本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 故障診斷 Connector for AD 錯誤代碼
<a name="c4adTroubleshootingError"></a>

Connector for AD 會傳送錯誤訊息有幾個原因。如需每個錯誤的資訊以及解決這些錯誤的建議，請參閱下表。您可以透過訂閱 Amazon EventBridge 排程器事件 （事件來源：`aws.pca-connector-ad`) 或使用 Windows 中的手動註冊來接收這些錯誤。


| 錯誤碼 | 根本原因 | 修補 | 
| --- | --- | --- | 
|  0x8FFFA000  |  Kerberos 身分驗證失敗。  |  請確定您的目錄是可存取的，且用戶端是使用者或電腦。如果您使用自動註冊，請修正您的 AWS 資源服務主體。如果您使用 Active Directory UI 取得憑證，請執行 `gpupdate /force`。  | 
|  0x8FFFA001  |  SOAP 訊息必須包含動作標頭。  |  新增動作標頭。  | 
|  0x8FFFA002  |  連接器無法存取其連接的私有 CA。  |  透過建立 AWS 資源存取管理員 (RAM) 來共用私有 CA 與連接器，以在私有 CA 與 Connector for AD 服務之間共用。  | 
|  0x8FFFA003  |  此連接器的私有 CA 未處於作用中狀態。  |  將私有 CA 移至作用中狀態。如果您的私有 CA 處於待定憑證狀態，請安裝 CA 憑證。  | 
|  0x8FFFA004  |  此連接器的私有 CA 不存在。  |  如果憑證授權機構處於已刪除狀態，請將憑證授權機構移至作用中狀態。如果您的私有 CA 已永久刪除，請使用不同的 CA 建立新的連接器。  | 
|  0x8FFFA005  |  範本指定了憑證主體的`directoryGuid`屬性或主體替代名稱，但在請求者的 AD 物件中找不到屬性。  |  Active Directory 不會`directoryGuid`為您的目錄產生 。Active Directory 中的故障診斷。  | 
|  0x8FFFA006  |  範本指定了憑證主體的`dnsHostName`屬性或主體替代名稱，但在請求者的 AD 物件中找不到屬性。  |  將 `dnsHostName` 屬性新增至 AD 物件。  | 
|  0x8FFFA007  |  範本指定要包含在憑證主體或主體替代名稱中的電子郵件屬性，但未在請求者的 AD 物件中找到屬性。  |  將電子郵件屬性新增至 AD 物件  | 
|  0x8FFFA008  |  SOAP 訊息必須具有 `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies`或 的動作標頭`http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep`。  |  更新動作標頭以使用其中一個指定的值。  | 
|  0x8FFFA009  |  BinarySecurityToken 必須在 中編碼`http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary`。  |  更新二進位安全字符類型。  | 
|  0x8FFFA00A  |  BinarySecurityToken 無效。  |  檢查 CSR 是否正確產生。  | 
|  0x8FFFA00B  |  BinarySecurityToken 的值類型必須為 `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7`或 `http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10`。  |  將二進位安全字符值類型更新為有效值。  | 
|  0x8FFFA00C  |  BinarySecurityToken 包含無效的 CMS。  |  Base64 有效，但密碼編譯訊息語法 (CMS) 無效。檢閱 CMS 語法。  | 
|  0x8FFFA00D  |  BinarySecurityToken 包含無效的 CSR。  |  檢查 CSR 是否正確產生。  | 
|  0x8FFFA00E  |  私有 CA 無法使用特定範本發行憑證。  |  從 檢閱驗證例外狀況 AWS 私有 CA。您可以在 Amazon EventBridge 或 中檢視驗證例外狀況 AWS CloudTrail。  | 
|  0x8FFFA00F  |  SOAP 訊息的請求類型必須為 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`。  |  將請求類型設定為 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`。  | 
|  0x8FFFA010  |  SOAP 訊息必須具有連接器`CertificateEnrollmentPolicyServerEndpoint`欄位的 到 標頭，或 XCEP 回應中的 URI 欄位。  |  將請求安全字符的標頭設定為 XCEP 回應中的 `CertificateEnrollmentPolicyServerEndpoint` 欄位或 URI 欄位。  | 
|  0x8FFFA011  |  SOAP 訊息只能有一個動作標頭。  |  檢閱請求安全字符的 SOAP 訊息標頭，並正確設定標頭。  | 
|  0x8FFFA012  |  SOAP 訊息只能有一個`messageId`標頭。  |  檢閱請求安全字符的 SOAP 訊息標頭，並正確設定標頭。  | 
|  0x8FFFA013  |  SOAP 訊息只能有一個 到 標頭。  |  檢閱請求安全字符的 SOAP 訊息標頭，並正確設定標頭。  | 
|  0x8FFFA014  |  請求者無法存取請求的範本。  |  透過建立存取控制項目，允許申請者的群組使用請求的範本註冊。  | 
|  0x8FFFA015  |  BinarySecurityToken 中必須有 `CertificateTemplateInformation`或 `CertificateTemplateName`延伸模組。  |  將安全延伸模組新增至您的 CSR。  | 
|  0x8FFFA016  |  找不到指定連接器的請求範本。  |  範本是每個連接器的子資源。使用 建立連接器的範本`createTemplate`。  | 
|  0x8FFFA017  |  由於請求調節，因此請求遭到拒絕。  |  降低請求率。  | 
|  0x8FFFA018  |  SOAP 訊息必須包含 `to`標頭。  |  檢閱 SOAP 訊息的標頭。  | 
|  0x8FFFA019  |  由於無法辨識的標頭，無法處理 SOAP 訊息。  |  檢閱 SOAP 訊息的標頭。  | 
|  0x8FFFA01A  |  範本指定要包含在憑證主體或主體替代名稱中的 UPN 屬性，但未在請求者的 AD 物件中找到屬性。  |  將 UPN 新增至 Active Directory 物件。  |