Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memecahkan masalah dengan AWS Private CA Konektor untuk Direktori Aktif
Gunakan informasi di sini untuk membantu Anda mendiagnosis dan memperbaiki AWS Private Certificate Authority Konektor untuk masalah AD.
**Topics**
+ [Memecahkan Masalah Konektor untuk kode kesalahan AD](c4adTroubleshootingError.md)
+ [Memecahkan Masalah Konektor untuk kegagalan pembuatan konektor AD](c4adTroubleshootingConnectorCreationFailure.md)
+ [Memecahkan Masalah Konektor untuk kegagalan pembuatan AD SPN](c4adTroubleshootingSpnFailure.md)
+ [Memecahkan Masalah Konektor untuk masalah pembaruan template AD](c4adTroubleshootingUpdatedTemplate.md)
# Memecahkan Masalah Konektor untuk kode kesalahan AD
Konektor untuk AD mengirim pesan kesalahan karena beberapa alasan. Untuk informasi tentang setiap kesalahan dan rekomendasi tentang menyelesaikannya, lihat tabel berikut. Anda dapat menerima kesalahan ini dengan berlangganan acara Amazon EventBridge Scheduler (sumber acara:`aws.pca-connector-ad`) atau dengan menggunakan pendaftaran manual di Windows.
| Kode kesalahan | Penyebab galat | Remediasi |
| --- | --- | --- |
| 0x8FFFA000 | Otentikasi Kerberos gagal. | Pastikan direktori Anda dapat dijangkau dan klien adalah pengguna atau komputer. Jika Anda menggunakan pendaftaran otomatis, perbaiki prinsip layanan AWS sumber daya Anda. Jika Anda menggunakan Active Directory UI untuk mendapatkan sertifikat, jalankan`gpupdate /force`. |
| 0x8FFFA001 | Pesan SOAP harus berisi header tindakan. | Tambahkan header tindakan. |
| 0x8FFFA002 | Konektor tidak memiliki akses ke CA pribadi yang terhubung dengannya. | Bagikan CA pribadi Anda dengan konektor dengan membuat AWS Resource Access Manager (RAM) untuk berbagi antara CA pribadi Anda dan Connector for AD service. |
| 0x8FFFA003 | CA pribadi untuk konektor ini tidak aktif. | Pindahkan CA pribadi ke status Aktif. Jika CA pribadi Anda dalam status sertifikat tertunda, maka instal sertifikat CA. |
| 0x8FFFA004 | CA pribadi untuk konektor ini tidak ada. | Pindahkan otoritas sertifikat Anda ke status Aktif jika berada dalam status Dihapus. Jika CA pribadi Anda dihapus secara permanen, buat konektor baru dengan CA yang berbeda. |
| 0x8FFFA005 | Template menentukan `directoryGuid` atribut untuk subjek sertifikat atau nama alternatif subjek, tetapi atribut tidak ditemukan di objek AD untuk pemohon. | Active Directory tidak menghasilkan `directoryGuid` untuk direktori Anda. Memecahkan masalah di Active Directory. |
| 0x8FFFA006 | Template menentukan `dnsHostName` atribut untuk subjek sertifikat atau nama alternatif subjek, tetapi atribut tidak ditemukan di objek AD untuk pemohon. | Tambahkan `dnsHostName` atribut ke objek AD Anda. |
| 0x8FFFA007 | Template menetapkan atribut email yang akan disertakan dalam subjek sertifikat atau nama alternatif subjek, tetapi atribut tidak ditemukan di objek AD untuk pemohon. | Menambahkan atribut email ke objek AD Anda |
| 0x8FFFA008 | Pesan SOAP harus memiliki header tindakan salah satu `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies` atau`http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep`. | Perbarui header tindakan untuk menggunakan salah satu nilai yang ditentukan. |
| 0x8FFFA009 | BinarySecurityToken Harus dikodekan. `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary` | Perbarui jenis token keamanan biner. |
