Comment puis-je résoudre les problèmes liés à un espace de travail qui ne parvient pas à rejoindre un domaine ?

Dernière mise à jour : 07/09/2022

Lorsque je crée une instance Amazon WorkSpaces, je reçois un message d'erreur similaire à ce qui suit :

« Un problème est survenu lors de la jonction de l'instance WorkSpace à votre domaine. Vérifiez que votre compte de service est autorisé à effectuer des opérations de jonction de domaine. Si vous continuez à rencontrer un problème, contactez AWS Support. »

Comment puis-je résoudre ce problème ?

Résolution

Les espaces de travail sont des membres du domaine Active Directory qui doivent communiquer avec les contrôleurs de domaine d'Active Directory. Si vous utilisez AWS AD Connector, les autorisations du compte de service doivent permettre la jonction de domaine. Suivez les étapes de dépannage suivantes pour résoudre les problèmes d'association de domaines.

Communiquer avec les contrôleurs de domaine

Pour rejoindre un domaine et authentifier les utilisateurs, WorkSpaces contacte les contrôleurs de domaine en utilisant une interface réseau Elastic dans votre cloud privé virtuel (VPC). Vérifiez les paramètres de configuration suivants :

  1. Assurez-vous que l'espace de travail peut communiquer avec Active Directory via n'importe quelle ressource VPC. Ces ressources incluent des groupes de sécurité, des listes de contrôle d'accès au réseau (ACL réseau) et des tables de routage. Vérifiez également que l'espace de travail peut communiquer avec vos contrôleurs de domaine sur site ou autogérés dans Active Directory.
    TCP/UDP 53 : DNS
    TCP/UDP 88 : authentification Kerberos
    UDP 123 : NTP
    TCP 135 : RPC
    TCP/UDP 389: LDAP
    TCP/UDP 445 : SMB
    TCP/UDP 464 : authentification Kerberos
    TCP 636 : LDAP sur TLS/SSL (LDAPS)
    TCP 3268—3269 : catalogue global
    TCP/UDP 49152–65535 : ports éphémères pour RPC
    Pour plus d'informations, consultez Configurer les sous-réseaux et les groupes de sécurité de votre VPC.
  2. Testez l'accès TCP/UDP aux contrôleurs de domaine en lançant une instance Amazon Elastic Compute Cloud (Amazon EC2) sur chaque sous-réseau WorkSpaces.
    Par exemple, DirectoryServicePortTest.
    Consultez Tester votre connecteur AD pour plus d'informations.

Autorisations des comptes de service (AD Connector uniquement)

Des informations d'identification de domaine valides sont requises pour joindre un ordinateur à un domaine. Si votre entreprise utilise AD Connector, il est recommandé d'utiliser un compte de service pour communiquer avec votre Active Directory. Suivez ces étapes pour configurer AD Connector :

  1. Validez votre compte de service.
    Vérifiez que le compte de service est activé.
    Vérifiez que le mot de passe du compte n'a pas expiré.
    Vérifiez que les membres du domaine peuvent utiliser leurs informations d'identification pour se connecter correctement au domaine.
  2. Déléguez la gestion des unités d'organisation (UO) pour contourner la limite de jointures de domaine pour le compte d'utilisateur utilisé pour le compte de service.
    Créez un groupe d'utilisateurs pour déléguer des privilèges.
    Ajoutez le compte de service au groupe d'utilisateurs en tant que membre.
    Déléguez le contrôle de l'unité d'organisation pour les ordinateurs membres du domaine au groupe d'utilisateurs. La valeur par défaut est « Ordinateurs. »
    Pour plus d'informations, consultez Déléguer des privilèges à votre compte de service et Limite par défaut du nombre de postes de travail qu'un utilisateur peut rejoindre au domaine.
  3. Vérifiez que l'unité d'organisation (UO) configurée et personnalisée de votre annuaire ou de votre configuration d'annuaire connecté est valide.

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?