本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 AWS Managed Microsoft AD （混合版本）
<a name="aws-hybrid-directory"></a>

*AWS Managed Microsoft AD （混合版本）* 可讓您 AWS 雲端 使用 AWS Managed Microsoft AD 將現有的 Active Directory 擴展至 。此功能可讓您更輕鬆地將 AD 相依工作負載移至 AWS、採用 AWS 服務，以及增加 Active Directory 備援。 AWS 將定期在您的混合目錄上執行目錄評估，您可以在 主控台中 Directory Service 檢視這些評估。

中的混合目錄會將您現有的 *Microsoft Active Directory* 與 *AWS Directory Service for Microsoft Active Directory* (AWS 受管 Microsoft AD) Directory Service 連線。這可建立跨內部部署 AWS和多雲端基礎設施的整合身分環境，讓您維護單一身分來源，同時將目錄服務延伸至 AWS。

混合目錄組態提供數種重要功能：
+ 將自我管理 AD 延伸到 ， AWS 雲端 而不需要建立信任關係
+ 使用現有 Active Directory 登入資料跨環境進行無縫身分驗證和授權
+ 跨 AD 環境的一致使用者登入資料和群組成員資格
+ 集中管理 AD 存取政策和許可

**Topics**
+ [混合目錄先決條件](create_hybrid_directory_prereqs.md)
+ [建立混合目錄](hybrid_directory_create.md)
+ [檢視和編輯混合目錄](hybrid_directory_view_and_edit.md)
+ [刪除混合目錄](hybrid_directory_delete.md)
+ [混合目錄的目錄評估](hybrid_directory_assessment.md)
+ [對混合目錄和目錄評估進行故障診斷](hybrid_directory_troubleshooting.md)

# 混合目錄先決條件
<a name="create_hybrid_directory_prereqs"></a>

混合目錄將您的自我管理 Active Directory 延伸到 AWS 雲端。在建立混合目錄之前，請確定您的環境符合下列要求：

## Microsoft Active Directory 網域需求
<a name="create_hybrid_directory_prereqs-ad-domain"></a>

在建立混合目錄之前，請確保您的自我管理 AD 環境和基礎設施符合下列要求，並收集必要的資訊。

### 網域需求
<a name="domain_requirements"></a>

您的自我管理 AD 環境必須符合下列要求：
+ 使用 Windows Server 2012 R2或 2016功能層級。
+ 使用標準網域控制站來評估混合目錄的建立。唯讀網域控制站 (RODC) 無法用於建立混合目錄。
+ 有兩個網域控制站，所有 Active Directory 服務都正在執行。
+ 主要網域控制器 (PDC) 必須隨時可路由。

  具體而言，自我管理 AD 的 PDC 模擬器和 RID 主 IPs 必須位於下列其中一個類別：
  + RFC1918 私有 IP 地址範圍的一部分 (10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)
  + 在您的 VPC CIDR 範圍內
  + 比對 目錄自我管理執行個體的 DNS IPs 

  您可以在建立混合目錄之後新增目錄的其他 IP 路由。

### 必要資訊
<a name="required_information"></a>

收集有關自我管理 AD 的下列資訊：
+ 目錄 DNS 名稱
+ 目錄 DNS IPs
+ 具有自我管理 AD 管理員許可的服務帳戶憑證
+ AWS 儲存服務帳戶登入資料的秘密 ARN （請參閱 [AWS 混合目錄的秘密 ARN](#aws_secret_arn_for_hybrid))

### AWS 混合目錄的秘密 ARN
<a name="aws_secret_arn_for_hybrid"></a>

若要使用自我管理 AD 設定混合目錄，您需要建立 KMS 金鑰來加密 AWS 秘密，然後建立秘密本身。這兩個資源都必須在 AWS 帳戶 包含混合目錄的相同 中建立。

#### 建立 KMS 金鑰
<a name="create_kms_key_for_hybrid"></a>

KMS 金鑰用於加密您的 AWS 秘密。

**重要**  
對於**加密金鑰**，請不要使用 AWS 預設 KMS 金鑰。請務必在相同 中建立 AWS KMS 金鑰 AWS 帳戶 ，其中包含您要建立以加入自我管理 AD 的混合目錄。

**建立 AWS KMS 金鑰**

1. 在 AWS KMS 主控台中，選擇**建立金鑰**。

1. 對於**金鑰類型**，選擇**對稱**。

1. 對於**金鑰用途**，選擇**加密和解密**。

1. 針對 **Advanced options (進階選項)**：

   1. 對於**金鑰材料來源**，選擇 **KMS**。

   1. 針對**區域性**，選擇**單一區域金鑰**，然後選擇**下一步**。

1. 對於**別名**，提供 KMS 金鑰的名稱。

1. (選用) 對於**描述**，提供 KMS 金鑰的描述。

1. （選用） 針對**標籤**，新增 KMS 金鑰的標籤，然後選擇**下一步**。

1. 針對**金鑰管理員**，選取 IAM 使用者。

1. 對於**金鑰刪除**，請保留**允許金鑰管理員刪除此金鑰**的預設選擇，然後選擇**下一步**。

1. 對於**金鑰使用者**，從上一個步驟中選取相同的 IAM 使用者，然後選擇**下一步**。

1. 檢閱組態。

1. 針對**金鑰政策**，將下列陳述式新增至政策：

1. 選擇**完成**。

#### 建立 AWS 秘密
<a name="create_aws_secret_for_hybrid"></a>

在 Secrets Manager 中建立秘密，以存放自我管理 AD 使用者帳戶的登入資料。

**重要**  
在包含您要與自我管理 AD 加入之混合目錄 AWS 帳戶 的相同 中建立秘密。

若要建立機密
+ 在 Secrets Manager 中，選擇**儲存新的秘密**
+ 針對**秘密類型**，選擇**其他類型的秘密**
+ 對於**金鑰/值對**，新增兩個金鑰：

1. <a name="add_username_key"></a>新增使用者名稱金鑰

   1. 對於第一個金鑰，輸入 `customerAdAdminDomainUsername`。

   1. 對於第一個金鑰的值，僅輸入 AD 使用者的使用者名稱 (不含網域字首)。請勿包含網域名稱，因為這會導致執行個體建立失敗。

1. <a name="add_password_key"></a>新增密碼金鑰

   1. 對於第二個金鑰，輸入 `customerAdAdminDomainPassword`。

   1. 對於第二個金鑰的值，輸入您在網域上為 AD 使用者建立的密碼。

##### 完成秘密組態
<a name="complete_secret_configuration"></a>

1. 針對**加密金鑰**，選取您在 中建立的 KMS 金鑰[建立 KMS 金鑰](#create_kms_key_for_hybrid)，然後選擇**下一步**。

1. 針對**秘密名稱**，輸入秘密的描述。

1. （選用） 針對**描述**，輸入秘密的描述。

1. 選擇**下一步**。

1. 對於**設定輪換設定**，保留預設值並選擇**下一步**。

1. 檢閱秘密的設定，然後選擇**儲存**。

1. 選擇您建立的秘密，然後複製**秘密 ARN** 的值。您將在下一個步驟中使用此 ARN 來設定自我管理 Active Directory。

### 基礎設施需求
<a name="infrastructure_requirements"></a>

準備下列基礎設施元件：
+ 具有 SSM 代理程式管理員權限的兩個 AWS Systems Manager 節點
  + 如果您的 Active Directory 在 **外部自我管理 AWS 雲端**，您將需要兩個 Systems Manager 節點，用於混合多雲端環境。如需如何佈建這些節點的詳細資訊，請參閱[為混合多雲端環境設定 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)。
  + 如果您的 Active Directory 在 **中自我管理 AWS 雲端**，您將需要兩個 Systems Manager 受管 EC2 執行個體。如需如何佈建這些執行個體的詳細資訊，請參閱[使用 Systems Manager 管理 EC2 執行個體](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。

## 必要的 Active Directory 服務
<a name="create_hybrid_directory_prereqs-ad-services"></a>

確保您的自我管理 AD 上執行下列服務：
+ Active Directory Domain Services
+ Active Directory Web Service (ADWS)
+ COM\$1 事件系統
+ 分散式檔案系統複寫 (DFSR)
+ 網域名稱系統 (DNS)
+ DNS 伺服器
+ 群組政策用戶端
+ 站台間傳訊
+ 遠端程序呼叫 (RPC)
+ 安全帳戶管理員
+ Windows Time 伺服器
**注意**  
混合目錄需要同時開啟 UDP 連接埠 123，並啟用和運作 Windows Time Server。我們會與您的網域控制器同步時間，以確保混合目錄複寫正常運作。

## Kerberos 身分驗證要求
<a name="create_hybrid_directory_prereqs-ad-kerberos"></a>

您的使用者帳戶必須啟用 Kerberos 預先驗證。如需如何啟用此設定的詳細說明，請參閱[確定已啟用 Kerberos 預先驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos)。如需此設定的一般資訊，請前往 Microsoft TechNet 上的[預先驗證](http://technet.microsoft.com/en-us/library/cc961961.aspx)。

## 支援的加密類型
<a name="create_hybrid_directory_prereqs-encryption"></a>

透過 Kerberos 驗證至 Active Directory 網域控制站時，混合目錄支援下列加密類型：
+ AES-256-HMAC

## 網路連接埠需求
<a name="create_hybrid_directory_prereqs-ports"></a>

若要 AWS 讓 擴展自我管理 Active Directory 網域控制站，現有網路的防火牆必須CIDRs針對 Amazon VPC 中的兩個子網路，將下列連接埠開放給 ：
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身分驗證
+ UDP 123 - 時間伺服器
+ TCP 135 - 遠端程序呼叫
+ TCP/UDP 389 - LDAP
+ TCP 445 - SMB
+ TCP 636 - 僅適用於具有輕量型目錄存取通訊協定安全 (LDAPS) 的環境
+ TCP 49152-65535 - RPC 隨機配置的高 TCP 連接埠
+ TCP 3268 和 3269 - 全域目錄
+ TCP 9389 Active Directory Web Services (ADWS)

這些是建立混合目錄所需的最小連接埠。您特定的組態可能需要開啟其他連接埠。

**注意**  
為您的網域控制站和 FSMO 角色持有者提供的 DNS IPs，必須對 Amazon VPC 中兩個子網路CIDRs 開放上述連接埠。

**注意**  
混合目錄需要同時開啟 UDP 連接埠 123，並啟用和運作 Windows Time Server。我們會與您的網域控制器同步時間，以確保混合目錄複寫正常運作。

## AWS 帳戶 許可
<a name="hybrid-dir-prereq-perms"></a>

您將需要下列動作的許可 AWS 帳戶：
+ ec2:AuthorizeSecurityGroupEgress
+ ec2:AuthorizeSecurityGroupIngress
+ ec2:CreateNetworkInterface
+ ec2：CreateSecurityGroup
+ ec2:DescribeNetworkInterfaces
+ ec2：DescribeSubnets
+ ec2：DescribeVpcs
+ ec2：CreateTags
+ ec2:CreateNetworkInterfacePermission
+ ssm:ListCommands
+ ssm:GetCommandInvocation
+ ssm:GetConnectionStatus
+ ssm:SendCommand
+ secretsmanager:DescribeSecret
+ secretsmanager:GetSecretValue
+ iam:GetRole
+ iam：CreateServiceLinkedRole

## Amazon VPC 網路需求
<a name="hybrid-dir-prereqs-vpc"></a>

具有下列項目的 VPC：
+ 至少兩個子網路。每個子網路都必須位於不同的可用區域
+ VPC 必須具有預設租用

您不能使用 198.18.0.0/15 地址空間中的地址在 VPC 中建立混合目錄。

Directory Service 使用兩個 VPC 結構。組成目錄的 EC2 執行個體會在您的 外部執行 AWS 帳戶，並由 管理 AWS。其使用兩種網路轉接器，`ETH0` 和 `ETH1`。`ETH0` 是管理轉接器，而且位於您的帳戶外部。`ETH1` 則是建立於您的帳戶內部。

目錄的 ETH0 網路管理 IP 範圍為 `198.18.0.0/15`。

如需詳細資訊，請參閱 *Amazon VPC 使用者指南* 中的下列主題：
+ [「什麼是 Amazon VPC？」](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [「什麼是 Amazon VPC？」](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs和子網路](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [什麼是 AWS Site-to-Site VPN？](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)

如需詳細資訊 AWS Direct Connect，請參閱[什麼是 AWS Direct Connect？](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

## AWS 安全群組組態
<a name="hybrid-dir-prereqs-security-group"></a>

根據預設， 會 AWS 連接安全群組，以允許網路存取 VPC AWS Systems Manager 中的受管節點。您可以選擇性地提供自己的安全群組，允許網路流量往返 VPC 外部的自我管理網域控制站。

您可以選擇性地提供自己的安全群組，允許網路流量往返 VPC 外部的自我管理網域控制站。如果您提供自己的安全群組，則需要：
+ 允許列出您的VPC CIDR範圍和自我管理的範圍。
+ 確保這些範圍不會與[AWS 預留 IP 範圍](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)重疊 

## 目錄評估考量事項
<a name="hybrid-dir-prereqs-assessments"></a>

以下是建立目錄評估和您可以在 中擁有的評估數量時的考量 AWS 帳戶：
+ 當您建立混合目錄時，會自動建立目錄評估。評估有兩種類型： `CUSTOMER`和 `SYSTEM`。您的 AWS 帳戶 有 100 個`CUSTOMER`目錄評估的限制。
+ 如果您嘗試建立混合目錄，而且已經有 100 個`CUSTOMER`目錄評估，則您會遇到錯誤。刪除評估以釋放容量，然後再試一次。
+ 您可以聯絡 支援 或刪除現有的 CUSTOMER `CUSTOMER`目錄評估以釋放容量，請求提高目錄評估配額。

# 建立混合目錄
<a name="hybrid_directory_create"></a>

建立混合目錄之前，您必須建立並成功傳遞目錄評估，以驗證與自我管理 Active Directory 的連線能力和互通性

## 使用自我管理 AD 建立混合目錄
<a name="creating_hybrid_directory"></a>

請依照下列步驟，使用自我管理 AD 建立混合目錄：

**建立混合目錄**

1. 開啟所需區域的 Directory Service 主控台。

1. 在**選取目錄類型**頁面上，選擇 **AWS Managed Microsoft AD**。

1. 在 ** AWS Managed Microsoft AD 入門**下，選取**使用混合目錄擴展 AD 網域 – 新**目錄，然後選擇**下一步**。這會引導您前往**建立目錄評估**頁面。

1. 您必須先建立並成功通過目錄評估，才能建立混合目錄。若要建立目錄評估，請遵循中的步驟[建立目錄評估](create_directory_assessment.md)。成功通過目錄評估後，您可以繼續此程序。

1. 成功通過目錄評估後，請導覽至**目錄**頁面。

1. 在**目錄**頁面的**試驗混合目錄評估**下，選擇**狀態**為 **的評估 ID**`SUCCESS`。然後選取**建立混合目錄**，以引導您前往評估詳細資訊頁面

1. 在評估詳細資訊頁面上，選取**建立混合目錄**來確認此動作，這會開啟**使用 assessment-id 建立混合目錄**頁面。

1. 在**使用 assessment-id 建立混合目錄**頁面上，**檢閱自我管理 Active Directory 資訊**。確認資訊後，選取**建立混合目錄**。

   選擇**建立混合目錄**後， 會根據此資訊 AWS 執行另一個目錄評估，以確認您的自我管理 AD 組態仍然有效。如果目錄評估成功通過，我們會建立混合目錄。

1. 選擇**建立混合目錄**會返回**目錄**頁面。

   1. 成功建立混合目錄後，會出現綠色橫幅。

   1. 如果混合目錄建立失敗，會出現紅色橫幅。完成下列動作以清除混合目錄建立失敗：

      1. 在 主控台中刪除失敗的混合目錄。

      1. 刪除自我管理 AD 中任何剩餘的 AWS 預留 OUs。

   **其他資訊**
   + [刪除混合目錄](hybrid_directory_delete.md)
   + [疑難排解](hybrid_directory_troubleshooting.md)

# 檢視和編輯混合目錄
<a name="hybrid_directory_view_and_edit"></a>

使用下列程序來檢視或編輯您的混合目錄。

## 檢視混合目錄
<a name="viewing_hybrid_dir"></a>

您可以在 Directory Service 主控台中檢視混合目錄。

**檢視詳細目錄資訊**

1. 在 [Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中，選擇 **Directories (目錄)**。

1. 選擇您目錄的目錄 ID 連結。目錄詳細資訊頁面上會顯示**目錄**的相關資訊。

### 自我管理 Active Directory 資訊
<a name="self-managed-active-directory-information"></a>

本節提供有關加入 AWS 基礎設施的自我管理 Active Directory 的資訊。
+ 目錄類型
+ 目錄 ID
+ 目錄狀態
+ 自我管理 AD 的網路詳細資訊，例如：
  + VPC
  + 子網路
  + DNS 地址
+ Systems Manager 受管節點

### 混合目錄索引標籤
<a name="hybrid_directory_tabs"></a>

您可以找到有關 AWS Managed Microsoft AD 的下列資訊：
+ 在**共用和共用**索引標籤上，您可以與其他 AWS 帳戶共用 AWS Managed Microsoft AD，並檢視網域控制站的網路詳細資訊。
+ 在**應用程式管理**索引標籤上，您可以為 AWS Managed Microsoft AD 啟用應用程式存取 URL，並為 AWS Managed Microsoft AD 啟用 AWS 應用程式和服務。
+ 在**維護**索引標籤上，您可以啟用 SNS 來接收 AWS Managed Microsoft AD 狀態的通知，並檢閱 AWS Managed Microsoft AD 的快照。
+ 如需 **Status** (狀態) 欄位的詳細資訊，請參閱「[了解 AWS Managed Microsoft AD 目錄狀態](ms_ad_directory_status.md)」。

## 更新混合目錄
<a name="editing_hybrid_dir"></a>

您可以在 Directory Service 主控台中更新混合目錄，以修改 DNS 設定或復原管理員帳戶存取權。

**更新混合目錄資訊**

1. 在 [Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2)導覽窗格中，選擇 **Directories (目錄)**。

1. 選擇目錄的目錄 ID 連結，以開啟**目錄詳細資訊**頁面。

1. 選擇**動作**，然後選擇**更新混合目錄資訊**。

1. 在**更新混合目錄資訊**頁面上，您可以更新 DNS 設定或復原管理員帳戶。

   **更新 DNS 設定 （選用）**

   在**自我管理 Active Directory 資訊**下，您可以變更下列項目：

   1. **目錄 DNS 名稱**

   1. **DNS IP 地址**

   您可以一起或個別更新這兩個設定。更新程序至少需要變更一次。

1. **復原混合目錄管理員帳戶**

   若要復原您的混合目錄管理員帳戶，我們需要暫時存取使用者。此存取權是透過 Secrets Manager 的秘密提供。在復原期間，我們只會使用這些登入資料一次，而不會存放這些登入資料。如果您的混合目錄管理員帳戶存在，即使您更新了自我管理的 Active Directory 管理員使用者，也不需要更新此秘密。

   1. **管理員登入資料秘密** – 我們在建立混合目錄時建立混合目錄管理員帳戶。如果您刪除此秘密，請輸入自我管理 AD 管理員使用者的 Secrets Manager 秘密。

# 刪除混合目錄
<a name="hybrid_directory_delete"></a>

當您刪除混合目錄時，會刪除所有目錄資料和快照，而且無法復原。刪除目錄之後，所有加入目錄的執行個體都會保持不變。不過，您無法使用目錄登入資料來登入這些執行個體。您必須使用本機使用者帳戶登入這些執行個體。

**刪除目錄**

1. 在 [Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中，**選取目錄**。確保您位於部署 AWS 區域 混合目錄的 中。如需詳細資訊，請參閱[選擇區域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)。

1. 請確定您要刪除的目錄未啟用 AWS 任何應用程式。啟用 AWS 的應用程式將阻止您刪除混合目錄。

1. 在 **Directories** (目錄) 頁面中，選擇目錄 ID。

1. 在 **Directory details (目錄詳細資訊)** 頁面上，選取 **Application management (應用程式管理)** 索引標籤。在**AWS 應用程式和服務**區段中，您會看到您的目錄已啟用哪些 AWS 應用程式。

   1. 停用 AWS 管理主控台 存取。如需詳細資訊，請參閱[停用 AWS 管理主控台存取](https://docs.aws.amazon.com/ms_ad_management_console_access.xml)。

   1. 若要停用 Amazon FSx for Windows File Server，您必須從域中移除 Amazon FSx 檔案系統。如需詳細資訊，請參閱《Amazon FSx for Windows File Server 使用者指南》**中的[在 FSx for Windows File Server 中使用 Active Directory](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) 一節。

   1. 若要停用 Amazon Relational Database Service，您必須從域中移除 Amazon RDS 執行個體。如需詳細資訊，請參閱《Amazon RDS 使用者指南》**中的[管理域中的資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing)一節。

1. 在導覽窗格中，選擇**目錄**。

1. 僅選取要刪除的目錄，然後選擇**刪除**。刪除目錄需要幾分鐘的時間。刪除目錄之後，該目錄會從您的目錄清單中移除。

1. 手動刪除任何剩餘的網域控制器物件，包括任何 AWS 預留 OUs。您可以刪除整個 AWS 預留目錄，以完成環境的清理。

# 混合目錄的目錄評估
<a name="hybrid_directory_assessment"></a>

目錄評估會檢查您的自我管理 Active Directory 環境，以確保其符合建立混合目錄的需求。此評估會驗證網路連線、網域控制站組態和所需的服務，以協助在建立自我管理 AD 和 之間的連線之前識別和解決潛在問題 Directory Service。

目錄評估有兩種類型：
+ *`CUSTOMER` 評估* – 在您開始設定混合目錄時，由您在 主控台中啟動。即使客戶目錄評估正在進行，您也可以將其刪除。您最多可以有 100 個客戶評估。
+ *`SYSTEM` 評估* – 由 自動建立 AWS ，並在成功建立後定期執行。您無法刪除`SYSTEM`評估。

目錄評估可提供有關環境整備度的寶貴資訊，包括：
+ 自我管理 AD 與 之間的連線 AWS
+ 網域控制站上所需服務的可用性
+ Directory AWS Service 需求的組態相容性
+ 可能無法成功建立混合目錄的潛在問題

您必須先成功 （通過） 目錄評估，才能建立混合目錄。如果評估失敗，您可以檢視詳細報告來識別和解決問題，然後再重試。 會在 30 天後 AWS 刪除`SYSTEM`評估。

**Topics**
+ [建立目錄評估](create_directory_assessment.md)
+ [檢視目錄評估](viewing_hybrid_dir_assessment.md)
+ [刪除目錄評估](deleting_hybrid_dir_assessment.md)

# 建立目錄評估
<a name="create_directory_assessment"></a>

您可以在建立混合目錄時建立目錄評估，也可以手動建立一個評估。若要手動建立評估，請開啟位於 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 的 Directory Service 主控台。在**目錄**頁面的**目錄評估**區段下，選擇**建立評估**。

**建立目錄評估**

1. 在**建立目錄評估**頁面上，針對**目錄 DNS 名稱**，輸入您的自我管理 Active Directory DNS 名稱。

1. 針對 **DNS IP 地址**，輸入自我管理 AD 的兩個 DNS IP 地址。

1. 混合目錄需要至少有兩個子網路的 Amazon VPC。如果您還沒有這些項目，您可以建立它們。在**聯網**區段中，提供下列項目：

   1. 針對 **VPC**，選擇您的 VPC 識別符。

   1. 針對**子網路**，為每個兩個子網路選擇識別符。每個子網路必須位於不同的可用區域。如需詳細資訊，請參閱[Amazon VPC 網路需求](create_hybrid_directory_prereqs.md#hybrid-dir-prereqs-vpc)。

   1. 針對**安全群組**，選擇安全群組識別符。根據預設， 會 AWS 連接安全群組，以允許網路存取 Amazon VPC 中的 AWS Secrets Manager 受管節點。您可以選擇性地提供自己的安全群組，允許網路流量進出 Amazon VPC 外部的自我管理網域控制站。

1. 在**AWS Systems Manager 節點**區段中，根據下列需求選擇兩個 Systems Manager 節點或執行個體：
   + 如果您的 Active Directory 在 **外部自我管理 AWS 雲端**，您將需要兩個 Systems Manager 節點，用於混合多雲端環境。如需如何佈建這些節點的詳細資訊，請參閱[為混合多雲端環境設定 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)。
   + 如果您的 Active Directory 在 **中自我管理 AWS 雲端**，您將需要兩個 Systems Manager 受管 EC2 執行個體。如需如何佈建這些執行個體的詳細資訊，請參閱[使用 Systems Manager 管理 EC2 執行個體](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。

1. 選擇**下一步**以開啟**檢閱並建立目錄評估**頁面。

1. 在**檢閱和建立目錄評估**頁面上，檢閱目錄評估資訊並進行任何必要的變更。當資訊正確時，選擇**建立評估**。建立目錄評估大約需要 30 分鐘。您會返回目錄詳細資訊頁面。當目錄評估成功時，會出現綠色橫幅。
**警告**  
若要建立混合目錄，目錄評估必須進入 SUCCESS 狀態。您必須先成功通過目錄評估，才能建立混合目錄。

# 檢視目錄評估
<a name="viewing_hybrid_dir_assessment"></a>

您可以在 中檢視目錄評估 AWS 管理主控台 ，以檢閱評估結果並管理您的評估報告。

**檢視目錄評估**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1. 在**目錄**頁面的**試用混合目錄評估**區段下，選擇您要檢視的評估。這會開啟評估詳細資訊頁面。

1. 在評估詳細資訊頁面上，您可以選擇：
   + **下載** 以將目錄評估報告下載為 CSV 檔案。
   + **刪除** 以刪除目錄評估報告。
   + **建立評估**以建立新的目錄評估。

1. 從評估詳細資訊頁面，您可以檢視下列資訊：

   1. 評估資訊，例如評估 ID、狀態、是否由客戶或系統建立，以及上次更新的時間。

   1. 自我管理 AD 詳細資訊，例如 DNS 名稱、VPC 和子網路。

   1. AWS Systems Manager 受管節點資訊，例如 IP 地址、評估狀態，以及通過和失敗的評估測試數量。

   1. 網域控制站的評估狀態。您也可以選擇網域控制站來檢閱評估測試詳細資訊。錯誤代碼會出現在失敗評估測試**的狀態**欄中。

# 刪除目錄評估
<a name="deleting_hybrid_dir_assessment"></a>

您可以在 中刪除客戶建立的目錄評估 AWS 管理主控台。您無法刪除自動 AWS 建立的系統啟動評估。

**刪除客戶目錄評估**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1. 在**目錄**頁面的**目錄評估**區段下，選擇您要刪除的客戶評估。或者，您可以選擇要刪除的目錄評估旁的核取方塊，然後從**動作**功能表中，選擇**刪除**。

1. 系統會將您導向**至評估**詳細資訊頁面。選擇**動作**，然後選擇**刪除評估**。隨即出現**刪除目錄評估**對話方塊。選擇**刪除**。

# 對混合目錄和目錄評估進行故障診斷
<a name="hybrid_directory_troubleshooting"></a>

需要目錄評估才能建立混合目錄。評估測試會在每個網域控制器上執行。評估測試會檢查不同的區域，並導致通過或失敗狀態。如果您的目錄評估失敗，您可以檢視網域控制站的評估測試，以識別導致失敗的問題。

**重要**  
當目錄評估的狀態通過並顯示警告時，可以建立混合目錄。我們建議您在建立混合目錄之前解決造成警告的問題

**Topics**
+ [故障診斷失敗的混合目錄評估](#hybrid_directory_troubleshooting_steps)
+ [目錄狀態錯誤](hybrid_directory_status_errors.md)
+ [目錄評估錯誤訊息](da-error-msgs.md)
+ [評估測試錯誤訊息](assessment_test_error-msgs.md)
+ [評估測試警告訊息](assessment_test_warning-msgs.md)

## 故障診斷失敗的混合目錄評估
<a name="hybrid_directory_troubleshooting_steps"></a>

您可以從 中的**目錄頁面對失敗的目錄**評估進行故障診斷 AWS 管理主控台。

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1. 在**目錄評估**區段下，選取失敗的混合目錄評估。

1. 在**評估詳細資訊**頁面上，檢閱目錄評估並識別哪些 test(s) 失敗。

   1. 網域控制站的評估測試將提供有關哪些測試成功或失敗的詳細資訊。**狀態**欄提供失敗測試原因的更多詳細資訊。若要檢視網域控制站的評估測試，請參閱 [檢視目錄評估](viewing_hybrid_dir_assessment.md)。

1. 解決造成自我管理 Active Directory 或 AWS Managed Microsoft AD 失敗的問題。如需詳細資訊，請參閱 [目錄評估錯誤訊息](da-error-msgs.md) 和 [評估測試錯誤訊息](assessment_test_error-msgs.md)。

1. 在 Directory Service 主控台中返回失敗的評估。在紅色警告訊息中選擇**建立評估**。[使用自我管理 AD 建立混合目錄](hybrid_directory_create.md#creating_hybrid_directory) 如需建立目錄評估的詳細資訊，請參閱 。

# 目錄狀態錯誤
<a name="hybrid_directory_status_errors"></a>

Directory Service 目錄可能會遇到各種狀態，指出不同類型的問題。了解這些狀態可協助您判斷適當的疑難排解步驟。


**目錄狀態類型**  

| 狀態 | Description | 需執行的動作 | 
| --- | --- | --- | 
| 作用中 | 目錄建立已成功完成，且正常運作。 | 不需要採取行動。 | 
| Impaired (受損) | 目錄已成功建立，但網域控制站之後發生問題。系統會嘗試自動復原。 | 監控目錄狀態。如果問題仍然存在，請聯絡 AWS Support。 | 
| 失敗 | 目錄建立失敗且無法復原。 | 刪除失敗的目錄並建立新的目錄。 | 
| 無法運作 （僅限 Hybrid AD) | AWS 偵測到安全問題，並自動隔離 目錄以進行保護。在還原之前，目錄會變成完全無法使用。 |  [AWS 支援 聯絡中心](https://console.aws.amazon.com/support/home#/)。此狀態需要 支援 介入才能調查和還原目錄。 | 

# 目錄評估錯誤訊息
<a name="da-error-msgs"></a>

若要建立混合目錄，您需要傳遞目錄評估。目錄評估可能會因各種原因而失敗。

下表顯示目錄評估錯誤訊息，以及如何解決這些錯誤訊息。


**目錄評估錯誤訊息和解決方案**  

| 目錄評估錯誤訊息 | Resolution | 
| --- | --- | 
|  此評估在兩個受管執行個體上都未通過多項測試。透過選取每個受管執行個體，並在您的內部部署目錄中解決它們，來調查失敗的測試。然後，建立新的評估。  |  您的自我管理 AD 的一個或多個目錄評估測試失敗。如需特定測試失敗及其解決方法的詳細資訊，[評估測試錯誤訊息](assessment_test_error-msgs.md)請參閱 。  | 
|  由於內部服務例外狀況，此評估失敗。請建立新的評估或聯絡 服務進行故障診斷，然後重試。  |  嘗試建立新的目錄評估。如果您持續遇到此錯誤，請聯絡 [支援](https://aws.amazon.com/premiumsupport/)。  | 
|  由於缺少執行 `ec2:CreateSecurityGroup`、、`ec2:DeleteSecurityGroup`、、 `ec2:CreateNetworkInterface` `ec2:DeleteNetworkInterface`和 等動作的許可`ec2:DescribeSubnets`，此評估失敗`ec2:DescribeNetworkInterface`。  |  若要建立目錄評估，您的 AWS 帳戶 需要必要的 [AWS 帳戶 許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。  | 
|  由於缺少執行 `ssm:GetConnectionStatus`、、`ssm:GetCommandInvocation`、 等動作的許可`ssm:ListCommands`，此評估失敗`ssm:SendCommand`。  |  若要建立目錄評估，您需要兩個具有必要 的 Systems Manager 節點[AWS 帳戶 許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。  | 
|  此評估失敗，因為您已達到可建立的網路介面數量限制。如需詳細資訊，請參閱 [Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。  |  若要建立目錄評估，您必須建立網路介面和安全群組。您可以建立的 VPC 資源數量有限制，但您可以調整其中一些限制。如需詳細資訊，請參閱 [Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。  | 
|  此評估失敗，因為您已達到您可以建立或指派給執行個體的安全群組數量限制。如需詳細資訊，請參閱 [Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。  |  若要建立目錄評估，您必須建立網路介面和安全群組。您可以建立的 VPC 資源數量有限制，但您可以調整其中一些限制。如需詳細資訊，請參閱 [Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll)。  | 
|  此評估失敗。無法從 連線至客戶執行個體 AWS Systems Manager。  |  若要建立目錄評估，您將需要兩個具有連線狀態的 AWS Systems Manager 節點。請參閱[對 SSM Agent 進行故障診斷](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)。  | 
|  此評估未通過多項關鍵測試。透過選取每個受管執行個體，並在您的內部部署目錄中解決它們，來調查失敗的測試。然後，建立新的評估。  |  您的自我管理 AD 的一個或多個目錄評估測試失敗。如需詳細資訊，[評估測試錯誤訊息](assessment_test_error-msgs.md)請參閱 。  | 

# 評估測試錯誤訊息
<a name="assessment_test_error-msgs"></a>

下表說明評估測試期間可能發生的錯誤訊息。這些錯誤表示封鎖在繼續混合目錄設定之前必須解決的問題。


| 測試名稱 | 短名稱 | 錯誤碼 | 錯誤訊息 | Description | Resolution | 
| --- | --- | --- | --- | --- | --- | 
| Active Directory Services 測試 | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | 如果所需的AD服務未在自我管理 AD 中執行，便會發生。 | 特定必要AD服務必須在自我管理 AD 中執行。如需詳細資訊，請參閱[必要的 Active Directory 服務](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services)。 | 
| Active Directory Services 測試 | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | 確定您的自我管理 AD 網域控制站是可操作的，並且可以到達。驗證自我管理 AD 網域控制器的網路連線能力和DNS解析度。 | 
| AD 密碼政策測試 | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | 如果您的自我管理 AD 密碼政策不符合 AWS Managed Microsoft AD 要求，便會發生。 | 您的自我管理 AD 密碼政策必須符合 AWS Managed Microsoft AD 密碼要求。如需詳細資訊，請參閱[了解 AWS Managed Microsoft AD 密碼政策](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html)。 | 
| AWS 管理員使用者存在測試 | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | 如果混合目錄管理員使用者不存在於自我管理 AD OU的 AWS 預留中，則會顯示此訊息。 | 確保混合目錄管理員使用者存在於自我管理 AD OU的預留中 AWS 。如果使用者遺失，請確認帳戶已在混合目錄設定程序期間正確建立。[更新混合目錄](hybrid_directory_view_and_edit.md#editing_hybrid_dir)。如果您的混合目錄狀態無法運作，請聯絡 [支援](https://console.aws.amazon.com/support/home#/)。 | 
| AWS 管理員使用者SPN測試 | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | 如果混合目錄管理員使用者在自我管理 AD 上SPNs設定了任何 ，就會發生。 | 從 AWS 混合目錄管理員使用者帳戶中移除所有服務主體名稱 (SPNs)。混合目錄管理員使用者不得SPNs設定任何 ，因為它們可能會干擾混合目錄身分驗證。 | 
| AWS 網域控制站非FSMO擁有者測試 | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | 如果您將FSMO角色 (PDC Emulator、 RID Master或 Infrastructure Master) 從自我管理 AD 轉移到混合目錄網域控制站，則會顯示此訊息。 | 在繼續之前，將所有FSMO角色 (PDC Emulator、RID Master、Infrastructure Master) 傳輸回自我管理的 AD 網域控制站。如需詳細資訊，請參閱[Microsoft傳輸FSMO角色的文件](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)。 | 
| AWS 預留群組成員資格測試 | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | 如果自我管理 AD OU上的 AWS 預留不存在，便會發生。 |  AWS 預留OU必須存在於自我管理 AD 上，才能驗證群組成員資格。請聯絡 [支援](https://console.aws.amazon.com/support/home#/)。 | 
| AWS 預留群組成員資格測試 | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | 如果自我管理 AD OU上 AWS 預留的 中的群組包含未經授權的使用者，便會發生。 | 從自我管理 AD 的 AWS 預留OU群組中移除任何未經授權的使用者。 | 
| AWS 預留OUACLs測試 | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | 如果自我管理 AD OUACLs上的 AWS 預留不會為非 實體強制執行唯讀許可，AWS 也不會防止未經授權存取 AWS受管資源，就會發生。 | 檢閱並更正自我管理 AD OUACLs上 AWS 預留的許可。確定非AWS 實體只有讀取許可 (`ListChildren`、`ReadProperty`、`ListObject``ReadControl`、`GenericRead`、、`Synchronize`)，並移除任何過多的許可。 | 
| AWS 預留OUGPO關聯測試 | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | 如果自我管理 AD OU上的 AWS 預留OU和網域控制器連結至未經授權的 ，便會發生GPOs。 | （只有 AWS 受管群組政策物件 (GPOs) 可以連結至這些 OUs。移除任何未經授權的GPOs連結至自我管理 AD OU上的 AWS 預留OU和網域控制站。 | 
| AWS 預留OU資源測試 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | 如果自我管理 AD 中OU不存在 AWS Managed Microsoft AD 目錄功能所需的 AWS 預留，則會顯示此訊息。 |  AWS 預留OU必須在混合目錄設定期間自動建立，不應刪除。如果此錯誤仍然存在，請聯絡 [支援](https://console.aws.amazon.com/support/home#/)。 | 
| AWS 預留OU資源測試 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | 如果在自我管理 AD 上OU建立的 AWS 預留不包含必要的物件，並GPOs用於適當的混合目錄操作，就會發生。 | 確保沒有人編輯 AWS 預留 OU。它必須包含必要的 AWS受管資源。移除任何未經授權的物件或 GPOs，如果缺少必要的資源[支援](https://console.aws.amazon.com/support/home#/)，請聯絡 。 | 
| AWS 預留OU測試 | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | 如果從先前的混合目錄設定在自我管理 AD 上找到的 AWS 預留資源仍然存在，則會顯示此訊息。 | 從主控台刪除現有的失敗混合目錄。然後GPOs，從您的自我管理 AD 中刪除任何 AWS 預留OU和相關 ，再繼續。 | 
| Bridgehead 命名內容測試 | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | 如果使用 的站台之間的自我管理 AD 複寫Bridgehead未如預期般運作，便會發生。如果站台之間的命名內容未同步，也可能發生這種情況。 | 您的自我管理 AD bridgehead網站必須成功。您可以使用 進一步診斷：`repadmin /bridgeheads /verbose`。繼續之前，請先解決該評估的問題。 | 
| 子網域測試 | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | 如果您的自我管理 AD 樹系包含 AWS 受管 Microsoft AD 目錄不支援的子網域，則會發生這種情況。 | AWS Managed Microsoft AD 目錄不支援子網域。您必須為自我管理 AD 使用單一網域樹系。如需詳細資訊，請參閱[Microsoft Active Directory 網域需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 | 
| DcDiag 測試 | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | 如果自我管理 AD 上有任何MicrosoftDCDiag測試失敗，就會發生。 | AWS 使用 DCDiag 測試您的自我管理 AD。如果發生錯誤，您無法建立混合目錄。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration)。 | 
| DNS IP 比對測試 | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | 如果自我管理 AD 提供的 DNS IP 地址與使用 啟用的自我管理 AD 網域控制站上的 DNS IP 地址不相符，便會發生 AWS Systems Manager。 | 提供正確的 DNS IP 地址。 | 
| DNS 名稱比對測試 | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | 如果為自我管理 AD 提供DNS的名稱與啟用 的自我管理 AD 網域控制站上的DNS名稱不相符，便會發生 AWS Systems Manager。 | 提供正確的DNS名稱。 | 
| DNS 記錄測試 | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | 如果未針對類型 A、SOA、 NS和 設定WindowsDNS記錄，SRV並且可以查詢，則會顯示 。 | 必須設定地址 (A)、命名空間 (NS)、授權狀態 (SOA) 和服務記錄 (SRV) DNS的記錄，並且可以查詢。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records)。 | 
| 網域樹系功能層級測試 | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | 如果您的自我管理 AD 網域和樹系功能層級不符合最低要求，便會發生。 | 您的自我管理 AD 必須使用 Windows2012 R2或 2016 功能層級。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment)。 | 
| 網域運作狀態測試 | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | 如果您的自我管理 AD 沒有所需的網域控制站數量下限，就會發生。 | 確保您的自我管理 AD 已啟用至少兩個網域控制站 AWS Systems Manager。如需詳細資訊，請參閱[Microsoft Active Directory 網域需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 | 
| 現有網域測試 | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | 如果您的自我管理 AD 網域已加入現有的混合目錄，就會發生。 | 您的自我管理 AD 網域已加入現有的混合目錄。加入混合目錄的每個自我管理 AD 網域必須是唯一的 建立新的自我管理 AD 網域，或從加入它們的混合目錄組態中移除它。 | 
| FSMO 連線測試 | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | 如果自我管理 AD 上的FSMO角色PDC Emulator、 和/或 RID Master IPs 無法路由，便會發生。 | 主要網域控制站 (PDC) 必須隨時可路由。特別是自我管理 AD 的 PDC Emulator和 RID Master IPs。如需詳細資訊，請參閱[Microsoft Active Directory 網域需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 | 
| FSMO 連線測試 | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | 如果您的自我管理 AD 網域控制站無法存取您的FSMO角色，就會發生。 | 自我管理 AD 中的 Flexible Single Master Operation (FSMO) 角色必須連線至自我管理 AD 網域控制站。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)。 | 
| IP 衝突測試 | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | 如果您的自我管理 AD IP 範圍與 AWS 預留範圍重疊，便會發生。 | 您的自我管理 AD 無法使用與預留 IP 範圍重疊的 AWS IP 地址範圍。如需詳細資訊，請參閱[Microsoft Active Directory 網域需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 | 
| Kerberos 測試 | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | 如果 Kerberos 未正確設定且正在使用中，則會顯示 。 | Kerberos 必須在自我管理 AD 上啟用 。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview)。 | 
| LDAP 連線測試 | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | 如果 LDAP 無法運作，便會發生。 | 輕量型目錄存取通訊協定 (LDAP) 必須啟用並在自我管理 AD 上運作。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api)。 | 
| 不唯讀網域控制器進行測試 FSMO  | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | 如果您的自我管理 AD 網域控制站FSMO角色是 ，便會發生RODC。 | 自我管理 AD 的網域控制站不得使用唯讀網域控制站 (RODC) Flexible Single Master Operation (FSMO) 角色。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)。 | 
| 唯讀網域控制站密碼複寫測試 | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | 如果 RODC具有複寫管理員密碼的許可，便會發生。 | 自我管理 AD RODC的 必須明確拒絕複寫管理員密碼的許可。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)。 | 
| 唯讀網域控制站測試 | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | 如果您的自我管理 AD 網域控制站處於 ReadOnlyDC 模式，就會發生。 | 您的自我管理 AD 必須是讀寫網域控制站。如需網域控制器類型的詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers)。 | 
| 遠端連接埠連線能力測試 | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | 如果 AWS 子網路上的必要連接埠且您的自我管理 AD 網域控制器未開啟，便會發生。 | 確保 AWS 子網路和自我管理 AD 之間開啟所有必要的連接埠。如需詳細資訊，請參閱[網路連接埠需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports)。 | 
| 複寫測試 | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | 如果您的自我管理 AD 網域控制站複寫失敗，便會發生。 | 您的自我管理 AD 網域控制站複寫狀態必須成功。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview)。 | 
| SMBV1 測試 | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | 如果自我管理 AD 目前正在使用 SMBv1進行身分驗證，便會發生。 | SMBv1 已知不安全，且必須在自我管理 AD 上停用。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server)。 | 
| SSM 使用者許可測試 | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | 如果 使用Windows的使用者SSM權限不足，就會發生。 | 您需要自我管理 AD 上 AWS System Manager (SSM) 代理程式的Windows管理員許可。如需詳細資訊，請參閱[AWS 帳戶 許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。 | 
| Sysvol 複寫測試 | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | 如果您的自我管理 AD 沒有正確的sysvol複寫方法 (DFSR)，而且複DFSR寫事件期間有任何DCs失敗，就會發生。 | 您的自我管理 AD sysvol複寫方法 (DFSR) 必須成功。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr)。 | 
| 頂層GPO測試 | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | 如果您的自我管理 AD 已將頂層GPOs設定為強制執行，則會顯示此訊息。 | 確保您的自我管理 AD 網域頂層群組政策物件 (GPO) 未設定為強制執行。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing)。 | 
| 信任類型測試 | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | 如果您的自我管理 AD 具有不支援的信任類型，就會發生。 | Uplevel 是混合目錄唯一支援的信任類型。您的自我管理 AD 不能有下列信任類型：DCE、MIT、Downlevel。如需信任類型的詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)。 | 
| 有效的網域控制站測試 | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | 如果您提供的自我管理 AD 執行個體不是網域控制站，或它們已經是另一個混合目錄的一部分，就會發生。 | 提供此混合目錄獨有的自我管理 AD 網域控制站。使用新目錄重試。確保您已刪除失敗的混合目錄和自我管理 AD 中的任何 AWS OU。 | 

# 評估測試警告訊息
<a name="assessment_test_warning-msgs"></a>

下表說明評估測試期間可能發生的警告訊息。這些警告代表最佳組態的建議，但不阻止混合目錄設定。


| 測試名稱 | 短名稱 | 警告代碼 | 警告訊息 | Description | Resolution | 
| --- | --- | --- | --- | --- | --- | 
| 網域運作狀態測試 | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | 如果您的自我管理 AD 中有使用者帳戶長時間未登入，且可能被視為過時或非作用中，則會顯示此訊息。 | 清除過時的使用者帳戶。 | 
| 網域控制站資料來源測試 | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | 如果自我管理 AD 具有正確的時間來源設定，且與時間來源相比沒有很大的時間偏斜， AWS 則會發生這種情況。 | 您的主要網域控制器 (PDC) 時間伺服器會導向 `169.254.169.123`。您的非主要網域控制站應指向 PDC做為來源。如需詳細資訊，請參閱[使用 保持時間Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/)。 | 
| 可用空間測試 | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | 如果您的自我管理 AD 合併NTDS且Sysvol用量超過支援的配額，則會顯示此訊息。 | 您的自我管理 AD 應為混合目錄提供 24 GB 的磁碟空間。 | 
| FSMO Roles 測試 | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | 如果建立混合目錄時提供的兩個網域控制站中沒有 FSMO 角色 (PDC 模擬器和 RID Master)，則會顯示此訊息。 | 在您建立混合目錄時提供的兩個網域控制站中，您的混合目錄應同時具有 FSMO 角色 (PDC 模擬器和 RID Master)。如需詳細資訊，請參閱[如何檢視和轉移FSMO角色](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)。 | 
| S 通道SSP測試 | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | 如果自我管理 AD 不使用 TLS1.2和 AES256加密，便會發生。 | 您的自我管理 AD 必須AES256針對混合目錄使用 TLS 1.2和 。 | 
| 磁碟損毀測試 | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | 如果您的自我管理 AD 發生磁碟損毀，就會發生。 | 您的自我管理 AD 磁碟不應損毀。 | 
| 網域控制站規格測試 | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | 如果您的自我管理 AD 網域控制站不符合必要的規格，便會發生。 | 您的自我管理 AD 網域控制站應為混合目錄至少擁有 7 GB RAM 和 2 個 CPU 核心。 | 
| 伺服器層級外掛程式Dll測試 | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | 在自我管理 AD 網域控制站上設定 ServerLevelPluginDll 時發生。 | 您的自我管理 AD 網域控制站不應ServerLevelPluginDII設定。 | 
| 允許NT4加密測試 | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | 如果自我管理 AD NT4 允許密碼編譯，便會發生。 | 您的自我管理 AD NT4 不應使用密碼編譯。如需詳細資訊，請參閱Microsoft文件。 | 
| 孤立管理員使用者測試 | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | 如果您的自我管理 AD 中存在孤立的管理員使用者，就會發生。 | 在繼續之前，移除自我管理 AD 上的孤立使用者。 | 
| 特殊權限使用者計數測試 | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | 如果自我管理 AD 上的內建管理員、網域管理員和企業管理員的總計數大於 5，便會發生。 | 您的自我管理 AD 環境不應有多個特殊權限帳戶。在繼續之前，您應該移除過多的管理員帳戶。 | 
| 特殊權限使用者計數測試 | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | 如果自我管理 AD 上的內建管理員、網域管理員和企業管理員的總計數大於 5，便會發生。 | 您的自我管理 AD 環境不應有多個特殊權限帳戶。在繼續之前，您應該移除過多的管理員帳戶。 | 
| 特殊權限使用者計數測試 | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | 如果自我管理 AD 上的內建管理員、網域管理員和企業管理員的總計數大於 5，便會發生。 | 您的自我管理 AD 環境不應有多個特殊權限帳戶。在繼續之前，您應該移除過多的管理員帳戶。 | 
| NTLM 測試 | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | 如果NTLMv1已啟用自我管理 AD 上的身分驗證，則會顯示 。 | NT LAN Manager 第 1 版 (NTLMv1) 具有已知的安全漏洞，不應使用。在自我管理 AD NTLMv1上停用 。如需詳細資訊，請參閱 [Microsoft 文件](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73)。 | 
| Tombstone 生命週期測試 | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | 如果自我管理 AD 上的 Tombstone 生命週期超過 180 天，便會發生。 | Tombstone 生命週期是從 移除已刪除物件之前的天數AD。自我管理 AD 的 Tombstone 生命週期值應為 180 天或更少。如需詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180)。 |