As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Solução de problemas do diretório híbrido e da avaliação do diretório
É exigida uma avaliação de diretório para criar um diretório híbrido. Os testes de avaliação são executados em cada controlador de domínio. Os testes de avaliação examinam diferentes áreas e resultam em um status de aprovado ou reprovado. Se a avaliação de diretório falhar, você poderá visualizar os testes de avaliação dos controladores de domínio para identificar quais problemas causaram a falha.
**Importante**
Um diretório híbrido pode ser criado quando o status da avaliação do diretório for Aprovado com aviso. Recomendamos que você resolva o problema que está causando o aviso antes de criar um diretório híbrido.
**Topics**
+ [Como solucionar problemas de avaliação de diretório híbrido com falha](#hybrid_directory_troubleshooting_steps)
+ [Erros de status do diretório](hybrid_directory_status_errors.md)
+ [Mensagens de erro de avaliação de diretório](da-error-msgs.md)
+ [Mensagens de erro do teste de avaliação](assessment_test_error-msgs.md)
+ [Mensagens de aviso do Teste de avaliação](assessment_test_warning-msgs.md)
## Como solucionar problemas de avaliação de diretório híbrido com falha
Você pode solucionar uma falha na avaliação de diretório na página **Diretórios** no Console de gerenciamento da AWS.
1. Faça login no Console de gerenciamento da AWS e abra o Directory Service console em [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Na seção **Avaliações de diretório**, selecione a avaliação do diretório híbrido que falhou.
1. Na página **Detalhes da avaliação**, analise a avaliação do diretório e identifique quais testes falharam.
1. Os testes de avaliação do controlador de domínio terão mais informações sobre quais testes foram bem-sucedidos ou falharam. A coluna **Status** fornece mais detalhes sobre o que causou a falha no teste. Para ver os testes de avaliação do controlador de domínio, consulte [Como visualizar avaliações de diretório](viewing_hybrid_dir_assessment.md).
1. Resolva os problemas que causam falhas no Active Directory autogerenciado ou no AWS Managed Microsoft AD. Consulte [Mensagens de erro de avaliação de diretório](da-error-msgs.md) e [Mensagens de erro do teste de avaliação](assessment_test_error-msgs.md) para obter mais informações.
1. Retorne à avaliação que falhou no Directory Service console. Escolha **Criar avaliação** na mensagem de aviso vermelha. Consulte [Como criar um diretório híbrido com o AD autogerenciado](hybrid_directory_create.md#creating_hybrid_directory) para obter mais informações sobre como criar uma avaliação de diretório.
# Erros de status do diretório
Directory Service os diretórios podem encontrar vários estados que indicam diferentes tipos de problemas. Entenda esses estados para ajudar a determinar as etapas apropriadas de solução de problemas.
**Tipos de status de diretório**
| Status | Description | Ação necessária |
| --- | --- | --- |
| Ativo | A criação do diretório foi concluída com sucesso e está funcionando normalmente. | Nenhuma ação necessária. |
| Impaired (Degradado) | O diretório foi criado com sucesso, mas o controlador de domínio encontrou problemas posteriormente. O sistema tenta a recuperação automática. | Monitore o status do diretório. Se o problema persistir, entre em contato com o AWS Support. |
| Failed | A criação de diretório falhou e é irrecuperável. | Exclua o diretório com falha e crie um novo. |
| Inoperante (somente AD híbrido) | AWS detectou um problema de segurança e isolou automaticamente o diretório para proteção. O diretório torna-se completamente inutilizável até ser restaurado. | Entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/) imediatamente. Esse status requer Suporte intervenção para investigar e restaurar o diretório. |
# Mensagens de erro de avaliação de diretório
Para criar um diretório híbrido, você precisa de aprovação em uma avaliação de diretório. As avaliações de diretório podem falhar por vários motivos.
A tabela a seguir mostra mensagens de erro de avaliação de diretório e como resolvê-las.
**Mensagens de erro e resoluções de avaliação de diretório**
| Mensagem de erro de avaliação de diretório | Resolução |
| --- | --- |
| Essa avaliação falhou em vários testes em ambas as instâncias gerenciadas. Investigue os testes que falharam, selecionando cada instância gerenciada e resolvendo-as no diretório on-premises. Em seguida, crie uma nova avaliação. | Um ou mais dos testes de avaliação de diretório falharam no AD autogerenciado. Consulte [Mensagens de erro do teste de avaliação](assessment_test_error-msgs.md) para obter mais informações sobre falhas de teste específicas e as respectivas resoluções. |
| Essa avaliação falhou devido à Exceção de Serviço Interno. Tente novamente criando uma nova avaliação ou entre em contato com o serviço para solucionar problemas. | Tente criar uma nova avaliação de diretório Se você continuar a apresentar esse erro, entre em contato com o [Suporte](https://aws.amazon.com/premiumsupport/). |
| Essa avaliação falhou devido à falta de permissão para realizar uma ação como `ec2:CreateSecurityGroup`, `ec2:DeleteSecurityGroup`, `ec2:CreateNetworkInterface`, `ec2:DeleteNetworkInterface`, `ec2:DescribeSubnets` e `ec2:DescribeNetworkInterface`. | Para criar uma avaliação de diretório, você Conta da AWS precisa do necessário[Conta da AWS permissões](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| Essa avaliação falhou devido à falta de permissão para realizar uma ação como `ssm:GetConnectionStatus`, `ssm:GetCommandInvocation`, `ssm:ListCommands`, `ssm:SendCommand`. | Para criar uma avaliação de diretório, você precisará de dois nós do Systems Manager com o [Conta da AWS permissões](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms) necessário. |
| Essa avaliação falhou porque você atingiu o limite do número de interfaces de rede que podem ser criadas. Para obter mais informações, consulte as [Amazon VPC cotas](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Para criar uma avaliação de diretório, você deve criar uma interface de rede e grupos de segurança. Há limites quanto ao número de recursos de VPC que você pode criar, mas você pode ajustar alguns deles. Para obter mais informações, consulte as [Amazon VPC cotas](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| Essa avaliação falhou porque você atingiu o limite do número de grupos de segurança que você pode criar ou atribuir a uma instância. Para obter mais informações, consulte as [Amazon VPC cotas](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Para criar uma avaliação de diretório, você deve criar uma interface de rede e grupos de segurança. Há limites quanto ao número de recursos de VPC que você pode criar, mas você pode ajustar alguns deles. Para obter mais informações, consulte as [Amazon VPC cotas](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll). |
| Essa avaliação falhou. Não é possível se conectar às instâncias do cliente de AWS Systems Manager. | Para criar uma avaliação de diretório, você precisará de dois AWS Systems Manager nós que tenham um status conectado. Consulte [Solução de problemas do SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html). |
| Essa avaliação falhou em vários testes críticos. Investigue os testes que falharam, selecionando cada instância gerenciada e resolva-as no diretório on-premises. Em seguida, crie uma nova avaliação. | Um ou mais dos testes de avaliação de diretório falharam no AD autogerenciado. Consulte [Mensagens de erro do teste de avaliação](assessment_test_error-msgs.md) para obter mais informações. |
# Mensagens de erro do teste de avaliação
A tabela a seguir descreve as mensagens de erro que podem ocorrer durante os testes de avaliação. Esses erros indicam problemas de bloqueio que devem ser resolvidos antes de prosseguir com a configuração do diretório híbrido.
| Nome do teste | Nome curto | Código de erro | Mensagem de erro | Description | Resolução |
| --- | --- | --- | --- | --- | --- |
| Teste do Active Directory Services | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Ocorre se os serviços exigidos do AD não estiverem em execução no AD autogerenciado. | Os serviços exigidos específicos do AD devem estar em execução no AD autogerenciado. Para obter mais informações, consulte [Serviços do Active Directory exigidos](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). |
| Teste do Active Directory Services | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Garanta que os controladores de domínio do AD autogerenciado estejam operacionais e possam ser acessados. Verifique a conectividade da rede e a resolução do DNS para os controladores de domínio do AD autogerenciado. |
| Teste de política de senha do AD | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Ocorre se sua política de senha autogerenciada do AD não atender aos requisitos do AWS Managed Microsoft AD. | A política de senha do AD autogerenciadodeve atender aos requisitos de senha do AWS Managed Microsoft AD. Para obter mais informações, consulte [Compreendendo as políticas de senha AWS gerenciadas do Microsoft AD](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). |
| AWS Teste de existência de usuário administrador | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Ocorre se o usuário administrador do diretório híbrido não existir no AWS Reservado OU em seu AD autogerenciado. | Certifique-se de que o usuário administrador do diretório híbrido exista na OU Reservada da AWS no AD autogerenciado. Se o usuário estiver ausente, verifique se a conta foi criada corretamente durante o processo de configuração do diretório híbrido. [Como atualizar um diretório híbrido](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Se o estado do diretório híbrido estiver inoperante, entre em contato com o [Suporte](https://console.aws.amazon.com/support/home#/). |
| AWS SPNTeste de usuário administrativo | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Ocorre se o usuário administrador do diretório híbrido tiver SPNs configurados no AD autogerenciado. | Remova todos os nomes principais de serviço (SPNs) da conta de usuário do administrador do diretório AWS híbrido. O usuário administrador do diretório híbrido não deve ter SPNs configurados porque eles podem interferir na autenticação do diretório híbrido. |
| AWS Teste de controlador de domínio não FSMO proprietário | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Ocorre se você tiver transferido os perfis FSMO (PDC Emulator, RID Master ou Infrastructure Master) do AD autogerenciado para o controlador de domínio do diretório híbrido. | Transfira todos os perfis FSMO (PDC Emulator, RID Master, Infrastructure Master) de volta para os controladores de domínio do AD autogerenciado antes de continuar. Para obter mais informações, consulte a [documentação da Microsoft sobre a transferência de perfis FSMO](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). |
| AWS Teste de associação a grupos reservados | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Ocorre se o AWS Reservado OU em seu AD autogerenciado não existir. | O AWS Reservado OU deve existir em seu AD autogerenciado para validar a associação ao grupo. Entre em contato com a [Suporte](https://console.aws.amazon.com/support/home#/). |
| AWS Teste de associação a grupos reservados | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Ocorre se grupos no AWS Reservado OU em seu AD autogerenciado contiverem usuários não autorizados. | Remova todos os usuários não autorizados dos OU grupos AWS reservados em seu AD autogerenciado. |
| AWS OUACLsTeste reservado | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Ocorre se o AWS Reservado OU ACLs em seu AD autogerenciado não impõe permissões somente de leitura para entidades não autorizadas AWS e não impede o acesso não autorizado a recursos gerenciados. AWS | Revise e corrija as permissões no AWS Reservado OU ACLs em seu AD autogerenciado. Certifique-se de que as pessoas que sejam entidades não da AWS tenham apenas permissões de leitura (`ListChildren`, `ReadProperty`, `ListObject`, `ReadControl`, `GenericRead`, `Synchronize`) e remova todas as permissões excessivas. |
| AWS Teste de OU GPO associações reservadas | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Ocorre se os controladores AWS reservados OU e de domínio OU em seu AD autogerenciado estiverem vinculados a controladores não autorizados. GPOs | (Somente objetos de política de grupo AWS gerenciados (GPOs) podem ser vinculados a elesOUs. Remova qualquer GPOs vinculado não autorizado aos controladores AWS reservados OU e de domínio OU em seu AD autogerenciado. |
| AWS Teste de OU recursos reservados | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Ocorre se o AWS Reservado OU não existir em seu AD autogerenciado, o que é necessário para a funcionalidade de diretório AWS gerenciado do Microsoft AD. | O AWS Reservado OU deve ser criado automaticamente durante a configuração do diretório híbrido e não deve ser excluído. Se esse erro persistir, entre em contato com o [Suporte](https://console.aws.amazon.com/support/home#/). |
| AWS Teste de OU recursos reservados | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Ocorre se o AWS Reservado OU criado em seu AD autogerenciado não contiver os objetos necessários e GPOs para a operação adequada do diretório híbrido. | Certifique-se de que ninguém edite o AWS Reservado. OU Ele deve conter os recursos AWS gerenciados necessários. Remova quaisquer objetos ou GPOs não autorizados e entre em contato com o [Suporte](https://console.aws.amazon.com/support/home#/) se os recursos exigidos estiverem ausentes. |
| AWS OUTeste reservado | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Ocorre se os recursos AWS reservados encontrados em seu AD autogerenciado de uma configuração anterior de diretório híbrido ainda existirem. | Exclua do console o diretório híbrido existente com falha. Em seguida, exclua qualquer AWS reservado OU e relacionado GPOs do seu AD autogerenciado antes de continuar. |
| Teste de contexto de nomenclatura do Bridgehead | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Ocorre se a replicação do AD autogerenciado entre sites que usam o Bridgehead não estiver funcionando conforme o esperado. Também pode ocorrer se os contextos de nomenclatura não estiverem sincronizados entre os sites. | O site bridgehead do AD autogerenciado deve ser bem-sucedido. Você pode fazer um diagnóstico adicional com: `repadmin /bridgeheads /verbose`. Resolva os problemas dessa avaliação antes de continuar. |
| Teste de domínio secundário | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Ocorre se sua floresta autogerenciada do AD contiver domínios secundários, que não são suportados pelos diretórios gerenciados AWS do Microsoft AD. | AWS Os diretórios gerenciados do Microsoft AD não oferecem suporte a domínios secundários. Você deve usar uma floresta de domínio único para o AD autogerenciado. Para obter mais informações, consulte [Requisitos de domínio do Microsoft Active Directory](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| Teste do DcDiag | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Ocorre se algum teste do Microsoft DCDiag falhar no AD autogerenciado. | AWS usa DCDiag para testar seu AD autogerenciado. Se houver erros, você não poderá criar um diretório híbrido. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). |
| Teste de correspondência de IP de DNS | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Ocorre se os endereços IP de DNS fornecidos pelo AD autogerenciado não corresponderem aos endereços IP de DNS dos controladores de domínio do AD autogerenciado que estão habilitados com o AWS Systems Manager. | Forneça os endereços IP de DNS corretos. |
| Teste de correspondência de nome do DNS | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Ocorre se o nome do DNS fornecido para o AD autogerenciado não corresponder ao nome do DNS nos controladores de domínio do AD autogerenciado habilitados com o AWS Systems Manager. | Forneça o nome do DNS correto. |
| Teste de registros de DNS | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Ocorre se os registros de DNS do Windows não estiverem definidos para o tipo A, NS, SOA e SRV e puderem ser consultados. | Os registros de DNS de Endereço (A), Namespace (NS), Início de Autoridade (SOA) e Registro de Serviço (SRV) devem ser definidos e podem ser consultados. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). |
| Teste de nível funcional da floresta de domínio | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Ocorre se o domínio do AD autogerenciado e os níveis funcionais da floresta não atenderem aos requisitos mínimos. | O AD autogerenciado deve usar o nível funcional Windows 2012 R2 ou 2016. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). |
| Testes de integridade de domínio | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Ocorre se o AD autogerenciado não tiver o número mínimo exigido de controladores de domínio. | Certifique-se de que seu AD autogerenciado tenha pelo menos dois controladores de domínio habilitados com. AWS Systems Manager Para obter mais informações, consulte [Requisitos de domínio do Microsoft Active Directory](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| Teste de domínio existente | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Ocorre se o domínio do AD autogerenciado já estiver associado a um diretório híbrido existente. | O domínio do AD autogerenciado já está associado a um diretório híbrido existente. Cada domínio do AD autogerenciado associado a um diretório híbrido deve ser exclusivo. Crie um novo domínio do AD autogerenciado ou remova-o da configuração do diretório híbrido à qual está associado. |
| Teste de conectividade do FSMO | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Ocorre se FSMO as funções,PDC Emulator, and/or RID Master IPs em seu AD autogerenciado não forem roteáveis. | O Controlador de Domínio Primário (PDC) deve ser roteável por todo o tempo. Especificamente, o PDC Emulator fim RID Master IPs do seu AD autogerenciado. Para obter mais informações, consulte [Requisitos de domínio do Microsoft Active Directory](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| Teste de conectividade do FSMO | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Ocorre se os controladores de domínio do AD autogerenciado não conseguirem acessar os perfis FSMO. | O perfil Flexible Single Master Operation (FSMO) no AD autogerenciado deve estar conectado aos controladores de domínio do AD autogerenciado. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| Teste de conflito de IP | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Ocorre se os intervalos de IP do AD autogerenciado se sobrepõem aos intervalos reservados da AWS . | Seu AD autogerenciado não pode usar um intervalo de endereços IP que se sobreponha aos intervalos de IP reservados AWS . Para obter mais informações, consulte [Requisitos de domínio do Microsoft Active Directory](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| Teste do Kerberos | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Ocorre se o Kerberos não estiver configurado corretamente e em uso. | O Kerberos deve estar habilitado no AD autogerenciado. Para obter mais informações, consulte a [Documentação do Microsoft](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). |
| Teste de conectividade do LDAP | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Ocorre se o LDAP não funcionar. | O Lightweight Directory Access Protocol (LDAP) deve estar habilitado e funcionando no AD autogerenciado. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). |
| Teste do controlador de domínio não somente leitura para FSMO | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Ocorre se o perfil FSMO de controlador de domínio do AD autogerenciado for RODC. | O controlador de domínio do AD autogerenciado não deve usar um perfil de controlador de domínio somente leitura (RODC) Flexible Single Master Operation (FSMO). Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| Teste de replicação de senha do controlador de domínio somente leitura | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | Ocorre se o RODC tiver permissão para replicar senhas de administrador. | O RODC para o AD autogerenciado deve ter permissão explicitamente negada para replicar senhas de administrador. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). |
| Teste de controlador de domínio somente leitura | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Ocorre se os controladores de domínio do AD autogerenciado estiverem no modo ReadOnlyDC. | O AD autogerenciado deve ter controladores de domínio de leitura e gravação. Para obter mais informações sobre os tipos de controladores de domínio, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers). |
| Teste de conectividade de porta remota | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Ocorre se as portas necessárias em sua AWS sub-rede e seu controlador de domínio AD autogerenciado não estiverem abertas. | Certifique-se de que todas as portas necessárias estejam abertas entre sua AWS sub-rede e seu AD autogerenciado. Consulte [Requisitos de porta de rede](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports) para obter mais informações. |
| Teste de replicação | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Ocorre se a replicação dos controladores de domínio do AD autogerenciado falhar. | O status de replicação dos controladores de domínio do AD autogerenciado deve ser bem-sucedido. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). |
| Teste do SMBV1 | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Ocorre se o AD autogerenciado estiver usando o SMBv1 atualmente para autenticação. | O SMBv1 é conhecido por não ser seguro e deve estar desabilitado no AD autogerenciado. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). |
| Teste de permissões de usuário do SSM | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Ocorre se o usuário do Windows usado pelo SSM não tiver privilégios suficientes. | Você precisará de permissões de Windows administrador para os agentes AWS do System Manager (SSM) em seu AD autogerenciado. Para obter mais informações, consulte [Conta da AWS permissões](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| Teste de replicação do Sysvol | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Ocorre se o AD autogerenciado não tiver o método de replicação do sysvol correto (DFSR) e se DCs falharam durante o evento de replicação do DFSR. | O método de replicação sysvol do AD autogerenciado (DFSR) deve ser bem-sucedido. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). |
| Teste do GPO de nível superior | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Ocorre se o AD autogerenciado tiver GPOs de nível superior definidos como Imposto. | Certifique-se de que o objeto de política de grupo de nível superior do domínio do AD autogerenciado (GPO) não esteja definido como Imposto. Para obter mais informações, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). |
| Teste de tipos de confiança | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Ocorre se o AD autogerenciado tiver tipos de confiança não compatíveis. | Uplevel é o único tipo de confiança compatível com o diretório híbrido. O AD autogerenciado não pode ter os seguintes tipos de confiança: DCE, MIT, Downlevel. Para obter mais informações sobre tipos de confiança, consulte a [documentação da Microsoft.](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions) |
| Teste de controlador de domínio válido | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Ocorre se as instâncias do AD autogerenciado fornecidas não forem controladores de domínio ou se já fizerem parte de outro diretório híbrido. | Forneça controladores de domínio do AD autogerenciado que sejam exclusivos desse diretório híbrido. Tente novamente com um novo diretório. Certifique-se de ter excluído o diretório híbrido com falha e qualquer um do AWS OU seu AD autogerenciado. |
# Mensagens de aviso do Teste de avaliação
A tabela a seguir descreve as mensagens de aviso que podem ocorrer durante os testes de avaliação. Esses avisos representam recomendações para uma configuração ideal, mas não impedem a configuração do diretório híbrido.
| Nome do teste | Nome curto | Código de aviso | Mensagem de aviso | Description | Resolução |
| --- | --- | --- | --- | --- | --- |
| Testes de integridade de domínio | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Ocorre se houver contas de usuário no AD autogerenciado que não estejam conectadas por um longo período e possam ser consideradas obsoletas ou inativas. | Limpe as contas de usuário obsoletas. |
| Teste de fonte de tempo do controlador de domínio | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Ocorre se o AD autogerenciado tiver a configuração correta da fonte de tempo e se não houver uma grande distorção de tempo em comparação com uma fonte de tempo da AWS . | O servidor de tempo principal do controlador de domínio (PDC) é direcionado para `169.254.169.123`. Os controladores de domínio não primários devem ser apontados para PDC como fonte. Para obter mais informações, consulte [Manter a hora com Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/). |
| Teste de espaço livre | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Ocorre se o NTDS combinado do AD autogerenciado e o uso do Sysvol estiverem acima da cota suportada. | O AD autogerenciado deve ter 24 GB de espaço em disco para diretórios híbridos. |
| Teste do FSMO Roles | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Ocorre se os perfis FSMO (emulador PDC e mestre de RID) não estiverem entre os dois controladores de domínio fornecidos quando você cria um diretório híbrido. | O diretório híbrido deve ter os dois perfis FSMO (emulador de PDC e mestre de RID) entre os dois controladores de domínio que você fornece ao criar um diretório híbrido. Para obter mais informações, consulte [Como visualizar e transferir perfis FSMO](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). |
| Teste do canal S SSP | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Ocorre se um AD autogerenciado não usa criptografia TLS1.2 e AES256. | O AD autogerenciado deve usar TLS 1.2 e AES256 para diretórios híbridos. |
| Teste de corrupção de disco | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Ocorre se houver corrupção de disco no AD autogerenciado. | Os discos do AD autogerenciado não devem ser corrompidos. |
| Teste de especificações do controlador de domínio | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Ocorre se os controladores de domínio do AD autogerenciado não atenderem às especificações exigidas. | Os controladores de domínio do AD autogerenciado devem ter pelo menos 7 GB de RAM e 2 núcleos de CPU para o diretório híbrido. |
| Teste de plug-in em nível de servidor Dll | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Ocorre se ServerLevelPluginDll estiver configurado nos controladores de domínio do AD autogerenciado. | Os controladores de domínio do AD autogerenciado não deveriam ter ServerLevelPluginDII configurado. |
| Permitir teste cripto do NT4 | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Ocorre se o AD autogerenciado permitir a criptografia NT4. | O AD autogerenciado não deve usar a criptografia NT4. Para obter mais informações, consulte a documentação do Microsoft. |
| Teste de usuários administradores órfãos | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Ocorre se existirem usuários administradores órfãos no AD autogerenciado. | Remova os usuários órfãos do AD autogerenciado antes de continuar. |
| Teste de contagem de usuários privilegiados | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Ocorre se a contagem total de administradores integrados, administradores de domínio e administradores corporativos no AD autogerenciado for maior que 5. | O ambiente do AD autogerenciado não deve ter várias contas privilegiadas. Você deve remover contas de administrador excessivas antes de continuar. |
| Teste de contagem de usuários privilegiados | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Ocorre se a contagem total de administradores integrados, administradores de domínio e administradores corporativos no AD autogerenciado for maior que 5. | O ambiente do AD autogerenciado não deve ter várias contas privilegiadas. Você deve remover contas de administrador excessivas antes de continuar. |
| Teste de contagem de usuários privilegiados | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Ocorre se a contagem total de administradores integrados, administradores de domínio e administradores corporativos no AD autogerenciado for maior que 5. | O ambiente do AD autogerenciado não deve ter várias contas privilegiadas. Você deve remover contas de administrador excessivas antes de continuar. |
| Teste do NTLM | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Ocorre se NTLMv1 estiver habilitada para autenticação no AD autogerenciado. | O NT LAN Manager versão 1 (NTLMv1) tem vulnerabilidades de segurança conhecidas e não deve ser usado. Desabilite NTLMv1 no AD autogerenciado. Para obter mais informações, consulte a [documentação da Microsoft](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). |
| Teste de vida útil de Tombstone | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Ocorre se a vida útil do Tombstone no AD autogerenciado for superior a 180 dias. | A vida útil do Tombstone é o número de dias antes de um objeto excluído ser removido do AD. O valor da vida útil do Tombstone no AD autogerenciado deve ser de 180 dias ou menos. Para obter mais informações, consulte a [Documentação do Microsoft](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |