信任创建状态原因 - AWS Directory Service
访问被拒绝域不存在无法执行操作信任创建失败信任问题排查工具

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

信任创建状态原因

当 AWS 托管 Microsoft AD 的信任创建失败时,状态消息将包含其他信息。以下内容可以帮助您理解这些消息的含义。

访问被拒绝

尝试创建信任时访问被拒绝。信任密码不正确,或远程域的安全设置不允许配置信任。要解决此问题,请尝试以下操作:

  • AWS 托管微软 AD Active Directory 还有自我管理 Active Directory 您希望与之建立信任关系,必须使用相同的第一个网站名称。“第一个站点” 名称设置为Default-First-Site-Name。如果域名之间存在差异,则会出现拒绝访问错误。

  • 请验证使用的信任密码与在远程域上创建相应信任时使用的密码相同。

  • 验证域安全设置允许创建信任。

  • 验证本地安全策略设置是否正确。具体来说,检查 Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously 并确保其至少包含以下三个命名管道:

    • netlogon

    • samr

    • lsarpc

  • 验证上面命名的管道是否作为NullSessionPipes注册表路径 HKLM\\ services\ SYSTEMCurrentControlSet\ Parameters 中的值存在。LanmanServer这些值必须插入到分隔的行上。

    注意

    默认情况下,Network access: Named Pipes that can be accessed anonymously 未设置并显示 Not Defined。这是正常的,因为域控制器对于 Network access: Named Pipes that can be accessed anonymously 的有效默认设置为 netlogonsamrlsarpc

  • 验证默认域控制器策略中的以下服务器消息块 (SMB) 签名设置。这些设置可以在 “计算机配置” > “Windows 设置” > “安全设置” > “本地策略/ 安全选项” 下找到。它们应与以下设置相匹配:

    • Microsoft 网络客户端:对通信进行数字签名(总是):默认:启用

    • Microsoft 网络客户端:对通信进行数字签名(如果服务器同意):默认:启用

    • Microsoft 网络服务器:对通信进行数字签名(总是):已启用

    • Microsoft 网络服务器:对通信进行数字签名(如果客户同意):默认:启用

指定域名不存在或无法访问

要解决此问题,请确保您的域的安全组设置和您的访问控制列表 (ACL) VPC 正确,并且您已准确输入条件转发器的信息。 AWS 将安全组配置为仅打开 Active Directory 通信所需的端口。在默认配置中,安全组接受从任意 IP 地址到这些端口的流量。出站流量仅限于安全组。您需要更新安全组的出站规则,以允许流量流入本地网络。有关安全要求的更多信息,请参阅 步骤 2:准备 AWS Managed Microsoft AD

编辑安全组

如果其他目录网络的DNS服务器使用公用(非 RFC 1918 年)IP 地址,则需要在目录上添加一条从目录服务控制台到DNS服务器的 IP 路由。有关更多信息,请参阅创建、验证或删除信任关系先决条件

互联网号码分配机构 (IANA) 已为私有互联网保留了以下三个 IP 地址空间:

  • 10.0.0.0 - 10.255.255.255(10/8 前缀)

  • 172.16.0.0 - 172.31.255.255(172.16/12 前缀)

  • 192.168.0.0 - 192.168.255.255(192.168/16 前缀)

有关更多信息,请参阅 https://tools.ietf.org/html/r fc1918。

验证 AWS 托管 Microsoft AD 的默认 AD 站点名称是否与本地基础架构中的默认 AD 站点名称相匹配。计算机使用计算机所属的域而不是用户的域来确定站点名称。将站点重命名为与最近的本地站点相匹配,可确保 DC 定位器使用最近站点的域控制器。如果这样做不能解决问题,则可能是因为缓存了以前创建的条件转发服务器的信息,从而阻止了创建新的信任。等待几分钟,然后再次尝试创建信任和条件转发服务器。

有关其工作原理的更多信息,请参阅跨森林信托的域定位器 Microsoft 网站。

默认的第一个站点名称

无法在此域上执行该操作

要解决这个问题,请确保两个域/目录的NETBIOS名称不重叠。如果域/目录确实有重叠的NETBIOS名称,请使用不同的NETBIOS名称重新创建其中一个,然后重试。

由于出现“必填且有效的域名”错误,信任创建失败

DNS名称只能包含字母字符 (A-Z)、数字字符 (0-9)、减号 (-) 和句点 (.)。只有当句点字符用于分隔域样式名称的组成部分时,才允许使用。另请考虑以下事项:

  • AWS 托管 Microsoft AD 不支持使用单标签域名的信任。有关更多信息,请参阅 Microsoft 支持单标签域

  • 根据 RFC 1123(https://tools.ietf.org/html/rfc1123),DNS标签中唯一可以使用的字符是 “A” 到 “Z”、“a” 到 “z”、“0” 到 “9” 以及连字符(“-”)。DNS名称中也使用句点 [.],但仅限于DNS标签之间和末尾FQDN。

  • 根据 RFC 952 (https://tools.ietf.org/html/rfc952),“名称”(网络、主机、网关或域名)是一个最多 24 个字符的文本字符串,取自字母 (A-Z)、数字 (0-9)、减号 (-) 和句点 (.)。请注意,只有当句点用于分隔域名样式名称的组成部分时,才允许使用。

有关更多信息,请参阅遵守主机和域名的名称限制 Microsoft 网站。

用于测试信任的一般工具

以下是可用于排查各种信任相关问题的工具。

AWS Systems Manager 自动化疑难解答工具

S@@ upport Automation Workflows (SAW) 利用 S AWS ystems Manager 自动化为你提供预定义的运行手册。 AWS Directory ServiceTroubleshootDirectoryTrust运行手册工具可帮助你诊断 AWS 托管 Microsoft AD 和本地部署之间常见的信任创建问题 AWSSupport Microsoft Active Directory.

DirectoryServicePortTest 工具

在解决 AWS 托管 Microsoft AD 和本地 Active Directory 之间的信任创建问题时,该DirectoryServicePortTest测试工具可能很有用。有关如何使用工具的示例,请参阅测试 AD Connector

NETDOM和NLTEST工具

管理员可以同时使用 NetdomNltest 命令行工具来查找、显示、创建、删除和管理信任。这些工具直接与域控制器上的LSA权威机构通信。有关如何使用这些工具的示例,请参阅 NetdomNLTEST Microsoft 网站。

数据包捕获工具

您可以使用内置的 Windows 软件包捕获实用程序来调查和解决潜在的网络问题。有关更多信息,请参阅 Capture a Network Trace without installing anything