기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 하이브리드 디렉터리 및 디렉터리 평가 문제 해결
하이브리드 디렉터리를 생성하려면 디렉터리 평가를 수행해야 합니다. 평가 테스트는 각 도메인 컨트롤러에서 실행합니다. 평가 테스트는 다양한 영역을 검사하며, 그 결과는 통과 또는 실패 상태로 나타납니다. 디렉터리 평가에 실패하면 도메인 컨트롤러의 평가 테스트를 확인하여 실패의 원인이 된 문제를 식별할 수 있습니다.
**중요**
디렉터리 평가 상태가 경고와 함께 통과인 경우 하이브리드 디렉터리를 생성할 수 있습니다. 하이브리드 디렉터리를 생성하기 전에 경고를 유발하는 문제를 해결하는 것이 좋습니다.
**Topics**
+ [실패한 하이브리드 디렉터리 평가 문제 해결](#hybrid_directory_troubleshooting_steps)
+ [디렉터리 상태 오류](hybrid_directory_status_errors.md)
+ [디렉터리 평가 오류 메시지](da-error-msgs.md)
+ [평가 테스트 오류 메시지](assessment_test_error-msgs.md)
+ [평가 테스트 경고 메시지](assessment_test_warning-msgs.md)
## 실패한 하이브리드 디렉터리 평가 문제 해결
AWS Management Console의 **디렉터리** 페이지에서 실패한 디렉터리 평가 문제를 해결할 수 있습니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) Directory Service 콘솔을 엽니다.
1. **디렉터리 평가** 섹션에서 실패한 하이브리드 디렉터리 평가를 선택합니다.
1. **평가 세부 정보** 페이지에서 디렉터리 평가를 검토하고 실패한 테스트를 식별합니다.
1. 도메인 컨트롤러의 평가 테스트에는 성공 또는 실패한 테스트에 대한 자세한 정보가 있습니다. **상태** 열은 테스트 실패 원인에 대한 자세한 내용을 제공합니다. 도메인 컨트롤러의 평가 테스트를 보려면 [디렉터리 평가 보기](viewing_hybrid_dir_assessment.md)를 참조하세요.
1. 자체 관리형 Active Directory 또는 AWS Managed Microsoft AD에서 실패를 일으키는 문제를 해결합니다. 자세한 내용은 [디렉터리 평가 오류 메시지](da-error-msgs.md) 및 [평가 테스트 오류 메시지](assessment_test_error-msgs.md) 섹션을 참조하세요.
1. Directory Service 콘솔에서 실패한 평가로 돌아갑니다. 빨간색 경고 메시지에서 **평가 생성**을 선택합니다. 디렉터리 평가 생성에 대한 자세한 내용은 [자체 관리형 AD를 사용하여 하이브리드 디렉터리 생성](hybrid_directory_create.md#creating_hybrid_directory)를 참조하세요.
# 디렉터리 상태 오류
Directory Service 디렉터리에는 다양한 유형의 문제를 나타내는 다양한 상태가 발생할 수 있습니다. 이러한 상태를 이해하면 적절한 문제 해결 단계를 결정하는 데 도움이 됩니다.
**디렉터리 상태 유형**
| Status | 설명 | 필요 작업 |
| --- | --- | --- |
| 활성 | 디렉터리 생성이 성공적으로 완료되었으며 정상적으로 작동합니다. | 작업이 필요하지 않습니다. |
| [Impaired] | 디렉터리가 성공적으로 생성되었지만 이후 도메인 컨트롤러에 문제가 발생했습니다. 시스템에서 자동 복구를 시도합니다. | 디렉터리 상태를 모니터링합니다. 문제가 지속되면 AWS Support에 문의하십시오. |
| 실패 | 디렉터리 생성에 실패하여 복구할 수 없습니다. | 실패한 디렉터리를 삭제하고 새로 생성합니다. |
| 작동 불가(하이브리드 AD만 해당) | AWS 에서 보안 문제를 감지하고 보호를 위해 디렉터리를 자동으로 격리했습니다. 디렉터리는 복원될 때까지 완전히 사용할 수 없게 됩니다. | 즉시 [AWS Support 센터에](https://console.aws.amazon.com/support/home#/) 문의하세요. 디렉터리를 조사하고 복원하려면이 상태에 지원 개입이 필요합니다. |
# 디렉터리 평가 오류 메시지
하이브리드 디렉터리를 생성하려면 디렉터리 평가에 통과해야 합니다. 디렉터리 평가는 다양한 이유로 실패할 수 있습니다.
다음 표에는 디렉터리 평가 오류 메시지와 이를 해결하는 방법이 나와 있습니다.
**디렉터리 평가 오류 메시지 및 해결 방법**
| 디렉터리 평가 오류 메시지 | 해결 방법 |
| --- | --- |
| 이 평가는 두 관리형 인스턴스 모두에 대한 여러 테스트에 실패했습니다. 각 관리형 인스턴스를 선택하여 실패한 테스트를 조사하고 온프레미스 디렉터리에서 해결합니다. 그런 다음 새 평가를 생성합니다. | 자체 관리형 AD에 대한 디렉터리 평가 테스트 중 하나 이상이 실패했습니다. 특정 테스트 실패 및 해결 방법에 대한 자세한 내용은 [평가 테스트 오류 메시지](assessment_test_error-msgs.md)를 검토하세요. |
| 이 평가는 내부 서비스 예외로 인해 실패했습니다. 새 평가를 생성하여 다시 시도하거나 문제 해결을 위해 서비스에 문의하세요. | 새 디렉터리 평가를 생성하세요. 그래도 이 오류가 지속되면 [지원](https://aws.amazon.com/premiumsupport/)에 문의하세요. |
| 이 평가는 `ec2:CreateSecurityGroup`, `ec2:DeleteSecurityGroup`, `ec2:CreateNetworkInterface`, `ec2:DeleteNetworkInterface`, `ec2:DescribeSubnets`, `ec2:DescribeNetworkInterface` 등의 작업을 수행할 수 있는 권한이 누락되어 실패했습니다. | 디렉터리 평가를 생성하려면에 필요한이 AWS 계정 필요합니다[AWS 계정 권한](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| 이 평가는 `ssm:GetConnectionStatus`, `ssm:GetCommandInvocation`, `ssm:ListCommands`, `ssm:SendCommand` 등의 작업을 수행할 수 있는 권한이 누락되어 실패했습니다. | 디렉터리 평가를 생성하려면 필요한 [AWS 계정 권한](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)이 있는 두 개의 Systems Manager 노드가 필요합니다. |
| 이 평가는 생성할 수 있는 네트워크 인터페이스 수 제한에 도달하여 실패했습니다. 자세한 내용은 [Amazon VPC할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)을 참조하세요. | 디렉터리 평가를 생성하려면 네트워크 인터페이스와 보안 그룹을 생성해야 합니다. 생성할 수 있는 VPC 리소스 수에는 제한이 있지만 이러한 제한 중 일부를 조정할 수 있습니다. 자세한 내용은 [Amazon VPC할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)을 참조하세요. |
| 이 평가는 생성하거나 인스턴스에 할당할 수 있는 보안 그룹 수 제한에 도달하여 실패했습니다. 자세한 내용은 [Amazon VPC할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)을 참조하세요. | 디렉터리 평가를 생성하려면 네트워크 인터페이스와 보안 그룹을 생성해야 합니다. 생성할 수 있는 VPC 리소스 수에는 제한이 있지만 이러한 제한 중 일부를 조정할 수 있습니다. 자세한 내용은 [Amazon VPC할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll)을 참조하세요. |
| 이 평가는 실패했습니다. 에서 고객 인스턴스에 연결할 수 없습니다 AWS Systems Manager. | 디렉터리 평가를 생성하려면 연결된 상태의 AWS Systems Manager 노드 2개가 필요합니다. [SSM 에이전트 문제 해결](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)을 확인하세요. |
| 이 평가는 여러 중요 테스트에 실패했습니다. 각 관리형 인스턴스를 선택하여 실패한 테스트를 조사하고 온프레미스 디렉터리에서 해결합니다. 그런 다음 새 평가를 생성합니다. | 자체 관리형 AD에 대한 디렉터리 평가 테스트 중 하나 이상이 실패했습니다. 자세한 내용은 [평가 테스트 오류 메시지](assessment_test_error-msgs.md)를 검토하세요. |
# 평가 테스트 오류 메시지
다음 표는 평가 테스트 중에 발생할 수 있는 오류 메시지를 설명합니다. 이러한 오류는 하이브리드 디렉터리 설정을 진행하기 전에 해결해야 하는 차단 문제를 나타냅니다.
| 테스트 이름 | 짧은 이름 | 오류 코드 | 오류 메시지 | 설명 | 해결 방법 |
| --- | --- | --- | --- | --- | --- |
| Active Directory Services 테스트 | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | 필요한 AD 서비스가 자체 관리형 AD에서 실행되지 않는 경우 발생합니다. | 특정 필수 AD 서비스는 자체 관리형 AD에서 실행되어야 합니다. 자세한 내용은 [필수 Active Directory 서비스](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services) 단원을 참조하십시오. |
| Active Directory Services 테스트 | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | 자체 관리형 AD 도메인 컨트롤러가 작동하며 접근 가능한 상태인지 확인합니다. 자체 관리형 AD 도메인 컨트롤러의 네트워크 연결 및 DNS 확인을 확인합니다. |
| AD 암호 정책 테스트 | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | 자체 관리형 AD 암호 정책이 AWS 관리형 Microsoft AD 요구 사항을 충족하지 않는 경우 발생합니다. | 자체 관리형 AD 암호 정책은 AWS Managed Microsoft AD 암호 요구 사항을 충족해야 합니다. 자세한 내용은 [AWS 관리형 Microsoft AD 암호 정책 이해를](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html) 참조하세요. |
| AWS 관리자 사용자 기존 테스트 | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | 하이브리드 디렉터리 관리자 사용자가 자체 관리형 AD의 AWS 예약 OU에 없는 경우 발생합니다. | 하이브리드 디렉터리 관리자 사용자가 자체 관리형 AD의 AWS 예약 OU에 존재하는지 확인합니다. 사용자가 누락된 경우 하이브리드 디렉터리 설정 프로세스 과정에서 계정이 올바르게 생성되었는지 확인합니다. [하이브리드 디렉터리 업데이트](hybrid_directory_view_and_edit.md#editing_hybrid_dir). 하이브리드 디렉터리가 작동 불가 상태인 경우 [지원](https://console.aws.amazon.com/support/home#/)에 문의하세요. |
| AWS 관리자 사용자 SPN 테스트 | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | 하이브리드 디렉터리 관리자 사용자에게 자체 관리형 AD에 구성된 SPNs이 있는 경우 발생합니다. | AWS 하이브리드 디렉터리 관리자 사용자 계정에서 모든 서비스 보안 주체 이름(SPNs)을 제거합니다. 하이브리드 디렉터리 관리자 사용자는 하이브리드 디렉터리 인증을 방해할 수 있으므로 구성된 SPNs이 없어야 합니다. |
| AWS 도메인 컨트롤러 FSMO 소유자가 아닌 테스트 | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | 자체 관리형 AD에서 하이브리드 디렉터리 도메인 컨트롤러로 FSMO 역할(PDC Emulator, RID Master, Infrastructure Master)을 이전한 경우 발생합니다. | 계속하기 전에 모든 FSMO 역할(PDC Emulator, RID Master, Infrastructure Master)을 자체 관리형 AD 도메인 컨트롤러로 다시 전송합니다. 자세한 내용은 [FSMO 역할 이전에 대한 Microsoft 설명서](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)를 참조하세요. |
| AWS 예약 그룹 멤버십 테스트 | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | 자체 관리형 ADOU의 AWS 예약이 없는 경우 발생합니다. | 그룹 멤버십을 검증하려면 자체 관리형 AD에 AWS 예약이 있어야 OU 합니다. [지원](https://console.aws.amazon.com/support/home#/)에 문의하세요. |
| AWS 예약 그룹 멤버십 테스트 | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | 자체 관리형 AD의 AWS 예약 OU 그룹에 권한이 없는 사용자가 포함된 경우 발생합니다. | 자체 관리형 AD의 AWS 예약 OU 그룹에서 권한이 없는 사용자를 제거합니다. |
| AWS 예약 OU ACLs 테스트 | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | 자체 관리형 AD의 AWS 예약가 비관리형 AWS리소스OUACLs에 대한 무단 액세스를 방지하지 않고 엔터티에 대한 읽기 전용 권한을 적용하지AWS 않는 경우에 발생합니다. | 자체 관리형 AD의 AWS 예약OUACLs에 대한 권한을 검토하고 수정합니다. 비AWS 엔터티에 읽기 권한(`ListChildren`, `ReadProperty`, `ListObject`, `ReadControl`, `GenericRead`, `Synchronize`)만 있는지 확인하고 과도한 권한을 제거합니다. |
| AWS 예약 OU GPO 연결 테스트 | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | 자체 관리형 AD의 AWS 예약 OU 및 도메인 컨트롤러가 승인되지 않은 OU에 연결된 경우 발생합니다GPOs. | ( AWS 관리형 그룹 정책 객체(GPOs)만 이러한에 연결할 수 있습니다OUs. 자체 관리형 AD에서 AWS 예약 OU 및 도메인 컨트롤러OU에 무단으로 GPOs 연결된 모든를 제거합니다. |
| AWS 예약 OU 리소스 테스트 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | AWS 관리형 Microsoft AD 디렉터리 기능에 필요한 자체 관리형 AD에 AWS 예약이 OU 없는 경우 발생합니다. | AWS 예약은 하이브리드 디렉터리 설정 중에 자동으로 생성OU되어야 하며 삭제해서는 안 됩니다. 오류가 지속될 경우 [지원](https://console.aws.amazon.com/support/home#/)에 문의하세요. |
| AWS 예약 OU 리소스 테스트 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | 자체 관리형 AD에서 OU 생성된 AWS 예약에 적절한 하이브리드 디렉터리 작업을 GPOs 위해 필요한 객체 및가 포함되어 있지 않은 경우에 발생합니다. | 아무도 AWS 예약를 편집하지 않도록 합니다OU. 필수 AWS관리형 리소스가 포함되어야 합니다. 승인되지 않은 객체 또는 GPOs를 제거하고 필요한 리소스가 누락된 경우 [지원](https://console.aws.amazon.com/support/home#/)에 문의하세요. |
| AWS 예약 OU 테스트 | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | 이전 하이브리드 디렉터리 설정의 자체 관리형 AD에 있는 AWS 예약 리소스가 여전히 존재하는 경우 발생합니다. | 콘솔에서 기존의 실패한 하이브리드 디렉터리를 삭제합니다. 그런 다음 진행하기 전에 자체 관리형 ADGPOs에서 AWS 예약 OU 및 관련 항목을 삭제합니다. |
| Bridgehead 이름 지정 컨텍스트 테스트 | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Bridgehead를 사용하는 사이트 간 자체 관리형 AD 복제가 예상대로 작동하지 않는 경우 발생합니다. 이름 지정 컨텍스트가 사이트 간에 동기화되지 않은 경우에도 발생할 수 있습니다. | 자체 관리형 AD bridgehead 사이트가 성공적으로 작동해야 합니다. `repadmin /bridgeheads /verbose`를 사용하여 추가로 진단할 수 있습니다. 계속하기 전에 해당 평가의 문제를 해결합니다. |
| 하위 도메인 테스트 | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | 자체 관리형 AD 포리스트에 AWS 관리형 Microsoft AD 디렉터리에서 지원되지 않는 하위 도메인이 포함된 경우 발생합니다. | AWS 관리형 Microsoft AD 디렉터리는 하위 도메인을 지원하지 않습니다. 자체 관리형 AD에는 단일 도메인 포리스트를 사용해야 합니다. 자세한 내용은 [Microsoft Active Directory 도메인 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain) 단원을 참조하십시오. |
| DcDiag 테스트 | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | 자체 관리형 AD에서 Microsoft DCDiag 테스트 중 하나라도 실패할 경우 발생합니다. | AWS 는 DCDiag를 사용하여 자체 관리형 AD를 테스트합니다. 오류가 있는 경우 하이브리드 디렉터리를 생성할 수 없습니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration)를 참조하세요. |
| DNS IP 일치 테스트 | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | 자체 관리형 AD에 제공된 DNS IP 주소가 AWS Systems Manager에서 활성화된 자체 관리형 AD 도메인 컨트롤러의 DNS IP 주소와 일치하지 않는 경우 발생합니다. | 올바른 DNS IP 주소를 제공합니다. |
| DNS 이름 일치 테스트 | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | 자체 관리형 AD에 제공된 DNS 이름이 AWS Systems Manager에서 활성화된 자체 관리형 AD 도메인 컨트롤러의 DNS 이름과 일치하지 않는 경우 발생합니다. | 올바른 DNS 이름을 제공합니다. |
| DNS 레코드 테스트 | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Windows DNS 레코드가 A, NS, SOA, SRV 유형에 대해 설정되지 않고 쿼리할 수 없을 경우 발생합니다. | 주소(A), 네임스페이스(NS), 권한 상태(SOA) 및 서비스 레코드(SRV)에 대한 DNS 레코드를 설정해야 하며 쿼리할 수 있도록 해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records)를 참조하세요. |
| 도메인 포리스트 기능 수준 테스트 | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | 자체 관리형 AD 도메인 및 포리스트 기능 수준이 최소 요구 사항을 충족하지 않는 경우 발생합니다. | 자체 관리형 AD는 Windows 2012 R2 또는 2016 기능 수준을 사용해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment)를 참조하세요. |
| 도메인 상태 테스트 | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | 자체 관리형 AD에 필요한 최소 도메인 컨트롤러 수가 없는 경우 발생합니다. | 자체 관리형 AD에 로 활성화된 도메인 컨트롤러가 두 개 이상 있는지 확인합니다 AWS Systems Manager. 자세한 내용은 [Microsoft Active Directory 도메인 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain) 단원을 참조하십시오. |
| 기존 도메인 테스트 | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | 자체 관리형 AD 도메인이 기존 하이브리드 디렉터리에 이미 조인된 경우 발생합니다. | 자체 관리형 AD 도메인이 기존 하이브리드 디렉터리에 이미 조인되어 있습니다. 하이브리드 디렉터리와 조인된 각 자체 관리형 AD 도메인은 고유해야 합니다. 새 자체 관리형 AD 도메인을 생성하거나 조인된 하이브리드 디렉터리 구성에서 해당 도메인을 제거하세요. |
| FSMO 연결 테스트 | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | 자체 관리형 AD의 FSMO 역할, PDC Emulator, RID Master IP를 라우팅할 수 없는 경우 발생합니다. | 기본 도메인 컨트롤러(PDC)는 항상 라우팅 가능해야 합니다. 특히 자체 관리형 AD의 PDC Emulator 및 RID Master IP는 더욱 그렇습니다. 자세한 내용은 [Microsoft Active Directory 도메인 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain) 단원을 참조하십시오. |
| FSMO 연결 테스트 | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | 자체 관리형 AD 도메인 컨트롤러가 FSMO 역할에 액세스할 수 없는 경우 발생합니다. | 자체 관리형 AD의 유연한 단일 마스터 작업(FSMO) 역할은 자체 관리형 AD 도메인 컨트롤러에 연결되어야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)를 참조하세요. |
| IP 충돌 테스트 | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | 자체 관리형 AD IP 범위가 AWS 예약 범위와 겹치는 경우 발생합니다. | 자체 관리형 AD는 예약 IP 범위와 겹치는 AWS IP 주소 범위를 사용할 수 없습니다. 자세한 내용은 [Microsoft Active Directory 도메인 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain) 단원을 참조하십시오. |
| Kerberos 테스트 | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Kerberos가 올바르게 구성되지 않고 사용 중이 아닐 경우 발생합니다. | Kerberos는 자체 관리형 AD에서 활성화되어야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview)를 참조하세요. |
| LDAP 연결 테스트 | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | LDAP가 작동하지 않는 경우 발생합니다. | LDAP(Lightweight Directory Access Protocol)는 자체 관리형 AD에서 활성화되고 작동해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api)를 참조하세요. |
| FSMO 테스트를 위한 읽기 전용이 아닌 도메인 컨트롤러 | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | 자체 관리형 AD 도메인 컨트롤러 FSMO 역할이 RODC인 경우 발생합니다. | 자체 관리형 AD의 도메인 컨트롤러는 읽기 전용 도메인 컨트롤러(RODC) 유연한 단일 마스터 작업(FSMO) 역할을 사용해서는 안 됩니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)를 참조하세요. |
| 읽기 전용 도메인 컨트롤러 암호 복제 테스트 | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | RODC에 관리자 암호를 복제할 수 있는 권한이 있는 경우 발생합니다. | 자체 관리형 AD의 RODC는 관리자 암호를 복제할 수 있는 권한을 명시적으로 거부해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)를 참조하세요. |
| 읽기 전용 도메인 컨트롤러 테스트 | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | 자체 관리형 AD 도메인 컨트롤러가 ReadOnlyDC 모드인 경우 발생합니다. | 자체 관리형 AD는 읽기-쓰기 도메인 컨트롤러여야 합니다. 도메인 컨트롤러 유형에 대한 자세한 내용은 [Microsoft 설명서를](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers) 참조하세요. |
| 원격 포트 연결 테스트 | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | AWS 서브넷의 필수 포트와 자체 관리형 AD 도메인 컨트롤러가 열려 있지 않은 경우에 발생합니다. | AWS 서브넷과 자체 관리형 AD 간에 필요한 모든 포트가 열려 있는지 확인합니다. 자세한 정보는 [네트워크 포트 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports)을 참조하세요. |
| 복제 테스트 | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | 자체 관리형 AD 도메인 컨트롤러 복제에 실패한 경우 발생합니다. | 자체 관리형 AD 도메인 컨트롤러 복제가 성공 상태여야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview)를 참조하세요. |
| SMBV1 테스트 | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | 자체 관리형 AD가 현재 인증에 SMBv1을 사용하는 경우 발생합니다. | SMBv1은 안전하지 않은 것으로 알려져 있으므로 자체 관리형 AD에서 비활성화해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server)를 참조하세요. |
| SSM 사용자 권한 테스트 | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | SSM에서 사용하는 Windows 사용자에게 권한이 충분하지 않은 경우 발생합니다. | 자체 관리형 AD의 AWS System Manager(SSM) 에이전트에 대한 Windows 관리자 권한이 필요합니다. 자세한 내용은 [AWS 계정 권한](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms) 단원을 참조하십시오. |
| Sysvol 복제 테스트 | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | 자체 관리형 AD에 올바른 sysvol 복제 방법(DFSR)이 없고 DFSR 복제 이벤트 중 DCs가 하나라도 실패한 경우 발생합니다. | 자체 관리형 AD sysvol 복제 방법(DFSR)이 성공적으로 작동해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr)를 참조하세요. |
| 최상위 GPO 테스트 | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | 자체 관리형 AD에 최상위 GPOs가 적용됨으로 설정된 경우 발생합니다. | 자체 관리형 AD 도메인 최상위 그룹 정책 객체(GPO)가 적용됨으로 설정되지 않았는지 확인합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing)를 참조하세요. |
| 신뢰 유형 테스트 | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | 자체 관리형 AD에 지원되지 않는 신뢰 유형이 있는 경우 발생합니다. | Uplevel은 하이브리드 디렉터리에서 지원하는 유일한 신뢰 유형입니다. 자체 관리형 AD는 DCE, MIT, Downlevel 신뢰 유형을 가질 수 없습니다. 신뢰 유형에 대한 자세한 설명은 [Microsoft설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)를 참조하세요. |
| 유효한 도메인 컨트롤러 테스트 | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | 제공된 자체 관리형 AD 인스턴스가 도메인 컨트롤러가 아니거나 이미 다른 하이브리드 디렉터리의 일부인 경우 발생합니다. | 이 하이브리드 디렉터리에 고유한 자체 관리형 AD 도메인 컨트롤러를 제공합니다. 새 디렉터리로 재시도합니다. 실패한 하이브리드 디렉터리와 자체 관리형 AD의 모든를 AWS OU 삭제했는지 확인합니다. |
# 평가 테스트 경고 메시지
다음 표는 평가 테스트 중에 발생할 수 있는 경고 메시지를 설명합니다. 이러한 경고는 최적의 구성을 위한 권장 사항을 표시하지만 하이브리드 디렉터리 설정을 제한하지는 않습니다.
| 테스트 이름 | 짧은 이름 | 경고 코드 | 경고 메시지 | 설명 | 해결 방법 |
| --- | --- | --- | --- | --- | --- |
| 도메인 상태 테스트 | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | 자체 관리형 AD에 장기간 로그인하지 않고, 기한 경과 또는 비활성으로 간주될 수 있는 사용자 계정이 있는 경우 발생합니다. | 기한이 경과한 사용자 계정을 정리합니다. |
| 도메인 컨트롤러 시간 소스 테스트 | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | 자체 관리형 AD에 올바른 시간 소스가 설정되어 있고 AWS 시간 소스와 비교하여 시간 왜곡이 크지 않은 경우 발생합니다. | 기본 도메인 컨트롤러(PDC) 시간 서버가 `169.254.169.123`로 지정되어 있습니다. 기본 도메인 컨트롤러가 아닌 도메인 컨트롤러는 PDC를 소스로 지 합니다. 자세한 내용은 [Amazon Time Sync Service를 사용하여 시간 유지](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/)를 참조하세요. |
| 여유 공간 테스트 | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | 자체 관리형 AD 통합 NTDS 및 Sysvol 사용량이 지원되는 할당량을 초과한 경우 발생합니다. | 자체 관리형 AD에는 하이브리드 디렉터리를 위한 24GB의 디스크 공간이 있어야 합니다. |
| FSMO Roles 테스트 | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | 하이브리드 디렉터리를 생성할 때 제공된 두 도메인 컨트롤러에 FSMO 역할(PDC 에뮬레이터 및 RID 마스터)이 없는 경우 발생합니다. | 하이브리드 디렉터리를 생성할 때 사용자가 제공하는 두 도메인 컨트롤러에는 FSMO 역할(PDC 에뮬레이터 및 RID 마스터)이 모두 포함되어 있어야 합니다. 자세한 내용은 [FSMO 역할을 보고 이전하는 방법](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)을 참조하세요. |
| S 채널 SSP 테스트 | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | 자체 관리형 AD가 TLS1.2 및 AES256 암호화를 사용하지 않는 경우 발생합니다. | 자체 관리형 AD는 하이브리드 디렉터리에 TLS 1.2 및 AES256을 사용해야 합니다. |
| 디스크 손상 테스트 | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | 자체 관리형 AD에 디스크 손상이 있는 경우 발생합니다. | 자체 관리형 AD 디스크는 손상되지 않아야 합니다. |
| 도메인 컨트롤러 사양 테스트 | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | 자체 관리형 AD 도메인 컨트롤러가 필수 사양을 충족하지 않는 경우 발생합니다. | 자체 관리형 AD 도메인 컨트롤러에는 하이브리드 디렉터리용 최소 7GB RAM과 2개의 CPU 코어가 있어야 합니다. |
| 서버 수준 플러그인 Dll 테스트 | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | ServerLevelPluginDll이 자체 관리형 AD 도메인 컨트롤러에 설정된 경우 발생합니다. | 자체 관리형 AD 도메인 컨트롤러에 ServerLevelPluginDII이 구성되면 안 됩니다. |
| NT4 암호화 허용 테스트 | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | 자체 관리형 AD가 NT4 암호화를 허용하는 경우 발생합니다. | 자체 관리형 AD는 NT4 암호화를 사용해서는 안 됩니다. 자세한 내용은 Microsoft 설명서를 참조하세요. |
| 분리된 관리자 사용자 테스트 | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | 분리된 관리자 사용자가 자체 관리형 AD에 존재하는 경우 발생합니다. | 계속하기 전에 자체 관리형 AD에서 분리된 사용자를 제거합니다. |
| 권한 있는 사용자 수 테스트 | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | 자체 관리형 AD의 기본 제공 관리자, 도메인 관리자 및 엔터프라이즈 관리자의 총 수가 5보다 큰 경우 발생합니다. | 자체 관리형 AD 환경에는 권한 있는 계정이 여러 개여서는 안 됩니다. 계속하기 전에 초과된 관리자 계정을 제거해야 합니다. |
| 권한 있는 사용자 수 테스트 | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | 자체 관리형 AD의 기본 제공 관리자, 도메인 관리자 및 엔터프라이즈 관리자의 총 수가 5보다 큰 경우 발생합니다. | 자체 관리형 AD 환경에는 권한 있는 계정이 여러 개여서는 안 됩니다. 계속하기 전에 초과된 관리자 계정을 제거해야 합니다. |
| 권한 있는 사용자 수 테스트 | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | 자체 관리형 AD의 기본 제공 관리자, 도메인 관리자 및 엔터프라이즈 관리자의 총 수가 5보다 큰 경우 발생합니다. | 자체 관리형 AD 환경에는 권한 있는 계정이 여러 개여서는 안 됩니다. 계속하기 전에 초과된 관리자 계정을 제거해야 합니다. |
| NTLM 테스트 | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | NTLMv1이 자체 관리형 AD에서 인증에 대해 활성화된 경우 발생합니다. | NT LAN Manager 버전 1(NTLMv1)에는 알려진 보안 취약성이 있으므로 이를 사용해서는 안 됩니다. 자체 관리형 AD에서 NTLMv1을 비활성화합니다. 자세한 내용은 [Microsoft 설명서](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73)를 참조하세요. |
| Tombstone 수명 테스트 | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | 자체 관리형 AD의 Tombstone 수명이 180일을 초과한 경우 발생합니다. | Tombstone 수명은 삭제된 객체가 AD에서 제거되기까지의 일수입니다. 자체 관리형 AD의 Tombstone 수명 값은 180일 이하여야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180)를 참조하세요. |