Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Comprendre AWS Managed Microsoft AD (édition hybride)
<a name="aws-hybrid-directory"></a>

*AWS Managed Microsoft AD (édition hybride)* vous permet d'étendre votre Active Directory existant AWS Cloud à AWS Managed Microsoft AD. Cette fonctionnalité facilite le transfert de vos charges de travail dépendantes de la publicité AWS, l'adoption de AWS services et l'augmentation de la redondance de votre Active Directory. AWS exécutera régulièrement des évaluations de répertoire sur votre répertoire hybride, que vous pourrez consulter dans la Directory Service console.

Un annuaire hybride Directory Service connecte votre répertoire existant *Microsoft Active Directory*à *AWS Directory Service for Microsoft Active Directory* (AWS Managed Microsoft AD). Cela crée un environnement d'identité intégré qui couvre une infrastructure sur site et multicloud AWS, vous permettant de conserver une source d'identité unique tout en étendant vos services d'annuaire à. AWS

Une configuration d'annuaire hybride fournit plusieurs fonctionnalités importantes :
+ Extension de l'AD autogéré au AWS Cloud sans qu'il soit nécessaire d'établir une relation de confiance
+ Authentification et autorisation fluides dans tous les environnements à l'aide des informations d'identification Active Directory existantes
+ Identifiants utilisateur et appartenances à des groupes cohérents dans vos deux environnements AD
+ Gestion centralisée des politiques d'accès et des autorisations AD

**Topics**
+ [Conditions préalables requises pour un annuaire hybride](create_hybrid_directory_prereqs.md)
+ [Création d'un annuaire hybride](hybrid_directory_create.md)
+ [Afficher et modifier un répertoire hybride](hybrid_directory_view_and_edit.md)
+ [Supprimer un répertoire hybride](hybrid_directory_delete.md)
+ [Évaluations d'annuaires pour les annuaires hybrides](hybrid_directory_assessment.md)
+ [Résolution des problèmes liés aux annuaires hybrides et évaluation des annuaires](hybrid_directory_troubleshooting.md)

# Conditions préalables requises pour un annuaire hybride
<a name="create_hybrid_directory_prereqs"></a>

L'annuaire hybride étend votre Active Directory autogéré au AWS Cloud. Avant de créer un annuaire hybride, assurez-vous que votre environnement répond aux exigences suivantes :

## Microsoft Active Directoryexigences relatives au domaine
<a name="create_hybrid_directory_prereqs-ad-domain"></a>

Avant de créer un annuaire hybride, assurez-vous que votre environnement et votre infrastructure AD autogérés répondent aux exigences suivantes et collectez les informations nécessaires.

### Exigences relatives au domaine
<a name="domain_requirements"></a>

Votre environnement AD autogéré doit répondre aux exigences suivantes :
+ Utilise un Windows Server 2012 R2 ou un niveau 2016 fonctionnel.
+ Utilise des contrôleurs de domaine standard à évaluer pour la création d'annuaires hybrides. Les contrôleurs de domaine en lecture seule (RODC) ne peuvent pas être utilisés pour la création d'annuaires hybrides.
+ Dispose de deux contrôleurs de domaine avec tous les services Active Directory en cours d'exécution.
+ Le contrôleur de domaine principal (PDC) doit être routable à tout moment.

  Plus précisément, l'émulateur PDC et le maître RID IPs de votre AD autogéré doivent appartenir à l'une des catégories suivantes :
  + Partie des plages d'adresses IP RFC1918 privées (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16)
  + Dans le cadre de votre gamme VPC CIDR
  + Associez le DNS IPs de vos instances autogérées à l'annuaire

  Vous pouvez ajouter des routes IP supplémentaires pour le répertoire après la création de l'annuaire hybride.

### Informations obligatoires
<a name="required_information"></a>

Rassemblez les informations suivantes sur votre AD autogéré :
+ Nom de DNS de l’annuaire
+ Répertoire DNS IPs
+ Informations d'identification du compte de service avec autorisations d'administrateur pour votre AD autogéré
+ AWS ARN secret pour stocker les informations d'identification de votre compte de service (voir[AWS ARN secret pour annuaire hybride](#aws_secret_arn_for_hybrid))

### AWS ARN secret pour annuaire hybride
<a name="aws_secret_arn_for_hybrid"></a>

Pour configurer un annuaire hybride avec votre AD autogéré, vous devez créer une clé KMS pour chiffrer votre AWS secret, puis créer le secret lui-même. Les deux ressources doivent être créées dans le même répertoire Compte AWS que celui qui contient le répertoire hybride.

#### Création d'une clé KMS
<a name="create_kms_key_for_hybrid"></a>

La clé KMS est utilisée pour chiffrer votre AWS secret.

**Important**  
Pour **Clé de chiffrement**, n'utilisez pas la clé KMS par défaut  AWS . Assurez-vous de créer la clé AWS KMS dans le même répertoire Compte AWS qui contient le répertoire hybride que vous souhaitez créer pour le joindre à votre AD autogéré.

**Pour créer une clé AWS KMS**

1. Dans la AWS KMS console, choisissez **Create key**.

1. Pour **Type de clé**, choisissez **Symétrique**.

1. Pour **Utilisation de la clé**, choisissez **Chiffrer et déchiffrer**.

1. Pour **Options avancées** :

   1. Pour **Origine des clés**, choisissez **KMS**.

   1. **Pour **Régionalité**, choisissez la **clé à région unique**, puis cliquez sur Suivant.**

1. Pour **Alias**, attribuez un nom à la clé KMS.

1. (Facultatif) Pour **Description**, fournissez une description de la clé KMS.

1. (Facultatif) Pour **Tags**, ajoutez des tags pour la clé KMS et choisissez **Next**.

1. Pour les **administrateurs clés**, sélectionnez un utilisateur IAM.

1. Pour la **suppression de clés**, conservez la sélection par défaut pour **Autoriser les administrateurs de clés à supprimer cette clé** et choisissez **Suivant**.

1. Pour **les utilisateurs clés**, sélectionnez le même utilisateur IAM à l'étape précédente et choisissez **Next**.

1. Passez en revue la configuration.

1. Pour **la politique clé**, ajoutez la déclaration suivante à la stratégie :

1. Choisissez **Finish** (Terminer).

#### Créez un AWS secret
<a name="create_aws_secret_for_hybrid"></a>

Créez un secret dans Secrets Manager pour stocker les informations d'identification de votre compte utilisateur AD autogéré.

**Important**  
Créez le secret dans celui-ci Compte AWS qui contient le répertoire hybride que vous souhaitez joindre à votre AD autogéré.

Pour créer un secret
+ Dans Secrets Manager, choisissez **Enregistrer un nouveau secret**
+ Pour **Type de secret**, choisissez **Autre type de secret**
+ Pour **Paires clé/valeur**, ajoutez vos deux clés :

1. <a name="add_username_key"></a>Ajoutez la clé du nom d'utilisateur

   1. Pour la première clé, entrez `customerAdAdminDomainUsername`.

   1. Pour la valeur de la première clé, saisissez uniquement le nom utilisateur (sans le préfixe de domaine) de l’utilisateur AD. N’incluez pas le nom de domaine, car cela entraîne l’échec de la création de l’instance.

1. <a name="add_password_key"></a>Ajoutez la clé du mot de passe

   1. Pour la deuxième clé, entrez `customerAdAdminDomainPassword`.

   1. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.

##### Terminez la configuration secrète
<a name="complete_secret_configuration"></a>

1. Pour **Clé de chiffrement**, sélectionnez la clé KMS que vous avez créée [Création d'une clé KMS](#create_kms_key_for_hybrid) et choisissez **Next**.

1. Dans **Nom du secret**, entrez une description du secret.

1. (Facultatif) **Dans Description**, entrez une description pour le secret.

1. Choisissez **Suivant**.

1. Pour **Configurer les paramètres de rotation**, conservez les valeurs par défaut et choisissez **Suivant**.

1. Vérifiez les paramètres du secret et choisissez **Store**.

1. Choisissez le secret que vous avez créé et copiez la valeur de l'**ARN du secret**. Vous utiliserez cet ARN à l'étape suivante pour configurer votre Active Directory autogéré.

### Exigences en matière d'infrastructure
<a name="infrastructure_requirements"></a>

Préparez les composants d'infrastructure suivants :
+ Deux AWS Systems Manager nœuds dotés de privilèges d'administrateur pour les agents SSM
  + Si votre Active Directory est **autogéré en dehors de AWS Cloud**, vous aurez besoin de deux nœuds Systems Manager pour un environnement hybride et multicloud. Pour plus d'informations sur le provisionnement de ces nœuds, consultez la section [Configuration de Systems Manager pour les environnements hybrides et multicloud.](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)
  + Si votre Active Directory est **autogéré au sein du AWS Cloud**, vous aurez besoin de deux instances EC2 gérées par Systems Manager. Pour plus d'informations sur le provisionnement de ces instances, consultez [Managing EC2 instances with Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

## Services Active Directory requis
<a name="create_hybrid_directory_prereqs-ad-services"></a>

Assurez-vous que les services suivants sont exécutés sur votre AD autogéré :
+ Services de domaine Active Directory (AD DS)
+ Service Web Active Directory (ADWS)
+ Système d'événements COM\$1
+ Réplication de systèmes de fichiers distribués (DFSR)
+  Système de nom de domaine (DNS)
+ Serveur DNS
+ Client de stratégie de groupe
+ Messagerie intersites
+ Appel de procédure à distance (RPC)
+ Responsable des comptes de sécurité
+ Serveur Windows Time
**Note**  
Le répertoire hybride nécessite que le port UDP 123 soit ouvert et que le serveur Windows Time soit activé et fonctionnel. Nous synchronisons l'heure avec votre contrôleur de domaine pour garantir le bon fonctionnement de la réplication d'annuaires hybride.

## Exigences d'authentification Kerberos
<a name="create_hybrid_directory_prereqs-ad-kerberos"></a>

Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Pour obtenir des instructions détaillées sur la façon d'activer ce paramètre, voir Vérifier [que la pré-authentification Kerberos est activée](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos). Pour obtenir des informations générales sur ce paramètre, consultez la section [Préauthentification activée](http://technet.microsoft.com/en-us/library/cc961961.aspx) Microsoft TechNet.

## Types de chiffrement pris en charge
<a name="create_hybrid_directory_prereqs-encryption"></a>

Un annuaire hybride prend en charge les types de chiffrement suivants lors de l'authentification via Kerberos auprès de vos contrôleurs de domaine Active Directory :
+ AES-256-HMAC

## Exigences relatives aux ports réseau
<a name="create_hybrid_directory_prereqs-ports"></a>

 AWS Pour étendre vos contrôleurs de domaine Active Directory autogérés, le pare-feu de votre réseau existant doit disposer des ports suivants ouverts vers les deux sous-réseaux CIDRs de votre Amazon VPC :
+ TCP/UDP 53 ‑ DNS
+ TCP/UDP 88 ‑ Authentification Kerberos
+ UDP 123 - Serveur de temps
+ TCP 135 - Appel de procédure à distance
+ TCP/UDP 389 ‑ LDAP
+ TCP 445 : SMB
+ TCP 636 : uniquement nécessaire pour les environnements dotés du protocole LDAPS (Lightweight Directory Access Protocol Secure)
+ TCP 49152-65535 - Ports TCP élevés alloués aléatoirement par RPC
+ TCP 3268 et 3269 - Catalogue mondial
+ Services Web Active Directory TCP 9389 (ADWS)

Il s'agit des ports minimaux nécessaires pour créer un répertoire hybride. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires.

**Note**  
Les ports DNS IPs fournis à vos contrôleurs de domaine et aux détenteurs de rôles FSMO doivent être ouverts aux deux sous-réseaux CIDRs de l'Amazon VPC.

**Note**  
Le répertoire hybride nécessite que le port UDP 123 soit ouvert et que le serveur Windows Time soit activé et fonctionnel. Nous synchronisons l'heure avec votre contrôleur de domaine pour garantir le bon fonctionnement de la réplication d'annuaires hybride.

## Compte AWS autorisations
<a name="hybrid-dir-prereq-perms"></a>

Vous aurez besoin d'autorisations pour effectuer les actions suivantes dans votre Compte AWS :
+ EC2 : AuthorizeSecurityGroupEgress
+ EC2 : AuthorizeSecurityGroupIngress
+ EC2 : CreateNetworkInterface
+ EC2 : CreateSecurityGroup
+ EC2 : DescribeNetworkInterfaces
+ EC2 : DescribeSubnets
+ EC2 : DescribeVpcs
+ EC2 : CreateTags
+ EC2 : CreateNetworkInterfacePermission
+ SMS : ListCommands
+ SMS : GetCommandInvocation
+ SMS : GetConnectionStatus
+ SMS : SendCommand
+ responsable des secrets : DescribeSecret
+ responsable des secrets : GetSecretValue
+ iam : GetRole
+ iam : CreateServiceLinkedRole

## Exigences relatives au réseau Amazon VPC
<a name="hybrid-dir-prereqs-vpc"></a>

Un VPC présentant les caractéristiques suivantes :
+ Au moins deux sous-réseaux. Chacun des sous-réseaux doit se trouver dans une zone de disponibilité différente
+ Le VPC doit avoir une location par défaut

Vous ne pouvez pas créer de répertoire hybride dans un VPC en utilisant les adresses de l'espace d'adressage 198.18.0.0/15.

Directory Service utilise une structure à deux VPC. Les instances EC2 qui constituent votre répertoire s'exécutent en dehors de votre Compte AWS répertoire et sont gérées par AWS. Elles ont deux cartes réseau, `ETH0` et `ETH1`. `ETH0` est la carte de gestion et existe en dehors de votre compte. `ETH1` est créé au sein de votre compte.

La plage d'adresses IP de gestion du ETH0 réseau pour votre annuaire est`198.18.0.0/15`.

Pour plus d'informations, veuillez consulter les rubriques suivantes dans le *Amazon VPC Guide de l'utilisateur* :
+ [Qu’est-ce qu’Amazon VPC ?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [Qu’est-ce qu’Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs et sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [Présentation de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)

Pour plus d'informations AWS Direct Connect, consultez la section [Qu'est-ce que c'est AWS Direct Connect ?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

## AWS configuration du groupe de sécurité
<a name="hybrid-dir-prereqs-security-group"></a>

Par défaut, AWS attache un groupe de sécurité pour autoriser l'accès réseau aux nœuds AWS Systems Manager gérés de votre VPC. Vous pouvez éventuellement fournir votre propre groupe de sécurité qui autorise le trafic réseau à destination et en provenance de vos contrôleurs de domaine autogérés en dehors de votre VPC.

Vous pouvez éventuellement fournir votre propre groupe de sécurité qui autorise le trafic réseau à destination et en provenance de vos contrôleurs de domaine autogérés en dehors de votre VPC. Si vous fournissez votre propre groupe de sécurité, vous devez :
+ Autorisez la mise en liste de vos VPC CIDR plages et de vos plages autogérées.
+ Assurez-vous que ces plages ne se chevauchent pas avec les [plages d'adresses IP AWS réservées](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) 

## Considérations relatives aux évaluations de répertoires
<a name="hybrid-dir-prereqs-assessments"></a>

Les points suivants doivent être pris en compte lors de la création d'évaluations d'annuaires et du nombre d'évaluations que vous pouvez avoir dans votre répertoire Compte AWS :
+ Une évaluation d'annuaire est automatiquement créée lorsque vous créez un annuaire hybride. Il existe deux types d'évaluations : `CUSTOMER` et`SYSTEM`. Vous Compte AWS avez une limite de 100 évaluations d'`CUSTOMER`annuaire.
+ Si vous tentez de créer un annuaire hybride et que vous avez déjà effectué 100 évaluations d'`CUSTOMER`annuaires, vous allez rencontrer une erreur. Supprimez les évaluations pour libérer de la capacité avant de réessayer.
+ Vous pouvez demander une augmentation de votre quota d'évaluation du `CUSTOMER` répertoire en contactant Support ou en supprimant les évaluations du répertoire CLIENTS existantes afin de libérer de la capacité.

# Création d'un annuaire hybride
<a name="hybrid_directory_create"></a>

Avant de créer un annuaire hybride, vous devez créer et réussir une évaluation de l'annuaire qui vérifie la connectivité et l'interopérabilité avec votre Active Directory autogéré

## Création d'un annuaire hybride avec votre AD autogéré
<a name="creating_hybrid_directory"></a>

Procédez comme suit pour créer un annuaire hybride avec votre AD autogéré :

**Pour créer un annuaire hybride**

1. Ouvrez la Directory Service console correspondant à la région de votre choix.

1. Sur la page **Sélectionner le type de répertoire**, choisissez **AWS Managed Microsoft AD**.

1. Sous **Getting started with AWS Managed Microsoft AD**, sélectionnez **Étendre votre domaine AD avec un annuaire hybride — nouveau**, puis cliquez sur **Suivant**. Cela vous dirige vers la page d'**évaluation de la création d'un répertoire**.

1. Avant de créer un annuaire hybride, vous devez d'abord créer et réussir une évaluation de l'annuaire. Pour créer une évaluation d'annuaire, suivez les étapes décrites dans[Création d'évaluations d'annuaires](create_directory_assessment.md). Une fois que vous avez passé avec succès une évaluation de l'annuaire, vous pouvez poursuivre cette procédure.

1. Une fois que vous avez réussi une évaluation d'annuaire, accédez à la page **Répertoires**.

1. Sur la page **Répertoires**, sous **Évaluations d'annuaires hybrides d'essai**, choisissez un **ID d'évaluation** dont **le statut** est de`SUCCESS`. Sélectionnez ensuite **Créer un répertoire hybride**, qui vous dirige vers la page de détails de l'évaluation

1. Sur la page des détails de l'évaluation, confirmez cette action en sélectionnant **Créer un répertoire hybride**, qui ouvre la page **Créer un répertoire hybride à l'aide d'un identifiant d'évaluation**.

1. Sur la page **Créer un annuaire hybride à l'aide d'un identifiant d'évaluation**, passez en **revue les informations Active Directory autogérées**. Après avoir confirmé les informations, sélectionnez **Créer un répertoire hybride**.

   Après avoir choisi **Créer un annuaire hybride**, AWS exécutez une autre évaluation de l'annuaire sur la base de ces informations pour confirmer que votre configuration AD autogérée est toujours valide. Si l'évaluation du répertoire réussit, nous créons le répertoire hybride.

1. Si vous choisissez **Créer un répertoire hybride**, vous revenez à la page **Répertoires**.

   1. Une bannière verte apparaîtra une fois le répertoire hybride créé avec succès.

   1. Un bandeau rouge apparaît si la création du répertoire hybride échoue. Corrigez les échecs de création de répertoires hybrides en effectuant les opérations suivantes :

      1. Supprimez le répertoire hybride défaillant dans la console.

      1. Supprimez toutes les AWS réservations restantes OUs dans votre AD autogéré.

   **En savoir plus**
   + [Supprimer un répertoire hybride](hybrid_directory_delete.md)
   + [Résolution des problèmes](hybrid_directory_troubleshooting.md)

# Afficher et modifier un répertoire hybride
<a name="hybrid_directory_view_and_edit"></a>

Utilisez les procédures suivantes pour afficher ou modifier votre répertoire hybride.

## Afficher un annuaire hybride
<a name="viewing_hybrid_dir"></a>

Vous pouvez consulter un répertoire hybride dans la Directory Service console.

**Pour afficher les informations détaillées de l'annuaire**

1. Dans le panneau de navigation de la [console Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**.

1. Choisissez le lien de l'ID correspondant à votre annuaire. Les informations relatives au répertoire apparaissent sur la page des **détails du répertoire**.

### Informations Active Directory autogérées
<a name="self-managed-active-directory-information"></a>

Cette section fournit des informations sur votre Active Directory autogéré associé à l' AWS infrastructure.
+ Type de répertoire
+ ID de l’annuaire
+ État du répertoire
+ Détails du réseau pour votre AD autogéré, tels que :
  + VPC
  + Subnets
  + Adresses DNS
+ Nœuds gérés par Systems Manager

### Onglets de répertoire hybrides
<a name="hybrid_directory_tabs"></a>

Vous trouverez les informations suivantes concernant votre Microsoft AD AWS géré :
+ Dans l'onglet **Partager et partager**, vous pouvez partager votre compte Microsoft AD AWS géré avec d'autres AWS comptes et consulter les détails du réseau de vos contrôleurs de domaine.
+ Dans l'onglet **Gestion des applications**, vous pouvez activer une URL d'accès aux applications pour votre Microsoft AD AWS géré et activer AWS des applications et des services pour votre Microsoft AD AWS géré.
+ Dans l'onglet **Maintenance**, vous pouvez permettre à SNS de recevoir des notifications concernant l'état de votre Microsoft AD AWS géré et de consulter des instantanés de votre AWS Microsoft AD géré.
+ Pour de plus amples informations sur le champ **Status** (Statut), veuillez consulter [Comprendre le statut de votre annuaire Microsoft AD AWS géré](ms_ad_directory_status.md).

## Mettre à jour un annuaire hybride
<a name="editing_hybrid_dir"></a>

Vous pouvez mettre à jour un répertoire hybride dans la Directory Service console pour modifier les paramètres DNS ou récupérer l'accès au compte administrateur.

**Pour mettre à jour les informations de l'annuaire hybride**

1. Dans le panneau de navigation de la [console Directory Service](https://console.aws.amazon.com/directoryservicev2), choisissez **Annuaires**.

1. Choisissez le lien d'ID de répertoire correspondant à votre répertoire pour ouvrir la page des **détails du répertoire**.

1. Choisissez **Actions**, puis sélectionnez **Mettre à jour les informations de l'annuaire hybride**.

1. Sur la page d'**informations de mise à jour de l'annuaire hybride**, vous pouvez mettre à jour vos paramètres DNS ou récupérer votre compte administrateur.

   **Mettre à jour les paramètres DNS (facultatif)**

   Sous **Informations Active Directory autogérées**, vous pouvez modifier les éléments suivants :

   1. **Nom DNS du répertoire**

   1. **Adresses IP DNS**

   Vous pouvez mettre à jour les deux paramètres ensemble ou individuellement. Au moins une modification est requise pour le processus de mise à jour.

1. **Restaurer le compte d'administrateur d'annuaire hybride**

   Pour récupérer votre compte d'administrateur d'annuaire hybride, nous avons besoin d'un accès temporaire à un utilisateur. Cet accès est fourni par le biais d'un secret fourni par Secrets Manager. Nous n'utilisons ces informations d'identification qu'une seule fois lors de la restauration et nous ne les stockons pas. Si votre compte d'administrateur d'annuaire hybride existe, vous n'avez pas besoin de mettre à jour ce secret, même si vous avez mis à jour votre utilisateur administrateur Active Directory autogéré.

   1. **Informations d'identification d'administrateur secrètes** — Nous créons un compte d'administrateur d'annuaire hybride lorsque nous créons un annuaire hybride. Si vous avez supprimé ce secret, entrez le secret du Gestionnaire de Secrets pour votre utilisateur administrateur AD autogéré.

# Supprimer un répertoire hybride
<a name="hybrid_directory_delete"></a>

Lorsque vous supprimez un répertoire hybride, toutes les données et tous les instantanés du répertoire sont supprimés et ne peuvent pas être restaurés. Une fois le répertoire supprimé, toutes les instances jointes au répertoire restent intactes. Toutefois, vous ne pouvez pas utiliser les informations d'identification du répertoire pour vous connecter à ces instances. Vous devez vous connecter à ces instances avec un compte utilisateur local.

**Pour supprimer un annuaire**

1. Dans le volet de navigation de la [console Directory Service](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Directories** (Annuaires). Assurez-vous que vous vous trouvez dans l' Région AWS endroit où votre annuaire hybride est déployé. Pour plus d'informations, consultez la section [Choix d'une région](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html).

1. Assurez-vous qu'aucune AWS application n'est activée pour le répertoire que vous souhaitez supprimer. AWS Les applications activées vous empêcheront de supprimer votre répertoire hybride.

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Directory details (Détails de l'annuaire)**, sélectionnez l'onglet **Application management (Gestion d'applications)**. Dans la section **AWS Applications et services**, vous pouvez voir quelles AWS applications sont activées pour votre annuaire.

   1. Désactivez AWS Management Console l'accès. Pour plus d'informations, consultez la section [Désactivation de l'accès à AWS la console de gestion](https://docs.aws.amazon.com/ms_ad_management_console_access.xml).

   1. Pour désactiver le serveur de fichiers Amazon FSx pour Windows, vous devez supprimer le système de FSx fichiers Amazon du domaine. Pour plus d'informations, consultez la section [Travailler avec Active Directory dans FSx un serveur de fichiers Windows](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) dans le *guide de l'utilisateur d'Amazon FSx pour Windows File Server*.

   1. Pour désactiver Amazon Relational Database Service, vous devez supprimer l'instance Amazon RDS du domaine. Pour plus d'informations, veuillez consulter la section [Managing a DB instance in a domain](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) (français non garanti) dans le *Guide de l'utilisateur Amazon RDS*.

1. Dans le volet de navigation, choisissez **Directories (Annuaires)**.

1. Sélectionnez uniquement le répertoire à supprimer, puis choisissez **Supprimer**. La suppression de l'annuaire prend plusieurs minutes. Lorsque l'annuaire a été supprimé, il est retiré de votre liste d'annuaires.

1. Supprimez manuellement tous les objets de contrôleur de domaine restants, y compris les objets AWS réservés OUs. Vous pouvez supprimer l'intégralité du répertoire AWS réservé pour terminer le nettoyage de votre environnement. 

# Évaluations d'annuaires pour les annuaires hybrides
<a name="hybrid_directory_assessment"></a>

Une évaluation d'annuaire examine votre environnement Active Directory autogéré afin de s'assurer qu'il répond aux exigences relatives à la création d'un annuaire hybride. Cette évaluation vérifie la connectivité réseau, la configuration du contrôleur de domaine et les services requis pour aider à identifier et à résoudre les problèmes potentiels avant d'établir une connexion entre votre AD autogéré et. Directory Service

Il existe deux types d'évaluations d'annuaires :
+ *`CUSTOMER`évaluations* : initiées par vous dans la console lorsque vous commencez à configurer un annuaire hybride. Vous pouvez supprimer les évaluations du répertoire des clients, même lorsqu'elles sont en cours. Vous pouvez avoir jusqu'à 100 évaluations de clients.
+ *`SYSTEM`évaluations* — Créées automatiquement par AWS et exécutées périodiquement après une création réussie. Vous ne pouvez pas supprimer les `SYSTEM` évaluations.

Les évaluations des annuaires fournissent des informations précieuses sur l'état de préparation de votre environnement, notamment :
+ Connectivité entre votre AD autogéré et AWS
+ Disponibilité des services requis sur vos contrôleurs de domaine
+ Compatibilité de configuration avec les exigences du AWS Directory Service
+ Problèmes potentiels susceptibles d'empêcher la création réussie d'un annuaire hybride

Une évaluation d'annuaire réussie (réussie) est requise avant de pouvoir créer un annuaire hybride. Si une évaluation échoue, vous pouvez consulter le rapport détaillé pour identifier et résoudre les problèmes avant de réessayer. AWS supprime les `SYSTEM` évaluations au bout de 30 jours.

**Topics**
+ [Création d'évaluations d'annuaires](create_directory_assessment.md)
+ [Afficher les évaluations des annuaires](viewing_hybrid_dir_assessment.md)
+ [Suppression des évaluations d'annuaires](deleting_hybrid_dir_assessment.md)

# Création d'évaluations d'annuaires
<a name="create_directory_assessment"></a>

Vous pouvez créer une évaluation d'annuaire dans le cadre de la création d'un annuaire hybride, ou vous pouvez en créer une manuellement. Pour créer une évaluation manuellement, ouvrez la Directory Service console à l'adresse [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/). Sur la page **Répertoires**, sous la section **Évaluations des annuaires**, choisissez **Créer une évaluation**.

**Pour créer une évaluation d'annuaire**

1. Sur la page **d'évaluation de la création** d'un **annuaire, pour le nom DNS du** répertoire, entrez votre nom DNS Active Directory autogéré.

1. Pour les **adresses IP DNS**, entrez deux adresses IP DNS pour votre AD autogéré.

1. L'annuaire hybride nécessite un Amazon VPC avec au moins deux sous-réseaux. Si vous ne les avez pas déjà, vous pouvez les créer. Dans la section **Mise en réseau**, fournissez les informations suivantes :

   1. Pour **VPC**, choisissez votre identifiant VPC.

   1. Pour les **sous-réseaux**, choisissez l'identifiant de chacun des deux sous-réseaux. Chaque sous-réseau doit se trouver dans des zones de disponibilité différentes. Pour de plus amples informations, veuillez consulter [Exigences relatives au réseau Amazon VPC](create_hybrid_directory_prereqs.md#hybrid-dir-prereqs-vpc).

   1. Pour **Groupe de sécurité**, choisissez l'identifiant du groupe de sécurité. Par défaut, AWS attache un groupe de sécurité pour autoriser l'accès réseau aux nœuds AWS Secrets Manager gérés de votre Amazon VPC. Vous pouvez éventuellement fournir votre propre groupe de sécurité qui autorise le trafic réseau à destination et en provenance de vos contrôleurs de domaine autogérés en dehors de votre Amazon VPC.

1. Dans la section **AWS Systems Manager nœuds**, choisissez deux nœuds ou instances de Systems Manager en fonction des exigences suivantes :
   + Si votre Active Directory est **autogéré en dehors de AWS Cloud**, vous aurez besoin de deux nœuds Systems Manager pour un environnement hybride et multicloud. Pour plus d'informations sur le provisionnement de ces nœuds, consultez la section [Configuration de Systems Manager pour les environnements hybrides et multicloud.](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)
   + Si votre Active Directory est **autogéré au sein du AWS Cloud**, vous aurez besoin de deux EC2 instances gérées par Systems Manager. Pour plus d'informations sur le provisionnement de ces instances, consultez [la section Gestion des EC2 instances avec Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

1. Choisissez **Suivant** pour ouvrir la page **Révision et créer l'évaluation du répertoire**.

1. Sur la page **Réviser et créer une évaluation du répertoire**, passez en revue les informations d'évaluation du répertoire et apportez les modifications nécessaires. Lorsque les informations sont correctes, choisissez **Créer une évaluation**. La création de l'évaluation du répertoire prend environ 30 minutes. Vous êtes renvoyé à la page de détails des annuaires. Une bannière verte apparaît lorsque l'évaluation de l'annuaire aboutit.
**Avertissement**  
Pour créer un annuaire hybride, l'évaluation de l'annuaire doit passer à l'état SUCCESS. Vous ne pouvez pas créer un annuaire hybride sans avoir d'abord passé avec succès une évaluation de l'annuaire.

# Afficher les évaluations des annuaires
<a name="viewing_hybrid_dir_assessment"></a>

Vous pouvez consulter les évaluations du répertoire dans le AWS Management Console pour consulter les résultats des évaluations et gérer vos rapports d'évaluation.

**Pour consulter une évaluation d'un annuaire**

1. Ouvrez la Directory Service console à l'adresse [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Sur la page **Répertoires**, sous la section **Évaluations d'annuaires hybrides d'essai**, choisissez l'évaluation que vous souhaitez consulter. Cela ouvre la page des détails de l'évaluation.

1. Sur la page des détails de l'évaluation, vous pouvez choisir :
   + **Téléchargez** pour télécharger le rapport d'évaluation du répertoire sous forme de fichier CSV.
   + **Supprimer** pour supprimer le rapport d'évaluation de l'annuaire.
   + **Créez une évaluation** pour créer une nouvelle évaluation de répertoire.

1. Sur la page des détails de l'évaluation, vous pouvez consulter les informations suivantes :

   1. Informations d'évaluation, telles que l'identifiant de l'évaluation, son statut, s'il a été créé par le client ou par le système, et date de sa dernière mise à jour.

   1. Informations AD autogérées, telles que le nom DNS, le VPC et les sous-réseaux.

   1. AWS Systems Manager gérait les informations des nœuds, telles que l'adresse IP, le statut de l'évaluation et le nombre de tests d'évaluation réussis et échoués.

   1. État de l'évaluation pour les contrôleurs de domaine. Vous pouvez également consulter les détails des tests d'évaluation en choisissant les contrôleurs de domaine. Les codes d'erreur apparaissent dans la colonne **État** en cas d'échec des tests d'évaluation.

# Suppression des évaluations d'annuaires
<a name="deleting_hybrid_dir_assessment"></a>

Vous pouvez supprimer les évaluations d'annuaire créées par le client dans le. AWS Management Console Vous ne pouvez pas supprimer les évaluations AWS créées automatiquement à l'initiative du système.

**Pour supprimer une évaluation de l'annuaire des clients**

1. Ouvrez la Directory Service console à l'adresse [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Sur la page **Répertoires**, dans la section **Évaluations des annuaires**, choisissez l'évaluation client que vous souhaitez supprimer. Vous pouvez également cocher la case à côté des évaluations de répertoire que vous souhaitez supprimer, puis sélectionner **Supprimer** dans le menu **Actions**.

1. Vous êtes redirigé vers la page de détails **des évaluations**. Choisissez **Actions**, puis sélectionnez **Supprimer l'évaluation**. Une boîte de dialogue **d'évaluation de la suppression du répertoire** s'affiche. Sélectionnez **Supprimer**.

# Résolution des problèmes liés aux annuaires hybrides et évaluation des annuaires
<a name="hybrid_directory_troubleshooting"></a>

Une évaluation de l'annuaire est nécessaire pour créer un annuaire hybride. Les tests d'évaluation sont exécutés sur chaque contrôleur de domaine. Les tests d'évaluation examinent différents domaines et aboutissent à un statut de réussite ou d'échec. Si l'évaluation de votre annuaire échoue, vous pouvez consulter les tests d'évaluation de vos contrôleurs de domaine pour identifier les problèmes à l'origine de l'échec.

**Important**  
Un annuaire hybride peut être créé lorsque le statut de l'évaluation du répertoire est transmis avec avertissement. Nous vous recommandons de résoudre le problème à l'origine de l'avertissement avant de créer un répertoire hybride

**Topics**
+ [Résolution des problèmes liés à l'échec de l'évaluation de](#hybrid_directory_troubleshooting_steps)
+ [Erreurs d'état du répertoire](hybrid_directory_status_errors.md)
+ [Messages d'erreur d'évaluation de l'annuaire](da-error-msgs.md)
+ [Messages d'erreur du test d'évaluation](assessment_test_error-msgs.md)
+ [Messages d'avertissement relatifs aux tests d'évaluation](assessment_test_warning-msgs.md)

## Résolution des problèmes liés à l'échec de l'évaluation de
<a name="hybrid_directory_troubleshooting_steps"></a>

Vous pouvez résoudre les problèmes liés à l'échec de l'évaluation des **annuaires à partir de la page Répertoires** du AWS Management Console.

1. Connectez-vous à la Directory Service console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Dans la section **Évaluations du répertoire**, sélectionnez l'évaluation de l'annuaire hybride qui a échoué.

1. Sur la page **Détails de l'évaluation**, passez en revue l'évaluation du répertoire et identifiez le ou les tests qui ont échoué.

   1. Les tests d'évaluation du contrôleur de domaine contiendront plus d'informations sur les tests réussis ou échoués. La colonne **État** fournit plus de détails sur la cause de l'échec du test. Pour consulter les tests d'évaluation de votre contrôleur de domaine, consultez[Afficher les évaluations des annuaires](viewing_hybrid_dir_assessment.md).

1. Résolvez les problèmes à l'origine des défaillances de votre Active Directory autogéré ou de votre Microsoft AD AWS géré. Pour plus d’informations, consultez [Messages d'erreur d'évaluation de l'annuaire](da-error-msgs.md) et [Messages d'erreur du test d'évaluation](assessment_test_error-msgs.md).

1. Revenez à l'évaluation ayant échoué dans la Directory Service console. Choisissez **Créer une évaluation** dans le message d'avertissement rouge. Consultez [Création d'un annuaire hybride avec votre AD autogéré](hybrid_directory_create.md#creating_hybrid_directory) pour plus d'informations sur la création d'une évaluation d'annuaire.

# Erreurs d'état du répertoire
<a name="hybrid_directory_status_errors"></a>

Directory Service les annuaires peuvent rencontrer différents états qui indiquent différents types de problèmes. La compréhension de ces états vous permet de déterminer les étapes de dépannage appropriées.


**Types de statut de répertoire**  

| Statut | Description | Action requise | 
| --- | --- | --- | 
| Actif | La création du répertoire s'est terminée correctement et fonctionne normalement. | Aucune action requise. | 
| Dégradé | Le répertoire a été créé avec succès, mais le contrôleur de domaine a rencontré des problèmes par la suite. Le système tente une restauration automatique. | Surveillez l'état du répertoire. Si le problème persiste, contactez le AWS Support. | 
| Échec | La création du répertoire a échoué et est irrécupérable. | Supprimez le répertoire défaillant et créez-en un nouveau. | 
| Inopérable (AD hybride uniquement) | AWS a détecté un problème de sécurité et a automatiquement isolé le répertoire à des fins de protection. Le répertoire devient complètement inutilisable tant qu'il n'est pas restauré. |  Contactez immédiatement [AWS Support le centre](https://console.aws.amazon.com/support/home#/) d'appels. Cet état nécessite une Support intervention pour examiner et restaurer le répertoire. | 

# Messages d'erreur d'évaluation de l'annuaire
<a name="da-error-msgs"></a>

Pour créer un annuaire hybride, vous devez passer une évaluation d'annuaire réussie. Les évaluations d'annuaires peuvent échouer pour diverses raisons.

Le tableau suivant présente les messages d'erreur relatifs à l'évaluation des annuaires et indique comment les résoudre.


**Messages d'erreur et résolutions relatifs à l'évaluation du répertoire**  

| Message d'erreur d'évaluation du répertoire | Résolution | 
| --- | --- | 
|  Cette évaluation a échoué à plusieurs tests sur les deux instances gérées. Examinez les tests qui ont échoué en sélectionnant chaque instance gérée et en les résolvant dans votre répertoire local. Créez ensuite une nouvelle évaluation.  |  Un ou plusieurs tests d'évaluation de l'annuaire ont échoué pour votre AD autogéré. Consultez le [Messages d'erreur du test d'évaluation](assessment_test_error-msgs.md) pour plus d'informations sur les échecs de test spécifiques et leurs solutions.  | 
|  Cette évaluation a échoué en raison d'une exception de service interne. Réessayez en créant une nouvelle évaluation ou en contactant le service de dépannage.  |  Essayez de créer une nouvelle évaluation du répertoire. Si cette erreur persiste, contactez [Support](https://aws.amazon.com/premiumsupport/).  | 
|  Cette évaluation a échoué en raison d'une autorisation manquante pour effectuer une action telle que `ec2:CreateSecurityGroup` `ec2:DeleteSecurityGroup``ec2:CreateNetworkInterface`,`ec2:DeleteNetworkInterface`,`ec2:DescribeSubnets`,, et`ec2:DescribeNetworkInterface`.  |  Pour créer une évaluation du répertoire, vous Compte AWS avez besoin du nécessaire[Compte AWS autorisations](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms).  | 
|  Cette évaluation a échoué en raison d'une autorisation manquante pour effectuer une action telle que `ssm:GetConnectionStatus``ssm:GetCommandInvocation`,,`ssm:ListCommands`,`ssm:SendCommand`.  |  Pour créer une évaluation d'annuaire, vous aurez besoin de deux nœuds Systems Manager dotés du matériel nécessaire[Compte AWS autorisations](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms).  | 
|  Cette évaluation a échoué car vous avez atteint la limite du nombre d'interfaces réseau que vous pouvez créer. Pour plus d’informations, consultez [Quotas Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Pour créer une évaluation d'annuaire, vous devez créer une interface réseau et des groupes de sécurité. Le nombre de ressources VPC que vous pouvez créer est limité, mais vous pouvez ajuster certaines de ces limites. Pour plus d’informations, consultez [Quotas Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  | 
|  Cette évaluation a échoué car vous avez atteint la limite du nombre de groupes de sécurité que vous pouvez créer ou attribuer à une instance. Pour plus d’informations, consultez [Quotas Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Pour créer une évaluation d'annuaire, vous devez créer une interface réseau et des groupes de sécurité. Le nombre de ressources VPC que vous pouvez créer est limité, mais vous pouvez ajuster certaines de ces limites. Pour plus d’informations, consultez [Quotas Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll).  | 
|  Cette évaluation a échoué. Impossible de se connecter aux instances du client depuis AWS Systems Manager.  |  Pour créer une évaluation d'annuaire, vous aurez besoin de deux AWS Systems Manager nœuds dotés d'un statut connecté. Consultez la section [Résolution des problèmes liés à l'agent SSM.](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)   | 
|  Cette évaluation a échoué à plusieurs tests critiques. Examinez les tests qui ont échoué en sélectionnant chaque instance gérée et résolvez-les dans votre répertoire local. Créez ensuite une nouvelle évaluation.  |  Un ou plusieurs tests d'évaluation de l'annuaire ont échoué pour votre AD autogéré. Consultez le [Messages d'erreur du test d'évaluation](assessment_test_error-msgs.md) pour plus d'informations.  | 

# Messages d'erreur du test d'évaluation
<a name="assessment_test_error-msgs"></a>

Le tableau suivant décrit les messages d'erreur qui peuvent apparaître lors des tests d'évaluation. Ces erreurs indiquent des problèmes de blocage qui doivent être résolus avant de procéder à la configuration de l'annuaire hybride.


| Nom du test | Nom court | Code d’erreur | Message d’erreur | Description | Résolution | 
| --- | --- | --- | --- | --- | --- | 
| Active Directory ServicesTester | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Survient si les AD services requis ne s'exécutent pas dans votre AD autogéré. | Des AD services spécifiques requis doivent être exécutés dans votre AD autogéré. Pour de plus amples informations, veuillez consulter [Services Active Directory requis](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). | 
| Active Directory ServicesTester | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Assurez-vous que vos contrôleurs de domaine AD autogérés sont opérationnels et joignables. Vérifiez la connectivité réseau et DNS la résolution de vos contrôleurs de domaine AD autogérés. | 
| ADTest de politique de mot de passe | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Se produit si votre politique de mot de passe AD autogérée ne répond pas aux exigences de AWS Managed Microsoft AD. | Votre politique de mot de passe AD autogérée doit satisfaire aux exigences relatives aux mots de passe Microsoft AD AWS gérés. Pour plus d'informations, voir [Comprendre les politiques de mot de passe Microsoft AD AWS gérées](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). | 
| AWS Test d'existence de l'utilisateur administrateur | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Se produit si l'utilisateur administrateur d'annuaire hybride n'existe pas dans le champ AWS Réservé OU sur votre AD autogéré. | Assurez-vous que l'utilisateur administrateur d'annuaire hybride existe dans le champ AWS Réservé OU sur votre AD autogéré. Si l'utilisateur est absent, vérifiez que le compte a été créé correctement lors du processus de configuration de l'annuaire hybride. [Mettre à jour un annuaire hybride](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Si l'état de votre annuaire hybride ne fonctionne pas, contactez. [Support](https://console.aws.amazon.com/support/home#/) | 
| AWS SPNTest utilisateur administrateur | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Se produit si l'utilisateur administrateur d'annuaire hybride en a SPNs configuré un sur votre AD autogéré. | Supprimez tous les noms principaux de service (SPNs) du compte utilisateur de l'administrateur d'annuaire AWS hybride. L'utilisateur administrateur d'annuaire hybride ne doit pas en avoir SPNs configuré car cela peut interférer avec l'authentification de l'annuaire hybride. | 
| AWS Test du contrôleur de domaine non FSMO propriétaire | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Se produit si vous avez transféré FSMO des rôles (PDC Emulator,RID Master, ouInfrastructure Master) de votre AD autogéré vers le contrôleur de domaine d'annuaire hybride. | Transférez tous les FSMO rôles (PDC EmulatorRID Master,,Infrastructure Master) vers vos contrôleurs de domaine AD autogérés avant de continuer. Pour plus d'informations, consultez [Microsoftla documentation sur le transfert de FSMO rôles](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). | 
| AWS Test d'adhésion à un groupe réservé | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Survient si le AWS paramètre Réservé OU sur votre AD autogéré n'existe pas. | Le AWS Réservé OU doit exister sur votre AD autogéré afin de valider l'appartenance au groupe. Contactez [Support](https://console.aws.amazon.com/support/home#/). | 
| AWS Test d'adhésion à un groupe réservé | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Se produit si les groupes de la section AWS OU Réservé de votre AD autogéré contiennent des utilisateurs non autorisés. | Supprimez tous les utilisateurs non autorisés OU des groupes AWS réservés sur votre AD autogéré. | 
| AWS OUACLsTest réservé | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Se produit si le AWS paramètre Réservé OU ACLs sur votre AD autogéré n'applique pas les autorisations de lecture seule aux entités non gérées AWS et n'empêche pas l'accès non autorisé aux AWS ressources gérées. | Vérifiez et corrigez les autorisations sur le champ AWS Réservé OU ACLs de votre AD autogéré. Assurez-vous que les AWS entités non entités n'ont que des autorisations de lecture (`ListChildren``ReadProperty`,`ListObject`,,`ReadControl`,`GenericRead`,`Synchronize`) et supprimez les autorisations excessives. | 
| AWS Test OU GPO des associations réservées | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Se produit si les contrôleurs AWS OU réservés OU et de domaine de votre AD autogéré sont liés à des personnes non autoriséesGPOs. | (Seuls les objets de stratégie de groupe AWS gérés (GPOs) peuvent y être liésOUs. Supprimez tout GPOs lien non autorisé aux contrôleurs AWS réservés OU et aux contrôleurs de domaine OU sur votre AD autogéré. | 
| AWS Test OU des ressources réservées | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Se produit si le paramètre AWS Réservé OU n'existe pas dans votre Active Directory autogéré, ce qui est requis pour la fonctionnalité d'annuaire Microsoft AD AWS géré. | Le AWS Réservé OU doit être créé automatiquement lors de la configuration de l'annuaire hybride et ne doit pas être supprimé. Si cette erreur persiste, contactez [Support](https://console.aws.amazon.com/support/home#/). | 
| AWS Test OU des ressources réservées | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Se produit si le AWS fichier Réservé OU créé sur votre AD autogéré ne contient pas les objets requis et ne permet pas un fonctionnement correct GPOs de l'annuaire hybride. | Assurez-vous que personne ne modifie le AWS Réservé. OU Il doit contenir les ressources AWS gérées requises. Supprimez tout objet non autorisé ou GPOs contactez [Support](https://console.aws.amazon.com/support/home#/)si les ressources nécessaires sont manquantes. | 
| AWS OUTest réservé | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Se produit si les ressources AWS réservées trouvées sur votre AD autogéré à partir d'une configuration d'annuaire hybride précédente existent toujours. | Supprimez le répertoire hybride défaillant existant de la console. Supprimez ensuite tout ce qui est AWS réservé OU et associé GPOs de votre AD autogéré avant de continuer. | 
| BridgeheadTest du contexte de dénomination | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Se produit si la réplication AD autogérée entre les sites utilisant ne Bridgehead fonctionne pas comme prévu. Cela peut également se produire si les contextes de dénomination ne sont pas synchronisés entre les sites. | Votre bridgehead site AD autogéré doit fonctionner correctement. Vous pouvez approfondir le diagnostic avec :`repadmin /bridgeheads /verbose`. Résolvez les problèmes soulevés par cette évaluation avant de poursuivre. | 
| Test de domaine pour enfants | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Se produit si votre forêt AD autogérée contient des domaines enfants qui ne sont pas pris en charge par les annuaires Microsoft AD AWS gérés. | AWS Les annuaires Microsoft AD gérés ne prennent pas en charge les domaines enfants. Vous devez utiliser une forêt à domaine unique pour votre AD autogéré. Pour de plus amples informations, veuillez consulter [Microsoft Active Directoryexigences relatives au domaine](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| DcDiagTester | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Survient si l'un Microsoft DCDiag des tests échoue sur votre AD autogéré. | AWS utilise DCDiag pour tester votre AD autogéré. S'il y a des erreurs, vous ne pouvez pas créer de répertoire hybride. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). | 
| DNSTest de correspondance IP | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Se produit si les adresses DNS IP fournies pour votre AD autogéré ne correspondent pas aux adresses DNS IP de vos contrôleurs de domaine AD autogérés qui sont activés avec. AWS Systems Manager | Indiquez les adresses DNS IP correctes. | 
| DNSNom : Match Test | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Se produit si le DNS nom fourni pour votre AD autogéré ne correspond pas au DNS nom indiqué sur vos contrôleurs de domaine AD autogérés activés avec. AWS Systems Manager | Entrez le DNS nom correct. | 
| DNSTest des records | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Se produit si les Windows DNS enregistrements ne sont pas définis pour le type A NSSOA,, SRV et peuvent être interrogés. | Les DNS enregistrements pour Address (A), Namespace (NS), State of Authority (SOA) et Service Record (SRV) doivent être définis et peuvent être interrogés. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). | 
| Test du niveau fonctionnel de la forêt de domaines | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Se produit si les niveaux fonctionnels de votre domaine AD et de votre forêt autogérés ne répondent pas aux exigences minimales. | Votre AD autogéré doit utiliser notre Windows 2012 R2 niveau 2016 fonctionnel. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). | 
| Tests de santé du domaine | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Se produit si votre AD autogéré ne dispose pas du nombre minimum requis de contrôleurs de domaine. | Assurez-vous que votre AD autogéré dispose d'au moins deux contrôleurs de domaine activés avec AWS Systems Manager. Pour de plus amples informations, veuillez consulter [Microsoft Active Directoryexigences relatives au domaine](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Test de domaine existant | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Se produit si votre domaine AD autogéré est déjà joint à un annuaire hybride existant. | Votre domaine AD autogéré est déjà joint à un annuaire hybride existant. Chaque domaine AD autogéré associé à un annuaire hybride doit être unique. Créez un nouveau domaine AD autogéré ou supprimez-le de la configuration d'annuaire hybride à laquelle il est joint. | 
| FSMOTest de connectivité | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Se produit si FSMO les PDC Emulator rôles and/or RID Master IPs sur votre AD autogéré ne sont pas routables. | Le contrôleur de domaine principal (PDC) doit être routable à tout moment. Plus précisément, la PDC Emulator fin RID Master IPs de votre AD autogéré. Pour de plus amples informations, veuillez consulter [Microsoft Active Directoryexigences relatives au domaine](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| FSMOTest de connectivité | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Se produit si vos contrôleurs de domaine AD autogérés ne peuvent pas accéder à vos FSMO rôles. | Votre rôle Flexible Single Master Operation (FSMO) dans votre AD autogéré doit être connecté à vos contrôleurs de domaine AD autogérés. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| Test de conflit IP | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Se produit si vos plages d'adresses IP AD autogérées se chevauchent avec des plages AWS réservées. | Votre AD autogéré ne peut pas utiliser une plage d'adresses IP qui chevauche les plages d' AWS adresses IP réservées. Pour de plus amples informations, veuillez consulter [Microsoft Active Directoryexigences relatives au domaine](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| KerberosTester | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Survient s'il n'Kerberosest pas configuré correctement et en cours d'utilisation. | Kerberosdoit être activé sur votre AD autogéré. Pour plus d'informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). | 
| LDAPTest de connectivité | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Se produit si LDAP cela ne fonctionne pas. | Le protocole Lightweight Directory Access (LDAP) doit être activé et fonctionner sur votre AD autogéré. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). | 
| Contrôleur de domaine non en lecture seule pour le FSMO test | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Survient si votre FSMO rôle de contrôleur de domaine AD autogéré estRODC. | Le contrôleur de domaine de votre AD autogéré ne doit pas utiliser de rôle de contrôleur de domaine en lecture seule (RODC) Flexible Single Master Operation (FSMO). Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| Test de réplication du mot de passe du contrôleur de domaine en lecture seule | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | RODCSurvient s'il est autorisé à répliquer les mots de passe d'administrateur. | RODCPour votre AD autogéré, l'autorisation de répliquer les mots de passe d'administrateur doit être explicitement refusée. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). | 
| Test du contrôleur de domaine en lecture seule | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Se produit si vos contrôleurs de domaine AD autogérés sont en ReadOnlyDC mode. | Votre AD autogéré doit être un contrôleur de domaine en lecture-écriture. Pour plus d'informations sur les types de contrôleurs de domaine, consultez [Microsoftla documentation](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers). | 
| Test de connectivité des ports distants | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Se produit si les ports requis sur votre AWS sous-réseau et sur votre contrôleur de domaine AD autogéré ne sont pas ouverts. | Assurez-vous que tous les ports requis sont ouverts entre votre AWS sous-réseau et votre AD autogéré. Pour plus d’informations, consultez [Exigences relatives aux ports réseau](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports). | 
| Test de réplication | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Se produit en cas d'échec de la réplication de vos contrôleurs de domaine AD autogérés. | L'état de réplication de vos contrôleurs de domaine AD autogérés doit être réussi. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). | 
| SMBV1Tester | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Se produit si AD autogéré est actuellement utilisé SMBv1 pour l'authentification. | SMBv1est connu pour être dangereux et doit être désactivé sur votre AD autogéré. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). | 
| SSMTest des autorisations utilisateur | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Se produit si Windows l'utilisateur utilisé par ne SSM dispose pas de privilèges suffisants. | Vous aurez besoin d'autorisations d'Windowsadministrateur pour les agents AWS System Manager (SSM) sur votre AD autogéré. Pour de plus amples informations, veuillez consulter [Compte AWS autorisations](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). | 
| SysvolTest de réplication | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Se produit si votre AD autogéré ne dispose pas de la bonne méthode de sysvol réplication (DFSR) et si l'une d'entre elles DCs a échoué lors d'un événement de DFSR réplication. | Votre méthode de sysvol réplication AD autogérée (DFSR) doit être efficace. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). | 
| GPOTest de haut niveau | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Se produit si le niveau supérieur de votre AD autogéré est GPOs défini comme appliqué. | Assurez-vous que l'objet de politique de groupe de premier niveau (GPO) de votre domaine AD autogéré n'est pas défini sur Appliqué. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). | 
| Test des types de confiance | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Se produit si votre AD autogéré possède des types de confiance non pris en charge. | Uplevelest le seul type de confiance pris en charge par l'annuaire hybride. Votre AD autogéré ne peut pas avoir les types de confiance suivants :DCE,MIT,Downlevel. Pour plus d'informations sur les types de confiance, consultez [Microsoftla documentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). | 
| Test de contrôleur de domaine valide | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Se produit si les instances AD autogérées que vous avez fournies ne sont pas des contrôleurs de domaine ou si elles font déjà partie d'un autre annuaire hybride. | Fournissez des contrôleurs de domaine AD autogérés uniques à cet annuaire hybride. Réessayez avec un nouveau répertoire. Assurez-vous d'avoir supprimé le répertoire hybride défaillant et tout autre répertoire AWS OU de votre AD autogéré. | 

# Messages d'avertissement relatifs aux tests d'évaluation
<a name="assessment_test_warning-msgs"></a>

Le tableau suivant décrit les messages d'avertissement qui peuvent apparaître lors des tests d'évaluation. Ces avertissements constituent des recommandations pour une configuration optimale mais n'empêchent pas la configuration d'annuaires hybrides.


| Nom du test | Nom court | Code d'avertissement | Message d'avertissement | Description | Résolution | 
| --- | --- | --- | --- | --- | --- | 
| Tests de santé du domaine | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Cela se produit si certains comptes d'utilisateurs de votre AD autogéré ne se sont pas connectés pendant une longue période et peuvent être considérés comme obsolètes ou inactifs. | Nettoyez les comptes utilisateurs périmés. | 
| Test de la source horaire du contrôleur de domaine | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Se produit si AD autogéré possède la configuration de source de temps correcte et qu'il n'y a pas d'asymétrie temporelle importante par rapport à une AWS source de temps. | Le serveur de temps de votre contrôleur de domaine principal (PDC) est dirigé vers`169.254.169.123`. Vos contrôleurs de domaine non principaux doivent être pointés vers le PDC comme source. Pour plus d'informations, consultez [Keeping time with Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/). | 
| Test d'espace libre | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Survient si votre AD Combined autogéré NTDS et que son Sysvol utilisation dépasse le quota pris en charge. | Votre AD autogéré doit disposer de 24 Go d'espace disque pour les annuaires hybrides. | 
| FSMO RolesTester | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Se produit si les rôles FSMO (émulateur PDC et maître RID) ne figurent pas parmi les deux contrôleurs de domaine fournis lorsque vous créez un répertoire hybride. | Votre répertoire hybride doit avoir les deux rôles FSMO (émulateur PDC et maître RID) parmi les deux contrôleurs de domaine que vous fournissez lorsque vous créez un répertoire hybride. Pour plus d'informations, consultez [Comment afficher et transférer FSMO des rôles](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). | 
| SSPTest du canal S | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Se produit si un AD autogéré n'utilise pas TLS1.2 de AES256 chiffrement. | Votre AD autogéré doit utiliser TLS 1.2 et AES256 pour les annuaires hybrides. | 
| Test de corruption du disque | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Se produit en cas de corruption du disque sur votre AD autogéré. | Vos disques AD autogérés ne doivent pas être corrompus. | 
| Test des spécifications du contrôleur de domaine | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Se produit si vos contrôleurs de domaine AD autogérés ne répondent pas aux spécifications requises. | Vos contrôleurs de domaine AD autogérés doivent disposer d'au moins 7 Go de RAM et de 2 cœurs de processeur pour les annuaires hybrides. | 
| DllTest du plugin au niveau du serveur | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Se produit s'ServerLevelPluginDllil est défini sur vos contrôleurs de domaine AD autogérés. | Vos contrôleurs de domaine AD autogérés ne devraient pas avoir été ServerLevelPluginDII configurés. | 
| Autoriser le test NT4 cryptographique | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Se produit si AD autogéré autorise la NT4 cryptographie. | Votre AD autogéré ne doit pas utiliser la NT4 cryptographie. Pour plus d’informations, consultez la documentation Microsoft. | 
| Test des utilisateurs administrateurs orphelins | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Se produit si des utilisateurs administrateurs orphelins existent dans votre AD autogéré. | Supprimez les utilisateurs orphelins de votre AD autogéré avant de continuer. | 
| Test du nombre d'utilisateurs privilégiés | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Se produit si le nombre total de vos administrateurs intégrés, administrateurs de domaine et administrateurs d'entreprise sur votre AD a autogéré est supérieur à 5. | Votre environnement AD autogéré ne doit pas comporter plusieurs comptes privilégiés. Vous devez supprimer le nombre excessif de comptes d'administrateur avant de continuer. | 
| Test du nombre d'utilisateurs privilégiés | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Se produit si le nombre total de vos administrateurs intégrés, administrateurs de domaine et administrateurs d'entreprise sur votre AD a autogéré est supérieur à 5. | Votre environnement AD autogéré ne doit pas comporter plusieurs comptes privilégiés. Vous devez supprimer le nombre excessif de comptes d'administrateur avant de continuer. | 
| Test du nombre d'utilisateurs privilégiés | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Se produit si le nombre total de vos administrateurs intégrés, administrateurs de domaine et administrateurs d'entreprise sur votre AD a autogéré est supérieur à 5. | Votre environnement AD autogéré ne doit pas comporter plusieurs comptes privilégiés. Vous devez supprimer le nombre excessif de comptes d'administrateur avant de continuer. | 
| NTLMTester | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Se produit si l'authentification NTLMv1 est activée sur votre AD autogéré. | NT LAN Managerla version 1 (NTLMv1) présente des failles de sécurité connues et ne doit pas être utilisée. NTLMv1Désactivez-le sur votre AD autogéré. Pour plus d’informations, consultez la [documentation Microsoft](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). | 
| Test de durée de vie de Tombstone | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Se produit si la durée de vie de Tombstone sur votre annonce autogérée est supérieure à 180 jours. | La durée de vie de la pierre tombale est le nombre de jours avant le retrait d'un objet suppriméAD. La durée de vie de Tombstone pour votre annonce autogérée doit être de 180 jours ou moins. Pour plus d’informations, consultez la [documentation Microsoft](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |