本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 对混合目录和目录评测进行故障排除
创建混合目录需要进行目录评测。评测在每个域控制器上运行。评测会检查不同的区域,产生通过或失败状态。如果目录评测失败,可查看域控制器的评测,确定导致失败的问题。
**重要**
当目录评测的状态为已通过但有警告时,可以创建混合目录。建议在创建混合目录之前解决导致警告的问题
**Topics**
+ [对失败的混合目录评测进行故障排除](#hybrid_directory_troubleshooting_steps)
+ [目录状态错误](hybrid_directory_status_errors.md)
+ [目录评测错误消息](da-error-msgs.md)
+ [评测错误消息](assessment_test_error-msgs.md)
+ [评测警告消息](assessment_test_warning-msgs.md)
## 对失败的混合目录评测进行故障排除
可以从 AWS 管理控制台中的**目录**页面,对失败的目录评测进行故障排除。
1. 登录 AWS 管理控制台 并打开 Directory Service 控制台,网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目录评测**部分下,选择失败的混合目录评测。
1. 在**评测详细信息**页面上,查看目录评测并确定哪些测试失败。
1. 域控制器的评测会提供成功或失败测试的更多信息。**状态**列提供了有关测试失败原因的更多详细信息。要查看域控制器的评测,请参阅[查看目录评测](viewing_hybrid_dir_assessment.md)。
1. 解决导致自行管理的 Active Directory 或 AWS Managed Microsoft AD 出现故障的问题。有关更多信息,请参阅 [目录评测错误消息](da-error-msgs.md) 和 [评测错误消息](assessment_test_error-msgs.md)。
1. 在 Directory Service 控制台中返回失败的评估。在红色警告消息中选择**创建评测**。有关创建目录评测的更多信息,请参阅[使用自行管理的 AD 创建混合目录](hybrid_directory_create.md#creating_hybrid_directory)。
# 目录状态错误
Directory Service 目录可能会遇到不同的状态,这些状态表明存在不同类型的问题。了解这些状态有助于确定适当的故障排除步骤。
**目录状态类型**
| Status | 说明 | 所需操作 |
| --- | --- | --- |
| 活动 | 目录创建成功完成,并且运行正常。 | 无需操作。 |
| Impaired (受损) | 目录已成功创建,但随后域控制器遇到了问题。系统尝试自动恢复。 | 监控目录状态。如果问题仍然存在,请联系 Supp AWS ort。 |
| 失败 | 目录创建失败且无法恢复。 | 删除失效目录,然后创建一个新目录。 |
| 无法操作(仅限 Hybrid AD) | AWS 检测到安全问题并自动隔离目录以进行保护。在恢复之前,该目录完全不可用。 | 请立即联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。此状态需要 支持 干预才能调查和恢复目录。 |
# 目录评测错误消息
要创建混合目录,需要通过目录评测。目录评测可能因各种原因而失败。
下表显示了目录评测错误消息及其解决方法。
**目录评测错误消息和解决方案**
| 目录评测错误消息 | 解决方案 |
| --- | --- |
| 此评测在两个托管实例上未通过多项测试。可选择每个托管实例,查明未通过的测试,并在本地目录中予以解决。然后创建新的评测。 | 对自行管理的 AD 进行的一项或多项目录评测失败。有关特定测试失败及其解决方案的更多信息,请查看[评测错误消息](assessment_test_error-msgs.md)。 |
| 由于内部服务异常,此次评测失败。请通过创建新的评测进行重试,或者联系服务部门进行故障排除。 | 尝试创建新的目录评测。如果继续遇到此错误,请联系 [支持](https://aws.amazon.com/premiumsupport/)。 |
| 由于缺少执行诸如 `ec2:CreateSecurityGroup`、`ec2:DeleteSecurityGroup`、`ec2:CreateNetworkInterface`、`ec2:DeleteNetworkInterface`、`ec2:DescribeSubnets` 和 `ec2:DescribeNetworkInterface` 之类操作的权限,此次评测失败。 | 要创建目录评估,您需要 AWS 账户 必要的[AWS 账户 权限](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。 |
| 由于缺少执行诸如 `ssm:GetConnectionStatus`、`ssm:GetCommandInvocation`、`ssm:ListCommands` 和 `ssm:SendCommand` 之类操作的权限,此次评测失败。 | 要创建目录评测,需要两个具有必要 [AWS 账户 权限](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms) 的 Systems Manager 节点。 |
| 由于已达到可创建网络接口数量的限制,此次评测失败。有关更多信息,请参阅 [Amazon VPC 配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。 | 要创建目录评测,必须创建网络接口和安全组。您可以创建的 VPC 资源数量存在限制,但可以调整其中的一些限制。有关更多信息,请参阅 [Amazon VPC 配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。 |
| 由于已达到可创建或分配给实例的安全组数量的限制,此次评测失败。有关更多信息,请参阅 [Amazon VPC 配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。 | 要创建目录评测,必须创建网络接口和安全组。您可以创建的 VPC 资源数量存在限制,但可以调整其中的一些限制。有关更多信息,请参阅 [Amazon VPC 配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll)。 |
| 此次评测失败。无法从连接到客户实例 AWS Systems Manager。 | 要创建目录评估,您需要两个处于连接状态的 AWS Systems Manager 节点。请参阅 [SSM Agent 故障排除](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)。 |
| 此评测未通过多项关键测试。可选择每个托管实例,查明未通过的测试,并在本地目录中予以解决。然后创建新的评测。 | 对自行管理的 AD 进行的一项或多项目录评测失败。有关更多信息,请查看[评测错误消息](assessment_test_error-msgs.md)。 |
# 评测错误消息
下表描述了评测期间可能出现的错误消息。这些错误表明存在阻塞问题,必须解决此问题才能继续设置混合目录。
| 测试名称 | 短名称 | 错误代码 | 错误消息 | 说明 | 解决方案 |
| --- | --- | --- | --- | --- | --- |
| Active Directory Services 测试 | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | 如果自行管理的 AD 中未运行所需的 AD 服务,就会出现此错误。 | 自行管理的 AD 中必须运行特定的必需 AD 服务。有关更多信息,请参阅 [所需的 Active Directory 服务](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services)。 |
| Active Directory Services 测试 | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | 确保自行管理的 AD 域控制器正常运行并且可访问。验证自行管理的 AD 域控制器的网络连接和 DNS 解析。 |
| AD 密码策略测试 | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | 如果你的自我管理 AD 密码策略不满足 AWS 托管 Microsoft AD 要求,则会出现。 | 自行管理的 AD 密码策略必须满足 AWS Managed Microsoft AD 的密码要求。有关更多信息,请参阅[了解 AWS 托管 Microsoft AD 密码策略](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html)。 |
| AWS 管理员用户存在测试 | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | 如果您的自管理 AD OU 上的 Reserved 中不存在混合目录管理员用户,则会出现。 AWS | 确保自行管理的 AD 上的 AWS 预留 OU 中存在混合目录管理员用户。如果缺少该用户,请验证在混合目录设置过程中是否正确创建了账户。[更新混合目录](hybrid_directory_view_and_edit.md#editing_hybrid_dir)。如果混合目录状态无法操作,请联系 [支持](https://console.aws.amazon.com/support/home#/)。 |
| AWS 管理员用户SPN测试 | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | 如果混合目录管理员用户在自行管理的 AD 上配置了任何 SPNs,就会出现此错误。 | 从 AWS 混合目录管理员用户帐户中删除所有服务主体名称 (SPNs)。混合目录管理员用户不得对任何 SPNs 进行配置,因为可能会干扰混合目录身份验证。 |
| AWS 域控制器不是FSMO所有者测试 | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | 如果 FSMO 角色(PDC Emulator、RID Master 或 Infrastructure Master)已从自行管理的 AD 转移至混合目录域控制器,就会出现此错误。 | 在继续操作之前,请将所有 FSMO 角色(PDC Emulator、RID Master、Infrastructure Master)转回自行管理的 AD 域控制器。有关更多信息,请参阅[有关转移 FSMO 角色的 Microsoft 文档](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)。 |
| AWS 预留组成员资格测试 | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | 如果您的自管理广告OU上的 “ AWS 预留” 不存在,则会出现。 | 为了验证群组成员资格,您的自管理 AD 上OU必须存在 AWS 预留内容。联系 [支持](https://console.aws.amazon.com/support/home#/)。 |
| AWS 预留组成员资格测试 | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | 如果您的自管理 AD OU 上的 Reser AWS ved 中的群组包含未经授权的用户,则会出现。 | 将所有未经授权的用户从您自行管理的 AD 的 AWS 预留OU群组中移除。 |
| AWS 预留OUACLs测试 | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | 如果您的自管理 A AWS D OU ACLs 上的 AWS Reserved 不对非实体强制只读权限,也无法阻止未经授权访问托管资源,则会发生这种情况。AWS | 查看并更正您自行管理的广告OUACLs上 AWS 预留的权限。确保非AWS 实体只有读取权限(`ListChildren`、`ReadProperty`、`ListObject`、`ReadControl`、`GenericRead`、`Synchronize`),并移除所有多余的权限。 |
| AWS 保留OUGPO关联测试 | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | 如果您的自管理 AD OU 上的 AWS 预留控制OU器和域控制器链接到未经授权GPOs,则会出现。 | (只有 AWS 托管组策略对象 (GPOs) 可以链接到这些对象OUs。移除任何未经授权的GPOs链接到自行管理的 AD OU 上的 AWS 预留控制OU器和域控制器。 |
