Pourquoi est-ce que je reçois une erreur de jonction de domaine lorsque je crée une instance WorkSpace ?

Date de la dernière mise à jour : 20/11/2019

Lorsque je crée une instance Amazon WorkSpaces, je reçois un message d'erreur similaire à ce qui suit :

« Un problème est survenu lors de la jonction de l'instance WorkSpace à votre domaine. Vérifiez que votre compte de service est autorisé à effectuer des opérations de jonction de domaine. Si vous continuez à rencontrer un problème, contactez AWS Support. »

Comment puis-je résoudre ce problème ?  

Résolution

Suivez les étapes suivantes pour tenter de dépanner cette erreur :

  • Vérifiez que les ports suivants sont ouverts sur vos contrôleurs d'annuaire pour les instances WorkSpace CIDR VPC :
    TCP/UDP 53 : DNS
    TCP/UDP 88 : authentification Kerberos
    UDP 123 : NTP
    TCP 135 : RPC
    UDP 137-138 : Netlogon
    TCP 139 : Netlogon
    TCP/UDP 389: LDAP
    TCP/UDP 445 : SMB
    TCP 1024-65535 : ports dynamiques pour RPC
  • Vérifiez que les règles sortantes des groupes de sécurité et des listes de contrôle d'accès (ACL) réseau de l'instance WorkSpace sont ouvertes au CIDR du réseau d'annuaire.
  • Si vous utilisez un compte AD Connector, vérifiez que l'utilisateur du compte de service dispose des privilèges suivants :
    Utilisateurs et groupes en lecture
    Créer des objets ordinateur
    Joindre des ordinateurs au domaine

  • Cette erreur peut se produire si un utilisateur essaie d'ajouter plus de 10 postes de travail au conteneur Ordinateurs par défaut. Active Directory permet aux membres du groupe Utilisateurs authentifiés de rejoindre jusqu'à 10 comptes d'ordinateur. Pour confirmer s'il s'agit de la cause racine, essayez d'ajouter n'importe quelle machine au domaine avec les informations d'identification de l'utilisateur d'AD Connector. Pour résoudre ce problème, vous pouvez déléguer des privilèges à votre compte de service AD Connector.
  • Vérifiez que l'unité d'organisation (UO) configurée et personnalisée de votre annuaire ou de votre configuration d'annuaire connecté est valide. Ensuite, vérifiez que le compte de service AD Connector est autorisé à créer des objets ordinateur dans cette unité d'organisation.
  • Vérifiez que le compte de service AD Connector a été déverrouillé et qu'il est mis à jour avec les dernières informations d'identification.
  • Vérifiez que les serveurs DNS configurés dans le compte de service sont accessibles et qu'ils disposent d'enregistrements SRV valides. Pour valider ces deux exigences, joignez une instance Amazon Elastic Compute Cloud (Amazon EC2) du VPC de l’AD Connector à votre AD sur site. Utilisez la même configuration DNS et utilisateur qu'AD Connector.

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?