| 0x8FFFA00A | BinarySecurityToken Itu tidak valid. | Periksa apakah CSR dihasilkan dengan benar. |
| 0x8FFFA00B | BinarySecurityToken Harus memiliki jenis nilai salah satu `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7` atau`http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10`. | Perbarui jenis nilai token keamanan biner ke nilai yang valid. |
| 0x8FFFA00C | CMS BinarySecurityToken yang terkandung tidak valid. | Base64 valid tetapi sintaks pesan kriptografi (CMS) tidak valid. Tinjau sintaks CMS. |
| 0x8FFFA00D | Yang BinarySecurityToken berisi CSR yang tidak valid. | Periksa apakah CSR dihasilkan dengan benar. |
| 0x8FFFA00E | CA pribadi tidak dapat mengeluarkan sertifikat menggunakan templat tertentu. | Tinjau pengecualian validasi dari AWS Private CA. Anda dapat melihat pengecualian validasi di Amazon EventBridge atau AWS CloudTrail. |
| 0x8FFFA00F | Pesan SOAP harus memiliki jenis permintaan`http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`. | Tetapkan jenis permintaan ke`http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`. |
| 0x8FFFA010 | Pesan SOAP harus memiliki header to dari bidang konektor atau `CertificateEnrollmentPolicyServerEndpoint` bidang URI dalam respons XCEP. | Tetapkan header token keamanan permintaan ke `CertificateEnrollmentPolicyServerEndpoint` bidang atau bidang URI dalam respons XCEP. |
| 0x8FFFA011 | Pesan SOAP harus hanya memiliki satu header tindakan. | Tinjau header pesan SOAP dari token keamanan permintaan dan atur header dengan benar. |
| 0x8FFFA012 | Pesan SOAP harus hanya memiliki satu `messageId` header. | Tinjau header pesan SOAP dari token keamanan permintaan dan atur header dengan benar. |
| 0x8FFFA013 | Pesan SOAP harus hanya memiliki satu ke header. | Tinjau header pesan SOAP dari token keamanan permintaan dan atur header dengan benar. |
| 0x8FFFA014 | Pemohon tidak memiliki akses ke template yang diminta. | Izinkan grup pemohon untuk mendaftar menggunakan template yang diminta dengan membuat Entri Kontrol Akses. |
| 0x8FFFA015 | Entah ekstensi `CertificateTemplateInformation` atau `CertificateTemplateName` ekstensi harus ada di BinarySecurityToken. | Tambahkan ekstensi keamanan ke CSR Anda. |
| 0x8FFFA016 | Template yang diminta tidak ditemukan untuk konektor yang diberikan. | Template adalah sumber daya anak untuk setiap konektor. Buat template untuk konektor menggunakan`createTemplate`. |
| 0x8FFFA017 | Permintaan ditolak karena throttling permintaan. | Memperlambat tingkat permintaan. |
| 0x8FFFA018 | Pesan SOAP harus berisi `to` header. | Tinjau header pesan SOAP. |
| 0x8FFFA019 | Tidak dapat memproses pesan SOAP karena header yang tidak dikenal. | Tinjau header pesan SOAP. |
| 0x8FFFA01A | Template menetapkan atribut UPN untuk disertakan dalam subjek sertifikat atau nama alternatif subjek, tetapi atribut tidak ditemukan di objek AD untuk pemohon. | Tambahkan UPN ke objek Active Directory. |
# Memecahkan Masalah Konektor untuk kegagalan pembuatan konektor AD
Konektor untuk pembuatan konektor AD dapat gagal karena berbagai alasan. Saat pembuatan konektor gagal, Anda akan menerima alasan kegagalan dalam respons API. Jika Anda menggunakan konsol, maka alasan kegagalan ditampilkan di halaman **Detail konektor di bawah bidang Detail** **status tambahan** di dalam wadah **Detail** konektor. Tabel berikut menjelaskan alasan kegagalan dan langkah-langkah yang direkomendasikan untuk resolusi.
| Status kegagalan | Deskripsi | Remediasi |
| --- | --- | --- |
| CA\$1CERTIFICATE\$1REGISTRATION\$1FAILED | Konektor untuk AD tidak dapat mengimpor sertifikat CA ke direktori Anda. | Tinjau halaman [Prasyarat](connector-for-ad-getting-started-prerequisites.md) dan periksa apakah akun layanan Anda memiliki izin yang tepat. Setelah mendelegasikan izin yang benar ke akun layanan Anda, hapus konektor yang gagal dan buat yang baru. *Untuk informasi tentang mendelegasikan izin, lihat [Mendelegasikan hak istimewa ke akun layanan Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges) di Panduan Administrasi.AWS Directory Service * |
| DIRECTORY\$1ACCESS\$1DENIED | Konektor untuk AD tidak dapat mengakses direktori Anda. | Anda harus memberikan Konektor untuk akses AD ke direktori Anda. Tinjau [Langkah 4: Buat Kebijakan IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam) bagian ini untuk memastikan bahwa kebijakan IAM yang terkait dengan AWS akun Anda memungkinkan Anda mengakses dan mendeskripsikan direktori. Setelah memberikan izin yang benar untuk AWS peran Anda, hapus konektor yang gagal dan buat yang baru. Jika menggunakan Connector for AD dengan AWS Directory Service AD Connector, pastikan kata sandi akun layanan AD Connector tidak kedaluwarsa dan valid. Untuk informasi tentang akun layanan AD Connector, lihat [Memulai AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html) di *Panduan Administrasi Konektor AD*. |
| INTERNAL\$1FAILURE | Konektor untuk AD mengalami kegagalan internal. | Coba lagi nanti. Hapus konektor yang gagal dan buat yang baru. |
| INSUFFICIENT\$1FREE\$1ADDRESSES | Subnet VPC harus memiliki setidaknya satu alamat IP pribadi yang tersedia. | Pastikan bahwa ada alamat IP pribadi yang tersedia di subnet. Hapus konektor yang gagal dan buat yang baru. |
| INVALID\$1SUBNET\$1IP\$1PROTOCOL | Konektor untuk AD tidak dapat membuat titik akhir pada VPC Anda karena subnet yang terkait dengan direktori Anda tidak mendukung jenis alamat IP yang ditentukan. | Pastikan VPC dan subnet yang meng-host direktori Anda mendukung jenis alamat IP yang Anda pilih. Untuk informasi selengkapnya, lihat [Jenis alamat IP](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type). Hapus konektor yang gagal dan buat yang baru dengan jenis alamat IP yang didukung. |
| PRIVATECA\$1ACCESS\$1DENIED | Konektor untuk AD tidak dapat mengakses CA pribadi Anda. | Tinjau halaman [Prasyarat](connector-for-ad-getting-started-prerequisites.md) dan periksa apakah Anda memiliki izin untuk membuat konektor. Untuk informasi, lihat [Langkah 4: Buat Kebijakan IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam). Jika Anda membuat konektor melalui AWS CLI atau API, tinjau halaman [Prasyarat](connector-for-ad-getting-started-prerequisites.md) dan periksa apakah Anda telah membagikan CA pribadi dengan Connector for AD menggunakan. AWS Resource Access Manager Setelah memeriksa dan memperbaiki izin IAM dan berbagi AWS RAM sumber daya, hapus konektor yang gagal dan buat yang baru. |
| PRIVATECA\$1RESOURCE\$1NOT\$1FOUND | Konektor untuk AD tidak dapat menemukan CA pribadi yang ditentukan. | Pastikan Anda menentukan CA [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) pribadi yang benar, lalu hapus konektor yang gagal dan buat yang baru menggunakan CA ARN pribadi yang Anda inginkan. |
| SECURITY\$1GROUP\$1NOT\$1IN\$1VPC | Grup keamanan tidak ada di VPC yang meng-host direktori Anda. | Gunakan grup keamanan yang ada di VPC yang meng-host direktori Anda. Untuk informasi selengkapnya, lihat [Langkah 7: Konfigurasikan grup keamanan](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups). Hapus konektor yang gagal dan buat yang baru dengan grup keamanan yang ada di VPC. |
| VPC\$1ACCESS\$1DENIED | Konektor untuk AD tidak dapat mengakses VPC Amazon yang menghosting direktori Anda. | Periksa izin IAM Anda. Hapus konektor yang gagal dan buat yang baru. Untuk contoh kebijakan IAM yang menyertakan izin akses, lihat [Langkah 4: Buat Kebijakan IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam) |
| VPC\$1ENDPOINT\$1LIMIT\$1EXCEEDED | Konektor untuk AD tidak dapat membuat titik akhir di VPC Amazon Anda. Anda telah mencapai batas titik akhir VPC yang dapat Anda buat untuk akun Anda. | Hapus titik akhir Amazon VPC, atau minta peningkatan batas. Setelah Anda melakukan salah satu dari dua langkah, hapus konektor yang gagal dan buat yang baru. Untuk informasi tentang kuota, lihat [kuota Layanan Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| VPC\$1RESOURCE\$1NOT\$1FOUND | Konektor untuk AD tidak dapat menemukan VPC yang ditentukan. | Pastikan Anda menentukan VPC yang benar dan VPC ada. Kemudian hapus konektor yang gagal dan buat yang baru menggunakan ID VPC yang benar. |
# Memecahkan Masalah Konektor untuk kegagalan pembuatan AD SPN
Pembuatan nama utama layanan (SPN) dapat gagal karena berbagai alasan. Ketika pembuatan SPN gagal, Anda akan menerima alasan kegagalan dalam respons API. Jika Anda menggunakan konsol, maka alasan kegagalan ditampilkan di halaman Detail konektor di bawah bidang **Detail status tambahan** dalam wadah **Nama utama layanan (SPN)**. Tabel berikut menjelaskan alasan kegagalan dan langkah-langkah yang direkomendasikan untuk resolusi.
| Status kegagalan | Deskripsi | Remediasi |
| --- | --- | --- |
| DIRECTORY\$1ACCESS\$1DENIED | Konektor untuk AD tidak dapat mengakses direktori Anda. | Berikan Konektor untuk akses AD ke direktori Anda. Untuk contoh kebijakan IAM yang menyertakan izin yang memberikan akses direktori, lihat. [Langkah 4: Buat Kebijakan IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam) |
| DIRECTORY\$1NOT\$1REACHABLE | Konektor untuk AD tidak dapat mengakses direktori Anda. | Periksa jaringan antara AWS dan direktori Anda, dan coba buat SPN lagi. |
| DIRECTORY\$1RESOURCE\$1NOT\$1FOUND | Konektor untuk AD tidak dapat menemukan direktori yang ditentukan. | Pastikan Anda menentukan ID direktori yang benar, lalu hapus konektor yang gagal dan buat yang baru menggunakan ID direktori yang Anda inginkan. |
| INTERNAL\$1FAILURE | Konektor untuk AD mengalami kegagalan internal. | Coba lagi nanti. |
| SPN\$1EXISTS\$1ON\$1DIFFERENT\$1AD\$1OBJECT | Nama utama layanan (SPN) ada pada objek Active Directory yang berbeda. | Hapus SPN dari objek Active Directory, dan coba buat SPN lagi. |
| SPN\$1LIMIT\$1EXCEEDED | Konektor untuk AD tidak dapat membuat SPN karena Anda telah mencapai batas SPNs per direktori. Jumlah maksimum SPNs per direktori adalah 10. | Hapus satu atau lebih SPNs dari akun Anda, dan coba buat SPN lagi. |
# Memecahkan Masalah Konektor untuk masalah pembaruan template AD
Jika Anda membuat perubahan pada templat atau entri kontrol akses grup, tetapi Anda tidak melihat perubahannya, ini mungkin disebabkan oleh cache kebijakan. AWS Private CA menerapkan template ke kebijakan Anda saat klien Anda menyegarkan cache kebijakan, yaitu setiap delapan jam. Ketika klien Anda menyegarkan cache, ia menanyakan konektor untuk template yang tersedia. Dalam hal penyegaran ** pendaftaran otomatis, klien mengeluarkan sertifikat yang cocok dengan salah satu atau kedua kondisi berikut:
+ Sertifikat berada dalam periode pembaruan.
+ Sertifikat tidak ada di perangkat klien.
Untuk *penyegaran manual*, klien akan menanyakan konektor, dan Anda harus mengatur template untuk diterbitkan.
Jika Anda melakukan debug, Anda dapat menghapus cache kebijakan secara manual untuk segera melihat perubahan templat. Untuk melakukannya, jalankan perintah Powershell berikut pada klien Anda.
```
certutil -f -user -policyserver * -policycache delete
```