Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memecahkan masalah AD Connector
<a name="ad_connector_troubleshooting"></a>

Berikut ini dapat membantu Anda memecahkan masalah umum yang mungkin Anda temui saat membuat atau menggunakan AD Connector.

**Topics**
+ [

## Masalah pembuatan
](#ad_connector_creation_issues)
+ [

## Masalah konektivitas
](#ad_connector_connectivity_issues)
+ [

## Masalah otentikasi
](#ad_connector_auth_issues)
+ [

## Masalah pemeliharaan
](#ad_connector_maintenance_issues)
+ [

## Saya tidak dapat menghapus AD Connector
](#delete_ad_connector)
+ [

## Alat umum untuk menyelidiki emiten AD Connector
](#ad_connector_troubleshooting_tools)

## Masalah pembuatan
<a name="ad_connector_creation_issues"></a>

**Berikut ini adalah masalah pembuatan yang umum untuk AD Connector**
+ [Saya menerima kesalahan “AZ Dibatasi” saat saya membuat direktori](#contrained_az2)
+ [Saya menerima kesalahan “Masalah konektivitas terdeteksi” ketika saya mencoba membuat AD Connector](#ad_creation_connectivity_issues)

### Saya menerima kesalahan “AZ Dibatasi” saat saya membuat direktori
<a name="contrained_az2"></a>

Beberapa AWS akun yang dibuat sebelum 2012 mungkin memiliki akses ke Availability Zones di Wilayah AS Timur (Virginia N.), AS Barat (California N.), atau Asia Pasifik (Tokyo) yang tidak mendukung Directory Service direktori. Jika Anda menerima kesalahan seperti ini saat membuat Active Directory, pilih subnet di Availability Zone yang berbeda dan coba buat direktori lagi.

### Saya menerima kesalahan “Masalah konektivitas terdeteksi” ketika saya mencoba membuat AD Connector
<a name="ad_creation_connectivity_issues"></a>

Jika Anda menerima kesalahan “Masalah konektivitas terdeteksi” saat mencoba membuat Konektor AD, kesalahan mungkin karena ketersediaan port atau kompleksitas kata sandi AD Connector. Anda dapat menguji koneksi Konektor AD untuk melihat apakah port berikut tersedia:
+ 53 (DNS)
+ 88 (Kerberos)
+ 389 (LDAP)

 Untuk menguji koneksi Anda, lihat[Uji AD Connector Anda](ad_connector_getting_started.md#connect_verification). Tes koneksi harus dilakukan pada instance yang digabungkan ke kedua subnet yang terkait dengan alamat IP Konektor AD.

Jika tes koneksi berhasil dan instance bergabung dengan domain, periksa kata sandi Konektor AD Anda. AD Connector harus memenuhi persyaratan kompleksitas AWS kata sandi. Untuk informasi selengkapnya, lihat Akun layanan di[Prasyarat AD Connector](ad_connector_getting_started.md#prereq_connector).

Jika AD Connector Anda tidak memenuhi persyaratan ini, buat ulang AD Connector Anda dengan kata sandi yang sesuai dengan persyaratan ini.

### Saya menerima “Kesalahan layanan internal telah ditemukan saat menghubungkan direktori. Silakan coba lagi operasinya.” kesalahan saat saya membuat AD Connector
<a name="internal_svc_error"></a>

Kesalahan ini biasanya terjadi ketika AD Connector gagal membuat dan tidak dapat terhubung ke pengontrol domain yang valid untuk domain Direktori Aktif yang dikelola sendiri. 

**catatan**  
Sebagai [praktik terbaik](ad_connector_best_practices.md#ad_connector_config_onprem), jika jaringan yang dikelola sendiri memiliki Situs Direktori Aktif yang ditentukan, Anda harus memastikan hal-hal berikut:  
Subnet VPC tempat AD Connector Anda berada ditentukan di Situs Direktori Aktif.
Tidak ada konflik antara subnet VPC Anda dan subnet di situs Anda yang lain.

AD Connector menggunakan Situs Direktori Aktif yang rentang alamat IP subnetnya dekat dengan VPC yang berisi AD Connector untuk menemukan pengontrol domain AD Anda. Jika Anda memiliki situs yang subnetnya memiliki rentang alamat IP yang sama dengan yang ada di VPC Anda, AD Connector akan menemukan pengontrol domain di situs tersebut. Pengontrol domain mungkin secara fisik tidak dekat dengan Wilayah tempat Konektor AD Anda berada. 
+ Ketidakkonsistenan dalam catatan DNS SRV (Catatan ini menggunakan sintaks berikut: `_ldap._tcp.<DnsDomainName>` dan`_kerberos._tcp.<DnsDomainName>`) yang dibuat dalam domain Active Directory yang dikelola pelanggan. Ini dapat terjadi ketika AD Connector tidak dapat menemukan dan terhubung ke pengontrol domain yang valid berdasarkan catatan SRV ini. 
+ Masalah jaringan antara AD Connector dan AD yang dikelola pelanggan seperti perangkat firewall. 

Anda dapat menggunakan [pengambilan paket jaringan](https://techcommunity.microsoft.com/blog/iis-support-blog/capture-a-network-trace-without-installing-anything--capture-a-network-trace-of-/376503) pada pengontrol domain, server DNS, dan log aliran VPC dari antarmuka jaringan direktori untuk menyelidiki masalah ini. Hubungi [AWS Dukungan](https://docs.aws.amazon.com//awssupport/latest/user/case-management.html)untuk bantuan lebih lanjut. 

## Masalah konektivitas
<a name="ad_connector_connectivity_issues"></a>

**Berikut ini adalah masalah konektivitas umum untuk AD Connector**
+ [Saya menerima kesalahan "Masalah hubungan terdeteksi" ketika mencoba menghubungkan ke direktori on-premise saya](#connectivity_issues_detected)
+ [Saya menerima error “DNS tidak tersedia” ketika mencoba menghubungkan ke direktori on-premise saya](#dns_unavailable)
+ [Saya menerima error “catatan SRV” ketika mencoba menghubungkan ke direktori on-premise saya](#srv_record_not_found)

### Saya menerima kesalahan "Masalah hubungan terdeteksi" ketika mencoba menghubungkan ke direktori on-premise saya
<a name="connectivity_issues_detected"></a>

Anda menerima pesan galat yang mirip dengan berikut ini saat menyambung ke direktori lokal Anda: Masalah konektivitas terdeteksi: LDAP tidak tersedia (port TCP 389) untuk IP: *<IP address>* Kerberos/authentication tidak tersedia (port TCP 88) untuk IP: *<IP address>* Pastikan port yang terdaftar tersedia dan coba lagi operasi.

AD Connector harus dapat berkomunikasi dengan pengendali domain on-premise Anda melalui TCP dan UDP melewati port-port berikut. Verifikasi bahwa grup keamanan dan firewall on-premise mengizinkan komunikasi TCP dan UDP melewati port-port ini. Untuk informasi selengkapnya, lihat [Prasyarat AD Connector](ad_connector_getting_started.md#prereq_connector).
+ 88 (Kerberos)
+ 389 (LDAP)

Anda mungkin memerlukan TCP/UDP port tambahan tergantung pada kebutuhan Anda. Lihat daftar berikut untuk beberapa port ini. Untuk informasi selengkapnya tentang port yang digunakan oleh Active Directory, lihat [Cara mengonfigurasi firewall untuk domain Active Directory dan trust dalam Microsoft dokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts).
+ 135 (Pemetaan Titik Akhir RPC)
+ 646 (LDAP SSL)
+ 3268 (LDAP GC)
+ 3269 (LDAP GC SSL)

### Saya menerima error “DNS tidak tersedia” ketika mencoba menghubungkan ke direktori on-premise saya
<a name="dns_unavailable"></a>

Anda menerima pesan error yang serupa dengan yang berikut ini saat menghubungkan ke direktori on-premise Anda:

```
DNS unavailable (TCP port 53) for IP: <DNS IP address>
```

AD Connector harus dapat berkomunikasi dengan server DNS on-premise Anda melalui TCP dan UDP melewati port 53. Verifikasi bahwa grup keamanan dan firewall on-premise mengizinkan komunikasi TCP dan UDP melewati port ini. Untuk informasi selengkapnya, lihat [Prasyarat AD Connector](ad_connector_getting_started.md#prereq_connector).

### Saya menerima error “catatan SRV” ketika mencoba menghubungkan ke direktori on-premise saya
<a name="srv_record_not_found"></a>

Anda menerima pesan error yang serupa dengan satu atau beberapa berikut ini saat menghubungkan ke direktori on-premise Anda:

```
SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>
```

AD Connector perlu memperoleh catatan SRV `_ldap._tcp.<DnsDomainName>` dan `_kerberos._tcp.<DnsDomainName>` saat menghubungkan ke direktori Anda. Anda akan mendapatkan error ini jika layanan tidak dapat memperoleh catatan ini dari server DNS yang Anda tentukan saat menghubungkan ke direktori Anda. Untuk informasi selengkapnya mengenai catatan SRV ini, lihat [SRV record requirements](ad_connector_getting_started.md#srv_records).

## Masalah otentikasi
<a name="ad_connector_auth_issues"></a>

**Berikut adalah beberapa masalah otentikasi umum dengan AD Connector:**
+ [Saya menerima kesalahan “Validasi Sertifikat gagal” ketika saya mencoba masuk Amazon WorkSpaces dengan kartu pintar](#cert_validation_failure)
+ [Saya menerima error “Kredensial Tidak Valid” saat akun layanan yang digunakan oleh AD Connector mencoba untuk mengautentikasi](#invalid_creds)
+ [Saya menerima kesalahan “Tidak Dapat Mengautentikasi” saat menggunakan AWS aplikasi untuk mencari pengguna atau grup](#fails_when_searching)
+ [Saya menerima kesalahan tentang kredensyal direktori saya ketika saya mencoba memperbarui akun layanan AD Connector](#error_with_ad_creds)
+ [Beberapa pengguna saya tidak dapat mengautentikasi dengan direktori saya](#kerberos_preauth2)

### Saya menerima kesalahan “Validasi Sertifikat gagal” ketika saya mencoba masuk Amazon WorkSpaces dengan kartu pintar
<a name="cert_validation_failure"></a>

Anda menerima pesan galat yang mirip dengan berikut ini ketika Anda mencoba masuk ke kartu pintar Anda WorkSpaces : **ERROR**: Validasi Sertifikat gagal. Silakan coba lagi dengan me-restart browser atau aplikasi Anda dan pastikan Anda memilih sertifikat yang benar. Kesalahan terjadi jika sertifikat kartu pintar tidak disimpan dengan benar pada klien yang menggunakan sertifikat. Untuk informasi selengkapnya tentang AD Connector dan persyaratan kartu pintar, lihat[Prasyarat](ad_connector_clientauth.md#prereqs-clientauth).

**Gunakan prosedur berikut untuk memecahkan masalah kemampuan kartu pintar untuk menyimpan sertifikat di toko sertifikat pengguna:**

1. Pada perangkat yang mengalami kesulitan mengakses sertifikat, akses Microsoft Management Console (MMC).
**penting**  
Sebelum bergerak maju, buat salinan sertifikat kartu pintar.

1. Arahkan ke toko sertifikat di MMC. Hapus sertifikat kartu pintar pengguna dari toko sertifikat. Untuk informasi selengkapnya tentang melihat penyimpanan sertifikat di MMC, lihat [Cara: Melihat sertifikat dengan snap-in MMC dalam](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in) dokumentasi. Microsoft

1. Lepaskan kartu pintar.

1. Masukkan kembali kartu pintar sehingga dapat mengisi kembali sertifikat kartu pintar di toko sertifikat pengguna.
**Awas**  
Jika kartu pintar tidak mengisi kembali sertifikat ke toko pengguna maka tidak dapat digunakan untuk otentikasi kartu WorkSpaces pintar.

Akun Layanan Konektor AD harus memiliki yang berikut:
+ `my/spn`ditambahkan ke Nama Prinsip Layanan
+ Delegasikan untuk layanan LDAP

Setelah sertifikat diisi kembali pada kartu pintar, pengontrol domain on-premise harus diperiksa untuk menentukan apakah mereka diblokir dari pemetaan Nama Utama Pengguna (UPN) untuk Nama Alternatif Subjek. Untuk informasi selengkapnya tentang perubahan ini, lihat [Cara menonaktifkan Nama Alternatif Subjek untuk pemetaan UPN dalam Microsoft dokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-subject-alternative-name-upn-mapping).

**Gunakan prosedur berikut untuk memeriksa kunci registri pengontrol domain Anda:**
+ Di **Editor Registri**, arahkan ke kunci sarang berikut

  **HKEY\$1LOCAL\$1MACHINE\$1 SISTEM\$1\$1 Layanan\$1 Kdc\$1 CurrentControlSet UseSubjectAltName**

  1. Periksa nilai: UseSubjectAltName

    1. Jika nilainya disetel ke **0**, maka pemetaan **Nama Alternatif Subjek** **dinonaktifkan** dan Anda harus secara eksplisit memetakan sertifikat yang diberikan hanya ke 1 pengguna. Jika sertifikat dipetakan ke beberapa pengguna dan nilai ini adalah 0, login dengan sertifikat itu akan gagal.

    1. Jika nilainya **tidak disetel atau disetel ke 1**, Anda harus secara eksplisit memetakan sertifikat yang diberikan hanya ke 1 pengguna atau menggunakan bidang **Nama Alternatif Subjek** untuk login.

       1. Jika bidang **Nama Alternatif Subjek** ada pada sertifikat, itu akan diprioritaskan.

       1. Jika bidang **Nama Alternatif Subjek** tidak ada pada sertifikat dan sertifikat secara eksplisit dipetakan ke lebih dari satu pengguna, login dengan sertifikat itu akan gagal.

**catatan**  
Jika kunci registri diatur pada Pengontrol Domain on-premise maka AD Connector tidak akan dapat menemukan pengguna di Active Directory dan menghasilkan pesan kesalahan di atas.

Sertifikat Otoritas Sertifikat (CA) harus diunggah ke sertifikat kartu pintar AD Connector. Sertifikat harus berisi informasi OCSP. Berikut daftar persyaratan tambahan untuk CA: 
+ Sertifikat harus berada di Otoritas Root Tepercaya dari Pengontrol Domain, Server Otoritas Sertifikat, dan WorkSpaces.
+ Sertifikat Offline dan Root CA tidak akan berisi informasi OSCP. Sertifikat ini berisi informasi tentang pencabutan mereka.
+ Jika Anda menggunakan sertifikat CA pihak ketiga untuk otentikasi kartu pintar, maka CA dan sertifikat perantara harus dipublikasikan ke NTAuth toko Active Directory. Mereka harus diinstal di otoritas root tepercaya untuk semua pengontrol domain, server otoritas sertifikat, dan WorkSpaces.
  + Anda dapat menggunakan perintah ikuti untuk mempublikasikan sertifikat ke NTAuth toko Active Directory:

    

    ```
    certutil -dspublish -f Third_Party_CA.cer NTAuthCA
    ```

Untuk informasi selengkapnya tentang menerbitkan sertifikat ke NTAuth toko, lihat [Mengimpor sertifikat CA yang diterbitkan ke NTAuth toko Enterprise di](https://docs.aws.amazon.com//whitepapers/latest/access-workspaces-with-access-cards/import-the-issuing-ca-certificate-into-the-enterprise-ntauth-store.html) *Access Amazon WorkSpaces dengan Panduan Instalasi Kartu Akses Umum*.

**Anda dapat memeriksa untuk melihat apakah sertifikat pengguna atau sertifikat rantai CA diverifikasi oleh OCSP dengan mengikuti prosedur ini:**

1. Ekspor sertifikat kartu pintar ke lokasi di mesin lokal seperti drive C:.

1. Buka prompt Baris Perintah dan arahkan ke lokasi penyimpanan sertifikat kartu pintar yang diekspor.

1. Masukkan perintah berikut:

   ```
   certutil -URL Certficate_name.cer
   ```

1. Jendela pop-up akan muncul mengikuti perintah. Pilih **opsi OCSP** di sudut kanan dan pilih **Ambil**. Status harus kembali seperti yang diverifikasi.

Untuk informasi lebih lanjut tentang perintah certutil, lihat [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) dalam dokumentasi Microsoft

### Saya menerima error “Kredensial Tidak Valid” saat akun layanan yang digunakan oleh AD Connector mencoba untuk mengautentikasi
<a name="invalid_creds"></a>

Hal ini dapat terjadi jika hard drive pada pengendali domain Anda kehabisan ruang. Pastikan bahwa hard drive pengendali domain Anda tidak penuh.

### Saya menerima “Kesalahan telah terjadi” atau “Kesalahan tak terduga” ketika saya mencoba memperbarui akun layanan AD Connector
<a name="error_unexpected_error"></a>

 Kesalahan atau gejala berikut terjadi saat mencari pengguna di Aplikasi AWS Perusahaan seperti [Amazon WorkSpaces Console Launch Wizard](https://docs.aws.amazon.com//workspaces/latest/adminguide/launch-workspace-ad-connector.html#create-workspace-ad-connector):
+ Telah Terjadi Kesalahan. Jika Anda terus mengalami masalah, hubungi AWS Dukungan Tim di forum komunitas dan melalui Dukungan AWS Premium.
+ Telah Terjadi Kesalahan. Direktori Anda membutuhkan pembaruan kredensi. Harap perbarui kredensil direktori.

 Jika Anda mencoba memperbarui kredensyal akun layanan AD Connector di AD Connector, Anda mungkin menerima pesan galat berikut:
+ Kesalahan tak terduga. Terjadi kesalahan tak terduga.
+ Terjadi kesalahan. Ada kesalahan dengan account/password kombinasi layanan. Silakan coba lagi.

Akun layanan direktori AD Connector berada di Active Directory yang dikelola pelanggan. Akun digunakan sebagai identitas untuk melakukan kueri dan operasi pada domain Active Directory yang dikelola pelanggan melalui AD Connector atas nama Aplikasi AWS Perusahaan. AD Connector menggunakan Kerberos dan LDAP untuk melakukan operasi ini.

**Daftar berikut menjelaskan apa arti pesan kesalahan ini:**
+ Mungkin ada masalah dengan sinkronisasi waktu dan Kerberos. AD Connector mengirimkan permintaan otentikasi Kerberos ke Active Directory. Permintaan ini sensitif terhadap waktu dan jika permintaan ditunda, mereka akan gagal. Pastikan tidak ada masalah sinkronisasi waktu antara pengontrol domain yang dikelola pelanggan. Untuk mengatasi masalah ini, lihat [Rekomendasi - Mengonfigurasi Root PDC dengan Sumber Waktu Otoritatif dan Hindari Kemiringan Waktu Luas](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew) dalam dokumentasi. Microsoft Untuk informasi selengkapnya tentang layanan waktu dan sinkronisasi, lihat berikut ini:
  +  [Bagaimana Layanan Windows Waktu Bekerja](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
  + [Toleransi maksimum untuk sinkronisasi jam komputer](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
  + [WindowsAlat dan pengaturan layanan waktu](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
+ [Perangkat jaringan perantara, dengan pembatasan [MTU](https://support.microsoft.com/en-us/topic/the-default-mtu-sizes-for-different-network-topologies-b25262c5-d90f-456d-7647-e09192eeeef4) jaringan, seperti konfigurasi perangkat keras Firewall atau VPN, antara AD Connector dan pengontrol domain yang dikelola pelanggan, dapat menyebabkan kesalahan ini karena fragmentasi jaringan.](https://en.wikipedia.org/wiki/IP_fragmentation)
  + Untuk memverifikasi pembatasan MTU, Anda dapat melakukan [pengujian Ping](https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/mtu-size-matters/1025286) antara pengontrol domain terkelola pelanggan dan instans Amazon EC2 yang diluncurkan di salah satu subnet direktori yang terhubung melalui AD Connector. Ukuran bingkai tidak boleh lebih besar dari ukuran default 1500 Bytes
  + Tes ping akan membantu Anda memahami apakah ukuran bingkai lebih dari 1500 byte (juga dikenal sebagai bingkai Jumbo) dan mereka dapat mencapai AD Connector VPC dan subnet tanpa perlu fragmentasi. Verifikasi lebih lanjut dengan tim jaringan Anda dan pastikan bahwa bingkai Jumbo diizinkan di perangkat jaringan perantara. 
+ Anda mungkin menghadapi masalah ini, jika [LDAPS sisi klien diaktifkan di](ad_connector_ldap_client_side.md) AD Connector, dan sertifikat kedaluwarsa. Pastikan sertifikat sisi server dan sertifikat CA valid, belum kedaluwarsa, dan memenuhi persyaratan sesuai [LDAPsdokumentasi](ad_connector_ldap_client_side.md#prereqs-ldap-client-side).
+ Jika [Virtual List View Support](https://learn.microsoft.com/en-us/windows/win32/controls/use-virtual-list-view-controls) dinonaktifkan di domain Active Directory yang dikelola pelanggan, maka AWS Aplikasi tidak akan dapat mencari pengguna karena AD Connector menggunakan pencarian VLV dalam kueri LDAP. Dukungan Tampilan Daftar Virtual dinonaktifkan ketika Nonaktifkan VLVSupport diatur ke nilai bukan nol. Pastikan [Dukungan Virtual List View (VLV](https://learn.microsoft.com/en-us/previous-versions/office/exchange-server-analyzer/cc540446(v=exchg.80)?redirectedfrom=MSDN)) diaktifkan di Active Directory menggunakan langkah-langkah berikut:

  1.  Masuk ke Pengontrol Domain sebagai pemilik peran master skema menggunakan akun dengan kredensyal Admin Skema.

  1. Pilih **Mulai** dan kemudian **Jalankan**, dan masukkan**Adsiedit.msc**.

  1.  Di alat Edit ADSI, Connect to **Configuration Partition**, dan perluas node **Configuration [DomainController]**.

  1. Perluas **CN = konfigurasi, DC DomainName =** wadah.

  1.  Perluas objek **CN=Services**.

  1.  Perluas objek **CN = Windows NT**.

  1. Pilih objek **CN=Directory Service**. Pilih **Properti**.

  1. Dalam daftar Atribut, pilih **MSDS-Other-Settings**. Pilih **Edit**.

  1.  Dalam daftar Nilai, pilih contoh **Nonaktifkan VLVSupport = x** di mana x tidak sama dengan **0**, dan pilih **Hapus**.

  1.  Setelah menghapus, masukkan**DisableVLVSupport=0**. Pilih **Tambahkan**.

  1. Pilih **OK**. Anda dapat menutup alat Edit ADSI. Gambar berikut menunjukkan kotak dialog Editor String Multi-nilai di jendela Edit ADSI:  
![\[ADSI Edit kotak dialog dengan Multi-value String editor dan Nonaktifkan VLVSupport = 0 disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/DisableVLVSupport.png)
**catatan**  
Dalam infrastruktur Active Directory besar dengan lebih dari 100.000 pengguna, Anda mungkin hanya dapat mencari pengguna tertentu. Namun, jika Anda mencoba mencantumkan semua pengguna (Misalnya, **Tampilkan Semua Pengguna di WorkSpaces Launch Wizard**) sekaligus, itu mungkin mengakibatkan kesalahan yang sama meskipun Dukungan VLV diaktifkan. AD Connector mengharuskan hasil diurutkan untuk atribut “CN” menggunakan Subtree Index. Indeks Subtree adalah jenis indeks yang mempersiapkan pengontrol domain untuk melakukan operasi pencarian Virtual List View (LDAP) yang memungkinkan AD Connector menyelesaikan pencarian yang diurutkan. Indeks ini meningkatkan pencarian VLV dan mencegah penggunaan tabel database sementara yang disebut. [MaxTempTableSize](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-set-ldap-policy-using-ntdsutil) Ukuran tabel ini dapat bervariasi, tetapi secara default jumlah maksimum entri adalah 10000 ( MaxTempTableSize pengaturan Kebijakan Kueri Default). Meningkatkan kurang efisien daripada menggunakan Pengindeksan Subtree. MaxTempTableSize Untuk menghindari kesalahan ini di lingkungan AD yang besar, disarankan untuk menggunakan Subtree Indexing. 

Anda dapat mengaktifkan indeks Subtree dengan memodifikasi atribut [searchflags](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867) pada definisi atribut, dalam skema Active Directory, dengan nilai 65 (0x41), menggunakan langkah-langkah berikut: ADSEdit 

1. Masuk ke Pengontrol Domain sebagai pemilik peran master skema menggunakan akun dengan kredensyal Admin Skema. 

1.  Pilih **Mulai** dan **Jalankan**, masukkan**Adsiedit.msc**.

1. Di alat Edit ADSI, sambungkan ke Partisi **Skema**. 

1. Perluas **CN = skema, CN = konfigurasi, DC = wadah**. DomainName

1. **Temukan atribut "**Common-Name**" dan klik kanan dan pilih Properties.**

1. Temukan atribut **searchFlags** dan ubah nilainya **65 (0x41)** untuk mengaktifkan SubTree pengindeksan bersama dengan Indeks normal.

   Gambar berikut menunjukkan CN = Common-name properties kotak dialog di jendela Edit ADSI:  
![\[ADSI Edit kotak dialog terbuka dengan atribut SearchFlags disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/SUBTREE_INDEX.png)

1. Pilih **OK**. Anda dapat menutup alat Edit ADSI.

1. Untuk konfirmasi, Anda harus dapat melihat ID peristiwa 1137 (Sumber: Direktori Aktif\$1DomainServices), yang menunjukkan bahwa AD telah berhasil membuat indeks baru untuk atribut yang ditentukan.

Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867). 

### Saya menerima kesalahan “Tidak Dapat Mengautentikasi” saat menggunakan AWS aplikasi untuk mencari pengguna atau grup
<a name="fails_when_searching"></a>

Anda mungkin mengalami kesalahan saat mencari pengguna atau masuk ke AWS aplikasi, seperti WorkSpaces atau Quick, bahkan saat status AD Connector aktif. Jika kata sandi akun layanan AD Connector telah diubah atau kedaluwarsa, AD Connector tidak dapat lagi menanyakan domain Active Directory. Hubungi Administrator AD Anda dan verifikasi hal-hal berikut: 
+ Periksa kata sandi akun layanan AD Connector belum kedaluwarsa
+ Memeriksa akun layanan AD Connector tidak memiliki opsi **Pengguna harus mengubah kata sandi saat login berikutnya diaktifkan**. 
+ Periksa akun layanan AD Connector tidak terkunci.
+ Jika Anda tidak yakin apakah kata sandi telah kedaluwarsa atau diubah, Anda dapat mengatur ulang kata sandi akun layanan dan juga [memperbarui](ad_connector_update_creds.md) kata sandi yang sama di AD Connector.

### Saya menerima kesalahan tentang kredensyal direktori saya ketika saya mencoba memperbarui akun layanan AD Connector
<a name="error_with_ad_creds"></a>

Anda menerima pesan galat yang mirip dengan satu atau beberapa hal berikut saat mencoba memperbarui akun layanan AD Connector:

Pesan: Telah Terjadi Kesalahan Direktori Anda membutuhkan pembaruan kredensyal. Harap perbarui kredensil direktori. Terjadi Kesalahan Direktori Anda memerlukan pembaruan kredensyal. Harap perbarui kredensyal direktori berikut Perbarui Kredensyal Akun Layanan AD Connector Anda Pesan: Terjadi Kesalahan Permintaan Anda bermasalah. Silakan lihat detail berikut. Ada kesalahan dengan kombinasi akun layanan/kata sandi

Mungkin ada masalah dengan sinkronisasi waktu dan Kerberos. AD Connector mengirimkan permintaan otentikasi Kerberos ke Active Directory. Permintaan ini sensitif terhadap waktu dan jika permintaan ditunda, mereka akan gagal. Untuk mengatasi masalah ini, lihat [Rekomendasi - Mengonfigurasi Root PDC dengan Sumber Waktu Otoritatif dan Hindari Kemiringan Waktu Luas](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew) dalam dokumentasi. Microsoft Untuk informasi lebih lanjut tentang layanan waktu dan sinkronisasi, lihat di bawah ini:
+ [Bagaimana Layanan Windows Waktu Bekerja](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [Toleransi maksimum untuk sinkronisasi jam komputer](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [WindowsAlat dan pengaturan layanan waktu](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)

### Beberapa pengguna saya tidak dapat mengautentikasi dengan direktori saya
<a name="kerberos_preauth2"></a>

Akun pengguna Anda harus mengaktifkan pra-autentikasi Kerberos. Ini adalah pengaturan default untuk akun pengguna baru, tetapi tidak boleh diubah. Untuk informasi selengkapnya tentang pengaturan ini, buka [Preauthentication](http://technet.microsoft.com/en-us/library/cc961961.aspx) on. Microsoft TechNet

## Masalah pemeliharaan
<a name="ad_connector_maintenance_issues"></a>

**Berikut ini adalah masalah perawatan umum untuk AD Connector**
+ Direktori saya terjebak dalam status “Diminta”
+ Gabungan domain yang mulus untuk instans Amazon EC2 berhenti berfungsi

### Direktori saya terjebak dalam status “Diminta”
<a name="troubleshoot_stuck_in_requested"></a>

Jika Anda memiliki direktori yang telah berada dalam status “Diminta” selama lebih dari lima menit, coba hapus direktori dan buat ulang. Jika masalah ini berlanjut, hubungi [AWS Dukungan](https://aws.amazon.com/contact-us/).

### Gabungan domain yang mulus untuk instans Amazon EC2 berhenti berfungsi
<a name="seamless_stops"></a>

Jika penggabungan domain yang mulus untuk instans EC2 bekerja dan kemudian berhenti saat AD Connector aktif, kredensial untuk akun layanan AD Connector Anda mungkin telah kedaluwarsa. Kredensial yang kedaluwarsa dapat mencegah AD Connector membuat objek komputer di Direktori Aktif Anda. 

**Untuk mengatasi masalah ini, perbarui kata sandi akun layanan dalam urutan berikut sehingga kata sandi cocok:**

1. Perbarui kata sandi untuk akun layanan di Direktori Aktif Anda.

1. Perbarui kata sandi untuk akun layanan di AD Connector Anda di Directory Service. Untuk informasi selengkapnya, lihat [Memperbarui kredensi akun layanan AD Connector Anda di Konsol Manajemen AWS](ad_connector_update_creds.md).

**penting**  
Memperbarui kata sandi hanya di Directory Service tidak mendorong perubahan kata sandi ke Active Directory lokal yang ada sehingga penting untuk melakukannya dalam urutan yang ditunjukkan pada prosedur sebelumnya.

## Saya tidak dapat menghapus AD Connector
<a name="delete_ad_connector"></a>

Jika AD Connector beralih ke status tidak dapat dioperasikan, Anda tidak lagi memiliki akses ke pengontrol domain. Kami memblokir penghapusan AD Connector ketika masih ada aplikasi yang terhubung dengannya karena salah satu aplikasi tersebut mungkin masih menggunakan direktori. Untuk daftar aplikasi yang perlu Anda nonaktifkan untuk menghapus AD Connector Anda, lihat[Menghapus AD Connector](ad_connector_delete.md). Jika Anda masih tidak dapat menghapus AD Connector, Anda dapat meminta bantuan melalui [AWS Dukungan](https://aws.amazon.com/contact-us/).

## Alat umum untuk menyelidiki emiten AD Connector
<a name="ad_connector_troubleshooting_tools"></a>

Alat-alat berikut dapat digunakan untuk memecahkan masalah berbagai masalah AD Connector yang terkait dengan pembuatan, otentikasi, dan konektivitas:

**DirectoryServicePortTest alat**  
Alat [DirectoryServicePortTest](samples/DirectoryServicePortTest.zip)pengujian dapat membantu saat memecahkan masalah konektivitas antara AD Connector dan Active Directory atau server DNS yang dikelola pelanggan. Untuk informasi selengkapnya tentang cara menggunakan alat ini, lihat[Uji AD Connector Anda](ad_connector_getting_started.md#connect_verification).

**Alat penangkap paket**  
Anda dapat menggunakan utilitas pengambilan Windows paket bawaan ([netsh](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129382(v=ws.11))) untuk menyelidiki dan memecahkan masalah jaringan potensial atau masalah komunikasi Direktori Aktif (ldap dan kerberos). Untuk informasi selengkapnya, lihat [Mengambil Jejak Jaringan tanpa menginstal apa pun](https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503).

**Log Alur VPC**  
Untuk lebih memahami permintaan apa yang diterima dan dikirim dari AD Connector, Anda dapat mengonfigurasi [log aliran VPC](https://docs.aws.amazon.com//vpc/latest/userguide/working-with-flow-logs.html) untuk antarmuka jaringan direktori. Anda dapat mengidentifikasi semua antarmuka jaringan yang dicadangkan untuk digunakan Directory Service dengan deskripsi:`AWS created network interface for directory your-directory-id`.   
Kasus penggunaan sederhana adalah selama pembuatan AD Connector dengan domain Active Directory yang dikelola pelanggan dengan sejumlah besar pengontrol domain. Anda dapat menggunakan log aliran VPC dan memfilter oleh port Kerberos (88) untuk mengetahui pengontrol domain apa di Direktori Aktif yang dikelola pelanggan yang dihubungi untuk otentikasi.