为什么我在创建工作区时遇到域加入错误?

上次更新时间:2019 年 11 月 20 日

在创建 Amazon WorkSpaces 工作区时,我收到一条与下列类似的错误消息:

"There was an issue joining the WorkSpace to your domain.Verify that your service account is allowed to complete domain join operations.If you continue to see an issue, contact AWS Support."

如何修复此问题?  

解决方法

尝试以下故障排查步骤以解决此错误:

  • 确认 WorkSpaces VPC CIDR 目录控制器上的以下端口处于打开状态:
    TCP/UDP 53:DNS
    TCP/UDP 88:Kerberos 身份验证
    UDP 123:NTP
    TCP 135:RPC
    UDP 137-138:Netlogon
    TCP 139:Netlogon
    TCP/UDP 389:LDAP
    TCP/UDP 445:SMB
    TCP 1024-65535:RPC 动态端口
  • 确认工作区安全组网络访问控制列表 (ACL) 中的出站规则对 Directory Network CIDR 开放。
  • 如果您使用 AD Connector 账户,确认服务账户用户拥有以下权限:
    读取用户和组
    创建计算机对象
    将计算机加入域

  • 此错误可能在用户尝试添加超过 10 个工作站到默认计算机容器时发生。Active Directory 允许已通过身份验证用户组的成员加入最多 10 个计算机账户。要确认它是否为根本原因,尝试使用 AD Connector 用户凭证将任何机器添加到域。要修复此问题,您可以向您的 AD Connector 服务账户委派权限
  • 确认您的目录或连接目录配置的自定义配置组织单位 (OU) 有效。然后,验证 AD Connector 服务账户有在该 OU 中创建计算机对象的权限。
  • 验证 AD Connector 服务账户处于解锁状态,而且已使用最新的凭证进行过更新
  • 确认服务账户中配置的 DNS 服务器可以访问,而且它们有有效的 SRV 记录。要验证这两项要求,将 AD Connector VPC 的 Amazon Elastic Compute Cloud (Amazon EC2) 实例加入到您的本地 AD。使用与 AD Connector 相同的 DNS 和用户配置。

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助吗?