Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione dei problemi relativi alla directory ibrida e alla valutazione delle directory
È necessaria una valutazione della directory per creare una directory ibrida. I test di valutazione vengono eseguiti su ogni controller di dominio. I test di valutazione esaminano diverse aree e restituiscono lo stato Superato o Fallito. Se la valutazione della directory ha esito negativo, è possibile visualizzare i test di valutazione dei controller di dominio per identificare i problemi che hanno causato l'errore.
**Importante**
È possibile creare una directory ibrida quando lo stato della valutazione della directory viene superato con un avviso. Si consiglia di risolvere il problema che causa l'avviso prima di creare una directory ibrida
**Topics**
+ [
## Risoluzione dei problemi di valutazione della directory ibrida non riuscita
](#hybrid_directory_troubleshooting_steps)
+ [
# Errori di stato della directory
](hybrid_directory_status_errors.md)
+ [
# Messaggi di errore di valutazione della directory
](da-error-msgs.md)
+ [
# Messaggi di errore del test di valutazione
](assessment_test_error-msgs.md)
+ [
# Messaggi di avviso relativi al test di valutazione
](assessment_test_warning-msgs.md)
## Risoluzione dei problemi di valutazione della directory ibrida non riuscita
È possibile risolvere i problemi relativi a una valutazione delle directory non riuscita dalla pagina **Directory** di. Console di gestione AWS
1. Accedi a Console di gestione AWS e apri la console all' Directory Service indirizzo. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)
1. Nella sezione **Directory assessment**, seleziona la valutazione della directory ibrida non riuscita.
1. Nella pagina **Dettagli della valutazione**, esamina la valutazione della directory e identifica quali test non sono riusciti.
1. I test di valutazione del controller di dominio conterranno ulteriori informazioni su quali test hanno avuto esito positivo o negativo. La colonna **Stato** fornisce ulteriori dettagli sulla causa del fallimento del test. Per visualizzare i test di valutazione del controller di dominio, consulta[Visualizzazione delle valutazioni delle directory](viewing_hybrid_dir_assessment.md).
1. Risolvi i problemi che causano gli errori su Active Directory autogestito o AWS Microsoft AD gestito. Per ulteriori informazioni, consulta [Messaggi di errore di valutazione della directory](da-error-msgs.md) e [Messaggi di errore del test di valutazione](assessment_test_error-msgs.md).
1. Torna alla valutazione non riuscita nella Directory Service console. Scegli **Crea valutazione** nel messaggio di avviso rosso. [Creazione di una directory ibrida con AD autogestito](hybrid_directory_create.md#creating_hybrid_directory)Per ulteriori informazioni sulla creazione di una valutazione della directory, consulta.
# Errori di stato della directory
Directory Service le directory possono presentare diversi stati che indicano diversi tipi di problemi. La comprensione di questi stati consente di determinare i passaggi appropriati per la risoluzione dei problemi.
**Tipi di stato delle directory**
| Status | Description | Operazione richiesta |
| --- | --- | --- |
| Attivo | La creazione della directory è stata completata correttamente e funziona normalmente. | Nessuna operazione necessaria. |
| Impaired (Insufficiente) | La directory è stata creata correttamente, ma il controller di dominio ha riscontrato dei problemi in seguito. Il sistema tenta il ripristino automatico. | Monitora lo stato della directory. Se il problema persiste, contatta l' AWS assistenza. |
| Non riuscito | La creazione della directory non è riuscita ed è irreversibile. | Eliminare la directory danneggiata e crearne una nuova. |
| Non utilizzabile (solo Hybrid AD) | AWS ha rilevato un problema di sicurezza e ha isolato automaticamente la directory per motivi di protezione. La directory diventa completamente inutilizzabile fino al ripristino. | Contatta immediatamente il [Supporto AWS Centro di](https://console.aws.amazon.com/support/home#/) contatto. Questo stato richiede un Supporto intervento per esaminare e ripristinare la directory. |
# Messaggi di errore di valutazione della directory
Per creare una directory ibrida, è necessaria una valutazione della directory superata. Le valutazioni delle directory possono avere esito negativo per vari motivi.
La tabella seguente mostra i messaggi di errore di valutazione delle directory e come risolverli.
**Messaggi e risoluzioni di errore di valutazione delle directory**
| Messaggio di errore di valutazione della directory | Risoluzione |
| --- | --- |
| Questa valutazione non ha superato diversi test su entrambe le istanze gestite. Analizza i test non riusciti selezionando ogni istanza gestita e risolvendoli nella directory locale. Quindi, crea una nuova valutazione. | Uno o più test di valutazione della directory non sono riusciti per il tuo AD autogestito. Consulta la [Messaggi di errore del test di valutazione](assessment_test_error-msgs.md) pagina per ulteriori informazioni sugli errori di test specifici e sulle relative risoluzioni. |
| Questa valutazione non è riuscita a causa dell'eccezione del servizio interno. Riprova creando una nuova valutazione o contatta il servizio per la risoluzione dei problemi. | Prova a creare una nuova valutazione della directory. Se continui a riscontrare questo errore, contatta [Supporto](https://aws.amazon.com/premiumsupport/). |
| Questa valutazione non è riuscita a causa della mancanza dell'autorizzazione a eseguire un'azione come `ec2:CreateSecurityGroup` `ec2:DeleteSecurityGroup``ec2:CreateNetworkInterface`,`ec2:DeleteNetworkInterface`,`ec2:DescribeSubnets`, e`ec2:DescribeNetworkInterface`. | Per creare una valutazione dell'elenco, è necessario disporre del necessario[Account AWS autorizzazioni](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). Account AWS |
| Questa valutazione non è riuscita a causa della mancanza dell'autorizzazione a eseguire un'azione come `ssm:GetConnectionStatus``ssm:GetCommandInvocation`,,`ssm:ListCommands`,`ssm:SendCommand`. | Per creare una valutazione delle directory, sono necessari due nodi Systems Manager con il necessario[Account AWS autorizzazioni](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| Questa valutazione non è riuscita perché è stato raggiunto il limite del numero di interfacce di rete che è possibile creare. Per ulteriori informazioni, consulta la pagina relativa alle [quote di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Per creare una valutazione delle directory, è necessario creare un'interfaccia di rete e gruppi di sicurezza. Esistono dei limiti al numero di risorse VPC che puoi creare, tuttavia puoi modificare alcuni di questi limiti. Per ulteriori informazioni, consulta la pagina relativa alle [quote di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| Questa valutazione non è riuscita perché è stato raggiunto il limite del numero di gruppi di sicurezza che è possibile creare o assegnare a un'istanza. Per ulteriori informazioni, consulta la pagina relativa alle [quote di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Per creare una valutazione delle directory, è necessario creare un'interfaccia di rete e gruppi di sicurezza. Esistono dei limiti al numero di risorse VPC che puoi creare, tuttavia puoi modificare alcuni di questi limiti. Per ulteriori informazioni, consulta la pagina relativa alle [quote di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll). |
| Questa valutazione non è riuscita. Impossibile connettersi alle istanze del cliente da AWS Systems Manager. | Per creare una valutazione della directory, sono necessari due AWS Systems Manager nodi con uno stato di connessione. Vedi [Risoluzione dei problemi dell'agente SSM.](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html) |
| Questa valutazione non ha superato diversi test critici. Analizza i test non riusciti selezionando ogni istanza gestita e risolvili nella directory locale. Quindi, crea una nuova valutazione. | Uno o più test di valutazione della directory non sono riusciti per il tuo AD autogestito. Consulta il [Messaggi di errore del test di valutazione](assessment_test_error-msgs.md) per ulteriori informazioni. |
# Messaggi di errore del test di valutazione
La tabella seguente descrive i messaggi di errore che possono verificarsi durante i test di valutazione. Questi errori indicano problemi di blocco che devono essere risolti prima di procedere con la configurazione della directory ibrida.
| Nome del test | Nome breve | Codice di errore | Messaggio di errore | Description | Risoluzione |
| --- | --- | --- | --- | --- | --- |
| Active Directory ServicesTest | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Si verifica se AD i servizi richiesti non sono in esecuzione nell'AD autogestito. | ADI servizi specifici richiesti devono essere in esecuzione nell'AD autogestito. Per ulteriori informazioni, consulta [Servizi Active Directory richiesti](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). |
| Active Directory ServicesTest | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Assicurati che i controller di dominio AD autogestiti siano operativi e raggiungibili. Verifica la connettività e la DNS risoluzione di rete per i controller di dominio AD autogestiti. |
| ADTest della politica in materia di password | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Si verifica se la politica di gestione automatica delle password di AD non soddisfa i requisiti di AWS Managed Microsoft AD. | La politica di gestione automatica delle password di AD deve soddisfare i requisiti relativi alle password di AWS Managed Microsoft AD. Per ulteriori informazioni, vedere [Understanding AWS Managed Microsoft AD Password Policy](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). |
| AWS Test di esistenza degli utenti amministratori | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Si verifica se l'utente amministratore della directory ibrida non esiste nel file AWS Reserved OU on your AD autogestito. | Assicurati che l'utente amministratore della directory ibrida esista nella cartella AWS OU Riservata del tuo AD autogestito. Se l'utente non è presente, verifica che l'account sia stato creato correttamente durante il processo di configurazione della directory ibrida. [Aggiornamento di una directory ibrida](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Se lo stato della directory ibrida non è utilizzabile, contatta. [Supporto](https://console.aws.amazon.com/support/home#/) |
| AWS Test per utenti amministrativi SPN | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Si verifica se l'utente amministratore della directory ibrida ne ha SPNs configurato uno sull'AD autogestito. | Rimuove tutti i Service Principal Names (SPNs) dall'account utente dell'amministratore della directory AWS ibrida. L'utente amministratore della directory ibrida non deve averne SPNs configurato nessuno perché può interferire con l'autenticazione della directory ibrida. |
| AWS Test del controller di dominio non FSMO del proprietario | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Si verifica se sono stati trasferiti FSMO ruoli (PDC EmulatorRID Master, oInfrastructure Master) dall'AD autogestito al controller di dominio della directory ibrida. | Trasferisci nuovamente tutti i FSMO ruoli (PDC Emulator,RID Master,Infrastructure Master) ai controller di dominio AD autogestiti prima di procedere. Per ulteriori informazioni, consulta la [Microsoftdocumentazione sul](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles) trasferimento dei ruoli. FSMO |
| AWS Test di appartenenza a un gruppo riservato | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Si verifica se l'opzione AWS OU Riservata sul tuo AD autogestito non esiste. | L'elemento AWS Riservato OU deve esistere nel tuo AD autogestito per convalidare l'appartenenza al gruppo. Contattare [Supporto](https://console.aws.amazon.com/support/home#/). |
| AWS Test di iscrizione al gruppo riservato | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Si verifica se i gruppi presenti nell' AWS area OU Riservata di AD autogestita contengono utenti non autorizzati. | Rimuovi tutti gli utenti non autorizzati dai OU gruppi AWS riservati sul tuo AD autogestito. |
| AWS Test riservato OU ACLs | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Si verifica se le impostazioni AWS riservate OU ACLs su AD autogestite non impongono autorizzazioni di sola lettura per le entità non gestite AWS e non impediscono l'accesso non autorizzato alle risorse gestite. AWS | Rivedi e correggi le autorizzazioni relative all'area Riservata del tuo AD autogestito. AWS OU ACLs Assicurati che le persone non AWS giuridiche dispongano solo delle autorizzazioni di lettura (`ListChildren`,,,`ReadProperty`, `ListObject` `ReadControl``GenericRead`,`Synchronize`) e rimuovi le autorizzazioni eccessive. |
| AWS Test delle associazioni riservate OU GPO | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Si verifica se i controller AWS OU riservati OU e di dominio dell'AD autogestito sono collegati a siti non autorizzati. GPOs | (A questi possono essere collegati solo gli oggetti di policy di gruppo AWS gestiti (GPOs). OUs Rimuovi tutti i GPOs collegamenti non autorizzati ai controller AWS OU riservati OU e di dominio dal tuo AD autogestito. |
| AWS Test delle risorse riservate OU | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Si verifica se l' AWS elemento Riservato OU non esiste nell'AD autogestito, necessario per la funzionalità della directory AWS Managed Microsoft AD. | Il file AWS Reserved OU deve essere creato automaticamente durante la configurazione della directory ibrida e non deve essere eliminato. Se l'errore persiste, contatta [Supporto](https://console.aws.amazon.com/support/home#/). |
| AWS Test OU delle risorse riservate | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Si verifica se il AWS Reserved OU creato nell'AD autogestito non contiene gli oggetti richiesti e GPOs consente il corretto funzionamento della directory ibrida. | Assicurati che nessuno modifichi il Reserved. AWS OU Deve contenere le risorse AWS gestite richieste. Rimuovi eventuali oggetti non autorizzati oppure GPOs contatta [Supporto](https://console.aws.amazon.com/support/home#/)se mancano le risorse necessarie. |
| AWS Test riservato OU | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Si verifica se esistono ancora risorse AWS riservate presenti nell'AD autogestito da una precedente configurazione di directory ibrida. | Elimina la directory ibrida esistente con errore dalla console. Quindi elimina tutte le informazioni AWS riservate OU e correlate GPOs dal tuo AD autogestito prima di procedere. |
| BridgeheadTest del contesto di denominazione | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Si verifica se la replica AD autogestita tra siti utilizzati non Bridgehead funziona come previsto. Può verificarsi anche se i contesti di denominazione non sono sincronizzati tra i siti. | Il bridgehead sito AD autogestito deve avere successo. Puoi diagnosticare ulteriormente con:. `repadmin /bridgeheads /verbose` Risolvi i problemi di tale valutazione prima di continuare. |
| Child Domain Test | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Si verifica se la foresta AD autogestita contiene domini figlio, che non sono supportati con le directory gestite di AWS Microsoft AD. | AWS Le directory Microsoft AD gestite non supportano i domini secondari. È necessario utilizzare una foresta a dominio singolo per l'AD autogestito. Per ulteriori informazioni, consulta [Microsoft Active Directoryrequisiti del dominio](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| DcDiagTest | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Si verifica se un Microsoft DCDiag test dell'AD autogestito ha esito negativo. | AWS viene utilizzato DCDiag per testare l'AD autogestito. In caso di errori, non è possibile creare una directory ibrida. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). |
| DNSTest IP Match | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Si verifica se gli indirizzi DNS IP forniti dell'AD autogestito non corrispondono agli indirizzi DNS IP dei controller di dominio AD autogestiti abilitati con. AWS Systems Manager | Fornisci gli indirizzi IP correttiDNS. |
| DNSTest di corrispondenza dei nomi | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Si verifica se il DNS nome fornito per l'AD autogestito non corrisponde al DNS nome sui controller di dominio AD autogestiti abilitati con. AWS Systems Manager | Fornisci il nome corretto. DNS |
| DNSTest dei record | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Si verifica se Windows DNS i record non sono impostati per il tipo A NSSOA,, SRV e possono essere interrogati. | I DNS record per Address (A), Namespace (NS), State of Authority (SOA) e Service Record (SRV) devono essere impostati e possono essere interrogati. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). |
| Test del livello funzionale di Domain Forest | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Si verifica se i livelli di funzionalità del dominio AD e della foresta autogestiti non soddisfano i requisiti minimi. | L'AD autogestito deve utilizzare il nostro Windows 2012 R2 livello 2016 funzionale. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). |
| Domain Health Tests | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Si verifica se l'AD autogestito non dispone del numero minimo richiesto di controller di dominio. | Assicurati che il tuo AD autogestito abbia almeno due controller di dominio abilitati con. AWS Systems Manager Per ulteriori informazioni, consulta [Microsoft Active Directoryrequisiti del dominio](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| Test del dominio esistente | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Si verifica se il dominio AD autogestito è già aggiunto a una directory ibrida esistente. | Il dominio AD autogestito è già aggiunto a una directory ibrida esistente. Ogni dominio AD autogestito unito a una directory ibrida deve essere unico. Crea un nuovo dominio AD autogestito o rimuovilo dalla configurazione di directory ibrida a cui è aggiunto. |
| FSMOTest di connettività | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Si verifica se FSMO i ruoliPDC Emulator, and/or RID Master IPs nell'AD autogestito non sono instradabili. | Il controller di dominio primario (PDC) deve essere instradabile in qualsiasi momento. In particolare, la fine RID Master IPs del PDC Emulator tuo AD autogestito. Per ulteriori informazioni, consulta [Microsoft Active Directoryrequisiti del dominio](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| FSMOTest di connettività | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Si verifica se i controller di dominio AD autogestiti non riescono ad accedere ai ruoli dell'utenteFSMO. | Il ruolo Flexible Single Master Operation (FSMO) nell'AD autogestito deve essere collegato ai controller di dominio AD autogestiti. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| Test di conflitto IP | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Si verifica se gli intervalli IP AD autogestiti si sovrappongono agli intervalli AWS riservati. | L'AD autogestito non può utilizzare un intervallo di indirizzi IP che si sovrappone agli intervalli IP riservati. AWS Per ulteriori informazioni, consulta [Microsoft Active Directoryrequisiti del dominio](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| KerberosTest | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Si verifica se non Kerberos è configurato correttamente e in uso. | Kerberosdeve essere abilitato sul tuo AD autogestito. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). |
| LDAPTest di connettività | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Si verifica se LDAP non funziona. | Lightweight Directory Access Protocol (LDAP) deve essere abilitato e funzionante su un AD autogestito. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). |
| Controller di dominio non di sola lettura da testare FSMO | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Si verifica se il FSMO ruolo di controller di dominio AD autogestito èRODC. | Il controller di dominio per l'AD autogestito non deve utilizzare un ruolo Flexible Single Master Operation (RODC) di tipo Controller di dominio in sola lettura (). FSMO Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| Test di replica delle password del controller di dominio di sola lettura | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | Si verifica se RODC dispone dell'autorizzazione a replicare le password degli amministratori. | All'RODCAD autogestito deve essere esplicitamente negata l'autorizzazione a replicare le password di amministratore. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). |
| Test del controller di dominio in sola lettura | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Si verifica se i controller di dominio AD autogestiti sono in ReadOnlyDC modalità. | I tuoi AD autogestiti devono essere controller di dominio di lettura-scrittura. [Per ulteriori informazioni sui tipi di controller di dominio, consulta la documentazione. Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers) |
| Test di connettività delle porte remote | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Si verifica se le porte richieste sulla AWS sottorete e il controller di dominio AD autogestito non sono aperti. | Assicurati che tutte le porte richieste siano aperte tra la AWS sottorete e l'AD autogestito. Per ulteriori informazioni, consulta [Requisiti delle porte di rete](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports). |
| Test di replica | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Si verifica se la replica dei controller di dominio AD autogestiti non è riuscita. | Lo stato di replica dei controller di dominio AD autogestiti deve avere esito positivo. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). |
| SMBV1Test | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Si verifica se AD autogestito viene attualmente utilizzato SMBv1 per l'autenticazione. | SMBv1è noto per non essere sicuro e deve essere disabilitato nell'AD autogestito. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). |
| SSMTest delle autorizzazioni utente | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Si verifica se Windows l'utente utilizzato da non SSM dispone di privilegi sufficienti. | Avrai bisogno delle autorizzazioni di Windows amministratore per gli agenti di AWS System Manager (SSM) sul tuo AD autogestito. Per ulteriori informazioni, consulta [Account AWS autorizzazioni](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| SysvolTest di replica | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Si verifica se l'AD autogestito non utilizza il metodo di sysvol replica corretto (DFSR) e se uno di essi DCs non è riuscito durante l'DFSRevento di replica. | Il metodo di sysvol replica AD autogestito () DFSR deve avere esito positivo. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). |
| Test di primo livello GPO | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Si verifica se l'AD autogestito ha Top Level GPOs impostato su Enforced. | Assicurati che l'oggetto dei criteri di gruppo di primo livello del dominio AD autogestito (GPO) non sia impostato su Enforced. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). |
| Test dei tipi di fiducia | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Si verifica se l'AD autogestito include tipi di trust non supportati. | Uplevelè l'unico tipo di trust supportato dalla directory ibrida. Il tuo AD autogestito non può avere i seguenti tipi di trust:DCE,MIT,Downlevel. Per ulteriori informazioni sui tipi di trust, consulta [Microsoftla documentazione](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). |
| Test valido del controller di dominio | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Si verifica se le istanze AD autogestite fornite non sono controller di dominio o se fanno già parte di un'altra directory ibrida. | Fornisci controller di dominio AD autogestiti esclusivi per questa directory ibrida. Riprova con una nuova directory. Assicurati di aver eliminato la directory ibrida in cui si è verificato l'errore e tutte le cartelle presenti AWS OU nell'AD autogestito. |
# Messaggi di avviso relativi al test di valutazione
La tabella seguente descrive i messaggi di avviso che possono verificarsi durante i test di valutazione. Questi avvisi rappresentano consigli per una configurazione ottimale ma non impediscono la configurazione della directory ibrida.
| Nome del test | Nome breve | Codice di avviso | Messaggio di avviso | Description | Risoluzione |
| --- | --- | --- | --- | --- | --- |
| Domain Health Tests | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Si verifica se nell'AD autogestito sono presenti account utente che non hanno effettuato l'accesso per un periodo prolungato e che possono essere considerati obsoleti o inattivi. | Pulisci gli account utente obsoleti. |
| Test Time Source del controller di dominio | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Si verifica se l'AD autogestito ha la corretta configurazione dell'origine temporale e se non vi è una grande asimmetria temporale rispetto a un' AWS origine temporale. | Il server orario del controller di dominio principale (PDC) è indirizzato a. `169.254.169.123` I controller di dominio non primari devono essere indicati PDC come origine. Per ulteriori informazioni, consulta [Keeping time with. Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/) |
| Test dello spazio libero | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Si verifica se AD Combined autogestito NTDS e Sysvol l'utilizzo superano la quota supportata. | L'AD autogestito deve disporre di 24 GB di spazio su disco per le directory ibride. |
| FSMO RolesTest | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Si verifica se i ruoli FSMO (PDC Emulator e RID Master) non sono tra i due controller di dominio forniti quando si crea una directory ibrida. | La directory ibrida deve avere entrambi i ruoli FSMO (PDC Emulator e RID Master) tra i due controller di dominio forniti quando si crea una directory ibrida. Per ulteriori informazioni, consulta [Come visualizzare e trasferire i](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles) ruoli. FSMO |
| SSPTest del canale S. | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Si verifica se un AD autogestito non utilizza TLS1.2 la AES256 crittografia. | L'AD autogestito deve utilizzare TLS 1.2 e AES256 per le directory ibride. |
| Test di danneggiamento del disco | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Si verifica in caso di danneggiamento del disco nell'AD autogestito. | I dischi AD autogestiti non devono essere danneggiati. |
| Test delle specifiche del controller di dominio | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Si verifica se i controller di dominio AD autogestiti non soddisfano le specifiche richieste. | I controller di dominio AD autogestiti devono avere almeno 7 GB di RAM e 2 core CPU per la directory ibrida. |
| Test del plug-in a livello di server Dll | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Si verifica se ServerLevelPluginDll è impostato sui controller di dominio AD autogestiti. | I controller di dominio AD autogestiti non avrebbero dovuto essere configurati. ServerLevelPluginDII |
| Consenti NT4 Crypto Test | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Si verifica se AD autogestito consente la NT4 crittografia. | L'AD autogestito non deve utilizzare la crittografia. NT4 Per ulteriori informazioni, consultare la documentazione di Microsoft. |
| Test per utenti amministratori orfani | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Si verifica se esistono utenti amministratori orfani nel tuo AD autogestito. | Rimuovi gli utenti orfani dal tuo AD autogestito prima di continuare. |
| Test del conteggio degli utenti privilegiati | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Si verifica se il conteggio totale degli amministratori integrati, degli amministratori di dominio e degli amministratori aziendali del sistema AD a autogestito è superiore a 5. | L'ambiente AD autogestito non dovrebbe avere più account privilegiati. È necessario rimuovere un numero eccessivo di account di amministrazione prima di continuare. |
| Test del conteggio degli utenti privilegiati | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Si verifica se il conteggio totale degli amministratori integrati, degli amministratori di dominio e degli amministratori aziendali del sistema AD a autogestito è superiore a 5. | L'ambiente AD autogestito non dovrebbe avere più account privilegiati. È necessario rimuovere un numero eccessivo di account di amministrazione prima di continuare. |
| Test del conteggio degli utenti privilegiati | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Si verifica se il conteggio totale degli amministratori integrati, degli amministratori di dominio e degli amministratori aziendali del sistema AD a autogestito è superiore a 5. | L'ambiente AD autogestito non dovrebbe avere più account privilegiati. È necessario rimuovere un numero eccessivo di account di amministrazione prima di continuare. |
| NTLMTest | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Si verifica se NTLMv1 è abilitata l'autenticazione sul tuo AD autogestito. | NT LAN Managerla versione 1 (NTLMv1) presenta vulnerabilità di sicurezza note e non deve essere utilizzata. NTLMv1Disabilitalo sul tuo AD autogestito. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). |
| Tombstone Lifetime Test | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Si verifica se la durata di vita di Tombstone sul tuo AD autogestito è superiore a 180 giorni. | La durata di Tombstone è il numero di giorni prima che un oggetto eliminato venga rimosso da. AD La durata di vita di Tombstone per il tuo AD autogestito dovrebbe essere pari o inferiore a 180 giorni. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |