Fehlermeldungen beim Assessment Test - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlermeldungen beim Assessment Test

In der folgenden Tabelle werden Fehlermeldungen beschrieben, die bei Bewertungstests auftreten können. Diese Fehler weisen auf Blockierungsprobleme hin, die behoben werden müssen, bevor mit der Einrichtung des Hybridverzeichnisses fortgefahren werden kann.

Name des Tests

Kurzname

Fehlercode

Fehlermeldung

Beschreibung

Auflösung

Active Directory ServicesTesten

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

Tritt auf, wenn die erforderlichen AD Dienste in Ihrem selbstverwalteten AD nicht ausgeführt werden.

Bestimmte erforderliche AD Dienste müssen in Ihrem selbstverwalteten AD ausgeführt werden. Weitere Informationen finden Sie unter Erforderliche Active Directory-Dienste.

Active Directory ServicesTesten

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

Stellen Sie sicher, dass Ihre selbstverwalteten AD-Domänencontroller betriebsbereit und erreichbar sind. Überprüfen Sie die Netzwerkkonnektivität und DNS Auflösung für Ihre selbstverwalteten AD-Domänencontroller.

ADTest der Kennwortrichtlinie

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

Tritt auf, wenn Ihre selbstverwaltete AD-Passwortrichtlinie die Anforderungen von AWS Managed Microsoft AD nicht erfüllt.

Ihre selbstverwaltete AD-Passwortrichtlinie muss die Anforderungen für AWS verwaltete Microsoft AD-Passwörter erfüllen. Weitere Informationen finden Sie unter Grundlegendes zu AWS verwalteten Microsoft AD-Passwortrichtlinien.

AWS Test „Admin-Benutzer vorhanden“

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

AWS Admin user not found or invalid.

Tritt auf, wenn der Hybrid-Verzeichnis-Administratorbenutzer in OU Ihrem selbstverwalteten AD nicht in AWS Reserved vorhanden ist.

Stellen Sie sicher, dass der Administratorbenutzer für das Hybridverzeichnis in Ihrem selbstverwalteten AWS AD OU unter Reserved vorhanden ist. Wenn der Benutzer fehlt, stellen Sie sicher, dass das Konto bei der Einrichtung des Hybridverzeichnisses korrekt erstellt wurde. Ein Hybridverzeichnis aktualisieren. Wenn Ihr Hybrid-Verzeichnisstatus nicht funktionsfähig ist, wenden Sie sich an. Support

AWS Admin-Benutzertest SPN

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.

Tritt auf, wenn der Hybrid-Verzeichnis-Administratorbenutzer einen auf Ihrem selbstverwalteten AD SPNs konfiguriert hat.

Entfernen Sie alle Dienstprinzipalnamen (SPNs) aus dem Administratorkonto für das AWS Hybridverzeichnis. Für den Administratorbenutzer des Hybridverzeichnisses dürfen keine SPNs konfiguriert sein, da sie die Hybrid-Verzeichnisauthentifizierung beeinträchtigen können.

AWS Test „Domänencontroller nicht FSMO Besitzer“

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.

Tritt auf, wenn Sie FSMO Rollen (PDC EmulatorRID Master, oderInfrastructure Master) von Ihrem selbstverwalteten AD auf den Hybridverzeichnis-Domänencontroller übertragen haben.

Übertragen Sie alle FSMO Rollen (PDC Emulator,RID Master,Infrastructure Master) zurück auf Ihre selbstverwalteten AD-Domänencontroller, bevor Sie fortfahren. Weitere Informationen finden Sie in der MicrosoftDokumentation zur Übertragung von FSMO Rollen.

AWS Test der Mitgliedschaft in einer reservierten Gruppe

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

AWS Reserved OU not found.

Tritt auf, wenn AWS Reserved OU auf Ihrem selbstverwalteten AD nicht vorhanden ist.

AWS Reserved OU muss in Ihrem selbstverwalteten AD vorhanden sein, um die Gruppenmitgliedschaft zu validieren. Wenden Sie sich an Support.

AWS Test der reservierten Gruppenmitgliedschaft

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

Tritt auf, wenn Gruppen in der Gruppe AWS Reserved OU auf Ihrem selbstverwalteten AD nicht autorisierte Benutzer enthalten.

Entfernen Sie alle nicht autorisierten Benutzer aus den AWS reservierten OU Gruppen in Ihrem selbstverwalteten AD.

AWS Reservierter Test OU ACLs

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

AWS Reserved OU ACLs permissions are invalid.

Tritt auf, wenn AWS Reserved OU ACLs auf Ihrem selbstverwalteten AD keine Leseberechtigungen für nicht verwaltete Entitäten erzwingen AWS und unbefugten Zugriff AWS auf Ressourcen nicht verhindern.

Überprüfen und korrigieren Sie die Berechtigungen für AWS Reserved OU ACLs auf Ihrem selbstverwalteten AD. Stellen Sie sicher, dass AWS Nicht-Entitäten nur über Leseberechtigungen (ListChildren,,,ReadProperty, ListObjectReadControl,Synchronize) verfügenGenericRead, und entfernen Sie alle übermäßigen Berechtigungen.

AWS Test für reservierte OU GPO Verknüpfungen

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.

Tritt auf, wenn die AWS reservierten Controller OU und die Domänencontroller OU auf Ihrem selbstverwalteten AD mit nicht autorisierten GPOs Verbindungen verknüpft sind.

(Nur AWS verwaltete Gruppenrichtlinienobjekte (GPOs) können mit diesen OUs verknüpft werden. Entfernen Sie alle nicht autorisierten GPOs Verbindungen zu den AWS reservierten Controllern OU und den Domänencontrollern OU auf Ihrem selbstverwalteten AD.

AWS Test reservierter OU Ressourcen

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The AWS Reserved OU does not exist. Please contact AWS Support.

Tritt auf, wenn AWS Reserved OU nicht in Ihrem selbstverwalteten AD vorhanden ist, was für die AWS verwaltete Microsoft AD-Verzeichnisfunktionalität erforderlich ist.

Das AWS Reserved OU muss bei der Einrichtung des Hybridverzeichnisses automatisch erstellt werden und sollte nicht gelöscht werden. Wenn dieser Fehler weiterhin besteht, wenden Sie sich an Support.

AWS Test reservierter OU Ressourcen

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

Tritt auf, wenn das AWS Reserved, das auf Ihrem selbstverwalteten AD OU erstellt wurde, nicht die erforderlichen Objekte enthält und GPOs das Hybridverzeichnis ordnungsgemäß funktioniert.

Stellen Sie sicher, dass niemand das AWS Reserved bearbeitet. OU Es muss die erforderlichen AWS verwalteten Ressourcen enthalten. Entfernen Sie alle nicht autorisierten Objekte oder kontaktieren Sie unsGPOs, Supportfalls benötigte Ressourcen fehlen.

AWS Reservierter OU Test

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

AWS Reserved OU or AWS Reserved GPO still exists, please delete.

Tritt auf, wenn AWS reservierte Ressourcen, die Sie in Ihrem selbstverwalteten AD aus einem früheren Hybridverzeichnis-Setup gefunden haben, noch vorhanden sind.

Löschen Sie das bestehende ausgefallene Hybridverzeichnis aus der Konsole. Löschen Sie anschließend alle AWS reservierten OU und verwandten Verzeichnisse GPOs aus Ihrem selbstverwalteten AD, bevor Sie fortfahren.

BridgeheadTest zum Benennungskontext

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

Tritt auf, wenn die selbstverwaltete AD-Replikation zwischen Standorten unter Verwendung Bridgehead nicht wie erwartet funktioniert. Es kann auch vorkommen, wenn die Benennungskontexte nicht zwischen den Standorten synchronisiert sind.

Ihre selbstverwaltete bridgehead AD-Site muss erfolgreich sein. Sie können weitere Diagnosen stellen mit:repadmin /bridgeheads /verbose. Gehen Sie auf die Probleme aus dieser Bewertung ein, bevor Sie fortfahren.

Domain-Test für Kinder

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

Tritt auf, wenn Ihre selbstverwaltete AD-Gesamtstruktur untergeordnete Domänen enthält, die von AWS verwalteten Microsoft AD-Verzeichnissen nicht unterstützt werden.

AWS Verwaltete Microsoft AD-Verzeichnisse unterstützen keine untergeordneten Domänen. Sie müssen eine Gesamtstruktur mit einer einzelnen Domäne für Ihr selbstverwaltetes AD verwenden. Weitere Informationen finden Sie unter Microsoft Active DirectoryDomain-Anforderungen.

DcDiagTesten

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

Tritt auf, wenn Microsoft DCDiag Tests auf Ihrem selbstverwalteten AD fehlschlagen.

AWS verwendetDCDiag, um Ihr selbstverwaltetes AD zu testen. Wenn es Fehler gibt, können Sie kein Hybridverzeichnis erstellen. Weitere Informationen finden Sie in der MicrosoftDokumentation.

DNSIP-Übereinstimmungstest

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

Tritt auf, wenn die angegebenen DNS IP-Adressen Ihres selbstverwalteten AD nicht mit den DNS IP-Adressen auf Ihren selbstverwalteten AD-Domänencontrollern übereinstimmen, die für aktiviert sind. AWS Systems Manager

Geben Sie die richtigen DNS IP-Adressen ein.

DNSTest zur Namensübereinstimmung

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

Tritt auf, wenn der für Ihr selbstverwaltetes AD angegebene DNS Name nicht mit dem DNS Namen auf Ihren selbstverwalteten AD-Domänencontrollern übereinstimmt, die für aktiviert sind. AWS Systems Manager

Geben Sie den richtigen DNS Namen ein.

DNSAufzeichnungen testen

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

Tritt auf, wenn keine Windows DNS Datensätze für den TypA,NS, und festgelegt sindSOA, SRV und kann abgefragt werden.

Die DNS Datensätze für Address (A), Namespace (NS), State of Authority (SOA) und Service Record (SRV) müssen festgelegt sein und können abgefragt werden. Weitere Informationen finden Sie in der Dokumentation. Microsoft

Test auf Funktionsebene der Domänengesamtstruktur

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

Tritt auf, wenn die Funktionsebenen Ihrer selbstverwalteten AD-Domänen und -Gesamtstruktur die Mindestanforderungen nicht erfüllen.

Ihr selbstverwaltetes AD muss unsere Windows 2012 R2 2016 Funktionsebene verwenden. Weitere Informationen finden Sie in der MicrosoftDokumentation.

Domain-Gesundheitstests

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.

Tritt auf, wenn Ihr selbstverwaltetes AD nicht über die erforderliche Mindestanzahl an Domänencontrollern verfügt.

Stellen Sie sicher, dass in Ihrem selbstverwalteten AD mindestens zwei Domänencontroller aktiviert sind. AWS Systems Manager Weitere Informationen finden Sie unter Microsoft Active DirectoryDomain-Anforderungen.

Bestehender Domänentest

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

Tritt auf, wenn Ihre selbstverwaltete AD-Domäne bereits mit einem vorhandenen Hybridverzeichnis verknüpft ist.

Ihre selbstverwaltete AD-Domäne ist bereits mit einem vorhandenen Hybridverzeichnis verknüpft. Jede selbstverwaltete AD-Domäne, die mit einem Hybridverzeichnis verknüpft ist, muss eindeutig sein. Erstellen Sie eine neue selbstverwaltete AD-Domäne oder entfernen Sie sie aus der Hybridverzeichniskonfiguration, mit der sie verknüpft sind.

FSMOKonnektivitätstest

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

Tritt auf, wenn FSMO RollenPDC Emulator,, and/or RID Master IPs auf Ihrem selbstverwalteten AD nicht routbar sind.

Der primäre Domänencontroller (PDC) muss jederzeit routingfähig sein. Insbesondere das Ende PDC Emulator RID Master IPs Ihres selbstverwalteten AD. Weitere Informationen finden Sie unter Microsoft Active DirectoryDomain-Anforderungen.

FSMOKonnektivitätstest

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

Tritt auf, wenn Ihre selbstverwalteten AD-Domänencontroller nicht auf Ihre FSMO Rollen zugreifen können.

Ihre Flexible Single Master Operation (FSMO) -Rolle in Ihrem selbstverwalteten AD muss mit Ihren selbstverwalteten AD-Domänencontrollern verbunden sein. Weitere Informationen finden Sie in der DokumentationMicrosoft.

IP-Konflikttest

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

Tritt auf, wenn sich Ihre selbstverwalteten AD-IP-Bereiche mit AWS reservierten Bereichen überschneiden.

Ihr selbstverwaltetes AD kann keinen IP-Adressbereich verwenden, der sich mit reservierten AWS IP-Bereichen überschneidet. Weitere Informationen finden Sie unter Microsoft Active DirectoryDomain-Anforderungen.

KerberosTesten

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

Tritt auf, wenn Kerberos es nicht richtig konfiguriert ist und verwendet wird.

Kerberosmuss auf Ihrem selbstverwalteten AD aktiviert sein. Weitere Informationen finden Sie in der MicrosoftDokumentation.

LDAPKonnektivitätstest

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

Tritt auf, wenn LDAP es nicht funktioniert.

Das Lightweight Directory Access Protocol (LDAP) muss aktiviert sein und auf Ihrem selbstverwalteten AD funktionieren. Weitere Informationen finden Sie in der MicrosoftDokumentation.

Nicht schreibgeschützter Domänencontroller für FSMO Tests

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

Tritt auf, wenn Ihre selbstverwaltete FSMO AD-Domänencontroller-Rolle RODC

Der Domänencontroller für Ihr selbstverwaltetes AD darf nicht die Rolle eines schreibgeschützten Domänencontrollers (RODC) mit flexiblem Einzelmasterbetrieb () verwenden. FSMO Weitere Informationen finden Sie in der Dokumentation. Microsoft

Test zur Kennwortreplikation des Domänencontrollers mit Schreibschutz

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

Tritt auf, wenn der berechtigt RODC ist, Admin-Passwörter zu replizieren.

Dem RODC für Ihr selbstverwaltetes AD muss ausdrücklich die Berechtigung verweigert werden, Admin-Passwörter zu replizieren. Weitere Informationen finden Sie in der DokumentationMicrosoft.

Domänencontroller-Test mit Schreibschutz

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

Tritt auf, wenn sich Ihre selbstverwalteten AD-Domänencontroller im ReadOnlyDC Modus befinden.

Bei Ihrem selbstverwalteten AD muss es sich um Domänencontroller mit Lese-/Schreibzugriff handeln. Weitere Informationen zu Domänencontrollertypen finden Sie in der Dokumentation. Microsoft

Test der Remote-Port-Konnektivität

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

Tritt auf, wenn die erforderlichen Ports in Ihrem AWS Subnetz und Ihr selbstverwalteter AD-Domänencontroller nicht geöffnet sind.

Stellen Sie sicher, dass alle erforderlichen Ports zwischen Ihrem AWS Subnetz und Ihrem selbstverwalteten AD geöffnet sind. Weitere Informationen finden Sie unter Anforderungen an den Netzwerkport.

Replikationstest

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

Tritt auf, wenn die Replikation Ihrer selbstverwalteten AD-Domänencontroller fehlgeschlagen ist.

Der Replikationsstatus Ihrer selbstverwalteten AD-Domänencontroller muss erfolgreich sein. Weitere Informationen finden Sie in der MicrosoftDokumentation.

SMBV1Testen

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

Tritt auf, wenn das selbstverwaltete AD derzeit SMBv1 für die Authentifizierung verwendet.

SMBv1ist bekanntermaßen unsicher und muss auf Ihrem selbstverwalteten AD deaktiviert werden. Weitere Informationen finden Sie in der DokumentationMicrosoft.

SSMTest der Benutzerberechtigungen

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

Tritt auf, wenn der Windows Benutzer, der von verwendet wird, nicht SSM über ausreichende Rechte verfügt.

Sie benötigen Windows Administratorrechte für die AWS System Manager (SSM) -Agenten auf Ihrem selbstverwalteten AD. Weitere Informationen finden Sie unter AWS-Konto -Berechtigungen.

SysvolReplikationstest

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

Tritt auf, wenn Ihr selbstverwaltetes AD nicht über die richtige sysvol Replikationsmethode (DFSR) verfügt und wenn eine Replikationsmethode während eines DFSR Replikationsereignisses DCs fehlgeschlagen ist.

Ihre selbstverwaltete sysvol AD-Replikationsmethode (DFSR) muss erfolgreich sein. Weitere Informationen finden Sie in der MicrosoftDokumentation.

GPOTest auf höchstem Niveau

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

Tritt auf, wenn für Ihr selbstverwaltetes AD die Option Top Level auf GPOs Durchgesetzt gesetzt gesetzt ist.

Stellen Sie sicher, dass das Gruppenrichtlinienobjekt auf oberster Ebene für Ihre selbstverwaltete AD-Domäne (GPO) nicht auf Durchgesetzt gesetzt gesetzt ist. Weitere Informationen finden Sie in der DokumentationMicrosoft.

Test der Vertrauenstypen

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

Tritt auf, wenn Ihr selbstverwaltetes AD Vertrauenstypen nicht unterstützt.

Uplevelist der einzige Vertrauenstyp, der vom Hybridverzeichnis unterstützt wird. Ihr selbstverwaltetes AD kann die folgenden Vertrauenstypen nicht haben:DCE,MIT,Downlevel. Weitere Informationen zu Vertrauenstypen finden Sie in der MicrosoftDokumentation.

Gültiger Domänencontrollertest

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

Tritt auf, wenn es sich bei den bereitgestellten selbstverwalteten AD-Instanzen nicht um Domänencontroller handelt oder wenn sie bereits Teil eines anderen Hybridverzeichnisses sind.

Stellen Sie selbstverwaltete AD-Domänencontroller bereit, die nur für dieses Hybridverzeichnis gelten. Versuchen Sie es erneut mit einem neuen Verzeichnis. Stellen Sie sicher, dass Sie das ausgefallene Hybridverzeichnis und alle Verzeichnisse AWS OU in Ihrem selbstverwalteten AD gelöscht haben.