Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Résoudre les problèmes liés au AWS CA privée Connector for Active Directory
Utilisez les informations fournies ici pour vous aider à diagnostiquer et à résoudre les problèmes liés au AWS Autorité de certification privée Connector for AD.
**Topics**
+ [Résoudre les problèmes liés au connecteur pour les codes d'erreur AD](c4adTroubleshootingError.md)
+ [Résoudre les problèmes de création de Connector for AD Connector](c4adTroubleshootingConnectorCreationFailure.md)
+ [Résoudre les problèmes liés à l'échec de création du connecteur AD SPN](c4adTroubleshootingSpnFailure.md)
+ [Résoudre les problèmes de mise à jour du modèle Connector for AD](c4adTroubleshootingUpdatedTemplate.md)
# Résoudre les problèmes liés au connecteur pour les codes d'erreur AD
Connector for AD envoie des messages d'erreur pour plusieurs raisons. Pour obtenir des informations sur chaque erreur et des recommandations pour les résoudre, consultez le tableau suivant. Vous pouvez recevoir ces erreurs en vous abonnant aux événements Amazon EventBridge Scheduler (source de l'événement :`aws.pca-connector-ad`) ou en utilisant l'inscription manuelle sous Windows.
| Code d’erreur | Cause profonde | Correction |
| --- | --- | --- |
| 0x8FFFA000 | L'authentification Kerberos a échoué. | Assurez-vous que votre répertoire est accessible et que le client est un utilisateur ou un ordinateur. Si vous utilisez l'inscription automatique, corrigez le principal de votre service de AWS ressources. Si vous utilisez l'interface utilisateur d'Active Directory pour obtenir un certificat, `gpupdate /force` lancez-le. |
| 0x8FFFA001 | Le message SOAP doit contenir un en-tête d'action. | Ajoutez un en-tête d'action. |
| 0x8FFFA002 | Le connecteur n'a pas accès à l'autorité de certification privée à laquelle il est connecté. | Partagez votre autorité de certification privée avec le connecteur en créant un AWS Resource Access Manager (RAM) à partager entre votre autorité de certification privée et le service Connector for AD. |
| 0x8FFFA003 | L'autorité de certification privée pour ce connecteur n'est pas active. | Déplacez l'autorité de certification privée à l'état actif. Si le certificat de votre autorité de certification privée est en attente, installez-le. |
| 0x8FFFA004 | L'autorité de certification privée pour ce connecteur n'existe pas. | Passez votre autorité de certification à l'état Actif si elle est à l'état Supprimé. Si votre autorité de certification privée est définitivement supprimée, créez un nouveau connecteur avec une autre autorité de certification. |
| 0x8FFFA005 | Le modèle a spécifié l'`directoryGuid`attribut pour le sujet du certificat ou le nom alternatif du sujet, mais l'attribut n'a pas été trouvé dans l'objet AD pour le demandeur. | Active Directory n'a pas généré de `directoryGuid` fichier pour votre annuaire. Résoudre les problèmes dans Active Directory. |
| 0x8FFFA006 | Le modèle a spécifié l'`dnsHostName`attribut pour le sujet du certificat ou le nom alternatif du sujet, mais l'attribut n'a pas été trouvé dans l'objet AD pour le demandeur. | Ajoutez l'`dnsHostName`attribut à votre objet AD. |
| 0x8FFFA007 | Le modèle spécifiait l'attribut d'e-mail à inclure dans l'objet du certificat ou dans le nom alternatif du sujet, mais l'attribut n'a pas été trouvé dans l'objet AD du demandeur. | Ajoutez l'attribut e-mail à votre objet AD |
| 0x8FFFA008 | Le message SOAP doit avoir un en-tête d'action correspondant à l'un `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies` ou à l'autre`http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep`. | Mettez à jour l'en-tête de l'action pour utiliser l'une des valeurs spécifiées. |
| 0x8FFFA009 | Le BinarySecurityToken doit être encodé dans`http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary`. | Mettez à jour le type de jeton de sécurité binaire. |
| 0x8FFFA00A | Le BinarySecurityToken n'est pas valide. | Vérifiez que le CSR est correctement généré. |
| 0x8FFFA00B | Le type de valeur BinarySecurityToken doit être `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7` ou`http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10`. | Mettez à jour le type de valeur du jeton de sécurité binaire avec une valeur valide. |
| 0x8FFFA00C | Le CMS non valide BinarySecurityToken contenu. | Le Base64 est valide mais la syntaxe des messages cryptographiques (CMS) n'est pas valide. Passez en revue la syntaxe du CMS. |
| 0x8FFFA00D | Ils BinarySecurityToken contenaient un CSR non valide. | Vérifiez que le CSR a été correctement généré. |
| 0x8FFFA00E | L'autorité de certification privée n'a pas pu émettre de certificat à l'aide du modèle spécifique. | Passez en revue l'exception de validation de AWS CA privée. Vous pouvez consulter l'exception de validation sur Amazon EventBridge ou AWS CloudTrail. |
| 0x8FFFA00F | Le message SOAP doit avoir un type de demande de`http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`. | Définissez le type de demande sur`http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`. |
| 0x8FFFA010 | Le message SOAP doit comporter un en-tête to correspondant au `CertificateEnrollmentPolicyServerEndpoint` champ du connecteur ou au champ URI de la réponse XCEP. | Définissez l'en-tête du jeton de sécurité de la demande `CertificateEnrollmentPolicyServerEndpoint` sur le champ ou sur le champ URI de la réponse XCEP. |
| 0x8FFFA011 | Le message SOAP ne doit comporter qu'un seul en-tête d'action. | Vérifiez l'en-tête du message SOAP du jeton de sécurité de la demande et définissez correctement l'en-tête. |
| 0x8FFFA012 | Le message SOAP ne doit comporter qu'un seul `messageId` en-tête. | Vérifiez l'en-tête du message SOAP du jeton de sécurité de la demande et définissez correctement l'en-tête. |
| 0x8FFFA013 | Le message SOAP ne doit comporter qu'un seul en-tête to. | Vérifiez l'en-tête du message SOAP du jeton de sécurité de la demande et définissez correctement l'en-tête. |
| 0x8FFFA014 | Le demandeur n'a pas accès au modèle demandé. | Autorisez le groupe du demandeur à s'inscrire à l'aide du modèle demandé en créant une entrée de contrôle d'accès. |
| 0x8FFFA015 | L'extension `CertificateTemplateInformation` ou l'`CertificateTemplateName`extension doivent être présentes dans le BinarySecurityToken. | Ajoutez l'extension de sécurité à votre CSR. |
| 0x8FFFA016 | Le modèle demandé n'a pas été trouvé pour le connecteur donné. | Les modèles sont des ressources secondaires pour chaque connecteur. Créez le modèle pour le connecteur à l'aide de`createTemplate`. |
| 0x8FFFA017 | La demande a été refusée suite à une limitation des demandes. | Ralentissez le taux de demandes. |
| 0x8FFFA018 | Le message SOAP doit contenir un `to` en-tête. | Vérifiez l'en-tête du message SOAP. |
| 0x8FFFA019 | Impossible de traiter le message SOAP en raison d'un en-tête non reconnu. | Vérifiez l'en-tête du message SOAP. |
| 0x8FFFA01A | Le modèle spécifiait l'attribut UPN à inclure dans l'objet du certificat ou dans le nom alternatif du sujet, mais l'attribut n'a pas été trouvé dans l'objet AD du demandeur. | Ajoutez un UPN à l'objet Active Directory. |
# Résoudre les problèmes de création de Connector for AD Connector
La création d'un connecteur pour AD peut échouer pour diverses raisons. Lorsque la création du connecteur échoue, vous recevrez la raison de l'échec dans la réponse de l'API. Si vous utilisez la console, la raison de l'échec est affichée sur la page de **détails** du connecteur, sous le champ **Détails de statut supplémentaires** du conteneur des **détails** du connecteur. Le tableau suivant décrit les raisons de l'échec et les étapes recommandées pour le résoudre.
