本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 針對適用於 AD 連接器建立失敗的 Connector 進行故障診斷
建立 AD 連接器的 連接器可能會因為各種原因而失敗。當連接器建立失敗時,您會在 API 回應中收到失敗原因。如果您使用的是 主控台,則失敗原因會顯示在 Connector **詳細資訊**容器中 內**的其他狀態詳細資訊**欄位下的 Connector **詳細資訊**頁面中。下表說明故障原因和建議的解決步驟。
| 失敗狀態 | 描述 | 修補 |
| --- | --- | --- |
| CA\_CERTIFICATE\_REGISTRATION\_FAILED | Connector for AD 無法將 CA 憑證匯入您的目錄。 | 檢閱[先決條件](connector-for-ad-getting-started-prerequisites.md)頁面,並檢查您的服務帳戶是否具有適當的許可。將正確的許可委派給您的服務帳戶後,請刪除失敗的連接器並建立新的連接器。如需有關委派許可的資訊,請參閱《 *AWS Directory Service 管理指南*》中的將[權限委派給您的服務帳戶](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges)。 |
| DIRECTORY\_ACCESS\_DENIED | Connector for AD 無法存取您的目錄。 | 您必須授予 Connector for AD 存取您的目錄。檢閱 [步驟 4:建立 IAM 政策](connector-for-ad-getting-started-prerequisites.md#prereq-iam)區段,以確保您與 AWS 帳戶相關聯的 IAM 政策可讓您存取和描述目錄。將正確的許可授予您的 AWS 角色之後,請刪除失敗的連接器並建立新的連接器。
如果將 Connector for AD 與 AWS Directory Service AD Connector 搭配使用,請確定 AD Connector 服務帳戶的密碼未過期且有效。如需 AD Connector 服務帳戶的相關資訊,請參閱 [AD Connector 管理指南中的 AD Connector 入門](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html)。 ** |
| INTERNAL\_FAILURE | Connector for AD 發生內部故障。 | 請稍後再試。刪除失敗的連接器並建立新的連接器。 |
| INSUFFICIENT\_FREE\_ADDRESSES | VPC 子網路必須至少有一個可用的私有 IP 地址。 | 確保子網路中有可用的私有 IP 地址。刪除失敗的連接器並建立新的連接器。 |
| INVALID\_SUBNET\_IP\_PROTOCOL | Connector for AD 無法在您的 VPC 上建立端點,因為與您的目錄相關聯的子網路不支援指定的 IP 地址類型。 | 確保託管目錄的 VPC 和子網路支援您選擇的 IP 地址類型。如需詳細資訊,請參閱 [IP 地址類型](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type)。刪除失敗的連接器,並使用支援的 IP 地址類型建立新的連接器。 |
| PRIVATECA\_ACCESS\_DENIED | Connector for AD 無法存取您的私有 CA。 | 檢閱[先決條件](connector-for-ad-getting-started-prerequisites.md)頁面,並檢查您是否具有建立連接器的許可。如需相關資訊,請參閱 [步驟 4:建立 IAM 政策](connector-for-ad-getting-started-prerequisites.md#prereq-iam)。
如果您要透過 AWS CLI 或 API 建立連接器,請檢閱[先決條件](connector-for-ad-getting-started-prerequisites.md)頁面,並檢查您是否已使用 Connector for AD 共用私有 CA AWS Resource Access Manager。
檢查並修正 IAM 許可 AWS RAM 和資源共用之後,請刪除失敗的連接器並建立新的連接器。 |
| PRIVATECA\_RESOURCE\_NOT\_FOUND | Connector for AD 找不到指定的私有 CA。 | 請確定您指定正確的私有 CA [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html),然後刪除失敗的連接器,並使用預期的私有 CA ARN 建立新的連接器。 |
| SECURITY\_GROUP\_NOT\_IN\_VPC | 安全群組不在託管目錄的 VPC 中。 | 使用託管目錄的 VPC 中的安全群組。如需詳細資訊,請參閱[步驟 7:設定安全群組](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups)。刪除失敗的連接器,並使用 VPC 中的安全群組建立新的連接器。 |
| VPC\_ACCESS\_DENIED | Connector for AD 無法存取託管目錄的 Amazon VPC。 | 檢查您的 IAM 許可。刪除失敗的連接器並建立新的連接器。如需包含存取許可的 IAM 政策範例,請參閱 [步驟 4:建立 IAM 政策](connector-for-ad-getting-started-prerequisites.md#prereq-iam) |
| VPC\_ENDPOINT\_LIMIT\_EXCEEDED | Connector for AD 無法在 Amazon VPC 中建立端點。您已達到您可以為帳戶建立的 VPC 端點限制。 | 刪除 Amazon VPC 端點,或請求提高限制。完成兩個步驟的其中一個後,請刪除失敗的連接器並建立新的連接器。如需配額的相關資訊,請參閱 [Amazon Virtual Private Cloud Service 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。 |
| VPC\_RESOURCE\_NOT\_FOUND | Connector for AD 找不到指定的 VPC。 | 請確定您指定了正確的 VPC,且 VPC 存在。然後刪除故障的連接器,並使用正確的 VPC ID 建立新的連接器。 |