Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Grundlegendes zu AWS Managed Microsoft AD (Hybrid Edition)
<a name="aws-hybrid-directory"></a>

*AWS Managed Microsoft AD (Hybrid Edition)* ermöglicht es Ihnen, Ihr bestehendes Active Directory um das AWS Cloud mit AWS Managed Microsoft AD zu erweitern. Diese Funktion erleichtert die Migration Ihrer AD-abhängigen Workloads AWS, die Einführung von AWS Diensten und die Erhöhung Ihrer Active Directory-Redundanz. AWS führt in regelmäßigen Abständen Verzeichnisbewertungen für Ihr Hybridverzeichnis durch, die Sie in der Konsole einsehen können. Directory Service 

Ein Hybridverzeichnis Directory Service verbindet Ihr vorhandenes *AWS Verzeichnis *Microsoft Active Directory*mit dem Directory Service für Microsoft Active Directory* (AWS Managed Microsoft AD). Dadurch entsteht eine integrierte Identitätsumgebung, AWS die sich über lokale Infrastrukturen und Multi-Cloud-Infrastrukturen erstreckt, sodass Sie eine einzige Identitätsquelle verwalten und gleichzeitig Ihre Verzeichnisdienste auf erweitern können. AWS

Eine hybride Verzeichniskonfiguration bietet mehrere wichtige Funktionen:
+ Erweiterung von selbstverwaltetem AD auf die, AWS Cloud ohne dass eine Vertrauensbeziehung aufgebaut werden muss
+ Nahtlose Authentifizierung und Autorisierung in allen Umgebungen mithilfe vorhandener Active Directory-Anmeldeinformationen
+ Konsistente Benutzeranmeldedaten und Gruppenmitgliedschaften in Ihren beiden AD-Umgebungen
+ Zentralisierte Verwaltung der AD-Zugriffsrichtlinien und -berechtigungen

**Topics**
+ [Voraussetzungen für Hybrid-Verzeichnisse](create_hybrid_directory_prereqs.md)
+ [Ein Hybridverzeichnis erstellen](hybrid_directory_create.md)
+ [Ein Hybridverzeichnis anzeigen und bearbeiten](hybrid_directory_view_and_edit.md)
+ [Löschen eines Hybridverzeichnisses](hybrid_directory_delete.md)
+ [Verzeichnisbewertungen für hybride Verzeichnisse](hybrid_directory_assessment.md)
+ [Fehlerbehebung bei der Bewertung von Hybridverzeichnissen und Verzeichnissen](hybrid_directory_troubleshooting.md)

# Voraussetzungen für Hybrid-Verzeichnisse
<a name="create_hybrid_directory_prereqs"></a>

Das Hybridverzeichnis erweitert Ihr selbstverwaltetes Active Directory um das AWS Cloud. Bevor Sie ein Hybridverzeichnis erstellen, stellen Sie sicher, dass Ihre Umgebung die folgenden Anforderungen erfüllt:

## Microsoft Active DirectoryAnforderungen an die Domäne
<a name="create_hybrid_directory_prereqs-ad-domain"></a>

Bevor Sie ein Hybridverzeichnis erstellen, stellen Sie sicher, dass Ihre selbstverwaltete AD-Umgebung und Infrastruktur die folgenden Anforderungen erfüllen, und stellen Sie die erforderlichen Informationen zusammen.

### Anforderungen an die Domäne
<a name="domain_requirements"></a>

Ihre selbstverwaltete AD-Umgebung muss die folgenden Anforderungen erfüllen:
+ Verwendet eine Windows Server 2012 R2 oder 2016 funktionale Ebene.
+ Verwendet Standard-Domänencontroller, die für die Erstellung von Hybridverzeichnissen bewertet werden. Read-Only Domain Controller (RODC) können nicht für die Erstellung von Hybridverzeichnissen verwendet werden.
+ Hat zwei Domänencontroller, auf denen alle Active Directory-Dienste ausgeführt werden.
+ Der primäre Domänencontroller (PDC) muss jederzeit routingfähig sein.

  Insbesondere müssen der PDC-Emulator und der RID-Master IPs Ihres selbstverwalteten AD zu einer der folgenden Kategorien gehören:
  + Teil der RFC1918 privaten IP-Adressbereiche (10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16)
  + Innerhalb Ihres VPC CIDR-Bereichs
  + Ordnen Sie dem Verzeichnis den DNS IPs Ihrer selbstverwalteten Instances zu

  Sie können zusätzliche IP-Routen für das Verzeichnis hinzufügen, nachdem das Hybridverzeichnis erstellt wurde.

### Erforderliche Informationen
<a name="required_information"></a>

Sammeln Sie die folgenden Informationen über Ihr selbstverwaltetes AD:
+ DNS-Name des Verzeichnisses
+ Verzeichnis-DNS IPs
+ Anmeldeinformationen für das Dienstkonto mit Administratorberechtigungen für Ihr selbstverwaltetes AD
+ AWS Geheimer ARN zum Speichern der Anmeldeinformationen Ihres Dienstkontos (siehe[AWS Geheimer ARN für Hybridverzeichnis](#aws_secret_arn_for_hybrid))

### AWS Geheimer ARN für Hybridverzeichnis
<a name="aws_secret_arn_for_hybrid"></a>

Um ein Hybridverzeichnis mit Ihrem selbstverwalteten AD zu konfigurieren, müssen Sie einen KMS-Schlüssel erstellen, um Ihr AWS Geheimnis zu verschlüsseln, und dann das Geheimnis selbst erstellen. Beide Ressourcen müssen in derselben Ressource erstellt werden, die AWS-Konto das Hybridverzeichnis enthält.

#### Erstellen Sie einen KMS-Schlüssel
<a name="create_kms_key_for_hybrid"></a>

Der KMS-Schlüssel wird verwendet, um Ihr AWS Geheimnis zu verschlüsseln.

**Wichtig**  
Verwenden Sie für **Verschlüsselungsschlüssel** nicht den standardmäßigen  AWS -KMS-Schlüssel. Stellen Sie sicher, dass Sie den AWS KMS-Schlüssel in demselben Ordner erstellen, der das Hybridverzeichnis enthält AWS-Konto , das Sie für die Verbindung mit Ihrem selbstverwalteten AD erstellen möchten.

**Um einen AWS KMS-Schlüssel zu erstellen**

1. Wählen Sie in der AWS KMS Konsole **Create Key** aus.

1. Wählen Sie für **Schlüsseltyp** **Symmetrisch** aus.

1. Wählen Sie für **Schlüsselnutzung** die Option **Verschlüsseln und Entschlüsseln** aus.

1. Für **Advanced options (Erweiterte Optionen)**:

   1. Wählen Sie unter **Schlüsselmaterialursprung** **KMS** aus.

   1. **Wählen Sie für **Regionality** die Option **Single Region Key und dann** Next aus.**

1. Geben Sie für **Alias** einen Namen für den KMS-Schlüssel an.

1. (Optional) Geben Sie unter **Beschreibung** eine Beschreibung des KMS-Schlüssels an.

1. **(Optional) Fügen Sie für **Tags Tags** für den KMS-Schlüssel hinzu und wählen Sie Weiter.**

1. Wählen Sie für **Schlüsseladministratoren** einen IAM-Benutzer aus.

1. Behalten Sie für das **Löschen von Schlüsseln** die Standardauswahl für **Schlüsseladministratoren das Löschen dieses Schlüssels zulassen** bei und wählen Sie **Weiter**.

1. Wählen Sie für **Key-Benutzer** denselben IAM-Benutzer aus dem vorherigen Schritt aus und klicken Sie auf **Weiter**.

1. Prüfen Sie die Konfiguration.

1. Fügen Sie **unter Schlüsselrichtlinie** die folgende Erklärung zur Richtlinie hinzu:

1. Wählen Sie **Finish** (Abschließen).

#### Erstellen Sie ein AWS Geheimnis
<a name="create_aws_secret_for_hybrid"></a>

Erstellen Sie in Secrets Manager ein Geheimnis, um die Anmeldeinformationen für Ihr selbstverwaltetes AD-Benutzerkonto zu speichern.

**Wichtig**  
Erstellen Sie das Geheimnis in demselben Verzeichnis AWS-Konto , das das Hybridverzeichnis enthält, das Sie mit Ihrem selbstverwalteten AD verbinden möchten.

So erstellen Sie ein Secret
+ Wählen Sie im Secrets Manager die Option **Neues Geheimnis speichern**
+ Wählen Sie für **Geheimtyp** die Option **Anderer Geheimtyp**
+ Fügen Sie für **Schlüssel/Wert-Paare** Ihre beiden Schlüssel hinzu:

1. <a name="add_username_key"></a>Fügen Sie den Benutzernamenschlüssel hinzu

   1. Geben Sie als ersten Schlüssel `customerAdAdminDomainUsername` ein.

   1. Geben Sie als Wert für den ersten Schlüssel nur den Benutzernamen (ohne das Domain-Präfix) des AD-Benutzers ein. Geben Sie den Domain-Namen nicht an, da dies dazu führt, dass die Instance-Erstellung fehlschlägt.

1. <a name="add_password_key"></a>Fügen Sie den Passwortschlüssel hinzu

   1. Geben Sie als zweiten Schlüssel `customerAdAdminDomainPassword` ein.

   1. Geben Sie als Wert des zweiten Schlüssels das Passwort ein, das Sie für den AD-Benutzer in Ihrer Domain erstellt haben.

##### Vervollständigen Sie die geheime Konfiguration
<a name="complete_secret_configuration"></a>

1. Wählen Sie **unter Verschlüsselungsschlüssel** den KMS-Schlüssel aus, den Sie in erstellt haben, [Erstellen Sie einen KMS-Schlüssel](#create_kms_key_for_hybrid) und klicken Sie auf **Weiter**.

1. Geben Sie **unter Geheimer Name** eine Beschreibung für das Geheimnis ein.

1. (Optional) Geben Sie unter **Beschreibung** eine Beschreibung für das Geheimnis ein.

1. Wählen Sie **Weiter** aus.

1. Behalten Sie für **Rotationseinstellungen konfigurieren** die Standardwerte bei und wählen Sie **Weiter** aus.

1. Überprüfen Sie die Einstellungen für das Geheimnis und wählen Sie **Speichern** aus.

1. Wählen Sie das von Ihnen erstellte Secret aus und kopieren Sie den Wert für den **Secret-ARN**. Sie werden diesen ARN im nächsten Schritt verwenden, um Ihr selbstverwaltetes Active Directory einzurichten.

### Anforderungen an die Infrastruktur
<a name="infrastructure_requirements"></a>

Bereiten Sie die folgenden Infrastrukturkomponenten vor:
+ Zwei AWS Systems Manager Knoten mit Administratorrechten für SSM-Agenten
  + Wenn Ihr Active Directory **außerhalb von selbst verwaltet** wird AWS Cloud, benötigen Sie zwei Systems Manager Manager-Knoten für eine Hybrid- und Multi-Cloud-Umgebung. Weitere Informationen zur Bereitstellung dieser Knoten finden Sie unter [Systems Manager für Hybrid- und Multicloud-Umgebungen einrichten](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
  + Wenn Ihr Active Directory **innerhalb von selbst verwaltet** wird AWS Cloud, benötigen Sie zwei von Systems Manager verwaltete EC2-Instances. Weitere Informationen zur Bereitstellung dieser Instances finden Sie unter [EC2-Instances mit Systems Manager verwalten](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

## Erforderliche Active Directory-Dienste
<a name="create_hybrid_directory_prereqs-ad-services"></a>

Stellen Sie sicher, dass die folgenden Dienste auf Ihrem selbstverwalteten AD ausgeführt werden:
+ Active Directory Domain Services
+ Active Directory-Webdienst (ADWS)
+ COM\$1-Veranstaltungssystem
+ DFS-Replikation (Distributed File System Replication, DFSR)
+ Domain Name System (DNS)
+ DNS-Server
+ Gruppenrichtlinien-Client
+ Standortübergreifendes Messaging
+ Remote Procedure Call (RPC)
+ Manager für Sicherheitskonten
+ Windows-Zeitserver
**Anmerkung**  
Für das Hybridverzeichnis muss sowohl der UDP-Port 123 geöffnet als auch der Windows Time Server aktiviert und funktionsfähig sein. Wir synchronisieren die Uhrzeit mit Ihrem Domänencontroller, um sicherzustellen, dass die hybride Verzeichnisreplikation ordnungsgemäß funktioniert.

## Anforderungen an die Kerberos-Authentifizierung
<a name="create_hybrid_directory_prereqs-ad-kerberos"></a>

Für Ihre Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Ausführliche Anweisungen zur Aktivierung dieser Einstellung finden Sie unter [Stellen Sie sicher, dass die Kerberos-Vorauthentifizierung](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos) aktiviert ist. [Allgemeine Informationen zu dieser Einstellung finden Sie unter Vorauthentifizierung ein.](http://technet.microsoft.com/en-us/library/cc961961.aspx) Microsoft TechNet

## Unterstützte Verschlüsselungstypen
<a name="create_hybrid_directory_prereqs-encryption"></a>

Hybrid Directory unterstützt die folgenden Verschlüsselungstypen bei der Authentifizierung über Kerberos bei Ihren Active Directory-Domänencontrollern:
+ AES-256-HMAC

## Anforderungen an den Netzwerkport
<a name="create_hybrid_directory_prereqs-ports"></a>

 AWS Um Ihre selbstverwalteten Active Directory-Domänencontroller zu erweitern, muss die Firewall für Ihr vorhandenes Netzwerk die folgenden Ports CIDRs für beide Subnetze in Ihrer Amazon VPC geöffnet haben:
+ TCP/UDP 53 – DNS
+ TCP/UDP 88 – Kerberos-Authentifizierung
+ UDP 123 — Zeitserver
+ TCP 135 — Prozeduraufruf aus der Ferne
+ TCP/UDP 389 – LDAP
+ TCP 445 – SMB
+ TCP 636 — Wird nur für Umgebungen mit Lightweight Directory Access Protocol Secure (LDAPS) benötigt
+ TCP 49152-65535 — RPC hat nach dem Zufallsprinzip hohe TCP-Ports zugewiesen
+ TCP 3268 und 3269 — Globaler Katalog
+ TCP 9389 Active Directory-Webdienste (ADWS)

Dies sind die Mindestports, die zum Erstellen eines Hybridverzeichnisses erforderlich sind. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnung zusätzlicher Ports.

**Anmerkung**  
Das DNS, das für Ihre Domain-Controller und FSMO-Rolleninhaber IPs bereitgestellt wird, muss die oben genannten Ports CIDRs für beide Subnetze in der Amazon VPC offen haben.

**Anmerkung**  
Für das Hybridverzeichnis muss sowohl der UDP-Port 123 geöffnet als auch der Windows Time Server aktiviert und funktionsfähig sein. Wir synchronisieren die Uhrzeit mit Ihrem Domänencontroller, um sicherzustellen, dass die hybride Verzeichnisreplikation ordnungsgemäß funktioniert.

## AWS-Konto Berechtigungen
<a name="hybrid-dir-prereq-perms"></a>

Sie benötigen Berechtigungen für die folgenden Aktionen in Ihrem AWS-Konto:
+ ec2: AuthorizeSecurityGroupEgress
+ ec2: AuthorizeSecurityGroupIngress
+ ec2: CreateNetworkInterface
+ ec2: CreateSecurityGroup
+ ec2: DescribeNetworkInterfaces
+ ec2: DescribeSubnets
+ ec2: DescribeVpcs
+ ec2: CreateTags
+ ec2: CreateNetworkInterfacePermission
+ ssm: ListCommands
+ ssm: GetCommandInvocation
+ ssm: GetConnectionStatus
+ ssm: SendCommand
+ Verwalter von Geheimnissen: DescribeSecret
+ Verwalter von Geheimnissen: GetSecretValue
+ ich bin: GetRole
+ ich bin: CreateServiceLinkedRole

## Amazon VPC-Netzwerkanforderungen
<a name="hybrid-dir-prereqs-vpc"></a>

Eine VPC mit den folgenden Eigenschaften:
+ Mindestens zwei Subnetze. Jedes der Subnetze muss sich in einer anderen Availability Zone befinden
+ Die VPC muss über eine Standardmietdauer verfügen

Sie können kein Hybridverzeichnis in einer VPC mit Adressen im 198.18.0.0/15-Adressraum erstellen.

Directory Service verwendet eine Struktur mit zwei VPCs. Die EC2-Instances, aus denen Ihr Verzeichnis besteht AWS-Konto, werden außerhalb Ihres Verzeichnisses ausgeführt und von diesem verwaltet. AWS Sie haben zwei Netzwerkadapter `ETH0` und `ETH1`. `ETH0` ist der Verwaltungsadapter und existiert außerhalb Ihres Kontos. `ETH1` wird in Ihrem Konto erstellt.

Der Management-IP-Bereich des ETH0 Netzwerks für Ihr Verzeichnis lautet`198.18.0.0/15`.

Weitere Informationen finden Sie unter den folgenden Themen im *Amazon VPC Benutzerhandbuch*:
+ [Was ist Amazon VPC?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs und Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [Was ist AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)

Weitere Informationen zu AWS Direct Connect finden Sie unter [Was ist AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

## AWS Konfiguration der Sicherheitsgruppe
<a name="hybrid-dir-prereqs-security-group"></a>

 AWS Fügt standardmäßig eine Sicherheitsgruppe hinzu, um den Netzwerkzugriff auf die AWS Systems Manager verwalteten Knoten in Ihrer VPC zu ermöglichen. Sie können optional Ihre eigene Sicherheitsgruppe angeben, die Netzwerkverkehr zu und von Ihren selbstverwalteten Domänencontrollern außerhalb Ihrer VPC ermöglicht.

Sie können optional Ihre eigene Sicherheitsgruppe angeben, die Netzwerkverkehr zu und von Ihren selbstverwalteten Domänencontrollern außerhalb Ihrer VPC ermöglicht. Wenn Sie Ihre eigene Sicherheitsgruppe angeben, müssen Sie:
+ Ihre VPC CIDR Bereiche und selbst verwalteten Bereiche auf die Zulassungsliste setzen.
+ Stellen Sie sicher, dass sich diese Bereiche nicht mit [AWS reservierten](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) IP-Bereichen überschneiden 

## Überlegungen zur Verzeichnisbewertung
<a name="hybrid-dir-prereqs-assessments"></a>

Bei der Erstellung von Verzeichnisbewertungen und der Anzahl der Bewertungen, die Sie in Ihrem Verzeichnis haben können, sollten Sie Folgendes beachten AWS-Konto:
+ Eine Verzeichnisbewertung wird automatisch erstellt, wenn Sie ein Hybridverzeichnis erstellen. Es gibt zwei Arten von Bewertungen: `CUSTOMER` und`SYSTEM`. Ihre AWS-Konto hat ein Limit von 100 `CUSTOMER` Verzeichnisbewertungen.
+ Wenn Sie versuchen, ein Hybridverzeichnis zu erstellen, und Sie bereits über 100 `CUSTOMER` Verzeichnisbewertungen verfügen, tritt ein Fehler auf. Löschen Sie die Bewertungen, um Kapazität freizugeben, bevor Sie es erneut versuchen.
+ Sie können eine Erhöhung Ihres Kontingents für die `CUSTOMER` Verzeichnisbewertung beantragen, indem Sie sich an CUSTOMER wenden Support oder bestehende Kundenverzeichnisbewertungen löschen, um Speicherplatz freizugeben.

# Ein Hybridverzeichnis erstellen
<a name="hybrid_directory_create"></a>

Bevor Sie ein Hybridverzeichnis erstellen, müssen Sie eine Verzeichnisbewertung erstellen und diese erfolgreich bestehen, um die Konnektivität und Interoperabilität mit Ihrem selbstverwalteten Active Directory zu überprüfen

## Erstellen Sie ein Hybridverzeichnis mit Ihrem selbstverwalteten AD
<a name="creating_hybrid_directory"></a>

Gehen Sie wie folgt vor, um ein Hybridverzeichnis mit Ihrem selbstverwalteten AD zu erstellen:

**Um ein Hybridverzeichnis zu erstellen**

1. Öffnen Sie die Directory Service Konsole für die gewünschte Region.

1. **Wählen Sie auf der Seite Verzeichnistyp** auswählen die Option **AWS Managed Microsoft AD** aus.

1. Wählen Sie unter **Erste Schritte mit AWS verwaltetem Microsoft AD** **die Option Erweitern Sie Ihre AD-Domäne um ein Hybridverzeichnis — neu** aus und klicken Sie dann auf **Weiter**. Dadurch werden Sie zur **Bewertungsseite „Verzeichnis erstellen**“ weitergeleitet.

1. Bevor Sie ein Hybridverzeichnis erstellen können, müssen Sie zunächst eine Verzeichnisbewertung erstellen und diese erfolgreich bestehen. Gehen Sie wie unter beschrieben vor, um eine Verzeichnisbewertung zu erstellen[Verzeichnisbewertungen werden erstellt](create_directory_assessment.md). Sobald Sie eine Verzeichnisbewertung erfolgreich bestanden haben, können Sie mit diesem Verfahren fortfahren.

1. Sobald Sie eine Verzeichnisbewertung erfolgreich bestanden haben, navigieren Sie zur Seite **Verzeichnisse**.

1. Wählen Sie auf der Seite **Verzeichnisse** unter **Trial Hybrid Directory Assessments** eine **Bewertungs-ID** mit dem **Status** Trial aus`SUCCESS`. Wählen Sie dann **Hybridverzeichnis erstellen** aus, wodurch Sie zur Seite mit den Bewertungsdetails weitergeleitet werden

1. Bestätigen Sie diese Aktion auf der Seite mit den Bewertungsdetails, indem **Sie Hybridverzeichnis erstellen** auswählen. Daraufhin wird die Seite **Hybridverzeichnis mit Assessment-ID erstellen** geöffnet.

1. **Überprüfen Sie auf der Seite **Hybridverzeichnis mithilfe der Assessment-ID erstellen** die Informationen zum selbstverwalteten** Active Directory. Nachdem Sie die Informationen bestätigt haben, wählen Sie Hybridverzeichnis **erstellen** aus.

   Nachdem **Sie Hybridverzeichnis erstellen** ausgewählt haben, AWS führt Sie auf der Grundlage dieser Informationen eine weitere Verzeichnisbewertung durch, um zu bestätigen, dass Ihre selbstverwaltete AD-Konfiguration noch gültig ist. Wenn die Verzeichnisbewertung erfolgreich abgeschlossen wurde, erstellen wir das Hybridverzeichnis.

1. Wenn Sie „**Hybridverzeichnis erstellen**“ wählen, kehren Sie zur Seite „**Verzeichnisse**“ zurück.

   1. Sobald das Hybridverzeichnis erfolgreich erstellt wurde, erscheint ein grünes Banner.

   1. Ein rotes Banner erscheint, wenn die Erstellung des Hybridverzeichnisses fehlschlägt. Bereinigen Sie Fehler bei der Erstellung von Hybridverzeichnissen, indem Sie wie folgt vorgehen:

      1. Löschen Sie das fehlgeschlagene Hybridverzeichnis in der Konsole.

      1. Löschen Sie alle verbleibenden AWS Reserved OUs in Ihrem selbstverwalteten AD.

   **Weitere Informationen**
   + [Löschen eines Hybridverzeichnisses](hybrid_directory_delete.md)
   + [Fehlerbehebung](hybrid_directory_troubleshooting.md)

# Ein Hybridverzeichnis anzeigen und bearbeiten
<a name="hybrid_directory_view_and_edit"></a>

Gehen Sie wie folgt vor, um Ihr Hybridverzeichnis anzuzeigen oder zu bearbeiten.

## Ein Hybridverzeichnis anzeigen
<a name="viewing_hybrid_dir"></a>

Sie können ein Hybridverzeichnis in der Directory Service Konsole anzeigen.

**So rufen Sie detaillierte Informationen zu einem Verzeichnis auf**

1. Wählen Sie im Navigationsbereich der [Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Directories** aus.

1. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis. Informationen über das Verzeichnis werden auf der Seite mit den **Verzeichnisdetails** angezeigt.

### Informationen zum selbstverwalteten Active Directory
<a name="self-managed-active-directory-information"></a>

Dieser Abschnitt enthält Informationen zu Ihrem selbstverwalteten Active Directory, das mit AWS der Infrastruktur verknüpft ist.
+ Typ des Verzeichnisses
+ Verzeichnis-ID
+ Status des Verzeichnisses
+ Netzwerkdetails für Ihr selbstverwaltetes AD, z. B.:
  + VPC
  + Subnets
  + DNS-Adressen
+ Von Systems Manager verwaltete Knoten

### Registerkarten für hybride Verzeichnisse
<a name="hybrid_directory_tabs"></a>

Sie können die folgenden Informationen zu Ihrem AWS Managed Microsoft AD finden:
+ Auf der Registerkarte **Teilen und Teilen** können Sie Ihr AWS verwaltetes Microsoft AD für andere AWS Konten freigeben und die Netzwerkdetails für Ihre Domänencontroller anzeigen.
+ Auf der Registerkarte **Anwendungsverwaltung** können Sie eine Anwendungszugriffs-URL für Ihr AWS verwaltetes Microsoft AD und AWS Anwendungen und Dienste für Ihr AWS verwaltetes Microsoft AD aktivieren.
+ Auf der Registerkarte **Wartung** können Sie SNS aktivieren, um Benachrichtigungen über Ihren AWS verwalteten Microsoft AD-Status zu erhalten und Snapshots von Ihrem AWS verwalteten Microsoft AD zu überprüfen.
+ Weitere Informationen zum Feld **Status** finden Sie unter [Den Status Ihres AWS verwalteten Microsoft AD-Verzeichnisses verstehen](ms_ad_directory_status.md).

## Ein Hybridverzeichnis aktualisieren
<a name="editing_hybrid_dir"></a>

Sie können ein Hybridverzeichnis in der Directory Service Konsole aktualisieren, um die DNS-Einstellungen zu ändern oder den Zugriff auf das Administratorkonto wiederherzustellen.

**Um Informationen zum Hybridverzeichnis zu aktualisieren**

1. Wählen Sie im Navigationsbereich der [Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2) **Directories** aus.

1. Wählen Sie den Verzeichnis-ID-Link für Ihr Verzeichnis, um die Seite mit den **Verzeichnisdetails** zu öffnen.

1. Wählen Sie **Aktionen** und anschließend **Hybridverzeichnisinformationen aktualisieren** aus.

1. Auf der **Informationsseite zum Hybridverzeichnis** aktualisieren können Sie Ihre DNS-Einstellungen aktualisieren oder Ihr Administratorkonto wiederherstellen.

   **Aktualisieren Sie die DNS-Einstellungen (optional)**

   Unter **Informationen zum selbstverwalteten Active Directory** können Sie Folgendes ändern:

   1. **DNS-Name des Verzeichnisses**

   1. **DNS-IP-Adressen**

   Sie können beide Einstellungen zusammen oder einzeln aktualisieren. Für den Aktualisierungsvorgang ist mindestens eine Änderung erforderlich.

1. **Stellen Sie das Administratorkonto für das Hybridverzeichnis wieder her**

   Um Ihr Hybrid-Verzeichnis-Administratorkonto wiederherzustellen, benötigen wir temporären Zugriff auf einen Benutzer. Dieser Zugriff erfolgt über ein Secret von Secrets Manager. Wir verwenden diese Anmeldeinformationen nur einmal während der Wiederherstellung und speichern sie nicht. Wenn Ihr Hybrid-Directory-Administratorkonto bereits vorhanden ist, müssen Sie dieses Geheimnis nicht aktualisieren, auch wenn Sie Ihren selbstverwalteten Active Directory-Administratorbenutzer aktualisiert haben.

   1. **Geheime Administratoranmeldedaten** — Wir erstellen ein Hybrid-Verzeichnis-Administratorkonto, wenn wir ein Hybridverzeichnis erstellen. Wenn Sie dieses Geheimnis gelöscht haben, geben Sie Ihr Secrets Manager Manager-Geheimnis für Ihren selbstverwalteten AD-Administratorbenutzer ein.

# Löschen eines Hybridverzeichnisses
<a name="hybrid_directory_delete"></a>

Wenn Sie ein Hybridverzeichnis löschen, werden alle Verzeichnisdaten und Snapshots gelöscht und können nicht wiederhergestellt werden. Nach dem Löschen des Verzeichnisses bleiben alle Instanzen, die dem Verzeichnis hinzugefügt wurden, intakt. Sie können die Verzeichnisanmeldedaten jedoch nicht verwenden, um sich bei diesen Instanzen anzumelden. Sie müssen sich mit einem lokalen Benutzerkonto bei diesen Instanzen anmelden.

**So löschen Sie ein Verzeichnis**

1. Wählen Sie im Navigationsbereich der [Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**. Stellen Sie sicher, dass Sie sich AWS-Region an dem Ort befinden, an dem Ihr Hybridverzeichnis bereitgestellt wird. Weitere Informationen finden Sie unter [Region auswählen](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html).

1. Stellen Sie sicher, dass für das Verzeichnis, das Sie löschen möchten, keine AWS Anwendungen aktiviert sind. Aktivierte AWS Anwendungen verhindern, dass Sie Ihr Hybridverzeichnis löschen.

1. Wählen Sie auf der Seite **Directories (Verzeichnisse)** Ihre Verzeichnis-ID aus.

1. Wählen Sie auf der Seite **Directory details (Verzeichnisdetails)** die Registerkarte **Application Management (Anwendungsverwaltung)** aus. Im Bereich **AWS Apps und Dienste** sehen Sie, welche AWS Anwendungen für Ihr Verzeichnis aktiviert sind.

   1. Deaktivieren Sie AWS-Managementkonsole den Zugriff. Weitere Informationen finden Sie unter [Deaktivieren des Zugriffs auf die AWS Managementkonsole](https://docs.aws.amazon.com/ms_ad_management_console_access.xml).

   1. Um Amazon FSx for Windows File Server zu deaktivieren, müssen Sie das FSx Amazon-Dateisystem aus der Domain entfernen. Weitere Informationen finden Sie unter [Arbeiten mit Active Directory in FSx für Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) im *Amazon FSx for Windows File Server-Benutzerhandbuch*.

   1. Um Amazon Relational Database Service zu deaktivieren, müssen Sie die Amazon-RDS-Instance aus der Domain entfernen. Weitere Informationen finden Sie unter [Verwalten einer DB-Instance in einer Domain](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) im *Amazon-RDS-Benutzerhandbuch*.

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie nur das Verzeichnis aus, das gelöscht werden soll, und wählen Sie **Löschen**. Es dauert einige Minuten, bis das Verzeichnis gelöscht wird. Wenn dieser Vorgang abgeschlossen ist, wird es aus Ihrer Verzeichnisliste entfernt.

1. Löschen Sie manuell alle verbleibenden Domänencontroller-Objekte, einschließlich aller AWS reservierten Objekte OUs. Sie können das gesamte AWS reservierte Verzeichnis löschen, um die Bereinigung Ihrer Umgebung abzuschließen. 

# Verzeichnisbewertungen für hybride Verzeichnisse
<a name="hybrid_directory_assessment"></a>

Bei einer Verzeichnisbewertung wird Ihre selbstverwaltete Active Directory-Umgebung untersucht, um sicherzustellen, dass sie die Anforderungen für die Erstellung eines Hybridverzeichnisses erfüllt. Bei dieser Bewertung werden die Netzwerkkonnektivität, die Konfiguration des Domänencontrollers und die erforderlichen Dienste überprüft, um potenzielle Probleme zu identifizieren und zu lösen, bevor eine Verbindung zwischen Ihrem selbstverwalteten AD und hergestellt wird. Directory Service

Es gibt zwei Arten von Verzeichnisbewertungen:
+ *`CUSTOMER`Bewertungen* — Von Ihnen in der Konsole initiiert, wenn Sie mit der Einrichtung eines Hybridverzeichnisses beginnen. Sie können Bewertungen aus dem Kundenverzeichnis löschen, auch wenn sie noch in Bearbeitung sind. Sie können bis zu 100 Kundenbeurteilungen haben.
+ *`SYSTEM`Bewertungen* — werden automatisch erstellt AWS und nach erfolgreicher Erstellung regelmäßig ausgeführt. Sie können `SYSTEM` Assessments nicht löschen.

Verzeichnisbewertungen liefern wertvolle Informationen über die Eignung Ihrer Umgebung, darunter:
+ Konnektivität zwischen Ihrem selbstverwalteten AD und AWS
+ Verfügbarkeit der erforderlichen Dienste auf Ihren Domänencontrollern
+ Konfigurationskompatibilität mit den Anforderungen des AWS Directory Service
+ Mögliche Probleme, die eine erfolgreiche Erstellung eines Hybridverzeichnisses verhindern könnten

Bevor Sie ein Hybridverzeichnis erstellen können, ist eine erfolgreiche (bestandene) Verzeichnisbewertung erforderlich. Schlägt eine Bewertung fehl, können Sie sich den detaillierten Bericht ansehen, um die Probleme zu identifizieren und zu beheben, bevor Sie es erneut versuchen. AWS löscht `SYSTEM` Bewertungen nach 30 Tagen.

**Topics**
+ [Verzeichnisbewertungen werden erstellt](create_directory_assessment.md)
+ [Verzeichnisbewertungen anzeigen](viewing_hybrid_dir_assessment.md)
+ [Verzeichnisbewertungen werden gelöscht](deleting_hybrid_dir_assessment.md)

# Verzeichnisbewertungen werden erstellt
<a name="create_directory_assessment"></a>

Sie können eine Verzeichnisbewertung als Teil der Erstellung eines Hybridverzeichnisses oder manuell erstellen. Um eine Bewertung manuell zu erstellen, öffnen Sie die Directory Service Konsole unter [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/). Wählen Sie auf der Seite **Verzeichnisse** im Abschnitt **Verzeichnisbewertungen** die Option **Bewertung erstellen** aus.

**Um eine Verzeichnisbewertung zu erstellen**

1. Geben Sie auf der Seite „**Verzeichnisbewertung erstellen**“ unter **Verzeichnis-DNS-Name** Ihren selbstverwalteten Active Directory-DNS-Namen ein.

1. Geben Sie für **DNS-IP-Adressen** zwei DNS-IP-Adressen für Ihr selbstverwaltetes AD ein.

1. Für das Hybrid-Verzeichnis ist eine Amazon-VPC mit mindestens zwei Subnetzen erforderlich. Wenn Sie diese noch nicht haben, können Sie sie erstellen. Geben Sie im Abschnitt **Netzwerk** Folgendes an:

   1. Wählen Sie für **VPC** Ihre VPC-ID aus.

   1. Wählen Sie für **Subnetze** den Bezeichner für jedes der beiden Subnetze aus. Jedes Subnetz muss sich in unterschiedlichen Availability Zones befinden. Weitere Informationen finden Sie unter [Amazon VPC-Netzwerkanforderungen](create_hybrid_directory_prereqs.md#hybrid-dir-prereqs-vpc).

   1. Wählen Sie für **Sicherheitsgruppe** die Sicherheitsgruppen-ID aus. AWS Fügt standardmäßig eine Sicherheitsgruppe hinzu, um den Netzwerkzugriff auf die AWS Secrets Manager verwalteten Knoten in Ihrer Amazon VPC zu ermöglichen. Sie können optional Ihre eigene Sicherheitsgruppe angeben, die Netzwerkverkehr zu und von Ihren selbstverwalteten Domain-Controllern außerhalb Ihrer Amazon VPC ermöglicht.

1. Wählen Sie im Abschnitt **AWS Systems Manager Knoten** zwei Systems Manager Manager-Knoten oder -Instanzen aus, die den folgenden Anforderungen entsprechen:
   + Wenn Ihr Active Directory **außerhalb von selbst verwaltet** wird AWS Cloud, benötigen Sie zwei Systems Manager Manager-Knoten für eine Hybrid- und Multi-Cloud-Umgebung. Weitere Informationen zur Bereitstellung dieser Knoten finden Sie unter [Systems Manager für Hybrid- und Multicloud-Umgebungen einrichten](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
   + Wenn Ihr Active Directory **innerhalb von selbst verwaltet** wird AWS Cloud, benötigen Sie zwei von Systems Manager verwaltete EC2 Instanzen. Weitere Informationen zur Bereitstellung dieser Instanzen finden Sie unter [ EC2 Instanzen mit Systems Manager verwalten](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

1. Wählen Sie **Weiter**, um die Seite mit der **Verzeichnisbewertung überprüfen und erstellen** zu öffnen.

1. **Überprüfen Sie auf der Seite Verzeichnisbewertung überprüfen und erstellen** die Informationen zur Verzeichnisbewertung und nehmen Sie die erforderlichen Änderungen vor. Wenn die Informationen korrekt sind, wählen Sie **Bewertung erstellen** aus. Das Erstellen der Verzeichnisbewertung dauert etwa 30 Minuten. Sie kehren zur Seite mit den Verzeichnisdetails zurück. Ein grünes Banner wird angezeigt, wenn die Verzeichnisbewertung erfolgreich ist.
**Warnung**  
Um ein Hybridverzeichnis zu erstellen, muss die Verzeichnisbewertung den Status SUCCESS annehmen. Sie können kein Hybridverzeichnis erstellen, ohne zuvor eine Verzeichnisbewertung erfolgreich bestanden zu haben.

# Verzeichnisbewertungen anzeigen
<a name="viewing_hybrid_dir_assessment"></a>

Sie können die Bewertungsverzeichnisse im einsehen AWS-Managementkonsole , um die Bewertungsergebnisse zu überprüfen und Ihre Bewertungsberichte zu verwalten.

**Um eine Bewertung im Verzeichnis einzusehen**

1. Öffnen Sie die Directory Service Konsole unter [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Wählen Sie auf der Seite **Verzeichnisse** im Abschnitt **Testversionen von Hybrid-Verzeichnisbewertungen** die Bewertung aus, die Sie sich ansehen möchten. Dadurch wird die Seite mit den Bewertungsdetails geöffnet.

1. Auf der Seite mit den Bewertungsdetails können Sie Folgendes wählen:
   + **Laden Sie** den Bewertungsbericht für das Verzeichnis herunter, um ihn als CSV-Datei herunterzuladen.
   + **Löschen**, um den Bewertungsbericht für das Verzeichnis zu löschen.
   + **Bewertung erstellen**, um eine neue Verzeichnisbewertung zu erstellen.

1. Auf der Seite mit den Bewertungsdetails können Sie die folgenden Informationen einsehen:

   1. Bewertungsinformationen, wie z. B. die Bewertungs-ID, der Status, ob sie vom Kunden oder vom System erstellt wurde und wann sie zuletzt aktualisiert wurde.

   1. Selbstverwaltete AD-Details wie DNS-Name, VPC und Subnetze.

   1. AWS Systems Manager verwaltete Knoteninformationen wie IP-Adresse, Bewertungsstatus und Anzahl der bestandenen und fehlgeschlagenen Bewertungstests.

   1. Bewertungsstatus für Domänencontroller. Sie können auch die Einzelheiten des Bewertungstests überprüfen, indem Sie die Domänencontroller auswählen. Fehlercodes für fehlgeschlagene Bewertungstests werden in der Spalte **Status** angezeigt.

# Verzeichnisbewertungen werden gelöscht
<a name="deleting_hybrid_dir_assessment"></a>

Sie können von Kunden erstellte Verzeichnisbewertungen in der AWS-Managementkonsole löschen. Sie können vom System initiierte Bewertungen, die automatisch erstellt werden, AWS nicht löschen.

**Um eine Bewertung aus dem Kundenverzeichnis zu löschen**

1. Öffnen Sie die Directory Service Konsole unter [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Wählen Sie auf der Seite **Verzeichnisse** im Abschnitt **Verzeichnisbewertungen** die Kundenbewertung aus, die Sie löschen möchten. Alternativ können Sie das Kontrollkästchen neben den Verzeichnisbewertungen, die Sie löschen möchten, aktivieren und dann im Menü **Aktionen** die Option **Löschen** auswählen.

1. Sie werden zur Seite mit den **Bewertungsdetails** weitergeleitet. Wählen Sie „**Aktionen**“ und anschließend „**Bewertung löschen**“. Das Dialogfeld „**Verzeichnisbewertung löschen**“ wird angezeigt. Wählen Sie **Löschen** aus.

# Fehlerbehebung bei der Bewertung von Hybridverzeichnissen und Verzeichnissen
<a name="hybrid_directory_troubleshooting"></a>

Um ein Hybridverzeichnis zu erstellen, ist eine Verzeichnisbewertung erforderlich. Bewertungstests werden auf jedem Domänencontroller ausgeführt. Die Bewertungstests untersuchen verschiedene Bereiche und führen zu dem Status „Bestanden“ oder „Fehlgeschlagen“. Wenn Ihre Verzeichnisbewertung fehlschlägt, können Sie sich die Bewertungstests Ihrer Domänencontroller ansehen, um festzustellen, welche Probleme den Fehler verursacht haben.

**Wichtig**  
Ein Hybridverzeichnis kann erstellt werden, wenn der Status der Verzeichnisbewertung „Mit Warnung bestanden“ lautet. Wir empfehlen Ihnen, das Problem, das die Warnung verursacht hat, zu beheben, bevor Sie ein Hybridverzeichnis erstellen

**Topics**
+ [Fehlerbehebung bei fehlgeschlagener Bewertung des Hybridverzeichnisses](#hybrid_directory_troubleshooting_steps)
+ [Fehler im Verzeichnisstatus](hybrid_directory_status_errors.md)
+ [Fehlermeldungen bei der Verzeichnisbewertung](da-error-msgs.md)
+ [Fehlermeldungen beim Assessment Test](assessment_test_error-msgs.md)
+ [Warnmeldungen für den Bewertungstest](assessment_test_warning-msgs.md)

## Fehlerbehebung bei fehlgeschlagener Bewertung des Hybridverzeichnisses
<a name="hybrid_directory_troubleshooting_steps"></a>

Sie können eine fehlgeschlagene Verzeichnisbewertung **auf der Seite Verzeichnisse** im beheben AWS-Managementkonsole.

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Directory Service Konsole unter [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Wählen Sie im Abschnitt **Verzeichnisbewertungen** die fehlgeschlagene Hybrid-Verzeichnisbewertung aus.

1. Überprüfen Sie auf der Seite mit den **Bewertungsdetails** die Verzeichnisbewertung und ermitteln Sie, welche Tests fehlgeschlagen sind.

   1. Die Bewertungstests des Domänencontrollers enthalten weitere Informationen darüber, welche Tests erfolgreich waren oder nicht. In der Spalte **Status** finden Sie weitere Informationen zur Ursache des fehlgeschlagenen Tests. Informationen zu den Bewertungstests Ihres Domänencontrollers finden Sie unter[Verzeichnisbewertungen anzeigen](viewing_hybrid_dir_assessment.md).

1. Beheben Sie die Probleme, die die Fehler in Ihrem selbstverwalteten Active Directory oder AWS Managed Microsoft AD verursacht haben. Weitere Informationen finden Sie unter [Fehlermeldungen bei der Verzeichnisbewertung](da-error-msgs.md) und [Fehlermeldungen beim Assessment Test](assessment_test_error-msgs.md).

1. Kehren Sie in der Directory Service Konsole zur fehlgeschlagenen Bewertung zurück. Wählen Sie in der roten Warnmeldung **Bewertung erstellen** aus. Weitere Informationen [Erstellen Sie ein Hybridverzeichnis mit Ihrem selbstverwalteten AD](hybrid_directory_create.md#creating_hybrid_directory) zum Erstellen einer Verzeichnisbewertung finden Sie unter.

# Fehler im Verzeichnisstatus
<a name="hybrid_directory_status_errors"></a>

Directory Service Verzeichnisse können verschiedene Zustände aufweisen, die auf unterschiedliche Arten von Problemen hinweisen. Wenn Sie diese Zustände verstehen, können Sie die geeigneten Schritte zur Problembehandlung ermitteln.


**Typen des Verzeichnisstatus**  

| Status | Description | Maßnahme erforderlich | 
| --- | --- | --- | 
| Aktiv | Die Verzeichniserstellung wurde erfolgreich abgeschlossen und funktioniert normal. | Es ist keine Aktion erforderlich. | 
| Beeinträchtigt | Das Verzeichnis wurde erfolgreich erstellt, aber auf dem Domänencontroller traten danach Probleme auf. Das System versucht eine automatische Wiederherstellung. | Überwachen Sie den Verzeichnisstatus. Wenn das Problem weiterhin besteht, wenden Sie sich an den AWS Support. | 
| Fehlgeschlagen | Die Verzeichniserstellung ist fehlgeschlagen und kann nicht wiederhergestellt werden. | Löschen Sie das fehlgeschlagene Verzeichnis und erstellen Sie ein neues. | 
| Nicht funktionsfähig (nur Hybrid-AD) | AWS hat ein Sicherheitsproblem erkannt und das Verzeichnis zum Schutz automatisch isoliert. Das Verzeichnis wird vollständig unbrauchbar, bis es wiederhergestellt ist. |  Wenden Sie sich sofort an [AWS Support das Center](https://console.aws.amazon.com/support/home#/). Dieser Status erfordert ein Support Eingreifen, um das Verzeichnis zu untersuchen und wiederherzustellen. | 

# Fehlermeldungen bei der Verzeichnisbewertung
<a name="da-error-msgs"></a>

Um ein Hybridverzeichnis zu erstellen, müssen Sie die Verzeichnisbewertung bestanden haben. Verzeichnisbewertungen können aus verschiedenen Gründen fehlschlagen.

Die folgende Tabelle enthält Fehlermeldungen bei der Verzeichnisbewertung und zeigt, wie sie behoben werden können.


**Fehlermeldungen und Lösungen bei der Verzeichnisbewertung**  

| Fehlermeldung bei der Verzeichnisbewertung | Auflösung | 
| --- | --- | 
|  Bei dieser Bewertung wurden mehrere Tests auf beiden verwalteten Instanzen nicht bestanden. Untersuchen Sie die fehlgeschlagenen Tests, indem Sie jede verwaltete Instanz auswählen und sie in Ihrem lokalen Verzeichnis lösen. Erstellen Sie anschließend eine neue Bewertung.  |  Einer oder mehrere Tests zur Verzeichnisbewertung sind für Ihr selbstverwaltetes AD fehlgeschlagen. [Fehlermeldungen beim Assessment Test](assessment_test_error-msgs.md)Weitere Informationen zu bestimmten Testfehlern und deren Behebung finden Sie unter.  | 
|  Diese Bewertung ist aufgrund einer internen Serviceausnahme fehlgeschlagen. Bitte versuchen Sie es erneut, indem Sie eine neue Bewertung erstellen, oder wenden Sie sich zur Problembehandlung an den Service.  |  Versuchen Sie, eine neue Verzeichnisbewertung zu erstellen. Wenn dieser Fehler weiterhin auftritt, wenden Sie sich an [Support](https://aws.amazon.com/premiumsupport/).  | 
|  Diese Bewertung schlug fehl, weil die Erlaubnis zum Ausführen einer Aktion wie `ec2:CreateSecurityGroup``ec2:DeleteSecurityGroup`,,`ec2:CreateNetworkInterface`, `ec2:DeleteNetworkInterface``ec2:DescribeSubnets`, und fehlte`ec2:DescribeNetworkInterface`.  |  Um eine Verzeichnisbewertung zu erstellen, AWS-Konto benötigen Sie die erforderlichen Informationen[AWS-Konto Berechtigungen](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms).  | 
|  Diese Bewertung schlug fehl, weil die Erlaubnis zum Ausführen einer Aktion wie`ssm:GetConnectionStatus`,, `ssm:GetCommandInvocation``ssm:ListCommands`, fehlte`ssm:SendCommand`.  |  Um eine Verzeichnisbewertung zu erstellen, benötigen Sie zwei Systems Manager Manager-Knoten mit den erforderlichen Informationen[AWS-Konto Berechtigungen](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms).  | 
|  Diese Bewertung ist fehlgeschlagen, da Sie das Limit für die Anzahl der Netzwerkschnittstellen, die Sie erstellen können, erreicht haben. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Um eine Verzeichnisbewertung zu erstellen, müssen Sie eine Netzwerkschnittstelle und Sicherheitsgruppen erstellen. Die Anzahl der VPC-Ressourcen, die Sie erstellen können, ist begrenzt, Sie können jedoch einige dieser Grenzwerte anpassen. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  | 
|  Diese Bewertung ist fehlgeschlagen, da Sie das Limit für die Anzahl der Sicherheitsgruppen, die Sie erstellen oder einer Instance zuweisen können, erreicht haben. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Um eine Verzeichnisbewertung zu erstellen, müssen Sie eine Netzwerkschnittstelle und Sicherheitsgruppen erstellen. Die Anzahl der VPC-Ressourcen, die Sie erstellen können, ist begrenzt, Sie können jedoch einige dieser Grenzwerte anpassen. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll).  | 
|  Diese Bewertung ist fehlgeschlagen. Es konnte keine Verbindung zu Kundeninstanzen von hergestellt AWS Systems Manager werden.  |  Um eine Verzeichnisbewertung zu erstellen, benötigen Sie zwei AWS Systems Manager Knoten, die den Status „Verbunden“ haben. Weitere Informationen finden Sie unter [Problembehandlung beim SSM-Agenten](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html).   | 
|  Bei dieser Bewertung wurden mehrere kritische Tests nicht bestanden. Untersuchen Sie die fehlgeschlagenen Tests, indem Sie jede verwaltete Instanz auswählen und sie in Ihrem lokalen Verzeichnis beheben. Erstellen Sie anschließend eine neue Bewertung.  |  Einer oder mehrere Tests zur Verzeichnisbewertung sind für Ihr selbstverwaltetes AD fehlgeschlagen. Weitere Informationen [Fehlermeldungen beim Assessment Test](assessment_test_error-msgs.md) finden Sie in.  | 

# Fehlermeldungen beim Assessment Test
<a name="assessment_test_error-msgs"></a>

In der folgenden Tabelle werden Fehlermeldungen beschrieben, die bei Bewertungstests auftreten können. Diese Fehler weisen auf Blockierungsprobleme hin, die behoben werden müssen, bevor mit der Einrichtung des Hybridverzeichnisses fortgefahren werden kann.


| Name des Tests | Kurzname | Fehlercode | Fehlermeldung | Description | Auflösung | 
| --- | --- | --- | --- | --- | --- | 
| Active Directory ServicesTesten | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Tritt auf, wenn die erforderlichen AD Dienste in Ihrem selbstverwalteten AD nicht ausgeführt werden. | Bestimmte erforderliche AD Dienste müssen in Ihrem selbstverwalteten AD ausgeführt werden. Weitere Informationen finden Sie unter [Erforderliche Active Directory-Dienste](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). | 
| Active Directory ServicesTesten | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Stellen Sie sicher, dass Ihre selbstverwalteten AD-Domänencontroller betriebsbereit und erreichbar sind. Überprüfen Sie die Netzwerkkonnektivität und DNS Auflösung für Ihre selbstverwalteten AD-Domänencontroller. | 
| ADTest der Kennwortrichtlinie | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Tritt auf, wenn Ihre selbstverwaltete AD-Passwortrichtlinie die Anforderungen von AWS Managed Microsoft AD nicht erfüllt. | Ihre selbstverwaltete AD-Passwortrichtlinie muss die Anforderungen für AWS verwaltete Microsoft AD-Passwörter erfüllen. Weitere Informationen finden Sie unter [Grundlegendes zu AWS verwalteten Microsoft AD-Passwortrichtlinien](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). | 
| AWS Test „Admin-Benutzer vorhanden“ | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Tritt auf, wenn der Hybrid-Verzeichnis-Administratorbenutzer in OU Ihrem selbstverwalteten AD nicht in AWS Reserved vorhanden ist. | Stellen Sie sicher, dass der Administratorbenutzer für das Hybridverzeichnis in Ihrem selbstverwalteten AWS AD OU unter Reserved vorhanden ist. Wenn der Benutzer fehlt, überprüfen Sie, ob das Konto bei der Einrichtung des Hybridverzeichnisses korrekt erstellt wurde. [Ein Hybridverzeichnis aktualisieren](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Wenn Ihr Hybrid-Verzeichnisstatus nicht funktionsfähig ist, wenden Sie sich an. [Support](https://console.aws.amazon.com/support/home#/) | 
| AWS Admin-Benutzertest SPN | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Tritt auf, wenn der Hybrid-Verzeichnis-Administratorbenutzer einen auf Ihrem selbstverwalteten AD SPNs konfiguriert hat. | Entfernen Sie alle Dienstprinzipalnamen (SPNs) aus dem Administratorkonto für das AWS Hybridverzeichnis. Für den Administratorbenutzer des Hybridverzeichnisses dürfen keine SPNs konfiguriert sein, da sie die Hybrid-Verzeichnisauthentifizierung beeinträchtigen können. | 
| AWS Test „Domänencontroller nicht FSMO Besitzer“ | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Tritt auf, wenn Sie FSMO Rollen (PDC EmulatorRID Master, oderInfrastructure Master) von Ihrem selbstverwalteten AD auf den Hybridverzeichnis-Domänencontroller übertragen haben. | Übertragen Sie alle FSMO Rollen (PDC Emulator,RID Master,Infrastructure Master) zurück auf Ihre selbstverwalteten AD-Domänencontroller, bevor Sie fortfahren. Weitere Informationen finden Sie in der [MicrosoftDokumentation zur Übertragung von FSMO Rollen](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). | 
| AWS Test der Mitgliedschaft in einer reservierten Gruppe | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Tritt auf, wenn AWS Reserved OU auf Ihrem selbstverwalteten AD nicht vorhanden ist. |  AWS Reserved OU muss in Ihrem selbstverwalteten AD vorhanden sein, um die Gruppenmitgliedschaft zu validieren. Wenden Sie sich an [Support](https://console.aws.amazon.com/support/home#/). | 
| AWS Test der reservierten Gruppenmitgliedschaft | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Tritt auf, wenn Gruppen in der Gruppe AWS Reserved OU auf Ihrem selbstverwalteten AD nicht autorisierte Benutzer enthalten. | Entfernen Sie alle nicht autorisierten Benutzer aus den AWS reservierten OU Gruppen in Ihrem selbstverwalteten AD. | 
| AWS Reservierter Test OU ACLs | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Tritt auf, wenn AWS Reserved OU ACLs auf Ihrem selbstverwalteten AD keine Leseberechtigungen für nicht verwaltete Entitäten erzwingen AWS und unbefugten Zugriff AWS auf Ressourcen nicht verhindern. | Überprüfen und korrigieren Sie die Berechtigungen für AWS Reserved OU ACLs auf Ihrem selbstverwalteten AD. Stellen Sie sicher, dass AWS Nicht-Entitäten nur über Leseberechtigungen (`ListChildren`,,,`ReadProperty`, `ListObject``ReadControl`,`Synchronize`) verfügen`GenericRead`, und entfernen Sie alle übermäßigen Berechtigungen. | 
| AWS Test für reservierte OU GPO Verknüpfungen | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Tritt auf, wenn die AWS reservierten Controller OU und die Domänencontroller OU auf Ihrem selbstverwalteten AD mit nicht autorisierten GPOs Verbindungen verknüpft sind. | (Nur AWS verwaltete Gruppenrichtlinienobjekte (GPOs) können mit diesen OUs verknüpft werden. Entfernen Sie alle nicht autorisierten GPOs Verbindungen zu den AWS reservierten Controllern OU und den Domänencontrollern OU auf Ihrem selbstverwalteten AD. | 
| AWS Test reservierter OU Ressourcen | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Tritt auf, wenn AWS Reserved OU nicht in Ihrem selbstverwalteten AD vorhanden ist, was für die AWS verwaltete Microsoft AD-Verzeichnisfunktionalität erforderlich ist. | Das AWS Reserved OU muss bei der Einrichtung des Hybridverzeichnisses automatisch erstellt werden und sollte nicht gelöscht werden. Wenn dieser Fehler weiterhin besteht, wenden Sie sich an [Support](https://console.aws.amazon.com/support/home#/). | 
| AWS Test reservierter OU Ressourcen | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Tritt auf, wenn das AWS Reserved, das auf Ihrem selbstverwalteten AD OU erstellt wurde, nicht die erforderlichen Objekte enthält und GPOs das Hybridverzeichnis ordnungsgemäß funktioniert. | Stellen Sie sicher, dass niemand das AWS Reserved bearbeitet. OU Es muss die erforderlichen AWS verwalteten Ressourcen enthalten. Entfernen Sie alle nicht autorisierten Objekte oder kontaktieren Sie unsGPOs, [Support](https://console.aws.amazon.com/support/home#/)falls benötigte Ressourcen fehlen. | 
| AWS Reservierter OU Test | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Tritt auf, wenn AWS reservierte Ressourcen, die in Ihrem selbstverwalteten AD aus einem früheren Hybridverzeichnis-Setup gefunden wurden, noch vorhanden sind. | Löschen Sie das bestehende ausgefallene Hybridverzeichnis aus der Konsole. Löschen Sie anschließend alle AWS reservierten OU und verwandten Verzeichnisse GPOs aus Ihrem selbstverwalteten AD, bevor Sie fortfahren. | 
| BridgeheadTest zum Benennungskontext | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Tritt auf, wenn die selbstverwaltete AD-Replikation zwischen Standorten unter Verwendung Bridgehead nicht wie erwartet funktioniert. Es kann auch auftreten, wenn die Namenskontexte nicht zwischen den Standorten synchronisiert sind. | Ihre selbstverwaltete bridgehead AD-Site muss erfolgreich sein. Sie können weitere Diagnosen stellen mit:`repadmin /bridgeheads /verbose`. Gehen Sie auf die Probleme aus dieser Bewertung ein, bevor Sie fortfahren. | 
| Domain-Test für Kinder | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Tritt auf, wenn Ihre selbstverwaltete AD-Gesamtstruktur untergeordnete Domänen enthält, die von AWS verwalteten Microsoft AD-Verzeichnissen nicht unterstützt werden. | AWS Verwaltete Microsoft AD-Verzeichnisse unterstützen keine untergeordneten Domänen. Sie müssen eine Gesamtstruktur mit einer einzelnen Domäne für Ihr selbstverwaltetes AD verwenden. Weitere Informationen finden Sie unter [Microsoft Active DirectoryAnforderungen an die Domäne](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| DcDiagTesten | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Tritt auf, wenn Microsoft DCDiag Tests auf Ihrem selbstverwalteten AD fehlschlagen. | AWS verwendetDCDiag, um Ihr selbstverwaltetes AD zu testen. Wenn es Fehler gibt, können Sie kein Hybridverzeichnis erstellen. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). | 
| DNSIP-Übereinstimmungstest | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Tritt auf, wenn die angegebenen DNS IP-Adressen Ihres selbstverwalteten AD nicht mit den DNS IP-Adressen auf Ihren selbstverwalteten AD-Domänencontrollern übereinstimmen, die für aktiviert sind. AWS Systems Manager | Geben Sie die richtigen DNS IP-Adressen ein. | 
| DNSTest zur Namensübereinstimmung | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Tritt auf, wenn der für Ihr selbstverwaltetes AD angegebene DNS Name nicht mit dem DNS Namen auf Ihren selbstverwalteten AD-Domänencontrollern übereinstimmt, die für aktiviert sind. AWS Systems Manager | Geben Sie den richtigen DNS Namen ein. | 
| DNSAufzeichnungen, Test | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Tritt auf, wenn keine Windows DNS Datensätze für den TypA,NS, und festgelegt sindSOA, SRV und kann abgefragt werden. | Die DNS Datensätze für Address (A), Namespace (NS), State of Authority (SOA) und Service Record (SRV) müssen festgelegt sein und können abgefragt werden. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). | 
| Test auf Funktionsebene der Domänengesamtstruktur | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Tritt auf, wenn die Funktionsebenen Ihrer selbstverwalteten AD-Domänen und -Gesamtstruktur die Mindestanforderungen nicht erfüllen. | Ihr selbstverwaltetes AD muss unsere Windows 2012 R2 2016 Funktionsebene verwenden. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). | 
| Domain-Gesundheitstests | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Tritt auf, wenn Ihr selbstverwaltetes AD nicht über die erforderliche Mindestanzahl an Domänencontrollern verfügt. | Stellen Sie sicher, dass in Ihrem selbstverwalteten AD mindestens zwei Domänencontroller aktiviert sind. AWS Systems Manager Weitere Informationen finden Sie unter [Microsoft Active DirectoryAnforderungen an die Domäne](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Bestehender Domänentest | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Tritt auf, wenn Ihre selbstverwaltete AD-Domäne bereits mit einem vorhandenen Hybridverzeichnis verknüpft ist. | Ihre selbstverwaltete AD-Domäne ist bereits mit einem vorhandenen Hybridverzeichnis verknüpft. Jede selbstverwaltete AD-Domäne, die mit einem Hybridverzeichnis verknüpft ist, muss eindeutig sein. Erstellen Sie eine neue selbstverwaltete AD-Domäne oder entfernen Sie sie aus der Hybridverzeichniskonfiguration, mit der sie verknüpft sind. | 
| FSMOKonnektivitätstest | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Tritt auf, wenn FSMO RollenPDC Emulator,, and/or RID Master IPs auf Ihrem selbstverwalteten AD nicht routbar sind. | Der primäre Domänencontroller (PDC) muss jederzeit routingfähig sein. Insbesondere das Ende PDC Emulator RID Master IPs Ihres selbstverwalteten AD. Weitere Informationen finden Sie unter [Microsoft Active DirectoryAnforderungen an die Domäne](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| FSMOKonnektivitätstest | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Tritt auf, wenn Ihre selbstverwalteten AD-Domänencontroller nicht auf Ihre FSMO Rollen zugreifen können. | Ihre Flexible Single Master Operation (FSMO) -Rolle in Ihrem selbstverwalteten AD muss mit Ihren selbstverwalteten AD-Domänencontrollern verbunden sein. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| IP-Konflikttest | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Tritt auf, wenn sich Ihre selbstverwalteten AD-IP-Bereiche mit AWS reservierten Bereichen überschneiden. | Ihr selbstverwaltetes AD kann keinen IP-Adressbereich verwenden, der sich mit reservierten AWS IP-Bereichen überschneidet. Weitere Informationen finden Sie unter [Microsoft Active DirectoryAnforderungen an die Domäne](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| KerberosTesten | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Tritt auf, wenn Kerberos es nicht richtig konfiguriert ist und verwendet wird. | Kerberosmuss auf Ihrem selbstverwalteten AD aktiviert sein. Weitere Informationen finden Sie in der [MicrosoftDokumentation](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). | 
| LDAPKonnektivitätstest | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Tritt auf, wenn LDAP es nicht funktioniert. | Das Lightweight Directory Access Protocol (LDAP) muss aktiviert sein und auf Ihrem selbstverwalteten AD funktionieren. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). | 
| Nicht schreibgeschützter Domänencontroller für Tests FSMO | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Tritt auf, wenn Ihre selbstverwaltete FSMO AD-Domänencontroller-Rolle RODC | Der Domänencontroller für Ihr selbstverwaltetes AD darf nicht die Rolle eines schreibgeschützten Domänencontrollers (RODC) und des flexiblen Einzelmasterbetriebs () verwenden. FSMO Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| Test zur Kennwortreplikation des Domänencontrollers mit Schreibschutz | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | Tritt auf, wenn der berechtigt RODC ist, Administratorkennwörter zu replizieren. | Dem RODC für Ihr selbstverwaltetes AD muss ausdrücklich die Berechtigung zum Replizieren von Admin-Passwörtern verweigert werden. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). | 
| Domänencontroller-Test mit Schreibschutz | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Tritt auf, wenn sich Ihre selbstverwalteten AD-Domänencontroller im ReadOnlyDC Modus befinden. | Bei Ihrem selbstverwalteten AD muss es sich um Domänencontroller mit Lese-/Schreibzugriff handeln. [Weitere Informationen zu Domänencontrollertypen finden Sie in der Dokumentation. Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers) | 
| Test der Remote-Port-Konnektivität | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Tritt auf, wenn die erforderlichen Ports in Ihrem AWS Subnetz und Ihr selbstverwalteter AD-Domänencontroller nicht geöffnet sind. | Stellen Sie sicher, dass alle erforderlichen Ports zwischen Ihrem AWS Subnetz und Ihrem selbstverwalteten AD geöffnet sind. Weitere Informationen finden Sie unter [Anforderungen an den Netzwerkport](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports). | 
| Replikationstest | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Tritt auf, wenn die Replikation Ihrer selbstverwalteten AD-Domänencontroller fehlgeschlagen ist. | Der Replikationsstatus Ihrer selbstverwalteten AD-Domänencontroller muss erfolgreich sein. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). | 
| SMBV1Testen | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Tritt auf, wenn das selbstverwaltete AD derzeit SMBv1 für die Authentifizierung verwendet. | SMBv1ist bekanntermaßen unsicher und muss auf Ihrem selbstverwalteten AD deaktiviert werden. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). | 
| SSMTest der Benutzerberechtigungen | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Tritt auf, wenn der Windows Benutzer, der von verwendet wird, nicht SSM über ausreichende Rechte verfügt. | Sie benötigen Windows Administratorrechte für die AWS System Manager (SSM) -Agenten auf Ihrem selbstverwalteten AD. Weitere Informationen finden Sie unter [AWS-Konto Berechtigungen](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). | 
| SysvolReplikationstest | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Tritt auf, wenn Ihr selbstverwaltetes AD nicht über die richtige sysvol Replikationsmethode (DFSR) verfügt und wenn eine Replikationsmethode während eines DFSR Replikationsereignisses DCs fehlgeschlagen ist. | Ihre selbstverwaltete sysvol AD-Replikationsmethode (DFSR) muss erfolgreich sein. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). | 
| Test auf höchstem Niveau GPO | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Tritt auf, wenn für Ihr selbstverwaltetes AD die Option Top Level auf GPOs Durchgesetzt gesetzt gesetzt ist. | Stellen Sie sicher, dass das Gruppenrichtlinienobjekt auf oberster Ebene für Ihre selbstverwaltete AD-Domäne (GPO) nicht auf Durchgesetzt gesetzt gesetzt ist. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). | 
| Vertrauenstypen testen | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Tritt auf, wenn Ihr selbstverwaltetes AD Vertrauenstypen nicht unterstützt. | Uplevelist der einzige Vertrauenstyp, der vom Hybridverzeichnis unterstützt wird. Ihr selbstverwaltetes AD kann die folgenden Vertrauenstypen nicht haben:DCE,MIT,Downlevel. Weitere Informationen zu Vertrauenstypen finden Sie in der [MicrosoftDokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). | 
| Gültiger Domänencontrollertest | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Tritt auf, wenn es sich bei den bereitgestellten selbstverwalteten AD-Instanzen nicht um Domänencontroller handelt oder wenn sie bereits Teil eines anderen Hybridverzeichnisses sind. | Stellen Sie selbstverwaltete AD-Domänencontroller bereit, die nur für dieses Hybridverzeichnis gelten. Versuchen Sie es erneut mit einem neuen Verzeichnis. Stellen Sie sicher, dass Sie das ausgefallene Hybridverzeichnis und alle Verzeichnisse AWS OU in Ihrem selbstverwalteten AD gelöscht haben. | 

# Warnmeldungen für den Bewertungstest
<a name="assessment_test_warning-msgs"></a>

In der folgenden Tabelle werden Warnmeldungen beschrieben, die bei Bewertungstests auftreten können. Diese Warnungen stellen Empfehlungen für eine optimale Konfiguration dar, verhindern jedoch nicht die Einrichtung eines Hybridverzeichnisses.


| Name des Tests | Kurzname | Warnungscode | Warnmeldung | Description | Auflösung | 
| --- | --- | --- | --- | --- | --- | 
| Domain-Gesundheitstests | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Tritt auf, wenn es in Ihrem selbstverwalteten AD Benutzerkonten gibt, die sich über einen längeren Zeitraum nicht angemeldet haben und als veraltet oder inaktiv angesehen werden können. | Bereinigen Sie veraltete Benutzerkonten. | 
| Zeitquellentest für den Domänencontroller | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Tritt auf, wenn das selbstverwaltete AD über die richtige Zeitquellenkonfiguration verfügt und im Vergleich zu einer AWS Zeitquelle kein großes Zeitgefälle besteht. | Der Zeitserver Ihres primären Domänencontrollers (PDC) wird weitergeleitet. `169.254.169.123` Ihre nicht-primären Domänencontroller sollten auf den PDC als Quelle verweisen. Weitere Informationen finden Sie unter [Keeping time with Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/). | 
| Testen Sie den freien Speicherplatz | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Tritt auf, wenn Ihr selbst verwaltetes AD kombiniert NTDS und die Sysvol Nutzung das unterstützte Kontingent übersteigt. | Ihr selbstverwaltetes AD sollte über 24 GB Festplattenspeicher für Hybridverzeichnisse verfügen. | 
| FSMO RolesTesten | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Tritt auf, wenn FSMO-Rollen (PDC-Emulator und RID-Master) nicht zu den beiden Domänencontrollern gehören, die beim Erstellen eines Hybridverzeichnisses bereitgestellt werden. | Ihr Hybridverzeichnis sollte unter den beiden Domänencontrollern, die Sie beim Erstellen eines Hybridverzeichnisses angeben, über beide FSMO-Rollen (PDC-Emulator und RID-Master) verfügen. Weitere Informationen finden Sie unter [So zeigen Sie Rollen an und übertragen sie](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). FSMO | 
| SSPS-Kanal-Test | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Tritt auf, wenn ein selbstverwaltetes AD keine AES256 Verschlüsselung verwendetTLS1.2. | Ihr selbstverwaltetes AD muss TLS 1.2 und AES256 für Hybridverzeichnisse verwenden. | 
| Test auf Festplattenbeschädigung | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Tritt auf, wenn in Ihrem selbstverwalteten AD ein Festplattenfehler vorliegt. | Ihre selbstverwalteten AD-Festplatten sollten nicht beschädigt sein. | 
| Test der Spezifikationen für den Domänencontroller | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Tritt auf, wenn Ihre selbstverwalteten AD-Domänencontroller die erforderlichen Spezifikationen nicht erfüllen. | Ihre selbstverwalteten AD-Domänencontroller sollten über mindestens 7 GB RAM und 2 CPU-Kerne für das Hybridverzeichnis verfügen. | 
| DllPlugin-Test auf Serverebene | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Tritt auf, wenn ServerLevelPluginDll es auf Ihren selbstverwalteten AD-Domänencontrollern eingerichtet ist. | Ihre selbstverwalteten AD-Domänencontroller sollten nicht konfiguriert worden ServerLevelPluginDII sein. | 
| NT4Crypto-Test zulassen | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Tritt auf, wenn selbstverwaltetes AD NT4 Kryptografie zulässt. | Ihr selbstverwaltetes AD sollte Kryptografie nicht verwenden. NT4 Weitere Informationen finden Sie in der Microsoft-Dokumentation. | 
| Test für verwaiste Admin-Benutzer | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Tritt auf, wenn es in Ihrem selbstverwalteten AD verwaiste Admin-Benutzer gibt. | Entfernen Sie verwaiste Benutzer in Ihrem selbstverwalteten AD, bevor Sie fortfahren. | 
| Test der Anzahl privilegierter Benutzer | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Wird durchgeführt, wenn die Gesamtzahl Ihrer integrierten Administratoren, Domänenadministratoren und Unternehmensadministratoren in Ihrem selbstverwalteten AD a mehr als 5 beträgt. | Ihre selbstverwaltete AD-Umgebung sollte nicht über mehrere privilegierte Konten verfügen. Bevor Sie fortfahren, sollten Sie zu viele Administratorkonten entfernen. | 
| Test der Anzahl privilegierter Benutzer | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Wird durchgeführt, wenn die Gesamtzahl Ihrer integrierten Administratoren, Domänenadministratoren und Unternehmensadministratoren in Ihrem selbstverwalteten AD a mehr als 5 beträgt. | Ihre selbstverwaltete AD-Umgebung sollte nicht über mehrere privilegierte Konten verfügen. Bevor Sie fortfahren, sollten Sie zu viele Administratorkonten entfernen. | 
| Test der Anzahl privilegierter Benutzer | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Wird durchgeführt, wenn die Gesamtzahl Ihrer integrierten Administratoren, Domänenadministratoren und Unternehmensadministratoren in Ihrem selbstverwalteten AD a mehr als 5 beträgt. | Ihre selbstverwaltete AD-Umgebung sollte nicht über mehrere privilegierte Konten verfügen. Bevor Sie fortfahren, sollten Sie zu viele Administratorkonten entfernen. | 
| NTLMTesten | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Tritt auf, wenn die Authentifizierung auf Ihrem selbstverwalteten AD aktiviert NTLMv1 ist. | NT LAN ManagerVersion 1 (NTLMv1) weist bekannte Sicherheitslücken auf und sollte nicht verwendet werden. Deaktivieren Sie es NTLMv1 auf Ihrem selbstverwalteten AD. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). | 
| Tombstone Lifetime-Test | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Tritt auf, wenn die Tombstone-Lebensdauer auf Ihrem selbstverwalteten AD mehr als 180 Tage beträgt. | Die Tombstone-Lebensdauer ist die Anzahl der Tage, bevor ein gelöschtes Objekt entfernt wird. AD Der Tombstone-Lebenszeitwert für Ihr selbstverwaltetes AD sollte 180 Tage oder weniger betragen. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |