트러스트 생성 상태 이유 - AWS Directory Service
액세스거부되었습니다도메인이 없음작업을 수행할 수 없습니다.신뢰 관계 생성 실패신뢰 관계 문제 해결 도구

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

트러스트 생성 상태 이유

신뢰 생성이 실패하면 디렉터리 상태 메시지에 추가 정보가 포함됩니다. 여기 나온 내용은 이러한 메시지가 의미하는 바를 이해하는 데 도움이 될 것입니다.

액세스 거부됨

신뢰 생성을 시도할 때 액세스가 거부되었습니다. 신뢰 암호가 잘못되었거나 원격 도메인의 보안 설정이 신뢰 구성을 허용하지 않습니다. 이러한 문제를 해결하려면 다음 작업을 시도해 보십시오.

  • 원격 도메인에서 해당 신뢰 관계를 생성할 때 사용한 것과 동일한 신뢰 암호를 사용하고 있는지 확인합니다.

  • 도메인 보안 설정이 신뢰 관계 생성을 허용하는지 확인합니다.

  • 로컬 보안 정책이 올바르게 설정되었는지 확인합니다. Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously를 자세히 점검하여 다음과 같이 명명된 파이프가 3개 이상 포함되어 있는지 확인합니다.

    • netlogon

    • samr

    • lsarpc

  • 위의 명명된 파이프가 의 값으로 존재하는지 확인합니다.널세션파이프레지스트리 경로에 있는 레지스트리 키HKLM\ Systems\ 현재 제어세트\ 서비스\ LANManServer\ 매개 변수. 이 값은 분리된 행에 삽입해야 합니다.

참고

기본적으로 Network access: Named Pipes that can be accessed anonymously는 설정이 되어 있지 않으며 Not Defined라는 메시지가 표시됩니다. Network access: Named Pipes that can be accessed anonymously에 대한 도메인 컨트롤러의 유효 기본 설정이 netlogon, samr, lsarpc이기 때문에 이는 정상적인 상태입니다.

지정된 도메인 이름이 없거나 해당 주소를 찾을 수 없습니다.

아래 번호로 일정하게 높입니다.다시이 문제를 해결하려면 도메인에 대한 보안 그룹 설정과 VPC 대한 액세스 제어 목록 (ACL) 이 올바른지 확인하고 조건부 전달자에 대한 정보를 정확하게 입력했는지 확인하십시오.AWS에서는 Active Directory 통신에 필요한 포트만 개방하도록 보안 그룹을 구성합니다. 기본 구성에서 보안 그룹은 모든 IP 주소에서 이러한 포트에 도달하는 트래픽을 수용합니다. 아웃바운드 트래픽은 보안 그룹으로 제한됩니다. 온프레미스 네트워크에 대한 트래픽을 허용하려면 보안 그룹의 아웃바운드 규칙을 업데이트해야 합니다. 보안 요건에 대한 자세한 내용은 단원을 참조하십시오.2단계: AWS 관리형 Microsoft AD 준비.

보안 그룹 편집

다른 디렉터리의 네트워크에 대한 DNS 서버가 공용 (RFC가 아닌 1918) IP 주소를 사용하는 경우 디렉터리 서비스 콘솔에서 DNS 서버로 디렉터리에 IP 경로를 추가해야 합니다. 자세한 내용은 신뢰 관계 생성, 확인 또는 삭제필수 조건 섹션을 참조하세요.

인터넷 할당 번호 기관 (IANA) 은 개인 인터넷에 대한 IP 주소 공간의 다음 세 블록을 예약했습니다.

  • 10.0.0.0 - 10.255.255.255 (10/8 접두사)

  • 172.16.0.0 - 172.31.255.255 (172.16/12 접두사)

  • 192.168.0.0 - 192.168.255.255 (192.168/16 접두사)

자세한 내용은 단원을 참조하십시오.https://tools.ietf.org/html/rfc1918.

확인기본 AD 사이트 이름당신을 위해AWS관리형 Microsoft AD는기본 AD 사이트 이름온프레미스 인프라에서 컴퓨터는 사용자의 도메인이 아닌 해당 컴퓨터가 구성원인 도메인을 사용하여 사이트 이름을 결정합니다. 가장 가까운 온-프레미스와 일치하도록 사이트 이름을 변경하면 DC 로케이터가 가장 가까운 사이트의 도메인 컨트롤러를 사용할 수 있습니다. 이것으로도 문제가 해결되지 않는 경우에는 이전에 생성된 조건부 전달자의 정보가 캐시에 저장되어 새로운 신뢰 생성이 금지되었을 가능성이 있습니다. 잠시 기다렸다가 신뢰 및 조건부 전달자를 다시 생성하십시오.

이 작업이 이루어지는 과정에 대한 자세한 내용은 단원을 참조하십시오.포리스트 트러스트를 통한 도메인 로케이터마이크로소프트 웹 사이트

기본 첫 번째 사이트 이름

이 도메인에서 작업을 수행하지 못했습니다.

이 문제를 해결하려면 두 도메인/디렉터리에 겹치는 NETBIOS 이름이 없는지 확인하십시오. 도메인/디렉터리에 겹치는 NETBIOS 이름이 있는 경우 다른 NETBIOS 이름으로 해당 이름 중 하나를 다시 만든 다음 다시 시도하십시오.

“필수 도메인 이름 및 유효한 도메인 이름” 오류로 인해 트러스트 생성이 실패했습니다.

DNS 이름에는 알파벳 문자 (A-Z), 숫자 (0-9), 빼기 기호 (-) 및 마침표 (.) 만 포함할 수 있습니다. 마침표 문자는 도메인 스타일 이름의 구성 요소를 구분하는 데 사용되는 경우에만 허용됩니다. 또한 다음을 고려해 보십시오.

  • AWS관리되는 Microsoft AD는 단일 레이블 도메인에 대한 트러스트를 지원하지 않습니다. 자세한 내용은 단원을 참조하십시오.단일 레이블 도메인에 대한 Microsoft 지원.

  • RFC 1123에 따르면 (https://tools.ietf.org/html/rfc1123) DNS 레이블에서 사용할 수 있는 유일한 문자는 “A”에서 “Z”, “a”에서 “z”, “0"에서 “9", 하이픈 (“-”) 입니다. 마침표 [.] 는 DNS 이름에서도 사용되지만 DNS 레이블 사이와 FQDN의 끝 부분에만 사용됩니다.

  • RFC 952에 따르면 (https://tools.ietf.org/html/rfc952), “이름" (네트, 호스트, 게이트웨이 또는 도메인 이름) 은 알파벳 (A-Z), 숫자 (0-9), 빼기 기호 (-) 및 마침표 (.) 에서 가져온 최대 24자의 텍스트 문자열입니다. 마침표는 “도메인 스타일 이름”의 구성 요소를 구분하는 경우에만 허용됩니다.

자세한 내용은 단원을 참조하십시오.호스트 및 도메인에 대한 이름 제한 준수마이크로소프트 웹 사이트

신뢰 관계 테스트용 일반 도구

다음은 신뢰 관계 문제를 해결하는 데 사용할 수 있는 도구입니다.

AWSSystems Manager Automat

SAW (Support Automation 워크플로이점AWSSystems Manager 자동화를 통해 사전 정의된 런북을 제공합니다.AWS Directory Service. 이AWSSupport-TroubleshootDirectoryTrustRunbook 도구를 사용하면 일반적인 트러스트 생성 문제를 진단할 수 있습니다.AWS관리형 Microsoft AD와 온프레미스 Microsoft Active Directory.

DirectoryServicePortTest 도구

DirectoryServicePortTest테스트 도구는 다음 사이의 트러스트 생성 문제를 해결할 때 유용할 수 있습니다.AWS관리형 Microsoft AD 및 온-프레미스 액티브 디렉터리 도구를 사용하는 방법에 대한 예제는 AD 커넥터 테스트 단원을 참조하십시오.

넷돔 및 NLTEST 도구

관리자는 다음을 모두 사용할 수 있습니다.넷돔Nltest트러스트를 찾기, 표시, 생성, 제거 및 관리하는 명령줄 도구입니다. 이러한 도구는 도메인 컨트롤러의 LSA 권한과 직접 통신합니다. 이러한 도구를 사용하는 방법에 대한 예제는 단원을 참조하십시오.넷돔NLTEST마이크로소프트 웹 사이트

패킷 캡처 도구

기본 제공 Windows 패키지 캡처 유틸리티를 사용하여 잠재적인 네트워크 문제를 조사하고 해결할 수 있습니다. 자세한 내용은 단원을 참조하십시오.아무것도 설치하지 않고 네트워크 추적 캡처.