本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 故障診斷 Simple AD 目錄狀態訊息
當 Simple AD 受損或無法操作時,目錄狀態訊息會包含其他資訊。狀態訊息會顯示在 Directory Service 主控台中,或由 [https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDirectories.html](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDirectories.html) API 在[https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DirectoryDescription.html#ADS-Type-DirectoryDescription-StageReason](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DirectoryDescription.html#ADS-Type-DirectoryDescription-StageReason)成員中傳回。如需目錄狀態的詳細資訊,請參閱「[了解 AWS Managed Microsoft AD 目錄狀態](ms_ad_directory_status.md)」。
以下是 Simple AD 目錄的狀態訊息:
**Topics**
+ [目錄服務的彈性網路介面未連接](#sr_eni_detached)
+ [執行個體偵測到的問題](#sr_internal_error)
+ [目錄中缺少重要的 Directory Service 預留使用者](#sr_service_account_missing)
+ [關鍵 Directory Service 預留使用者需要屬於網域管理員群組](#sr_service_account_not_admin)
+ [關鍵 Directory Service 預留使用者已停用](#sr_service_account_disabled)
+ [主要網域控制器沒有所有 FSMO 角色](#sr_dc_fsmo_role)
+ [網域控制器複寫失敗](#sr_dc_repl_failures)
## 目錄服務的彈性網路介面未連接
**Description**
在目錄建立期間代表您建立的關鍵彈性網路界面 (ENI),以建立與您的 VPC 的網路連線,不會連接到目錄執行個體。此目錄支援 AWS 的應用程式將無法運作。您的目錄無法連線至內部部署網路。
**疑難排解**
如果 ENI 已分離但仍然存在,請聯絡 支援。如果 ENI 被刪除,則無法解決問題,且目錄將永久無法使用。您必須刪除目錄並建立新的目錄。
## 執行個體偵測到的問題
**Description**
執行個體偵測到內部錯誤。這通常表示監控服務正在積極嘗試復原受損的執行個體。
**疑難排解**
在大多數情況下,這是一個暫時性問題,目錄最終會回到「作用中」狀態。如果問題仍然存在,請聯絡 支援 以取得更多協助。
## 目錄中缺少重要的 Directory Service 預留使用者
**Description**
建立 Simple AD 時, 會在目錄中 Directory Service 建立名為 的服務帳戶`AWSAdminD-xxxxxxxxx`。當找不到此服務帳戶時,就會收到此錯誤。若沒有此帳戶, Directory Service 就無法對目錄執行管理功能,而導致目錄無法使用。
**疑難排解**
若要修正此問題,請將目錄還原到刪除服務帳戶之前所建立的舊版快照。系統會自動一天擷取 Simple AD 目錄快照一次。如果刪除此帳戶之後已超過五天,您可能無法將目錄還原到此帳戶存在時的狀態。如果您無法從此帳戶存在的快照還原目錄,您的目錄可能會變成永久無法使用。若是這種情況,您必須刪除目錄並建立新的目錄。
## 關鍵 Directory Service 預留使用者需要屬於網域管理員群組
**Description**
建立 Simple AD 時, 會在目錄中 Directory Service 建立名為 的服務帳戶`AWSAdminD-xxxxxxxxx`。當此服務帳戶不是 `Domain Admins` 群組的成員時,就會收到此錯誤。需要此群組的成員資格,才能授予執行維護和復原操作所需的 Directory Service 權限,例如轉移 FSMO 角色、加入新目錄控制器的網域,以及從快照還原。
**疑難排解**
使用 Active Directory 使用者和電腦工具將服務帳戶重新加入 `Domain Admins` 群組。
## 關鍵 Directory Service 預留使用者已停用
**Description**
建立 Simple AD 時, 會在目錄中 Directory Service 建立名為 的服務帳戶`AWSAdminD-xxxxxxxxx`。當停用此服務帳戶時,就會收到此錯誤。必須啟用此帳戶, Directory Service 才能對目錄執行維護和復原操作。
**疑難排解**
使用 Active Directory 使用者和電腦工具來重新啟用服務帳戶。
## 主要網域控制器沒有所有 FSMO 角色
**Description**
Simple AD 目錄控制器不會擁有所有 FSMO 角色。如果 FSMO 角色所屬的 Simple AD 目錄控制器不正確, Directory Service 就無法保證特定行為和功能。
**疑難排解**
使用 Active Directory 工具將 FSMO 角色移回原始工作目錄控制器。如需有關移動 FSMO 角色的詳細資訊,請參閱 [https://docs.microsoft.com/troubleshoot/windows-server/identity/transfer-or-seize-fsmo-roles-in-ad-ds](https://docs.microsoft.com/troubleshoot/windows-server/identity/transfer-or-seize-fsmo-roles-in-ad-ds)。如果這無法修正問題,請聯絡 支援 以取得更多協助。
## 網域控制器複寫失敗
**Description**
Simple AD 目錄控制器無法彼此複寫。這可能是由於下列一或多個問題所致:
+ 目錄控制器的安全群組未開啟正確的連接埠。
+ 網路 ACL 的限制太高。
+ VPC 路由表未正確地在目錄控制器之間路由網路流量。
+ 另一個執行個體已升階為目錄中的網域控制器。
**疑難排解**
如需 VPC 網路需求的詳細資訊,請參閱 AWS Managed Microsoft AD 的 [建立 AWS Managed Microsoft AD 的先決條件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)、AD Connector 的 [AD Connector 事前準備](ad_connector_getting_started.md#prereq_connector) 或 Simple AD 的 [Simple AD 先決條件](simple_ad_getting_started.md#prereq_simple)。如果您的目錄中有不明的網域控制器,您必須將它降階。如果您的 VPC 網路設定正確,但仍然繼續出現錯誤,請聯絡 支援 以取得更多協助。