Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pemecahan masalah direktori hibrida dan penilaian direktori
Penilaian direktori diperlukan untuk membuat direktori hybrid. Tes penilaian dijalankan pada setiap pengontrol domain. Tes penilaian memeriksa area yang berbeda dan menghasilkan status Lulus atau Gagal. Jika penilaian direktori Anda gagal, Anda dapat melihat pengujian penilaian pengontrol domain Anda untuk mengidentifikasi masalah apa yang menyebabkan kegagalan.
**penting**
Direktori hybrid dapat dibuat ketika status penilaian direktori Lulus dengan peringatan. Kami menyarankan Anda mengatasi masalah yang menyebabkan peringatan sebelum membuat direktori hybrid
**Topics**
+ [Pemecahan masalah penilaian direktori hybrid yang gagal](#hybrid_directory_troubleshooting_steps)
+ [Kesalahan Status Direktori](hybrid_directory_status_errors.md)
+ [Pesan Kesalahan Penilaian Direktori](da-error-msgs.md)
+ [Pesan kesalahan Uji Penilaian](assessment_test_error-msgs.md)
+ [Pesan peringatan Tes Penilaian](assessment_test_warning-msgs.md)
## Pemecahan masalah penilaian direktori hybrid yang gagal
Anda dapat memecahkan masalah penilaian direktori yang gagal dari halaman **Direktori** di halaman. Konsol Manajemen AWS
1. Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol di [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Di bawah bagian **Penilaian direktori**, pilih penilaian direktori hibrid yang gagal.
1. Pada halaman **Rincian Penilaian**, tinjau penilaian direktori dan identifikasi tes apa yang gagal.
1. Tes penilaian pengontrol domain akan memiliki informasi lebih lanjut tentang tes apa yang berhasil atau gagal. Kolom **Status** memberikan rincian lebih lanjut tentang apa yang menyebabkan tes gagal. Untuk melihat pengujian penilaian pengontrol domain Anda, lihat[Melihat penilaian direktori](viewing_hybrid_dir_assessment.md).
1. Mengatasi masalah yang menyebabkan kegagalan pada Direktori Aktif yang dikelola sendiri atau Microsoft AD yang AWS dikelola sendiri. Lihat [Pesan Kesalahan Penilaian Direktori](da-error-msgs.md) dan [Pesan kesalahan Uji Penilaian](assessment_test_error-msgs.md) untuk informasi lebih lanjut.
1. Kembali ke penilaian yang gagal di Directory Service konsol. Pilih **Buat penilaian** di pesan peringatan merah. Lihat [Membuat direktori hybrid dengan AD yang dikelola sendiri](hybrid_directory_create.md#creating_hybrid_directory) untuk informasi selengkapnya tentang membuat penilaian direktori.
# Kesalahan Status Direktori
Directory Service direktori dapat menemukan berbagai negara yang menunjukkan berbagai jenis masalah. Memahami status ini membantu Anda menentukan langkah pemecahan masalah yang sesuai.
**Jenis Status Direktori**
| Status | Deskripsi | Tindakan yang Diperlukan |
| --- | --- | --- |
| Aktif | Pembuatan direktori selesai dengan sukses dan beroperasi secara normal. | Tidak ada tindakan diperlukan. |
| Terganggu | Direktori berhasil dibuat, tetapi pengontrol domain mengalami masalah sesudahnya. Sistem mencoba pemulihan otomatis. | Pantau status direktori. Jika masalah berlanjut, hubungi AWS Support. |
| Gagal | Pembuatan direktori gagal dan tidak dapat dipulihkan. | Hapus direktori yang gagal dan buat yang baru. |
| Tidak dapat dioperasikan (hanya iklan hibrida) | AWS mendeteksi masalah keamanan dan secara otomatis mengisolasi direktori untuk perlindungan. Direktori menjadi benar-benar tidak dapat digunakan sampai dipulihkan. | Contact [AWS Dukungan Center](https://console.aws.amazon.com/support/home#/) segera. Status ini memerlukan Dukungan intervensi untuk menyelidiki dan memulihkan direktori. |
# Pesan Kesalahan Penilaian Direktori
Untuk membuat direktori hybrid, Anda perlu penilaian direktori yang lulus. Penilaian direktori dapat gagal karena berbagai alasan.
Tabel berikut menunjukkan pesan kesalahan penilaian direktori dan cara mengatasinya.
**Pesan Kesalahan Penilaian Direktori & Resolusi**
| Pesan Kesalahan Penilaian Direktori | Resolusi |
| --- | --- |
| Penilaian ini gagal beberapa pengujian pada kedua instance terkelola. Selidiki pengujian yang gagal dengan memilih setiap instans terkelola dan menyelesaikannya di direktori lokal Anda. Kemudian, buat penilaian baru. | Satu atau beberapa pengujian penilaian direktori gagal untuk AD yang dikelola sendiri. Tinjau informasi lebih [Pesan kesalahan Uji Penilaian](assessment_test_error-msgs.md) lanjut tentang kegagalan pengujian tertentu dan resolusinya. |
| Penilaian ini gagal karena Pengecualian Layanan Internal. Silakan coba lagi dengan membuat penilaian baru atau layanan kontak untuk pemecahan masalah. | Cobalah untuk membuat penilaian direktori baru. Jika Anda terus mengalami kesalahan ini, hubungi [Dukungan](https://aws.amazon.com/premiumsupport/). |
| Penilaian ini gagal karena tidak ada izin untuk melakukan tindakan seperti`ec2:CreateSecurityGroup`,`ec2:DeleteSecurityGroup`,`ec2:CreateNetworkInterface`,`ec2:DeleteNetworkInterface`,`ec2:DescribeSubnets`, dan`ec2:DescribeNetworkInterface`. | Untuk membuat penilaian direktori, Anda Akun AWS membutuhkan yang diperlukan[Akun AWS izin](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| Penilaian ini gagal karena tidak ada izin untuk melakukan tindakan seperti`ssm:GetConnectionStatus`,`ssm:GetCommandInvocation`,`ssm:ListCommands`,`ssm:SendCommand`. | Untuk membuat penilaian direktori, Anda memerlukan dua node Systems Manager dengan yang diperlukan[Akun AWS izin](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| Penilaian ini gagal karena Anda telah mencapai batas jumlah antarmuka jaringan yang dapat Anda buat. Untuk informasi selengkapnya, lihat [kuota Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Untuk membuat penilaian direktori, Anda harus membuat antarmuka jaringan dan grup keamanan. Ada batasan jumlah sumber daya VPC yang dapat Anda buat namun Anda dapat menyesuaikan beberapa batasan ini. Untuk informasi selengkapnya, lihat [kuota Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| Penilaian ini gagal karena Anda telah mencapai batas jumlah grup keamanan yang dapat Anda buat, atau tetapkan ke sebuah instans. Untuk informasi selengkapnya, lihat [kuota Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Untuk membuat penilaian direktori, Anda harus membuat antarmuka jaringan dan grup keamanan. Ada batasan jumlah sumber daya VPC yang dapat Anda buat namun Anda dapat menyesuaikan beberapa batasan ini. Untuk informasi selengkapnya, lihat [kuota Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll). |
| Penilaian ini gagal. Tidak dapat terhubung ke instans pelanggan dari AWS Systems Manager. | Untuk membuat penilaian direktori, Anda memerlukan dua AWS Systems Manager node yang memiliki status terhubung. Lihat [Pemecahan Masalah Agen SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html). |
| Penilaian ini gagal beberapa tes kritis. Selidiki pengujian yang gagal dengan memilih setiap instans terkelola dan selesaikan di direktori lokal Anda. Kemudian, buat penilaian baru. | Satu atau beberapa pengujian penilaian direktori gagal untuk AD yang dikelola sendiri. Tinjau [Pesan kesalahan Uji Penilaian](assessment_test_error-msgs.md) untuk informasi lebih lanjut. |
# Pesan kesalahan Uji Penilaian
Tabel berikut menjelaskan pesan kesalahan yang dapat terjadi selama pengujian penilaian. Kesalahan ini menunjukkan masalah pemblokiran yang harus diselesaikan sebelum melanjutkan dengan pengaturan direktori hybrid.
| Nama uji | Nama pendek | Kode kesalahan | Pesan kesalahan | Deskripsi | Resolusi |
| --- | --- | --- | --- | --- | --- |
| Active Directory ServicesUji | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Terjadi jika AD layanan yang diperlukan tidak berjalan di iklan yang dikelola sendiri. | ADLayanan khusus yang diperlukan harus berjalan di iklan yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Layanan Direktori Aktif yang Diperlukan](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). |
| Active Directory ServicesUji | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Pastikan pengontrol domain AD yang dikelola sendiri beroperasi dan dapat dihubungi. Verifikasi konektivitas dan DNS resolusi jaringan untuk pengontrol domain AD yang dikelola sendiri. |
| ADUji Kebijakan Kata Sandi | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Terjadi jika kebijakan kata sandi AD yang dikelola sendiri tidak memenuhi persyaratan Microsoft AD AWS Terkelola. | Kebijakan kata sandi AD yang dikelola sendiri harus memenuhi persyaratan kata sandi Microsoft AD AWS Terkelola. Untuk selengkapnya, lihat [Memahami kebijakan kata sandi Microsoft AD yang AWS Dikelola](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). |
| AWS Tes Ada Pengguna Admin | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Terjadi jika pengguna administrator direktori hibrid tidak ada di AWS Cadangan OU pada iklan yang dikelola sendiri. | Pastikan pengguna administrator direktori hibrid ada di AWS Cadangan OU pada iklan yang dikelola sendiri. Jika pengguna hilang, verifikasi akun telah dibuat dengan benar selama proses pengaturan direktori hybrid. [Memperbarui direktori hybrid](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Jika status direktori hybrid Anda tidak dapat dioperasikan, hubungi. [Dukungan](https://console.aws.amazon.com/support/home#/) |
| AWS SPNTes Pengguna Admin | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Terjadi jika pengguna administrator direktori hibrid memiliki SPNs konfigurasi apa pun pada AD yang dikelola sendiri. | Hapus semua Nama Utama Layanan (SPNs) dari akun pengguna administrator direktori AWS hibrid. Pengguna administrator direktori hybrid tidak boleh memiliki SPNs konfigurasi apa pun karena mereka dapat mengganggu otentikasi direktori hybrid. |
| AWS Pengontrol Domain Bukan Tes FSMO Pemilik | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Terjadi jika Anda telah mentransfer FSMO peran (PDC Emulator,RID Master, atauInfrastructure Master) dari AD yang dikelola sendiri ke pengontrol domain direktori hibrid. | Transfer semua FSMO peran (PDC Emulator,RID Master,Infrastructure Master) kembali ke pengontrol domain AD yang dikelola sendiri sebelum melanjutkan. Untuk informasi selengkapnya, lihat [Microsoftdokumentasi tentang mentransfer FSMO peran](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). |
| AWS Tes Keanggotaan Grup Cadangan | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Terjadi jika AWS Cadangan OU pada iklan yang dikelola sendiri tidak ada. | AWS Cadangan OU harus ada di AD yang dikelola sendiri untuk memvalidasi keanggotaan grup. Hubungi [Dukungan](https://console.aws.amazon.com/support/home#/). |
| AWS Tes Keanggotaan Grup Cadangan | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Terjadi jika grup dalam AWS Cadangan OU pada iklan yang dikelola sendiri berisi pengguna yang tidak sah. | Hapus pengguna yang tidak sah dari OU grup AWS Cadangan pada iklan yang dikelola sendiri. |
| AWS OUACLsTes Cadangan | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Terjadi jika AWS Cadangan OU ACLs pada iklan yang dikelola sendiri tidak memberlakukan izin hanya-baca untuk entitas non-⸺-AWS dan tidak mencegah akses tidak sah ke sumber daya yang dikelola. AWS | Tinjau dan perbaiki izin pada AWS Cadangan OU ACLs pada iklan yang dikelola sendiri. Pastikan bahwa AWS non-entitas hanya memiliki izin baca (`ListChildren`,,,`ReadProperty`, `ListObject` `ReadControl``GenericRead`,`Synchronize`) dan hapus izin yang berlebihan. |
| AWS Tes OU GPO Asosiasi Cadangan | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Terjadi jika Pengontrol AWS Cadangan OU dan Domain OU pada iklan yang dikelola sendiri ditautkan ke yang tidak sah. GPOs | (Hanya Objek Kebijakan Grup AWS terkelola (GPOs) yang dapat ditautkan ke iniOUs. Hapus semua yang tidak sah yang GPOs ditautkan ke Pengontrol AWS Cadangan OU dan Domain OU pada iklan yang dikelola sendiri. |
| AWS Tes OU Sumber Daya Cadangan | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Terjadi jika AWS Cadangan OU tidak ada di AD yang dikelola sendiri yang diperlukan untuk fungsionalitas direktori Microsoft AD AWS Terkelola. | AWS Reserved OU harus dibuat secara otomatis selama pengaturan direktori hybrid dan tidak boleh dihapus. Jika kesalahan ini berlanjut, hubungi [Dukungan](https://console.aws.amazon.com/support/home#/). |
| AWS Tes OU Sumber Daya Cadangan | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Terjadi jika AWS Cadangan yang OU dibuat pada AD yang dikelola sendiri tidak berisi objek yang diperlukan dan GPOs untuk operasi direktori hibrid yang tepat. | Pastikan tidak ada yang mengedit AWS ReservedOU. Itu harus berisi sumber daya yang AWS dikelola yang diperlukan. Hapus objek yang tidak sah atauGPOs, dan hubungi [Dukungan](https://console.aws.amazon.com/support/home#/)jika sumber daya yang diperlukan hilang. |
| AWS OUTes Cadangan | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Terjadi jika sumber daya AWS Cadangan yang ditemukan di AD yang dikelola sendiri dari penyiapan direktori hibrid sebelumnya masih ada. | Hapus direktori hybrid gagal yang ada dari konsol. Kemudian hapus semua yang AWS Dicadangkan OU dan terkait GPOs dari iklan yang dikelola sendiri sebelum melanjutkan. |
| BridgeheadTes Konteks Penamaan | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Terjadi jika replikasi AD yang dikelola sendiri antar situs yang menggunakan Bridgehead tidak berfungsi seperti yang diharapkan. Ini juga dapat terjadi jika konteks penamaan tidak disinkronkan antar situs. | bridgeheadSitus iklan yang dikelola sendiri harus berhasil. Anda dapat mendiagnosis lebih lanjut dengan: `repadmin /bridgeheads /verbose` Atasi masalah dari penilaian itu sebelum melanjutkan. |
| Tes Domain Anak | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Terjadi jika hutan AD yang dikelola sendiri berisi domain anak, yang tidak didukung dengan direktori AD AWS Microsoft Terkelola. | AWS Direktori Microsoft AD yang dikelola tidak mendukung domain anak. Anda harus menggunakan hutan domain tunggal untuk iklan yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Microsoft Active Directorypersyaratan domain](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| DcDiagUji | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Terjadi jika ada Microsoft DCDiag pengujian yang gagal pada AD yang dikelola sendiri. | AWS digunakan DCDiag untuk menguji AD yang dikelola sendiri. Jika ada kesalahan, Anda tidak dapat membuat direktori hybrid. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). |
| DNSTes Pertandingan IP | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Terjadi jika alamat DNS IP yang disediakan dari AD yang dikelola sendiri tidak cocok dengan alamat DNS IP pada pengontrol domain AD yang dikelola sendiri yang diaktifkan. AWS Systems Manager | Berikan alamat DNS IP yang benar. |
| DNSUji Pencocokan Nama | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Terjadi jika DNS nama yang diberikan untuk iklan yang dikelola sendiri tidak cocok dengan DNS nama pada pengontrol domain AD yang dikelola sendiri yang diaktifkan. AWS Systems Manager | Berikan DNS nama yang benar. |
| DNSTes Rekaman | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Terjadi jika Windows DNS catatan tidak disetel untuk tipe ANS,SOA,, SRV dan dapat ditanyakan. | DNSCatatan untuk Address (A), Namespace (NS), State of Authority (SOA), dan Service Record (SRV) harus disetel dan dapat ditanyakan. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). |
| Uji Tingkat Fungsional Hutan Domain | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Terjadi jika domain AD yang dikelola sendiri dan tingkat fungsional hutan Anda tidak memenuhi persyaratan minimum. | AD yang dikelola sendiri harus menggunakan Windows 2012 R2 atau tingkat 2016 fungsional. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). |
| Tes Kesehatan Domain | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Terjadi jika AD yang dikelola sendiri tidak memiliki jumlah pengontrol domain minimum yang diperlukan. | Pastikan AD yang dikelola sendiri memiliki setidaknya dua pengontrol domain yang diaktifkan. AWS Systems Manager Untuk informasi selengkapnya, lihat [Microsoft Active Directorypersyaratan domain](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| Uji Domain yang Ada | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Terjadi jika domain AD yang dikelola sendiri sudah bergabung dengan direktori hybrid yang ada. | Domain AD yang dikelola sendiri sudah bergabung dengan direktori hybrid yang ada. Setiap domain AD yang dikelola sendiri yang digabungkan dengan direktori hybrid harus unik Buat domain AD baru yang dikelola sendiri atau hapus dari konfigurasi direktori hybrid tempat mereka bergabung. |
| FSMOUji Konektivitas | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Terjadi jika FSMO peran,PDC Emulator, and/or RID Master IPs pada iklan yang dikelola sendiri tidak dapat dirutekan. | Pengontrol Domain Utama (PDC) harus dapat dirutekan setiap saat. Secara khusus, PDC Emulator dan RID Master IPs dari AD yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Microsoft Active Directorypersyaratan domain](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| FSMOUji Konektivitas | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Terjadi jika pengontrol domain AD yang dikelola sendiri tidak dapat mengakses peran AndaFSMO. | Peran Fleksibel Single Master Operation (FSMO) Anda dalam AD yang dikelola sendiri harus terhubung ke pengontrol domain AD yang dikelola sendiri. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| Tes Konflik IP | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Terjadi jika Rentang IP AD yang dikelola sendiri tumpang tindih dengan rentang AWS cadangan. | AD yang dikelola sendiri tidak dapat menggunakan rentang alamat IP yang tumpang tindih dengan rentang IP Cadangan AWS . Untuk informasi selengkapnya, lihat [Microsoft Active Directorypersyaratan domain](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| KerberosUji | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Terjadi jika tidak Kerberos dikonfigurasi dengan benar dan digunakan. | Kerberosharus diaktifkan pada iklan yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Dokumentasi Microsoft](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). |
| LDAPUji Konektivitas | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Terjadi jika LDAP tidak bekerja. | Protokol Akses Direktori Ringan (LDAP) harus diaktifkan dan berfungsi pada AD yang dikelola sendiri. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). |
| Tidak Baca Hanya Pengontrol Domain Untuk FSMO Pengujian | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Terjadi jika FSMO peran pengontrol domain AD yang dikelola sendiri adalahRODC. | Pengontrol domain untuk AD yang dikelola sendiri tidak boleh menggunakan peran Read-Only Domain Controller (RODC) Flexible Single Master Operation (FSMO). Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| Baca Hanya Uji Replikasi Kata Sandi Pengontrol Domain | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | Terjadi jika RODC memiliki izin untuk mereplikasi kata sandi Admin. | RODCUntuk iklan yang dikelola sendiri harus secara eksplisit ditolak izinnya untuk mereplikasi kata sandi Admin. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). |
| Baca Hanya Uji Pengontrol Domain | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Terjadi jika pengontrol domain AD yang dikelola sendiri dalam ReadOnlyDC mode. | AD yang dikelola sendiri harus berupa pengontrol domain baca-tulis. Untuk informasi selengkapnya tentang jenis pengontrol domain, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers). |
| Uji Konektivitas Port Jarak Jauh | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Terjadi jika port yang diperlukan pada AWS subnet Anda dan pengontrol domain AD yang dikelola sendiri tidak terbuka. | Pastikan semua port yang diperlukan terbuka antara AWS subnet Anda dan AD yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Persyaratan port jaringan](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports). |
| Uji Replikasi | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Terjadi jika replikasi pengontrol domain AD yang dikelola sendiri gagal. | Status replikasi pengontrol domain AD yang dikelola sendiri harus berhasil. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). |
| SMBV1Uji | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Terjadi jika AD yang dikelola sendiri saat ini digunakan SMBv1 untuk otentikasi. | SMBv1diketahui tidak aman dan harus dinonaktifkan pada iklan yang dikelola sendiri. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). |
| SSMUji Izin Pengguna | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Terjadi jika Windows pengguna yang digunakan oleh SSM memiliki hak istimewa yang tidak mencukupi. | Anda memerlukan izin Windows Administrator untuk agen Manajer AWS Sistem (SSM) di AD yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Akun AWS izin](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| SysvolUji Replikasi | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Terjadi jika AD yang dikelola sendiri tidak memiliki metode sysvol replikasi (DFSR) yang benar, dan jika ada yang DCs gagal selama peristiwa DFSR replikasi. | Metode sysvol replikasi AD yang dikelola sendiri (DFSR) harus berhasil. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). |
| GPOTes Tingkat Atas | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Terjadi jika AD yang dikelola sendiri memiliki Level Teratas yang GPOs ditetapkan sebagai Ditegakkan. | Pastikan domain AD yang dikelola sendiri Objek kebijakan grup Tingkat Atas (GPO) tidak disetel ke Ditegakkan. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). |
| Tes Jenis Kepercayaan | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Terjadi jika iklan yang dikelola sendiri memiliki jenis kepercayaan yang tidak didukung. | Upleveladalah satu-satunya jenis kepercayaan yang didukung dengan direktori hybrid. AD yang dikelola sendiri tidak dapat memiliki jenis kepercayaan berikut:DCE,MIT,Downlevel. Untuk informasi selengkapnya tentang jenis kepercayaan, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). |
| Uji Pengontrol Domain yang Valid | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Terjadi jika instans AD yang dikelola sendiri yang disediakan bukan pengontrol domain atau jika mereka sudah menjadi bagian dari direktori hybrid lain. | Menyediakan pengontrol domain AD yang dikelola sendiri yang unik untuk direktori hybrid ini. Coba lagi dengan direktori baru. Pastikan Anda telah menghapus direktori hybrid yang gagal dan semua yang ada AWS OU di AD yang dikelola sendiri. |
# Pesan peringatan Tes Penilaian
Tabel berikut menjelaskan pesan peringatan yang dapat terjadi selama tes penilaian. Peringatan ini mewakili rekomendasi untuk konfigurasi optimal tetapi tidak mencegah pengaturan direktori hybrid.
| Nama uji | Nama pendek | Kode peringatan | Pesan peringatan | Deskripsi | Resolusi |
| --- | --- | --- | --- | --- | --- |
| Tes Kesehatan Domain | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Terjadi jika ada akun pengguna di AD yang dikelola sendiri yang belum masuk untuk waktu yang lama dan dapat dianggap basi atau tidak aktif. | Bersihkan akun pengguna basi. |
| Uji Sumber Waktu Pengontrol Domain | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Terjadi jika AD yang dikelola sendiri memiliki pengaturan sumber waktu yang benar dan tidak ada kemiringan waktu yang besar jika dibandingkan dengan sumber waktu. AWS | Server waktu pengontrol domain utama Anda (PDC) diarahkan ke`169.254.169.123`. Pengontrol domain non-primer Anda harus diarahkan ke PDC sebagai sumbernya. Untuk informasi selengkapnya, lihat [Menjaga waktu dengan Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/). |
| Uji Ruang Bebas | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Terjadi jika Gabungan AD yang dikelola sendiri NTDS dan Sysvol penggunaan di atas kuota yang didukung. | AD yang dikelola sendiri harus memiliki ruang disk 24 GB untuk direktori hybrid. |
| FSMO RolesUji | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Terjadi jika peran FSMO (PDC Emulator dan RID Master) tidak termasuk di antara dua pengontrol domain yang disediakan saat Anda membuat direktori hybrid. | Direktori hybrid Anda harus memiliki peran FSMO (PDC Emulator dan RID Master) di antara dua pengontrol domain yang Anda berikan saat Anda membuat direktori hybrid. Untuk informasi selengkapnya, lihat [Cara melihat dan mentransfer FSMO peran](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). |
| SSPUji saluran S | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Terjadi jika AD yang dikelola sendiri tidak menggunakan TLS1.2 dan AES256 enkripsi. | AD yang dikelola sendiri harus digunakan TLS 1.2 dan AES256 untuk direktori hybrid. |
| Uji Korupsi Disk | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Terjadi jika ada kerusakan disk pada iklan yang dikelola sendiri. | Disk AD yang dikelola sendiri tidak boleh rusak. |
| Domain Controller Uji Spesifikasi | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Terjadi jika pengontrol domain AD yang dikelola sendiri tidak memenuhi spesifikasi yang diperlukan. | Pengontrol domain AD yang dikelola sendiri harus memiliki setidaknya 7 GB RAM dan 2 core CPU untuk direktori hybrid. |
| DllUji Plugin Tingkat Server | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Terjadi jika ServerLevelPluginDll disetel pada pengontrol domain AD yang dikelola sendiri. | Pengontrol domain AD yang dikelola sendiri seharusnya ServerLevelPluginDII tidak dikonfigurasi. |
| Izinkan Tes NT4 Crypto | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Terjadi jika AD yang dikelola sendiri memungkinkan NT4 Kriptografi. | AD yang dikelola sendiri tidak boleh menggunakan NT4 Kriptografi. Untuk informasi lebih lanjut, lihat Microsoft dokumentasi. |
| Tes Pengguna Admin Yatim | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Terjadi jika pengguna admin yatim piatu ada di iklan yang dikelola sendiri. | Hapus pengguna yatim piatu di iklan yang dikelola sendiri sebelum melanjutkan. |
| Tes Hitungan Pengguna Istimewa | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Terjadi jika jumlah total Admin Bawaan, Admin Domain, dan Admin Perusahaan pada iklan yang dikelola sendiri lebih besar dari 5. | Lingkungan iklan yang dikelola sendiri tidak boleh memiliki beberapa akun istimewa. Anda harus menghapus akun admin yang berlebihan sebelum melanjutkan. |
| Tes Hitungan Pengguna Istimewa | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Terjadi jika jumlah total Admin Bawaan, Admin Domain, dan Admin Perusahaan pada iklan yang dikelola sendiri lebih besar dari 5. | Lingkungan iklan yang dikelola sendiri tidak boleh memiliki beberapa akun istimewa. Anda harus menghapus akun admin yang berlebihan sebelum melanjutkan. |
| Tes Hitungan Pengguna Istimewa | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Terjadi jika jumlah total Admin Bawaan, Admin Domain, dan Admin Perusahaan pada iklan yang dikelola sendiri lebih besar dari 5. | Lingkungan iklan yang dikelola sendiri tidak boleh memiliki beberapa akun istimewa. Anda harus menghapus akun admin yang berlebihan sebelum melanjutkan. |
| NTLMUji | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Terjadi jika NTLMv1 diaktifkan untuk otentikasi pada iklan yang dikelola sendiri. | NT LAN Managerversi 1 (NTLMv1) memiliki kerentanan keamanan yang diketahui dan tidak boleh digunakan. NTLMv1Nonaktifkan iklan yang dikelola sendiri. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). |
| Tes Seumur Hidup Tombstone | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Terjadi jika masa pakai Tombstone pada AD yang dikelola sendiri lebih dari 180 hari. | Masa pakai Tombstone adalah jumlah hari sebelum objek yang dihapus dihapus. AD Nilai seumur hidup Tombstone untuk AD yang dikelola sendiri harus 180 hari atau kurang. Untuk informasi lebih lanjut, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |