如何对无法加入域的工作区进行故障排除?

上次更新日期:2022 年 9 月 7 日

在用 Amazon WorkSpaces 创建工作区时,我收到一条与下列类似的错误消息:

"There was an issue joining the WorkSpace to your domain.Verify that your service account is allowed to complete domain join operations.If you continue to see an issue, contact AWS Support."

如何修复此问题?

解决方法

工作区是 Active Directory 域成员,必须与活动目录中的域控制器进行通信。如果您使用的是 AWS AD Connector,则服务账户权限需要允许域加入。使用以下疑难解答步骤解决域加入问题。

与域控制器通信

为了加入域并对用户进行身份验证,工作区使用虚拟私有云(VPC)中的弹性网络接口与域控制器联系。验证以下配置设置:

  1. 确保工作区可以通过任何 VPC 资源与 Active Directory 通信。这些资源包括安全组、网络访问控制列表和路由表。还要验证工作区是否可以与 Active Directory 中的本地或自管理域控制器进行通信。
    TCP/UDP 53: DNS
    TCP/UDP 88: Kerberos 身份验证
    UDP 123: NTP
    TCP 135: RPC
    TCP/UDP 389: LDAP
    TCP/UDP 445: SMB
    TCP/UDP 464: Kerberos 身份验证
    TCP 636: 基于 TLS/SSL 的 LDAP (LDAPS)
    TCP 3268–3269: 全局编录
    TCP/UDP 49152–65535: RPC 的临时端口
    有关更多信息,请参阅配置您的 VPC 子网和安全组
  2. 通过向每个工作区子网启动 Amazon Elastic Compute Cloud (Amazon EC2) 实例,测试对域控制器的 TCP/UDP 访问权限。
    例如,DirectoryServicePortTest
    有关详细信息,请参阅测试您的 AD Connector

服务账户权限(仅限 AD Connector)

要将计算机加入域,需要有效的域凭证。如果您的组织使用 AD Connector,则最佳做法是使用服务账户与您的 Active Directory 进行通信。请按照以下步骤设置 AD Connector:

  1. 验证您的服务账户。
    确认服务账号已开启。
    确认账户密码未过期。
    验证域成员是否可以使用其凭证成功登录域。
  2. 委派组织单位 (OU) 管理人员解决用于服务账号的用户账户的域加入限制。
    创建用于委派权限的用户组。
    将服务账号作为成员添加到用户组。
    将域成员计算机的 OU 的控制权委派给用户组。默认值为 "Computers"。
    有关详细信息,请参阅将特权委托给您的服务账户用户可以加入域的工作站数量的默认限制
  3. 确认您的目录或连接目录配置的自定义配置 OU 有效。

这篇文章对您有帮助吗?


您是否需要账单或技术支持?