評估測試錯誤訊息 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

評估測試錯誤訊息

下表說明評估測試期間可能發生的錯誤訊息。這些錯誤表示封鎖在繼續混合目錄設定之前必須解決的問題。

測試名稱

短名稱

錯誤碼

錯誤訊息

描述

Resolution

Active Directory Services 測試

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

如果所需的AD服務未在自我管理 AD 中執行,便會發生。

特定必要AD服務必須在自我管理 AD 中執行。如需詳細資訊,請參閱必要的 Active Directory 服務

Active Directory Services 測試

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

確保您的自我管理 AD 網域控制站是可操作的,並且可以到達。驗證自我管理 AD 網域控制器的網路連線能力和DNS解析度。

AD 密碼政策測試

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

如果您的自我管理 AD 密碼政策不符合 AWS Managed Microsoft AD 要求,便會發生。

您的自我管理 AD 密碼政策必須符合 AWS Managed Microsoft AD 密碼要求。如需詳細資訊,請參閱了解 AWS Managed Microsoft AD 密碼政策

AWS 管理員使用者存在測試

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

AWS Admin user not found or invalid.

如果混合目錄管理員使用者不存在於自我管理 AD OU的 AWS 預留中,則會顯示此訊息。

確保混合目錄管理員使用者存在於自我管理 AD OU的預留中 AWS 。如果使用者遺失,請確認帳戶已在混合目錄設定程序期間正確建立。更新混合目錄。如果您的混合目錄狀態無法運作,請聯絡 支援

AWS 管理員使用者SPN測試

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.

如果混合目錄管理員使用者在自我管理 AD 上SPNs設定了任何 ,就會發生。

從 AWS 混合目錄管理員使用者帳戶中移除所有服務主體名稱 (SPNs)。混合目錄管理員使用者不得SPNs設定任何 ,因為它們可能會干擾混合目錄身分驗證。

AWS 網域控制站非FSMO擁有者測試

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.

如果您將FSMO角色 (PDC Emulator、 RID Master或 Infrastructure Master) 從自我管理 AD 轉移到混合目錄網域控制站,則會顯示此訊息。

在繼續之前,將所有FSMO角色 (PDC Emulator、RID Master、Infrastructure Master) 傳輸回自我管理的 AD 網域控制站。如需詳細資訊,請參閱Microsoft傳輸FSMO角色的文件

AWS 預留群組成員資格測試

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

AWS Reserved OU not found.

如果自我管理 AD OU上的 AWS 預留不存在,便會發生。

AWS 預留OU必須存在於自我管理 AD 上,才能驗證群組成員資格。請聯絡 支援

AWS 預留群組成員資格測試

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

如果自我管理 AD OU上 AWS 預留的 中的群組包含未經授權的使用者,便會發生。

從自我管理 AD 的 AWS 預留OU群組中移除任何未經授權的使用者。

AWS 預留OUACLs測試

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

AWS Reserved OU ACLs permissions are invalid.

如果自我管理 AD OUACLs上的 AWS 預留不會為非AWS 實體強制執行唯讀許可,也不會防止未經授權存取 AWS受管資源,就會發生。

檢閱並更正自我管理 AD OUACLs上 AWS 預留的許可。確定非AWS 實體只有讀取許可 (ListChildrenReadPropertyListObjectGenericRead、、Synchronize)ReadControl,並移除任何過多的許可。

AWS 預留OUGPO關聯測試

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.

如果自我管理 AD OU上的 AWS 預留OU和網域控制器連結至未經授權的 ,便會發生GPOs。

(只有 AWS 受管群組政策物件 (GPOs) 可以連結至這些 OUs。移除任何未經授權的GPOs連結至OU自我管理 AD 上的 AWS 預留OU和網域控制站。

AWS 預留OU資源測試

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The AWS Reserved OU does not exist. Please contact AWS Support.

如果自我管理 AD 中OU不存在 AWS Managed Microsoft AD 目錄功能所需的 AWS 預留,則會顯示此訊息。

AWS 預留OU必須在混合目錄設定期間自動建立,不應刪除。如果此錯誤仍然存在,請聯絡 支援

AWS 預留OU資源測試

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

如果在自我管理 AD 上OU建立的 AWS 預留不包含必要的物件,並GPOs用於適當的混合目錄操作,就會發生。

確保沒有人編輯 AWS 預留 OU。它必須包含必要的 AWS受管資源。移除任何未經授權的物件或 GPOs,如果缺少必要的資源支援,請聯絡 。

AWS 預留OU測試

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

AWS Reserved OU or AWS Reserved GPO still exists, please delete.

如果在自我管理 AD 上找到先前混合目錄設定的 AWS 預留資源仍然存在,則會顯示此訊息。

從主控台刪除現有的失敗混合目錄。然後GPOs,從您的自我管理 AD 刪除任何 AWS 預留OU和相關 ,再繼續。

Bridgehead 命名內容測試

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

如果使用 的網站之間的自我管理 AD 複寫Bridgehead未如預期運作,則會發生此狀況。如果站台之間的命名內容未同步,也可能發生這種情況。

您的自我管理 AD bridgehead網站必須成功。您可以使用 進一步診斷:repadmin /bridgeheads /verbose。繼續之前,請先解決該評估的問題。

子網域測試

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

如果您的自我管理 AD 樹系包含 AWS 受管 Microsoft AD 目錄不支援的子網域,則會發生這種情況。

AWS Managed Microsoft AD 目錄不支援子網域。您必須使用自我管理 AD 的單一網域樹系。如需詳細資訊,請參閱Microsoft Active Directory 網域需求

DcDiag 測試

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

如果自我管理 AD 上有任何MicrosoftDCDiag測試失敗,就會發生。

AWS 使用 DCDiag測試您的自我管理 AD。如果發生錯誤,您無法建立混合目錄。如需詳細資訊,請參閱 Microsoft 文件

DNS IP 比對測試

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

如果自我管理 AD 提供的 DNS IP 地址與使用 啟用的自我管理 AD 網域控制站上的 DNS IP 地址不相符,便會發生 AWS Systems Manager。

提供正確的 DNS IP 地址。

DNS 名稱比對測試

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

如果為自我管理 AD 提供DNS的名稱與啟用 的自我管理 AD 網域控制站上的DNS名稱不相符,就會發生 AWS Systems Manager。

提供正確的DNS名稱。

DNS 記錄測試

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

如果未針對類型 A、SOA、 NS和 設定WindowsDNS記錄,SRV而且可以查詢,則會顯示 。

必須設定地址 (A)、命名空間 (NS)、授權狀態 (SOA) 和服務記錄 (SRV) DNS的記錄,並且可以查詢。如需詳細資訊,請參閱 Microsoft 文件

網域樹系功能層級測試

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

如果您的自我管理 AD 網域和樹系功能層級不符合最低要求,便會發生。

您的自我管理 AD 必須使用 Windows2012 R2或 2016 功能層級。如需詳細資訊,請參閱 Microsoft 文件

網域運作狀態測試

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.

如果您的自我管理 AD 沒有所需的網域控制站數量下限,就會發生。

確保您的自我管理 AD 已啟用至少兩個網域控制站 AWS Systems Manager。如需詳細資訊,請參閱Microsoft Active Directory 網域需求

現有網域測試

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

如果您的自我管理 AD 網域已加入現有的混合目錄,就會發生。

您的自我管理 AD 網域已加入現有的混合目錄。加入混合目錄的每個自我管理 AD 網域必須是唯一的 建立新的自我管理 AD 網域,或從加入它們的混合目錄組態中移除它。

FSMO 連線測試

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

如果自我管理 AD 上的FSMO角色PDC Emulator、 和/或 RID Master IPs 無法路由,便會發生。

主要網域控制站 (PDC) 必須隨時可路由。特別是自我管理 AD 的 PDC Emulator和 RID Master IPs。如需詳細資訊,請參閱Microsoft Active Directory 網域需求

FSMO 連線測試

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

如果您的自我管理 AD 網域控制站無法存取您的FSMO角色,就會發生。

自我管理 AD 中的 Flexible Single Master Operation (FSMO) 角色必須連線至自我管理 AD 網域控制站。如需詳細資訊,請參閱 Microsoft 文件

IP 衝突測試

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

如果您的自我管理 AD IP 範圍與 AWS 預留範圍重疊,便會發生。

您的自我管理 AD 無法使用與預留 IP 範圍重疊的 AWS IP 地址範圍。如需詳細資訊,請參閱Microsoft Active Directory 網域需求

Kerberos 測試

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

如果 Kerberos 未正確設定且正在使用中,則會顯示 。

Kerberos 必須在自我管理 AD 上啟用 。如需詳細資訊,請參閱 Microsoft 文件

LDAP 連線測試

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

如果 LDAP 無法運作,便會發生。

輕量型目錄存取通訊協定 (LDAP) 必須啟用並在自我管理 AD 上運作。如需詳細資訊,請參閱 Microsoft 文件

不唯讀網域控制器進行測試 FSMO

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

如果您的自我管理 AD 網域控制站FSMO角色為 ,便會發生RODC。

自我管理 AD 的網域控制站不得使用唯讀網域控制站 (RODC) Flexible Single Master Operation (FSMO) 角色。如需詳細資訊,請參閱 Microsoft 文件

唯讀網域控制站密碼複寫測試

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

如果 RODC具有複寫管理員密碼的許可,便會發生。

自我管理 AD RODC的 必須明確拒絕複寫 Admin 密碼的許可。如需詳細資訊,請參閱 Microsoft 文件

唯讀網域控制站測試

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

如果您的自我管理 AD 網域控制站處於 ReadOnlyDC 模式,就會發生。

您的自我管理 AD 必須是讀寫網域控制站。如需網域控制器類型的詳細資訊,請參閱 Microsoft 文件

遠端連接埠連線能力測試

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

如果 AWS 子網路上的必要連接埠,且您的自我管理 AD 網域控制器未開啟,便會發生。

確保 AWS 子網路和自我管理 AD 之間開啟所有必要的連接埠。如需詳細資訊,請參閱網路連接埠需求

複寫測試

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

如果您的自我管理 AD 網域控制站複寫失敗,便會發生。

您的自我管理 AD 網域控制站複寫狀態必須成功。如需詳細資訊,請參閱 Microsoft 文件

SMBV1 測試

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

如果自我管理 AD 目前正在使用 SMBv1進行身分驗證,便會發生。

SMBv1 已知不安全,且必須在自我管理 AD 上停用。如需詳細資訊,請參閱 Microsoft 文件

SSM 使用者許可測試

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

如果 使用Windows的使用者SSM權限不足,就會發生。

您需要自我管理 AD 上 AWS System Manager (SSM) 代理程式的Windows管理員許可。如需詳細資訊,請參閱AWS 帳戶 許可

Sysvol 複寫測試

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

如果您的自我管理 AD 沒有正確的sysvol複寫方法 (DFSR),且複DFSR寫事件期間有任何DCs失敗,就會發生。

您的自我管理 AD sysvol複寫方法 (DFSR) 必須成功。如需詳細資訊,請參閱 Microsoft 文件

頂層GPO測試

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

如果您的自我管理 AD 已將頂層GPOs設定為強制執行,則會顯示此訊息。

確保您的自我管理 AD 網域頂層群組政策物件 (GPO) 未設定為強制執行。如需詳細資訊,請參閱 Microsoft 文件

信任類型測試

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

如果您的自我管理 AD 具有不支援的信任類型,就會發生。

Uplevel 是混合目錄唯一支援的信任類型。您的自我管理 AD 不能有下列信任類型:DCE、MIT、Downlevel。如需信任類型的詳細資訊,請參閱 Microsoft 文件

有效的網域控制站測試

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

如果您提供的自我管理 AD 執行個體不是網域控制站,或它們已經是另一個混合目錄的一部分,就會發生。

提供此混合目錄獨有的自我管理 AD 網域控制站。使用新目錄重試。請確定您已刪除失敗的混合目錄,以及自我管理 AD 中的任何 AWS OU。