本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對混合目錄和目錄評估進行故障診斷
需要目錄評估才能建立混合目錄。評估測試會在每個網域控制器上執行。評估測試會檢查不同的區域,並導致通過或失敗狀態。如果您的目錄評估失敗,您可以檢視網域控制站的評估測試,以識別導致失敗的問題。
**重要**
當目錄評估的狀態通過並顯示警告時,可以建立混合目錄。我們建議您在建立混合目錄之前解決造成警告的問題
**Topics**
+ [故障診斷失敗的混合目錄評估](#hybrid_directory_troubleshooting_steps)
+ [目錄狀態錯誤](hybrid_directory_status_errors.md)
+ [目錄評估錯誤訊息](da-error-msgs.md)
+ [評估測試錯誤訊息](assessment_test_error-msgs.md)
+ [評估測試警告訊息](assessment_test_warning-msgs.md)
## 故障診斷失敗的混合目錄評估
您可以從 中的**目錄頁面對失敗的目錄**評估進行故障診斷 AWS 管理主控台。
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。
1. 在**目錄評估**區段下,選取失敗的混合目錄評估。
1. 在**評估詳細資訊**頁面上,檢閱目錄評估並識別哪些 test(s) 失敗。
1. 網域控制站的評估測試將提供有關哪些測試成功或失敗的詳細資訊。**狀態**欄提供失敗測試原因的更多詳細資訊。若要檢視網域控制站的評估測試,請參閱 [檢視目錄評估](viewing_hybrid_dir_assessment.md)。
1. 解決造成自我管理 Active Directory 或 AWS Managed Microsoft AD 失敗的問題。如需詳細資訊,請參閱 [目錄評估錯誤訊息](da-error-msgs.md) 和 [評估測試錯誤訊息](assessment_test_error-msgs.md)。
1. 在 Directory Service 主控台中返回失敗的評估。在紅色警告訊息中選擇**建立評估**。[使用自我管理 AD 建立混合目錄](hybrid_directory_create.md#creating_hybrid_directory) 如需建立目錄評估的詳細資訊,請參閱 。
# 目錄狀態錯誤
Directory Service 目錄可能會遇到各種狀態,指出不同類型的問題。了解這些狀態可協助您判斷適當的疑難排解步驟。
**目錄狀態類型**
| 狀態 | Description | 需執行的動作 |
| --- | --- | --- |
| 作用中 | 目錄建立已成功完成,且正常運作。 | 不需要採取行動。 |
| Impaired (受損) | 目錄已成功建立,但網域控制站之後發生問題。系統會嘗試自動復原。 | 監控目錄狀態。如果問題仍然存在,請聯絡 AWS Support。 |
| 失敗 | 目錄建立失敗且無法復原。 | 刪除失敗的目錄並建立新的目錄。 |
| 無法運作 (僅限 Hybrid AD) | AWS 偵測到安全問題,並自動隔離 目錄以進行保護。在還原之前,目錄會變成完全無法使用。 | [AWS 支援 聯絡中心](https://console.aws.amazon.com/support/home#/)。此狀態需要 支援 介入才能調查和還原目錄。 |
# 目錄評估錯誤訊息
若要建立混合目錄,您需要傳遞目錄評估。目錄評估可能會因各種原因而失敗。
下表顯示目錄評估錯誤訊息,以及如何解決這些錯誤訊息。
**目錄評估錯誤訊息和解決方案**
| 目錄評估錯誤訊息 | Resolution |
| --- | --- |
| 此評估在兩個受管執行個體上都未通過多項測試。透過選取每個受管執行個體,並在您的內部部署目錄中解決它們,來調查失敗的測試。然後,建立新的評估。 | 您的自我管理 AD 的一個或多個目錄評估測試失敗。如需特定測試失敗及其解決方法的詳細資訊,[評估測試錯誤訊息](assessment_test_error-msgs.md)請參閱 。 |
| 由於內部服務例外狀況,此評估失敗。請建立新的評估或聯絡 服務進行故障診斷,然後重試。 | 嘗試建立新的目錄評估。如果您持續遇到此錯誤,請聯絡 [支援](https://aws.amazon.com/premiumsupport/)。 |
| 由於缺少執行 `ec2:CreateSecurityGroup`、、`ec2:DeleteSecurityGroup`、、 `ec2:CreateNetworkInterface` `ec2:DeleteNetworkInterface`和 等動作的許可`ec2:DescribeSubnets`,此評估失敗`ec2:DescribeNetworkInterface`。 | 若要建立目錄評估,您的 AWS 帳戶 需要必要的 [AWS 帳戶 許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。 |
| 由於缺少執行 `ssm:GetConnectionStatus`、、`ssm:GetCommandInvocation`、 等動作的許可`ssm:ListCommands`,此評估失敗`ssm:SendCommand`。 | 若要建立目錄評估,您需要兩個具有必要 的 Systems Manager 節點[AWS 帳戶 許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。 |
| 此評估失敗,因為您已達到可建立的網路介面數量限制。如需詳細資訊,請參閱 [Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。 | 若要建立目錄評估,您必須建立網路介面和安全群組。您可以建立的 VPC 資源數量有限制,但您可以調整其中一些限制。如需詳細資訊,請參閱 [Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。 |
| 此評估失敗,因為您已達到您可以建立或指派給執行個體的安全群組數量限制。如需詳細資訊,請參閱 [Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。 | 若要建立目錄評估,您必須建立網路介面和安全群組。您可以建立的 VPC 資源數量有限制,但您可以調整其中一些限制。如需詳細資訊,請參閱 [Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll)。 |
| 此評估失敗。無法從 連線至客戶執行個體 AWS Systems Manager。 | 若要建立目錄評估,您將需要兩個具有連線狀態的 AWS Systems Manager 節點。請參閱[對 SSM Agent 進行故障診斷](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)。 |
| 此評估未通過多項關鍵測試。透過選取每個受管執行個體,並在您的內部部署目錄中解決它們,來調查失敗的測試。然後,建立新的評估。 | 您的自我管理 AD 的一個或多個目錄評估測試失敗。如需詳細資訊,[評估測試錯誤訊息](assessment_test_error-msgs.md)請參閱 。 |
# 評估測試錯誤訊息
下表說明評估測試期間可能發生的錯誤訊息。這些錯誤表示封鎖在繼續混合目錄設定之前必須解決的問題。
| 測試名稱 | 短名稱 | 錯誤碼 | 錯誤訊息 | Description | Resolution |
| --- | --- | --- | --- | --- | --- |
| Active Directory Services 測試 | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | 如果所需的AD服務未在自我管理 AD 中執行,便會發生。 | 特定必要AD服務必須在自我管理 AD 中執行。如需詳細資訊,請參閱[必要的 Active Directory 服務](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services)。 |
| Active Directory Services 測試 | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | 確定您的自我管理 AD 網域控制站是可操作的,並且可以到達。驗證自我管理 AD 網域控制器的網路連線能力和DNS解析度。 |
| AD 密碼政策測試 | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | 如果您的自我管理 AD 密碼政策不符合 AWS Managed Microsoft AD 要求,便會發生。 | 您的自我管理 AD 密碼政策必須符合 AWS Managed Microsoft AD 密碼要求。如需詳細資訊,請參閱[了解 AWS Managed Microsoft AD 密碼政策](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html)。 |
| AWS 管理員使用者存在測試 | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | 如果混合目錄管理員使用者不存在於自我管理 AD OU的 AWS 預留中,則會顯示此訊息。 | 確保混合目錄管理員使用者存在於自我管理 AD OU的預留中 AWS 。如果使用者遺失,請確認帳戶已在混合目錄設定程序期間正確建立。[更新混合目錄](hybrid_directory_view_and_edit.md#editing_hybrid_dir)。如果您的混合目錄狀態無法運作,請聯絡 [支援](https://console.aws.amazon.com/support/home#/)。 |
| AWS 管理員使用者SPN測試 | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | 如果混合目錄管理員使用者在自我管理 AD 上SPNs設定了任何 ,就會發生。 | 從 AWS 混合目錄管理員使用者帳戶中移除所有服務主體名稱 (SPNs)。混合目錄管理員使用者不得SPNs設定任何 ,因為它們可能會干擾混合目錄身分驗證。 |
| AWS 網域控制站非FSMO擁有者測試 | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | 如果您將FSMO角色 (PDC Emulator、 RID Master或 Infrastructure Master) 從自我管理 AD 轉移到混合目錄網域控制站,則會顯示此訊息。 | 在繼續之前,將所有FSMO角色 (PDC Emulator、RID Master、Infrastructure Master) 傳輸回自我管理的 AD 網域控制站。如需詳細資訊,請參閱[Microsoft傳輸FSMO角色的文件](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)。 |
| AWS 預留群組成員資格測試 | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | 如果自我管理 AD OU上的 AWS 預留不存在,便會發生。 | AWS 預留OU必須存在於自我管理 AD 上,才能驗證群組成員資格。請聯絡 [支援](https://console.aws.amazon.com/support/home#/)。 |
| AWS 預留群組成員資格測試 | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | 如果自我管理 AD OU上 AWS 預留的 中的群組包含未經授權的使用者,便會發生。 | 從自我管理 AD 的 AWS 預留OU群組中移除任何未經授權的使用者。 |
| AWS 預留OUACLs測試 | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | 如果自我管理 AD OUACLs上的 AWS 預留不會為非 實體強制執行唯讀許可,AWS 也不會防止未經授權存取 AWS受管資源,就會發生。 | 檢閱並更正自我管理 AD OUACLs上 AWS 預留的許可。確定非AWS 實體只有讀取許可 (`ListChildren`、`ReadProperty`、`ListObject``ReadControl`、`GenericRead`、、`Synchronize`),並移除任何過多的許可。 |
| AWS 預留OUGPO關聯測試 | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | 如果自我管理 AD OU上的 AWS 預留OU和網域控制器連結至未經授權的 ,便會發生GPOs。 | (只有 AWS 受管群組政策物件 (GPOs) 可以連結至這些 OUs。移除任何未經授權的GPOs連結至自我管理 AD OU上的 AWS 預留OU和網域控制站。 |
| AWS 預留OU資源測試 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | 如果自我管理 AD 中OU不存在 AWS Managed Microsoft AD 目錄功能所需的 AWS 預留,則會顯示此訊息。 | AWS 預留OU必須在混合目錄設定期間自動建立,不應刪除。如果此錯誤仍然存在,請聯絡 [支援](https://console.aws.amazon.com/support/home#/)。 |
| AWS 預留OU資源測試 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | 如果在自我管理 AD 上OU建立的 AWS 預留不包含必要的物件,並GPOs用於適當的混合目錄操作,就會發生。 | 確保沒有人編輯 AWS 預留 OU。它必須包含必要的 AWS受管資源。移除任何未經授權的物件或 GPOs,如果缺少必要的資源[支援](https://console.aws.amazon.com/support/home#/),請聯絡 。 |
| AWS 預留OU測試 | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | 如果從先前的混合目錄設定在自我管理 AD 上找到的 AWS 預留資源仍然存在,則會顯示此訊息。 | 從主控台刪除現有的失敗混合目錄。然後GPOs,從您的自我管理 AD 中刪除任何 AWS 預留OU和相關 ,再繼續。 |
| Bridgehead 命名內容測試 | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | 如果使用 的站台之間的自我管理 AD 複寫Bridgehead未如預期般運作,便會發生。如果站台之間的命名內容未同步,也可能發生這種情況。 | 您的自我管理 AD bridgehead網站必須成功。您可以使用 進一步診斷:`repadmin /bridgeheads /verbose`。繼續之前,請先解決該評估的問題。 |
| 子網域測試 | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | 如果您的自我管理 AD 樹系包含 AWS 受管 Microsoft AD 目錄不支援的子網域,則會發生這種情況。 | AWS Managed Microsoft AD 目錄不支援子網域。您必須為自我管理 AD 使用單一網域樹系。如需詳細資訊,請參閱[Microsoft Active Directory 網域需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 |
| DcDiag 測試 | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | 如果自我管理 AD 上有任何MicrosoftDCDiag測試失敗,就會發生。 | AWS 使用 DCDiag 測試您的自我管理 AD。如果發生錯誤,您無法建立混合目錄。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration)。 |
| DNS IP 比對測試 | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | 如果自我管理 AD 提供的 DNS IP 地址與使用 啟用的自我管理 AD 網域控制站上的 DNS IP 地址不相符,便會發生 AWS Systems Manager。 | 提供正確的 DNS IP 地址。 |
| DNS 名稱比對測試 | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | 如果為自我管理 AD 提供DNS的名稱與啟用 的自我管理 AD 網域控制站上的DNS名稱不相符,便會發生 AWS Systems Manager。 | 提供正確的DNS名稱。 |
| DNS 記錄測試 | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | 如果未針對類型 A、SOA、 NS和 設定WindowsDNS記錄,SRV並且可以查詢,則會顯示 。 | 必須設定地址 (A)、命名空間 (NS)、授權狀態 (SOA) 和服務記錄 (SRV) DNS的記錄,並且可以查詢。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records)。 |
| 網域樹系功能層級測試 | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | 如果您的自我管理 AD 網域和樹系功能層級不符合最低要求,便會發生。 | 您的自我管理 AD 必須使用 Windows2012 R2或 2016 功能層級。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment)。 |
| 網域運作狀態測試 | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | 如果您的自我管理 AD 沒有所需的網域控制站數量下限,就會發生。 | 確保您的自我管理 AD 已啟用至少兩個網域控制站 AWS Systems Manager。如需詳細資訊,請參閱[Microsoft Active Directory 網域需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 |
| 現有網域測試 | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | 如果您的自我管理 AD 網域已加入現有的混合目錄,就會發生。 | 您的自我管理 AD 網域已加入現有的混合目錄。加入混合目錄的每個自我管理 AD 網域必須是唯一的 建立新的自我管理 AD 網域,或從加入它們的混合目錄組態中移除它。 |
| FSMO 連線測試 | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | 如果自我管理 AD 上的FSMO角色PDC Emulator、 和/或 RID Master IPs 無法路由,便會發生。 | 主要網域控制站 (PDC) 必須隨時可路由。特別是自我管理 AD 的 PDC Emulator和 RID Master IPs。如需詳細資訊,請參閱[Microsoft Active Directory 網域需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 |
| FSMO 連線測試 | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | 如果您的自我管理 AD 網域控制站無法存取您的FSMO角色,就會發生。 | 自我管理 AD 中的 Flexible Single Master Operation (FSMO) 角色必須連線至自我管理 AD 網域控制站。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)。 |
| IP 衝突測試 | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | 如果您的自我管理 AD IP 範圍與 AWS 預留範圍重疊,便會發生。 | 您的自我管理 AD 無法使用與預留 IP 範圍重疊的 AWS IP 地址範圍。如需詳細資訊,請參閱[Microsoft Active Directory 網域需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain)。 |
| Kerberos 測試 | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | 如果 Kerberos 未正確設定且正在使用中,則會顯示 。 | Kerberos 必須在自我管理 AD 上啟用 。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview)。 |
| LDAP 連線測試 | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | 如果 LDAP 無法運作,便會發生。 | 輕量型目錄存取通訊協定 (LDAP) 必須啟用並在自我管理 AD 上運作。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api)。 |
| 不唯讀網域控制器進行測試 FSMO | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | 如果您的自我管理 AD 網域控制站FSMO角色是 ,便會發生RODC。 | 自我管理 AD 的網域控制站不得使用唯讀網域控制站 (RODC) Flexible Single Master Operation (FSMO) 角色。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)。 |
| 唯讀網域控制站密碼複寫測試 | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | 如果 RODC具有複寫管理員密碼的許可,便會發生。 | 自我管理 AD RODC的 必須明確拒絕複寫管理員密碼的許可。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)。 |
| 唯讀網域控制站測試 | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | 如果您的自我管理 AD 網域控制站處於 ReadOnlyDC 模式,就會發生。 | 您的自我管理 AD 必須是讀寫網域控制站。如需網域控制器類型的詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers)。 |
| 遠端連接埠連線能力測試 | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | 如果 AWS 子網路上的必要連接埠且您的自我管理 AD 網域控制器未開啟,便會發生。 | 確保 AWS 子網路和自我管理 AD 之間開啟所有必要的連接埠。如需詳細資訊,請參閱[網路連接埠需求](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports)。 |
| 複寫測試 | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | 如果您的自我管理 AD 網域控制站複寫失敗,便會發生。 | 您的自我管理 AD 網域控制站複寫狀態必須成功。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview)。 |
| SMBV1 測試 | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | 如果自我管理 AD 目前正在使用 SMBv1進行身分驗證,便會發生。 | SMBv1 已知不安全,且必須在自我管理 AD 上停用。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server)。 |
| SSM 使用者許可測試 | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | 如果 使用Windows的使用者SSM權限不足,就會發生。 | 您需要自我管理 AD 上 AWS System Manager (SSM) 代理程式的Windows管理員許可。如需詳細資訊,請參閱[AWS 帳戶 許可](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)。 |
| Sysvol 複寫測試 | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | 如果您的自我管理 AD 沒有正確的sysvol複寫方法 (DFSR),而且複DFSR寫事件期間有任何DCs失敗,就會發生。 | 您的自我管理 AD sysvol複寫方法 (DFSR) 必須成功。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr)。 |
| 頂層GPO測試 | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | 如果您的自我管理 AD 已將頂層GPOs設定為強制執行,則會顯示此訊息。 | 確保您的自我管理 AD 網域頂層群組政策物件 (GPO) 未設定為強制執行。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing)。 |
| 信任類型測試 | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | 如果您的自我管理 AD 具有不支援的信任類型,就會發生。 | Uplevel 是混合目錄唯一支援的信任類型。您的自我管理 AD 不能有下列信任類型:DCE、MIT、Downlevel。如需信任類型的詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)。 |
| 有效的網域控制站測試 | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | 如果您提供的自我管理 AD 執行個體不是網域控制站,或它們已經是另一個混合目錄的一部分,就會發生。 | 提供此混合目錄獨有的自我管理 AD 網域控制站。使用新目錄重試。確保您已刪除失敗的混合目錄和自我管理 AD 中的任何 AWS OU。 |
# 評估測試警告訊息
下表說明評估測試期間可能發生的警告訊息。這些警告代表最佳組態的建議,但不阻止混合目錄設定。
| 測試名稱 | 短名稱 | 警告代碼 | 警告訊息 | Description | Resolution |
| --- | --- | --- | --- | --- | --- |
| 網域運作狀態測試 | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | 如果您的自我管理 AD 中有使用者帳戶長時間未登入,且可能被視為過時或非作用中,則會顯示此訊息。 | 清除過時的使用者帳戶。 |
| 網域控制站資料來源測試 | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | 如果自我管理 AD 具有正確的時間來源設定,且與時間來源相比沒有很大的時間偏斜, AWS 則會發生這種情況。 | 您的主要網域控制器 (PDC) 時間伺服器會導向 `169.254.169.123`。您的非主要網域控制站應指向 PDC做為來源。如需詳細資訊,請參閱[使用 保持時間Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/)。 |
| 可用空間測試 | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | 如果您的自我管理 AD 合併NTDS且Sysvol用量超過支援的配額,則會顯示此訊息。 | 您的自我管理 AD 應為混合目錄提供 24 GB 的磁碟空間。 |
| FSMO Roles 測試 | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | 如果建立混合目錄時提供的兩個網域控制站中沒有 FSMO 角色 (PDC 模擬器和 RID Master),則會顯示此訊息。 | 在您建立混合目錄時提供的兩個網域控制站中,您的混合目錄應同時具有 FSMO 角色 (PDC 模擬器和 RID Master)。如需詳細資訊,請參閱[如何檢視和轉移FSMO角色](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)。 |
| S 通道SSP測試 | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | 如果自我管理 AD 不使用 TLS1.2和 AES256加密,便會發生。 | 您的自我管理 AD 必須AES256針對混合目錄使用 TLS 1.2和 。 |
| 磁碟損毀測試 | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | 如果您的自我管理 AD 發生磁碟損毀,就會發生。 | 您的自我管理 AD 磁碟不應損毀。 |
| 網域控制站規格測試 | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | 如果您的自我管理 AD 網域控制站不符合必要的規格,便會發生。 | 您的自我管理 AD 網域控制站應為混合目錄至少擁有 7 GB RAM 和 2 個 CPU 核心。 |
| 伺服器層級外掛程式Dll測試 | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | 在自我管理 AD 網域控制站上設定 ServerLevelPluginDll 時發生。 | 您的自我管理 AD 網域控制站不應ServerLevelPluginDII設定。 |
| 允許NT4加密測試 | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | 如果自我管理 AD NT4 允許密碼編譯,便會發生。 | 您的自我管理 AD NT4 不應使用密碼編譯。如需詳細資訊,請參閱Microsoft文件。 |
| 孤立管理員使用者測試 | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | 如果您的自我管理 AD 中存在孤立的管理員使用者,就會發生。 | 在繼續之前,移除自我管理 AD 上的孤立使用者。 |
| 特殊權限使用者計數測試 | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | 如果自我管理 AD 上的內建管理員、網域管理員和企業管理員的總計數大於 5,便會發生。 | 您的自我管理 AD 環境不應有多個特殊權限帳戶。在繼續之前,您應該移除過多的管理員帳戶。 |
| 特殊權限使用者計數測試 | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | 如果自我管理 AD 上的內建管理員、網域管理員和企業管理員的總計數大於 5,便會發生。 | 您的自我管理 AD 環境不應有多個特殊權限帳戶。在繼續之前,您應該移除過多的管理員帳戶。 |
| 特殊權限使用者計數測試 | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | 如果自我管理 AD 上的內建管理員、網域管理員和企業管理員的總計數大於 5,便會發生。 | 您的自我管理 AD 環境不應有多個特殊權限帳戶。在繼續之前,您應該移除過多的管理員帳戶。 |
| NTLM 測試 | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | 如果NTLMv1已啟用自我管理 AD 上的身分驗證,則會顯示 。 | NT LAN Manager 第 1 版 (NTLMv1) 具有已知的安全漏洞,不應使用。在自我管理 AD NTLMv1上停用 。如需詳細資訊,請參閱 [Microsoft 文件](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73)。 |
| Tombstone 生命週期測試 | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | 如果自我管理 AD 上的 Tombstone 生命週期超過 180 天,便會發生。 | Tombstone 生命週期是從 移除已刪除物件之前的天數AD。自我管理 AD 的 Tombstone 生命週期值應為 180 天或更少。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180)。 |