Comment puis-je résoudre les problèmes liés à un espace de travail qui ne parvient pas à rejoindre un domaine ?

Résolution

Les espaces de travail sont des membres du domaine Active Directory qui doivent communiquer avec les contrôleurs de domaine d'Active Directory. Si vous utilisez AWS AD Connector, les autorisations du compte de service doivent permettre la jonction de domaine. Suivez les étapes de dépannage suivantes pour résoudre les problèmes d'association de domaines.

Communiquer avec les contrôleurs de domaine

Pour rejoindre un domaine et authentifier les utilisateurs, WorkSpaces contacte les contrôleurs de domaine en utilisant une interface réseau Elastic dans votre cloud privé virtuel (VPC). Vérifiez les paramètres de configuration suivants :

1. Assurez-vous que l'espace de travail peut communiquer avec Active Directory via n'importe quelle ressource VPC. Ces ressources incluent des groupes de sécurité, des listes de contrôle d'accès au réseau (ACL réseau) et des tables de routage. Vérifiez également que l'espace de travail peut communiquer avec vos contrôleurs de domaine sur site ou autogérés dans Active Directory.
   TCP/UDP 53 : DNS
   TCP/UDP 88 : authentification Kerberos
   UDP 123 : NTP
   TCP 135 : RPC
   TCP/UDP 389: LDAP
   TCP/UDP 445 : SMB
   TCP/UDP 464 : authentification Kerberos
   TCP 636 : LDAP sur TLS/SSL (LDAPS)
   TCP 3268—3269 : catalogue global
   TCP/UDP 49152–65535 : ports éphémères pour RPC
   Pour plus d'informations, consultez Configurer les sous-réseaux et les groupes de sécurité de votre VPC.
2. Testez l'accès TCP/UDP aux contrôleurs de domaine en lançant une instance Amazon Elastic Compute Cloud (Amazon EC2) sur chaque sous-réseau WorkSpaces.
   Par exemple, DirectoryServicePortTest.
   Consultez Tester votre connecteur AD pour plus d'informations.

Autorisations des comptes de service (AD Connector uniquement)

Des informations d'identification de domaine valides sont requises pour joindre un ordinateur à un domaine. Si votre entreprise utilise AD Connector, il est recommandé d'utiliser un compte de service pour communiquer avec votre Active Directory. Suivez ces étapes pour configurer AD Connector :

1. Validez votre compte de service.
   Vérifiez que le compte de service est activé.
   Vérifiez que le mot de passe du compte n'a pas expiré.
   Vérifiez que les membres du domaine peuvent utiliser leurs informations d'identification pour se connecter correctement au domaine.
2. Déléguez la gestion des unités d'organisation (UO) pour contourner la limite de jointures de domaine pour le compte d'utilisateur utilisé pour le compte de service.
   Créez un groupe d'utilisateurs pour déléguer des privilèges.
   Ajoutez le compte de service au groupe d'utilisateurs en tant que membre.
   Déléguez le contrôle de l'unité d'organisation pour les ordinateurs membres du domaine au groupe d'utilisateurs. La valeur par défaut est « Ordinateurs. »
   Pour plus d'informations, consultez Déléguer des privilèges à votre compte de service et Limite par défaut du nombre de postes de travail qu'un utilisateur peut rejoindre au domaine.
3. Vérifiez que l'unité d'organisation (UO) configurée et personnalisée de votre annuaire ou de votre configuration d'annuaire connecté est valide.

Informations connexes

Lancement d'une instance WorkSpace à l'aide de l’AD Connector