Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Probleme mit AWS Private CA Connector für Active Directory beheben
Verwenden Sie die Informationen hier, um Probleme mit AWS Private Certificate Authority Connector for AD zu diagnostizieren und zu beheben.
**Topics**
+ [Beheben Sie die Fehlercodes von Connector für AD](c4adTroubleshootingError.md)
+ [Beheben Sie Fehler bei der Erstellung von Connector for AD Connector](c4adTroubleshootingConnectorCreationFailure.md)
+ [Beheben Sie den Fehler beim Erstellen des Connectors für AD SPN](c4adTroubleshootingSpnFailure.md)
+ [Beheben Sie Probleme beim Update von Connector für AD-Vorlagen](c4adTroubleshootingUpdatedTemplate.md)
# Beheben Sie die Fehlercodes von Connector für AD
Der Connector für AD sendet aus verschiedenen Gründen Fehlermeldungen. Informationen zu den einzelnen Fehlern und Empfehlungen zu deren Behebung finden Sie in der folgenden Tabelle. Sie können diese Fehler erhalten, wenn Sie Amazon EventBridge Scheduler-Ereignisse abonnieren (Ereignisquelle:`aws.pca-connector-ad`) oder indem Sie die manuelle Registrierung in Windows verwenden.
| Fehlercode | Ursache | Abhilfe |
| --- | --- | --- |
| 0x8FFFA000 | Die Kerberos-Authentifizierung ist fehlgeschlagen. | Stellen Sie sicher, dass Ihr Verzeichnis erreichbar ist und der Client entweder ein Benutzer oder ein Computer ist. Wenn Sie die automatische Registrierung verwenden, korrigieren Sie Ihren AWS Resource Service Principal. Wenn Sie die Active Directory-Benutzeroberfläche verwenden, um ein Zertifikat zu erhalten, führen Sie es aus. `gpupdate /force` |
| 0x8FFFA001 | Die SOAP-Nachricht muss einen Aktionsheader enthalten. | Fügen Sie einen Aktionsheader hinzu. |
| 0x8FFFA002 | Der Connector hat keinen Zugriff auf die private CA, mit der er verbunden ist. | Teilen Sie Ihre private CA mit dem Connector, indem Sie einen AWS Resource Access Manager (RAM) für die gemeinsame Nutzung zwischen Ihrer privaten CA und dem Connector for AD-Dienst erstellen. |
| 0x8FFFA003 | Die private CA für diesen Connector ist nicht aktiv. | Versetzen Sie die private CA in den Status Aktiv. Wenn sich Ihre private Zertifizierungsstelle im Status „Ausstehendes Zertifikat“ befindet, installieren Sie das CA-Zertifikat. |
| 0x8FFFA004 | Die private CA für diesen Connector ist nicht vorhanden. | Versetzen Sie Ihre Zertifizierungsstelle in den Status Aktiv, wenn sie sich im Status Gelöscht befindet. Wenn Ihre private CA dauerhaft gelöscht ist, erstellen Sie einen neuen Connector mit einer anderen CA. |
| 0x8FFFA005 | In der Vorlage wurde das `directoryGuid` Attribut für den Antragsteller des Zertifikats oder der alternative Name des Antragstellers angegeben, aber das Attribut wurde im AD-Objekt für den Antragsteller nicht gefunden. | Active Directory hat keine `directoryGuid` für Ihr Verzeichnis generiert. Problembehandlung in Active Directory. |
| 0x8FFFA006 | In der Vorlage wurde das `dnsHostName` Attribut für den Antragsteller des Zertifikats oder der alternative Name des Antragstellers angegeben, aber das Attribut wurde im AD-Objekt für den Antragsteller nicht gefunden. | Fügen Sie das `dnsHostName` Attribut zu Ihrem AD-Objekt hinzu. |
| 0x8FFFA007 | In der Vorlage wurde das E-Mail-Attribut angegeben, das in den Betreff des Zertifikats oder in den alternativen Namen des Antragstellers aufgenommen werden soll, aber das Attribut wurde nicht im AD-Objekt für den Antragsteller gefunden. | Fügen Sie das E-Mail-Attribut zu Ihrem AD-Objekt hinzu |
| 0x8FFFA008 | Die SOAP-Nachricht muss den Aktionsheader entweder oder haben. `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies` `http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep` | Aktualisieren Sie den Aktionsheader, sodass er einen der angegebenen Werte verwendet. |
| 0x8FFFA009 | Das BinarySecurityToken muss codiert sein. `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary` | Aktualisieren Sie den Typ des binären Sicherheitstokens. |
| 0x8FFFA00A | Das ist ungültig BinarySecurityToken . | Vergewissern Sie sich, dass die CSR korrekt generiert wurde. |
| 0x8FFFA00B | Der BinarySecurityToken muss einen Wertetyp von entweder oder haben. `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7` `http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10` | Aktualisieren Sie den Werttyp des binären Sicherheitstokens auf einen gültigen Wert. |
| 0x8FFFA00C | Das enthaltene ungültige CMS. BinarySecurityToken | Das Base64-Format ist gültig, aber die kryptografische Nachrichtensyntax (CMS) ist ungültig. Überprüfen Sie die CMS-Syntax. |
| 0x8FFFA00D | Der BinarySecurityToken enthielt eine ungültige CSR. | Vergewissern Sie sich, dass die CSR korrekt generiert wurde. |
| 0x8FFFA00E | Die private Zertifizierungsstelle konnte kein Zertifikat mit der spezifischen Vorlage ausstellen. | Überprüfen Sie die Validierungsausnahme von AWS Private CA. Sie können die Validierungsausnahme in Amazon EventBridge oder einsehen AWS CloudTrail. |
| 0x8FFFA00F | Die SOAP-Nachricht muss den Anforderungstyp haben. `http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue` | Stellen Sie den Anforderungstyp auf ein`http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`. |
| 0x8FFFA010 | Die SOAP-Nachricht muss einen To-Header enthalten, der entweder das Feld des Connectors oder das `CertificateEnrollmentPolicyServerEndpoint` URI-Feld in der XCEP-Antwort enthält. | Setzen Sie den Header des Sicherheits-Tokens für die Anforderung entweder auf das `CertificateEnrollmentPolicyServerEndpoint` Feld oder auf das URI-Feld in der XCEP-Antwort. |
| 0x8FFFA011 | Die SOAP-Nachricht darf nur einen Aktionsheader haben. | Überprüfen Sie den SOAP-Nachrichtenheader des Sicherheits-Tokens für die Anforderung und legen Sie den Header korrekt fest. |
| 0x8FFFA012 | Die SOAP-Nachricht darf nur einen Header haben. `messageId` | Überprüfen Sie den SOAP-Nachrichtenheader des Sicherheits-Tokens für die Anforderung und legen Sie den Header korrekt fest. |
| 0x8FFFA013 | Die SOAP-Nachricht darf nur einen TO-Header haben. | Überprüfen Sie den SOAP-Nachrichtenheader des Sicherheits-Tokens für die Anforderung und legen Sie den Header korrekt fest. |
| 0x8FFFA014 | Der Anforderer hat keinen Zugriff auf die angeforderte Vorlage. | Erlauben Sie der Gruppe des Anfragenden, sich mithilfe der angeforderten Vorlage zu registrieren, indem Sie einen Access Control-Eintrag erstellen. |
| 0x8FFFA015 | Entweder die Erweiterung `CertificateTemplateInformation` oder die `CertificateTemplateName` Erweiterung muss in der vorhanden sein. BinarySecurityToken | Fügen Sie die Sicherheitserweiterung zu Ihrer CSR hinzu. |
| 0x8FFFA016 | Die angeforderte Vorlage wurde für den angegebenen Connector nicht gefunden. | Vorlagen sind untergeordnete Ressourcen für jeden Connector. Erstellen Sie die Vorlage für den Konnektor mithilfe von`createTemplate`. |
| 0x8FFFA017 | Die Anforderung wurde aufgrund der Drosselung von Anforderungen abgelehnt. | Verlangsamen Sie die Rate der Anfragen. |
| 0x8FFFA018 | Die SOAP-Nachricht muss einen Header enthalten. `to` | Überprüfen Sie den Header der SOAP-Nachricht. |
| 0x8FFFA019 | Die SOAP-Nachricht konnte aufgrund eines unbekannten Headers nicht verarbeitet werden. | Überprüfen Sie den Header der SOAP-Nachricht. |
| 0x8FFFA01A | In der Vorlage wurde angegeben, dass das UPN-Attribut in den Zertifikatsantrag oder den alternativen Namen des Antragstellers aufgenommen werden soll, aber das Attribut wurde im AD-Objekt für den Antragsteller nicht gefunden. | Fügen Sie dem Active Directory-Objekt einen UPN hinzu. |
# Beheben Sie Fehler bei der Erstellung von Connector for AD Connector
Die Erstellung eines Connectors für AD-Connectors kann aus verschiedenen Gründen fehlschlagen. Wenn die Erstellung des Connectors fehlschlägt, erhalten Sie den Grund für den Fehler in der API-Antwort. Wenn Sie die Konsole verwenden, wird der Grund für den Fehler auf der Seite mit den **Connector-Details** im Feld **Zusätzliche Statusdetails** im Container **Connector-Details** angezeigt. In der folgenden Tabelle werden die Gründe für Fehler und empfohlene Lösungsschritte beschrieben.
| Status des Fehlers | Beschreibung | Abhilfe |
| --- | --- | --- |
| CA\$1CERTIFICATE\$1REGISTRATION\$1FAILED | Connector for AD kann keine CA-Zertifikate in Ihr Verzeichnis importieren. | Überprüfen Sie die Seite mit den [Voraussetzungen](connector-for-ad-getting-started-prerequisites.md) und überprüfen Sie, ob Ihr Dienstkonto über die richtigen Berechtigungen verfügt. Nachdem Sie die richtigen Berechtigungen an Ihr Dienstkonto delegiert haben, löschen Sie den ausgefallenen Connector und erstellen Sie einen neuen. *Informationen zum Delegieren von Berechtigungen finden Sie unter [Delegieren von Rechten an Ihr Dienstkonto](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges) im AWS Directory Service Administratorhandbuch.* |
| DIRECTORY\$1ACCESS\$1DENIED | Der Connector für AD kann nicht auf Ihr Verzeichnis zugreifen. | Sie müssen Connector for AD Zugriff auf Ihr Verzeichnis gewähren. Lesen Sie den [Schritt 4: IAM-Richtlinie erstellen](connector-for-ad-getting-started-prerequisites.md#prereq-iam) Abschnitt, um sicherzustellen, dass Ihnen die mit Ihrem AWS Konto verknüpfte IAM-Richtlinie den Zugriff auf Verzeichnisse und deren Beschreibung ermöglicht. Nachdem Sie Ihrer AWS Rolle die richtigen Berechtigungen erteilt haben, löschen Sie den ausgefallenen Connector und erstellen Sie einen neuen. Wenn Sie Connector for AD mit einem AWS Directory Service AD Connector verwenden, stellen Sie sicher, dass das Passwort des AD Connector Connector-Dienstkontos nicht abgelaufen und gültig ist. Informationen zu AD Connector-Dienstkonten finden Sie unter [Erste Schritte mit AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html) im *AD Connector-Administrationshandbuch*. |
| INTERNAL\$1FAILURE | Beim Connector für AD ist ein interner Fehler aufgetreten. | Bitte versuchen Sie es später erneut. Löschen Sie den ausgefallenen Connector und erstellen Sie einen neuen. |
| INSUFFICIENT\$1FREE\$1ADDRESSES | Das VPC-Subnetz muss mindestens eine verfügbare private IP-Adresse haben. | Stellen Sie sicher, dass im Subnetz eine verfügbare private IP-Adresse vorhanden ist. Löschen Sie den ausgefallenen Connector und erstellen Sie einen neuen. |
| INVALID\$1SUBNET\$1IP\$1PROTOCOL | Connector for AD kann den Endpunkt auf Ihrer VPC nicht erstellen, da die mit Ihrem Verzeichnis verknüpften Subnetze den angegebenen IP-Adresstyp nicht unterstützen. | Stellen Sie sicher, dass die VPC und die Subnetze, die Ihr Verzeichnis hosten, den von Ihnen gewählten IP-Adresstyp unterstützen. Weitere Informationen finden Sie unter [IP-Adresstypen](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type). Löschen Sie den ausgefallenen Connector und erstellen Sie einen neuen mit dem unterstützten IP-Adresstyp. |
| PRIVATECA\$1ACCESS\$1DENIED | Connector für AD kann nicht auf Ihre private CA zugreifen. | Überprüfen Sie die Seite mit den [Voraussetzungen](connector-for-ad-getting-started-prerequisites.md) und überprüfen Sie, ob Sie über die erforderlichen Berechtigungen zum Erstellen eines Connectors verfügen. Weitere Informationen finden Sie unter [Schritt 4: IAM-Richtlinie erstellen](connector-for-ad-getting-started-prerequisites.md#prereq-iam). Wenn Sie einen AWS CLI Connector über unsere API erstellen, überprüfen Sie die Seite mit den [Voraussetzungen](connector-for-ad-getting-started-prerequisites.md) und überprüfen Sie, ob Sie die private CA mit Connector for AD geteilt haben AWS Resource Access Manager. Nachdem Sie die IAM-Berechtigungen und die gemeinsame Nutzung von AWS RAM Ressourcen überprüft und korrigiert haben, löschen Sie den fehlgeschlagenen Connector und erstellen Sie einen neuen. |
| PRIVATECA\$1RESOURCE\$1NOT\$1FOUND | Der Connector für AD kann die angegebene private CA nicht finden. | Stellen Sie sicher, dass Sie den richtigen [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) der privaten CA angeben, löschen Sie dann den ausgefallenen Connector und erstellen Sie einen neuen mit Ihrem beabsichtigten privaten CA-ARN. |
| SECURITY\$1GROUP\$1NOT\$1IN\$1VPC | Die Sicherheitsgruppe befindet sich nicht in der VPC, die Ihr Verzeichnis hostet. | Verwenden Sie eine Sicherheitsgruppe, die sich in der VPC befindet, die Ihr Verzeichnis hostet. Weitere Informationen finden Sie unter [Schritt 7: Sicherheitsgruppen konfigurieren](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups). Löschen Sie den ausgefallenen Connector und erstellen Sie einen neuen Connector mit einer Sicherheitsgruppe, die sich in der VPC befindet. |
| VPC\$1ACCESS\$1DENIED | Connector for AD kann nicht auf die Amazon VPC zugreifen, die Ihr Verzeichnis hostet. | Überprüfen Sie Ihre IAM-Berechtigungen. Löschen Sie den ausgefallenen Connector und erstellen Sie einen neuen. Ein Beispiel für eine IAM-Richtlinie, die Zugriffsberechtigungen beinhaltet, finden Sie unter [Schritt 4: IAM-Richtlinie erstellen](connector-for-ad-getting-started-prerequisites.md#prereq-iam) |
| VPC\$1ENDPOINT\$1LIMIT\$1EXCEEDED | Connector for AD kann keinen Endpunkt in Ihrer Amazon VPC erstellen. Sie haben das Limit an VPC-Endpunkten erreicht, die Sie für Ihr Konto erstellen können. | Löschen Sie Amazon VPC-Endpunkte oder fordern Sie eine Erhöhung des Limits an. Sobald Sie einen der beiden Schritte ausgeführt haben, löschen Sie den ausgefallenen Connector und erstellen Sie einen neuen. Informationen zu Kontingenten finden Sie unter [Amazon Virtual Private Cloud Service-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| VPC\$1RESOURCE\$1NOT\$1FOUND | Connector für AD kann die angegebene VPC nicht finden. | Stellen Sie sicher, dass Sie die richtige VPC angegeben haben und dass die VPC existiert. Löschen Sie dann den ausgefallenen Connector und erstellen Sie einen neuen mit der richtigen VPC-ID. |
# Beheben Sie den Fehler beim Erstellen des Connectors für AD SPN
Die Erstellung des Dienstprinzipalnamens (SPN) kann aus verschiedenen Gründen fehlschlagen. Wenn die SPN-Erstellung fehlschlägt, erhalten Sie den Grund für den Fehler in der API-Antwort. Wenn Sie die Konsole verwenden, wird die Fehlerursache auf der Seite mit den Connector-Details im Feld **Zusätzliche Statusdetails** im Container **Service Principal Name (SPN)** angezeigt. In der folgenden Tabelle werden die Fehlerursachen und empfohlene Lösungsschritte beschrieben.
| Status des Fehlers | Beschreibung | Abhilfe |
| --- | --- | --- |
| DIRECTORY\$1ACCESS\$1DENIED | Connector für AD kann nicht auf Ihr Verzeichnis zugreifen. | Gewähren Sie Connector for AD Zugriff auf Ihr Verzeichnis. Ein Beispiel für eine IAM-Richtlinie, die Berechtigungen beinhaltet, die Verzeichniszugriff gewähren, finden Sie unter[Schritt 4: IAM-Richtlinie erstellen](connector-for-ad-getting-started-prerequisites.md#prereq-iam). |
| DIRECTORY\$1NOT\$1REACHABLE | Connector für AD kann nicht auf Ihr Verzeichnis zugreifen. | Überprüfen Sie das Netzwerk zwischen AWS und Ihrem Verzeichnis und versuchen Sie erneut, einen SPN zu erstellen. |
| DIRECTORY\$1RESOURCE\$1NOT\$1FOUND | Connector für AD kann das angegebene Verzeichnis nicht finden. | Stellen Sie sicher, dass Sie die richtige Verzeichnis-ID angeben, löschen Sie dann den ausgefallenen Connector und erstellen Sie einen neuen mit der gewünschten Verzeichnis-ID. |
| INTERNAL\$1FAILURE | Beim Connector für AD ist ein interner Fehler aufgetreten. | Bitte versuchen Sie es später erneut. |
| SPN\$1EXISTS\$1ON\$1DIFFERENT\$1AD\$1OBJECT | Der Dienstprinzipalname (Service Principal Name, SPN) ist in einem anderen Active Directory-Objekt vorhanden. | Löschen Sie den SPN aus dem Active Directory-Objekt, und versuchen Sie erneut, den SPN zu erstellen. |
| SPN\$1LIMIT\$1EXCEEDED | Der Connector für AD kann den SPN nicht erstellen, da Sie das Limit von SPNs pro Verzeichnis erreicht haben. Die maximale Anzahl SPNs pro Verzeichnis ist 10. | Löschen Sie einen oder mehrere SPNs aus Ihrem Konto und versuchen Sie erneut, den SPN zu erstellen. |
# Beheben Sie Probleme beim Update von Connector für AD-Vorlagen
Wenn Sie Änderungen an Ihrer Vorlage oder Ihrem Eintrag für die Gruppenzugriffskontrolle vorgenommen haben, die Änderungen aber nicht angezeigt werden, liegt das möglicherweise an der Zwischenspeicherung von Richtlinien. AWS Private CA wendet die Vorlage auf Ihre Richtlinie an, wenn Ihr Client den Richtliniencache aktualisiert, was alle acht Stunden der Fall ist. Wenn Ihr Client den Cache aktualisiert, fragt er den Connector nach verfügbaren Vorlagen ab. Bei der ** automatischen Aktualisierung der Registrierung stellt der Client Zertifikate aus, die eine oder beide der folgenden Bedingungen erfüllen:
+ Das Zertifikat befindet sich innerhalb des Verlängerungszeitraums.
+ Das Zertifikat ist auf dem Client-Gerät nicht vorhanden.
Für die *manuelle Aktualisierung* fragt der Client den Connector ab, und Sie müssen die Vorlage so einrichten, dass sie ausgestellt wird.
Beim Debuggen können Sie den Richtliniencache manuell leeren, um sofort die Änderungen an der Vorlage zu sehen. Führen Sie dazu den folgenden Powershell-Befehl auf Ihrem Client aus.
```
certutil -f -user -policyserver * -policycache delete
```