Comment puis-je résoudre les erreurs liées à une instance WorkSpace WorkSpaces Personal qui ne parvient pas à joindre un domaine Active Directory ?
J'ai essayé de créer une instance WorkSpace avec Amazon WorkSpaces Personal, mais j'ai reçu un message d'erreur lors d’une tentative de jonction du domaine.
Résolution
Remarque : Si vous utilisez une approbation de forêt, un message d'erreur s'affiche lorsque vous essayez de joindre un domaine alors que l'utilisateur et l’instance WorkSpace se trouvent dans des annuaires actifs différents. Il est recommandé d'utiliser l’approbation bidirectionnelle pour les instances WorkSpaces Amazon Linux, Ubuntu et Red Hat Enterprise Linux (RHEL). Les instances WorkSpaces Ubuntu et RHEL utilisent le démon SSSD (System Security Services Daemon) pour l'intégration Active Directory. Dans la mesure où SSSD ne prend pas en charge l’approbation de forêt, vous devez configurer une approbation externe à la place.
Vérifier la communication avec les contrôleurs de domaine
Assurez-vous que l’instance WorkSpace peut communiquer avec les contrôleurs de domaine Active Directory via n'importe quelle ressource de cloud privé virtuel (VPC). Ces ressources incluent des groupes de sécurité, des listes de contrôle d'accès au réseau (ACL réseau) et des tables de routage. Vérifiez également que l’instance WorkSpace peut communiquer avec vos contrôleurs de domaine sur les ports requis afin de communiquer avec les contrôleurs d'annuaire.
Les instances WorkSpaces utilisent l'interface réseau Elastic du VPC pour communiquer avec les contrôleurs de domaine sur les ports requis lorsqu'elles joignent un domaine puis se connectent.
Lorsque vous créez et enregistrez un répertoire auprès de WorkSpaces, le service d'annuaire crée le groupe de sécurité directoryID_controllers et WorkSpaces crée le groupe de sécurité directoryID_workspacesMembers. Si les règles de l'un de ces groupes de sécurité n'autorisent pas WorkSpaces à communiquer avec les contrôleurs de domaine, vous ne pouvez pas créer de nouvelle instance WorkSpace. Pour résoudre ce problème, assurez-vous que les groupes de sécurité disposent des règles par défaut. Pour AD Connector, le groupe de sécurité du répertoire autorise tout le trafic sortant par défaut. Pour plus d'informations sur les autres annuaires actifs, consultez la section Ce qui est créé avec votre AWS Directory Service pour Microsoft Active Directory.
Important : Assurez-vous que le groupe de sécurité directoryID_workspacesMembers n'a pas été modifié. Par défaut, le groupe de sécurité WorkSpaces autorise tout le trafic sortant.
Pour un Microsoft Active Directory autogéré, vérifiez que le pare-feu sur site ne bloque pas le trafic entre les sous-réseaux WorkSpaces et les contrôleurs de domaine sur les ports requis.
Vérifiez que les ports requis sont ouverts dans une instance Windows WorkSpace
Procédez comme suit :
- Lancez une instance Amazon Elastic Compute Cloud (Amazon EC2) dans chaque sous-réseau WorkSpaces et attachez le groupe de sécurité directoryID_workspacesMembers.
- Utilisez RDP pour vous connecter à l'instance.
- Pour désactiver le pare-feu du système d'exploitation et définir le DNS statique, exécutez la commande PowerShell suivante :
Remarque : Remplacez Adresse IP 1 du serveur DNS et Adresse IP 2 du serveur DNS par les adresses IP de votre serveur DNS.Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False Set-DnsClientServerAddress -InterfaceIndex ((Get-NetAdapter).ifIndex) -ServerAddresses ("DNS Server IP 1","DNS Server IP 2")
- Utilisez l'outil PortQry pour tester la connectivité au contrôleur de domaine. Pour plus d'informations, consultez la page Spécifier un ou plusieurs ports cibles sur le site Web de Microsoft. Pour télécharger l'outil PortQry, consultez la page PortQry Command Line Port Scanner version 2.0 sur le site Web de Microsoft. Pour tester la connectivité aux ports, exécutez la commande suivante pour chaque adresse IP de serveur DNS et de contrôleur de domaine :
Remarque : Remplacez Adresse IP du serveur DNS par l’adresse IP de votre serveur DNS et Domain-FQDN-Domain-Controller-IP-address par votre nom de domaine complet (FQDN) ou l'adresse IP de votre contrôleur de domaine.portqry -n DNS Server IP address -p both -e 53 portqry -n Domain-FQDN-Domain-Controller-IP-address -p both -e 88 portqry -n Domain-FQDN-Domain-Controller-IP-address -p both -e 389 portqry -n Domain-FQDN-Domain-Controller-IP-address -p both -e 445 portqry -n Domain-FQDN-Domain-Controller-IP-address -p both -e 636 portqry -n Domain-FQDN-Domain-Controller-IP-address -p udp -e 123,137,138 portqry -n Domain-FQDN-Domain-Controller-IP-address -p tcp -e 135,139
- Corrigez les erreurs dès que vous les trouvez. Une fois tous les tests de port réussis, joignez manuellement l'instance au domaine.
Remarque : Vous pouvez suivre les étapes pour joindre l'instance d’un AWS Managed Microsoft AD ou d’un Active Directory autogéré.
Vérifiez que les ports requis sont ouverts dans une instance WorkSpace Amazon Linux 2, Ubuntu ou RHEL
Procédez comme suit :
- Sous le système d'exploitation Linux que vous avez utilisé pour lancer l’instance WorkSpace, lancez une instance EC2 dans chaque sous-réseau WorkSpaces et attachez le groupe de sécurité directoryID_workspacesMembers.
- Utilisez SSH pour vous connecter à l'instance.
- Pour tester la connectivité de port entre les sous-réseaux WorkSpaces et le contrôleur de domaine, exécutez les commandes suivantes :
nc -z -v -w 15 domain controller ip 53 nc -z -v -u -w 15 domain controller ip 53 nc -z -v -w 15 domain controller ip 88 nc -z -v -u -w 15 domain controller ip 88 nc -z -v -u -w 15 domain controller ip 135 nc -z -v -w 15 domain controller ip 389 nc -z -v -u -w 15 domain controller ip 389 nc -z -v -w 15 domain controller ip 636 nc -z -v -u -w 15 domain controller ip 636 nc -z -v -w 15 domain controller ip 3268 nc -z -v -w 15 domain controller ip 3269
Remarque : Remplacez adresse IP du contrôleur de domaine par l'adresse IP du contrôleur de domaine et nom de domaine complet par le nom de domaine complet.apt-get install -y adcli adcli info -S Domain FQDN adcli info -S domain controller ip
- Corrigez les erreurs dès que vous les trouvez. Une fois tous les tests de port réussis, joignez manuellement l'instance au domaine.
Pour plus d'informations sur vos indicateurs de commande netcat, utilisez les résumés des indicateurs de commande suivants :
- nc -z recherche les ports ouverts sur un hôte distant mais n'établit pas de connexion complète.
Remarque : Utilisez nc -4 pour vous connecter à des adresses IPv4 uniquement. - nc -v fournit une sortie détaillée
- nc -u utilise UDP plutôt que TCP.
Remarque : Utilisez nc -t pour afficher toutes les connexions TCP. - nc -w spécifie un délai d'expiration pour la connexion qui ne peut pas être établie.
(Connecteur AD uniquement) Vérifiez les autorisations du compte AWS du service
Pour joindre une instance WorkSpace à un domaine, vous devez configurer des informations d'identification de domaine avec des autorisations déléguées. Si votre organisation utilise AD Connector, il est recommandé d'utiliser un compte de service pour communiquer avec votre Active Directory. Pour vérifier la configuration de votre connecteur AD, procédez comme suit :
- Vérifiez que le compte de service est activé dans Active Directory.
- Vérifiez que le mot de passe du compte de service n'est pas expiré.
- Vérifiez que les autorisations déléguées pour le compte de service dans l'unité d’organisation (UO) WorkSpaces sont exactes.
- Vérifiez que le nom de l'unité d'organisation dans le répertoire WorkSpaces est exact.
Par défaut, un utilisateur authentifié peut joindre jusqu'à 10 ordinateurs au domaine. Si vous dépassez ce quota, vous rencontrez des problèmes lorsque vous essayez de joindre un domaine. Pour plus d'informations sur la modification du quota, consultez la page Limite par défaut du nombre de postes de travail qu'un utilisateur peut joindre au domaine sur le site Web de Microsoft.
Informations connexes
Les instances Linux ne peuvent pas joindre un domaine ni s'authentifier
Contenus pertinents
- demandé il y a un anlg...
- demandé il y a un anlg...
- demandé il y a 7 moislg...
- demandé il y a 8 moislg...
- Réponse acceptéedemandé il y a 2 moislg...
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 5 mois
- AWS OFFICIELA mis à jour il y a 2 mois
- AWS OFFICIELA mis à jour il y a un mois