| AWS 预留OU资源测试 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | 如果您的自管理 AD 中OU不存在 AWS 预留,则会发生这种情况,这是托管 Microsoft AD 目录功能所必需 AWS 的。 | R AWS es OU erved 必须在混合目录设置期间自动创建,不应删除。如果此错误仍然存在,请联系 [支持](https://console.aws.amazon.com/support/home#/)。 |
| AWS 预留OU资源测试 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | 如果在您的自管理 AD 上OU创建的 Reserved 不包含所需的对象,并且无法GPOs进行适当的混合目录操作,则会发生这种情况。 AWS | 确保没有人编辑 AWS 保留的OU。它必须包含所需的 AWS托管资源。移除任何未经授权的对象或 GPOs,如果缺少所需资源,请联系 [支持](https://console.aws.amazon.com/support/home#/)。 |
| AWS 预留OU测试 | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | 如果在您的自管理 AD 上找到的来自先前混合目录设置的 AWS 预留资源仍然存在,则会出现。 | 从控制台中删除现有失败的混合目录。然后,在继续操作之前OU,请GPOs从您的自行管理的广告中删除所有 AWS 预留和相关广告。 |
| Bridgehead 命名上下文测试 | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | 如果自行管理的 AD 在使用 Bridgehead 的站点之间的复制与预期不符,就会出现此错误。如果各站点之间的命名上下文不同步,也有可能出现此错误。 | 自行管理的 AD bridgehead 站点必须成功。可通过以下方式进一步诊断:`repadmin /bridgeheads /verbose`。请先解决该评测中的问题,然后再继续。 |
| 子域测试 | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | 如果你的自我管理的 AD 林包含子域,而 AWS 托管 Microsoft AD 目录不支持这些子域,则会出现这种情况。 | AWS 托管的 Microsoft AD 目录不支持子域。自行管理的 AD 必须使用单域林。有关更多信息,请参阅 [Microsoft Active Directory 域要求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 |
| DcDiag 测试 | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | 如果自行管理的 AD 上有任何 Microsoft DCDiag 测试失败,就会出现此错误。 | AWS DCDiag用于测试您的自行管理 AD。如果出现错误,就无法创建混合目录。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration)。 |
| DNSIP 匹配测试 | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | 如果为自行管理的 AD 提供的 DNS IP 地址与通过 AWS Systems Manager启用的自行管理 AD 域控制器上的 DNS IP 地址不匹配,就会出现此错误。 | 请提供正确的 DNS IP 地址。 |
| DNS 名称匹配测试 | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | 如果为自行管理的 AD 提供的 DNS 名称与通过 AWS Systems Manager启用的自行管理 AD 域控制器上的 DNS 名称不匹配,就会出现此错误。 | 请提供正确的 DNS 名称。 |
| DNS 记录测试 | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | 如果未为类型 A、NS、SOA 和 SRV 设置 Windows DNS 记录,但可以查询记录,就会出现此错误。 | 必须为地址(A)、命名空间(NS)、授权状态(SOA)和服务记录(SRV)设置 DNS 记录,并且可以查询。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records)。 |
| 域林功能级别测试 | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | 如果自行管理的 AD 域和林功能级别不符合最低要求,就会出现此错误。 | 自行管理的 AD 必须使用 Windows 2012 R2 或 2016 功能级别。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment)。 |
| 域运行状况测试 | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | 如果自行管理的 AD 没有所需的最少域控制器数,就会出现此错误。 | 确保您的自管理 AD 至少启用了两个域控制器。 AWS Systems Manager有关更多信息,请参阅 [Microsoft Active Directory 域要求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 |
| 现有域测试 | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | 如果自行管理的 AD 域已加入现有的混合目录,就会出现此错误。 | 自行管理的 AD 域已加入现有的混合目录。通过混合目录加入的每个自行管理的 AD 域都必须是唯一的。创建新的自行管理的 AD 域,或将其从加入的混合目录配置中移除。 |
| FSMO 连接测试 | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | 如果您的自管理 AD and/or RID Master IPs 上的FSMO角色不可路由PDC Emulator,则会出现。 | 主域控制器(PDC)必须始终可以路由。具体而言,是您的自我管理广告RID Master IPs 的PDC Emulator和。有关更多信息,请参阅 [Microsoft Active Directory 域要求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 |
| FSMO 连接测试 | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | 如果自行管理的 AD 域控制器无法访问 FSMO 角色,就会出现此错误。 | 自行管理的 AD 中的灵活单主机操作(FSMO)角色必须连接到自行管理的 AD 域控制器。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)。 |
| IP 冲突测试 | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | 如果自行管理的 AD 的 IP 范围与 AWS 预留范围重叠,就会出现此错误。 | 您的自管理 AD 不能使用与预留 IP 范围重叠的 AWS IP 地址范围。有关更多信息,请参阅 [Microsoft Active Directory 域要求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 |
| Kerberos 测试 | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | 如果 Kerberos 配置不正确,且正在使用,就会出现此错误。 | 必须在自行管理的 AD 上启用 Kerberos。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview)。 |
| LDAP 连接测试 | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | 如果 LDAP 不起作用,就会出现此错误。 | 轻量级目录访问协议(LDAP)必须启用并在自行管理的 AD 上运行。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api)。 |
| FSMO 的非只读域控制器测试 | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | 如果自行管理的 AD 域控制器的 FSMO 角色为 RODC,就会出现此错误。 | 自行管理的 AD 的域控制器不得使用只读域控制器(RODC)的灵活单主机操作(FSMO)角色。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)。 |
| 只读域控制器密码复制测试 | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | 如果 RODC 拥有复制管理员密码的权限,就会出现此错误。 | 必须明确拒绝自行管理的 AD 的 RODC 进行管理员密码复制的权限。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)。 |
| 只读域控制器测试 | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | 如果自行管理的 AD 域控制器处于 ReadOnlyDC 模式,就会出现此错误。 | 自行管理的 AD 必须为读写域控制器。有关域控制器类型的更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers)。 |
| 远程端口连接测试 | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | 如果 AWS 子网上的必需端口和自管理的 AD 域控制器未打开,则会出现。 | 确保您的 AWS 子网和自管理 AD 之间的所有必需端口均处于打开状态。请参阅[网络端口要求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports)了解更多信息。 |
| 复制测试 | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | 如果自行管理的 AD 域控制器复制失败,就会出现此错误。 | 自行管理的 AD 域控制器复制状态必须为成功。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview)。 |
| SMBV1 测试 | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | 如果自行管理的 AD 当前使用 SMBv1 进行身份验证,就会出现此错误。 | 已知 SMBv1 不安全,必须在自行管理的 AD 上予以禁用。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server)。 |
| SSM 用户权限测试 | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | 如果 SSM 使用的 Windows 用户权限不足,就会出现此错误。 | 您需要Windows管理员权限才能使用自行管理的 AD 上的 AWS 系统管理器 (SSM) 代理。有关更多信息,请参阅 [AWS 账户 权限](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。 |
| Sysvol 复制测试 | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | 如果自行管理的 AD 没有正确的 sysvol 复制方法(DFSR),并且在 DFSR 复制事件期间发生任何 DCs 失败,就会出现此错误。 | 自行管理的 AD 的 sysvol 复制方法(DFSR)必须成功。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr)。 |
| 顶级 GPO 测试 | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | 如果自行管理的 AD 将顶级 GPOs 设置为“强制”,就会出现此错误。 | 确保自行管理的 AD 域的顶级组策略对象(GPO)未设置为“强制”。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing)。 |
| 信任类型测试 | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | 如果自行管理的 AD 具有不支持的信任类型,就会出现此错误。 | Uplevel 是混合目录支持的唯一信任类型。自行管理的 AD 不能具有以下信任类型:DCE、MIT、Downlevel。有关信任类型的更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)。 |
| 有效域控制器测试 | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | 如果所提供的自行管理的 AD 实例不是域控制器,或者已经是其他混合目录的一部分,就会出现此错误。 | 请提供此混合目录独有的自行管理的 AD 域控制器。使用新目录重试。确保您已删除失败的混合目录以及自管理 AD AWS OU 中的所有目录。 |
# 评测警告消息
下表描述了评测期间可能出现的警告消息。这些警告代表了最佳配置的建议,但不妨碍混合目录的设置。
| 测试名称 | 短名称 | 警告码 | 警告消息 | 说明 | 解决方案 |
| --- | --- | --- | --- | --- | --- |
| 域运行状况测试 | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | 如果自行管理的 AD 中存在长时间未登录,且可能被视为过时或不活动的用户账户,就会出现此错误。 | 请清理过时的用户账户。 |
| 域控制器时间源测试 | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | 如果自行管理的 AD 的时间源设置正确,且与 AWS 时间源的时间偏差不大,就会出现此错误。 | 您的主域控制器(PDC)时间服务器已定向至 `169.254.169.123`。非主域控制器应指向 PDC 作为源。有关更多信息,请参阅[与 Amazon Time Sync Service 保持时间同步](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/)。 |
| 可用空间测试 | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | 如果自行管理的 AD 的 NTDS 和 Sysvol 组合使用量超过支持的配额,就会出现此错误。 | 自行管理的 AD 应有 24 GB 的磁盘空间用于混合目录。 |
| FSMO Roles 测试 | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | 如果在创建混合目录时提供的两个域控制器内不含 FSMO 角色(PDC Emulator 和 RID Master),就会出现此错误。 | 在创建混合目录时提供的两个域控制器中,您的混合目录应具有两个 FSMO 角色(PDC Emulator 和 RID Master)。有关更多信息,请参阅[如何查看和转移 FSMO 角色](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)。 |
| S 通道 SSP 测试 | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | 如果自行管理的 AD 未使用 TLS1.2 和 AES256 加密,就会出现此错误。 | 自行管理的 AD 必须对混合目录使用 TLS 1.2 和 AES256。 |
| 磁盘损坏测试 | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | 如果自行管理的 AD 上存在磁盘损坏,就会出现此错误。 | 自行管理的 AD 磁盘不应损坏。 |
| 域控制器规格测试 | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | 如果自行管理的 AD 域控制器不符合所需的规格,就会出现此错误。 | 自行管理的 AD 域控制器至少应有 7 GB 的 RAM 和 2 个 CPU 核心用于混合目录。 |
| 服务器级插件 Dll 测试 | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | 如果在自行管理的 AD 域控制器上设置了 ServerLevelPluginDll,就会出现此错误。 | 自行管理的 AD 域控制器不应配置 ServerLevelPluginDII。 |
| 允许 NT4 加密测试 | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | 如果自行管理的 AD 允许 NT4 加密,就会出现此错误。 | 自行管理的 AD 不应使用 NT4 加密。有关更多信息,请参阅 Microsoft 文档。 |
| 孤立管理员用户测试 | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | 如果自行管理的 AD 中存在孤立管理员用户,就会出现此错误。 | 请删除自行管理的 AD 上的孤立用户以继续。 |
| 特权用户数测试 | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | 如果自行管理的 AD 上的内置管理员、域管理员和企业管理员的总数大于 5,就会出现此错误。 | 自行管理的 AD 环境中不应有多个特权账户。应该删除多余的管理员账户以继续。 |
| 特权用户数测试 | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | 如果自行管理的 AD 上的内置管理员、域管理员和企业管理员的总数大于 5,就会出现此错误。 | 自行管理的 AD 环境中不应有多个特权账户。应该删除多余的管理员账户以继续。 |
| 特权用户数测试 | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | 如果自行管理的 AD 上的内置管理员、域管理员和企业管理员的总数大于 5,就会出现此错误。 | 自行管理的 AD 环境中不应有多个特权账户。应该删除多余的管理员账户以继续。 |
| NTLM 测试 | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | 如果在自行管理的 AD 上启用 NTLMv1 进行身份验证,就会出现此错误。 | NT LAN Manager 版本 1(NTLMv1)存在已知的安全漏洞,不应使用此版本。在自行管理的 AD 上禁用 NTLMv1。有关更多信息,请参阅 [Microsoft 文档](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73)。 |
| 墓碑生命周期 | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | 如果自行管理的 AD 上的墓碑有效期超过 180 天,就会出现此错误。 | 墓碑生命周期是指从 AD 中移除已删除对象之前的天数。自行管理的 AD 的墓碑生命周期值应为 180 天或者更短。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180)。 |