使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

為什麼 MFA 在 AWS Managed Microsoft AD 目錄或 AD 連接器會失敗?

1 分的閱讀內容
0

我已經在我的 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 目錄或 AD 連接器啟用多重要素驗證 (MFA)。但是,MFA 失敗了。如何對此問題進行疑難排解?

解決方法

與您的 AWS Managed Microsoft AD 或 AD 連接器相關的安全群組,必須具有規則可允許連接埠 UDP 1812 的傳出流量傳輸到與 RADIUS 伺服器關聯的安全群組。

**注意:**如果您使用自訂 UDP 連接埠進行 MFA 驗證,請在下列項目允許自訂 UDP 連接埠流量:

  • 與 AWS Managed Microsoft AD 或 AD 連接器相關聯之安全群組的傳出規則。
  • 與 RADIUS 伺服器關聯之安全群組的傳入規則。

確認 AWS Managed Microsoft AD 或 AD 連接器安全群組的傳出流量是否允許連接埠 UDP 1812 或 MFA 的自訂 UDP 連接埠

  1. 若要尋找與 DNS 伺服器關聯的安全群組,請開啟 AWS Directory Service 主控台,並記下 DNS 地址下的 IP 地址。
  2. 開啟 Amazon Elastic Compute Cloud (Amazon EC2) 主控台,然後選擇網路界面
  3. 在搜尋欄位,輸入在步驟 1 找到的 DNS IP 地址,然後選取該界面的核取方塊。
  4. 詳細資訊底下,選取安全群組中列出的安全群組。
  5. 選取檢視傳出規則。確認是否存在規則可允許 UDP 連接埠 UPD 1812 或 MFA 自訂 UDP 連接埠的傳出流量到與 RADIUS EC2 執行個體相關聯的 IP 地址空間或安全群組。

確認目錄服務的私密金鑰與 RADIUS 伺服器設定的金鑰相同

RADIUS 用戶端與伺服器必須使用相同的共用密碼或金鑰。檢查 RADIUS 伺服器日誌以取得進一步資訊。檢查 Radius 日誌的方法取決於您的組態。如需存取日誌的指示,請檢閱組態的說明文件。


相關資訊

為 AWS Managed Microsoft AD 啟用多重要素驗證

啟用 AD 連接器的多重要素驗證

AWS 官方
AWS 官方已更新 3 年前