本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Connector AWS 私有 CA for Active Directory 問題故障診斷
使用此處的資訊來協助您診斷和修正 AWS 私有憑證授權單位 Connector for AD 問題。
**Topics**
+ [故障診斷 Connector for AD 錯誤代碼](c4adTroubleshootingError.md)
+ [針對適用於 AD 連接器建立失敗的 Connector 進行故障診斷](c4adTroubleshootingConnectorCreationFailure.md)
+ [針對 Connector for AD SPN 建立失敗進行故障診斷](c4adTroubleshootingSpnFailure.md)
+ [故障診斷 Connector for AD 範本更新問題](c4adTroubleshootingUpdatedTemplate.md)
# 故障診斷 Connector for AD 錯誤代碼
Connector for AD 會傳送錯誤訊息有幾個原因。如需每個錯誤的資訊以及解決這些錯誤的建議,請參閱下表。您可以透過訂閱 Amazon EventBridge 排程器事件 (事件來源:`aws.pca-connector-ad`) 或使用 Windows 中的手動註冊來接收這些錯誤。
| 錯誤碼 | 根本原因 | 修補 |
| --- | --- | --- |
| 0x8FFFA000 | Kerberos 身分驗證失敗。 | 請確定您的目錄是可存取的,且用戶端是使用者或電腦。如果您使用自動註冊,請修正您的 AWS 資源服務主體。如果您使用 Active Directory UI 取得憑證,請執行 `gpupdate /force`。 |
| 0x8FFFA001 | SOAP 訊息必須包含動作標頭。 | 新增動作標頭。 |
| 0x8FFFA002 | 連接器無法存取其連接的私有 CA。 | 透過建立 AWS 資源存取管理員 (RAM) 來共用私有 CA 與連接器,以在私有 CA 與 Connector for AD 服務之間共用。 |
| 0x8FFFA003 | 此連接器的私有 CA 未處於作用中狀態。 | 將私有 CA 移至作用中狀態。如果您的私有 CA 處於待定憑證狀態,請安裝 CA 憑證。 |
| 0x8FFFA004 | 此連接器的私有 CA 不存在。 | 如果憑證授權機構處於已刪除狀態,請將憑證授權機構移至作用中狀態。如果您的私有 CA 已永久刪除,請使用不同的 CA 建立新的連接器。 |
| 0x8FFFA005 | 範本指定了憑證主體的`directoryGuid`屬性或主體替代名稱,但在請求者的 AD 物件中找不到屬性。 | Active Directory 不會`directoryGuid`為您的目錄產生 。Active Directory 中的故障診斷。 |
| 0x8FFFA006 | 範本指定了憑證主體的`dnsHostName`屬性或主體替代名稱,但在請求者的 AD 物件中找不到屬性。 | 將 `dnsHostName` 屬性新增至 AD 物件。 |
| 0x8FFFA007 | 範本指定要包含在憑證主體或主體替代名稱中的電子郵件屬性,但未在請求者的 AD 物件中找到屬性。 | 將電子郵件屬性新增至 AD 物件 |
| 0x8FFFA008 | SOAP 訊息必須具有 `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies`或 的動作標頭`http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep`。 | 更新動作標頭以使用其中一個指定的值。 |
| 0x8FFFA009 | BinarySecurityToken 必須在 中編碼`http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary`。 | 更新二進位安全字符類型。 |
| 0x8FFFA00A | BinarySecurityToken 無效。 | 檢查 CSR 是否正確產生。 |
| 0x8FFFA00B | BinarySecurityToken 的值類型必須為 `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7`或 `http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10`。 | 將二進位安全字符值類型更新為有效值。 |
| 0x8FFFA00C | BinarySecurityToken 包含無效的 CMS。 | Base64 有效,但密碼編譯訊息語法 (CMS) 無效。檢閱 CMS 語法。 |
| 0x8FFFA00D | BinarySecurityToken 包含無效的 CSR。 | 檢查 CSR 是否正確產生。 |
| 0x8FFFA00E | 私有 CA 無法使用特定範本發行憑證。 | 從 檢閱驗證例外狀況 AWS 私有 CA。您可以在 Amazon EventBridge 或 中檢視驗證例外狀況 AWS CloudTrail。 |
| 0x8FFFA00F | SOAP 訊息的請求類型必須為 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`。 | 將請求類型設定為 `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`。 |
| 0x8FFFA010 | SOAP 訊息必須具有連接器`CertificateEnrollmentPolicyServerEndpoint`欄位的 到 標頭,或 XCEP 回應中的 URI 欄位。 | 將請求安全字符的標頭設定為 XCEP 回應中的 `CertificateEnrollmentPolicyServerEndpoint` 欄位或 URI 欄位。 |
| 0x8FFFA011 | SOAP 訊息只能有一個動作標頭。 | 檢閱請求安全字符的 SOAP 訊息標頭,並正確設定標頭。 |
| 0x8FFFA012 | SOAP 訊息只能有一個`messageId`標頭。 | 檢閱請求安全字符的 SOAP 訊息標頭,並正確設定標頭。 |
| 0x8FFFA013 | SOAP 訊息只能有一個 到 標頭。 | 檢閱請求安全字符的 SOAP 訊息標頭,並正確設定標頭。 |
| 0x8FFFA014 | 請求者無法存取請求的範本。 | 透過建立存取控制項目,允許申請者的群組使用請求的範本註冊。 |
| 0x8FFFA015 | BinarySecurityToken 中必須有 `CertificateTemplateInformation`或 `CertificateTemplateName`延伸模組。 | 將安全延伸模組新增至您的 CSR。 |
| 0x8FFFA016 | 找不到指定連接器的請求範本。 | 範本是每個連接器的子資源。使用 建立連接器的範本`createTemplate`。 |
| 0x8FFFA017 | 由於請求調節,因此請求遭到拒絕。 | 降低請求率。 |
| 0x8FFFA018 | SOAP 訊息必須包含 `to`標頭。 | 檢閱 SOAP 訊息的標頭。 |
| 0x8FFFA019 | 由於無法辨識的標頭,無法處理 SOAP 訊息。 | 檢閱 SOAP 訊息的標頭。 |
| 0x8FFFA01A | 範本指定要包含在憑證主體或主體替代名稱中的 UPN 屬性,但未在請求者的 AD 物件中找到屬性。 | 將 UPN 新增至 Active Directory 物件。 |
# 針對適用於 AD 連接器建立失敗的 Connector 進行故障診斷
建立 AD 連接器的 連接器可能會因為各種原因而失敗。當連接器建立失敗時,您會在 API 回應中收到失敗原因。如果您使用的是 主控台,則失敗原因會顯示在 Connector **詳細資訊**容器中 內**的其他狀態詳細資訊**欄位下的 Connector **詳細資訊**頁面中。下表說明故障原因和建議的解決步驟。
| 失敗狀態 | 描述 | 修補 |
| --- | --- | --- |
| CA\$1CERTIFICATE\$1REGISTRATION\$1FAILED | Connector for AD 無法將 CA 憑證匯入您的目錄。 | 檢閱[先決條件](connector-for-ad-getting-started-prerequisites.md)頁面,並檢查您的服務帳戶是否具有適當的許可。將正確的許可委派給您的服務帳戶後,請刪除失敗的連接器並建立新的連接器。如需有關委派許可的資訊,請參閱《 *AWS Directory Service 管理指南*》中的將[權限委派給您的服務帳戶](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges)。 |
| DIRECTORY\$1ACCESS\$1DENIED | Connector for AD 無法存取您的目錄。 | 您必須授予 Connector for AD 存取您的目錄。檢閱 [步驟 4:建立 IAM 政策](connector-for-ad-getting-started-prerequisites.md#prereq-iam)區段,以確保您與 AWS 帳戶相關聯的 IAM 政策可讓您存取和描述目錄。將正確的許可授予您的 AWS 角色之後,請刪除失敗的連接器並建立新的連接器。 如果將 Connector for AD 與 AWS Directory Service AD Connector 搭配使用,請確定 AD Connector 服務帳戶的密碼未過期且有效。如需 AD Connector 服務帳戶的相關資訊,請參閱 [AD Connector 管理指南中的 AD Connector 入門](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html)。 ** |
| INTERNAL\$1FAILURE | Connector for AD 發生內部故障。 | 請稍後再試。刪除失敗的連接器並建立新的連接器。 |
| INSUFFICIENT\$1FREE\$1ADDRESSES | VPC 子網路必須至少有一個可用的私有 IP 地址。 | 確保子網路中有可用的私有 IP 地址。刪除失敗的連接器並建立新的連接器。 |
| INVALID\$1SUBNET\$1IP\$1PROTOCOL | Connector for AD 無法在您的 VPC 上建立端點,因為與您的目錄相關聯的子網路不支援指定的 IP 地址類型。 | 確保託管目錄的 VPC 和子網路支援您選擇的 IP 地址類型。如需詳細資訊,請參閱 [IP 地址類型](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type)。刪除失敗的連接器,並使用支援的 IP 地址類型建立新的連接器。 |
| PRIVATECA\$1ACCESS\$1DENIED | Connector for AD 無法存取您的私有 CA。 | 檢閱[先決條件](connector-for-ad-getting-started-prerequisites.md)頁面,並檢查您是否具有建立連接器的許可。如需相關資訊,請參閱 [步驟 4:建立 IAM 政策](connector-for-ad-getting-started-prerequisites.md#prereq-iam)。 如果您要透過 AWS CLI 或 API 建立連接器,請檢閱[先決條件](connector-for-ad-getting-started-prerequisites.md)頁面,並檢查您是否已使用 Connector for AD 共用私有 CA AWS Resource Access Manager。 檢查並修正 IAM 許可 AWS RAM 和資源共用之後,請刪除失敗的連接器並建立新的連接器。 |
| PRIVATECA\$1RESOURCE\$1NOT\$1FOUND | Connector for AD 找不到指定的私有 CA。 | 請確定您指定正確的私有 CA [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html),然後刪除失敗的連接器,並使用預期的私有 CA ARN 建立新的連接器。 |
| SECURITY\$1GROUP\$1NOT\$1IN\$1VPC | 安全群組不在託管目錄的 VPC 中。 | 使用託管目錄的 VPC 中的安全群組。如需詳細資訊,請參閱[步驟 7:設定安全群組](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups)。刪除失敗的連接器,並使用 VPC 中的安全群組建立新的連接器。 |
| VPC\$1ACCESS\$1DENIED | Connector for AD 無法存取託管目錄的 Amazon VPC。 | 檢查您的 IAM 許可。刪除失敗的連接器並建立新的連接器。如需包含存取許可的 IAM 政策範例,請參閱 [步驟 4:建立 IAM 政策](connector-for-ad-getting-started-prerequisites.md#prereq-iam) |
| VPC\$1ENDPOINT\$1LIMIT\$1EXCEEDED | Connector for AD 無法在 Amazon VPC 中建立端點。您已達到您可以為帳戶建立的 VPC 端點限制。 | 刪除 Amazon VPC 端點,或請求提高限制。完成兩個步驟的其中一個後,請刪除失敗的連接器並建立新的連接器。如需配額的相關資訊,請參閱 [Amazon Virtual Private Cloud Service 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。 |
| VPC\$1RESOURCE\$1NOT\$1FOUND | Connector for AD 找不到指定的 VPC。 | 請確定您指定了正確的 VPC,且 VPC 存在。然後刪除故障的連接器,並使用正確的 VPC ID 建立新的連接器。 |
# 針對 Connector for AD SPN 建立失敗進行故障診斷
服務主體名稱 (SPN) 建立可能會因為各種原因而失敗。當 SPN 建立失敗時,您會在 API 回應中收到失敗原因。如果您使用的是 主控台,則失敗原因會顯示在**服務主體名稱 (SPN)** 容器的其他**狀態詳細資訊**欄位下的連接器詳細資訊頁面中。下表說明故障原因和建議的解決步驟。
| 失敗狀態 | 描述 | 修補 |
| --- | --- | --- |
| DIRECTORY\$1ACCESS\$1DENIED | Connector for AD 無法存取您的目錄。 | 授予 Connector for AD 存取您的目錄。如需包含授予目錄存取許可的 IAM 政策範例,請參閱 [步驟 4:建立 IAM 政策](connector-for-ad-getting-started-prerequisites.md#prereq-iam)。 |
| DIRECTORY\$1NOT\$1REACHABLE | Connector for AD 無法存取您的目錄。 | 檢查 AWS 和 目錄之間的網路,然後再次嘗試建立 SPN。 |
| DIRECTORY\$1RESOURCE\$1NOT\$1FOUND | Connector for AD 找不到指定的目錄。 | 請確定您指定正確的目錄 ID,然後刪除故障的連接器,並使用您預期的目錄 ID 建立新的連接器。 |
| INTERNAL\$1FAILURE | Connector for AD 發生內部故障。 | 請稍後再試。 |
| SPN\$1EXISTS\$1ON\$1DIFFERENT\$1AD\$1OBJECT | 服務主體名稱 (SPN) 存在於不同的 Active Directory 物件上。 | 從 Active Directory 物件刪除 SPN,然後再次嘗試建立 SPN。 |
| SPN\$1LIMIT\$1EXCEEDED | Connector for AD 無法建立 SPN,因為您已達到每個目錄的 SPNs限制。每個目錄SPNs 數目上限為 10。 | 從您的帳戶刪除一或多個 SPNs,然後再次嘗試建立 SPN。 |
# 故障診斷 Connector for AD 範本更新問題
如果您變更範本或群組存取控制項目,但未看到變更,這可能是由於政策快取。當用戶端重新整理政策快取時, 會 AWS 私有 CA 套用範本到您的政策,也就是每 8 小時。當您的用戶端重新整理快取時,它會查詢連接器是否有可用的範本。在**自動註冊重新整理的情況下,用戶端會發出符合下列任一或兩個條件的憑證:
+ 憑證在續約期間內。
+ 憑證不存在於用戶端裝置上。
若要*手動重新整理*,用戶端會查詢連接器,而且您必須將範本設定為發行。
如果您要偵錯,您可以手動清除政策快取,以立即查看範本變更。若要這樣做,請在用戶端上執行下列 Powershell 命令。
```
certutil -f -user -policyserver * -policycache delete
```