| État de défaillance | Description | Correction |
| --- | --- | --- |
| CA\$1CERTIFICATE\$1REGISTRATION\$1FAILED | Connector for AD n'est pas en mesure d'importer des certificats CA dans votre répertoire. | Consultez la page [Conditions préalables](connector-for-ad-getting-started-prerequisites.md) et vérifiez que votre compte de service dispose des autorisations appropriées. Après avoir délégué les autorisations appropriées à votre compte de service, supprimez le connecteur défaillant et créez-en un nouveau. Pour plus d'informations sur la délégation d'autorisations, voir [Déléguer des privilèges à votre compte de service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges) dans le *Guide d'AWS Directory Service administration*. |
| DIRECTORY\$1ACCESS\$1DENIED | Connector for AD ne parvient pas à accéder à votre répertoire. | Vous devez autoriser Connector for AD à accéder à votre annuaire. Consultez la [Étape 4 : Création d'une politique IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam) section pour vous assurer que la politique IAM associée à votre AWS compte vous permet d'accéder aux annuaires et de les décrire. Après avoir accordé les autorisations appropriées à votre AWS rôle, supprimez le connecteur défaillant et créez-en un nouveau. Si vous utilisez Connector for AD avec un AWS Directory Service AD Connector, assurez-vous que le mot de passe du compte de service AD Connector n'est pas expiré et qu'il est valide. Pour plus d'informations sur les comptes de service AD Connector, consultez [Getting Started with AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html) dans le *Guide d'administration d'AD Connector*. |
| INTERNAL\$1FAILURE | Connector for AD a connu une défaillance interne. | Réessayez ultérieurement. Supprimez le connecteur défaillant et créez-en un nouveau. |
| INSUFFICIENT\$1FREE\$1ADDRESSES | Le sous-réseau VPC doit disposer d'au moins une adresse IP privée disponible. | Assurez-vous qu'une adresse IP privée est disponible dans le sous-réseau. Supprimez le connecteur défaillant et créez-en un nouveau. |
| INVALID\$1SUBNET\$1IP\$1PROTOCOL | Connector for AD ne parvient pas à créer le point de terminaison sur votre VPC car les sous-réseaux associés à votre annuaire ne prennent pas en charge le type d'adresse IP spécifié. | Assurez-vous que le VPC et les sous-réseaux qui hébergent votre répertoire prennent en charge le type d'adresse IP que vous avez choisi. Pour plus d'informations, consultez la section [Types d'adresses IP](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type). Supprimez le connecteur défaillant et créez-en un nouveau avec le type d'adresse IP pris en charge. |
| PRIVATECA\$1ACCESS\$1DENIED | Connector for AD ne parvient pas à accéder à votre autorité de certification privée. | Consultez la page [Conditions préalables](connector-for-ad-getting-started-prerequisites.md) et vérifiez que vous êtes autorisé à créer un connecteur. Pour plus d’informations, veuillez consulter [Étape 4 : Création d'une politique IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam). Si vous créez un connecteur par le biais AWS CLI d'une API, consultez la page [Conditions préalables](connector-for-ad-getting-started-prerequisites.md) et vérifiez que vous avez partagé l'autorité de certification privée avec Connector for AD à l'aide AWS Resource Access Manager de Connector for AD. Après avoir vérifié et corrigé les autorisations IAM et le partage AWS RAM des ressources, supprimez le connecteur défaillant et créez-en un nouveau. |
| PRIVATECA\$1RESOURCE\$1NOT\$1FOUND | Connector for AD ne trouve pas l'autorité de certification privée spécifiée. | Assurez-vous de spécifier le [nom de ressource Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) CA privé correct, puis supprimez le connecteur défaillant et créez-en un nouveau en utilisant l'ARN CA privé que vous avez prévu. |
| SECURITY\$1GROUP\$1NOT\$1IN\$1VPC | Le groupe de sécurité ne se trouve pas dans le VPC qui héberge votre répertoire. | Utilisez un groupe de sécurité qui se trouve dans le VPC qui héberge votre répertoire. Pour de plus amples informations, veuillez consulter [Étape 7 : Configuration des groupes de sécurité](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups). Supprimez le connecteur défaillant et créez-en un nouveau avec un groupe de sécurité situé dans le VPC. |
| VPC\$1ACCESS\$1DENIED | Connector for AD ne peut pas accéder au VPC Amazon qui héberge votre annuaire. | Vérifiez vos autorisations IAM. Supprimez le connecteur défaillant et créez-en un nouveau. Pour un exemple de politique IAM incluant des autorisations d'accès, voir [Étape 4 : Création d'une politique IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam) |
| VPC\$1ENDPOINT\$1LIMIT\$1EXCEEDED | Connector for AD ne peut pas créer de point de terminaison dans votre Amazon VPC. Vous avez atteint le nombre limite de points de terminaison VPC que vous pouvez créer pour votre compte. | Supprimez les points de terminaison Amazon VPC ou demandez une augmentation de limite. Une fois que vous avez effectué l'une des deux étapes, supprimez le connecteur défaillant et créez-en un nouveau. Pour plus d'informations sur les quotas, consultez la section [Quotas Amazon Virtual Private Cloud Service](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| VPC\$1RESOURCE\$1NOT\$1FOUND | Connector for AD ne trouve pas le VPC spécifié. | Assurez-vous que vous avez spécifié le VPC correct et que celui-ci existe. Supprimez ensuite le connecteur défaillant et créez-en un nouveau en utilisant le VPC ID correct. |
# Résoudre les problèmes liés à l'échec de création du connecteur AD SPN
La création du nom principal du service (SPN) peut échouer pour diverses raisons. Lorsque la création du SPN échoue, vous recevrez la raison de l'échec dans la réponse de l'API. Si vous utilisez la console, la raison de l'échec est affichée sur la page de détails du connecteur, sous le champ **Détails de statut supplémentaires** dans le conteneur du **nom principal du service (SPN)**. Le tableau suivant décrit les raisons de l'échec et les étapes recommandées pour le résoudre.
| État de défaillance | Description | Correction |
| --- | --- | --- |
| DIRECTORY\$1ACCESS\$1DENIED | Connector for AD ne peut pas accéder à votre annuaire. | Accordez à Connector for AD l'accès à votre annuaire. Pour un exemple de politique IAM incluant des autorisations autorisant l'accès à un annuaire, voir[Étape 4 : Création d'une politique IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam). |
| DIRECTORY\$1NOT\$1REACHABLE | Connector for AD ne peut pas accéder à votre annuaire. | Vérifiez le réseau entre AWS et votre répertoire, puis réessayez de créer un SPN. |
| DIRECTORY\$1RESOURCE\$1NOT\$1FOUND | Connector for AD ne trouve pas le répertoire spécifié. | Assurez-vous de spécifier l'ID de répertoire correct, puis supprimez le connecteur défaillant et créez-en un nouveau en utilisant l'ID de répertoire prévu. |
| INTERNAL\$1FAILURE | Connector for AD a connu une défaillance interne. | Réessayez ultérieurement. |
| SPN\$1EXISTS\$1ON\$1DIFFERENT\$1AD\$1OBJECT | Le nom principal du service (SPN) existe sur un autre objet Active Directory. | Supprimez le SPN de l'objet Active Directory, puis réessayez de le créer. |
| SPN\$1LIMIT\$1EXCEEDED | Connector for AD ne peut pas créer le SPN car vous avez atteint la limite de SPNs par répertoire. Le nombre maximum de SPNs par répertoire est de 10. | Supprimez-en un ou plusieurs SPNs de votre compte, puis réessayez de créer le SPN. |
# Résoudre les problèmes de mise à jour du modèle Connector for AD
Si vous avez apporté des modifications à votre modèle ou à votre entrée de contrôle d'accès de groupe, mais que vous ne les voyez pas, cela peut être dû à la mise en cache des politiques. AWS CA privée applique un modèle à votre politique lorsque votre client actualise le cache des politiques, c'est-à-dire toutes les huit heures. Lorsque votre client actualise le cache, il demande au connecteur les modèles disponibles. Dans le cas de l'actualisation ** automatique des inscriptions, le client émet des certificats qui répondent à l'une ou aux deux conditions suivantes :
+ Le certificat est en cours de renouvellement.
+ Le certificat n'est pas présent sur l'appareil client.
Pour une *actualisation manuelle*, le client interroge le connecteur et vous devez définir le modèle à émettre.
Si vous effectuez un débogage, vous pouvez effacer manuellement le cache des politiques pour voir immédiatement les modifications du modèle. Pour ce faire, exécutez la commande Powershell suivante sur votre client.
```
certutil -f -user -policyserver * -policycache delete
```