabla se describen los motivos del error y los pasos recomendados para su resolución.
| Estado del fallo | Descripción | Corrección |
| --- | --- | --- |
| DIRECTORY\$1ACCESS\$1DENIED | Connector for AD no puede acceder a su directorio. | Conceda a Connector for AD acceso a su directorio. Para ver un ejemplo de política de IAM que incluye permisos que otorgan acceso al directorio, consulte[Paso 4: Crear una política de IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam). |
| DIRECTORY\$1NOT\$1REACHABLE | Connector para AD no puede acceder a su directorio. | Compruebe la red entre AWS y su directorio e intente crear un SPN de nuevo. |
| DIRECTORY\$1RESOURCE\$1NOT\$1FOUND | Connector for AD no encuentra el directorio especificado. | Asegúrese de especificar el identificador de directorio correcto y, a continuación, elimine el conector defectuoso y cree uno nuevo con el identificador de directorio deseado. |
| INTERNAL\$1FAILURE | El conector para AD ha sufrido un fallo interno. | Inténtelo de nuevo más tarde. |
| SPN\$1EXISTS\$1ON\$1DIFFERENT\$1AD\$1OBJECT | El nombre principal del servicio (SPN) existe en un objeto de Active Directory diferente. | Elimine el SPN del objeto de Active Directory e intente crearlo de nuevo. |
| SPN\$1LIMIT\$1EXCEEDED | Connector for AD no puede crear el SPN porque se ha alcanzado el límite por directorio. SPNs El número máximo de SPNs por directorio es 10. | Elimina uno o varios SPNs de tu cuenta e intenta crear el SPN de nuevo. |
# Soluciona problemas de actualización de plantillas de Connector for AD
Si ha realizado cambios en la plantilla o en la entrada de control de acceso de grupo, pero no ve los cambios, es posible que se deba al almacenamiento en caché de las políticas. AWS Private CA aplica la plantilla a la política cuando el cliente actualiza la caché de la política, es decir, cada ocho horas. Cuando el cliente actualiza la caché, consulta el conector para ver las plantillas disponibles. En el caso de la actualización de la ** inscripción automática, el cliente emite certificados que cumplen una o ambas de las siguientes condiciones:
+ El certificado se encuentra dentro del período de renovación.
+ El certificado no está presente en el dispositivo cliente.
Para la *actualización manual*, el cliente consultará el conector y usted deberá configurar la plantilla para que se emita.
Si está depurando, puede borrar manualmente la caché de políticas para ver inmediatamente los cambios en la plantilla. Para ello, ejecuta el siguiente comando de Powershell en tu cliente.
```
certutil -f -user -policyserver * -policycache delete
```