Alasan status pembuatan kepercayaan - AWS Directory Service
Akses ditolakDomain tidak adaOperasi tidak dapat dilakukanPembuatan kepercayaan gagalAlat pemecahan masalah kepercayaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Alasan status pembuatan kepercayaan

Ketika pembuatan kepercayaan gagal, pesan status berisi informasi tambahan. Berikut adalah beberapa bantuan untuk memahami arti pesan tersebut.

Akses ditolak

Akses ditolak ketika mencoba untuk membuat kepercayaan. Kata sandi kepercayaan salah atau pengaturan keamanan domain jarak jauh tidak mengizinkan kepercayaan untuk dikonfigurasi. Untuk menyelesaikan masalah ini, coba hal berikut:

  • Iklan Microsoft yang AWS Dikelola Active Directory dan yang dikelola sendiri yang ingin Active Directory Anda buat hubungan kepercayaan, harus memiliki nama Situs Pertama yang sama. Nama Situs Pertama diatur keDefault-First-Site-Name. Kesalahan akses ditolak terjadi jika nama-nama ini bervariasi antar domain.

  • Verifikasi bahwa Anda menggunakan kata sandi kepercayaan yang sama yang Anda gunakan saat membuat kepercayaan yang sesuai pada domain jarak jauh.

  • Verifikasi bahwa pengaturan keamanan domain Anda mengizinkan pembuatan kepercayaan.

  • Verifikasi bahwa kebijakan keamanan lokal Anda diatur dengan benar. Periksa secara khusus Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously dan pastikan bahwa itu berisi setidaknya tiga pipe bernama berikut:

    • netlogon

    • samr

    • lsarpc

  • Verifikasi bahwa pipa bernama di atas ada sebagai nilai pada kunci NullSessionPipesregistri yang ada di jalur registri HKLM\ SYSTEM\\ services\CurrentControlSet\ Parameters LanmanServer. Nilai-nilai ini harus disisipkan pada baris yang terpisah.

    catatan

    Secara default, Network access: Named Pipes that can be accessed anonymously tidak diatur dan akan menampilkan Not Defined. Ini adalah normal, sebagai pengendali domain efektif pengaturan default untuk Network access: Named Pipes that can be accessed anonymously adalah netlogon, samr, lsarpc.

  • Verifikasi Pengaturan Penandatanganan Blok Pesan Server (SMB) berikut dalam Kebijakan Pengontrol Domain Default. Pengaturan ini dapat ditemukan di bawah Konfigurasi Komputer> Pengaturan Windows> Pengaturan Keamanan> Kebijakan Lokal/Opsi Keamanan. Mereka harus cocok dengan pengaturan berikut:

    • Microsoftklien jaringan: Komunikasi tanda tangani secara digital (selalu): Default: Diaktifkan

    • Microsoftklien jaringan: Menandatangani komunikasi secara digital (jika server setuju): Default: Diaktifkan

    • Microsoftserver jaringan: Komunikasi tanda tangani secara digital (selalu): Diaktifkan

    • Microsoftserver jaringan: Menandatangani komunikasi secara digital (jika klien setuju): Default: Diaktifkan

Nama domain yang ditentukan tidak ada atau tidak dapat dihubungi

Untuk mengatasi masalah ini, pastikan pengaturan grup keamanan untuk domain dan daftar kontrol akses (ACL) untuk VPC Anda sudah benar dan Anda telah memasukkan informasi untuk forwarder bersyarat Anda secara akurat. AWS mengkonfigurasi grup keamanan untuk membuka hanya port yang diperlukan untuk komunikasi Active Directory. Dalam konfigurasi default, grup keamanan menerima lalu lintas ke port-port ini dari alamat IP mana pun. Lalu lintas keluar dibatasi untuk grup keamanan. Anda perlu memperbarui aturan keluar pada grup keamanan untuk mengizinkan lalu lintas ke jaringan on-premise Anda. Untuk informasi lebih lanjut tentang persyaratan keamanan, silakan lihatLangkah 2: Siapkan Microsoft AD yang Dikelola AWS.

Edit grup keamanan

Jika server DNS untuk jaringan direktori lain menggunakan alamat IP publik (non-RFC 1918), Anda perlu menambahkan rute IP pada direktori dari konsol Directory Services untuk Server DNS. Lihat informasi yang lebih lengkap di Membuat, memverifikasi, atau menghapus hubungan kepercayaan dan Prasyarat.

Internet Assigned Numbers Authority (IANA) telah menyediakan tiga blok dari ruang alamat IP berikut untuk internet pribadi:

  • 10.0.0.0 - 10.255.255.255 (prefiks 10/8)

  • 172.16.0.0 - 172.31.255.255 (prefiks 172.16/12)

  • 192.168.0.0 - 192.168.255.255 (prefiks 192.168/16)

Untuk informasi selengkapnya, lihat https://tools.ietf.org/html/rfc1918.

Verifikasi bahwa Nama Situs AD Default untuk iklan Microsoft AWS Terkelola cocok dengan Nama Situs AD Default di infrastruktur lokal Anda. Komputer menentukan nama situs menggunakan domain yang di mana komputer adalah anggota, bukan domain pengguna. Mengganti nama situs agar sesuai dengan on-premise terdekat memastikan pencari lokasi DC akan menggunakan pengendali domain dari situs terdekat. Jika ini tidak menyelesaikan masalah, ada kemungkinan bahwa informasi dari penerus bersyarat yang dibuat sebelumnya telah di-cache, mencegah pembuatan kepercayaan baru. Tunggu beberapa menit, dan kemudian coba buat kepercayaan dan penerus bersyarat lagi.

Untuk informasi selengkapnya tentang cara kerjanya, lihat Domain Locator Across a Forest Trust di Microsoft situs web.

Nama default situs pertama

Operasi tidak dapat dilakukan pada domain ini

Untuk mengatasi hal ini, pastikan kedua domain / direktori tidak memiliki nama NETBIOS yang tumpang tindih. Jika domain / direktori memiliki nama NETBIOS yang tumpang tindih, buat kembali salah satu dari mereka dengan nama NETBIOS yang berbeda, dan kemudian coba lagi.

Pembuatan kepercayaan gagal karena kesalahan “Nama domain yang diperlukan dan valid”

Nama DNS hanya bisa berisi karakter abjad (A-Z), karakter numerik (0-9), tanda minus (-), dan titik (.). Karakter titik diperbolehkan hanya ketika mereka digunakan untuk membatasi komponen nama gaya domain. Juga, pertimbangkan hal berikut:

  • AWS Microsoft AD yang dikelola tidak mendukung kepercayaan dengan domain label tunggal. Untuk informasi selengkapnya, lihat Microsoftdukungan untuk Domain Label Tunggal.

  • Menurut RFC 1123 (https://tools.ietf.org/html/rfc1123), satu-satunya karakter yang dapat digunakan dalam label DNS adalah "A" sampai "Z", "a" sampai "z", "0" sampai "9", and tanda hubung ("-"). Titik [.] juga digunakan dalam nama DNS, tetapi hanya antara label DNS dan pada akhir dari FQDN.

  • Menurut RFC 952 (https://tools.ietf.org/html/rfc952), “nama” (Net, Host, Gateway, atau nama Domain) adalah string teks hingga 24 karakter yang diambil dari alfabet (A-Z), angka (0-9), tanda minus (-), dan titik (.). Perhatikan bahwa titik hanya diperbolehkan ketika berfungsi untuk membatasi komponen “nama gaya domain”.

Untuk informasi selengkapnya, lihat Mematuhi Pembatasan Nama untuk Host dan Domain di Microsoft situs web.

Alat umum untuk menguji kepercayaan

Berikut ini adalah alat yang dapat digunakan untuk memecahkan berbagai masalah terkait kepercayaan.

AWS Alat pemecahan masalah Otomasi Systems Manager

Support Automation Workflows (SAW) memanfaatkan AWS Systems Manager Automation untuk memberi Anda runbook yang telah ditentukan sebelumnya. AWS Directory ServiceAlat AWSSupport- TroubleshootDirectoryTrust runbook membantu Anda mendiagnosis masalah pembuatan kepercayaan umum antara Microsoft AD yang AWS Dikelola dan lokal MicrosoftActive Directory.

DirectoryServicePortTest alat

Alat DirectoryServicePortTestpengujian dapat membantu saat memecahkan masalah pembuatan kepercayaan antara AWS Microsoft AD yang Dikelola dan Direktori Aktif lokal. Sebagai contoh tentang bagaimana alat dapat digunakan, lihat Uji AD Connector Anda.

Alat NETDOM dan NLTEST

Administrator dapat menggunakan alat baris perintah Netdom dan Nltest untuk menemukan, menampilkan, membuat, menghapus, dan mengelola kepercayaan. Alat-alat ini berkomunikasi secara langsung dengan otoritas LSA pada pengendali domain. Untuk contoh tentang cara menggunakan alat ini, lihat Netdom dan NLTEST di situs web. Microsoft

Alat penangkap paket

Anda dapat menggunakan utilitas pengambilan paket Windows bawaan untuk menyelidiki dan memecahkan masalah jaringan potensial. Untuk informasi selengkapnya, lihat Mengambil Jejak Jaringan tanpa menginstal apa pun.