Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Descripción de Microsoft AD AWS gestionado (edición híbrida)
<a name="aws-hybrid-directory"></a>

*AWS Managed Microsoft AD (Hybrid Edition)* le permite ampliar su Active Directory existente Nube de AWS con Microsoft AD AWS administrado. Esta función facilita el traslado de las cargas de trabajo que dependen de AD AWS, la adopción de AWS servicios y el aumento de la redundancia de Active Directory. AWS realizará periódicamente evaluaciones de directorio en su directorio híbrido, que podrá ver en la consola. Directory Service 

Un directorio híbrido Directory Service conecta su directorio actual *Microsoft Active Directory*con *AWS Directory Service para Microsoft Active Directory* (AWS Managed Microsoft AD). Esto crea un entorno de identidad integrado que abarca una infraestructura local y multinube AWS, lo que le permite mantener una única fuente de identidad y, al mismo tiempo, ampliar sus servicios de directorio a. AWS

Una configuración de directorio híbrido ofrece varias funciones importantes:
+ Extensión del AD autogestionado al Nube de AWS sin necesidad de establecer una relación de confianza
+ Autenticación y autorización fluidas en todos los entornos con las credenciales de Active Directory existentes
+ Credenciales de usuario y pertenencia a grupos uniformes en sus dos entornos de AD
+ Administración centralizada de los permisos y las políticas de acceso de AD.

**Topics**
+ [Requisitos previos del directorio híbrido](create_hybrid_directory_prereqs.md)
+ [Creación de un directorio híbrido](hybrid_directory_create.md)
+ [Visualización y edición de un directorio híbrido](hybrid_directory_view_and_edit.md)
+ [Eliminación de un directorio híbrido](hybrid_directory_delete.md)
+ [Evaluaciones de directorios para directorios híbridos](hybrid_directory_assessment.md)
+ [Solución de problemas de directorio híbrido y de evaluación de directorios](hybrid_directory_troubleshooting.md)

# Requisitos previos del directorio híbrido
<a name="create_hybrid_directory_prereqs"></a>

El directorio híbrido amplía el directorio de Active Directory autoadministrado a Nube de AWS. Antes de crear un directorio híbrido, asegúrese de que su entorno cumpla estos requisitos:

## Requisitos del dominio Microsoft Active Directory:
<a name="create_hybrid_directory_prereqs-ad-domain"></a>

Antes de crear un directorio híbrido, asegúrese de que su entorno e infraestructura de AD autoadministrados cumplan los siguientes requisitos y recopile la información necesaria.

### Requisitos del dominio
<a name="domain_requirements"></a>

El entorno de AD autoadministrado debe cumplir los siguientes requisitos:
+ Utiliza un nivel funcional Windows Server 2012 R2 o uno 2016.
+ Utiliza controladores de dominio estándar que se evalúan en el momento de crear directorios híbridos. Los controladores de dominio de solo lectura (RODC) no se pueden utilizar para la creación de directorios híbridos.
+ Tiene dos controladores de dominio con todos los servicios de Active Directory en ejecución.
+ El controlador de dominio principal (PDC) debe poder enrutarse en todo momento.

  En concreto, el emulador de PDC y el maestro IPs de RID de su AD autogestionado deben pertenecer a una de estas categorías:
  + Parte de los rangos de direcciones IP RFC1918 privadas (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16)
  + Dentro de la gama de CIDR de VPC
  + Haga IPs coincidir el DNS de sus instancias autogestionadas con el directorio

  Puede añadir rutas IP adicionales para el directorio una vez creado el directorio híbrido.

### Información necesaria
<a name="required_information"></a>

Reúna la siguiente información sobre el directorio de AD autoadministrado:
+ Nombre de DNS del directorio
+ DNS del directorio IPs
+ Credenciales de la cuenta de servicio con permisos de administrador para el directorio de AD autoadministrado
+ AWS ARN secreto para almacenar las credenciales de su cuenta de servicio (consulte) [AWS ARN secreto para directorio híbrido](#aws_secret_arn_for_hybrid)

### AWS ARN secreto para directorio híbrido
<a name="aws_secret_arn_for_hybrid"></a>

Para configurar un directorio híbrido con su AD autogestionado, debe crear una clave KMS para cifrar el AWS secreto y, a continuación, crear el secreto propiamente dicho. Ambos recursos deben crearse en el mismo directorio Cuenta de AWS que contiene el directorio híbrido.

#### Crear una clave de KMS.
<a name="create_kms_key_for_hybrid"></a>

La clave KMS se usa para cifrar el AWS secreto.

**importante**  
En **Clave de cifrado**, no utilice la clave de KMS predeterminada de  AWS . Asegúrese de crear la clave AWS KMS en el mismo directorio Cuenta de AWS que contiene el directorio híbrido que desea crear para unirlo a su AD autogestionado.

**Para crear una clave AWS KMS**

1. En la AWS KMS consola, selecciona **Crear clave**.

1. En **Tipo de clave**, elija **Simétrica**.

1. Para **Uso de claves**, elija **Cifrar y descifrar**.

1. Para **Advanced options (Opciones avanzadas)**:

   1. En **Origen del material de claves**, elija **Externo**.

   1. Para **Regionalidad**, elija **Clave de región única** y seleccione **Siguiente**.

1. Para **Alias**, proporcione un nombre para la clave de KMS.

1. (Opcional) En **Description**, proporcione una descripción de la clave de KMS.

1. (Opcional) En **Etiquetas**, introduzca una etiqueta para la clave de KMS y seleccione **Siguiente**.

1. En **Administradores de claves**, seleccione un usuario de IAM.

1. En **Eliminación de clave**, mantenga la selección predeterminada **Permitir que los administradores de claves eliminen esta clave** y seleccione **Siguiente**.

1. En **Usuarios de clave**, proporcione el mismo usuario de IAM del paso anterior y seleccione **Siguiente**.

1. Revise la configuración.

1. En **Política de claves**, agregue la siguiente instrucción a la política:

1. Seleccione **Finalizar**.

#### Crea un AWS secreto
<a name="create_aws_secret_for_hybrid"></a>

Cree un secreto en Secrets Manager para almacenar las credenciales de su cuenta de usuario de AD autoadministrado.

**importante**  
Cree el secreto en el mismo directorio Cuenta de AWS que contiene el directorio híbrido al que desea unirse con su AD autogestionado.

Creación de un secreto
+ En Secrets Manager, elija **Almacenar un nuevo secreto**.
+ En **Tipo de secreto**, elija **Otro tipo de secreto**.
+ En los **pares clave/valor**, añada sus dos claves:

1. <a name="add_username_key"></a>Agregación de la clave del nombre de usuario

   1. Para la primera clave, introduzca `customerAdAdminDomainUsername`.

   1. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD. No incluya el nombre de dominio, ya que esto provocará un error en la creación de la instancia.

1. <a name="add_password_key"></a>Agregación de la clave de contraseña

   1. Para la segunda clave, introduzca `customerAdAdminDomainPassword`.

   1. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.

##### Compleción de la configuración del secreto
<a name="complete_secret_configuration"></a>

1. En **Clave de cifrado**, elija la clave de KMS que ha creado en [Crear una clave de KMS.](#create_kms_key_for_hybrid), y luego elija **Siguiente**.

1. En **Nombre del secreto**, ingrese una descripción del secreto.

1. (Opcional) En **Descripción**, ingrese una descripción del secreto.

1. Elija **Siguiente**.

1. En **Configurar los ajustes de rotación**, mantenga los valores predeterminados y seleccione **Siguiente**.

1. Revise la configuración del secreto y seleccione **Guardar**.

1. Elija el secreto que creó y copie el valor del **ARN del secreto**. Se utilizará este ARN en el siguiente paso para configurar Active Directory autoadministrado.

### Requisitos de infraestructura
<a name="infrastructure_requirements"></a>

Prepare los siguientes componentes de infraestructura:
+ Dos AWS Systems Manager nodos con privilegios de administrador para los agentes SSM
  + Si su Active Directory se **autoadministra fuera de la Nube de AWS**, necesitará dos nodos de Systems Manager para un entorno híbrido y multinube. Para obtener más información sobre cómo aprovisionar estos nodos, consulte [Setting up Systems Manager for hybrid and multicloud environments](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
  + Si su Active Directory se **autoadministra dentro de Nube de AWS**, necesitará dos instancias EC2 administradas por Systems Manager. Para obtener más información sobre cómo aprovisionar estas instancias, consulte [Managing EC2 instances with Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

## Servicios de Active Directory obligatorios
<a name="create_hybrid_directory_prereqs-ad-services"></a>

Asegúrese de que los siguientes servicios se estén ejecutando en el directorio de AD autoadministrado:
+ Active Directory Domain Services
+ Servicios web de Active Directory (ADWS)
+ Sistema de eventos COM\$1
+ Distributed File System Replication (DFSR)
+ Sistema de nombres de dominio (DNS)
+ Servidor del DNS
+ Cliente de política de grupo
+ Mensajería entre sitios
+ Llamada de procedimiento remoto (RPC)
+ Gerente de cuentas de seguridad
+ Windows Time Server
**nota**  
El directorio híbrido requiere que el puerto UDP 123 esté abierto y que el Windows Time Server esté habilitado y en funcionamiento. Sincronizamos la hora con su controlador de dominio para garantizar que la replicación del directorio híbrido funcione correctamente.

## Requisitos de autenticación de Kerberos
<a name="create_hybrid_directory_prereqs-ad-kerberos"></a>

Las cuentas de usuario deben tener habilitada la autenticación previa de Kerberos. Para obtener instrucciones detalladas sobre cómo habilitar esta configuración, consulte [Aseguración de que la autenticación previa de Kerberos esté habilitada](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos). Para obtener información general sobre esta configuración, consulte Autenticación [previa](http://technet.microsoft.com/en-us/library/cc961961.aspx) activada. Microsoft TechNet

## Tipos de cifrado compatibles
<a name="create_hybrid_directory_prereqs-encryption"></a>

el directorio híbrido admite los siguientes tipos de cifrado para la autenticación de los controladores de dominio de Active Directory a través de Kerberos:
+ AES-256-HMAC

## Requisitos de puerto de red
<a name="create_hybrid_directory_prereqs-ports"></a>

 AWS Para ampliar sus controladores de dominio de Active Directory autogestionados, el firewall de su red actual debe tener los siguientes puertos abiertos a las CIDRs dos subredes de su Amazon VPC:
+ TCP/UDP 53: DNS
+ TCP/UDP 88: autenticación de Kerberos
+ UDP 123: servidor de horario
+ TCP 135: llamada de procedimiento remoto (RPC)
+ TCP/UDP 389: LDAP
+ TCP 445: SMB
+ TCP 636: solo necesario para entornos con el protocolo ligero de acceso a directorios seguro (LDAPS)
+ TCP 49152-65535: puertos TCP altos asignados aleatoriamente por RPC
+ TCP 3268 y 3269: catálogo global
+ TCP 9389: servicios web de Active Directory (ADWS)

Estos son los puertos mínimos necesarios para crear un directorio híbrido. La configuración específica podría requerir abrir puertos adicionales.

**nota**  
El DNS IPs proporcionado para los controladores de dominio y los titulares de funciones de FSMO debe tener los puertos anteriores abiertos a ambas subredes de la CIDRs Amazon VPC.

**nota**  
El directorio híbrido requiere que el puerto UDP 123 esté abierto y que el Windows Time Server esté habilitado y en funcionamiento. Sincronizamos la hora con su controlador de dominio para garantizar que la replicación del directorio híbrido funcione correctamente.

## Cuenta de AWS permisos
<a name="hybrid-dir-prereq-perms"></a>

Necesitará permisos para realizar las siguientes acciones en su Cuenta de AWS:
+ ec2: AuthorizeSecurityGroupEgress
+ ec2: AuthorizeSecurityGroupIngress
+ ec2: CreateNetworkInterface
+ ec2: CreateSecurityGroup
+ ec2: DescribeNetworkInterfaces
+ ec2: DescribeSubnets
+ ec2: DescribeVpcs
+ ec2: CreateTags
+ ec2: CreateNetworkInterfacePermission
+ ssm: ListCommands
+ ssm: GetCommandInvocation
+ ssm: GetConnectionStatus
+ ssm: SendCommand
+ administrador de secretos: DescribeSecret
+ administrador de secretos: GetSecretValue
+ soy: GetRole
+ objetivo: CreateServiceLinkedRole

## Requisitos de la red de Amazon VPC
<a name="hybrid-dir-prereqs-vpc"></a>

Una VPC con lo siguiente:
+ Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente.
+ La VPC debe disponer de una tenencia predeterminada

No puede crear un directorio híbrido en una VPC con direcciones dentro del espacio de direcciones 198.18.0.0/15.

Directory Service utiliza una estructura de dos VPC. Las instancias EC2 que componen su directorio se ejecutan fuera del suyo Cuenta de AWS y son administradas por ellas. AWS Contienen dos adaptadores de red, `ETH0` y `ETH1`. `ETH0` es el adaptador de administración y se encuentra fuera de su cuenta. `ETH1` se crea dentro de su cuenta.

El rango de IP de administración de la ETH0 red para su directorio es`198.18.0.0/15`.

Para obtener más información, consulte los siguientes temas en la *Guía del usuario de Amazon VPC*.
+ [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs y subredes](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [¿Qué es AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)

Para obtener más información al respecto AWS Direct Connect, consulte la sección [¿Qué es? AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

## AWS configuración de grupos de seguridad
<a name="hybrid-dir-prereqs-security-group"></a>

De forma predeterminada, AWS adjunta un grupo de seguridad para permitir el acceso de red a los nodos AWS Systems Manager gestionados de la VPC. Si lo desea, puede proporcionar su propio grupo de seguridad que permita el tráfico de red hacia y desde los controladores de dominio autoadministrados fuera de la VPC.

Si lo desea, puede proporcionar su propio grupo de seguridad que permita el tráfico de red hacia y desde los controladores de dominio autoadministrados fuera de la VPC. Si va a proporcionar su propio grupo de seguridad, debe:
+ Permitir hacer una lista de sus rangos de VPC CIDR y de los rangos autoadministrados.
+ Asegúrese de que estos rangos no se superpongan con los [rangos de IP reservados de AWS](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) 

## Consideraciones sobre las evaluaciones del directorio
<a name="hybrid-dir-prereqs-assessments"></a>

A continuación se indican las consideraciones que se deben tener en cuenta a la hora de crear las evaluaciones de directorio y el número de evaluaciones que puede tener en su Cuenta de AWS:
+ Al crear un directorio híbrido, se crea de manera automática una evaluación del directorio. Existen dos tipos de evaluaciones: `CUSTOMER` y `SYSTEM`. Su Cuenta de AWS tiene un límite de 100 evaluaciones de directorio del `CUSTOMER`.
+ Si intenta crear un directorio híbrido y ya tiene 100 evaluaciones de directorio del `CUSTOMER`, aparecerá un error. Elimine las evaluaciones para liberar capacidad antes de volver a intentarlo.
+ Para solicitar un aumento de la cuota de evaluación de `CUSTOMER` directorios, póngase en contacto con las evaluaciones de directorio de CUSTOMER existentes Soporte o eliminarlas para liberar capacidad.

# Creación de un directorio híbrido
<a name="hybrid_directory_create"></a>

Antes de crear un directorio híbrido, debe crear y superar correctamente una evaluación del directorio que verifique la conectividad y la interoperabilidad con su Active Directory autoadministrado

## Creación de un directorio híbrido con AD autoadministrado
<a name="creating_hybrid_directory"></a>

Siga estos pasos para crear un directorio híbrido con su AD autoadministrado:

**Creación de un directorio híbrido**

1. Abre la Directory Service consola de la región que desees.

1. En la página **Seleccionar tipo de directorio**, elija **AWS Managed Microsoft AD**.

1. En **Introducción a Microsoft AD AWS administrado**, selecciona **Ampliar tu dominio de AD con un directorio híbrido (nuevo)** y, a continuación, selecciona **Siguiente**. Esto te llevará a la página **Creación de evaluaciones del directorio**.

1. Antes de crear un directorio híbrido, primero debe crear y aprobar correctamente una evaluación del directorio. Para crear una evaluación de directorio, siga los pasos que se indican en[Creación de evaluaciones de directorio](create_directory_assessment.md). Una vez que haya superado correctamente la evaluación del directorio, puede continuar con este procedimiento.

1. Una vez que haya superado correctamente la evaluación del directorio, vaya a la página **Directorios**.

1. En la página **Directorios**, en **Evaluaciones de directorios híbridos de prueba**, elija un **ID de evaluación** con un **estado** de `SUCCESS`. A continuación, seleccione **Crear directorio híbrido**, que lo dirigirá a la página de detalles de la evaluación

1. En la página de detalles de la evaluación, confirme esta acción al seleccionar **Creación de un directorio híbrido**, que abrirá la página **Creación de un directorio híbrido mediante el identificador de la evaluación**.

1. En la página **Creación de un directorio híbrido mediante el identificador de evaluación**, **revise la información de Active Directory autoadministrada**. Tras confirmar la información, seleccione **Creación de directorio híbrido.**

   Tras seleccionar **Crear directorio híbrido**, AWS ejecuta otra evaluación del directorio basada en esta información para confirmar que la configuración de AD autogestionada sigue siendo válida. Si la evaluación del directorio se aprueba correctamente, se creará el directorio híbrido.

1. Si se selecciona **Creación de directorio híbrido**, se volverá a la página **Directorios**.

   1. Una vez que el directorio híbrido se haya creado correctamente, aparecerá un banner verde.

   1. Si se produce un error en la creación del directorio híbrido, aparecerá un banner rojo. Elimine los errores de creación de directorios híbridos al realizar lo siguiente:

      1. Elimine el directorio híbrido que tuvo un error de la consola.

      1. Elimine cualquier AWS reserva restante de su OUs AD autogestionado.

   **Más información**
   + [Eliminación de un directorio híbrido](hybrid_directory_delete.md)
   + [Resolución de problemas](hybrid_directory_troubleshooting.md)

# Visualización y edición de un directorio híbrido
<a name="hybrid_directory_view_and_edit"></a>

Utilice los siguientes procedimientos para ver o editar el directorio híbrido.

## Visualización de un directorio híbrido
<a name="viewing_hybrid_dir"></a>

Puede ver un directorio híbrido en la Directory Service consola.

**Visualización de información detallada del directorio**

1. En el panel de navegación de la [consola de Directory Service](https://console.aws.amazon.com/directoryservicev2/), elija **Directorios**.

1. Elija el enlace del ID de directorio correspondiente a su directorio. La información acerca del directorio se muestra en la página **Detalles del directorio**.

### Información sobre Active Directory autoadministrado
<a name="self-managed-active-directory-information"></a>

En esta sección se proporciona información sobre el Active Directory autogestionado que está unido a la AWS infraestructura.
+ Tipo de directorio
+ ID de directorio
+ Estado de los directorios
+ Detalles de la red de su AD autoadministrado, como:
  + VPC
  + Subredes
  + Direcciones DNS
+ Nodos administrados de Systems Manager

### Pestañas de directorios híbridos
<a name="hybrid_directory_tabs"></a>

Puede encontrar la siguiente información sobre su Microsoft AD AWS administrado:
+ En la pestaña **Compartir y compartir**, puedes compartir tu Microsoft AD AWS administrado con otras AWS cuentas y ver los detalles de red de tus controladores de dominio.
+ En la pestaña **Administración de aplicaciones**, puede habilitar una URL de acceso a la aplicación para su Microsoft AD AWS administrado y habilitar AWS aplicaciones y servicios para su Microsoft AD AWS administrado.
+ En la pestaña **Mantenimiento**, puede habilitar SNS para recibir notificaciones del estado de su Microsoft AD AWS administrado y revisar las instantáneas de su AWS Microsoft AD administrado.
+ Para obtener más información acerca del campo **Status**, consulte [Descripción del estado de su directorio AWS administrado de Microsoft AD](ms_ad_directory_status.md).

## Actualización de un directorio híbrido
<a name="editing_hybrid_dir"></a>

Puede actualizar un directorio híbrido en la Directory Service consola para modificar la configuración de DNS o recuperar el acceso a la cuenta de administrador.

**Actualización de la información del directorio híbrido**

1. En el panel de navegación de la [consola de Directory Service](https://console.aws.amazon.com/directoryservicev2), elija **Directorios**.

1. Elija el vínculo del ID de su directorio para abrir la página **Detalles del directorio**.

1. Elija **Acciones** y, a continuación, elija **Actualizar la información del directorio híbrido**.

1. En la página **Actualización de la información del directorio híbrido**, se puede actualizar la configuración de DNS o recuperar su cuenta de administrador.

   **Actualización de la configuración de DNS (opcional)**

   En la sección **Información de Active Directory autoadministrada**, se puede cambiar lo siguiente:

   1. **Nombre de DNS del directorio**

   1. **Direcciones IP de DNS**

   Puede actualizar ambos ajustes juntos o de forma individual. Se requiere al menos un cambio para el proceso de actualización.

1. **Recuperación de la cuenta de administrador de directorios híbridos**

   Para recuperar su cuenta de administrador de directorios híbridos, necesitamos acceso temporal a un usuario. Este acceso se proporciona a través de un secreto de Secrets Manager. Usamos estas credenciales solo una vez durante la recuperación y no las almacenamos. Si la cuenta de administrador de directorios híbridos ya existe, no se necesita actualizar estas credenciales, aunque se haya actualizado el usuario de administrador de AD autoadministrado.

   1. **Administrador de credenciales de secreto**: creamos una cuenta de administrador de directorio híbrida cuando creamos un directorio híbrido. Si se ha eliminado este secreto, ingrese el secreto de Secrets Manager para su usuario administrador de AD autoadministrado.

# Eliminación de un directorio híbrido
<a name="hybrid_directory_delete"></a>

Cuando se elimina un directorio híbrido, todos los datos y las instantáneas del directorio se eliminan y no se pueden recuperar. Una vez que se elimina el directorio, todas las instancias que se unieron a él permanecen intactas. Sin embargo, no se pueden utilizar las credenciales del directorio para iniciar sesión en estas instancias. Se debe iniciar sesión en estas instancias con una cuenta de usuario local.

**Eliminación de un directorio**

1. En el panel de navegación de la [consola de Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**. Asegúrese de que se encuentra en el Región de AWS lugar donde está desplegado su directorio híbrido. Para obtener más información, consulte [Selección de una región](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html).

1. Asegúrese de que no haya ninguna AWS aplicación habilitada para el directorio que desea eliminar. AWS Las aplicaciones habilitadas impedirán que elimine el directorio híbrido.

1. En la página **Directorios**, elija el ID del directorio.

1. En la página **Directory details (Detalles del directorio)**, seleccione la pestaña **Application management (Administración de aplicaciones)**. En la sección de **AWS aplicaciones y servicios**, verá qué AWS aplicaciones están habilitadas para su directorio.

   1. Deshabilita Consola de administración de AWS el acceso. Para obtener más información, consulte [Disabling AWS Management Console access](https://docs.aws.amazon.com/ms_ad_management_console_access.xml).

   1. Para deshabilitar el servidor de archivos de Amazon FSx para Windows, debe eliminar el sistema de FSx archivos de Amazon del dominio. Para obtener más información, consulte [Cómo trabajar con Active Directory en FSx Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) en la *Guía del usuario de Amazon FSx for Windows File Server*.

   1. Para deshabilitar Amazon Relational Database Service, debe eliminar la instancia de Amazon RDS del dominio. Para obtener más información, consulte [Administración de una instancia de base de datos en un dominio](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) en la *Guía del usuario de Amazon RDS*.

1. En el panel de navegación, elija **Directories (Directorios)**.

1. Seleccione únicamente el directorio que se va a eliminar y haga clic en **Eliminar**. La eliminación del directorio tarda varios minutos. Cuando el directorio se haya eliminado, se eliminará de la lista de directorios.

1. Elimine manualmente cualquier objeto del controlador de dominio restante, incluido cualquier objeto AWS reservado OUs. Puede eliminar todo el directorio AWS reservado para terminar de limpiar su entorno. 

# Evaluaciones de directorios para directorios híbridos
<a name="hybrid_directory_assessment"></a>

Una evaluación de directorio analiza el entorno de Active Directory autoadministrado para garantizar que cumple los requisitos para crear un directorio híbrido. Esta evaluación verifica la conectividad de la red, la configuración del controlador de dominio y los servicios necesarios para ayudar a identificar y resolver posibles problemas antes de establecer una conexión entre su AD autoadministrado y Directory Service.

Existen dos tipos de evaluaciones de directorios:
+ *Evaluaciones de `CUSTOMER`*: iniciadas por usted en la consola cuando comienza a configurar un directorio híbrido. Se pueden eliminar las evaluaciones del directorio de clientes, incluso cuando estén en curso. Se puede disponer de hasta 100 evaluaciones de clientes.
+ *Evaluaciones de `SYSTEM`*: AWS las crea de manera automática y se ejecutan periódicamente tras una creación correcta. No se pueden eliminar evaluaciones de `SYSTEM`.

Las evaluaciones del directorio proporcionan información valiosa sobre la preparación de su entorno, que incluye:
+ Conectividad entre su AD autogestionado y AWS
+ Disponibilidad de los servicios necesarios en sus controladores de dominio
+ Compatibilidad de configuración con los requisitos de AWS Directory Service
+ Posibles problemas que podrían impedir la creación correcta de un directorio híbrido

Para poder crear un directorio híbrido, es obligatorio realizar una evaluación correcta (aprobada) del directorio. Si una evaluación falla, puede ver el informe detallado para identificar y solucionar los problemas antes de volver a intentarlo. AWS elimina `SYSTEM` las evaluaciones después de 30 días.

**Topics**
+ [Creación de evaluaciones de directorio](create_directory_assessment.md)
+ [Visualización de evaluaciones de directorios](viewing_hybrid_dir_assessment.md)
+ [Eliminación de evaluaciones de directorio](deleting_hybrid_dir_assessment.md)

# Creación de evaluaciones de directorio
<a name="create_directory_assessment"></a>

Puede crear una evaluación de directorios como parte de la creación de un directorio híbrido o puede crearla de manera manual. Para crear una evaluación manualmente, abra la Directory Service consola en [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/). En la página **Directorios**, en la sección **Evaluaciones del directorio**, seleccione **Crear evaluación**.

**Creación de una evaluación de directorio**

1. En la página **Evaluación para crear un directorio**, en el campo **Nombre DNS del directorio**, introduzca su nombre DNS de Active Directory autoadministrado.

1. En **Direcciones IP de DNS**, introduzca dos direcciones IP de DNS para su AD autoadministrado.

1. El directorio híbrido requiere una VPC de Amazon con dos subredes como mínimo. Si aún no las tiene, puede crearlas. En la sección **Redes**, proporcione lo siguiente:

   1. Para **VPC**, elija el identificador de su VPC.

   1. Para **Subredes**, elija el identificador de cada una de las dos subredes. Cada subred tiene que estar en diferentes zonas de disponibilidad. Para obtener más información, consulte [Requisitos de la red de Amazon VPC](create_hybrid_directory_prereqs.md#hybrid-dir-prereqs-vpc).

   1. En **Grupos de seguridad**, elija el grupo de seguridad predeterminado. De forma predeterminada, AWS adjunta un grupo de seguridad para permitir el acceso de red a los nodos AWS Secrets Manager gestionados de su Amazon VPC. Si lo desea, puede proporcionar su propio grupo de seguridad que permita el tráfico de red hacia y desde los controladores de dominio autoadministrados fuera de la Amazon VPC.

1. En la sección **Nodos AWS Systems Manager **, elija dos nodos o instancias de Systems Manager en función de los siguientes requisitos:
   + Si su Active Directory se **autoadministra fuera de la Nube de AWS**, necesitará dos nodos de Systems Manager para un entorno híbrido y multinube. Para obtener más información sobre cómo aprovisionar estos nodos, consulte [Setting up Systems Manager for hybrid and multicloud environments](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
   + Si su Active Directory se **autoadministra dentro de Nube de AWS**, necesitará dos EC2 instancias administradas por Systems Manager. Para obtener más información sobre cómo aprovisionar estas instancias, consulte [Administración de EC2 instancias con Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

1. Seleccione **Siguiente** para abrir la página **Revisión y creación de evaluación de directorios**.

1. En la página **Revisión y creación de evaluación de directorio**, revise la información de evaluación del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, elija **Crear**. La creación de la evaluación del directorio tarda unos 30 minutos. Volverá a la página de detalles del directorio. Aparece un banner verde cuando la evaluación del directorio sea correcta.
**aviso**  
Para crear un directorio híbrido, la evaluación del directorio debe entrar en el estado CORRECTO. No se puede crear un directorio híbrido sin antes pasar satisfactoriamente una evaluación del directorio.

# Visualización de evaluaciones de directorios
<a name="viewing_hybrid_dir_assessment"></a>

Puede ver las evaluaciones del directorio en el Consola de administración de AWS para revisar los resultados de las evaluaciones y administrar sus informes de evaluación.

**Visualización de una evaluación del directorio**

1. Abra la Directory Service consola en [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. En la página **Directorios**, en la sección **Evaluaciones de directorios híbridos de prueba**, elija la evaluación que desee ver. Se abrirá la página de detalles de la evaluación.

1. En la página de detalles de las evaluaciones, puede elegir:
   + **Descargar** para descargar el informe de evaluación del directorio como un archivo CSV.
   + **Eliminar** para eliminar el informe de evaluación del directorio.
   + **Crear una evaluación** para crear una nueva evaluación del directorio.

1. En la página de detalles de la evaluación, puede ver la siguiente información:

   1. Información de la evaluación, como el identificador de la evaluación, su estado, si la creó el cliente o el sistema y cuándo se actualizó por última vez.

   1. Detalles de AD autoadministrados, como el nombre DNS, la VPC y las subredes.

   1. AWS Systems Manager administró la información de los nodos, como la dirección IP, el estado de la evaluación y el número de pruebas de evaluación aprobadas y no aprobadas.

   1. Estado de la evaluación de los controladores de dominio. También puede revisar los detalles de las pruebas de evaluación al elegir los controladores de dominio. Los códigos de error aparecen en la columna **Estado** de las pruebas de evaluación no aprobadas.

# Eliminación de evaluaciones de directorio
<a name="deleting_hybrid_dir_assessment"></a>

Se pueden eliminar las evaluaciones de directorio creadas por el cliente en la Consola de administración de AWS. No puede eliminar las evaluaciones iniciadas por el sistema que se AWS crean automáticamente.

**Eliminación de una evaluación del directorio de clientes**

1. Abra la Directory Service consola en. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)

1. En la página **Directorios**, en la sección **Evaluaciones de directorios**, elija la evaluación de clientes que desee eliminar. También se puede seleccionar la casilla de verificación situada junto a las evaluaciones de directorio que se deseen eliminar y, a continuación, en el menú **Acciones**, seleccionar **Eliminar**.

1. Se le redirigirá a la página de detalles **Evaluaciones**. Elija **Acciones** y, a continuación, elija **Eliminar evaluación**. Aparece el cuadro de diálogo **Eliminar la evaluación del directorio**. Elija **Eliminar**.

# Solución de problemas de directorio híbrido y de evaluación de directorios
<a name="hybrid_directory_troubleshooting"></a>

Se requiere una evaluación del directorio para crear un directorio híbrido. Las pruebas de evaluación se ejecutan en cada controlador de dominio. Las pruebas de evaluación examinan diferentes áreas y dan como resultado un estado aprobado o reprobado. Si la evaluación del directorio tiene un error, se pueden ver las pruebas de evaluación de los controladores de dominio para identificar los problemas que causaron el error.

**importante**  
Se puede crear un directorio híbrido cuando el estado de la evaluación del directorio sea Aprobada con una advertencia. Se recomienda que solucione el problema que provoca la advertencia antes de crear un directorio híbrido

**Topics**
+ [Solución de problemas de una evaluación con error del directorio híbrido](#hybrid_directory_troubleshooting_steps)
+ [Errores de estado de los directorios](hybrid_directory_status_errors.md)
+ [Mensajes de error de la evaluación de directorios](da-error-msgs.md)
+ [Mensajes de error de la prueba de evaluación](assessment_test_error-msgs.md)
+ [Mensajes de advertencia de pruebas de evaluación](assessment_test_warning-msgs.md)

## Solución de problemas de una evaluación con error del directorio híbrido
<a name="hybrid_directory_troubleshooting_steps"></a>

Puede solucionar un error en la evaluación de un directorio desde la página **Directorios** en la Consola de administración de AWS.

1. Inicie sesión en Consola de administración de AWS y abra la Directory Service consola en [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. En la sección **Evaluaciones de directorios**, seleccione la evaluación con error del directorio híbrido.

1. En la página **Detalles de la evaluación**, revise la evaluación del directorio e identifique qué pruebas tuvieron errores.

   1. Las pruebas de evaluación del controlador de dominio ofrecerán más información sobre las pruebas que se realizaron correctamente o no. La columna **Estado** proporciona más detalles sobre la causa de la prueba con error. Para ver las pruebas de evaluación del controlador de dominio, consulte [Visualización de evaluaciones de directorios](viewing_hybrid_dir_assessment.md).

1. Resuelva los problemas que causan los errores en el directorio de Active Directory autoadministrado o en AWS Managed Microsoft AD. Para obtener más información, consulte [Mensajes de error de la evaluación de directorios](da-error-msgs.md) y [Mensajes de error de la prueba de evaluación](assessment_test_error-msgs.md).

1. Vuelva a la evaluación fallida en la Directory Service consola. Elija **Crear evaluación** en el mensaje de advertencia rojo. Para obtener más información sobre la creación de una evaluación de directorio, consulte [Creación de un directorio híbrido con AD autoadministrado](hybrid_directory_create.md#creating_hybrid_directory).

# Errores de estado de los directorios
<a name="hybrid_directory_status_errors"></a>

Directory Service los directorios pueden encontrar varios estados que indican distintos tipos de problemas. La comprensión de estos estados ayudará a determinar los pasos de solución de problemas adecuados.


**Tipos de estado de los directorios**  

| Status | Description (Descripción) | Acción requerida | 
| --- | --- | --- | 
| Activo | La creación del directorio se reallizó correctamente y funciona con normalidad. | No hay que hacer nada. | 
| Deteriorado | El directorio se creó correctamente, pero el controlador de dominio tuvo problemas después de creado.. El sistema intenta la recuperación automática. | Supervise el estado del directorio. Si el problema persiste, ponte en contacto con AWS Support. | 
| Con error | La creación del directorio ha fallado y no se puede recuperar. | En este caso, debe eliminar el directorio que falló y crear uno nuevo. | 
| Inoperable (solo AD híbrido) | AWS detectó un problema de seguridad y aisló automáticamente el directorio para protegerlo. El directorio queda completamente inutilizable hasta que se restaure. |  Póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/) de inmediato. Este estado requiere una Soporte intervención para investigar y restaurar el directorio. | 

# Mensajes de error de la evaluación de directorios
<a name="da-error-msgs"></a>

Para crear un directorio híbrido, es necesario aprobar una evaluación del directorio. Las evaluaciones de los directorios pueden fallar por diversas razones:

La siguiente tabla muestra los mensajes de error de la evaluación de directorios y cómo resolverlos.


**Mensajes de error de la evaluación de directorios y resoluciones**  

| Mensaje de error de la evaluación de directorios | Resolución | 
| --- | --- | 
|  Esta evaluación no aprobó varias pruebas en ambas instancias administradas. Investigue las pruebas que tuvieron un error al seleccionar cada instancia administrada y resolviéndolas en su directorio en las instalaciones. A continuación, cree una nueva evaluación.  |  Una o más de las pruebas de evaluación del directorio fallaron en su AD autoadministrado. Consulte el [Mensajes de error de la prueba de evaluación](assessment_test_error-msgs.md) para obtener más información sobre errores de prueba específicos y sus resoluciones.  | 
|  Esta evaluación tuvo un error debido a una excepción de servicio interno. Vuelva a intentarlo al crear una nueva evaluación o póngase en contacto con el servicio para solucionar problemas.  |  Intente crear una nueva evaluación de directorio Si sigue teniendo este error, póngase en contacto con [Soporte](https://aws.amazon.com/premiumsupport/).  | 
|  Esta evaluación tuvo un error debido a la falta de permiso para realizar una acción como`ec2:CreateSecurityGroup`, `ec2:DeleteSecurityGroup`, `ec2:CreateNetworkInterface`, `ec2:DeleteNetworkInterface`, `ec2:DescribeSubnets` y `ec2:DescribeNetworkInterface`.  |  Para crear una evaluación del directorio, Cuenta de AWS necesita lo necesario[Cuenta de AWS permisos](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms).  | 
|  Esta evaluación tuvo un error debido a la falta de permiso para realizar una acción como `ssm:GetConnectionStatus`, `ssm:GetCommandInvocation`, `ssm:ListCommands`, `ssm:SendCommand`.  |  Para crear una evaluación de directorio, necesitará dos nodos de Systems Manager con los [Cuenta de AWS permisos](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms) necesarios.  | 
|  Esta evaluación tuvo un error porque alcanzó el límite del número de interfaces de red que se pueden crear. Para obtener más información, consulte [Cuotas de VPC de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Para crear una evaluación de directorios, debe crear una interfaz de red y grupos de seguridad. Hay límites en la cantidad de recursos de VPC que se pueden crear, pero puede ajustar algunos de estos límites. Para obtener más información, consulte [Cuotas de VPC de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  | 
|  Esta evaluación tuvo un error porque se alcanzó el límite del número de grupos de seguridad que se pueden crear o asignar a una instancia. Para obtener más información, consulte [Cuotas de VPC de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Para crear una evaluación de directorios, debe crear una interfaz de red y grupos de seguridad. Hay límites en la cantidad de recursos de VPC que se pueden crear, pero puede ajustar algunos de estos límites. Para obtener más información, consulte [Cuotas de VPC de Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll).  | 
|  Esta evaluación tuvo un error. No se puede conectar a las instancias del cliente desde AWS Systems Manager.  |  Para crear una evaluación de directorio, necesitará dos AWS Systems Manager nodos que estén conectados. Consulte [Solución de problemas de Agente SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html).   | 
|  Esta evaluación no aprobó varias pruebas críticas. Investigue las pruebas que tuvieron un error al seleccionar cada instancia administrada y resolviéndolas en su directorio en las instalaciones. A continuación, cree una nueva evaluación.  |  Una o más de las pruebas de evaluación del directorio tuvieron un error en su AD autoadministrado. Revise los [Mensajes de error de la prueba de evaluación](assessment_test_error-msgs.md) para obtener más información.  | 

# Mensajes de error de la prueba de evaluación
<a name="assessment_test_error-msgs"></a>

En la siguiente tabla se describen los mensajes de error que pueden producirse durante las pruebas de evaluación. Estos errores indican problemas de bloqueo que se deben resolver antes de continuar con la configuración del directorio híbrido.


| Nombre de la prueba | Nombre corto | Código de error | Mensaje de error | Description (Descripción) | Resolución | 
| --- | --- | --- | --- | --- | --- | 
| Prueba de Active Directory Services | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Ocurre si los servicios de AD necesarios no se ejecutan en el directorio de AD autoadministrado. | Los servicios de AD necesarios deben ejecutarse en el directorio de AD autoadministrado. Para obtener más información, consulte [Servicios de Active Directory obligatorios](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). | 
| Prueba de Active Directory Services | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Asegúrese de que sus controladores de dominio de AD autoadministrados estén operativos y se pueda acceder a ellos. Verifique la conectividad de red y la resolución de DNS de sus controladores de dominio de AD autoadministrados. | 
| Prueba de política de contraseñas de AD | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Se produce si la política de contraseñas de AD autogestionada no cumple con los requisitos de AD de Microsoft AWS Administrado. | Su política de contraseñas de AD autoadministrada debe cumplir los requisitos de contraseñas de AWS Managed Microsoft AD. Para obtener más información, consulte [Descripción de las políticas de contraseñas AWS administradas de Microsoft AD](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). | 
| AWS Prueba de existencia del usuario administrador | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Se produce si el usuario administrador del directorio híbrido no existe en el directorio AWS reservado OU de su AD autogestionado. | Asegúrese de que el usuario administrador de directorios híbrido existe en la OU reservada de AWS en su AD autoadministrado. Si falta el usuario, verifique que la cuenta se haya creado correctamente durante el proceso de configuración del directorio híbrido. [Actualización de un directorio híbrido](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Si el estado de su directorio híbrido no funciona, póngase en contacto con. [Soporte](https://console.aws.amazon.com/support/home#/) | 
| AWS Prueba de usuario SPN administrador | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Se produce si el usuario administrador del directorio híbrido tiene SPNs configurados en su AD autoadministrado. | Elimine todos los nombres principales del servicio (SPNs) de la cuenta de usuario del administrador del directorio AWS híbrido. El usuario administrador del directorio híbrido no debe tener SPNs configurados, ya que puede interferir con la autenticación del directorio híbrido. | 
| AWS Prueba de controlador de dominio, no de FSMO propietario | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Se produce si ha transferido roles de FSMO (PDC Emulator, RID Master oInfrastructure Master) de su AD autoadministrado al controlador de dominio del directorio híbrido. | Transfiera todos los roles de FSMO (PDC Emulator, RID Master, Infrastructure Master) de regreso a sus controladores de dominio de AD autoadministrados antes de continuar. Para obtener más información, consulte la [documentación de Microsoft sobre la transferencia de roles de FSMO](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). | 
| AWS Prueba de pertenencia a un grupo reservado | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Se produce si el AWS elemento reservado OU de tu AD autogestionado no existe. | La AWS reserva OU debe existir en tu AD autogestionado para poder validar la pertenencia a un grupo. Ponte en contacto con [Soporte](https://console.aws.amazon.com/support/home#/). | 
| AWS Prueba de pertenencia a un grupo reservado | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Se produce si los grupos de la sección AWS OU Reservado de su AD autogestionado contienen usuarios no autorizados. | Elimine cualquier usuario no autorizado de los OU grupos AWS reservados de su AD autogestionado. | 
| AWS Prueba reservada OU ACLs | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Se produce si las opciones AWS OU ACLs reservadas de su AD autogestionado no imponen permisos de solo lectura a las entidades que no son gestionadas ni impiden el acceso no autorizado a AWS los recursos gestionados.AWS  | Revisa y corrige los permisos de la sección AWS Reservado de tu AD OU ACLs autogestionado. Asegúrese de que las entidades que no son de AWS solo tengan permisos de lectura (`ListChildren`, `ReadProperty`, `ListObject`, `ReadControl`, `GenericRead`, `Synchronize`) y elimine los permisos excesivos. | 
| AWS Prueba de OU GPO asociaciones reservadas | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Se produce si los controladores AWS reservados OU y de dominio OU de su AD autogestionado están vinculados a controladores no autorizadosGPOs. | (Solo los objetos de política de grupo AWS administrados (GPOs) se pueden vincular a ellosOUs. Elimine cualquier elemento no autorizado GPOs vinculado a los controladores AWS reservados OU y de dominio OU de su AD autogestionado. | 
| AWS Prueba de OU recursos reservados | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Se produce si el elemento AWS Reservado OU no existe en su AD autogestionado, que es necesario para la funcionalidad del directorio de Microsoft AD AWS administrado. | El AWS archivo reservado OU debe crearse automáticamente durante la configuración del directorio híbrido y no debe eliminarse. Si este error persiste, póngase en contacto con [Soporte](https://console.aws.amazon.com/support/home#/). | 
| AWS Prueba de OU recursos reservados | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Se produce si la AWS reserva OU creada en su AD autogestionado no contiene los objetos necesarios y GPOs para el correcto funcionamiento del directorio híbrido. | Asegúrese de que nadie edite el AWS Reservado. OU Debe contener los recursos AWS gestionados necesarios. Elimine cualquier objeto no autorizado o GPOs y póngase en contacto con [Soporte](https://console.aws.amazon.com/support/home#/) si faltan los recursos necesarios. | 
| AWS Prueba reservada OU | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Se produce si aún existen los recursos AWS reservados que se encuentran en el AD autogestionado de una configuración de directorio híbrido anterior. | Elimine el directorio híbrido existente que tuvo un error de la consola. A continuación, elimine todos AWS los datos reservados OU y relacionados GPOs de su AD autogestionado antes de continuar. | 
| Prueba de contexto de nomenclatura de Bridgehead | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Se produce si la replicación de AD autoadministrado entre los sitios que utilizan Bridgehead no funciona según lo esperado. También puede ocurrir si los contextos de nomenclatura no están sincronizados entre sitios. | Su sitio de bridgehead de AD autoadministrado debe funcionar correctamente. Puede diagnosticar más a fondo con: `repadmin /bridgeheads /verbose`. Aborde los problemas de esa evaluación antes de continuar. | 
| Prueba de dominio secundario | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Se produce si el bosque de AD autogestionado contiene dominios secundarios, que no son compatibles con los directorios AWS gestionados de Microsoft AD. | AWS Los directorios administrados de Microsoft AD no admiten dominios secundarios. Debe usar un bosque de un solo dominio para su AD autoadministrado. Para obtener más información, consulte [Requisitos del dominio Microsoft Active Directory:](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Prueba de DcDiag | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Se produce si alguna de las pruebas de DCDiag de Microsoft tiene un error en su AD autoadministrado. | AWS utiliza DCDiag para probar tu AD autogestionado. Si hay errores, no se puede crear un directorio híbrido. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). | 
| Prueba de coincidencia de IP de DNS | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Se produce si las direcciones IP de DNS proporcionadas por el AD autoadministrado no coinciden con las direcciones IP de DNS de los controladores de dominio de AD autoadministrados que están habilitados con AWS Systems Manager. | Proporcione las direcciones IP de DNS correctas. | 
| Prueba de coincidencia de nombres de DNS | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Se produce si el nombre DNS proporcionado para el AD autoadministrado no coincide con el nombre DNS de los controladores de dominio de AD autoadministrados habilitados con AWS Systems Manager. | Proporcione el nombre DNS correcto. | 
| Prueba de registros de DNS | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Se produce si los registros de DNS de Windows no están configurados para los tipos A, NS, SOA y SRV y se pueden consultar. | Los registros de DNS para dirección (A), espacio de nombres (NS), estado de autoridad (SOA) y registro de servicio (SRV) deben estar configurados y se pueden consultar. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). | 
| Prueba de nivel funcional de bosque de dominio | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Se produce si los niveles funcionales del bosque y el dominio de AD autoadministrados no cumplen los requisitos mínimos. | Su AD autoadministrado debe utilizar nuestro el nivel funcional Windows 2012 R2 o 2016. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). | 
| Pruebas de estado de dominio | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Se produce si su AD autoadministrado no tiene la cantidad mínima requerida de controladores de dominio. | Asegúrese de que su AD autogestionado tenga habilitados al menos dos controladores de dominio. AWS Systems Manager Para obtener más información, consulte [Requisitos del dominio Microsoft Active Directory:](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Prueba de dominio existente | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Se produce si el dominio de AD autoadministrado ya está vinculado a un directorio híbrido existente. | Su dominio de AD autoadministrado ya está vinculado a un directorio híbrido existente. Cada dominio de AD autoadministrado vinculado a un directorio híbrido debe ser único. Cree un nuevo dominio de AD autoadministrado o elimínelo de la configuración del directorio híbrido a la que está vinculado. | 
| Prueba de conectividad de FSMO | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Se produce si FSMO los roles de tu AD autogestionado no son enrutables. PDC Emulator and/or RID Master IPs  | El controlador de dominio principal (PDC) debe poder enrutarse en todo momento. En concreto, el final PDC Emulator RID Master IPs de su AD autogestionado. Para obtener más información, consulte [Requisitos del dominio Microsoft Active Directory:](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Prueba de conectividad de FSMO | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Se produce si los controladores de dominio de AD autoadministrados no pueden acceder a sus roles de FSMO. | Su rol de ol de operaciones de maestro único flexible (FSMO) en su AD autoadministrado debe estar conectada a sus controladores de dominio de AD autoadministrados. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| Prueba de conflicto de IP | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Se produce si los rangos de IP de AD autoadministrado se superponen con los rangos reservados de AWS . | Su AD autogestionado no puede usar un rango de direcciones IP que se superponga con los rangos de IP reservadas. AWS Para obtener más información, consulte [Requisitos del dominio Microsoft Active Directory:](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Prueba de Kerberos | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Se produce si Kerberos no está configurado correctamente y está en uso. | Kerberos debe estar habilitado en su AD autoadministrado. Para obtener más información, consulte la [Documentación de Microsoft](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). | 
| Prueba de conectividad de LDAP | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Se produce si LDAP no funciona. | El Protocolo ligero de acceso a directorios (LDAP) debe estar habilitado y funcionar en su AD autoadministrado. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). | 
| Controlador de dominio no de solo lectura para la prueba FSMO | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Se produce si su rol de FSMO de controlador de dominio de AD autoadministrado es RODC. | El controlador de dominio de su AD autoadministrado no debe utilizar el rol de operaciones de maestro único flexible (FSMO) de controlador de dominio de solo lectura (RODC). Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| Prueba de replicación de contraseñas de controlador de dominio de solo lectura | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | Se produce si RODC tiene permiso para replicar las contraseñas de administrador. | Se le debe denegar explícitamente el permiso para replicar las contraseñas de administrador al RODC para su AD autoadministrado. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). | 
| Prueba de controlador de dominio de solo lectura | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Se produce si los controladores de dominio de AD autoadministrados están en modo ReadOnlyDC. | Los AD autoadministrados deben ser controladores de dominio de lectura y escritura. Para obtener más información sobre los tipos de controladores de dominio, consulte la [documentación de Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers) | 
| Prueba de conectividad de puerto remoto | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Se produce si los puertos necesarios de la AWS subred y del controlador de dominio de AD autogestionado no están abiertos. | Asegúrese de que todos los puertos necesarios estén abiertos entre la AWS subred y el AD autogestionado. Para obtener más información, consulte [Requisitos de puerto de red](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports). | 
| Prueba de replicación | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Se produce si la replicación de los controladores de dominio de AD autoadministrado ha fallado. | El estado de replicación de los controladores de dominio de AD autoadministrados debe ser correcto. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). | 
| Prueba de SMBV1 | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Se produce si el AD autoadministrado utiliza actualmente SMBv1 para la autenticación. | Se sabe que SMBv1 no es seguro y debe estar deshabilitado en su AD autoadministrado. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). | 
| Prueba de permisos de usuario de SSM | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Se produce si el usuario de Windows utilizado por SSM no tiene privilegios suficientes. | Necesitará permisos de Windows administrador para los agentes de AWS System Manager (SSM) de su AD autogestionado. Para obtener más información, consulte [Cuenta de AWS permisos](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). | 
| Prueba de replicación de Sysvol | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Se produce si el AD autoadministrado no tiene el método de replicación sysvol correcto (DFSR) y si alguno de DCs tuvo un error durante el evento de replicación de DFSR. | El método de replicación de sysvol de AD autoadministrado (DFSR) debe ser correcto. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). | 
| Prueba de GPO de nivel superior | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Se produce si su AD autoadministrado tiene el nivel superior GPOs establecido como obligatorio. | Asegúrese de que el objeto de política de grupo de nivel superior (GPO) de su dominio AD autoadministrado no esté establecido en Forzado. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). | 
| Prueba de tipos de confianza | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Ocurre si el directorio de AD autoadministrado tiene tipos de confianza no compatibles. | Uplevel es el único tipo de confianza compatible con el directorio híbrido. Su AD autoadministrado no puede tener los siguientes tipos de confianza:DCE, MIT, Downlevel. Para obtener más información acerca de los tipos de confianza, consulte la [documentación de Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). | 
| Prueba de controlador de dominio válida | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Se produce si las instancias de AD autoadministradas proporcionadas no son controladores de dominio o si ya forman parte de otro directorio híbrido. | Proporcione controladores de dominio de AD autoadministrados que sean exclusivos de este directorio híbrido. Vuelva a intentarlo con un nuevo directorio. Asegúrese de haber eliminado el directorio híbrido fallido y cualquier otro directorio de su AWS OU AD autogestionado. | 

# Mensajes de advertencia de pruebas de evaluación
<a name="assessment_test_warning-msgs"></a>

En la siguiente tabla se describen los mensajes de advertencia que pueden aparecer durante las pruebas de evaluación. Estas advertencias representan recomendaciones para una configuración óptima, pero no impiden la configuración de un directorio híbrido.


| Nombre de la prueba | Nombre corto | Código de advertencia | Mensaje de advertencia | Description (Descripción) | Resolución | 
| --- | --- | --- | --- | --- | --- | 
| Pruebas de estado de dominio | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Se produce si hay cuentas de usuario en su AD autoadministrado que no han iniciado sesión durante un período prolongado y que pueden considerarse obsoletas o inactivas. | Limpie las cuentas de usuario obsoletas. | 
| Prueba de fuente de hora del controlador de dominio | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Se produce si el AD autoadministrado tiene la configuración de fuente de hora correcta y no hay una gran asimetría horaria en comparación con una fuente de hora de AWS . | Se dirige al servidor de hora de su controlador de dominio principal (PDC) a `169.254.169.123`. Los controladores de dominio no principales deben indicarse a PDC como la fuente. Para obtener más información, consulte [Control del tiempo con Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/). | 
| Prueba de espacio libre | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Se produce si el uso combinado de NTDS y Sysvol de su AD autoadministrado combinado supera la cuota admitida. | Su AD autoadministrado debe tener 24 GB de espacio en disco para los directorios híbridos. | 
| Prueba de FSMO Roles | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Se produce si los roles de FSMO (PDC Emulator y RID Master) no se encuentran entre los dos controladores de dominio que se proporcionan al crear un directorio híbrido. | El directorio híbrido debe tener los dos roles de FSMO (emulador de PDC y maestro de RID) entre los dos controladores de dominio que proporcione al crear un directorio híbrido. Para obtener más información, consulte [Cómo ver y transferir roles de FSMO](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). | 
| Prueba SSP de canal S | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Se produce si un AD autoadministrado no utiliza ningún cifrado de TLS1.2 y AES256. | Su AD autoadministrado debe utilizar TLS 1.2 y AES256 para directorios híbridos. | 
| Prueba de corrupción de disco | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Ocurre si hay daños en el disco de AD autoadministrado. | Los discos AD autoadministrados no deberían estar dañados. | 
| Prueba de especificaciones del controlador de dominio | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Se produce si los controladores de dominio de AD autoadministrados no cumplen con las especificaciones requeridas. | Los controladores de dominio de AD autoadministrados deben tener al menos 7 GB de RAM y 2 núcleos de CPU para el directorio híbrido. | 
| Prueba Dll de complementos a nivel de servidor | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Se produce si ServerLevelPluginDll está configurado en los controladores de dominio de AD autoadministrados. | Los controladores de dominio de AD autoadministrados no deberían tener ServerLevelPluginDII configurados. | 
| Permita la prueba de criptografía NT4 | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Se produce si el AD autoadministrado permite la criptografía NT4. | Su AD autoadministrado no debe usar criptografía NT4. Para obtener más información, consulte la documentación de Microsoft. | 
| Prueba para usuarios administradores huérfanos | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Ocurre si hay usuarios administradores huérfanos en su AD autoadministrado. | Elimine a los usuarios huérfanos de su AD autoadministrado antes de continuar. | 
| Prueba de recuento de usuarios privilegiados | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Se produce si el recuento total de sus administradores integrados, administradores de dominio y administradores de empresa en su AD autoadministrado es superior a 5. | Su entorno de AD autoadministrado no debe tener varias cuentas con privilegios. Se debe eliminar el exceso de cuentas de administrador antes de continuar. | 
| Prueba de recuento de usuarios privilegiados | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Se produce si el recuento total de sus administradores integrados, administradores de dominio y administradores de empresa en su AD autoadministrado es superior a 5. | Su entorno de AD autoadministrado no debe tener varias cuentas con privilegios. Se debe eliminar el exceso de cuentas de administrador antes de continuar. | 
| Prueba de recuento de usuarios privilegiados | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Se produce si el recuento total de sus administradores integrados, administradores de dominio y administradores de empresa en su AD autoadministrado es superior a 5. | Su entorno de AD autoadministrado no debe tener varias cuentas con privilegios. Se debe eliminar el exceso de cuentas de administrador antes de continuar. | 
| Prueba de NTLM | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Ocurre si NTLMv1 está habilitado para la autenticación en su AD autoadministrado. | NT LAN Manager versión 1 (NTLMv1) tiene vulnerabilidades de seguridad conocidas y no debe utilizarse. Deshabilite NTLMv1 en su AD autoadministrado. Para obtener más información, consulte [Documentación de Microsoft](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). | 
| Prueba de vida útil de registros persistentes | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Se produce si la vida útil de los registros persistentes de su AD autoadministrado es superior a 180 días. | La vida útil de registros persistentes es el número de días que faltan para que se quite un objeto eliminado de AD. El valor de vida útil de registros persistentes para su AD autoadministrado debe ser de 180 días o menos. Para obtener más información, consulte [Documentación de Microsoft](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |