本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 故障診斷 Active Directory
<a name="troubleshooting-active-directory"></a>

以下是當您設定 Active Directory 並搭配 Amazon WorkSpaces 應用程式使用時可能發生的問題。如需故障診斷通知代碼的協助，請參閱[故障診斷通知代碼](troubleshooting-notification-codes.md)。

**Topics**
+ [我的映像建置器和機群執行個體停滯在 PENDING (暫止) 狀態。](#troubleshooting-active-directory-1)
+ [我的使用者無法使用 SAML 應用程式登入。](#troubleshooting-active-directory-2)
+ [我的機群執行個體針對一名使用者可正常運作，但無法正確的循環。](#troubleshooting-active-directory-3)
+ [我的使用者群組原則物件未成功套用。](#troubleshooting-active-directory-4)
+ [我的 WorkSpaces 應用程式串流執行個體未加入 Active Directory 網域。](#troubleshooting-active-directory-5)
+ [在加入網域的串流工作階段上，使用者登入花費很長時間才完成。](#troubleshooting-active-directory-6)
+ [我的使用者無法存取加入網域串流工作階段中的網域資源，但他們可以存取來自加入網域映像建置器的資源。](#troubleshooting-active-directory-8)
+ [我的使用者收到錯誤「憑證型身分驗證無法使用」和提示他們輸入其網域密碼的訊息。或者，當使用者啟動透過憑證型身分驗證啟用的工作階段時，收到錯誤「工作階段已中斷連線」。](#troubleshooting-active-directory-9)
+ [我在變更 Active Directory (AD) 服務帳戶後遇到網域加入失敗。](#troubleshooting-active-directory-10)

## 我的映像建置器和機群執行個體停滯在 PENDING (暫止) 狀態。
<a name="troubleshooting-active-directory-1"></a>

映像建置器和機群執行個體最多可能需要 25 分鐘來移動到準備就緒狀態並開放使用。若您的執行個體在開放使用之前花費超過 25 分鐘，請在 Active Directory 中驗證新的電腦物件是否是在正確的組織單位 (OU) 中建立。若有新的物件，串流執行個體很快就會開放使用。如果物件不在其中，請檢查 WorkSpaces 應用程式目錄組態：目錄名稱 （目錄的完整網域名稱、服務帳戶登入憑證和 OU 辨別名稱。

映像建置器和機群錯誤會顯示在機群或映像建置器**的通知**索引標籤上的 WorkSpaces 應用程式主控台中。您也可以透過 [DescribeFleets](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_DescribeFleets.html) 操作或 CLI 命令 describe-fleets，使用 WorkSpaces 應用程式 API 來取得機群錯誤。 [https://docs.aws.amazon.com/cli/latest/reference/appstream/describe-fleets.html](https://docs.aws.amazon.com/cli/latest/reference/appstream/describe-fleets.html)

## 我的使用者無法使用 SAML 應用程式登入。
<a name="troubleshooting-active-directory-2"></a>

WorkSpaces 應用程式依賴身分提供者的 SAML\$1Subject "NameID" 屬性來填入使用者名稱欄位以登入您的使用者。使用者名稱的格式可以是 "`domain\username`" 或 "`user@domain.com`"。若您使用 "`domain\username`" 格式，`domain` 可以是 NetBIOS 名稱，或是完整網域名稱。若您使用 "`user@domain.com`" 格式，則可以使用 UserPrincipalName 屬性。若您已確認您的 SAML\$1Subject 屬性設定正確，但問題持續發生，請聯絡 AWS 支援。如需詳細資訊，請參閱 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

## 我的機群執行個體針對一名使用者可正常運作，但無法正確的循環。
<a name="troubleshooting-active-directory-3"></a>

機群執行個體會在使用者完成工作階段後循環，確保每個使用者都擁有新的執行個體。當循環的機群執行個體回到線上時，它會使用先前執行個體的電腦名稱加入網域。為了確保此操作成功運作，服務帳戶必須具備電腦物件欲加入組織單位 (OU) 上的**變更密碼**和**重設密碼**許可。請檢查服務帳戶許可並再試一次。如果問題仍然存在，請聯絡 AWS 支援。如需詳細資訊，請參閱 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

## 我的使用者群組原則物件未成功套用。
<a name="troubleshooting-active-directory-4"></a>

根據預設，電腦物件會根據電腦物件所在的 OU 套用電腦層級政策，並根據使用者所在的 OU 套用使用者層級政策。若您的使用者層級政策沒有套用，您可以執行下列其中一項作業：
+ 將使用者層級政策移動到使用者 Active Directory 物件所在的 OU。
+ 啟用電腦層級迴路處理，在電腦物件 OU 上套用使用者層級政策。

如需詳細資訊，請參閱 Microsoft 支援服務的 [Loopback processing of Group Policy](https://support.microsoft.com/en-us/help/231287/loopback-processing-of-group-policy)。

## 我的 WorkSpaces 應用程式串流執行個體未加入 Active Directory 網域。
<a name="troubleshooting-active-directory-5"></a>

要與 WorkSpaces 應用程式搭配使用的 Active Directory 網域必須透過啟動串流執行個體的 VPC，透過其完整網域名稱 (FQDN) 存取。

**測試是否可存取您的網域**

1. 在與 WorkSpaces 應用程式搭配使用的相同 VPC、子網路和安全群組中啟動 Amazon EC2 執行個體。

1. 使用 FQDN （例如 `yourdomain.example.com`) 搭配您想要與 WorkSpaces 應用程式搭配使用的服務帳戶，手動將 EC2 執行個體加入 Active Directory 網域。在 Windows PowerShell 主控台中使用以下命令：

   ```
   netdom join computer /domain:FQDN /OU:path /ud:user /pd:password
   ```

   若此手動加入失敗，請繼續下一個步驟。

1. 若您無法手動加入您的網域，請開啟命令提示，並確認您可以使用 `nslookup` 命令解析 FQDN。例如：

   ```
   nslookup yourdomain.exampleco.com
   ```

   若成功解析名稱，則會傳回有效的 IP 地址。若您無法解析您的 FQDN，您可能需要使用您網域的 DHCP 選項集來更新您的 VPC DNS 伺服器。然後，請返回此步驟。如需詳細資訊，請參閱*《Amazon VPC 使用者指南》*中的 [DHCP 選項集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。

1. 如果 FQDN 可以解析，請使用 `telnet` 命令來驗證連線。

   ```
   telnet yourdomain.exampleco.com 389
   ```

   若成功連線，則會顯示一個空白命令提示視窗，而沒有任何連線錯誤。您可能需要先在您的 EC2 執行個體上安裝 Telnet 用戶端功能。如需詳細資訊，請參閱 Microsoft 文件中的 [Install Telnet Client](https://technet.microsoft.com/en-us/library/cc771275.aspx)。

若您無法手動將 EC2 執行個體加入您的網域，但可以成功解析 FQDN 並使用 Telnet 用戶端測試連線能力，您的 VPC 安全群組可能阻止了您進行存取。Active Directory 需要特定的網路連接埠設定。如需詳細資訊，請參閱 Microsoft 文件中的 [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx)。

## 在加入網域的串流工作階段上，使用者登入花費很長時間才完成。
<a name="troubleshooting-active-directory-6"></a>

WorkSpaces 應用程式會在使用者提供其網域密碼後執行 Windows 登入動作。身分驗證成功後，WorkSpaces 應用程式會啟動應用程式。登入和啟動時間會受到許多變數影響，例如針對網域控制站的網路競爭，或是將群組政策設定套用到串流執行個體所需要的時間。若網域身分驗證的完成時間耗時太長，請嘗試執行以下動作。
+ 選擇正確的網域控制站，將 WorkSpaces 應用程式區域到網域控制站的網路延遲降至最低。例如，若您的機群位於 `us-east-1`，請透過 Active Directory Sites and Services 區域映射，使用針對 `us-east-1` 具有高頻寬和低延遲的網域控制站。如需詳細資訊，請參閱 Microsoft 文件中的 [Active Directory Sites and Services](https://technet.microsoft.com/en-us/library/cc730868.aspx)。
+ 確認您的群組政策設定和使用者登入指令碼並未花費過長的時間套用或執行。

如果您的網域使用者登入 WorkSpaces 應用程式失敗，並顯示「發生未知錯誤」訊息，您可能需要更新 中所述的群組政策設定[開始搭配 Amazon WorkSpaces 應用程式使用 Active Directory 之前](active-directory-prerequisites.md)。否則，這些設定可能會阻止 WorkSpaces 應用程式驗證和登入您的網域使用者。

## 我的使用者無法存取加入網域串流工作階段中的網域資源，但他們可以存取來自加入網域映像建置器的資源。
<a name="troubleshooting-active-directory-8"></a>

請確認您的機群是在與您映像建置器相同的 VPC、子網路和安全群組中建立，並且您的使用者具備必要許可存取和使用網域資源。

## 我的使用者收到錯誤「憑證型身分驗證無法使用」和提示他們輸入其網域密碼的訊息。或者，當使用者啟動透過憑證型身分驗證啟用的工作階段時，收到錯誤「工作階段已中斷連線」。
<a name="troubleshooting-active-directory-9"></a>

如果工作階段的憑證型身分驗證未成功，就會發生這些錯誤。啟用憑證型身分驗證以允許恢復為使用密碼登入時，就會顯示「憑證型身分驗證無法使用」錯誤。啟用憑證型身分驗證但無後援時，就會顯示「工作階段已中斷連線」錯誤。

使用者可以在 Web 用戶端上重新整理頁面，或從適用於 Windows 的用戶端重新連線，因為這可能是憑證型身分驗證的間歇性問題。如果問題仍然存在，則憑證型身分驗證失敗可能是下列其中一個問題所造成：
+ WorkSpaces 應用程式無法與 AWS Private CA 通訊，或 AWS Private CA 未發出憑證。檢查 CloudTrail 以判斷是否已發行憑證。如需詳細資訊，請參閱[什麼是 AWS CloudTrail？](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html.html) 和 [管理憑證型身分驗證](certificate-based-authentication-manage.md)。
+ 網域控制站沒有用於智慧卡登入的網域控制站憑證，或憑證已過期。如需詳細資訊，請參閱 [先決條件](certificate-based-authentication-prereq.md) 中的步驟 7.a。
+ 憑證不受信任。如需詳細資訊，請參閱 [先決條件](certificate-based-authentication-prereq.md) 中的步驟 7.c。
+ SAML\$1Subject NameID 的 userPrincipalName 格式未正確格式化，或未解析為使用者的實際網域。如需詳細資訊，請參閱 [先決條件](certificate-based-authentication-prereq.md) 中的步驟 1。
+ SAML 聲明中的 (選用) ObjectSid 屬性與 SAML\$1Subject NameID 中所指定使用者的 Active Directory 安全識別碼 (SID) 不符。確認您的 SAML 聯合中的屬性映射正確無誤，而且您的 SAML 身分提供者會同步處理 Active Directory 使用者的 SID 屬性。
+ WorkSpaces 應用程式代理程式不支援憑證型身分驗證。使用 WorkSpaces 應用程式代理程式 10-13-2022 版或更新版本。
+ 有些群組政策設定會修改智慧卡登入的預設 Active Directory 設定，或在智慧卡從智慧卡讀卡機取出時採取動作。這些設定可能導致上述錯誤以外的其他非預期行為。憑證型身分驗證會向執行個體作業系統出示虛擬智慧卡，並在登入完成後將其移除。如需詳細資訊，請參閱[智慧卡的主要群組政策設定](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#primary-group-policy-settings-for-smart-cards)和[其他智慧卡群組政策設定和登錄機碼](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#additional-smart-card-group-policy-settings-and-registry-keys)。如果您想要使用憑證型身分驗證，則不要在堆疊中啟用 **Active Directory 的智慧卡登入**。如需詳細資訊，請參閱[智慧卡](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards)。
+ 私有 CA 的 CRL 分佈點不在線上，或可從 WorkSpaces 應用程式機群執行個體或網域控制器存取。如需詳細資訊，請參閱 [先決條件](certificate-based-authentication-prereq.md) 中的步驟 5。

其他疑難排解步驟包括檢閱 WorkSpaces 應用程式執行個體 Windows 事件日誌。一個應檢閱的常見登入錯誤事件為 [4625 (F) ：帳戶無法登入](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625)。如需擷取日誌資訊的詳細資訊，請參閱[保留應用程式和 Windows 事件日誌](https://docs.aws.amazon.com/whitepapers/latest/best-practices-for-deploying-amazon-appstream-2/monitoring.html#persisting-application-and-windows-event-logs)。或者，若要以管理員身分疑難排解作用中的 WorkSpaces 應用程式工作階段，您可以使用另一部電腦上的事件檢視器來連線至日誌。如需詳細資訊，請參閱[如何在事件檢視器中選取電腦](https://learn.microsoft.com/en-us/host-integration-server/core/how-to-select-computers-in-event-viewer1)。或者，您可以使用遠端桌面從可連線至 WorkSpaces 應用程式虛擬私有雲端 (VPC) 中遠端桌面服務的其他電腦連線至執行個體私有 IP 地址，來進行連線。使用 AWS CLI 根據 AWS 區域、WorkSpaces 應用程式堆疊名稱、機群名稱、使用者 ID 和身分驗證類型來判斷工作階段的 IP 地址。如需詳細資訊，請參閱 [AWS Command Line Interface。](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/appstream/index.html#cli-aws-appstream)

如果問題仍然存在，請聯絡 AWS 支援。如需詳細資訊，請參閱 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

## 我在變更 Active Directory (AD) 服務帳戶後遇到網域加入失敗。
<a name="troubleshooting-active-directory-10"></a>

如果您現有的機群具有以 2024 年 8 月 [Microsoft Windows Server 作業系統更新](https://learn.microsoft.com/en-us/windows-server/get-started/windows-server-release-info)為基礎的映像，而且變更該機群的 Active Directory (AD) 服務帳戶，則機群執行個體可能會在佈建期間遇到網域加入失敗。

Microsoft 發行了修補程式 [KB5020276](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8)，用於修改網域聯結操作的行為。WorkSpaces 應用程式會在將串流執行個體加入 AD 網域時重複使用現有的電腦物件。此電腦物件是使用您在使用 WorkSpaces 應用程式建立機群或目錄組態時提供的 AD 服務帳戶產生的。在此 Microsoft 修補程式之前，新的 AD 服務帳戶可以重複使用 WorkSpaces 應用程式建立的現有電腦物件，只要他們在組織單位 (OU) 中設定了「建立電腦物件」許可。

強制執行 Microsoft 修補程式時，從 2024 年 8 月 13 日開始，如果您變更現有 WorkSpaces 應用程式機群的 AD 服務帳戶，新的服務帳戶將無法再重複使用 AD 中的現有電腦物件。這會導致 WorkSpaces 應用程式機群的網域加入失敗，並在機群通知下顯示下列其中一個錯誤訊息：
+ DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR "找不到群組名稱。」
+ Active Directory 中存在名稱相同的帳戶。安全政策已封鎖重複使用帳戶

為了控制哪些帳戶可以重複使用現有的電腦物件，Microsoft 已實作稱為**網域控制站的新群組政策設定：允許電腦帳戶在網域加入期間重複使用**。此設定可讓您指定在網域聯結操作期間略過檢查的受信任服務帳戶清單。對於自我管理 AD 組態，我們建議您遵循 [Microsoft 記錄的步驟](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action)，在網域控制站上使用群組政策，將 AD 服務帳戶新增至新的允許清單政策。

對於受管 Active Directory (MAD)，您必須在變更 WorkSpaces 應用程式網域加入服務帳戶之後重新啟動 WorkSpaces 應用程式機群。

如果問題仍然存在，請聯絡 AWS 支援。如需詳細資訊，請參閱 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。