我已經在我的 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 目錄或 AD 連接器啟用多重要素驗證 (MFA)。但是,MFA 失敗了。如何對此問題進行疑難排解?
解決方法
與您的 AWS Managed Microsoft AD 或 AD 連接器相關的安全群組,必須具有規則可允許連接埠 UDP 1812 的傳出流量傳輸到與 RADIUS 伺服器關聯的安全群組。
**注意:**如果您使用自訂 UDP 連接埠進行 MFA 驗證,請在下列項目允許自訂 UDP 連接埠流量:
- 與 AWS Managed Microsoft AD 或 AD 連接器相關聯之安全群組的傳出規則。
- 與 RADIUS 伺服器關聯之安全群組的傳入規則。
確認 AWS Managed Microsoft AD 或 AD 連接器安全群組的傳出流量是否允許連接埠 UDP 1812 或 MFA 的自訂 UDP 連接埠
- 若要尋找與 DNS 伺服器關聯的安全群組,請開啟 AWS Directory Service 主控台,並記下 DNS 地址下的 IP 地址。
- 開啟 Amazon Elastic Compute Cloud (Amazon EC2) 主控台,然後選擇網路界面。
- 在搜尋欄位,輸入在步驟 1 找到的 DNS IP 地址,然後選取該界面的核取方塊。
- 在詳細資訊底下,選取安全群組中列出的安全群組。
- 選取檢視傳出規則。確認是否存在規則可允許 UDP 連接埠 UPD 1812 或 MFA 自訂 UDP 連接埠的傳出流量到與 RADIUS EC2 執行個體相關聯的 IP 地址空間或安全群組。
確認目錄服務的私密金鑰與 RADIUS 伺服器設定的金鑰相同
RADIUS 用戶端與伺服器必須使用相同的共用密碼或金鑰。檢查 RADIUS 伺服器日誌以取得進一步資訊。檢查 Radius 日誌的方法取決於您的組態。如需存取日誌的指示,請檢閱組態的說明文件。
相關資訊
為 AWS Managed Microsoft AD 啟用多重要素驗證
啟用 AD 連接器的多重要素驗證