本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Simple AD 目录状态消息故障排除
<a name="simple_ad_troubleshooting_reasons"></a>

当某个 Simple AD 受损或不可操作时，目录状态消息会包含更多信息。状态消息显示在 Directory Service 控制台中，或由 [https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDirectories.html](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDirectories.html)API 返回到[https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DirectoryDescription.html#ADS-Type-DirectoryDescription-StageReason](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DirectoryDescription.html#ADS-Type-DirectoryDescription-StageReason)成员中。有关目录状态的更多信息，请参阅[了解你的 AWS 托管 Microsoft AD 目录状态](ms_ad_directory_status.md)。

以下是 Simple AD 目录的状态消息：

**Topics**
+ [目录服务的弹性网络接口未连接](#sr_eni_detached)
+ [实例检测到的问题](#sr_internal_error)
+ [目录中缺少关键 Directory Service 保留用户](#sr_service_account_missing)
+ [关键 Directory Service 保留用户需要属于域管理员组](#sr_service_account_not_admin)
+ [关键 Directory Service 保留用户已被禁用](#sr_service_account_disabled)
+ [主域控制器没有所有 FSMO 角色](#sr_dc_fsmo_role)
+ [域控制器复制失败](#sr_dc_repl_failures)

## 目录服务的弹性网络接口未连接
<a name="sr_eni_detached"></a>

**说明**  
在创建目录时代表您创建的用于与您的 VPC 建立网络连接的关键弹性网络接口 (ENI) 未连接到目录实例。 AWS 此目录支持的应用程序将无法运行。目录无法连接到本地网络。

**问题排查**  
如果 ENI 已分离但仍然存在，请联系 支持。如果 ENI 被删除，则无法解决问题，并且目录将永久不可用。您必须删除目录，然后创建一个新目录。

## 实例检测到的问题
<a name="sr_internal_error"></a>

**说明**  
实例检测到内部错误。这通常表示监控服务正在积极尝试恢复受损实例。

**问题排查**  
在大多数情况下，这是一个暂时性问题，目录最终会返回到“活动”状态。如果问题仍然存在，请联系 支持 以获得更多帮助。

## 目录中缺少关键 Directory Service 保留用户
<a name="sr_service_account_missing"></a>

**说明**  
创建 Simple AD 后， Directory Service 会在目录中创建一个名为的服务帐户`AWSAdminD-xxxxxxxxx`。当无法找到此服务账户时会收到此错误。如果没有此账户， Directory Service 无法在该目录上执行管理功能，使该目录表现为不可用。

**问题排查**  
要更正此问题，应将该目录还原到删除此服务账户之前创建的快照。Simple AD 目录每天自动拍摄一次快照。如果删除此账户已超过五天，您可能无法将该目录还原到此账户存在时的状态。如果您无法从存在此账户的快照中还原，您的目录可能会变得永久不可用。如果是这种情况，您必须删除目录，然后创建一个新目录。

## 关键 Directory Service 保留用户需要属于域管理员组
<a name="sr_service_account_not_admin"></a>

**说明**  
创建 Simple AD 后， Directory Service 会在目录中创建一个名为的服务帐户`AWSAdminD-xxxxxxxxx`。当此服务账户不是 `Domain Admins` 组的成员时会收到此错误。需要该组的成员资格才能赋予 Directory Service 其执行维护和恢复操作所需的权限，例如传输 FSMO 角色、加入新的目录控制器以及从快照中恢复。

**问题排查**  
使用 Active Directory 用户和计算机工具将此服务账户重新添加到 `Domain Admins` 组。

## 关键 Directory Service 保留用户已被禁用
<a name="sr_service_account_disabled"></a>

**说明**  
创建 Simple AD 后， Directory Service 会在目录中创建一个名为的服务帐户`AWSAdminD-xxxxxxxxx`。当此服务账户已禁用时会收到此错误。必须启用此帐户，这样 Directory Service 才能对目录执行维护和恢复操作。

**问题排查**  
使用 Active Directory 用户和计算机工具重新启用此服务账户。

## 主域控制器没有所有 FSMO 角色
<a name="sr_dc_fsmo_role"></a>

**说明**  
Simple AD 目录控制器并不拥有所有 FSMO 角色。如果 FSMO 角色不属于正确的 Simple AD 目录控制器，则 Directory Service 无法保证特定行为和功能。

**问题排查**  
使用 Active Directory 工具将 FSMO 角色移回原始工作目录控制器。有关移动 FSMO 角色的更多信息，请转到 w [https://docs.microsoft.com/troubleshoot/indows-server/identity/transfer--or-seize-fsmo-roles](https://docs.microsoft.com/troubleshoot/windows-server/identity/transfer-or-seize-fsmo-roles-in-ad-ds)。in-ad-ds如果这不能解决问题，请联系 支持 以获得更多帮助。

## 域控制器复制失败
<a name="sr_dc_repl_failures"></a>

**说明**  
Simple AD 目录控制器未能完成相互复制。这可能是由以下一个或多个问题导致的：  
+ 这些目录控制器的安全组没有打开正确的端口。
+ 网络过 ACLs 于严格。
+ VPC 路由表没有正确路由这些目录控制器之间的网络流量。
+ 已将另一个实例提升为该目录中的域控制器。

**问题排查**  
有关您 VPC 网络要求的更多信息，请参阅 AWS Managed Microsoft AD [创建 AWS 托管 Microsoft AD 的先决条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)、AD Connector [AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector) 或 Simple AD [Simple AD 先决条件](simple_ad_getting_started.md#prereq_simple)。如果您的目录中有未知的域控制器，则必须将其降级。如果您的 VPC 网络设置正确，但仍然出现该错误，请联系 支持 以获得更多帮助。