As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Entendendo o Microsoft AD AWS gerenciado (edição híbrida)
<a name="aws-hybrid-directory"></a>

*AWS O Managed Microsoft AD (Hybrid Edition)* permite que você estenda seu Active Directory existente para o Nuvem AWS com o AWS Managed Microsoft AD. Esse recurso facilita a migração de suas cargas de trabalho dependentes do AD AWS, a adoção de AWS serviços e o aumento da redundância do Active Directory. AWS executará periodicamente avaliações de diretório em seu diretório híbrido, que você pode visualizar no Directory Service console.

Um diretório híbrido Directory Service conecta seu existente *Microsoft Active Directory*ao *AWS Directory Service for Microsoft Active Directory* (AWS Managed Microsoft AD). Isso cria um ambiente de identidade integrado que abrange uma infraestrutura local e multinuvem AWS, permitindo que você mantenha uma única fonte de identidade e, ao mesmo tempo, estenda seus serviços de diretório para. AWS

Uma configuração de diretório híbrido fornece várias funcionalidades importantes:
+ Extensão do AD autogerenciado para o Nuvem AWS sem a necessidade de estabelecer uma relação de confiança
+ Autenticação e autorização diretas entre ambientes usando as credenciais existentes do Active Directory
+ Credenciais de usuário e associações de grupos consistentes em ambos os ambientes do AD
+ Gerenciamento centralizado das permissões e políticas de acesso do AD

**Topics**
+ [Pré-requisitos do diretório híbrido](create_hybrid_directory_prereqs.md)
+ [Como criar um diretório híbrido](hybrid_directory_create.md)
+ [Como visualizar e editar um diretório híbrido](hybrid_directory_view_and_edit.md)
+ [Como excluir um diretório híbrido](hybrid_directory_delete.md)
+ [Avaliações para diretórios híbridos](hybrid_directory_assessment.md)
+ [Solução de problemas do diretório híbrido e da avaliação do diretório](hybrid_directory_troubleshooting.md)

# Pré-requisitos do diretório híbrido
<a name="create_hybrid_directory_prereqs"></a>

O diretório híbrido estende o Active Directory autogerenciado para a Nuvem AWS. Antes de criar um diretório híbrido, certifique-se de que o ambiente atenda aos seguintes requisitos:

## Requisitos de domínio do Microsoft Active Directory
<a name="create_hybrid_directory_prereqs-ad-domain"></a>

Antes de criar um diretório híbrido, verifique se o ambiente AD autogerenciado e a infraestrutura atendem aos requisitos a seguir e reúna as informações necessárias.

### Requisitos de domínio
<a name="domain_requirements"></a>

O ambiente do AD autogerenciado deve atender aos seguintes requisitos:
+ Usa um nível funcional do Windows Server 2012 R2 ou 2016.
+ Usa controladores de domínio padrão a serem avaliados para a criação do diretório híbrido. Controladores de domínio somente para leitura (RODC) não podem ser usados para a criação de diretórios híbridos.
+ Tem dois controladores de domínio com todos os serviços do Active Directory em execução.
+ O Controlador de Domínio Primário (PDC) deve ser roteável por todo o tempo.

  Especificamente, o emulador PDC e o RID Master IPs do seu AD autogerenciado devem estar em uma das seguintes categorias:
  + Parte dos intervalos de endereços IP RFC1918 privados (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16)
  + Dentro do intervalo faixa de CIDR de VPC
  + Combine o DNS IPs de suas instâncias autogerenciadas com o diretório

  Você pode adicionar outras rotas IP ao diretório após a criação do diretório híbrido.

### Informações necessárias
<a name="required_information"></a>

Reúna as seguintes informações sobre o AD autogerenciado:
+ Nome do DNS do diretório
+ Diretório DNS IPs
+ Credenciais da conta de serviço com permissões de Administrador para o AD autogerenciado
+ AWS ARN secreto para armazenar as credenciais da sua conta de serviço (consulte) [AWS ARN secreto para diretório híbrido](#aws_secret_arn_for_hybrid)

### AWS ARN secreto para diretório híbrido
<a name="aws_secret_arn_for_hybrid"></a>

Para configurar um diretório híbrido com seu AD autogerenciado, você precisa criar uma chave KMS para criptografar seu AWS segredo e, em seguida, criar o segredo em si. Ambos os recursos devem ser criados no mesmo Conta da AWS que contém o diretório híbrido.

#### Criar uma chave do KMS
<a name="create_kms_key_for_hybrid"></a>

A chave KMS é usada para criptografar seu AWS segredo.

**Importante**  
Em **Chave de criptografia**, não use a chave do KMS padrão da  AWS . Certifique-se de criar a chave AWS KMS na mesma Conta da AWS que contém o diretório híbrido que você deseja criar para se juntar ao seu AD autogerenciado.

**Para criar uma chave AWS KMS**

1. No AWS KMS console, escolha **Criar chave**.

1. Em **Tipo de chave**, escolha **Simétrica**.

1. Em **Uso da chave**, escolha **Criptografar e descriptografar**.

1. Em **Advanced options (Opções avançadas)**:

   1. Em **Origem do material de chaves**, escolha **Externa**.

   1. Em **Regionalidade**, escolha **Chave de região única** e escolha **Próximo**.

1. Em **Alias**, forneça um nome para a chave do KMS.

1. (Opcional) Em **Descrição**, forneça uma descrição da chave do KMS.

1. (Opcional) Em **Tags**, adicione tags para a chave KMS e escolha **Próximo**.

1. Em **Administradores de chaves**, selecione um usuário do IAM.

1. Em **Exclusão de chave**, mantenha a seleção padrão da caixa **Permitir que administradores de chaves excluam esta chave** e escolha **Próximo**.

1. Em **Usuários de chaves**, informe o mesmo usuário do IAM da etapa anterior e escolha **Próximo**.

1. Revise a configuração.

1. Em **Política de chave**, inclua a seguinte instrução à política:

1. Escolha **Terminar**.

#### Crie um AWS segredo
<a name="create_aws_secret_for_hybrid"></a>

Crie um segredo no Secrets Manager para armazenar as credenciais da conta de usuário do AD autogerenciado.

**Importante**  
Crie o segredo no mesmo Conta da AWS que contém o diretório híbrido que você deseja associar ao seu AD autogerenciado.

Como criar um segredo
+ No Secrets Manager, escolha **Armazenar um novo segredo**.
+ Em **Tipo de segredo**, escolha **Outro tipo de segredo**.
+ Em **Pares de chave/valor**, adicione suas duas chaves:

1. <a name="add_username_key"></a>Adicione a chave do nome de usuário

   1. Para a primeira chave, insira `customerAdAdminDomainUsername`.

   1. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD. Não inclua o nome do domínio, pois isso faz com que a criação da instância falhe.

1. <a name="add_password_key"></a>Adicione a chave de senha

   1. Para a segunda chave, insira `customerAdAdminDomainPassword`.

   1. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.

##### Conclua a configuração do segredo
<a name="complete_secret_configuration"></a>

1. Em **Chave de criptografia**, escolha a chave de KMS que você criou em [Criar uma chave do KMS](#create_kms_key_for_hybrid) e escolha **Próximo**.

1. Em **Nome do segredo**, insira uma descrição para o segredo.

1. (Opcional) Em **Descrição**, insira uma descrição para o segredo.

1. Escolha **Próximo**.

1. Em **Definir configurações de rotação**, mantenha os valores padrão e escolha **Próximo**.

1. Consulte as configurações do segredo e escolha **Armazenar**.

1. Escolha o segredo que você criou e copie o valor do **ARN do segredo**. Você usará este ARN na próxima etapa para configurar o Active Directory autogerenciado.

### Requisitos de infraestrutura
<a name="infrastructure_requirements"></a>

Prepare os seguintes componentes da infraestrutura:
+ Dois AWS Systems Manager nós com privilégios de administrador para agentes SSM
  + Se o Active Directory for **autogerenciado fora da Nuvem AWS**, você precisará de dois nós do Systems Manager para um ambiente híbrido e multinuvem. Para obter mais informações sobre como provisionar esses nós, consulte [Como configurar o Systems Manager para ambientes híbridos e multinuvem](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
  + Se o Active Directory for **autogerenciado no Nuvem AWS**, você precisará de duas instâncias EC2 gerenciadas pelo Systems Manager. Para obter mais informações sobre como provisionar essas instâncias, consulte [Como gerenciar instâncias do EC2 com Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

## Serviços do Active Directory exigidos
<a name="create_hybrid_directory_prereqs-ad-services"></a>

Verifique se os seguintes serviços estão sendo executados no AD autogerenciado:
+ Serviços de Domínio do Active Directory
+ Serviço Web do Active Directory (ADWS)
+ Sistema de eventos COM\$1
+ DFSR (Distributed File System Replication, Replicação do sistema de arquivos distribuídos)
+ Domain Name System (DNS)
+ Servidor DNS
+ Cliente de Política de Grupo
+ Mensagem entre sites
+ Chamada de procedimento remoto (RPC)
+ Gerente de contas de segurança
+ Windows Time Server
**nota**  
O diretório híbrido exige que a porta UDP 123 esteja aberta e que o Windows Time Server esteja habilitado e funcional. Sincronizamos o horário com o controlador de domínio para garantir que a replicação de diretórios híbridos funcione corretamente.

## Requisitos da autenticação Kerberos
<a name="create_hybrid_directory_prereqs-ad-kerberos"></a>

Suas contas de usuário devem ter a pré-autenticação Kerberos habilitada. Para obter instruções detalhadas sobre como habilitar essa configuração, consulte [Garantir que a pré-autenticação Kerberos esteja habilitada](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos). Para obter informações gerais sobre essa configuração, acesse [Pré-autenticação](http://technet.microsoft.com/en-us/library/cc961961.aspx) em Microsoft TechNet.

## Tipos de criptografia compatíveis
<a name="create_hybrid_directory_prereqs-encryption"></a>

O diretório híbrido aceita os seguintes tipos de criptografia ao fazer a autenticação via Kerberos nos controladores de domínio do Active Directory:
+ AES-256-HMAC

## Requisitos de porta de rede
<a name="create_hybrid_directory_prereqs-ports"></a>

 AWS Para estender seus controladores de domínio autogerenciados do Active Directory, o firewall da sua rede existente deve ter as seguintes portas abertas CIDRs para ambas as sub-redes em sua Amazon VPC:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - autenticação de Kerberos
+ UDP 123 — Servidor de horário
+ TCP 135 — Chamada de procedimento remoto
+ TCP/UDP 389 - LDAP
+ TCP 445: SMB
+ TCP 636 — Necessário somente para ambientes com LDAPS (Lightweight Directory Access Protocol Secure)
+ TCP 49152-65535 -— Portas TCP altas alocadas aleatoriamente pelo RPC
+ TCP 3268 e 3269 — Catálogo global
+ TCP 9389 Serviços Web do Active Directory (ADWS)

Essas são as portas mínimas necessárias para criar um diretório híbrido. Sua configuração específica pode exigir que portas adicionais sejam abertas.

**nota**  
O DNS IPs fornecido para seus controladores de domínio e detentores de funções FSMO deve ter as portas acima abertas CIDRs para ambas as sub-redes na Amazon VPC.

**nota**  
O diretório híbrido exige que a porta UDP 123 esteja aberta e que o Windows Time Server esteja habilitado e funcional. Sincronizamos o horário com o controlador de domínio para garantir que a replicação de diretórios híbridos funcione corretamente.

## Conta da AWS permissões
<a name="hybrid-dir-prereq-perms"></a>

Você precisará de permissões para as seguintes ações em seu Conta da AWS:
+ ec2: AuthorizeSecurityGroupEgress
+ ec2: AuthorizeSecurityGroupIngress
+ ec2: CreateNetworkInterface
+ ec2: CreateSecurityGroup
+ ec2: DescribeNetworkInterfaces
+ ec2: DescribeSubnets
+ ec2: DescribeVpcs
+ ec2: CreateTags
+ ec2: CreateNetworkInterfacePermission
+ sms: ListCommands
+ sms: GetCommandInvocation
+ sms: GetConnectionStatus
+ sms: SendCommand
+ gerente de segredos: DescribeSecret
+ gerente de segredos: GetSecretValue
+ objetivo: GetRole
+ objetivo: CreateServiceLinkedRole

## Requisitos de rede da Amazon VPC
<a name="hybrid-dir-prereqs-vpc"></a>

Uma VPC com o seguinte:
+ Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente.
+ A VPC deve ter uma locação padrão.

Você não pode criar um diretório híbrido em uma VPC usando endereços no espaço de endereço 198.18.0.0/15.

Directory Service usa uma estrutura de duas VPC. As instâncias do EC2 que compõem seu diretório são executadas fora do seu Conta da AWS e são gerenciadas pelo AWS. Elas têm dois adaptadores de rede `ETH0` e `ETH1`. `ETH0` é o adaptador de gerenciamento e existe fora da sua conta. `ETH1` é criado em sua conta.

O intervalo de IP de gerenciamento da ETH0 rede para seu diretório é`198.18.0.0/15`.

Para obter mais informações, consulte um dos tópicos a seguir no *Guia do usuário da Amazon VPC*.
+ [O que é Amazon VPC?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [O que é Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs e sub-redes](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [O que é AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)

Para obter mais informações sobre AWS Direct Connect, consulte o [O que é AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

## AWS configuração do grupo de segurança
<a name="hybrid-dir-prereqs-security-group"></a>

Por padrão, AWS anexa um grupo de segurança para permitir o acesso à rede aos nós AWS Systems Manager gerenciados em sua VPC. Opcionalmente, você pode fornecer um grupo de segurança próprio que permita o tráfego de rede de e para os controladores de domínio autogerenciados fora da VPC.

Opcionalmente, você pode fornecer um grupo de segurança próprio que permita o tráfego de rede de e para os controladores de domínio autogerenciados fora da VPC. Se você fornecer o próprio grupo de segurança, precisará:
+ Listar os intervalos de VPC CIDR e intervalos autogerenciados.
+ Certifique-se de que esses intervalos não se sobreponham aos intervalos de [IP reservados da AWS](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) 

## Considerações sobre avaliações de diretório
<a name="hybrid-dir-prereqs-assessments"></a>

A seguir estão algumas considerações ao criar avaliações de diretório e o número de avaliações que você pode ter na Conta da AWS:
+ Uma avaliação de diretório é criada automaticamente quando você cria um diretório híbrido. Existem dois tipos de avaliações: `CUSTOMER` e `SYSTEM`. A Conta da AWS tem um limite de 100 avaliações de diretório `CUSTOMER`.
+ Se você tentar criar um diretório híbrido e já tiver 100 avaliações de diretório `CUSTOMER`, encontrará um erro. Exclua as avaliações para liberar capacidade antes de tentar novamente.
+ Você pode solicitar um aumento em sua cota de avaliação de `CUSTOMER` diretório entrando em contato Suporte ou excluindo as avaliações existentes do diretório CUSTOMER para liberar capacidade.

# Como criar um diretório híbrido
<a name="hybrid_directory_create"></a>

Antes de criar um diretório híbrido, você deve criar e passar sucesso na avaliação de diretório, que verifica a conectividade e a interoperabilidade com o Active Directory autogerenciado

## Como criar um diretório híbrido com o AD autogerenciado
<a name="creating_hybrid_directory"></a>

Siga estas etapas para criar um diretório híbrido com o AD autogerenciado:

**Para criar um diretório híbrido**

1. Abra o Directory Service console da região desejada.

1. Na página **Selecionar tipo do diretório**, escolha **AWS Managed Microsoft AD**.

1. Em **Introdução ao AWS Managed Microsoft AD**, selecione **Estender seu domínio AD com um diretório híbrido — novo** e escolha **Avançar**. Isso direciona você para a página **Criar avaliação de diretório**.

1. Antes que você possa criar um diretório híbrido, deve criar e concluir com sucesso uma avaliação de diretório. Para criar uma avaliação de diretório, siga as etapas em [Como criar avaliações de diretório](create_directory_assessment.md). Depois de passar com sucesso na avaliação do diretório, você pode continuar com este procedimento.

1. Depois de passar por uma avaliação de diretório com sucesso, navegue até a página **Diretórios**.

1. Na página **Diretórios**, em **Teste de avaliações do diretório híbrido**, escolha um **ID de avaliação** com um **Status** de `SUCCESS`. Em seguida, selecione **Criar diretório híbrido**, que direciona para a página de detalhes da avaliação

1. Na página de detalhes da avaliação, confirme essa ação selecionando **Criar diretório híbrido**, que abre a página **Criar diretório híbrido usando ID da avaliação**.

1. Na página **Criar diretório híbrido usando ID de avaliação**, **Revise as informações autogerenciadas do Active Directory**. Depois de confirmar as informações, selecione **Criar diretório híbrido**.

   Depois de escolher **Criar diretório híbrido**, AWS executa outra avaliação de diretório com base nessas informações para confirmar se sua configuração autogerenciada do AD ainda é válida. Se a avaliação do diretório for bem-sucedida, criaremos o diretório híbrido.

1. Ao escolher **Criar diretório híbrido**, você retornará à página **Diretórios**.

   1. Um banner verde aparecerá quando o diretório híbrido for criado com sucesso.

   1. Um banner vermelho aparecerá se a criação do diretório híbrido falhar. Elimine as falhas na criação de diretórios híbridos concluindo o seguinte:

      1. Exclua o diretório híbrido com falha no console.

      1. Exclua todos os AWS Reservados restantes OUs em seu AD autogerenciado.

   **Mais informações**
   + [Como excluir um diretório híbrido](hybrid_directory_delete.md)
   + [Solução de problemas](hybrid_directory_troubleshooting.md)

# Como visualizar e editar um diretório híbrido
<a name="hybrid_directory_view_and_edit"></a>

Use os procedimentos a seguir para visualizar ou editar o diretório híbrido.

## Como visualizar um diretório híbrido
<a name="viewing_hybrid_dir"></a>

Você pode visualizar um diretório híbrido no Directory Service console.

**Para visualizar informações detalhadas do diretório**

1. No painel de navegação do [console do Directory Service](https://console.aws.amazon.com/directoryservicev2/), escolha **Diretórios**.

1. Escolha o link do ID de seu diretório. As informações sobre o diretório aparecem na página **Detalhes do diretório**.

### Informações do Active Directory autogerenciado
<a name="self-managed-active-directory-information"></a>

Esta seção fornece informações sobre seu Active Directory autogerenciado que está associado à AWS infraestrutura.
+ Tipo de diretório
+ ID de diretório
+ Status do diretório
+ Detalhes de rede para o AD autogerenciado, como:
  + VPC
  + Sub-redes
  + Endereços DNS
+ Nós gerenciados pelo Systems Manager

### Abas do diretório híbrido
<a name="hybrid_directory_tabs"></a>

Você pode encontrar as seguintes informações sobre seu Microsoft AD AWS gerenciado:
+ Na guia **Compartilhar e compartilhar**, você pode compartilhar seu Microsoft AD AWS gerenciado com outras AWS contas e ver os detalhes da rede de seus controladores de domínio.
+ Na guia **Gerenciamento de aplicativos**, você pode habilitar uma URL de acesso ao aplicativo para seu Microsoft AD AWS gerenciado e habilitar AWS aplicativos e serviços para seu Microsoft AD AWS gerenciado.
+ Na guia **Manutenção**, você pode habilitar o SNS para receber notificações sobre o status do AWS Managed Microsoft AD e revisar instantâneos do Managed AWS Microsoft AD.
+ Para obter mais informações sobre o campo **Status**, consulte [Entendendo o status do seu diretório AWS gerenciado do Microsoft AD](ms_ad_directory_status.md).

## Como atualizar um diretório híbrido
<a name="editing_hybrid_dir"></a>

Você pode atualizar um diretório híbrido no Directory Service console para modificar as configurações de DNS ou recuperar o acesso à conta do administrador.

**Para atualizar as informações de diretório híbrido**

1. No painel de navegação do [console do Directory Service](https://console.aws.amazon.com/directoryservicev2), escolha **Diretórios**.

1. Escolha o link do ID do diretório do diretório para abrir a página **Detalhes do diretório**.

1. Escolha **Ações** e, em seguida, selecione **Atualizar informações do diretório híbrido**.

1. Na página **Atualizar informações do diretório híbrido**, você pode atualizar as configurações de DNS ou recuperar a conta de administrador.

   **Atualizar configurações de DNS (opcional)**

   Em **Informações do Active Directory autogerenciado**, você pode alterar o seguinte:

   1. **Nome do DNS do diretório**

   1. **Endereços IP do DNS**

   Você pode atualizar as duas configurações juntas ou individualmente. É exigida pelo menos uma alteração para o processo de atualização.

1. **Recuperar conta de administrador do diretório híbrido**

   Para recuperar a conta de administrador de diretório híbrido, precisamos de acesso temporário a um usuário. Esse acesso é fornecido por meio de um segredo do Secrets Manager. Usamos essas credenciais apenas uma vez durante a recuperação e não as armazenamos. Se a conta de administrador de diretório híbrido existir, você não precisará atualizar o segredo, mesmo que tenha atualizado o usuário administrador do Active Directory autogerenciado.

   1. **Credenciais secretas de administrador** — Criamos uma conta de administrador de diretório híbrido quando criamos um diretório híbrido. Se você excluiu esse segredo, insira o segredo do Secrets Manager para o usuário administrador do AD autogerenciado.

# Como excluir um diretório híbrido
<a name="hybrid_directory_delete"></a>

Quando você exclui um diretório híbrido, todos os dados e snapshots do diretório são excluídos e não podem ser recuperados. Após a exclusão do diretório, todas as instâncias associadas ao diretório permanecem intactas. No entanto, você não pode usar as credenciais do diretório para fazer login nessas instâncias. Você deve fazer login nessas instâncias com uma conta de usuário local.

**Como excluir um diretório**

1. No painel de navegação do [console do Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**. Verifique se você está no Região da AWS local onde seu diretório híbrido está implantado. Para obter mais informações, consulte [Choosing a Region](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html).

1. Certifique-se de que nenhum AWS aplicativo esteja habilitado para o diretório que você pretende excluir. AWS Os aplicativos habilitados impedirão que você exclua seu diretório híbrido.

1. Na página **Directories (Diretórios)**, escolha o ID do diretório.

1. Na página **Directory details (Detalhes do diretório)**, selecione a guia **Application management (Gerenciamento de aplicativos)**. Na seção **AWS aplicativos e serviços**, você vê quais AWS aplicativos estão habilitados para o seu diretório.

   1. Desative Console de gerenciamento da AWS o acesso. Para obter mais informações, consulte [Como desabilitar o acesso ao AWS Management Console](https://docs.aws.amazon.com/ms_ad_management_console_access.xml).

   1. Para desativar o Amazon FSx para Windows File Server, você deve remover o sistema de FSx arquivos da Amazon do domínio. Para obter mais informações, consulte [Trabalhando com o Active Directory no FSx Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) no *Guia do usuário do Amazon FSx para Windows File Server*.

   1. Para desabilitar o Amazon Relational Database Service, é necessário remover a instância do Amazon RDS do domínio. Para obter mais informações, consulte [Gerenciar uma instância de banco de dados em um domínio](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) no *Guia do usuário do Amazon RDS*.

1. No painel de navegação, selecionar **Diretórios**.

1. Selecione somente o diretório a ser excluído e escolha **Excluir**. A exclusão do diretório demora vários minutos. Quando o diretório for excluído, ele será removido da sua lista de diretórios.

1. Exclua manualmente todos os objetos restantes do controlador de domínio, incluindo os AWS Reservados OUs. Você pode excluir todo o diretório AWS reservado para concluir a limpeza do seu ambiente. 

# Avaliações para diretórios híbridos
<a name="hybrid_directory_assessment"></a>

Uma avaliação do diretório examina o ambiente Active Directory autogerenciado para garantir que ele atenda aos requisitos para a criação de um diretório híbrido. Essa avaliação verifica a conectividade da rede, a configuração do controlador de domínio e os serviços exigidos para ajudar a identificar e resolver problemas potenciais antes de estabelecer uma conexão entre o AD autogerenciado e o Directory Service.

Há dois tipos de avaliações de diretório:
+ *Avaliações `CUSTOMER`* — Iniciadas por você no console ao começar a configurar um diretório híbrido. Você pode excluir avaliações do diretório de clientes, mesmo enquanto estiverem em andamento. Você pode ter até 100 avaliações de clientes.
+ *Avaliações `SYSTEM`* — Criadas automaticamente pela AWS e executadas periodicamente após a criação bem-sucedida. Você não pode excluir as avaliações `SYSTEM`.

As avaliações de diretório fornecem informações valiosas sobre a prontidão do ambiente, incluindo:
+ Conectividade entre seu AD autogerenciado e AWS
+ Disponibilidade dos serviços exigidos nos controladores de domínio
+ Compatibilidade de configuração com os requisitos AWS do Directory Service
+ Problemas potenciais que podem impedir a criação bem-sucedida do diretório híbrido

É exigida uma avaliação de diretório bem-sucedida (aprovada) antes que você possa criar um diretório híbrido. Se uma avaliação falhar, você poderá visualizar o relatório detalhado para identificar e resolver os problemas antes de tentar novamente. AWS exclui `SYSTEM` as avaliações após 30 dias.

**Topics**
+ [Como criar avaliações de diretório](create_directory_assessment.md)
+ [Como visualizar avaliações de diretório](viewing_hybrid_dir_assessment.md)
+ [Como excluir avaliações de diretório](deleting_hybrid_dir_assessment.md)

# Como criar avaliações de diretório
<a name="create_directory_assessment"></a>

Você pode criar uma avaliação de diretório como parte da criação de um diretório híbrido, ou pode criá-la manualmente. Para criar uma avaliação manualmente, abra o Directory Service console em [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/). Na página **Diretórios**, na seção **Avaliações do diretório**, escolha **Criar avaliação**.

**Para criar uma avaliação de diretório**

1. Na página **Criar avaliação de diretório**, em **Nome do DNS do diretório**, insira o nome DNS do Active Directory autogerenciado.

1. Em **Endereços IP do DNS**, insira dois endereços IP DNS para o AD autogerenciado.

1. O diretório híbrido exige uma Amazon VPC com pelo menos duas sub-redes. Se você ainda não tiver, é possível criá-las. Na seção **Redes**, forneça o seguinte:

   1. Em **VPC**, escolha o identificador da VPC.

   1. Em **Sub-redes**, escolha o identificador de cada uma das duas sub-redes. Cada sub-rede deve estar em diferentes Zonas de disponibilidade. Para obter mais informações, consulte [Requisitos de rede da Amazon VPC](create_hybrid_directory_prereqs.md#hybrid-dir-prereqs-vpc).

   1. Em **Grupos de segurança**, escolha o identificador do grupo de segurança. Por padrão, AWS anexa um grupo de segurança para permitir o acesso à rede aos nós AWS Secrets Manager gerenciados em sua Amazon VPC. Opcionalmente, você pode fornecer um grupo de segurança próprio que permita o tráfego de rede de e para os controladores de domínio autogerenciados fora da Amazon VPC.

1. Na seção **AWS Systems Manager nós**, escolha dois nós ou instâncias do Systems Manager com base nos seguintes requisitos:
   + Se o Active Directory for **autogerenciado fora da Nuvem AWS**, você precisará de dois nós do Systems Manager para um ambiente híbrido e multinuvem. Para obter mais informações sobre como provisionar esses nós, consulte [Como configurar o Systems Manager para ambientes híbridos e multinuvem](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
   + Se o Active Directory for **autogerenciado no Nuvem AWS**, você precisará de duas EC2 instâncias gerenciadas do Systems Manager. Para obter mais informações sobre como provisionar essas instâncias, consulte [Gerenciando EC2 instâncias com Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

1. Escolha **Avançar** para abrir a página **Revisar e criar avaliação do diretório**.

1. Na página **Revisar e criar avaliação do diretório**, analise as informações da avaliação do diretório e faça as alterações necessárias. Quando as informações estiverem corretas, escolha **Criar avaliação**. A criação da avaliação do diretório leva cerca de 30 minutos. Você retornará à página de Detalhes dos diretórios. Um banner verde aparecerá quando a avaliação do diretório for bem-sucedida.
**Atenção**  
Para criar um diretório híbrido, a avaliação do diretório deve entrar em um estado de SUCESSO. Você não pode criar um diretório híbrido sem a aprovação em uma avaliação de diretório.

# Como visualizar avaliações de diretório
<a name="viewing_hybrid_dir_assessment"></a>

Você pode visualizar as avaliações do diretório no Console de gerenciamento da AWS para revisar os resultados da avaliação e gerenciar seus relatórios de avaliação.

**Para visualizar uma avaliação de diretório**

1. Abra o Directory Service console em [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Na página **Diretórios**, na seção **Teste de avaliações de diretórios híbridos**, escolha a avaliação que deseja visualizar. Será aberta a página de detalhes da avaliação.

1. Na página de detalhes da avaliação, você pode escolher:
   + **Download** para baixar o relatório de avaliação do diretório como um arquivo CSV.
   + **Excluir** para excluir o relatório de avaliação do diretório.
   + **Criar avaliação** para criar uma nova avaliação de diretório.

1. Na página de detalhes da avaliação, você pode visualizar as seguintes informações:

   1. Informações da avaliação como ID, status, se ela foi criada pelo cliente ou pelo sistema e quando foi atualizada pela última vez.

   1. Detalhes do AD autogerenciado como nome DNS, VPC e sub-redes.

   1. AWS O Systems Manager gerenciava as informações do nó, como endereço IP, status da avaliação e o número de testes de avaliação aprovados e reprovados.

   1. Status da avaliação para controladores de domínio. Você também pode revisar os detalhes do teste de avaliação escolhendo os controladores de domínio. Os códigos de erro aparecem na coluna **Status** para testes de avaliação reprovados.

# Como excluir avaliações de diretório
<a name="deleting_hybrid_dir_assessment"></a>

Você pode excluir avaliações de diretórios criadas pelo cliente no Console de gerenciamento da AWS. Você não pode excluir avaliações iniciadas pelo sistema que AWS são criadas automaticamente.

**Para excluir uma avaliação do diretório de cliente**

1. Abra o Directory Service console em [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Na página **Diretórios**, na seção **Avaliações do diretório**, escolha a avaliação do cliente que deseja excluir. Como alternativa, você pode escolher a caixa de seleção ao lado das avaliações do diretório que deseja excluir e, no menu **Ações**, escolher **Excluir**.

1. Isso direciona você à página de detalhes da **Avaliação**. Escolha **Ações** e, em seguida, escolha **Excluir avaliação**. A caixa de diálogo **Excluir avaliação de diretório** é exibida. Escolha **Excluir**.

# Solução de problemas do diretório híbrido e da avaliação do diretório
<a name="hybrid_directory_troubleshooting"></a>

É exigida uma avaliação de diretório para criar um diretório híbrido. Os testes de avaliação são executados em cada controlador de domínio. Os testes de avaliação examinam diferentes áreas e resultam em um status de aprovado ou reprovado. Se a avaliação de diretório falhar, você poderá visualizar os testes de avaliação dos controladores de domínio para identificar quais problemas causaram a falha.

**Importante**  
Um diretório híbrido pode ser criado quando o status da avaliação do diretório for Aprovado com aviso. Recomendamos que você resolva o problema que está causando o aviso antes de criar um diretório híbrido.

**Topics**
+ [Como solucionar problemas de avaliação de diretório híbrido com falha](#hybrid_directory_troubleshooting_steps)
+ [Erros de status do diretório](hybrid_directory_status_errors.md)
+ [Mensagens de erro de avaliação de diretório](da-error-msgs.md)
+ [Mensagens de erro do teste de avaliação](assessment_test_error-msgs.md)
+ [Mensagens de aviso do Teste de avaliação](assessment_test_warning-msgs.md)

## Como solucionar problemas de avaliação de diretório híbrido com falha
<a name="hybrid_directory_troubleshooting_steps"></a>

Você pode solucionar uma falha na avaliação de diretório na página **Diretórios** no Console de gerenciamento da AWS.

1. Faça login no Console de gerenciamento da AWS e abra o Directory Service console em [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Na seção **Avaliações de diretório**, selecione a avaliação do diretório híbrido que falhou.

1. Na página **Detalhes da avaliação**, analise a avaliação do diretório e identifique quais testes falharam.

   1. Os testes de avaliação do controlador de domínio terão mais informações sobre quais testes foram bem-sucedidos ou falharam. A coluna **Status** fornece mais detalhes sobre o que causou a falha no teste. Para ver os testes de avaliação do controlador de domínio, consulte [Como visualizar avaliações de diretório](viewing_hybrid_dir_assessment.md).

1. Resolva os problemas que causam falhas no Active Directory autogerenciado ou no AWS Managed Microsoft AD. Consulte [Mensagens de erro de avaliação de diretório](da-error-msgs.md) e [Mensagens de erro do teste de avaliação](assessment_test_error-msgs.md) para obter mais informações.

1. Retorne à avaliação que falhou no Directory Service console. Escolha **Criar avaliação** na mensagem de aviso vermelha. Consulte [Como criar um diretório híbrido com o AD autogerenciado](hybrid_directory_create.md#creating_hybrid_directory) para obter mais informações sobre como criar uma avaliação de diretório.

# Erros de status do diretório
<a name="hybrid_directory_status_errors"></a>

Directory Service os diretórios podem encontrar vários estados que indicam diferentes tipos de problemas. Entenda esses estados para ajudar a determinar as etapas apropriadas de solução de problemas.


**Tipos de status de diretório**  

| Status | Description | Ação necessária | 
| --- | --- | --- | 
| Ativo | A criação do diretório foi concluída com sucesso e está funcionando normalmente. | Nenhuma ação necessária. | 
| Impaired (Degradado) | O diretório foi criado com sucesso, mas o controlador de domínio encontrou problemas posteriormente. O sistema tenta a recuperação automática. | Monitore o status do diretório. Se o problema persistir, entre em contato com o AWS Support. | 
| Failed | A criação de diretório falhou e é irrecuperável. | Exclua o diretório com falha e crie um novo. | 
| Inoperante (somente AD híbrido) | AWS detectou um problema de segurança e isolou automaticamente o diretório para proteção. O diretório torna-se completamente inutilizável até ser restaurado. |  Entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/) imediatamente. Esse status requer Suporte intervenção para investigar e restaurar o diretório. | 

# Mensagens de erro de avaliação de diretório
<a name="da-error-msgs"></a>

Para criar um diretório híbrido, você precisa de aprovação em uma avaliação de diretório. As avaliações de diretório podem falhar por vários motivos.

A tabela a seguir mostra mensagens de erro de avaliação de diretório e como resolvê-las.


**Mensagens de erro e resoluções de avaliação de diretório**  

| Mensagem de erro de avaliação de diretório | Resolução | 
| --- | --- | 
|  Essa avaliação falhou em vários testes em ambas as instâncias gerenciadas. Investigue os testes que falharam, selecionando cada instância gerenciada e resolvendo-as no diretório on-premises. Em seguida, crie uma nova avaliação.  |  Um ou mais dos testes de avaliação de diretório falharam no AD autogerenciado. Consulte [Mensagens de erro do teste de avaliação](assessment_test_error-msgs.md) para obter mais informações sobre falhas de teste específicas e as respectivas resoluções.  | 
|  Essa avaliação falhou devido à Exceção de Serviço Interno. Tente novamente criando uma nova avaliação ou entre em contato com o serviço para solucionar problemas.  |  Tente criar uma nova avaliação de diretório Se você continuar a apresentar esse erro, entre em contato com o [Suporte](https://aws.amazon.com/premiumsupport/).  | 
|  Essa avaliação falhou devido à falta de permissão para realizar uma ação como `ec2:CreateSecurityGroup`, `ec2:DeleteSecurityGroup`, `ec2:CreateNetworkInterface`, `ec2:DeleteNetworkInterface`, `ec2:DescribeSubnets` e `ec2:DescribeNetworkInterface`.  |  Para criar uma avaliação de diretório, você Conta da AWS precisa do necessário[Conta da AWS permissões](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms).  | 
|  Essa avaliação falhou devido à falta de permissão para realizar uma ação como `ssm:GetConnectionStatus`, `ssm:GetCommandInvocation`, `ssm:ListCommands`, `ssm:SendCommand`.  |  Para criar uma avaliação de diretório, você precisará de dois nós do Systems Manager com o [Conta da AWS permissões](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms) necessário.  | 
|  Essa avaliação falhou porque você atingiu o limite do número de interfaces de rede que podem ser criadas. Para obter mais informações, consulte as [Amazon VPC cotas](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Para criar uma avaliação de diretório, você deve criar uma interface de rede e grupos de segurança. Há limites quanto ao número de recursos de VPC que você pode criar, mas você pode ajustar alguns deles. Para obter mais informações, consulte as [Amazon VPC cotas](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  | 
|  Essa avaliação falhou porque você atingiu o limite do número de grupos de segurança que você pode criar ou atribuir a uma instância. Para obter mais informações, consulte as [Amazon VPC cotas](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Para criar uma avaliação de diretório, você deve criar uma interface de rede e grupos de segurança. Há limites quanto ao número de recursos de VPC que você pode criar, mas você pode ajustar alguns deles. Para obter mais informações, consulte as [Amazon VPC cotas](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll).  | 
|  Essa avaliação falhou. Não é possível se conectar às instâncias do cliente de AWS Systems Manager.  |  Para criar uma avaliação de diretório, você precisará de dois AWS Systems Manager nós que tenham um status conectado. Consulte [Solução de problemas do SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html).   | 
|  Essa avaliação falhou em vários testes críticos. Investigue os testes que falharam, selecionando cada instância gerenciada e resolva-as no diretório on-premises. Em seguida, crie uma nova avaliação.  |  Um ou mais dos testes de avaliação de diretório falharam no AD autogerenciado. Consulte [Mensagens de erro do teste de avaliação](assessment_test_error-msgs.md) para obter mais informações.  | 

# Mensagens de erro do teste de avaliação
<a name="assessment_test_error-msgs"></a>

A tabela a seguir descreve as mensagens de erro que podem ocorrer durante os testes de avaliação. Esses erros indicam problemas de bloqueio que devem ser resolvidos antes de prosseguir com a configuração do diretório híbrido.


| Nome do teste | Nome curto | Código de erro | Mensagem de erro | Description | Resolução | 
| --- | --- | --- | --- | --- | --- | 
| Teste do Active Directory Services | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Ocorre se os serviços exigidos do AD não estiverem em execução no AD autogerenciado. | Os serviços exigidos específicos do AD devem estar em execução no AD autogerenciado. Para obter mais informações, consulte [Serviços do Active Directory exigidos](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). | 
| Teste do Active Directory Services | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Garanta que os controladores de domínio do AD autogerenciado estejam operacionais e possam ser acessados. Verifique a conectividade da rede e a resolução do DNS para os controladores de domínio do AD autogerenciado. | 
| Teste de política de senha do AD | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Ocorre se sua política de senha autogerenciada do AD não atender aos requisitos do AWS Managed Microsoft AD. | A política de senha do AD autogerenciadodeve atender aos requisitos de senha do AWS Managed Microsoft AD. Para obter mais informações, consulte [Compreendendo as políticas de senha AWS gerenciadas do Microsoft AD](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). | 
| AWS Teste de existência de usuário administrador | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Ocorre se o usuário administrador do diretório híbrido não existir no AWS Reservado OU em seu AD autogerenciado. | Certifique-se de que o usuário administrador do diretório híbrido exista na OU Reservada da AWS no AD autogerenciado. Se o usuário estiver ausente, verifique se a conta foi criada corretamente durante o processo de configuração do diretório híbrido. [Como atualizar um diretório híbrido](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Se o estado do diretório híbrido estiver inoperante, entre em contato com o [Suporte](https://console.aws.amazon.com/support/home#/). | 
| AWS SPNTeste de usuário administrativo | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Ocorre se o usuário administrador do diretório híbrido tiver SPNs configurados no AD autogerenciado. | Remova todos os nomes principais de serviço (SPNs) da conta de usuário do administrador do diretório AWS híbrido. O usuário administrador do diretório híbrido não deve ter SPNs configurados porque eles podem interferir na autenticação do diretório híbrido. | 
| AWS Teste de controlador de domínio não FSMO proprietário | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Ocorre se você tiver transferido os perfis FSMO (PDC Emulator, RID Master ou Infrastructure Master) do AD autogerenciado para o controlador de domínio do diretório híbrido. | Transfira todos os perfis FSMO (PDC Emulator, RID Master, Infrastructure Master) de volta para os controladores de domínio do AD autogerenciado antes de continuar. Para obter mais informações, consulte a [documentação da Microsoft sobre a transferência de perfis FSMO](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). | 
| AWS Teste de associação a grupos reservados | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Ocorre se o AWS Reservado OU em seu AD autogerenciado não existir. | O AWS Reservado OU deve existir em seu AD autogerenciado para validar a associação ao grupo. Entre em contato com a [Suporte](https://console.aws.amazon.com/support/home#/). | 
| AWS Teste de associação a grupos reservados | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Ocorre se grupos no AWS Reservado OU em seu AD autogerenciado contiverem usuários não autorizados. | Remova todos os usuários não autorizados dos OU grupos AWS reservados em seu AD autogerenciado. | 
| AWS OUACLsTeste reservado | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Ocorre se o AWS Reservado OU ACLs em seu AD autogerenciado não impõe permissões somente de leitura para entidades não autorizadas AWS e não impede o acesso não autorizado a recursos gerenciados. AWS | Revise e corrija as permissões no AWS Reservado OU ACLs em seu AD autogerenciado. Certifique-se de que as pessoas que sejam entidades não da AWS tenham apenas permissões de leitura (`ListChildren`, `ReadProperty`, `ListObject`, `ReadControl`, `GenericRead`, `Synchronize`) e remova todas as permissões excessivas. | 
| AWS Teste de OU GPO associações reservadas | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Ocorre se os controladores AWS reservados OU e de domínio OU em seu AD autogerenciado estiverem vinculados a controladores não autorizados. GPOs | (Somente objetos de política de grupo AWS gerenciados (GPOs) podem ser vinculados a elesOUs. Remova qualquer GPOs vinculado não autorizado aos controladores AWS reservados OU e de domínio OU em seu AD autogerenciado. | 
| AWS Teste de OU recursos reservados | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Ocorre se o AWS Reservado OU não existir em seu AD autogerenciado, o que é necessário para a funcionalidade de diretório AWS gerenciado do Microsoft AD. | O AWS Reservado OU deve ser criado automaticamente durante a configuração do diretório híbrido e não deve ser excluído. Se esse erro persistir, entre em contato com o [Suporte](https://console.aws.amazon.com/support/home#/). | 
| AWS Teste de OU recursos reservados | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Ocorre se o AWS Reservado OU criado em seu AD autogerenciado não contiver os objetos necessários e GPOs para a operação adequada do diretório híbrido. | Certifique-se de que ninguém edite o AWS Reservado. OU Ele deve conter os recursos AWS gerenciados necessários. Remova quaisquer objetos ou GPOs não autorizados e entre em contato com o [Suporte](https://console.aws.amazon.com/support/home#/) se os recursos exigidos estiverem ausentes. | 
| AWS OUTeste reservado | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Ocorre se os recursos AWS reservados encontrados em seu AD autogerenciado de uma configuração anterior de diretório híbrido ainda existirem. | Exclua do console o diretório híbrido existente com falha. Em seguida, exclua qualquer AWS reservado OU e relacionado GPOs do seu AD autogerenciado antes de continuar. | 
| Teste de contexto de nomenclatura do Bridgehead  | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Ocorre se a replicação do AD autogerenciado entre sites que usam o Bridgehead não estiver funcionando conforme o esperado. Também pode ocorrer se os contextos de nomenclatura não estiverem sincronizados entre os sites. | O site bridgehead do AD autogerenciado deve ser bem-sucedido. Você pode fazer um diagnóstico adicional com: `repadmin /bridgeheads /verbose`. Resolva os problemas dessa avaliação antes de continuar. | 
| Teste de domínio secundário | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Ocorre se sua floresta autogerenciada do AD contiver domínios secundários, que não são suportados pelos diretórios gerenciados AWS do Microsoft AD. | AWS Os diretórios gerenciados do Microsoft AD não oferecem suporte a domínios secundários. Você deve usar uma floresta de domínio único para o AD autogerenciado. Para obter mais informações, consulte [Requisitos de domínio do Microsoft Active Directory](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Teste do DcDiag | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Ocorre se algum teste do Microsoft DCDiag falhar no AD autogerenciado. | AWS usa DCDiag para testar seu AD autogerenciado. Se houver erros, você não poderá criar um diretório híbrido. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). | 
| Teste de correspondência de IP de DNS | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Ocorre se os endereços IP de DNS fornecidos pelo AD autogerenciado não corresponderem aos endereços IP de DNS dos controladores de domínio do AD autogerenciado que estão habilitados com o AWS Systems Manager. | Forneça os endereços IP de DNS corretos. | 
| Teste de correspondência de nome do DNS | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Ocorre se o nome do DNS fornecido para o AD autogerenciado não corresponder ao nome do DNS nos controladores de domínio do AD autogerenciado habilitados com o AWS Systems Manager. | Forneça o nome do DNS correto. | 
| Teste de registros de DNS | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Ocorre se os registros de DNS do Windows não estiverem definidos para o tipo A, NS, SOA e SRV e puderem ser consultados. | Os registros de DNS de Endereço (A), Namespace (NS), Início de Autoridade (SOA) e Registro de Serviço (SRV) devem ser definidos e podem ser consultados. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). | 
| Teste de nível funcional da floresta de domínio | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Ocorre se o domínio do AD autogerenciado e os níveis funcionais da floresta não atenderem aos requisitos mínimos. | O AD autogerenciado deve usar o nível funcional Windows 2012 R2 ou 2016. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). | 
| Testes de integridade de domínio | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Ocorre se o AD autogerenciado não tiver o número mínimo exigido de controladores de domínio. | Certifique-se de que seu AD autogerenciado tenha pelo menos dois controladores de domínio habilitados com. AWS Systems Manager Para obter mais informações, consulte [Requisitos de domínio do Microsoft Active Directory](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Teste de domínio existente | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Ocorre se o domínio do AD autogerenciado já estiver associado a um diretório híbrido existente. | O domínio do AD autogerenciado já está associado a um diretório híbrido existente. Cada domínio do AD autogerenciado associado a um diretório híbrido deve ser exclusivo. Crie um novo domínio do AD autogerenciado ou remova-o da configuração do diretório híbrido à qual está associado. | 
| Teste de conectividade do FSMO | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Ocorre se FSMO as funções,PDC Emulator, and/or RID Master IPs em seu AD autogerenciado não forem roteáveis. | O Controlador de Domínio Primário (PDC) deve ser roteável por todo o tempo. Especificamente, o PDC Emulator fim RID Master IPs do seu AD autogerenciado. Para obter mais informações, consulte [Requisitos de domínio do Microsoft Active Directory](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Teste de conectividade do FSMO | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Ocorre se os controladores de domínio do AD autogerenciado não conseguirem acessar os perfis FSMO. | O perfil Flexible Single Master Operation (FSMO) no AD autogerenciado deve estar conectado aos controladores de domínio do AD autogerenciado. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| Teste de conflito de IP | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Ocorre se os intervalos de IP do AD autogerenciado se sobrepõem aos intervalos reservados da AWS . | Seu AD autogerenciado não pode usar um intervalo de endereços IP que se sobreponha aos intervalos de IP reservados AWS . Para obter mais informações, consulte [Requisitos de domínio do Microsoft Active Directory](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Teste do Kerberos | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Ocorre se o Kerberos não estiver configurado corretamente e em uso. | O Kerberos deve estar habilitado no AD autogerenciado. Para obter mais informações, consulte a [Documentação do Microsoft](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). | 
| Teste de conectividade do LDAP | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Ocorre se o LDAP não funcionar. | O Lightweight Directory Access Protocol (LDAP) deve estar habilitado e funcionando no AD autogerenciado. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). | 
| Teste do controlador de domínio não somente leitura para FSMO | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Ocorre se o perfil FSMO de controlador de domínio do AD autogerenciado for RODC. | O controlador de domínio do AD autogerenciado não deve usar um perfil de controlador de domínio somente leitura (RODC) Flexible Single Master Operation (FSMO). Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| Teste de replicação de senha do controlador de domínio somente leitura | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | Ocorre se o RODC tiver permissão para replicar senhas de administrador. | O RODC para o AD autogerenciado deve ter permissão explicitamente negada para replicar senhas de administrador. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). | 
| Teste de controlador de domínio somente leitura | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Ocorre se os controladores de domínio do AD autogerenciado estiverem no modo ReadOnlyDC. | O AD autogerenciado deve ter controladores de domínio de leitura e gravação. Para obter mais informações sobre os tipos de controladores de domínio, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers). | 
| Teste de conectividade de porta remota | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Ocorre se as portas necessárias em sua AWS sub-rede e seu controlador de domínio AD autogerenciado não estiverem abertas. | Certifique-se de que todas as portas necessárias estejam abertas entre sua AWS sub-rede e seu AD autogerenciado. Consulte [Requisitos de porta de rede](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports) para obter mais informações. | 
| Teste de replicação | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Ocorre se a replicação dos controladores de domínio do AD autogerenciado falhar. | O status de replicação dos controladores de domínio do AD autogerenciado deve ser bem-sucedido. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). | 
| Teste do SMBV1 | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Ocorre se o AD autogerenciado estiver usando o SMBv1 atualmente para autenticação. | O SMBv1 é conhecido por não ser seguro e deve estar desabilitado no AD autogerenciado. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). | 
| Teste de permissões de usuário do SSM | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Ocorre se o usuário do Windows usado pelo SSM não tiver privilégios suficientes. | Você precisará de permissões de Windows administrador para os agentes AWS do System Manager (SSM) em seu AD autogerenciado. Para obter mais informações, consulte [Conta da AWS permissões](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). | 
| Teste de replicação do Sysvol | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Ocorre se o AD autogerenciado não tiver o método de replicação do sysvol correto (DFSR) e se DCs falharam durante o evento de replicação do DFSR. | O método de replicação sysvol do AD autogerenciado (DFSR) deve ser bem-sucedido. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). | 
| Teste do GPO de nível superior | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Ocorre se o AD autogerenciado tiver GPOs de nível superior definidos como Imposto. | Certifique-se de que o objeto de política de grupo de nível superior do domínio do AD autogerenciado (GPO) não esteja definido como Imposto. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). | 
| Teste de tipos de confiança | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Ocorre se o AD autogerenciado tiver tipos de confiança não compatíveis. | Uplevel é o único tipo de confiança compatível com o diretório híbrido. O AD autogerenciado não pode ter os seguintes tipos de confiança: DCE, MIT, Downlevel. Para obter mais informações sobre tipos de confiança, consulte a [documentação da Microsoft.](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions) | 
| Teste de controlador de domínio válido | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Ocorre se as instâncias do AD autogerenciado fornecidas não forem controladores de domínio ou se já fizerem parte de outro diretório híbrido. | Forneça controladores de domínio do AD autogerenciado que sejam exclusivos desse diretório híbrido. Tente novamente com um novo diretório. Certifique-se de ter excluído o diretório híbrido com falha e qualquer um do AWS OU seu AD autogerenciado. | 

# Mensagens de aviso do Teste de avaliação
<a name="assessment_test_warning-msgs"></a>

A tabela a seguir descreve as mensagens de aviso que podem ocorrer durante os testes de avaliação. Esses avisos representam recomendações para uma configuração ideal, mas não impedem a configuração do diretório híbrido.


| Nome do teste | Nome curto | Código de aviso | Mensagem de aviso | Description | Resolução | 
| --- | --- | --- | --- | --- | --- | 
| Testes de integridade de domínio | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Ocorre se houver contas de usuário no AD autogerenciado que não estejam conectadas por um longo período e possam ser consideradas obsoletas ou inativas. | Limpe as contas de usuário obsoletas. | 
| Teste de fonte de tempo do controlador de domínio | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Ocorre se o AD autogerenciado tiver a configuração correta da fonte de tempo e se não houver uma grande distorção de tempo em comparação com uma fonte de tempo da AWS . | O servidor de tempo principal do controlador de domínio (PDC) é direcionado para `169.254.169.123`. Os controladores de domínio não primários devem ser apontados para PDC como fonte. Para obter mais informações, consulte [Manter a hora com Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/). | 
| Teste de espaço livre | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Ocorre se o NTDS combinado do AD autogerenciado e o uso do Sysvol estiverem acima da cota suportada. | O AD autogerenciado deve ter 24 GB de espaço em disco para diretórios híbridos. | 
| Teste do FSMO Roles | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Ocorre se os perfis FSMO (emulador PDC e mestre de RID) não estiverem entre os dois controladores de domínio fornecidos quando você cria um diretório híbrido. | O diretório híbrido deve ter os dois perfis FSMO (emulador de PDC e mestre de RID) entre os dois controladores de domínio que você fornece ao criar um diretório híbrido. Para obter mais informações, consulte [Como visualizar e transferir perfis FSMO](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). | 
| Teste do canal S SSP | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Ocorre se um AD autogerenciado não usa criptografia TLS1.2 e AES256. | O AD autogerenciado deve usar TLS 1.2 e AES256 para diretórios híbridos. | 
| Teste de corrupção de disco | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Ocorre se houver corrupção de disco no AD autogerenciado. | Os discos do AD autogerenciado não devem ser corrompidos. | 
| Teste de especificações do controlador de domínio | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Ocorre se os controladores de domínio do AD autogerenciado não atenderem às especificações exigidas. | Os controladores de domínio do AD autogerenciado devem ter pelo menos 7 GB de RAM e 2 núcleos de CPU para o diretório híbrido. | 
| Teste de plug-in em nível de servidor Dll | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Ocorre se ServerLevelPluginDll estiver configurado nos controladores de domínio do AD autogerenciado. | Os controladores de domínio do AD autogerenciado não deveriam ter ServerLevelPluginDII configurado. | 
| Permitir teste cripto do NT4 | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Ocorre se o AD autogerenciado permitir a criptografia NT4. | O AD autogerenciado não deve usar a criptografia NT4. Para obter mais informações, consulte a documentação do Microsoft. | 
| Teste de usuários administradores órfãos | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Ocorre se existirem usuários administradores órfãos no AD autogerenciado. | Remova os usuários órfãos do AD autogerenciado antes de continuar. | 
| Teste de contagem de usuários privilegiados | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Ocorre se a contagem total de administradores integrados, administradores de domínio e administradores corporativos no AD autogerenciado for maior que 5. | O ambiente do AD autogerenciado não deve ter várias contas privilegiadas. Você deve remover contas de administrador excessivas antes de continuar. | 
| Teste de contagem de usuários privilegiados | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Ocorre se a contagem total de administradores integrados, administradores de domínio e administradores corporativos no AD autogerenciado for maior que 5. | O ambiente do AD autogerenciado não deve ter várias contas privilegiadas. Você deve remover contas de administrador excessivas antes de continuar. | 
| Teste de contagem de usuários privilegiados | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Ocorre se a contagem total de administradores integrados, administradores de domínio e administradores corporativos no AD autogerenciado for maior que 5. | O ambiente do AD autogerenciado não deve ter várias contas privilegiadas. Você deve remover contas de administrador excessivas antes de continuar. | 
| Teste do NTLM | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Ocorre se NTLMv1 estiver habilitada para autenticação no AD autogerenciado. | O NT LAN Manager versão 1 (NTLMv1) tem vulnerabilidades de segurança conhecidas e não deve ser usado. Desabilite NTLMv1 no AD autogerenciado. Para obter mais informações, consulte a [documentação da Microsoft](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). | 
| Teste de vida útil de Tombstone | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Ocorre se a vida útil do Tombstone no AD autogerenciado for superior a 180 dias. | A vida útil do Tombstone é o número de dias antes de um objeto excluído ser removido do AD. O valor da vida útil do Tombstone no AD autogerenciado deve ser de 180 dias ou menos. Para obter mais informações, consulte a [Documentação do Microsoft](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |