本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 评测警告消息 下表描述了评测期间可能出现的警告消息。这些警告代表了最佳配置的建议,但不妨碍混合目录的设置。 | 测试名称 | 短名称 | 警告码 | 警告消息 | 说明 | 解决方案 | | --- | --- | --- | --- | --- | --- | | 域运行状况测试 | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | 如果自行管理的 AD 中存在长时间未登录,且可能被视为过时或不活动的用户账户,就会出现此错误。 | 请清理过时的用户账户。 | | 域控制器时间源测试 | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | 如果自行管理的 AD 的时间源设置正确,且与 AWS 时间源的时间偏差不大,就会出现此错误。 | 您的主域控制器(PDC)时间服务器已定向至 `169.254.169.123`。非主域控制器应指向 PDC 作为源。有关更多信息,请参阅[与 Amazon Time Sync Service 保持时间同步](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/)。 | | 可用空间测试 | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | 如果自行管理的 AD 的 NTDS 和 Sysvol 组合使用量超过支持的配额,就会出现此错误。 | 自行管理的 AD 应有 24 GB 的磁盘空间用于混合目录。 | | FSMO Roles 测试 | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | 如果在创建混合目录时提供的两个域控制器内不含 FSMO 角色(PDC Emulator 和 RID Master),就会出现此错误。 | 在创建混合目录时提供的两个域控制器中,您的混合目录应具有两个 FSMO 角色(PDC Emulator 和 RID Master)。有关更多信息,请参阅[如何查看和转移 FSMO 角色](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)。 | | S 通道 SSP 测试 | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | 如果自行管理的 AD 未使用 TLS1.2 和 AES256 加密,就会出现此错误。 | 自行管理的 AD 必须对混合目录使用 TLS 1.2 和 AES256。 | | 磁盘损坏测试 | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | 如果自行管理的 AD 上存在磁盘损坏,就会出现此错误。 | 自行管理的 AD 磁盘不应损坏。 | | 域控制器规格测试 | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | 如果自行管理的 AD 域控制器不符合所需的规格,就会出现此错误。 | 自行管理的 AD 域控制器至少应有 7 GB 的 RAM 和 2 个 CPU 核心用于混合目录。 | | 服务器级插件 Dll 测试 | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | 如果在自行管理的 AD 域控制器上设置了 ServerLevelPluginDll,就会出现此错误。 | 自行管理的 AD 域控制器不应配置 ServerLevelPluginDII。 | | 允许 NT4 加密测试 | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | 如果自行管理的 AD 允许 NT4 加密,就会出现此错误。 | 自行管理的 AD 不应使用 NT4 加密。有关更多信息,请参阅 Microsoft 文档。 | | 孤立管理员用户测试 | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | 如果自行管理的 AD 中存在孤立管理员用户,就会出现此错误。 | 请删除自行管理的 AD 上的孤立用户以继续。 | | 特权用户数测试 | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | 如果自行管理的 AD 上的内置管理员、域管理员和企业管理员的总数大于 5,就会出现此错误。 | 自行管理的 AD 环境中不应有多个特权账户。应该删除多余的管理员账户以继续。 | | 特权用户数测试 | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | 如果自行管理的 AD 上的内置管理员、域管理员和企业管理员的总数大于 5,就会出现此错误。 | 自行管理的 AD 环境中不应有多个特权账户。应该删除多余的管理员账户以继续。 | | 特权用户数测试 | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | 如果自行管理的 AD 上的内置管理员、域管理员和企业管理员的总数大于 5,就会出现此错误。 | 自行管理的 AD 环境中不应有多个特权账户。应该删除多余的管理员账户以继续。 | | NTLM 测试 | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | 如果在自行管理的 AD 上启用 NTLMv1 进行身份验证,就会出现此错误。 | NT LAN Manager 版本 1(NTLMv1)存在已知的安全漏洞,不应使用此版本。在自行管理的 AD 上禁用 NTLMv1。有关更多信息,请参阅 [Microsoft 文档](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73)。 | | 墓碑生命周期 | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | 如果自行管理的 AD 上的墓碑有效期超过 180 天,就会出现此错误。 | 墓碑生命周期是指从 AD 中移除已删除对象之前的天数。自行管理的 AD 的墓碑生命周期值应为 180 天或者更短。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180)。 |