Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memahami Microsoft AD yang AWS Dikelola (Edisi Hybrid)
*AWS Microsoft AD yang dikelola (Edisi Hybrid)* memungkinkan Anda memperluas Direktori Aktif yang ada ke AWS Cloud dengan Microsoft AD yang AWS Dikelola. Fitur ini memudahkan Anda memindahkan beban kerja yang bergantung pada iklan ke AWS, mengadopsi AWS layanan, dan meningkatkan redundansi Direktori Aktif Anda. AWS akan secara berkala menjalankan penilaian direktori pada direktori hybrid Anda yang dapat Anda lihat di Directory Service konsol.
Direktori hibrid di Directory Service menghubungkan yang sudah ada *Microsoft Active Directory*dengan *AWS Directory Service untuk Microsoft Active Directory* (AWS Managed Microsoft AD). Ini menciptakan lingkungan identitas terintegrasi yang mencakup infrastruktur lokal AWS, dan multi-cloud, memungkinkan Anda mempertahankan satu sumber identitas sambil memperluas layanan direktori Anda. AWS
Konfigurasi direktori hybrid menyediakan beberapa kemampuan penting:
+ Perpanjangan AD yang dikelola sendiri ke AWS Cloud tanpa perlu membangun hubungan kepercayaan
+ Otentikasi dan otorisasi tanpa batas di seluruh lingkungan menggunakan kredensi Active Directory yang ada
+ Kredensi pengguna yang konsisten dan keanggotaan grup di kedua lingkungan iklan Anda
+ Manajemen terpusat kebijakan dan izin akses AD
**Topics**
+ [Prasyarat direktori hybrid](create_hybrid_directory_prereqs.md)
+ [Membuat direktori hybrid](hybrid_directory_create.md)
+ [Melihat dan mengedit direktori hybrid](hybrid_directory_view_and_edit.md)
+ [Menghapus direktori hybrid](hybrid_directory_delete.md)
+ [Penilaian direktori untuk direktori hybrid](hybrid_directory_assessment.md)
+ [Pemecahan masalah direktori hibrida dan penilaian direktori](hybrid_directory_troubleshooting.md)
# Prasyarat direktori hybrid
Direktori Hybrid memperluas Direktori Aktif yang dikelola sendiri ke file. AWS Cloud Sebelum membuat direktori hybrid, pastikan lingkungan Anda memenuhi persyaratan ini:
## Microsoft Active Directorypersyaratan domain
Sebelum membuat direktori hybrid, pastikan lingkungan dan infrastruktur AD yang dikelola sendiri memenuhi persyaratan berikut, dan kumpulkan informasi yang diperlukan.
### Persyaratan domain
Lingkungan AD yang dikelola sendiri harus memenuhi persyaratan berikut:
+ Menggunakan tingkat Windows Server 2012 R2 atau 2016 fungsional.
+ Menggunakan pengontrol domain standar untuk dinilai untuk pembuatan direktori hybrid. Read-only domain controllers (RODC) tidak dapat digunakan untuk pembuatan direktori hybrid.
+ Memiliki dua pengontrol domain dengan semua layanan Active Directory berjalan.
+ Pengontrol Domain Utama (PDC) harus dapat dirutekan setiap saat.
Secara khusus, PDC Emulator dan RID Master IPs dari AD yang dikelola sendiri harus berada dalam salah satu kategori berikut:
+ Bagian dari rentang alamat IP RFC1918 pribadi (10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16)
+ Dalam rentang CIDR VPC Anda
+ Cocokkan DNS instance IPs yang dikelola sendiri untuk direktori
Anda dapat menambahkan rute IP tambahan untuk direktori setelah direktori hybrid dibuat.
### Informasi yang diperlukan
Kumpulkan informasi berikut tentang iklan yang dikelola sendiri:
+ Nama DNS Direktori
+ Direktori DNS IPs
+ Kredensyal akun layanan dengan izin Administrator untuk AD yang dikelola sendiri
+ AWS Rahasia ARN untuk menyimpan kredensyal akun layanan Anda (lihat) [AWS Rahasia ARN untuk direktori hybrid](#aws_secret_arn_for_hybrid)
### AWS Rahasia ARN untuk direktori hybrid
Untuk mengonfigurasi direktori hybrid dengan AD yang dikelola sendiri, Anda perlu membuat kunci KMS untuk mengenkripsi AWS rahasia Anda dan kemudian membuat rahasia itu sendiri. Kedua sumber daya harus dibuat sama Akun AWS yang berisi direktori hybrid.
#### Buat kunci KMS
Kunci KMS digunakan untuk mengenkripsi rahasia Anda AWS .
**penting**
Untuk **Kunci Enkripsi**, jangan gunakan kunci KMS default AWS . Pastikan untuk membuat kunci AWS KMS yang sama yang berisi direktori hybrid Akun AWS yang ingin Anda buat untuk bergabung dengan AD yang dikelola sendiri.
**Untuk membuat kunci AWS KMS**
1. Di AWS KMS konsol, pilih **tombol Buat**.
1. Untuk **Tipe Kunci**, pilih **Simetris**.
1. Untuk **Penggunaan Kunci**, pilih **Enkripsi dan dekripsi**.
1. Untuk **Opsi lanjutan**:
1. Untuk **Asal materi kunci**, pilih **KMS**.
1. **Untuk **Regionalitas**, pilih **kunci Wilayah Tunggal** dan pilih Berikutnya.**
1. Untuk **Alias**, berikan nama untuk kunci KMS.
1. (Opsional) Untuk **Deskripsi**, berikan deskripsi kunci KMS.
1. (Opsional) Untuk **Tag**, tambahkan tag untuk kunci KMS dan pilih **Berikutnya**.
1. Untuk **administrator Key**, pilih pengguna IAM.
1. **Untuk **penghapusan Kunci**, pertahankan pilihan default untuk **Izinkan administrator kunci untuk menghapus kunci ini** dan pilih Berikutnya.**
1. Untuk **pengguna Key**, pilih pengguna IAM yang sama dari langkah sebelumnya dan pilih **Berikutnya**.
1. Tinjau konfigurasi tersebut.
1. Untuk **kebijakan Kunci**, tambahkan pernyataan berikut ke kebijakan:
1. Pilih **Selesai**.
#### Buat AWS rahasia
Buat rahasia di Secrets Manager untuk menyimpan kredensyal akun pengguna AD yang dikelola sendiri.
**penting**
Buat rahasia yang sama Akun AWS yang berisi direktori hybrid yang ingin Anda gabungkan dengan AD yang dikelola sendiri.
Untuk membuat rahasia
+ Di Secrets Manager, pilih **Simpan rahasia baru**
+ Untuk **tipe Rahasia**, pilih **Jenis rahasia lainnya**
+ Untuk **Pasangan kunci/nilai**, tambahkan dua kunci Anda:
1. Tambahkan kunci nama pengguna
1. Untuk kunci pertama, masukkan `customerAdAdminDomainUsername`.
1. Untuk nilai kunci pertama, masukkan hanya nama pengguna (tanpa awalan domain) dari pengguna AD. Jangan sertakan nama domain karena ini menyebabkan pembuatan instance gagal.
1. Tambahkan kunci kata sandi
1. Untuk kunci kedua, masukkan `customerAdAdminDomainPassword`.
1. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.
##### Selesaikan konfigurasi rahasia
1. Untuk **kunci Enkripsi**, pilih kunci KMS yang Anda buat [Buat kunci KMS](#create_kms_key_for_hybrid) dan pilih **Berikutnya**.
1. Untuk **nama Rahasia**, masukkan deskripsi untuk rahasia.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk rahasia.
1. Pilih **Berikutnya**.
1. Untuk **Konfigurasikan pengaturan rotasi**, pertahankan nilai default dan pilih **Berikutnya**.
1. Tinjau pengaturan untuk rahasia dan pilih **Store**.
1. Pilih rahasia yang Anda buat dan salin nilai **ARN Rahasia**. Anda akan menggunakan ARN ini di langkah berikutnya untuk mengatur Direktori Aktif yang dikelola sendiri.
### Persyaratan infrastruktur
Siapkan komponen infrastruktur berikut:
+ Dua AWS Systems Manager node dengan hak administrator untuk agen SSM
+ Jika Active Directory **dikelola sendiri di luar AWS Cloud**, Anda memerlukan dua node Systems Manager untuk lingkungan hybrid dan multicloud. Untuk informasi selengkapnya tentang cara menyediakan node ini, lihat [Menyiapkan Systems Manager untuk lingkungan hybrid dan multicloud](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
+ Jika Active Directory **dikelola sendiri di dalam AWS Cloud**, Anda memerlukan dua instans EC2 terkelola Systems Manager. Untuk informasi selengkapnya tentang cara menyediakan instans ini, lihat [Mengelola instans EC2 dengan Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).
## Layanan Direktori Aktif yang Diperlukan
Pastikan layanan berikut berjalan pada iklan yang dikelola sendiri:
+ Layanan Domain Direktori Aktif
+ Layanan Web Direktori Aktif (ADWS)
+ Sistem Acara COM\$1
+ Distributed File System Replication (DFSR)
+ Sistem Nama Domain (DNS)
+ Server DNS
+ Klien Kebijakan Grup
+ Pesan Antar Situs
+ Panggilan Prosedur Jarak Jauh (RPC)
+ Manajer Akun Keamanan
+ Server Waktu Windows
**catatan**
Direktori hybrid membutuhkan port UDP 123 untuk terbuka dan Windows Time Server diaktifkan dan berfungsi. Kami menyinkronkan waktu dengan pengontrol domain Anda untuk memastikan replikasi direktori hybrid berfungsi dengan baik.
## Persyaratan otentikasi Kerberos
Akun pengguna Anda harus mengaktifkan pra-autentikasi Kerberos. Untuk petunjuk terperinci tentang cara mengaktifkan setelan ini, lihat [Memastikan pra-otentikasi Kerberos](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos) diaktifkan. Untuk informasi umum tentang pengaturan ini, buka [Preauthentication](http://technet.microsoft.com/en-us/library/cc961961.aspx) on. Microsoft TechNet
## Jenis enkripsi yang didukung
direktori hybrid mendukung jenis enkripsi berikut saat mengautentikasi melalui Kerberos ke pengontrol domain Active Directory Anda:
+ AES-256-HMAC
## Persyaratan port jaringan
AWS Untuk memperluas pengontrol domain Active Directory yang dikelola sendiri, firewall untuk jaringan yang ada harus memiliki port berikut yang terbuka CIDRs untuk kedua subnet di VPC Amazon Anda:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Autentikasi Kerberos
+ UDP 123 - Server waktu
+ TCP 135 - Panggilan Prosedur Jarak Jauh
+ TCP/UDP 389 - LDAP
+ TCP 445 - SMB
+ TCP 636 - Hanya diperlukan untuk lingkungan dengan Lightweight Directory Access Protocol Secure (LDAPS)
+ TCP 49152-65535 - RPC secara acak mengalokasikan port TCP tinggi
+ TCP 3268 dan 3269 - Katalog Global
+ TCP 9389 Layanan Web Direktori Aktif (ADWS)
Ini adalah port minimum yang diperlukan untuk membuat direktori hybrid. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.
**catatan**
DNS yang IPs disediakan untuk Pengontrol Domain dan pemegang Peran FSMO Anda harus memiliki port di atas terbuka CIDRs untuk kedua subnet di Amazon VPC.
**catatan**
Direktori hybrid membutuhkan port UDP 123 untuk terbuka dan Windows Time Server diaktifkan dan berfungsi. Kami menyinkronkan waktu dengan pengontrol domain Anda untuk memastikan replikasi direktori hybrid berfungsi dengan baik.
## Akun AWS izin
Anda akan memerlukan izin untuk tindakan berikut di: Akun AWS
+ EC2: AuthorizeSecurityGroupEgress
+ EC2: AuthorizeSecurityGroupIngress
+ EC2: CreateNetworkInterface
+ EC2: CreateSecurityGroup
+ EC2: DescribeNetworkInterfaces
+ EC2: DescribeSubnets
+ EC2: DescribeVpcs
+ EC2: CreateTags
+ EC2: CreateNetworkInterfacePermission
+ ssm: ListCommands
+ ssm: GetCommandInvocation
+ ssm: GetConnectionStatus
+ ssm: SendCommand
+ manajer rahasia: DescribeSecret
+ manajer rahasia: GetSecretValue
+ saya: GetRole
+ saya: CreateServiceLinkedRole
## Persyaratan jaringan Amazon VPC
VPC dengan yang berikut ini:
+ Setidaknya dua subnet. Masing-masing subnet harus berada di Availability Zone yang berbeda
+ VPC harus memiliki tenancy default
Anda tidak dapat membuat direktori hybrid di VPC menggunakan alamat di ruang alamat 198.18.0.0/15.
Directory Service menggunakan dua struktur VPC. Instans EC2 yang membentuk direktori Anda berjalan di luar Anda Akun AWS, dan dikelola oleh. AWS Mereka memiliki dua adaptor jaringan, `ETH0` dan `ETH1`. `ETH0` adalah adaptor pengelola, dan berada di luar akun Anda. `ETH1` dibuat dalam akun Anda.
Rentang IP manajemen ETH0 jaringan untuk direktori Anda adalah`198.18.0.0/15`.
Untuk informasi selengkapnya, lihat topik berikut dalam *Panduan Pengguna Amazon VPC*:
+ [Apa itu Amazon VPC?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [Apa itu Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs dan subnet](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [Apa itu AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)
Untuk informasi lebih lanjut tentang AWS Direct Connect, lihat [Apa itu AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
## AWS konfigurasi grup keamanan
Secara default, AWS melampirkan grup keamanan untuk memungkinkan akses jaringan ke node AWS Systems Manager terkelola di VPC Anda. Anda dapat secara opsional menyediakan grup keamanan Anda sendiri yang memungkinkan lalu lintas jaringan ke dan dari pengontrol domain yang dikelola sendiri di luar VPC Anda.
Anda dapat secara opsional menyediakan grup keamanan Anda sendiri yang memungkinkan lalu lintas jaringan ke dan dari pengontrol domain yang dikelola sendiri di luar VPC Anda. Jika Anda menyediakan grup keamanan Anda sendiri, maka Anda perlu:
+ Izinkan daftar VPC CIDR rentang dan rentang yang dikelola sendiri.
+ Pastikan rentang ini tidak tumpang tindih dengan rentang [IP yang AWS dicadangkan](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)
## Pertimbangan penilaian direktori
Berikut ini adalah pertimbangan saat membuat penilaian direktori dan jumlah penilaian yang dapat Anda miliki di: Akun AWS
+ Penilaian direktori dibuat secara otomatis saat Anda membuat direktori hybrid. Ada dua jenis penilaian: `CUSTOMER` dan`SYSTEM`. Anda Akun AWS memiliki batas 100 penilaian `CUSTOMER` direktori.
+ Jika Anda mencoba membuat direktori hybrid dan Anda sudah memiliki 100 penilaian `CUSTOMER` direktori, Anda akan menemukan kesalahan. Hapus penilaian untuk membebaskan kapasitas sebelum mencoba lagi.
+ Anda dapat meminta peningkatan kuota penilaian `CUSTOMER` direktori Anda dengan menghubungi Dukungan atau menghapus penilaian direktori PELANGGAN yang ada untuk membebaskan kapasitas.
# Membuat direktori hybrid
Sebelum membuat direktori hybrid, Anda harus membuat dan berhasil lulus penilaian direktori yang memverifikasi konektivitas dan interoperabilitas dengan Active Directory yang dikelola sendiri
## Membuat direktori hybrid dengan AD yang dikelola sendiri
Ikuti langkah-langkah berikut untuk membuat direktori hybrid dengan AD yang dikelola sendiri:
**Untuk membuat direktori hybrid**
1. Buka Directory Service konsol untuk wilayah yang Anda inginkan.
1. Pada halaman **Pilih jenis direktori**, pilih **AWS Dikelola Microsoft AD**.
1. Di bawah **Memulai dengan Microsoft AD yang AWS Dikelola**, pilih **Perluas domain AD Anda dengan direktori hibrid — baru**, lalu pilih **Berikutnya**. Ini mengarahkan Anda ke halaman **Create directory assessment**.
1. Sebelum Anda dapat membuat direktori hybrid, Anda harus terlebih dahulu membuat dan berhasil lulus penilaian direktori. Untuk membuat penilaian direktori, ikuti langkah-langkahnya[Membuat penilaian direktori](create_directory_assessment.md). Setelah Anda berhasil melewati penilaian direktori, Anda dapat melanjutkan prosedur ini.
1. Setelah Anda berhasil melewati penilaian direktori, arahkan ke halaman **Direktori**.
1. Pada halaman **Direktori**, di bawah **Uji coba penilaian direktori hibrida** pilih **ID Penilaian** dengan **Status**. `SUCCESS` Kemudian pilih **Buat direktori hybrid**, yang mengarahkan Anda ke halaman detail penilaian
1. Pada halaman detail penilaian, konfirmasikan tindakan ini dengan memilih **Create hybrid directory**, yang membuka halaman **Create hybrid using assessment id**.
1. Pada **direktori Create hybrid menggunakan halaman assessment id, Tinjau** **informasi Active Directory yang dikelola sendiri**. Setelah mengonfirmasi informasi, pilih **Buat direktori hybrid**.
Setelah memilih **Buat direktori hybrid**, AWS jalankan penilaian direktori lain berdasarkan informasi ini untuk mengonfirmasi bahwa konfigurasi AD yang dikelola sendiri masih valid. Jika penilaian direktori berhasil lolos, maka kami membuat direktori hybrid.
1. Memilih **Buat direktori hybrid** mengembalikan Anda ke halaman **Direktori**.
1. Spanduk hijau akan muncul setelah direktori hybrid berhasil dibuat.
1. Spanduk merah akan muncul jika pembuatan direktori hybrid gagal. Bersihkan kegagalan pembuatan direktori hybrid dengan menyelesaikan yang berikut:
1. Hapus direktori hybrid yang gagal di konsol.
1. Hapus semua AWS Cadangan yang tersisa OUs di AD yang dikelola sendiri.
**Informasi lebih lanjut**
+ [Menghapus direktori hybrid](hybrid_directory_delete.md)
+ [Pemecahan masalah](hybrid_directory_troubleshooting.md)
# Melihat dan mengedit direktori hybrid
Gunakan prosedur berikut untuk melihat atau mengedit direktori hybrid Anda.
## Melihat direktori hybrid
Anda dapat melihat direktori hybrid di Directory Service konsol.
**Untuk melihat informasi direktori terperinci.**
1. Pada panel navigasi [konsol Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pilih tautan ID direktori untuk direktori Anda. Informasi tentang direktori muncul di halaman **Detail direktori**.
### Informasi Direktori Aktif yang dikelola sendiri
Bagian ini memberikan informasi tentang Active Directory yang dikelola sendiri yang digabungkan dengan AWS infrastruktur.
+ Jenis direktori
+ ID Direktori
+ Status direktori
+ Detail jaringan untuk iklan yang dikelola sendiri, seperti:
+ VPC
+ Subnet
+ Alamat DNS
+ Node terkelola Systems Manager
### Tab direktori hibrid
Anda dapat menemukan informasi berikut tentang Microsoft AD yang AWS Dikelola:
+ Pada tab **Bagikan & bagikan**, Anda dapat membagikan iklan Microsoft AWS Terkelola dengan AWS akun lain dan melihat detail jaringan untuk pengontrol domain Anda.
+ Pada tab **Manajemen aplikasi**, Anda dapat mengaktifkan URL akses aplikasi untuk iklan Microsoft AWS Terkelola dan mengaktifkan AWS aplikasi dan layanan untuk iklan Microsoft yang AWS Dikelola.
+ Pada tab **Pemeliharaan**, Anda dapat mengaktifkan SNS untuk menerima pemberitahuan status Microsoft AD yang AWS Dikelola dan meninjau snapshot dari AWS Microsoft AD yang Dikelola.
+ Untuk informasi selengkapnya tentang bidang **Status**, lihat [Memahami status direktori Microsoft AD yang AWS Dikelola](ms_ad_directory_status.md).
## Memperbarui direktori hybrid
Anda dapat memperbarui direktori hybrid di Directory Service konsol untuk mengubah pengaturan DNS atau memulihkan akses akun administrator.
**Untuk memperbarui informasi direktori hybrid**
1. Pada panel navigasi [konsol Directory Service](https://console.aws.amazon.com/directoryservicev2), pilih **Direktori**.
1. Pilih tautan ID direktori untuk direktori Anda untuk membuka halaman **detail Direktori**.
1. Pilih **Tindakan**, lalu pilih **Perbarui informasi direktori hybrid**.
1. Pada halaman **Perbarui informasi direktori hybrid**, Anda dapat memperbarui pengaturan DNS atau memulihkan akun administrator Anda.
**Perbarui pengaturan DNS (opsional)**
Di bawah **informasi Direktori Aktif yang dikelola sendiri**, Anda dapat mengubah yang berikut ini:
1. **Nama DNS Direktori**
1. **Alamat IP DNS**
Anda dapat memperbarui kedua pengaturan bersama-sama atau secara individual. Setidaknya satu perubahan diperlukan untuk proses pembaruan.
1. **Pulihkan akun administrator direktori hybrid**
Untuk memulihkan akun administrator direktori hybrid Anda, kami memerlukan akses sementara ke pengguna. Akses ini disediakan melalui rahasia dari Secrets Manager. Kami menggunakan kredensi ini hanya sekali selama pemulihan dan tidak menyimpannya. Jika akun administrator direktori hybrid Anda ada, Anda tidak perlu memperbarui rahasia ini, bahkan jika Anda memperbarui pengguna administrator Active Directory yang dikelola sendiri.
1. **Rahasia kredensial admin** - Kami membuat akun administrator direktori hybrid saat kami membuat direktori hybrid. Jika Anda menghapus rahasia ini, masukkan rahasia Secrets Manager untuk pengguna administrator AD yang dikelola sendiri.
# Menghapus direktori hybrid
Saat Anda menghapus direktori hybrid, semua data direktori dan snapshot dihapus dan tidak dapat dipulihkan. Setelah direktori dihapus, semua instance yang bergabung ke direktori tetap utuh. Namun, Anda tidak dapat menggunakan kredensi direktori untuk masuk ke instance ini. Anda harus masuk ke instance ini dengan akun pengguna lokal.
**Untuk menghapus direktori**
1. Di panel navigasi [konsol Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**. Pastikan Anda berada di Wilayah AWS tempat direktori hybrid Anda digunakan. Untuk informasi selengkapnya, lihat [Memilih Wilayah](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html).
1. Pastikan tidak ada AWS aplikasi yang diaktifkan untuk direktori yang ingin Anda hapus. AWS Aplikasi yang diaktifkan akan mencegah Anda menghapus direktori hybrid Anda.
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, pilih tab **Pengelolaan aplikasi**. Di bagian **AWS aplikasi & layanan**, Anda melihat AWS aplikasi mana yang diaktifkan untuk direktori Anda.
1. Nonaktifkan Konsol Manajemen AWS akses. Untuk informasi selengkapnya, lihat [Menonaktifkan akses Konsol AWS Manajemen](https://docs.aws.amazon.com/ms_ad_management_console_access.xml).
1. Untuk menonaktifkan Amazon FSx untuk Windows File Server, Anda harus menghapus sistem FSx file Amazon dari domain. Untuk informasi selengkapnya, lihat [Bekerja dengan Active Directory FSx untuk Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) di *Amazon FSx untuk Windows File Server User Guide*.
1. Untuk menonaktifkan Amazon Relational Database Service, Anda harus menghapus instans Amazon RDS dari domain. Untuk informasi selengkapnya, lihat [Mengelola instans DB dalam domain](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) dalam *Panduan Pengguna Amazon RDS*.
1. Di panel navigasi, pilih **Direktori**.
1. Pilih hanya direktori yang akan dihapus dan pilih **Hapus**. Ini akan memerlukan beberapa menit agar direktori dihapus. Ketika direktori telah dihapus, itu akan dihapus dari daftar direktori Anda.
1. Hapus secara manual objek pengontrol domain yang tersisa, termasuk AWS Cadangan apa pun OUs. Anda dapat menghapus seluruh direktori AWS Reserved untuk menyelesaikan pembersihan lingkungan Anda.
# Penilaian direktori untuk direktori hybrid
Penilaian direktori memeriksa lingkungan Active Directory yang dikelola sendiri untuk memastikannya memenuhi persyaratan untuk membuat direktori hybrid. Penilaian ini memverifikasi konektivitas jaringan, konfigurasi pengontrol domain, dan layanan yang diperlukan untuk membantu mengidentifikasi dan menyelesaikan masalah potensial sebelum membuat koneksi antara AD yang dikelola sendiri dan. Directory Service
Ada dua jenis penilaian direktori:
+ *`CUSTOMER`penilaian* — Dimulai oleh Anda di konsol saat Anda mulai menyiapkan direktori hybrid. Anda dapat menghapus penilaian direktori pelanggan, bahkan saat penilaian tersebut sedang berlangsung. Anda dapat memiliki hingga 100 penilaian pelanggan.
+ *`SYSTEM`penilaian* — Secara otomatis dibuat oleh AWS dan dijalankan secara berkala setelah pembuatan berhasil. Anda tidak dapat menghapus `SYSTEM` penilaian.
Penilaian direktori memberikan informasi berharga tentang kesiapan lingkungan Anda, termasuk:
+ Konektivitas antara AD yang dikelola sendiri dan AWS
+ Ketersediaan layanan yang diperlukan pada pengontrol domain Anda
+ Kompatibilitas konfigurasi dengan persyaratan AWS Directory Service
+ Potensi masalah yang mungkin mencegah pembuatan direktori hybrid yang berhasil
Penilaian direktori yang berhasil (lulus) diperlukan sebelum Anda dapat membuat direktori hybrid. Jika penilaian gagal, Anda dapat melihat laporan terperinci untuk mengidentifikasi dan mengatasi masalah sebelum mencoba lagi. AWS menghapus `SYSTEM` penilaian setelah 30 hari.
**Topics**
+ [Membuat penilaian direktori](create_directory_assessment.md)
+ [Melihat penilaian direktori](viewing_hybrid_dir_assessment.md)
+ [Menghapus penilaian direktori](deleting_hybrid_dir_assessment.md)
# Membuat penilaian direktori
Anda dapat membuat penilaian direktori sebagai bagian dari membuat direktori hybrid, atau Anda dapat membuatnya secara manual. Untuk membuat penilaian secara manual, buka Directory Service konsol di [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/). Pada halaman **Direktori**, di bawah bagian **Penilaian direktori, pilih **Buat** penilaian**.
**Untuk membuat penilaian direktori**
1. Pada halaman **Buat penilaian direktori**, untuk nama **DNS Direktori, masukkan nama DNS** Direktori Aktif yang dikelola sendiri.
1. Untuk **Alamat IP DNS, masukkan dua alamat** IP DNS untuk AD yang dikelola sendiri.
1. Direktori hybrid membutuhkan VPC Amazon dengan setidaknya dua subnet. Jika Anda belum memilikinya, Anda dapat membuatnya. Di bagian **Jaringan**, berikan yang berikut ini:
1. Untuk **VPC**, pilih pengidentifikasi VPC Anda.
1. Untuk **Subnet**, pilih pengenal untuk masing-masing dari dua subnet. Setiap subnet harus berada di Availability Zone yang berbeda. Untuk informasi selengkapnya, lihat [Persyaratan jaringan Amazon VPC](create_hybrid_directory_prereqs.md#hybrid-dir-prereqs-vpc).
1. Untuk **grup Keamanan**, pilih pengenal grup keamanan. Secara default, AWS melampirkan grup keamanan untuk memungkinkan akses jaringan ke node AWS Secrets Manager terkelola di VPC Amazon Anda. Anda dapat secara opsional menyediakan grup keamanan Anda sendiri yang memungkinkan lalu lintas jaringan ke dan dari pengontrol domain yang dikelola sendiri di luar VPC Amazon Anda.
1. Di bagian **AWS Systems Manager node**, pilih dua node Systems Manager atau instance berdasarkan persyaratan berikut:
+ Jika Active Directory Anda **dikelola sendiri di luar AWS Cloud**, Anda akan memerlukan dua node Systems Manager untuk lingkungan hybrid dan multicloud. Untuk informasi selengkapnya tentang cara menyediakan node ini, lihat [Menyiapkan Systems Manager untuk lingkungan hybrid dan multicloud](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
+ Jika Active Directory **dikelola sendiri di dalam AWS Cloud**, Anda memerlukan dua EC2 instans yang dikelola Systems Manager. Untuk informasi selengkapnya tentang cara menyediakan instance ini, lihat [Mengelola EC2 instans dengan Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).
1. Pilih **Berikutnya** untuk membuka halaman **Ulasan dan membuat penilaian direktori**.
1. Pada halaman **Tinjau dan buat penilaian direktori**, tinjau informasi penilaian direktori dan buat perubahan yang diperlukan. Jika informasi sudah benar, pilih **Buat penilaian**. Membuat penilaian direktori membutuhkan waktu sekitar 30 menit. Anda dikembalikan ke halaman detail Direktori. Spanduk hijau muncul saat penilaian direktori berhasil.
**Awas**
Untuk membuat direktori hybrid, penilaian direktori harus memasukkan status SUCCESS. Anda tidak dapat membuat direktori hybrid tanpa terlebih dahulu berhasil melewati penilaian direktori.
# Melihat penilaian direktori
Anda dapat melihat penilaian direktori di Konsol Manajemen AWS untuk meninjau hasil penilaian dan mengelola laporan penilaian Anda.
**Untuk melihat penilaian direktori**
1. Buka Directory Service konsol di [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, di bawah bagian **Penilaian direktori hibrida percobaan**, pilih penilaian yang ingin Anda lihat. Ini membuka halaman detail penilaian.
1. Pada halaman detail penilaian, Anda dapat memilih:
+ **Unduh** untuk mengunduh laporan penilaian direktori sebagai file CSV.
+ **Hapus** untuk menghapus laporan penilaian direktori.
+ **Buat penilaian** untuk membuat penilaian direktori baru.
1. Dari halaman detail penilaian, Anda dapat melihat informasi berikut:
1. Informasi penilaian, seperti ID penilaian, status, apakah itu dibuat oleh pelanggan atau sistem, dan kapan terakhir diperbarui.
1. Detail AD yang dikelola sendiri seperti nama DNS, VPC, dan subnet.
1. AWS Systems Manager mengelola informasi node, seperti alamat IP, status penilaian, dan jumlah tes penilaian yang lulus dan gagal.
1. Status penilaian untuk pengontrol domain. Anda juga dapat meninjau detail pengujian penilaian dengan memilih pengontrol domain. Kode kesalahan muncul di kolom **Status** untuk pengujian penilaian yang gagal.
# Menghapus penilaian direktori
Anda dapat menghapus penilaian direktori yang dibuat pelanggan di. Konsol Manajemen AWS Anda tidak dapat menghapus penilaian yang dimulai sistem yang dibuat secara otomatis. AWS
**Untuk menghapus penilaian direktori pelanggan**
1. Buka Directory Service konsol di [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, di bawah bagian **Penilaian direktori**, pilih penilaian pelanggan yang ingin Anda hapus. **Atau, Anda dapat memilih kotak centang di samping penilaian direktori yang ingin Anda hapus dan kemudian dari menu **Tindakan**, pilih Hapus.**
1. Anda diarahkan ke halaman Detail **Penilaian**. Pilih **Tindakan** dan kemudian pilih **Hapus Penilaian**. Kotak dialog **penilaian direktori Hapus** muncul. Pilih **Hapus**.
# Pemecahan masalah direktori hibrida dan penilaian direktori
Penilaian direktori diperlukan untuk membuat direktori hybrid. Tes penilaian dijalankan pada setiap pengontrol domain. Tes penilaian memeriksa area yang berbeda dan menghasilkan status Lulus atau Gagal. Jika penilaian direktori Anda gagal, Anda dapat melihat pengujian penilaian pengontrol domain Anda untuk mengidentifikasi masalah apa yang menyebabkan kegagalan.
**penting**
Direktori hybrid dapat dibuat ketika status penilaian direktori Lulus dengan peringatan. Kami menyarankan Anda mengatasi masalah yang menyebabkan peringatan sebelum membuat direktori hybrid
**Topics**
+ [Pemecahan masalah penilaian direktori hybrid yang gagal](#hybrid_directory_troubleshooting_steps)
+ [Kesalahan Status Direktori](hybrid_directory_status_errors.md)
+ [Pesan Kesalahan Penilaian Direktori](da-error-msgs.md)
+ [Pesan kesalahan Uji Penilaian](assessment_test_error-msgs.md)
+ [Pesan peringatan Tes Penilaian](assessment_test_warning-msgs.md)
## Pemecahan masalah penilaian direktori hybrid yang gagal
Anda dapat memecahkan masalah penilaian direktori yang gagal dari halaman **Direktori** di halaman. Konsol Manajemen AWS
1. Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol di [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Di bawah bagian **Penilaian direktori**, pilih penilaian direktori hibrid yang gagal.
1. Pada halaman **Rincian Penilaian**, tinjau penilaian direktori dan identifikasi tes apa yang gagal.
1. Tes penilaian pengontrol domain akan memiliki informasi lebih lanjut tentang tes apa yang berhasil atau gagal. Kolom **Status** memberikan rincian lebih lanjut tentang apa yang menyebabkan tes gagal. Untuk melihat pengujian penilaian pengontrol domain Anda, lihat[Melihat penilaian direktori](viewing_hybrid_dir_assessment.md).
1. Mengatasi masalah yang menyebabkan kegagalan pada Direktori Aktif yang dikelola sendiri atau Microsoft AD yang AWS dikelola sendiri. Lihat [Pesan Kesalahan Penilaian Direktori](da-error-msgs.md) dan [Pesan kesalahan Uji Penilaian](assessment_test_error-msgs.md) untuk informasi lebih lanjut.
1. Kembali ke penilaian yang gagal di Directory Service konsol. Pilih **Buat penilaian** di pesan peringatan merah. Lihat [Membuat direktori hybrid dengan AD yang dikelola sendiri](hybrid_directory_create.md#creating_hybrid_directory) untuk informasi selengkapnya tentang membuat penilaian direktori.
# Kesalahan Status Direktori
Directory Service direktori dapat menemukan berbagai negara yang menunjukkan berbagai jenis masalah. Memahami status ini membantu Anda menentukan langkah pemecahan masalah yang sesuai.
**Jenis Status Direktori**
| Status | Deskripsi | Tindakan yang Diperlukan |
| --- | --- | --- |
| Aktif | Pembuatan direktori selesai dengan sukses dan beroperasi secara normal. | Tidak ada tindakan diperlukan. |
| Terganggu | Direktori berhasil dibuat, tetapi pengontrol domain mengalami masalah sesudahnya. Sistem mencoba pemulihan otomatis. | Pantau status direktori. Jika masalah berlanjut, hubungi AWS Support. |
| Gagal | Pembuatan direktori gagal dan tidak dapat dipulihkan. | Hapus direktori yang gagal dan buat yang baru. |
| Tidak dapat dioperasikan (hanya iklan hibrida) | AWS mendeteksi masalah keamanan dan secara otomatis mengisolasi direktori untuk perlindungan. Direktori menjadi benar-benar tidak dapat digunakan sampai dipulihkan. | Contact [AWS Dukungan Center](https://console.aws.amazon.com/support/home#/) segera. Status ini memerlukan Dukungan intervensi untuk menyelidiki dan memulihkan direktori. |
# Pesan Kesalahan Penilaian Direktori
Untuk membuat direktori hybrid, Anda perlu penilaian direktori yang lulus. Penilaian direktori dapat gagal karena berbagai alasan.
Tabel berikut menunjukkan pesan kesalahan penilaian direktori dan cara mengatasinya.
**Pesan Kesalahan Penilaian Direktori & Resolusi**
| Pesan Kesalahan Penilaian Direktori | Resolusi |
| --- | --- |
| Penilaian ini gagal beberapa pengujian pada kedua instance terkelola. Selidiki pengujian yang gagal dengan memilih setiap instans terkelola dan menyelesaikannya di direktori lokal Anda. Kemudian, buat penilaian baru. | Satu atau beberapa pengujian penilaian direktori gagal untuk AD yang dikelola sendiri. Tinjau informasi lebih [Pesan kesalahan Uji Penilaian](assessment_test_error-msgs.md) lanjut tentang kegagalan pengujian tertentu dan resolusinya. |
| Penilaian ini gagal karena Pengecualian Layanan Internal. Silakan coba lagi dengan membuat penilaian baru atau layanan kontak untuk pemecahan masalah. | Cobalah untuk membuat penilaian direktori baru. Jika Anda terus mengalami kesalahan ini, hubungi [Dukungan](https://aws.amazon.com/premiumsupport/). |
| Penilaian ini gagal karena tidak ada izin untuk melakukan tindakan seperti`ec2:CreateSecurityGroup`,`ec2:DeleteSecurityGroup`,`ec2:CreateNetworkInterface`,`ec2:DeleteNetworkInterface`,`ec2:DescribeSubnets`, dan`ec2:DescribeNetworkInterface`. | Untuk membuat penilaian direktori, Anda Akun AWS membutuhkan yang diperlukan[Akun AWS izin](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| Penilaian ini gagal karena tidak ada izin untuk melakukan tindakan seperti`ssm:GetConnectionStatus`,`ssm:GetCommandInvocation`,`ssm:ListCommands`,`ssm:SendCommand`. | Untuk membuat penilaian direktori, Anda memerlukan dua node Systems Manager dengan yang diperlukan[Akun AWS izin](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| Penilaian ini gagal karena Anda telah mencapai batas jumlah antarmuka jaringan yang dapat Anda buat. Untuk informasi selengkapnya, lihat [kuota Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Untuk membuat penilaian direktori, Anda harus membuat antarmuka jaringan dan grup keamanan. Ada batasan jumlah sumber daya VPC yang dapat Anda buat namun Anda dapat menyesuaikan beberapa batasan ini. Untuk informasi selengkapnya, lihat [kuota Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| Penilaian ini gagal karena Anda telah mencapai batas jumlah grup keamanan yang dapat Anda buat, atau tetapkan ke sebuah instans. Untuk informasi selengkapnya, lihat [kuota Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Untuk membuat penilaian direktori, Anda harus membuat antarmuka jaringan dan grup keamanan. Ada batasan jumlah sumber daya VPC yang dapat Anda buat namun Anda dapat menyesuaikan beberapa batasan ini. Untuk informasi selengkapnya, lihat [kuota Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll). |
| Penilaian ini gagal. Tidak dapat terhubung ke instans pelanggan dari AWS Systems Manager. | Untuk membuat penilaian direktori, Anda memerlukan dua AWS Systems Manager node yang memiliki status terhubung. Lihat [Pemecahan Masalah Agen SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html). |
| Penilaian ini gagal beberapa tes kritis. Selidiki pengujian yang gagal dengan memilih setiap instans terkelola dan selesaikan di direktori lokal Anda. Kemudian, buat penilaian baru. | Satu atau beberapa pengujian penilaian direktori gagal untuk AD yang dikelola sendiri. Tinjau [Pesan kesalahan Uji Penilaian](assessment_test_error-msgs.md) untuk informasi lebih lanjut. |
# Pesan kesalahan Uji Penilaian
Tabel berikut menjelaskan pesan kesalahan yang dapat terjadi selama pengujian penilaian. Kesalahan ini menunjukkan masalah pemblokiran yang harus diselesaikan sebelum melanjutkan dengan pengaturan direktori hybrid.
| Nama uji | Nama pendek | Kode kesalahan | Pesan kesalahan | Deskripsi | Resolusi |
| --- | --- | --- | --- | --- | --- |
| Active Directory ServicesUji | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Terjadi jika AD layanan yang diperlukan tidak berjalan di iklan yang dikelola sendiri. | ADLayanan khusus yang diperlukan harus berjalan di iklan yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Layanan Direktori Aktif yang Diperlukan](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). |
| Active Directory ServicesUji | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Pastikan pengontrol domain AD yang dikelola sendiri beroperasi dan dapat dihubungi. Verifikasi konektivitas dan DNS resolusi jaringan untuk pengontrol domain AD yang dikelola sendiri. |
| ADUji Kebijakan Kata Sandi | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Terjadi jika kebijakan kata sandi AD yang dikelola sendiri tidak memenuhi persyaratan Microsoft AD AWS Terkelola. | Kebijakan kata sandi AD yang dikelola sendiri harus memenuhi persyaratan kata sandi Microsoft AD AWS Terkelola. Untuk selengkapnya, lihat [Memahami kebijakan kata sandi Microsoft AD yang AWS Dikelola](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). |
| AWS Tes Ada Pengguna Admin | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Terjadi jika pengguna administrator direktori hibrid tidak ada di AWS Cadangan OU pada iklan yang dikelola sendiri. | Pastikan pengguna administrator direktori hibrid ada di AWS Cadangan OU pada iklan yang dikelola sendiri. Jika pengguna hilang, verifikasi akun telah dibuat dengan benar selama proses pengaturan direktori hybrid. [Memperbarui direktori hybrid](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Jika status direktori hybrid Anda tidak dapat dioperasikan, hubungi. [Dukungan](https://console.aws.amazon.com/support/home#/) |
| AWS SPNTes Pengguna Admin | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Terjadi jika pengguna administrator direktori hibrid memiliki SPNs konfigurasi apa pun pada AD yang dikelola sendiri. | Hapus semua Nama Utama Layanan (SPNs) dari akun pengguna administrator direktori AWS hibrid. Pengguna administrator direktori hybrid tidak boleh memiliki SPNs konfigurasi apa pun karena mereka dapat mengganggu otentikasi direktori hybrid. |
| AWS Pengontrol Domain Bukan Tes FSMO Pemilik | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Terjadi jika Anda telah mentransfer FSMO peran (PDC Emulator,RID Master, atauInfrastructure Master) dari AD yang dikelola sendiri ke pengontrol domain direktori hibrid. | Transfer semua FSMO peran (PDC Emulator,RID Master,Infrastructure Master) kembali ke pengontrol domain AD yang dikelola sendiri sebelum melanjutkan. Untuk informasi selengkapnya, lihat [Microsoftdokumentasi tentang mentransfer FSMO peran](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). |
| AWS Tes Keanggotaan Grup Cadangan | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Terjadi jika AWS Cadangan OU pada iklan yang dikelola sendiri tidak ada. | AWS Cadangan OU harus ada di AD yang dikelola sendiri untuk memvalidasi keanggotaan grup. Hubungi [Dukungan](https://console.aws.amazon.com/support/home#/). |
| AWS Tes Keanggotaan Grup Cadangan | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Terjadi jika grup dalam AWS Cadangan OU pada iklan yang dikelola sendiri berisi pengguna yang tidak sah. | Hapus pengguna yang tidak sah dari OU grup AWS Cadangan pada iklan yang dikelola sendiri. |
| AWS OUACLsTes Cadangan | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Terjadi jika AWS Cadangan OU ACLs pada iklan yang dikelola sendiri tidak memberlakukan izin hanya-baca untuk entitas non-⸺-AWS dan tidak mencegah akses tidak sah ke sumber daya yang dikelola. AWS | Tinjau dan perbaiki izin pada AWS Cadangan OU ACLs pada iklan yang dikelola sendiri. Pastikan bahwa AWS non-entitas hanya memiliki izin baca (`ListChildren`,,,`ReadProperty`, `ListObject` `ReadControl``GenericRead`,`Synchronize`) dan hapus izin yang berlebihan. |
| AWS Tes OU GPO Asosiasi Cadangan | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Terjadi jika Pengontrol AWS Cadangan OU dan Domain OU pada iklan yang dikelola sendiri ditautkan ke yang tidak sah. GPOs | (Hanya Objek Kebijakan Grup AWS terkelola (GPOs) yang dapat ditautkan ke iniOUs. Hapus semua yang tidak sah yang GPOs ditautkan ke Pengontrol AWS Cadangan OU dan Domain OU pada iklan yang dikelola sendiri. |
| AWS Tes OU Sumber Daya Cadangan | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Terjadi jika AWS Cadangan OU tidak ada di AD yang dikelola sendiri yang diperlukan untuk fungsionalitas direktori Microsoft AD AWS Terkelola. | AWS Reserved OU harus dibuat secara otomatis selama pengaturan direktori hybrid dan tidak boleh dihapus. Jika kesalahan ini berlanjut, hubungi [Dukungan](https://console.aws.amazon.com/support/home#/). |
| AWS Tes OU Sumber Daya Cadangan | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Terjadi jika AWS Cadangan yang OU dibuat pada AD yang dikelola sendiri tidak berisi objek yang diperlukan dan GPOs untuk operasi direktori hibrid yang tepat. | Pastikan tidak ada yang mengedit AWS ReservedOU. Itu harus berisi sumber daya yang AWS dikelola yang diperlukan. Hapus objek yang tidak sah atauGPOs, dan hubungi [Dukungan](https://console.aws.amazon.com/support/home#/)jika sumber daya yang diperlukan hilang. |
| AWS OUTes Cadangan | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Terjadi jika sumber daya AWS Cadangan yang ditemukan di AD yang dikelola sendiri dari penyiapan direktori hibrid sebelumnya masih ada. | Hapus direktori hybrid gagal yang ada dari konsol. Kemudian hapus semua yang AWS Dicadangkan OU dan terkait GPOs dari iklan yang dikelola sendiri sebelum melanjutkan. |
| BridgeheadTes Konteks Penamaan | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Terjadi jika replikasi AD yang dikelola sendiri antar situs yang menggunakan Bridgehead tidak berfungsi seperti yang diharapkan. Ini juga dapat terjadi jika konteks penamaan tidak disinkronkan antar situs. | bridgeheadSitus iklan yang dikelola sendiri harus berhasil. Anda dapat mendiagnosis lebih lanjut dengan: `repadmin /bridgeheads /verbose` Atasi masalah dari penilaian itu sebelum melanjutkan. |
| Tes Domain Anak | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Terjadi jika hutan AD yang dikelola sendiri berisi domain anak, yang tidak didukung dengan direktori AD AWS Microsoft Terkelola. | AWS Direktori Microsoft AD yang dikelola tidak mendukung domain anak. Anda harus menggunakan hutan domain tunggal untuk iklan yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Microsoft Active Directorypersyaratan domain](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| DcDiagUji | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Terjadi jika ada Microsoft DCDiag pengujian yang gagal pada AD yang dikelola sendiri. | AWS digunakan DCDiag untuk menguji AD yang dikelola sendiri. Jika ada kesalahan, Anda tidak dapat membuat direktori hybrid. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). |
| DNSTes Pertandingan IP | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Terjadi jika alamat DNS IP yang disediakan dari AD yang dikelola sendiri tidak cocok dengan alamat DNS IP pada pengontrol domain AD yang dikelola sendiri yang diaktifkan. AWS Systems Manager | Berikan alamat DNS IP yang benar. |
| DNSUji Pencocokan Nama | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Terjadi jika DNS nama yang diberikan untuk iklan yang dikelola sendiri tidak cocok dengan DNS nama pada pengontrol domain AD yang dikelola sendiri yang diaktifkan. AWS Systems Manager | Berikan DNS nama yang benar. |
| DNSTes Rekaman | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Terjadi jika Windows DNS catatan tidak disetel untuk tipe ANS,SOA,, SRV dan dapat ditanyakan. | DNSCatatan untuk Address (A), Namespace (NS), State of Authority (SOA), dan Service Record (SRV) harus disetel dan dapat ditanyakan. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). |
| Uji Tingkat Fungsional Hutan Domain | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Terjadi jika domain AD yang dikelola sendiri dan tingkat fungsional hutan Anda tidak memenuhi persyaratan minimum. | AD yang dikelola sendiri harus menggunakan Windows 2012 R2 atau tingkat 2016 fungsional. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). |
| Tes Kesehatan Domain | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Terjadi jika AD yang dikelola sendiri tidak memiliki jumlah pengontrol domain minimum yang diperlukan. | Pastikan AD yang dikelola sendiri memiliki setidaknya dua pengontrol domain yang diaktifkan. AWS Systems Manager Untuk informasi selengkapnya, lihat [Microsoft Active Directorypersyaratan domain](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| Uji Domain yang Ada | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Terjadi jika domain AD yang dikelola sendiri sudah bergabung dengan direktori hybrid yang ada. | Domain AD yang dikelola sendiri sudah bergabung dengan direktori hybrid yang ada. Setiap domain AD yang dikelola sendiri yang digabungkan dengan direktori hybrid harus unik Buat domain AD baru yang dikelola sendiri atau hapus dari konfigurasi direktori hybrid tempat mereka bergabung. |
| FSMOUji Konektivitas | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Terjadi jika FSMO peran,PDC Emulator, and/or RID Master IPs pada iklan yang dikelola sendiri tidak dapat dirutekan. | Pengontrol Domain Utama (PDC) harus dapat dirutekan setiap saat. Secara khusus, PDC Emulator dan RID Master IPs dari AD yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Microsoft Active Directorypersyaratan domain](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| FSMOUji Konektivitas | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Terjadi jika pengontrol domain AD yang dikelola sendiri tidak dapat mengakses peran AndaFSMO. | Peran Fleksibel Single Master Operation (FSMO) Anda dalam AD yang dikelola sendiri harus terhubung ke pengontrol domain AD yang dikelola sendiri. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| Tes Konflik IP | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Terjadi jika Rentang IP AD yang dikelola sendiri tumpang tindih dengan rentang AWS cadangan. | AD yang dikelola sendiri tidak dapat menggunakan rentang alamat IP yang tumpang tindih dengan rentang IP Cadangan AWS . Untuk informasi selengkapnya, lihat [Microsoft Active Directorypersyaratan domain](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| KerberosUji | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Terjadi jika tidak Kerberos dikonfigurasi dengan benar dan digunakan. | Kerberosharus diaktifkan pada iklan yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Dokumentasi Microsoft](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). |
| LDAPUji Konektivitas | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Terjadi jika LDAP tidak bekerja. | Protokol Akses Direktori Ringan (LDAP) harus diaktifkan dan berfungsi pada AD yang dikelola sendiri. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). |
| Tidak Baca Hanya Pengontrol Domain Untuk FSMO Pengujian | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Terjadi jika FSMO peran pengontrol domain AD yang dikelola sendiri adalahRODC. | Pengontrol domain untuk AD yang dikelola sendiri tidak boleh menggunakan peran Read-Only Domain Controller (RODC) Flexible Single Master Operation (FSMO). Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| Baca Hanya Uji Replikasi Kata Sandi Pengontrol Domain | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | Terjadi jika RODC memiliki izin untuk mereplikasi kata sandi Admin. | RODCUntuk iklan yang dikelola sendiri harus secara eksplisit ditolak izinnya untuk mereplikasi kata sandi Admin. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). |
| Baca Hanya Uji Pengontrol Domain | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Terjadi jika pengontrol domain AD yang dikelola sendiri dalam ReadOnlyDC mode. | AD yang dikelola sendiri harus berupa pengontrol domain baca-tulis. Untuk informasi selengkapnya tentang jenis pengontrol domain, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers). |
| Uji Konektivitas Port Jarak Jauh | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Terjadi jika port yang diperlukan pada AWS subnet Anda dan pengontrol domain AD yang dikelola sendiri tidak terbuka. | Pastikan semua port yang diperlukan terbuka antara AWS subnet Anda dan AD yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Persyaratan port jaringan](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports). |
| Uji Replikasi | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Terjadi jika replikasi pengontrol domain AD yang dikelola sendiri gagal. | Status replikasi pengontrol domain AD yang dikelola sendiri harus berhasil. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). |
| SMBV1Uji | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Terjadi jika AD yang dikelola sendiri saat ini digunakan SMBv1 untuk otentikasi. | SMBv1diketahui tidak aman dan harus dinonaktifkan pada iklan yang dikelola sendiri. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). |
| SSMUji Izin Pengguna | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Terjadi jika Windows pengguna yang digunakan oleh SSM memiliki hak istimewa yang tidak mencukupi. | Anda memerlukan izin Windows Administrator untuk agen Manajer AWS Sistem (SSM) di AD yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Akun AWS izin](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| SysvolUji Replikasi | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Terjadi jika AD yang dikelola sendiri tidak memiliki metode sysvol replikasi (DFSR) yang benar, dan jika ada yang DCs gagal selama peristiwa DFSR replikasi. | Metode sysvol replikasi AD yang dikelola sendiri (DFSR) harus berhasil. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). |
| GPOTes Tingkat Atas | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Terjadi jika AD yang dikelola sendiri memiliki Level Teratas yang GPOs ditetapkan sebagai Ditegakkan. | Pastikan domain AD yang dikelola sendiri Objek kebijakan grup Tingkat Atas (GPO) tidak disetel ke Ditegakkan. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). |
| Tes Jenis Kepercayaan | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Terjadi jika iklan yang dikelola sendiri memiliki jenis kepercayaan yang tidak didukung. | Upleveladalah satu-satunya jenis kepercayaan yang didukung dengan direktori hybrid. AD yang dikelola sendiri tidak dapat memiliki jenis kepercayaan berikut:DCE,MIT,Downlevel. Untuk informasi selengkapnya tentang jenis kepercayaan, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). |
| Uji Pengontrol Domain yang Valid | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Terjadi jika instans AD yang dikelola sendiri yang disediakan bukan pengontrol domain atau jika mereka sudah menjadi bagian dari direktori hybrid lain. | Menyediakan pengontrol domain AD yang dikelola sendiri yang unik untuk direktori hybrid ini. Coba lagi dengan direktori baru. Pastikan Anda telah menghapus direktori hybrid yang gagal dan semua yang ada AWS OU di AD yang dikelola sendiri. |
# Pesan peringatan Tes Penilaian
Tabel berikut menjelaskan pesan peringatan yang dapat terjadi selama tes penilaian. Peringatan ini mewakili rekomendasi untuk konfigurasi optimal tetapi tidak mencegah pengaturan direktori hybrid.
| Nama uji | Nama pendek | Kode peringatan | Pesan peringatan | Deskripsi | Resolusi |
| --- | --- | --- | --- | --- | --- |
| Tes Kesehatan Domain | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Terjadi jika ada akun pengguna di AD yang dikelola sendiri yang belum masuk untuk waktu yang lama dan dapat dianggap basi atau tidak aktif. | Bersihkan akun pengguna basi. |
| Uji Sumber Waktu Pengontrol Domain | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Terjadi jika AD yang dikelola sendiri memiliki pengaturan sumber waktu yang benar dan tidak ada kemiringan waktu yang besar jika dibandingkan dengan sumber waktu. AWS | Server waktu pengontrol domain utama Anda (PDC) diarahkan ke`169.254.169.123`. Pengontrol domain non-primer Anda harus diarahkan ke PDC sebagai sumbernya. Untuk informasi selengkapnya, lihat [Menjaga waktu dengan Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/). |
| Uji Ruang Bebas | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Terjadi jika Gabungan AD yang dikelola sendiri NTDS dan Sysvol penggunaan di atas kuota yang didukung. | AD yang dikelola sendiri harus memiliki ruang disk 24 GB untuk direktori hybrid. |
| FSMO RolesUji | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Terjadi jika peran FSMO (PDC Emulator dan RID Master) tidak termasuk di antara dua pengontrol domain yang disediakan saat Anda membuat direktori hybrid. | Direktori hybrid Anda harus memiliki peran FSMO (PDC Emulator dan RID Master) di antara dua pengontrol domain yang Anda berikan saat Anda membuat direktori hybrid. Untuk informasi selengkapnya, lihat [Cara melihat dan mentransfer FSMO peran](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). |
| SSPUji saluran S | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Terjadi jika AD yang dikelola sendiri tidak menggunakan TLS1.2 dan AES256 enkripsi. | AD yang dikelola sendiri harus digunakan TLS 1.2 dan AES256 untuk direktori hybrid. |
| Uji Korupsi Disk | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Terjadi jika ada kerusakan disk pada iklan yang dikelola sendiri. | Disk AD yang dikelola sendiri tidak boleh rusak. |
| Domain Controller Uji Spesifikasi | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Terjadi jika pengontrol domain AD yang dikelola sendiri tidak memenuhi spesifikasi yang diperlukan. | Pengontrol domain AD yang dikelola sendiri harus memiliki setidaknya 7 GB RAM dan 2 core CPU untuk direktori hybrid. |
| DllUji Plugin Tingkat Server | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Terjadi jika ServerLevelPluginDll disetel pada pengontrol domain AD yang dikelola sendiri. | Pengontrol domain AD yang dikelola sendiri seharusnya ServerLevelPluginDII tidak dikonfigurasi. |
| Izinkan Tes NT4 Crypto | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Terjadi jika AD yang dikelola sendiri memungkinkan NT4 Kriptografi. | AD yang dikelola sendiri tidak boleh menggunakan NT4 Kriptografi. Untuk informasi lebih lanjut, lihat Microsoft dokumentasi. |
| Tes Pengguna Admin Yatim | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Terjadi jika pengguna admin yatim piatu ada di iklan yang dikelola sendiri. | Hapus pengguna yatim piatu di iklan yang dikelola sendiri sebelum melanjutkan. |
| Tes Hitungan Pengguna Istimewa | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Terjadi jika jumlah total Admin Bawaan, Admin Domain, dan Admin Perusahaan pada iklan yang dikelola sendiri lebih besar dari 5. | Lingkungan iklan yang dikelola sendiri tidak boleh memiliki beberapa akun istimewa. Anda harus menghapus akun admin yang berlebihan sebelum melanjutkan. |
| Tes Hitungan Pengguna Istimewa | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Terjadi jika jumlah total Admin Bawaan, Admin Domain, dan Admin Perusahaan pada iklan yang dikelola sendiri lebih besar dari 5. | Lingkungan iklan yang dikelola sendiri tidak boleh memiliki beberapa akun istimewa. Anda harus menghapus akun admin yang berlebihan sebelum melanjutkan. |
| Tes Hitungan Pengguna Istimewa | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Terjadi jika jumlah total Admin Bawaan, Admin Domain, dan Admin Perusahaan pada iklan yang dikelola sendiri lebih besar dari 5. | Lingkungan iklan yang dikelola sendiri tidak boleh memiliki beberapa akun istimewa. Anda harus menghapus akun admin yang berlebihan sebelum melanjutkan. |
| NTLMUji | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Terjadi jika NTLMv1 diaktifkan untuk otentikasi pada iklan yang dikelola sendiri. | NT LAN Managerversi 1 (NTLMv1) memiliki kerentanan keamanan yang diketahui dan tidak boleh digunakan. NTLMv1Nonaktifkan iklan yang dikelola sendiri. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). |
| Tes Seumur Hidup Tombstone | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Terjadi jika masa pakai Tombstone pada AD yang dikelola sendiri lebih dari 180 hari. | Masa pakai Tombstone adalah jumlah hari sebelum objek yang dihapus dihapus. AD Nilai seumur hidup Tombstone untuk AD yang dikelola sendiri harus 180 hari atau kurang. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |