本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Active Directory 故障排除
<a name="troubleshooting-active-directory"></a>

以下是您在亚马逊 WorkSpaces 应用程序中设置和使用 Active Directory 时可能出现的问题。有关通知代码故障排除的帮助信息，请参阅 [通知代码故障排除](troubleshooting-notification-codes.md)。

**Topics**
+ [我的映像生成器和实例集实例卡在“待处理”状态。](#troubleshooting-active-directory-1)
+ [我的用户无法登录 SAML 应用程序。](#troubleshooting-active-directory-2)
+ [我的实例集实例能用于一个用户，但不能正确循环。](#troubleshooting-active-directory-3)
+ [我的用户组策略对象无法成功应用。](#troubleshooting-active-directory-4)
+ [我的 WorkSpaces 应用程序流媒体实例未加入 Active Directory 域。](#troubleshooting-active-directory-5)
+ [用户登录要花很长时间才能完成加入域的流式传输会话。](#troubleshooting-active-directory-6)
+ [我的用户在加入域的流式传输会话中无法访问域资源，但可以访问加入域的映像生成器中的资源。](#troubleshooting-active-directory-8)
+ [我的用户收到错误“基于证书的身份验证不可用”，并要求输入域密码。或者，当用户启动启用了基于证书的身份验证的会话时，会收到“已与会话断开连接”错误。](#troubleshooting-active-directory-9)
+ [更改 Active Directory（AD）服务账户后，我遇到了加入域失败的问题。](#troubleshooting-active-directory-10)

## 我的映像生成器和实例集实例卡在“待处理”状态。
<a name="troubleshooting-active-directory-1"></a>

映像生成器和实例集实例最多可能需要 25 分钟才能转入准备就绪状态并变得可用。如果您的实例变为可用时间超过 25 分钟，请在 Active Directory 中验证是否在正确的组织单位中创建了新的计算机对象（OUs）。如果有新对象，则流实例将很快可用。如果对象不存在，请在 A WorkSpaces pplications Directory Config 中查看目录配置详细信息：目录名称（目录的完全限定域名、服务帐户登录凭据和 OU 可分辨名称）。

映像生成器和队列错误显示在 WorkSpaces 应用程序控制台的队列或映像生成器的 “**通知**” 选项卡上。也可以使用 WorkSpaces 应用程序 API 通过[DescribeFleets](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_DescribeFleets.html)操作或 CLI 命令 d [escribe](https://docs.aws.amazon.com/cli/latest/reference/appstream/describe-fleets.html)-fleets 查看舰队错误。

## 我的用户无法登录 SAML 应用程序。
<a name="troubleshooting-active-directory-2"></a>

WorkSpaces 应用程序依靠您的身份提供商提供的 saml\$1subject “nameID” 属性来填充用户名字段以登录您的用户。该用户名的格式可以是“`domain\username`”或“`user@domain.com`”。如果您使用的是“`domain\username`”格式，则 `domain` 可以是 NetBIOS 名称或完全限定域名。如果使用 “`user@domain.com`” 格式，则可以使用该 UserPrincipalName 属性。如果您已经确认 SAML\$1Subject 属性配置正确但问题仍然存在，请联系 AWS 支持。有关更多信息，请参阅 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

## 我的实例集实例能用于一个用户，但不能正确循环。
<a name="troubleshooting-active-directory-3"></a>

当一个用户完成会话后，实例集实例会进行循环，确保每个用户都有一个新实例。当循环的实例集实例联机时，它使用以前实例的计算机名称加入域。要确保此操作成功，服务账户需要拥有计算机对象所加入的组织单位 (OU) 的**更改密码**和**重置密码**权限。请检查服务账户权限，然后重试。如果问题仍然存在，请与联系 AWS 支持。有关更多信息，请参阅 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

## 我的用户组策略对象无法成功应用。
<a name="troubleshooting-active-directory-4"></a>

默认情况下，计算机对象基于它们所在的 OU 来应用计算机级策略，基于用户所在的 OU 应用用户级策略。如果您的用户级策略未应用，可以执行以下操作之一：
+ 将用户级策略移到用户 Active Directory 对象所在的 OU 中
+ 启用计算机级别的环回处理，这将在计算机对象 OU 中应用用户级策略。

有关更多信息，请参阅 Microsoft 支持网站上的[组策略环回处理](https://support.microsoft.com/en-us/help/231287/loopback-processing-of-group-policy)。

## 我的 WorkSpaces 应用程序流媒体实例未加入 Active Directory 域。
<a name="troubleshooting-active-directory-5"></a>

要用于 WorkSpaces 应用程序的 Active Directory 域必须能够通过其完全限定域名 (FQDN) 通过启动您的流式处理实例的 VPC 进行访问。

**测试域能否访问**

1. 在与 WorkSpaces 应用程序一起使用的相同 VPC、子网和安全组中启动 Amazon EC2 实例。

1. 使用您打算用于 WorkSpaces 应用程序的服务账户的 FQDN（例如`yourdomain.example.com`），将 EC2 实例手动加入您的 Active Directory 域。在 Windows PowerShell 控制台中使用以下命令：

   ```
   netdom join computer /domain:FQDN /OU:path /ud:user /pd:password
   ```

   如果此手动加入操作失败，请转至下一步。

1. 如果您无法手动加入到域，请打开命令提示符，然后使用 `nslookup` 命令验证能否解析 FQDN。例如：

   ```
   nslookup yourdomain.exampleco.com
   ```

   域名解析成功时会返回一个有效的 IP 地址。如果无法解析 FQDN，则可能需要使用为您的域设置的 DHCP 选项来更新您的 VPC DNS 服务器。然后，返回到这一步。有关更多信息，请参阅*《Amazon VPC 用户指南》*中的 [DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。

1. 如果已解析 FQDN，请使用 `telnet` 命令验证连接。

   ```
   telnet yourdomain.exampleco.com 389
   ```

   连接成功后会显示一个空白命令提示符窗口，其中不包含任何连接错误。您可能需要在 EC2 实例上安装 Telnet 客户端功能。有关更多信息，请参阅 Microsoft 文档中的[安装 Telnet 客户端](https://technet.microsoft.com/en-us/library/cc771275.aspx)。

如果您无法手动将 EC2 实例加入域，但成功解析了 FQDN 并测试了与 Telnet 客户端的连接性，则您的 VPC 安全组可能在阻止访问。Active Directory 需要特定的网络端口设置。有关更多信息，请参阅 Microsoft 文档中的 [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx)。

## 用户登录要花很长时间才能完成加入域的流式传输会话。
<a name="troubleshooting-active-directory-6"></a>

WorkSpaces 用户提供域密码后，应用程序会执行 Windows 登录操作。成功进行身份验证后， WorkSpaces 应用程序将启动应用程序。登录和启动时间受多个变量影响，如域控制器的网络连接或将组策略设置应用流实例所用的时间。如果域身份验证耗时太长，请尝试执行以下操作。
+ 通过选择正确的域控制器，最大限度地减少从 WorkSpaces 应用程序区域到域控制器的网络延迟。例如，如果您的实例集在 `us-east-1`，则通过 Active Directory 站点和服务区域映射使用对 `us-east-1` 具有高带宽和低延迟的域控制器。有关更多信息，请参阅 Microsoft 文档中的 [Active Directory 站点和服务](https://technet.microsoft.com/en-us/library/cc730868.aspx)。
+ 确保您的组策略设置和用户登录脚本的应用或运行不会耗时过长。

如果您的域用户登录 WorkSpaces 应用程序失败并显示消息 “发生了未知错误”，则可能需要更新中描述的组策略设置[开始将 Active Directory 与亚马逊 WorkSpaces 应用程序配合使用之前](active-directory-prerequisites.md)。否则，这些设置可能会阻止 WorkSpaces 应用程序对您的域用户进行身份验证和登录。

## 我的用户在加入域的流式传输会话中无法访问域资源，但可以访问加入域的映像生成器中的资源。
<a name="troubleshooting-active-directory-8"></a>

请确认您的实例集是在映像生成器所在的同一 VPC、子网和安全组中创建的，并且您的用户具有访问和使用域资源所需的权限。

## 我的用户收到错误“基于证书的身份验证不可用”，并要求输入域密码。或者，当用户启动启用了基于证书的身份验证的会话时，会收到“已与会话断开连接”错误。
<a name="troubleshooting-active-directory-9"></a>

如果会话的基于证书的身份验证不成功，就会出现这些错误。启用基于证书的身份验证以允许回退到密码登录时，会显示“基于证书的身份验证不可用”错误。如果启用基于证书的身份验证但不允许回退，则会显示“已与会话断开连接”错误。

用户可以在 Web 客户端上刷新页面或从 Windows 客户端重新连接，因为这可能是基于证书的身份验证的间歇性问题。如果问题仍然存在，则基于证书的身份验证失败可能是由以下问题之一导致的：
+ WorkSpaces 应用程序无法与 AWS 私有 CA 通信，或者 AWS 私有 CA 未颁发证书。检查 CloudTrail 以确定是否已颁发证书。有关更多信息，请参阅[什么是 AWS CloudTrail？](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html.html) 和[管理基于证书的身份验证](certificate-based-authentication-manage.md)。
+ 域控制器没有用于智能卡登录的域控制器证书，或者该证书已过期。有关更多信息，请参阅[前提条件](certificate-based-authentication-prereq.md)中的步骤 7.a。
+ 该证书不可信。有关更多信息，请参阅[前提条件](certificate-based-authentication-prereq.md)中的步骤 7.c。
+ saml\$1subjec userPrincipalName t NameID 的格式不正确，或者无法解析为用户的实际域。有关更多信息，请参阅[前提条件](certificate-based-authentication-prereq.md)中的步骤 1。
+ 您的 SAML 断言中的（可选） ObjectSid 属性与 saml\$1subject NameID 中指定的用户的 Active Directory 安全标识符 (SID) 不匹配。确认您的 SAML 联合身份验证中的属性映射是正确的，并且您的 SAML 身份提供商正在同步 Active Directory 用户的 SID 属性。
+  WorkSpaces 应用程序代理不支持基于证书的身份验证。使用 WorkSpaces 应用程序代理版本 10-13-2022 或更高版本。
+ 有些组策略设置会修改智能卡登录的默认 Active Directory 设置，或者在从智能卡读卡器中移除智能卡时执行操作。除了上面列出的错误之外，这些设置还可能会导致其他意外行为。基于证书的身份验证向实例操作系统提供虚拟智能卡，并在登录完成后将其删除。有关更多信息，请参阅 [Primary Group Policy settings for smart cards](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#primary-group-policy-settings-for-smart-cards) 和 [Additional smart card Group Policy settings and registry keys](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#additional-smart-card-group-policy-settings-and-registry-keys)。如果您要使用基于证书的身份验证，请不要启用堆栈中的 **Active Directory 的智能卡登录**。有关更多信息，请参阅 [智能卡](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards)。
+ 私有 CA 的 CRL 分发点不在线，也无法从 WorkSpaces 应用程序队列实例或域控制器访问。有关更多信息，请参阅[前提条件](certificate-based-authentication-prereq.md)中的步骤 5。

其他故障排除步骤包括查看 WorkSpaces 应用程序实例 Windows 事件日志。登录失败时检查的常见事件是 [4625(F)：账户登录失败](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625)。有关捕获日志信息的更多信息，请参阅[保留应用程序和 Windows 事件日志](https://docs.aws.amazon.com/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/monitoring.html#persisting-application-and-windows-event-logs)。或者，要以管理员身份对活动 WorkSpaces 应用程序会话进行故障排除，您可以使用另一台计算机上的事件查看器连接到日志。有关详细信息，请参阅[如何在事件查看器中选择计算机](https://learn.microsoft.com/en-us/host-integration-server/core/how-to-select-computers-in-event-viewer1)。或者，您可以使用远程桌面连接另一台可以连接到 WorkSpaces 应用程序虚拟私有云 (VPC) 中的远程桌面服务的计算机上的实例私有 IP 地址。使用 AWS CLI 根据 AWS 区域、 WorkSpaces 应用程序堆栈名称、舰队名称、用户 ID 和身份验证类型确定会话的 IP 地址。有关更多信息，请参阅 [AWS Command Line Interface。](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/appstream/index.html#cli-aws-appstream)

如果问题仍然存在，请与联系 AWS 支持。有关更多信息，请参阅 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

## 更改 Active Directory（AD）服务账户后，我遇到了加入域失败的问题。
<a name="troubleshooting-active-directory-10"></a>

如果您有一个现有的实例集，其映像基于 2024 年 8 月的 [Microsoft Windows Server 操作系统更新](https://learn.microsoft.com/en-us/windows-server/get-started/windows-server-release-info)，并且您更改了该实例集的 Active Directory（AD）服务账户，那么在调配过程中，您的实例集实例可能会遇到加入域失败的问题。

Microsoft 发布了一个修补程序 [KB5020276](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8)，该补丁修改了域加入操作的行为。 WorkSpaces 将您的流媒体实例加入您的 AD 域时，应用程序会重复使用现有的计算机对象。此计算机对象是使用您在创建队列或带 WorkSpaces 应用程序的 Directory Config 时提供的 AD 服务帐户生成的。在此Microsoft补丁之前，新的AD服务帐户可以重复使用 WorkSpaces 应用程序创建的现有计算机对象，前提是它们具有在组织单位 (OU) 中配置的 “创建计算机对象” 权限。

从 2024 年 8 月 13 日起实施 Microsoft 补丁后，如果您更改现有 WorkSpaces 应用程序群的 AD 服务帐户，则新的服务帐户将无法再重复使用 AD 中的现有计算机对象。这会导致 WorkSpaces 应用程序队列的域加入失败，队列通知下会出现以下错误消息之一：
+ DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR“找不到组名。”
+ Active Directory 中存在同名账户。安全策略禁止重复使用该账户

为了控制哪个账户可以重复使用现有计算机对象，Microsoft 实施了一项名为**域控制器：允许在加入域期间重复使用计算机账户**的新组策略设置。此设置允许您指定可信服务账户列表，这些账户在加入域操作时无需进行检查。对于您自行管理的 AD 配置，我们建议您按照 [Microsoft 记录的步骤](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action)，在域控制器上使用组策略，将您的 AD 服务账户添加到新的允许列表策略中。

对于托管 Active Directory (MAD)，您必须在更改 WorkSpaces 应用程序域加入服务帐户后重新启动应用程序队列。 WorkSpaces 

如果问题仍然存在，请与联系 AWS 支持。有关更多信息，请参阅 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。