本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 信任建立狀態原因
<a name="ms_ad_troubleshooting_trusts"></a>

當 AWS Managed Microsoft AD 的信任建立失敗時，狀態訊息會包含其他資訊。以下可協助您了解這些訊息的意義。

## 存取遭拒
<a name="access_denied"></a>

嘗試建立信任時存取遭拒。信任密碼不正確或遠端網域的安全設定不允許設定信任。如需信任的詳細資訊，請參閱 [使用網站名稱和 DCLocator 提高信任效率](#enhancing-trust-site-names)。為解決此問題，請嘗試以下操作：
+ 確認您使用的是您在遠端網域上建立對應信任時，所使用的相同信任密碼。
+ 確認您的網域安全設定允許建立信任。
+ 確認您的本機安全政策已正確設定。特別是檢查 `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` 並確保其中包含至少下列三個具名管道：
  + netlogon
  + samr
  + lsarpc
+ 確認上述具名管道是否以 **NullSessionPipes** 登錄機碼上的值存在，該登錄機碼位於登錄路徑 **HKLM\$1SYSTEM\$1CurrentControlSet\$1services\$1LanmanServer\$1Parameters** 中。這些值必須插入到單獨的列中。
**注意**  
根據預設，`Network access: Named Pipes that can be accessed anonymously` 並未設定且會顯示 `Not Defined`。這是正常的，因為網域控制站之 `Network access: Named Pipes that can be accessed anonymously` 的有效預設設定為 `netlogon`、`samr`、`lsarpc`。
+ 在*預設網域控制器政策*中驗證下列伺服器訊息區塊 (SMB) 簽署設定。您可以在**電腦組態** > **Windows 設定** > **安全設定** > **本機政策/安全選項**中找到這些設定。它們應該符合下列設定：
  + Microsoft 網路用戶端：數位簽署通訊 （一律）：預設：已啟用
  + Microsoft 網路伺服器：數位簽署通訊 （一律）：已啟用

### 使用網站名稱和 DCLocator 提高信任效率
<a name="enhancing-trust-site-names"></a>

Default-First-Site-Name 等第一個站台名稱不需要在網域之間建立信任關係。不過，在網域之間對齊網站名稱可以大幅改善網域控制站定位器 (DCLocator) 程序的效率。此對齊可改善預測和控制跨樹系信任的網域控制站選擇。

DCLocator 程序對於尋找不同網域和樹系的網域控制站至關重要。如需 DCLocator 程序的詳細資訊，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-location-issues)。高效率的網站組態可讓網域控制站位置更快且更準確，進而在跨樹系操作中提升效能和可靠性。

如需網站名稱和 DCLocator 程序如何互動的詳細資訊，請參閱下列Microsoft文章：
+ [如何跨信任找到網域控制站](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/how-domain-controllers-are-located-across-trusts/ba-p/256180)
+ [跨樹系的網域定位器](https://techcommunity.microsoft.com/blog/askds/domain-locator-across-a-forest-trust/395689)

## 指定的網域名稱不存在或無法聯絡
<a name="no_domain_name"></a>

若要解決此問題，請確保網域的安全群組設定和 VPC 的存取控制清單 (ACL) 正確無誤，而且您已準確輸入條件式轉寄站的資訊。 AWS 設定安全群組只開啟 Active Directory 通訊所需的連接埠。在預設設定中，安全群組接受從任何 IP 地址到這些連接埠的流量。傳出流量僅限於安全群組。您將需要更新安全群組的傳出規則，以允許流量傳出到內部部署網路。如需安全需求的詳細資訊，請參閱「[步驟 2：準備您的 AWS Managed Microsoft AD](ms_ad_tutorial_setup_trust_prepare_mad.md)」。

![\[編輯安全群組\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/edit_security_group.png)


如果其他目錄網路的 DNS 伺服器使用公有 (非 RFC 1918) IP 地址，您將需要在目錄上新增從 Directory Services 主控台到 DNS 伺服器的 IP 路由。如需詳細資訊，請參閱[建立、驗證或刪除信任關係](ms_ad_setup_trust.md#trust_steps)及[先決條件](ms_ad_setup_trust.md#trust_prereq)。

網際網路號碼分配局 (IANA) 為私有網際網路保留了以下三個 IP 地址空間區塊：
+ 10.0.0.0 ‒ 10.255.255.255 (10/8 字首)
+ 172.16.0.0 ‒ 172.31.255.255 (172.16/12 字首)
+ 192.168.0.0 ‒ 192.168.255.255 (192.168/16 字首)

如需詳細資訊，請參閱 https：//[https://tools.ietf.org/html/rfc1918](https://tools.ietf.org/html/rfc1918)。

確認 AWS Managed Microsoft **AD 的預設 AD 站點名稱**與內部部署基礎設施中的**預設 AD 站點名稱**相符。電腦會使用其所屬的域 (而非使用者的域) 來決定網站名稱。重新命名網站以符合最近的內部部署部署可確保 DC 定位器使用最近網站的‏域控制站。如果這樣還是無法解決問題，可能因已快取之前建立的條件式轉寄站資訊，而阻礙新信任的建立。請稍候幾分鐘，然後重試建立信任和條件式轉寄站。

如需如何運作的詳細資訊，請參閱 Microsoft 網站上的[跨樹系信任的網域定位器](https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/domain-locator-across-a-forest-trust/ba-p/395689)。

![\[第一個網站的預設名稱\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/default_first_site_name.png)


## 無法在此域上執行該操作
<a name="operationfailedondomain"></a>

若要解決此問題，請確保兩個域的 / 目錄沒有重疊的 NETBIOS 名稱。如果域的 / 目錄確實具有重疊的 NETBIOS 名稱，請使用不同的 NETBIOS 名稱重新建立其中一個域，然後重試。

## 錯誤 "Required and valid domain name" 導致信任建立失敗
<a name="trustcreationfailing"></a>

DNS 名稱只能包含字母字元 (A-Z)、數字字元 (0-9)、減號 (-) 和句點 (.)。僅當用於分隔域樣式名稱的組成部分時才允許使用句點字元。另外，請考量：
+ AWS Managed Microsoft AD 不支援與單一標籤網域的信任。如需詳細資訊，請參閱[Microsoft支援單一標籤網域](https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/single-label-domains-support-policy)。
+ 根據 RFC 1123 ([https://tools.ietf.org/html/rfc1123](https://tools.ietf.org/html/rfc1123))，DNS 標籤中只能使用 A 到 Z、a 到 z、0 到 9 以及連字號 (-)。DNS 名稱中也使用句點 (.)，但僅用於 DNS 標籤之間和 FQDN 末尾。
+ 根據 RFC 952 ([https://tools.ietf.org/html/rfc952](https://tools.ietf.org/html/rfc952))，名稱 (網路、主機、閘道或域) 是最多 24 個字元的文字字串，由字母 (A-Z )、數位 (0-9)、減號 (-) 和句點 (.) 組成。請注意，僅當用於分隔「域樣式名稱」的組成部分時才允許使用句點。

如需詳細資訊，請參閱Microsoft網站上的[遵守主機和網域的名稱限制](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc959336(v=technet.10))。

## 測試信任的一般工具
<a name="trusttroubleshootingtools"></a>

以下是可用於解決各種信任相關問題的工具。

**AWS Systems Manager Automation 疑難排解工具**

[支援自動化工作流程 (SAW)](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-walk-support.html) 利用 AWS Systems Manager Automation 為您提供預先定義的 Runbook Directory Service。[AWSSupport-TroubleshootDirectoryTrust](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-awssupport-troubleshootdirectorytrust.html) Runbook 工具可協助您診斷 AWS Managed Microsoft AD 與內部部署 Microsoft Active Directory 之間的常見信任建立問題。

**DirectoryServicePortTest 工具**

[DirectoryServicePortTest](samples/DirectoryServicePortTest.zip) 測試工具在針對 AWS Managed Microsoft AD 與內部部署 Active Directory 之間的信任建立問題進行疑難排解時很有幫助。如需使用工具的方法範例，請參閱「[測試您的 AD Connector](ad_connector_getting_started.md#connect_verification)」。

**NETDOM 和 NLTEST 工具**

管理員可以使用 **Netdom** 和 **Nltest** 命令列工具來尋找、顯示、建立、移除和管理信任。這些工具直接與域控制站上的 LSA 機構通訊。如需如何使用這些工具的範例，請參閱 Microsoft 網站上的 [Netdom](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc772217(v=ws.11)) 和 [NLTEST](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc731935(v=ws.11))。

**封包擷取工具**

您可以使用內建的 Windows 套件擷取公用程式，對潛在的網路問題進行調查和疑難排解。如需詳細資訊，請參閱 [Capture a Network Trace without installing anything](https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503) 一文。