Pourquoi est-ce que je reçois une erreur de jonction de domaine lorsque je crée une instance WorkSpace ?

Dernière mise à jour : 28/10/2020

Lorsque je crée une instance Amazon WorkSpaces, je reçois un message d'erreur similaire à ce qui suit :

« Un problème est survenu lors de la jonction de l'instance WorkSpace à votre domaine. Vérifiez que votre compte de service est autorisé à effectuer des opérations de jonction de domaine. Si vous continuez à rencontrer un problème, contactez AWS Support. »

Comment puis-je résoudre ce problème ?

Résolution

Suivez les étapes suivantes pour tenter de dépanner cette erreur :

  • Vérifiez que les ports suivants sont ouverts sur vos contrôleurs d'annuaire pour les instances Amazon WorkSpaces CIDR VPC :
    TCP/UDP 53 : DNS
    TCP/UDP 88 : authentification Kerberos
    UDP 123 : NTP
    TCP 135 : RPC
    UDP 137-138 : Netlogon
    TCP 139 : Netlogon
    TCP/UDP 389: LDAP
    TCP/UDP 445 : SMB
    TCP 1024-65535 : ports dynamiques pour RPC
  • Vérifiez que les règles sortantes des groupes de sécurité et des listes de contrôle d'accès (ACL) réseau de l'instance WorkSpace sont ouvertes au CIDR du réseau d'annuaire.
  • Si vous utilisez un compte AD Connector, vérifiez que l'utilisateur du compte de service dispose des privilèges suivants :
    Utilisateurs et groupes en lecture
    Créer des objets ordinateur
    Joindre des ordinateurs au domaine
  • Cette erreur peut se produire si un utilisateur essaie d'ajouter plus de 10 postes de travail au conteneur Ordinateurs par défaut. Active Directory permet aux membres du groupe Utilisateurs authentifiés de rejoindre jusqu'à 10 comptes d'ordinateur. Pour confirmer s'il s'agit de la cause racine, essayez d'ajouter n'importe quelle machine au domaine avec les informations d'identification de l'utilisateur d'AD Connector. Pour résoudre ce problème, vous pouvez déléguer des privilèges à votre compte de service AD Connector.
  • Vérifiez que l'unité d'organisation (UO) configurée et personnalisée de votre annuaire ou de votre configuration d'annuaire connecté est valide. Ensuite, vérifiez que le compte de service AD Connector est autorisé à créer des objets ordinateur dans cette unité d'organisation.
  • Si vous utilisez un service AD Connector, vérifiez que le compte de service AD Connector est déverrouillé et mis à jour avec les dernières informations d'identification.
  • Si vous utilisez un service AD Connector, vérifiez que les serveurs DNS configurés dans le service AD Connector sont accessibles et disposent d'enregistrements SRV valides. Pour valider ces deux exigences, joignez une instance Amazon Elastic Compute Cloud (Amazon EC2) du VPC de l’AD Connector à votre AD sur site. Utilisez la même configuration DNS et utilisateur qu'AD Connector.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?