本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 对 AD 错误代码的连接器进行故障排除
<a name="c4adTroubleshootingError"></a>

AD 连接器出于多种原因发送错误消息。有关每个错误的信息以及解决这些错误的建议，请参阅下表。您可以通过订阅 Amazon S EventBridge cheduler 事件（事件来源：`aws.pca-connector-ad`）或在 Windows 中使用手动注册来收到这些错误。


| 错误代码 | 根本原因 | 修复 | 
| --- | --- | --- | 
|  0x8FFFA000  |  Kerberos 身份验证失败。  |  确保您的目录可以访问，并且客户端是用户或计算机。如果您使用的是自动注册，请修复您的 AWS 资源服务主体。如果您使用 Active Directory UI 获取证书，请运行 `gpupdate /force`。  | 
|  0x8FFFA001  |  SOAP 消息必须包含操作标头。  |  添加操作标头。  | 
|  0x8FFFA002  |  连接器无法访问其所连接的私有 CA。  |  通过创建 AWS Resource Access Manager（RAM）在私有 CA 与 Connector for AD 服务之间共享，从而与连接器共享您的私有 CA。  | 
|  0x8FFFA003  |  此连接器的私有 CA 未激活。  |  将私有 CA 转为活动状态。如果您的私有 CA 处于待处理证书状态，则请安装 CA 证书。  | 
|  0x8FFFA004  |  此连接器的私有 CA 不存在。  |  如果您的证书颁发机构处于“已删除”状态，则请将其转为“活动”状态。如果您的私有 CA 被永久删除，则请使用其他 CA 创建一个新的连接器。  | 
|  0x8FFFA005  |  模板为证书使用者或使用者备用名称指定了 `directoryGuid` 属性，但在请求者的 AD 对象中找不到该属性。  |  Active Directory 没有为您的目录生成 `directoryGuid`。在 Active Directory 中进行故障排除。  | 
|  0x8FFFA006  |  模板为证书使用者或使用者备用名称指定了 `dnsHostName` 属性，但在请求者的 AD 对象中找不到该属性。  |  将 `dnsHostName` 属性添加到您的 AD 对象。  | 
|  0x8FFFA007  |  模板指定了要包含在证书使用者或使用者备用名称中的电子邮件属性，但在请求者的 AD 对象中找不到该属性。  |  将电子邮件属性添加到您的 AD 对象  | 
|  0x8FFFA008  |  SOAP 消息必须有 `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies` 或 `http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep` 的操作标头。  |  更新操作标头以使用其中一个指定值。  | 
|  0x8FFFA009  |   BinarySecurityToken 必须进行编码。`http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary`  |  更新二进制安全令牌类型。  | 
|  0x8FFFA00A  |   BinarySecurityToken 无效。  |  检查 CSR 是否正确生成。  | 
|  0x8FFFA00B  |  的值类型 BinarySecurityToken 必须为`http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7`或`http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10`。  |  将二进制安全令牌值类型更新为有效值。  | 
|  0x8FFFA00C  |   BinarySecurityToken 包含的内容管理系统无效。  |  Base64 有效，但加密消息语法（CMS）无效。检查 CMS 语法。  | 
|  0x8FFFA00D  |   BinarySecurityToken 包含无效的 CSR。  |  检查 CSR 是否正确生成。  | 
|  0x8FFFA00E  |  私有 CA 无法使用特定模板颁发证书。  |  查看来自的验证例外 AWS 私有 CA。您可以在 Amazon EventBridge 或 Amazon 上查看验证异常 AWS CloudTrail。  | 
|  0x8FFFA00F  |  SOAP 消息的请求类型必须为 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`。  |  将请求类型设置为 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`。  | 
|  0x8FFFA010  |  SOAP 消息必须有连接器 `CertificateEnrollmentPolicyServerEndpoint` 字段或 XCEP 响应中的 URI 字段的 to 标头。  |  将请求安全令牌的标头设置为 `CertificateEnrollmentPolicyServerEndpoint` 字段或 XCEP 响应中的 URI 字段。  | 
|  0x8FFFA011  |  SOAP 消息必须只有一个操作标头。  |  查看请求安全令牌的 SOAP 消息标头并正确设置标头。  | 
|  0x8FFFA012  |  SOAP 消息必须只有一个 `messageId` 标头。  |  查看请求安全令牌的 SOAP 消息标头并正确设置标头。  | 
|  0x8FFFA013  |  SOAP 消息必须只有一个 to 标头。  |  查看请求安全令牌的 SOAP 消息标头并正确设置标头。  | 
|  0x8FFFA014  |  请求者无权访问所请求的模板。  |  通过创建访问控制条目，允许请求者的组使用请求的模板进行注册。  | 
|  0x8FFFA015  |  `CertificateTemplateInformation`或`CertificateTemplateName`扩展名必须存在于中 BinarySecurityToken。  |  将安全扩展添加到您的 CSR。  | 
|  0x8FFFA016  |  找不到给定连接器请求的模板。  |  模板是每个连接器的子资源。使用 `createTemplate` 为连接器创建模板。  | 
|  0x8FFFA017  |  由于请求限制而导致请求被拒绝。  |  降低请求速率。  | 
|  0x8FFFA018  |  SOAP 消息必须包含 `to` 标头。  |  查看 SOAP 消息的标头。  | 
|  0x8FFFA019  |  由于标头无法识别，无法处理 SOAP 消息。  |  查看 SOAP 消息的标头。  | 
|  0x8FFFA01A  |  模板指定了要包含在证书使用者或使用者备用名称中的 UPN 属性，但在请求者的 AD 对象中找不到该属性。  |  将 UPN 添加到 Active Directory 对象。  |