如何对无法加入域的工作区进行故障排除？

解决方法

工作区是 Active Directory 域成员，必须与活动目录中的域控制器进行通信。如果您使用的是 AWS AD Connector，则服务账户权限需要允许域加入。使用以下疑难解答步骤解决域加入问题。

与域控制器通信

为了加入域并对用户进行身份验证，工作区使用虚拟私有云（VPC）中的弹性网络接口与域控制器联系。验证以下配置设置：

1. 确保工作区可以通过任何 VPC 资源与 Active Directory 通信。这些资源包括安全组、网络访问控制列表和路由表。还要验证工作区是否可以与 Active Directory 中的本地或自管理域控制器进行通信。
   TCP/UDP 53: DNS
   TCP/UDP 88: Kerberos 身份验证
   UDP 123: NTP
   TCP 135: RPC
   TCP/UDP 389: LDAP
   TCP/UDP 445: SMB
   TCP/UDP 464: Kerberos 身份验证
   TCP 636: 基于 TLS/SSL 的 LDAP (LDAPS)
   TCP 3268–3269: 全局编录
   TCP/UDP 49152–65535: RPC 的临时端口
   有关更多信息，请参阅配置您的 VPC 子网和安全组。
2. 通过向每个工作区子网启动 Amazon Elastic Compute Cloud (Amazon EC2) 实例，测试对域控制器的 TCP/UDP 访问权限。
   例如，DirectoryServicePortTest。
   有关详细信息，请参阅测试您的 AD Connector。

服务账户权限（仅限 AD Connector）

要将计算机加入域，需要有效的域凭证。如果您的组织使用 AD Connector，则最佳做法是使用服务账户与您的 Active Directory 进行通信。请按照以下步骤设置 AD Connector：

1. 验证您的服务账户。
   确认服务账号已开启。
   确认账户密码未过期。
   验证域成员是否可以使用其凭证成功登录域。
2. 委派组织单位 (OU) 管理人员解决用于服务账号的用户账户的域加入限制。
   创建用于委派权限的用户组。
   将服务账号作为成员添加到用户组。
   将域成员计算机的 OU 的控制权委派给用户组。默认值为 "Computers"。
   有关详细信息，请参阅将特权委托给您的服务账户和用户可以加入域的工作站数量的默认限制。
3. 确认您的目录或连接目录配置的自定义配置 OU 有效。

---

相关信息

启动使用 AD Connector 的工作区