Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Fehlerbehebung bei der Bewertung von Hybridverzeichnissen und Verzeichnissen
Um ein Hybridverzeichnis zu erstellen, ist eine Verzeichnisbewertung erforderlich. Bewertungstests werden auf jedem Domänencontroller ausgeführt. Die Bewertungstests untersuchen verschiedene Bereiche und führen zu dem Status „Bestanden“ oder „Fehlgeschlagen“. Wenn Ihre Verzeichnisbewertung fehlschlägt, können Sie sich die Bewertungstests Ihrer Domänencontroller ansehen, um festzustellen, welche Probleme den Fehler verursacht haben.
**Wichtig**
Ein Hybridverzeichnis kann erstellt werden, wenn der Status der Verzeichnisbewertung „Mit Warnung bestanden“ lautet. Wir empfehlen Ihnen, das Problem, das die Warnung verursacht hat, zu beheben, bevor Sie ein Hybridverzeichnis erstellen
**Topics**
+ [Fehlerbehebung bei fehlgeschlagener Bewertung des Hybridverzeichnisses](#hybrid_directory_troubleshooting_steps)
+ [Fehler im Verzeichnisstatus](hybrid_directory_status_errors.md)
+ [Fehlermeldungen bei der Verzeichnisbewertung](da-error-msgs.md)
+ [Fehlermeldungen beim Assessment Test](assessment_test_error-msgs.md)
+ [Warnmeldungen für den Bewertungstest](assessment_test_warning-msgs.md)
## Fehlerbehebung bei fehlgeschlagener Bewertung des Hybridverzeichnisses
Sie können eine fehlgeschlagene Verzeichnisbewertung **auf der Seite Verzeichnisse** im beheben AWS-Managementkonsole.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Directory Service Konsole unter [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Wählen Sie im Abschnitt **Verzeichnisbewertungen** die fehlgeschlagene Hybrid-Verzeichnisbewertung aus.
1. Überprüfen Sie auf der Seite mit den **Bewertungsdetails** die Verzeichnisbewertung und ermitteln Sie, welche Tests fehlgeschlagen sind.
1. Die Bewertungstests des Domänencontrollers enthalten weitere Informationen darüber, welche Tests erfolgreich waren oder nicht. In der Spalte **Status** finden Sie weitere Informationen zur Ursache des fehlgeschlagenen Tests. Informationen zu den Bewertungstests Ihres Domänencontrollers finden Sie unter[Verzeichnisbewertungen anzeigen](viewing_hybrid_dir_assessment.md).
1. Beheben Sie die Probleme, die die Fehler in Ihrem selbstverwalteten Active Directory oder AWS Managed Microsoft AD verursacht haben. Weitere Informationen finden Sie unter [Fehlermeldungen bei der Verzeichnisbewertung](da-error-msgs.md) und [Fehlermeldungen beim Assessment Test](assessment_test_error-msgs.md).
1. Kehren Sie in der Directory Service Konsole zur fehlgeschlagenen Bewertung zurück. Wählen Sie in der roten Warnmeldung **Bewertung erstellen** aus. Weitere Informationen [Erstellen Sie ein Hybridverzeichnis mit Ihrem selbstverwalteten AD](hybrid_directory_create.md#creating_hybrid_directory) zum Erstellen einer Verzeichnisbewertung finden Sie unter.
# Fehler im Verzeichnisstatus
Directory Service Verzeichnisse können verschiedene Zustände aufweisen, die auf unterschiedliche Arten von Problemen hinweisen. Wenn Sie diese Zustände verstehen, können Sie die geeigneten Schritte zur Problembehandlung ermitteln.
**Typen des Verzeichnisstatus**
| Status | Description | Maßnahme erforderlich |
| --- | --- | --- |
| Aktiv | Die Verzeichniserstellung wurde erfolgreich abgeschlossen und funktioniert normal. | Es ist keine Aktion erforderlich. |
| Beeinträchtigt | Das Verzeichnis wurde erfolgreich erstellt, aber auf dem Domänencontroller traten danach Probleme auf. Das System versucht eine automatische Wiederherstellung. | Überwachen Sie den Verzeichnisstatus. Wenn das Problem weiterhin besteht, wenden Sie sich an den AWS Support. |
| Fehlgeschlagen | Die Verzeichniserstellung ist fehlgeschlagen und kann nicht wiederhergestellt werden. | Löschen Sie das fehlgeschlagene Verzeichnis und erstellen Sie ein neues. |
| Nicht funktionsfähig (nur Hybrid-AD) | AWS hat ein Sicherheitsproblem erkannt und das Verzeichnis zum Schutz automatisch isoliert. Das Verzeichnis wird vollständig unbrauchbar, bis es wiederhergestellt ist. | Wenden Sie sich sofort an [AWS Support das Center](https://console.aws.amazon.com/support/home#/). Dieser Status erfordert ein Support Eingreifen, um das Verzeichnis zu untersuchen und wiederherzustellen. |
# Fehlermeldungen bei der Verzeichnisbewertung
Um ein Hybridverzeichnis zu erstellen, müssen Sie die Verzeichnisbewertung bestanden haben. Verzeichnisbewertungen können aus verschiedenen Gründen fehlschlagen.
Die folgende Tabelle enthält Fehlermeldungen bei der Verzeichnisbewertung und zeigt, wie sie behoben werden können.
**Fehlermeldungen und Lösungen bei der Verzeichnisbewertung**
| Fehlermeldung bei der Verzeichnisbewertung | Auflösung |
| --- | --- |
| Bei dieser Bewertung wurden mehrere Tests auf beiden verwalteten Instanzen nicht bestanden. Untersuchen Sie die fehlgeschlagenen Tests, indem Sie jede verwaltete Instanz auswählen und sie in Ihrem lokalen Verzeichnis lösen. Erstellen Sie anschließend eine neue Bewertung. | Einer oder mehrere Tests zur Verzeichnisbewertung sind für Ihr selbstverwaltetes AD fehlgeschlagen. [Fehlermeldungen beim Assessment Test](assessment_test_error-msgs.md)Weitere Informationen zu bestimmten Testfehlern und deren Behebung finden Sie unter. |
| Diese Bewertung ist aufgrund einer internen Serviceausnahme fehlgeschlagen. Bitte versuchen Sie es erneut, indem Sie eine neue Bewertung erstellen, oder wenden Sie sich zur Problembehandlung an den Service. | Versuchen Sie, eine neue Verzeichnisbewertung zu erstellen. Wenn dieser Fehler weiterhin auftritt, wenden Sie sich an [Support](https://aws.amazon.com/premiumsupport/). |
| Diese Bewertung schlug fehl, weil die Erlaubnis zum Ausführen einer Aktion wie `ec2:CreateSecurityGroup``ec2:DeleteSecurityGroup`,,`ec2:CreateNetworkInterface`, `ec2:DeleteNetworkInterface``ec2:DescribeSubnets`, und fehlte`ec2:DescribeNetworkInterface`. | Um eine Verzeichnisbewertung zu erstellen, AWS-Konto benötigen Sie die erforderlichen Informationen[AWS-Konto Berechtigungen](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| Diese Bewertung schlug fehl, weil die Erlaubnis zum Ausführen einer Aktion wie`ssm:GetConnectionStatus`,, `ssm:GetCommandInvocation``ssm:ListCommands`, fehlte`ssm:SendCommand`. | Um eine Verzeichnisbewertung zu erstellen, benötigen Sie zwei Systems Manager Manager-Knoten mit den erforderlichen Informationen[AWS-Konto Berechtigungen](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| Diese Bewertung ist fehlgeschlagen, da Sie das Limit für die Anzahl der Netzwerkschnittstellen, die Sie erstellen können, erreicht haben. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Um eine Verzeichnisbewertung zu erstellen, müssen Sie eine Netzwerkschnittstelle und Sicherheitsgruppen erstellen. Die Anzahl der VPC-Ressourcen, die Sie erstellen können, ist begrenzt, Sie können jedoch einige dieser Grenzwerte anpassen. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| Diese Bewertung ist fehlgeschlagen, da Sie das Limit für die Anzahl der Sicherheitsgruppen, die Sie erstellen oder einer Instance zuweisen können, erreicht haben. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). | Um eine Verzeichnisbewertung zu erstellen, müssen Sie eine Netzwerkschnittstelle und Sicherheitsgruppen erstellen. Die Anzahl der VPC-Ressourcen, die Sie erstellen können, ist begrenzt, Sie können jedoch einige dieser Grenzwerte anpassen. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll). |
| Diese Bewertung ist fehlgeschlagen. Es konnte keine Verbindung zu Kundeninstanzen von hergestellt AWS Systems Manager werden. | Um eine Verzeichnisbewertung zu erstellen, benötigen Sie zwei AWS Systems Manager Knoten, die den Status „Verbunden“ haben. Weitere Informationen finden Sie unter [Problembehandlung beim SSM-Agenten](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html). |
| Bei dieser Bewertung wurden mehrere kritische Tests nicht bestanden. Untersuchen Sie die fehlgeschlagenen Tests, indem Sie jede verwaltete Instanz auswählen und sie in Ihrem lokalen Verzeichnis beheben. Erstellen Sie anschließend eine neue Bewertung. | Einer oder mehrere Tests zur Verzeichnisbewertung sind für Ihr selbstverwaltetes AD fehlgeschlagen. Weitere Informationen [Fehlermeldungen beim Assessment Test](assessment_test_error-msgs.md) finden Sie in. |
# Fehlermeldungen beim Assessment Test
In der folgenden Tabelle werden Fehlermeldungen beschrieben, die bei Bewertungstests auftreten können. Diese Fehler weisen auf Blockierungsprobleme hin, die behoben werden müssen, bevor mit der Einrichtung des Hybridverzeichnisses fortgefahren werden kann.
| Name des Tests | Kurzname | Fehlercode | Fehlermeldung | Description | Auflösung |
| --- | --- | --- | --- | --- | --- |
| Active Directory ServicesTesten | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Tritt auf, wenn die erforderlichen AD Dienste in Ihrem selbstverwalteten AD nicht ausgeführt werden. | Bestimmte erforderliche AD Dienste müssen in Ihrem selbstverwalteten AD ausgeführt werden. Weitere Informationen finden Sie unter [Erforderliche Active Directory-Dienste](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). |
| Active Directory ServicesTesten | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Stellen Sie sicher, dass Ihre selbstverwalteten AD-Domänencontroller betriebsbereit und erreichbar sind. Überprüfen Sie die Netzwerkkonnektivität und DNS Auflösung für Ihre selbstverwalteten AD-Domänencontroller. |
| ADTest der Kennwortrichtlinie | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Tritt auf, wenn Ihre selbstverwaltete AD-Passwortrichtlinie die Anforderungen von AWS Managed Microsoft AD nicht erfüllt. | Ihre selbstverwaltete AD-Passwortrichtlinie muss die Anforderungen für AWS verwaltete Microsoft AD-Passwörter erfüllen. Weitere Informationen finden Sie unter [Grundlegendes zu AWS verwalteten Microsoft AD-Passwortrichtlinien](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). |
| AWS Test „Admin-Benutzer vorhanden“ | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Tritt auf, wenn der Hybrid-Verzeichnis-Administratorbenutzer in OU Ihrem selbstverwalteten AD nicht in AWS Reserved vorhanden ist. | Stellen Sie sicher, dass der Administratorbenutzer für das Hybridverzeichnis in Ihrem selbstverwalteten AWS AD OU unter Reserved vorhanden ist. Wenn der Benutzer fehlt, überprüfen Sie, ob das Konto bei der Einrichtung des Hybridverzeichnisses korrekt erstellt wurde. [Ein Hybridverzeichnis aktualisieren](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Wenn Ihr Hybrid-Verzeichnisstatus nicht funktionsfähig ist, wenden Sie sich an. [Support](https://console.aws.amazon.com/support/home#/) |
| AWS Admin-Benutzertest SPN | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Tritt auf, wenn der Hybrid-Verzeichnis-Administratorbenutzer einen auf Ihrem selbstverwalteten AD SPNs konfiguriert hat. | Entfernen Sie alle Dienstprinzipalnamen (SPNs) aus dem Administratorkonto für das AWS Hybridverzeichnis. Für den Administratorbenutzer des Hybridverzeichnisses dürfen keine SPNs konfiguriert sein, da sie die Hybrid-Verzeichnisauthentifizierung beeinträchtigen können. |
| AWS Test „Domänencontroller nicht FSMO Besitzer“ | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Tritt auf, wenn Sie FSMO Rollen (PDC EmulatorRID Master, oderInfrastructure Master) von Ihrem selbstverwalteten AD auf den Hybridverzeichnis-Domänencontroller übertragen haben. | Übertragen Sie alle FSMO Rollen (PDC Emulator,RID Master,Infrastructure Master) zurück auf Ihre selbstverwalteten AD-Domänencontroller, bevor Sie fortfahren. Weitere Informationen finden Sie in der [MicrosoftDokumentation zur Übertragung von FSMO Rollen](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). |
| AWS Test der Mitgliedschaft in einer reservierten Gruppe | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Tritt auf, wenn AWS Reserved OU auf Ihrem selbstverwalteten AD nicht vorhanden ist. | AWS Reserved OU muss in Ihrem selbstverwalteten AD vorhanden sein, um die Gruppenmitgliedschaft zu validieren. Wenden Sie sich an [Support](https://console.aws.amazon.com/support/home#/). |
| AWS Test der reservierten Gruppenmitgliedschaft | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Tritt auf, wenn Gruppen in der Gruppe AWS Reserved OU auf Ihrem selbstverwalteten AD nicht autorisierte Benutzer enthalten. | Entfernen Sie alle nicht autorisierten Benutzer aus den AWS reservierten OU Gruppen in Ihrem selbstverwalteten AD. |
| AWS Reservierter Test OU ACLs | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Tritt auf, wenn AWS Reserved OU ACLs auf Ihrem selbstverwalteten AD keine Leseberechtigungen für nicht verwaltete Entitäten erzwingen AWS und unbefugten Zugriff AWS auf Ressourcen nicht verhindern. | Überprüfen und korrigieren Sie die Berechtigungen für AWS Reserved OU ACLs auf Ihrem selbstverwalteten AD. Stellen Sie sicher, dass AWS Nicht-Entitäten nur über Leseberechtigungen (`ListChildren`,,,`ReadProperty`, `ListObject``ReadControl`,`Synchronize`) verfügen`GenericRead`, und entfernen Sie alle übermäßigen Berechtigungen. |
| AWS Test für reservierte OU GPO Verknüpfungen | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Tritt auf, wenn die AWS reservierten Controller OU und die Domänencontroller OU auf Ihrem selbstverwalteten AD mit nicht autorisierten GPOs Verbindungen verknüpft sind. | (Nur AWS verwaltete Gruppenrichtlinienobjekte (GPOs) können mit diesen OUs verknüpft werden. Entfernen Sie alle nicht autorisierten GPOs Verbindungen zu den AWS reservierten Controllern OU und den Domänencontrollern OU auf Ihrem selbstverwalteten AD. |
| AWS Test reservierter OU Ressourcen | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Tritt auf, wenn AWS Reserved OU nicht in Ihrem selbstverwalteten AD vorhanden ist, was für die AWS verwaltete Microsoft AD-Verzeichnisfunktionalität erforderlich ist. | Das AWS Reserved OU muss bei der Einrichtung des Hybridverzeichnisses automatisch erstellt werden und sollte nicht gelöscht werden. Wenn dieser Fehler weiterhin besteht, wenden Sie sich an [Support](https://console.aws.amazon.com/support/home#/). |
| AWS Test reservierter OU Ressourcen | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Tritt auf, wenn das AWS Reserved, das auf Ihrem selbstverwalteten AD OU erstellt wurde, nicht die erforderlichen Objekte enthält und GPOs das Hybridverzeichnis ordnungsgemäß funktioniert. | Stellen Sie sicher, dass niemand das AWS Reserved bearbeitet. OU Es muss die erforderlichen AWS verwalteten Ressourcen enthalten. Entfernen Sie alle nicht autorisierten Objekte oder kontaktieren Sie unsGPOs, [Support](https://console.aws.amazon.com/support/home#/)falls benötigte Ressourcen fehlen. |
| AWS Reservierter OU Test | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Tritt auf, wenn AWS reservierte Ressourcen, die in Ihrem selbstverwalteten AD aus einem früheren Hybridverzeichnis-Setup gefunden wurden, noch vorhanden sind. | Löschen Sie das bestehende ausgefallene Hybridverzeichnis aus der Konsole. Löschen Sie anschließend alle AWS reservierten OU und verwandten Verzeichnisse GPOs aus Ihrem selbstverwalteten AD, bevor Sie fortfahren. |
| BridgeheadTest zum Benennungskontext | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Tritt auf, wenn die selbstverwaltete AD-Replikation zwischen Standorten unter Verwendung Bridgehead nicht wie erwartet funktioniert. Es kann auch auftreten, wenn die Namenskontexte nicht zwischen den Standorten synchronisiert sind. | Ihre selbstverwaltete bridgehead AD-Site muss erfolgreich sein. Sie können weitere Diagnosen stellen mit:`repadmin /bridgeheads /verbose`. Gehen Sie auf die Probleme aus dieser Bewertung ein, bevor Sie fortfahren. |
| Domain-Test für Kinder | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Tritt auf, wenn Ihre selbstverwaltete AD-Gesamtstruktur untergeordnete Domänen enthält, die von AWS verwalteten Microsoft AD-Verzeichnissen nicht unterstützt werden. | AWS Verwaltete Microsoft AD-Verzeichnisse unterstützen keine untergeordneten Domänen. Sie müssen eine Gesamtstruktur mit einer einzelnen Domäne für Ihr selbstverwaltetes AD verwenden. Weitere Informationen finden Sie unter [Microsoft Active DirectoryAnforderungen an die Domäne](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| DcDiagTesten | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Tritt auf, wenn Microsoft DCDiag Tests auf Ihrem selbstverwalteten AD fehlschlagen. | AWS verwendetDCDiag, um Ihr selbstverwaltetes AD zu testen. Wenn es Fehler gibt, können Sie kein Hybridverzeichnis erstellen. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). |
| DNSIP-Übereinstimmungstest | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Tritt auf, wenn die angegebenen DNS IP-Adressen Ihres selbstverwalteten AD nicht mit den DNS IP-Adressen auf Ihren selbstverwalteten AD-Domänencontrollern übereinstimmen, die für aktiviert sind. AWS Systems Manager | Geben Sie die richtigen DNS IP-Adressen ein. |
| DNSTest zur Namensübereinstimmung | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Tritt auf, wenn der für Ihr selbstverwaltetes AD angegebene DNS Name nicht mit dem DNS Namen auf Ihren selbstverwalteten AD-Domänencontrollern übereinstimmt, die für aktiviert sind. AWS Systems Manager | Geben Sie den richtigen DNS Namen ein. |
| DNSAufzeichnungen, Test | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Tritt auf, wenn keine Windows DNS Datensätze für den TypA,NS, und festgelegt sindSOA, SRV und kann abgefragt werden. | Die DNS Datensätze für Address (A), Namespace (NS), State of Authority (SOA) und Service Record (SRV) müssen festgelegt sein und können abgefragt werden. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). |
| Test auf Funktionsebene der Domänengesamtstruktur | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Tritt auf, wenn die Funktionsebenen Ihrer selbstverwalteten AD-Domänen und -Gesamtstruktur die Mindestanforderungen nicht erfüllen. | Ihr selbstverwaltetes AD muss unsere Windows 2012 R2 2016 Funktionsebene verwenden. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). |
| Domain-Gesundheitstests | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Tritt auf, wenn Ihr selbstverwaltetes AD nicht über die erforderliche Mindestanzahl an Domänencontrollern verfügt. | Stellen Sie sicher, dass in Ihrem selbstverwalteten AD mindestens zwei Domänencontroller aktiviert sind. AWS Systems Manager Weitere Informationen finden Sie unter [Microsoft Active DirectoryAnforderungen an die Domäne](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| Bestehender Domänentest | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Tritt auf, wenn Ihre selbstverwaltete AD-Domäne bereits mit einem vorhandenen Hybridverzeichnis verknüpft ist. | Ihre selbstverwaltete AD-Domäne ist bereits mit einem vorhandenen Hybridverzeichnis verknüpft. Jede selbstverwaltete AD-Domäne, die mit einem Hybridverzeichnis verknüpft ist, muss eindeutig sein. Erstellen Sie eine neue selbstverwaltete AD-Domäne oder entfernen Sie sie aus der Hybridverzeichniskonfiguration, mit der sie verknüpft sind. |
| FSMOKonnektivitätstest | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Tritt auf, wenn FSMO RollenPDC Emulator,, and/or RID Master IPs auf Ihrem selbstverwalteten AD nicht routbar sind. | Der primäre Domänencontroller (PDC) muss jederzeit routingfähig sein. Insbesondere das Ende PDC Emulator RID Master IPs Ihres selbstverwalteten AD. Weitere Informationen finden Sie unter [Microsoft Active DirectoryAnforderungen an die Domäne](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| FSMOKonnektivitätstest | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Tritt auf, wenn Ihre selbstverwalteten AD-Domänencontroller nicht auf Ihre FSMO Rollen zugreifen können. | Ihre Flexible Single Master Operation (FSMO) -Rolle in Ihrem selbstverwalteten AD muss mit Ihren selbstverwalteten AD-Domänencontrollern verbunden sein. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| IP-Konflikttest | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Tritt auf, wenn sich Ihre selbstverwalteten AD-IP-Bereiche mit AWS reservierten Bereichen überschneiden. | Ihr selbstverwaltetes AD kann keinen IP-Adressbereich verwenden, der sich mit reservierten AWS IP-Bereichen überschneidet. Weitere Informationen finden Sie unter [Microsoft Active DirectoryAnforderungen an die Domäne](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). |
| KerberosTesten | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Tritt auf, wenn Kerberos es nicht richtig konfiguriert ist und verwendet wird. | Kerberosmuss auf Ihrem selbstverwalteten AD aktiviert sein. Weitere Informationen finden Sie in der [MicrosoftDokumentation](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). |
| LDAPKonnektivitätstest | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Tritt auf, wenn LDAP es nicht funktioniert. | Das Lightweight Directory Access Protocol (LDAP) muss aktiviert sein und auf Ihrem selbstverwalteten AD funktionieren. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). |
| Nicht schreibgeschützter Domänencontroller für Tests FSMO | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Tritt auf, wenn Ihre selbstverwaltete FSMO AD-Domänencontroller-Rolle RODC | Der Domänencontroller für Ihr selbstverwaltetes AD darf nicht die Rolle eines schreibgeschützten Domänencontrollers (RODC) und des flexiblen Einzelmasterbetriebs () verwenden. FSMO Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). |
| Test zur Kennwortreplikation des Domänencontrollers mit Schreibschutz | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | Tritt auf, wenn der berechtigt RODC ist, Administratorkennwörter zu replizieren. | Dem RODC für Ihr selbstverwaltetes AD muss ausdrücklich die Berechtigung zum Replizieren von Admin-Passwörtern verweigert werden. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). |
| Domänencontroller-Test mit Schreibschutz | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Tritt auf, wenn sich Ihre selbstverwalteten AD-Domänencontroller im ReadOnlyDC Modus befinden. | Bei Ihrem selbstverwalteten AD muss es sich um Domänencontroller mit Lese-/Schreibzugriff handeln. [Weitere Informationen zu Domänencontrollertypen finden Sie in der Dokumentation. Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers) |
| Test der Remote-Port-Konnektivität | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Tritt auf, wenn die erforderlichen Ports in Ihrem AWS Subnetz und Ihr selbstverwalteter AD-Domänencontroller nicht geöffnet sind. | Stellen Sie sicher, dass alle erforderlichen Ports zwischen Ihrem AWS Subnetz und Ihrem selbstverwalteten AD geöffnet sind. Weitere Informationen finden Sie unter [Anforderungen an den Netzwerkport](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports). |
| Replikationstest | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Tritt auf, wenn die Replikation Ihrer selbstverwalteten AD-Domänencontroller fehlgeschlagen ist. | Der Replikationsstatus Ihrer selbstverwalteten AD-Domänencontroller muss erfolgreich sein. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). |
| SMBV1Testen | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Tritt auf, wenn das selbstverwaltete AD derzeit SMBv1 für die Authentifizierung verwendet. | SMBv1ist bekanntermaßen unsicher und muss auf Ihrem selbstverwalteten AD deaktiviert werden. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). |
| SSMTest der Benutzerberechtigungen | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Tritt auf, wenn der Windows Benutzer, der von verwendet wird, nicht SSM über ausreichende Rechte verfügt. | Sie benötigen Windows Administratorrechte für die AWS System Manager (SSM) -Agenten auf Ihrem selbstverwalteten AD. Weitere Informationen finden Sie unter [AWS-Konto Berechtigungen](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). |
| SysvolReplikationstest | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Tritt auf, wenn Ihr selbstverwaltetes AD nicht über die richtige sysvol Replikationsmethode (DFSR) verfügt und wenn eine Replikationsmethode während eines DFSR Replikationsereignisses DCs fehlgeschlagen ist. | Ihre selbstverwaltete sysvol AD-Replikationsmethode (DFSR) muss erfolgreich sein. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). |
| Test auf höchstem Niveau GPO | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Tritt auf, wenn für Ihr selbstverwaltetes AD die Option Top Level auf GPOs Durchgesetzt gesetzt gesetzt ist. | Stellen Sie sicher, dass das Gruppenrichtlinienobjekt auf oberster Ebene für Ihre selbstverwaltete AD-Domäne (GPO) nicht auf Durchgesetzt gesetzt gesetzt ist. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). |
| Vertrauenstypen testen | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Tritt auf, wenn Ihr selbstverwaltetes AD Vertrauenstypen nicht unterstützt. | Uplevelist der einzige Vertrauenstyp, der vom Hybridverzeichnis unterstützt wird. Ihr selbstverwaltetes AD kann die folgenden Vertrauenstypen nicht haben:DCE,MIT,Downlevel. Weitere Informationen zu Vertrauenstypen finden Sie in der [MicrosoftDokumentation](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). |
| Gültiger Domänencontrollertest | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Tritt auf, wenn es sich bei den bereitgestellten selbstverwalteten AD-Instanzen nicht um Domänencontroller handelt oder wenn sie bereits Teil eines anderen Hybridverzeichnisses sind. | Stellen Sie selbstverwaltete AD-Domänencontroller bereit, die nur für dieses Hybridverzeichnis gelten. Versuchen Sie es erneut mit einem neuen Verzeichnis. Stellen Sie sicher, dass Sie das ausgefallene Hybridverzeichnis und alle Verzeichnisse AWS OU in Ihrem selbstverwalteten AD gelöscht haben. |
# Warnmeldungen für den Bewertungstest
In der folgenden Tabelle werden Warnmeldungen beschrieben, die bei Bewertungstests auftreten können. Diese Warnungen stellen Empfehlungen für eine optimale Konfiguration dar, verhindern jedoch nicht die Einrichtung eines Hybridverzeichnisses.
| Name des Tests | Kurzname | Warnungscode | Warnmeldung | Description | Auflösung |
| --- | --- | --- | --- | --- | --- |
| Domain-Gesundheitstests | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Tritt auf, wenn es in Ihrem selbstverwalteten AD Benutzerkonten gibt, die sich über einen längeren Zeitraum nicht angemeldet haben und als veraltet oder inaktiv angesehen werden können. | Bereinigen Sie veraltete Benutzerkonten. |
| Zeitquellentest für den Domänencontroller | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Tritt auf, wenn das selbstverwaltete AD über die richtige Zeitquellenkonfiguration verfügt und im Vergleich zu einer AWS Zeitquelle kein großes Zeitgefälle besteht. | Der Zeitserver Ihres primären Domänencontrollers (PDC) wird weitergeleitet. `169.254.169.123` Ihre nicht-primären Domänencontroller sollten auf den PDC als Quelle verweisen. Weitere Informationen finden Sie unter [Keeping time with Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/). |
| Testen Sie den freien Speicherplatz | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Tritt auf, wenn Ihr selbst verwaltetes AD kombiniert NTDS und die Sysvol Nutzung das unterstützte Kontingent übersteigt. | Ihr selbstverwaltetes AD sollte über 24 GB Festplattenspeicher für Hybridverzeichnisse verfügen. |
| FSMO RolesTesten | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Tritt auf, wenn FSMO-Rollen (PDC-Emulator und RID-Master) nicht zu den beiden Domänencontrollern gehören, die beim Erstellen eines Hybridverzeichnisses bereitgestellt werden. | Ihr Hybridverzeichnis sollte unter den beiden Domänencontrollern, die Sie beim Erstellen eines Hybridverzeichnisses angeben, über beide FSMO-Rollen (PDC-Emulator und RID-Master) verfügen. Weitere Informationen finden Sie unter [So zeigen Sie Rollen an und übertragen sie](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles). FSMO |
| SSPS-Kanal-Test | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Tritt auf, wenn ein selbstverwaltetes AD keine AES256 Verschlüsselung verwendetTLS1.2. | Ihr selbstverwaltetes AD muss TLS 1.2 und AES256 für Hybridverzeichnisse verwenden. |
| Test auf Festplattenbeschädigung | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Tritt auf, wenn in Ihrem selbstverwalteten AD ein Festplattenfehler vorliegt. | Ihre selbstverwalteten AD-Festplatten sollten nicht beschädigt sein. |
| Test der Spezifikationen für den Domänencontroller | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Tritt auf, wenn Ihre selbstverwalteten AD-Domänencontroller die erforderlichen Spezifikationen nicht erfüllen. | Ihre selbstverwalteten AD-Domänencontroller sollten über mindestens 7 GB RAM und 2 CPU-Kerne für das Hybridverzeichnis verfügen. |
| DllPlugin-Test auf Serverebene | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Tritt auf, wenn ServerLevelPluginDll es auf Ihren selbstverwalteten AD-Domänencontrollern eingerichtet ist. | Ihre selbstverwalteten AD-Domänencontroller sollten nicht konfiguriert worden ServerLevelPluginDII sein. |
| NT4Crypto-Test zulassen | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Tritt auf, wenn selbstverwaltetes AD NT4 Kryptografie zulässt. | Ihr selbstverwaltetes AD sollte Kryptografie nicht verwenden. NT4 Weitere Informationen finden Sie in der Microsoft-Dokumentation. |
| Test für verwaiste Admin-Benutzer | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Tritt auf, wenn es in Ihrem selbstverwalteten AD verwaiste Admin-Benutzer gibt. | Entfernen Sie verwaiste Benutzer in Ihrem selbstverwalteten AD, bevor Sie fortfahren. |
| Test der Anzahl privilegierter Benutzer | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Wird durchgeführt, wenn die Gesamtzahl Ihrer integrierten Administratoren, Domänenadministratoren und Unternehmensadministratoren in Ihrem selbstverwalteten AD a mehr als 5 beträgt. | Ihre selbstverwaltete AD-Umgebung sollte nicht über mehrere privilegierte Konten verfügen. Bevor Sie fortfahren, sollten Sie zu viele Administratorkonten entfernen. |
| Test der Anzahl privilegierter Benutzer | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Wird durchgeführt, wenn die Gesamtzahl Ihrer integrierten Administratoren, Domänenadministratoren und Unternehmensadministratoren in Ihrem selbstverwalteten AD a mehr als 5 beträgt. | Ihre selbstverwaltete AD-Umgebung sollte nicht über mehrere privilegierte Konten verfügen. Bevor Sie fortfahren, sollten Sie zu viele Administratorkonten entfernen. |
| Test der Anzahl privilegierter Benutzer | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Wird durchgeführt, wenn die Gesamtzahl Ihrer integrierten Administratoren, Domänenadministratoren und Unternehmensadministratoren in Ihrem selbstverwalteten AD a mehr als 5 beträgt. | Ihre selbstverwaltete AD-Umgebung sollte nicht über mehrere privilegierte Konten verfügen. Bevor Sie fortfahren, sollten Sie zu viele Administratorkonten entfernen. |
| NTLMTesten | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Tritt auf, wenn die Authentifizierung auf Ihrem selbstverwalteten AD aktiviert NTLMv1 ist. | NT LAN ManagerVersion 1 (NTLMv1) weist bekannte Sicherheitslücken auf und sollte nicht verwendet werden. Deaktivieren Sie es NTLMv1 auf Ihrem selbstverwalteten AD. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). |
| Tombstone Lifetime-Test | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Tritt auf, wenn die Tombstone-Lebensdauer auf Ihrem selbstverwalteten AD mehr als 180 Tage beträgt. | Die Tombstone-Lebensdauer ist die Anzahl der Tage, bevor ein gelöschtes Objekt entfernt wird. AD Der Tombstone-Lebenszeitwert für Ihr selbstverwaltetes AD sollte 180 Tage oder weniger betragen. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |