本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AD Connector 故障排除
以下内容可以帮助排查在创建或使用 AD Connector 时可能会遇到的一些常见问题。
**Topics**
+ [创建问题](#ad_connector_creation_issues)
+ [连接问题](#ad_connector_connectivity_issues)
+ [身份验证问题](#ad_connector_auth_issues)
+ [维护问题](#ad_connector_maintenance_issues)
+ [我无法删除我的 AD Connector](#delete_ad_connector)
+ [调查 AD Connector 发布者的通用工具](#ad_connector_troubleshooting_tools)
## 创建问题
**以下是 AD Connector 的常见创建问题**
+ [我在创建目录时遇到“AZ Constrained”错误](#contrained_az2)
+ [当我尝试创建 AD Connector 时收到“Connectivity issues detected”错误](#ad_creation_connectivity_issues)
### 我在创建目录时遇到“AZ Constrained”错误
在 2012 年之前创建的某些 AWS 账户可能有权访问美国东部(弗吉尼亚北部)、美国西部(加利福尼亚北部)或亚太地区(东京)不支持 Directory Service 目录的可用区。如果在创建 Active Directory 时遇到错误(如上面的错误),请选择其他可用区中的子网,再尝试创建目录。
### 当我尝试创建 AD Connector 时收到“Connectivity issues detected”错误
如果您在尝试创建 AD Connector 时收到“Connectivity issue detected”错误,则该错误可能是由于端口可用性或 AD Connector 密码复杂所致。您可以测试 AD Connector 的连接,以查看以下端口是否可用:
+ 53 (DNS)
+ 88 (Kerberos)
+ 389 (LDAP)
要测试您的连接,请参阅[测试 AD Connector](ad_connector_getting_started.md#connect_verification)。应在加入到 AD Connector 的 IP 地址关联的两个子网的实例上执行连接测试。
如果连接测试成功并且实例已加入域,请检查 AD Connector 的密码。AD Connector 必须满足 AWS 密码复杂度要求。有关更多信息,请参阅 [AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector)中的服务账户。
如果您的 AD Connector 不符合这些要求,请使用符合这些要求的密码重新创建 AD Connector。
### 我在创建 AD Connector 时,收到了“An internal service error has been encountered while connecting the directory. Please retry the operation.” 错误
此错误通常发生在 AD Connector 无法为自行管理的 Active Directory 域创建有效域控制器且无法与之连接时。
**注意**
作为[最佳实践](ad_connector_best_practices.md#ad_connector_config_onprem),若自行管理的网络定义了 Active Directory 站点,您必须确保:
AD Connector 所在的 VPC 子网是在 Active Directory 站点中定义的。
VPC 子网与其他站点中的子网之间不存在冲突。
AD Connector 将使用子网 IP 地址范围与包含 AD Connector 的 VPC 中的子网 IP 地址范围接近的 Active Directory 站点,用于发现 AD 域控制器。如果您的一个站点具有 IP 地址范围与您 VPC 中的 IP 地址范围相同的子网,则 AD Connector 将发现该站点中的域控制器。域控制器实际上可能并不靠近 AD Connector 所在的区域。
+ 在客户管理的 Active Directory 域中创建的 DNS SRV 记录(这些记录使用以下语法:`_ldap._tcp.` 和 `_kerberos._tcp.`)相互不一致。当 AD Connector 无法根据这些 SRV 记录找到有效域控制器并与之连接时,就会发生这种情况。
+ AD Connector 与客户管理的 AD(例如防火墙设备)之间存在网络问题。
可以在域控制器、DNS 服务器和目录网络接口的 VPC 流日志上,使用[网络数据包捕获](https://techcommunity.microsoft.com/blog/iis-support-blog/capture-a-network-trace-without-installing-anything--capture-a-network-trace-of-/376503)来调查这一问题。如需更多帮助,请联系 [AWS 支持](https://docs.aws.amazon.com//awssupport/latest/user/case-management.html)。
## 连接问题
**以下是 AD Connector 的常见连接问题**
+ [在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误](#connectivity_issues_detected)
+ [当我尝试连接我的本地目录时收到一条“DNS unavailable”错误](#dns_unavailable)
+ [在尝试连接到我的本地目录时,我收到一条“SRV record”错误](#srv_record_not_found)
### 在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误
连接到本地目录时,您会收到一条类似于以下内容的错误消息:检测到连接问题:IP 的 LDAP 不可用(TCP 端口 389):IP ** Kerberos/authentication 不可用(TCP 端口 88):**请确保列出的端口可用并重试该操作。
AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 [AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector)。
+ 88 (Kerberos)
+ 389 (LDAP)
根据您的需求,您可能需要其他 TCP/UDP 端口。有关其中一些端口,请参阅以下列表。有关 Active Directory 使用的端口的更多信息,请参阅 Microsoft 文档中的[如何为 Active Directory 域和信任配置防火墙](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts)。
+ 135(RPC 端点映射器)
+ 646(LDAP SSL)
+ 3268(LDAP GC)
+ 3269(LDAP GC SSL)
### 当我尝试连接我的本地目录时收到一条“DNS unavailable”错误
在连接您的本地目录时,您收到类似于以下内容的错误消息:
```
DNS unavailable (TCP port 53) for IP:
```
AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 [AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector)。
### 在尝试连接到我的本地目录时,我收到一条“SRV record”错误
在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息:
```
SRV record for LDAP does not exist for IP: SRV record for Kerberos does not exist for IP:
```
在连接您的目录时,AD Connector 需要获取 `_ldap._tcp.` 和 `_kerberos._tcp.` SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您将收到此错误。有关这些 SRV 记录的更多信息,请参阅 [SRV record requirements](ad_connector_getting_started.md#srv_records)。
## 身份验证问题
**下面是 AD Connector 的一些常见身份验证问题:**
+ [当我尝试使用智能卡登录时,我收到 “证书验证失败” 错误 Amazon WorkSpaces](#cert_validation_failure)
+ [AD Connector 使用的服务账户尝试进行身份验证时,我收到“Invalid Credentials”的错误消息](#invalid_creds)
+ [在使用 AWS 应用程序搜索用户或群组时,我收到 “无法进行身份验证” 错误](#fails_when_searching)
+ [当我尝试更新 AD Connector 服务账户时收到有关我的目录凭证的错误](#error_with_ad_creds)
+ [我的某些用户无法进行向我的目录进行身份验证](#kerberos_preauth2)
### 当我尝试使用智能卡登录时,我收到 “证书验证失败” 错误 Amazon WorkSpaces
当您尝试使用智能卡登录时,您会收到一条类似于以下内容 WorkSpaces 的错误消息:**错误**:证书验证失败。请重启浏览器或应用程序,然后重试,并确保选择正确的证书。如果智能卡的证书未正确存储在使用证书的客户端上,则会出现错误。有关 AD Connector 和智能卡要求的更多信息,请参阅[先决条件](ad_connector_clientauth.md#prereqs-clientauth)。
**按照以下过程对智能卡在用户证书存储中存储证书的功能进行故障排除:**
1. 在无法访问证书的设备上,访问 Microsoft Management Console(MMC)。
**重要**
在继续操作之前,请创建智能卡证书的副本。
1. 导航到 MMC 中的证书存储。从证书存储中删除用户的智能卡证书。有关在 MMC 中查看证书存储的更多信息,请参阅 Microsoft 文档中的[操作方法:使用 MMC 管理单元查看证书](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)。
1. 移除智能卡。
1. 重新插入智能卡,使其可以在用户的证书存储中重新填充智能卡证书。
**警告**
如果智能卡没有将证书重新填充到用户存储中,则无法将其用于 WorkSpaces 智能卡身份验证。
AD Connector 的服务账户应具备以下条件:
+ `my/spn` 已添加到服务主体名称中
+ 为 LDAP 服务委派
在智能卡上重新填充证书后,应检查本地域控制器,以确定它们是否被阻止将用户主体名称(UPN)映射用于使用者可选名称。有关此更改的更多信息,请参阅 Microsoft 文档中的[如何禁用 UPN 映射的使用者可选名称](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-subject-alternative-name-upn-mapping)。
**按照以下过程检查您的域控制器的注册表项:**
+ 在**注册表编辑器**中,导航到以下配置单元项
**HKEY\$1LOCAL\$1MACHINE\$1 SYSTEM\$1\$1 服务\$1 Kdc\$1 CurrentControlSet UseSubjectAltName**
1. 检查以下项的值 UseSubjectAltName:
1. 如果该值设置为 **0**,则**禁用****使用者可选名称**映射,您必须将给定证书显式映射至仅 1 名用户。如果将证书映射至多个用户,而此值为 0,则使用该证书登录将失败。
1. 如果该值**未设置或设置为 1**,则必须将给定证书显式映射至仅 1 名用户,或使用**使用者可选名称**字段登录。
1. 如果证书上存在**使用者可选名称**字段,则会优先使用此字段内容。
1. 如果证书上不存在**使用者可选名称**字段,并且该证书已显式映射至多个用户,则使用该证书登录将失败。
**注意**
如果在本地域控制器上设置了注册表项,则 AD Connector 将无法在 Active Directory 中找到用户并导致出现上述错误消息。
证书颁发机构(CA)证书应上传到 AD Connector 智能卡证书。证书应包含 OCSP 信息。以下列出了 CA 的其他要求:
+ 证书应位于域控制器的可信根颁发机构、证书颁发机构服务器和 WorkSpaces。
+ 脱机证书和根 CA 证书将不包含 OSCP 信息。这些证书包含有关其吊销的信息。
+ 如果您使用第三方 CA 证书进行智能卡身份验证,则需要将 CA 和中间证书发布到 Active Directory NTAuth 存储区。它们必须安装在所有域控制器、证书颁发机构服务器和的可信根颁发机构中 WorkSpaces。
+ 您可以使用以下命令将证书发布到 Active Directory NTAuth 存储区:
```
certutil -dspublish -f Third_Party_CA.cer NTAuthCA
```
有关向 NTAuth 商店发布证书的更多信息,请参阅 Access A *mazon WorkSpaces 中的 “使用通用访问卡安装指南*[” 中将颁发的 CA 证书导入企业 NTAuth 商店](https://docs.aws.amazon.com//whitepapers/latest/access-workspaces-with-access-cards/import-the-issuing-ca-certificate-into-the-enterprise-ntauth-store.html)。
**您可以按照以下过程检查用户证书或 CA 链证书是否已通过 OCSP 验证:**
1. 将智能卡证书导出到本地计算机上的某个位置,例如 C: 驱动器。
1. 打开命令行提示符并导航到存储导出的智能卡证书的位置。
1. 输入以下命令:
```
certutil -URL Certficate_name.cer
```
1. 命令后应显示一个弹出窗口。选择右上角的 **OCSP 选项**,然后选择**检索**。状态应返回为已验证。
有关 certutil 命令的更多信息,请参阅 Microsoft 文档中的 [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil)
### AD Connector 使用的服务账户尝试进行身份验证时,我收到“Invalid Credentials”的错误消息
如果域控制器上的硬盘空间不足,则可能发生这种情况。确保域控制器的硬盘未满。
### 我在尝试更新 AD Connector 服务账户时,收到“An error has occurred”或“An unexpected error”
在 [Amazon Cons WorkSpaces ole Launch Wi](https://docs.aws.amazon.com//workspaces/latest/adminguide/launch-workspace-ad-connector.html#create-workspace-ad-connector) zard 等 AWS 企业应用程序中搜索用户时会出现以下错误或症状:
+ An Error Has Occurred。如果您仍然遇到问题,请通过社区论坛和 AWS Premium Support 与 AWS 支持 团队联系。
+ An Error Has Occurred。您的目录需要更新凭证。请更新目录凭证。
如果尝试在 AD Connector 更新 AD Connector 服务账户凭证,可能会收到以下错误消息:
+ Unexpected error. An unexpected error occurred.
+ An error occurred. 服务 account/password 组合出现错误。Please try again.
AD Connector 目录的服务账户位于客户管理的 Active Directory 中。该账户作为一种身份,用于代表 AWS 企业应用程序通过 AD Connector 对客户管理的 Active Directory 域执行查询和进行操作。AD Connector 使用 Kerberos 与 LDAP 来执行这些操作。
**下表解释了这些错误消息的含义:**
+ 时间同步和 Kerberos 可能存在问题。AD Connector 向 Active Directory 发送 Kerberos 身份验证请求。这些请求具有时效性,如果延迟处理,它们将会失败。确保任何客户管理的域控制器之间没有时间同步问题。要解决此问题,请参阅 Microsoft 文档中的[建议:使用权威时间源配置根 PDC 并避免普遍的时间偏差](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew)。有关时间服务和同步的更多信息,请参阅下文:
+ [Windows 时间服务的工作原理](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [计算机时钟同步的最大容差](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Windows 时间服务工具和设置](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
+ 在 AD Connector 和客户管理的域控制器之间,如果有存在网络 [MTU](https://support.microsoft.com/en-us/topic/the-default-mtu-sizes-for-different-network-topologies-b25262c5-d90f-456d-7647-e09192eeeef4) 限制的中间网络设备(例如防火墙或 VPN 硬件配置),则可能会由于[网络分段](https://en.wikipedia.org/wiki/IP_fragmentation)而产生此错误。
+ 要验证 MTU 限制,可在客户管理的域控制器和通过 AD Connector 连接的其中一个目录子网中启动的 Amazon EC2 实例之间,执行 [Ping 测试](https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/mtu-size-matters/1025286)。帧大小不应超过 1500 字节的默认大小
+ Ping 测试可帮助您了解帧大小是否超过 1500 字节(也称为巨型帧),以及能否在无需分段的情况下到达 AD Connector VPC 和子网。与您的网络团队进一步核实,并确保中间网络设备支持巨型帧。
+ 如果在 AD Connector 上启用[客户端 LDAPS](ad_connector_ldap_client_side.md),且证书已过期,则可能会遇到此问题。确保服务器端证书和 CA 证书均有效、未过期且符合[LDAPs文档](ad_connector_ldap_client_side.md#prereqs-ldap-client-side)中的要求。
+ 如果在客户管理的 Active Directory 域中禁用了[虚拟列表视图支持](https://learn.microsoft.com/en-us/windows/win32/controls/use-virtual-list-view-controls),则 AWS 应用程序将无法搜索用户,因为 AD Connector 在 LDAP 查询中使用 VLV 搜索。当 “禁用” 设置为非零值时,“虚拟列表视图支持” 将被禁用VLVSupport 。确保使用以下步骤,在 Active Directory 中启用[虚拟列表视图(VLV)支持](https://learn.microsoft.com/en-us/previous-versions/office/exchange-server-analyzer/cc540446(v=exchg.80)?redirectedfrom=MSDN):
1. 使用具有架构管理员凭证的账户,以主架构角色所有者的身份登录域控制器。
1. 选择**开始**、**运行**,输入 **Adsiedit.msc**。
1. 在 ADSI 编辑工具中,Connect 到**配置分区**,然后展开**配置 [DomainController]** 节点。
1. 展开 **cn=Configuration,DC DomainName ** = 容器。
1. 展开 **CN=Services** 对象。
1. 展开 **CN=Windows NT** 对象。
1. 选择 **CN=Directory Service** 对象。选择“**Properties**”。
1. 在属性列表中,选择 **msds-Other-Settings**。选择**编辑**。
1. 在 “值” 列表中,选择 “**禁用 VLVSupport =x”(其中 x** 不等于 **0**)的任何实例,然后选择 “**删除**”。
1. 移除后,输入 **DisableVLVSupport=0**。选择**添加**。
1. 选择**确定**。此时可以关闭 ADSI 编辑工具。下图显示了“ADSI 编辑”窗口中的“多值字符串编辑器”对话框:
![\[突出显示了带有多值字符串编辑器的 “ADSI 编辑” 对话框和 “禁用 VLVSupport =0”。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/DisableVLVSupport.png)
**注意**
在超过 10 万用户的大型 Active Directory 基础设施中,只能搜索特定的用户。但是,如果您尝试同时列出所有用户(例如,在 La ** WorkSpaces unch Wizard 中显示所有用户**),则即使启用了 VLV Support,也可能导致相同的错误。AD Connector 要求使用子树索引,对属性“CN”的结果进行排序。子树索引是一种索引类型,它为域控制器执行虚拟列表视图(LDAP)搜索操作做好准备,从而使 AD Connector 能够完成排序搜索。此索引改进了 VLV 搜索并防止使用名[MaxTempTableSize](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-set-ldap-policy-using-ntdsutil)为的临时数据库表。此表的大小可能有所不同,但默认情况下,最大条目数为 10000(默认查询策略的 MaxTempTableSize 设置)。增大 MaxTempTableSize 比使用子树索引效率低。为避免在大型 AD 环境中出现这些错误,建议使用子树索引。
按照以下步骤,您可以通过修改 Active Directory 架构中属性定义上的 s [earchflag](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867) s 属性来启用子树索引,其值 ADSEdit 为 65 (0x41):
1. 使用具有架构管理员凭证的账户,以主架构角色所有者的身份登录域控制器。
1. 选择**启动**、**运行**,输入 **Adsiedit.msc**。
1. 在 ADSI 编辑工具中,连接到**架构分区**。
1. 展开 **cn=Schema、cn=Configuration、DC= 容器**。DomainName
1. 找到 **Common-Name** 属性,右键单击并选择**属性**。
1. 找到 **searchFlags** 属性并将其值更改为,**65 (0x41)**以便与普通 SubTree 索引一起启用索引。
下图显示了 ADSI 编辑窗口中的 CN=Common-Name 属性对话框:
![\[ADSI 编辑对话框打开,突出显示 searchFlags 属性。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/SUBTREE_INDEX.png)
1. 选择**确定**。此时可以关闭 ADSI 编辑工具。
1. 为了进行确认,您应该能够看到一个事件 ID 1137(来源:Active Directory\$1DomainServices),这表明 AD 已成功为指定属性创建了新索引。
有关更多信息,请参阅 [Microsoft 文档](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867)。
### 在使用 AWS 应用程序搜索用户或群组时,我收到 “无法进行身份验证” 错误
即使在 AD Connector 状态处于活动状态时,搜索用户 WorkSpaces 或登录 AWS 应用程序(例如或 Quick)时也可能会遇到错误。如果 AD Connector 的服务账户的密码已更改或过期,AD Connector 就无法再查询 Active Directory 域。联系 AD 管理员并验证以下内容:
+ 检查 AD Connector 服务账户密码是否过期
+ 检查 AD Connector 服务账户是否未启用**用户下次登录时必须更改密码**选项。
+ 检查 AD Connector 服务账户是否锁定。
+ 如果不确定密码是已过期还是已更改,可以重置服务账户密码,也可以在 AD Connector 中[更新](ad_connector_update_creds.md)相同的密码。
### 当我尝试更新 AD Connector 服务账户时收到有关我的目录凭证的错误
尝试更新 AD Connector 服务账户时,您会收到类似于以下一条或多条内容的错误消息:
消息:出现错误您的目录需要更新凭据。请更新目录凭证。出现错误您的目录需要更新凭据。请在更新您的 AD Connector 服务帐户凭据消息后更新目录凭据信息:出现错误您的请求有问题。请查看以下详细信息。服务账号/密码组合出错
时间同步和 Kerberos 可能存在问题。AD Connector 向 Active Directory 发送 Kerberos 身份验证请求。这些请求具有时效性,如果延迟处理,它们将会失败。要解决此问题,请参阅 Microsoft 文档中的[建议:使用权威时间源配置根 PDC 并避免普遍的时间偏差](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew)。有关时间服务和同步的更多信息,请参阅下文:
+ [Windows 时间服务的工作原理](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [计算机时钟同步的最大容差](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Windows 时间服务工具和设置](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
### 我的某些用户无法进行向我的目录进行身份验证
用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,但它不应进行修改。有关此设置的更多信息,请转到开启的[预身份验证](http://technet.microsoft.com/en-us/library/cc961961.aspx)。Microsoft TechNet
## 维护问题
**以下是 AD Connector 的常见维护问题**
+ 我的目录卡在“Requested”状态
+ Amazon EC2 实例的无缝域加入导致停止工作
### 我的目录卡在“Requested”状态
如果有一个目录处于“Requested”状态的时间超过 5 分钟,请尝试删除并重新创建该目录。如果问题仍存在,请联系 [AWS 支持](https://aws.amazon.com/contact-us/)。
### Amazon EC2 实例的无缝域加入导致停止工作
如果 EC2 实例的无缝域加入之前正常工作,然后在 AD Connector 处于活动状态时停止,则表示您的 AD Connector 服务账户的凭证可能已过期。过期的凭证可能阻止 AD Connector 在您的 Active Directory 中创建计算机对象。
**要解决此问题,请按以下顺序更新服务账户密码,以使密码匹配:**
1. 在 Active Directory 中更新服务账户的密码。
1. 在 Directory Service的 AD Connector 中更新服务账户的密码。有关更多信息,请参阅 [在中更新您的 AD Connector 服务账号凭证 AWS 管理控制台](ad_connector_update_creds.md)。
**重要**
仅在中更新密码 Directory Service 不会将密码更改推送到您现有的本地 Active Directory,因此请务必按照上一个步骤中显示的顺序执行此操作。
## 我无法删除我的 AD Connector
如果您的 AD Connector 切换到不可操作状态,则您将无法再访问您的域控制器。当仍有应用程序链接到 AD Connector 时,我们会阻止将其删除,因为其中一个应用程序可能仍在使用该目录。有关为删除 AD Connector 而需要禁用的应用程序列表,请参阅[删除 AD Connector](ad_connector_delete.md)。如果您仍然无法删除 AD Connector,则可以通过 [AWS 支持](https://aws.amazon.com/contact-us/) 请求帮助。
## 调查 AD Connector 发布者的通用工具
可使用以下工具解决与创建、身份验证和连接相关的各种 AD Connector 问题:
**DirectoryServicePortTest 工具**
在排除 AD Connector 与客户托管的 Active Directory 或 DNS 服务器之间的连接问题时,该[DirectoryServicePortTest](samples/DirectoryServicePortTest.zip)测试工具可能很有用。有关如何使用此工具的更多信息,请参阅[测试 AD Connector](ad_connector_getting_started.md#connect_verification)。
**数据包捕获工具**
可使用内置的 Windows 软件包捕获实用程序([netsh](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129382(v=ws.11)))来调查和解决潜在的网络问题或 Active Directory 通信(ldap 和 kerberos)问题。有关更多信息,请参阅 [Capture a Network Trace without installing anything](https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503)。
**VPC 流日志**
为更好地了解从 AD Connector 接收和发送了哪些请求,可以为目录网络接口配置 [VPC 流日志](https://docs.aws.amazon.com//vpc/latest/userguide/working-with-flow-logs.html)。您可以通过描述来标识所有保留供使用的网络接口:`AWS created network interface for directory your-directory-id`. Directory Service
一个简单的用例是在使用客户管理的 Active Directory 域和大量域控制器创建 AD Connector 期间。可使用 VPC 流日志并按 Kerberos 端口(88)筛选,查明在客户管理的 Active Directory 中正在联系哪些域控制器进行身份验证。