Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Alasan status pembuatan kepercayaan
<a name="ms_ad_troubleshooting_trusts"></a>

Jika pembuatan kepercayaan gagal untuk Microsoft AD yang AWS Dikelola, pesan status berisi informasi tambahan. Berikut ini dapat membantu Anda memahami apa arti pesan-pesan itu.

## Akses ditolak
<a name="access_denied"></a>

Akses ditolak ketika mencoba untuk membuat kepercayaan. Entah kata sandi kepercayaan salah atau pengaturan keamanan domain jarak jauh tidak memungkinkan kepercayaan untuk dikonfigurasi. Untuk informasi lebih lanjut tentang trust, lihat[Meningkatkan Efisiensi Kepercayaan dengan Nama Situs dan DCLocator](#enhancing-trust-site-names). Untuk menyelesaikan masalah ini, coba hal berikut:
+ Verifikasi bahwa Anda menggunakan kata sandi kepercayaan yang sama yang Anda gunakan saat membuat kepercayaan yang sesuai pada domain jarak jauh.
+ Verifikasi bahwa pengaturan keamanan domain Anda mengizinkan pembuatan kepercayaan.
+ Verifikasi bahwa kebijakan keamanan lokal Anda diatur dengan benar. Periksa secara khusus `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` dan pastikan bahwa itu berisi setidaknya tiga pipe bernama berikut:
  + netlogon
  + samr
  + lsarpc
+ Verifikasi bahwa pipa bernama di atas ada sebagai nilai pada kunci **NullSessionPipes**registri yang ada di jalur registri **HKLM\$1 SYSTEM\$1\$1 services\$1CurrentControlSet\$1 Parameters LanmanServer**. Nilai-nilai ini harus disisipkan pada baris yang terpisah.
**catatan**  
Secara default, `Network access: Named Pipes that can be accessed anonymously` tidak diatur dan akan menampilkan `Not Defined`. Ini adalah normal, sebagai pengendali domain efektif pengaturan default untuk `Network access: Named Pipes that can be accessed anonymously` adalah `netlogon`, `samr`, `lsarpc`.
+ Verifikasi Pengaturan Penandatanganan Blok Pesan Server (SMB) berikut dalam Kebijakan *Pengontrol Domain Default*. Pengaturan ini dapat ditemukan di bawah **Konfigurasi Komputer>** **Pengaturan Windows> Pengaturan** Keamanan> **Kebijakan Lokal/Opsi** **Keamanan**. Mereka harus cocok dengan pengaturan berikut: 
  + Microsoftklien jaringan: Komunikasi tanda tangani secara digital (selalu): Default: Diaktifkan
  + Microsoftserver jaringan: Komunikasi tanda tangani secara digital (selalu): Diaktifkan

### Meningkatkan Efisiensi Kepercayaan dengan Nama Situs dan DCLocator
<a name="enhancing-trust-site-names"></a>

Nama Situs Pertama seperti Default-First-Site-Name bukan persyaratan untuk membangun hubungan kepercayaan antar domain. Namun, menyelaraskan nama situs antar domain dapat secara signifikan meningkatkan efisiensi proses Domain Controller Locator ()DCLocator. Penyelarasan ini meningkatkan prediksi dan pengendalian pemilihan pengendali domain di seluruh perwalian hutan.

 DCLocator Proses ini sangat penting untuk menemukan pengontrol domain di berbagai domain dan hutan. Untuk informasi lebih lanjut tentang DCLocator proses, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-location-issues). Konfigurasi situs yang efisien memungkinkan lokasi pengontrol domain yang lebih cepat dan akurat, yang mengarah pada kinerja dan keandalan yang lebih baik dalam operasi lintas hutan. 

Untuk informasi selengkapnya tentang cara nama situs dan DCLocator proses berinteraksi, lihat Microsoft artikel berikut:
+ [Bagaimana Pengontrol Domain Berlokasi di Seluruh Perwalian](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/how-domain-controllers-are-located-across-trusts/ba-p/256180)
+ [Pencari Lokasi Domain Lintas Hutan](https://techcommunity.microsoft.com/blog/askds/domain-locator-across-a-forest-trust/395689)

## Nama domain yang ditentukan tidak ada atau tidak dapat dihubungi
<a name="no_domain_name"></a>

Untuk mengatasi masalah ini, pastikan pengaturan grup keamanan untuk domain dan daftar kontrol akses (ACL) untuk VPC Anda sudah benar dan Anda telah memasukkan informasi untuk forwarder bersyarat Anda secara akurat. AWS mengkonfigurasi grup keamanan untuk membuka hanya port yang diperlukan untuk komunikasi Active Directory. Dalam konfigurasi default, grup keamanan menerima lalu lintas ke port-port ini dari alamat IP mana pun. Lalu lintas keluar dibatasi untuk grup keamanan. Anda perlu memperbarui aturan keluar pada grup keamanan untuk mengizinkan lalu lintas ke jaringan on-premise Anda. Untuk informasi lebih lanjut tentang persyaratan keamanan, silakan lihat[Langkah 2: Siapkan Microsoft AD yang AWS Dikelola](ms_ad_tutorial_setup_trust_prepare_mad.md).

![\[Edit grup keamanan\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/edit_security_group.png)


Jika server DNS untuk jaringan direktori lain menggunakan alamat IP publik (non-RFC 1918), Anda perlu menambahkan rute IP pada direktori dari konsol Directory Services untuk Server DNS. Untuk informasi selengkapnya, lihat [Membuat, memverifikasi, atau menghapus hubungan kepercayaan](ms_ad_setup_trust.md#trust_steps) dan [Prasyarat](ms_ad_setup_trust.md#trust_prereq).

Internet Assigned Numbers Authority (IANA) telah menyediakan tiga blok dari ruang alamat IP berikut untuk internet pribadi:
+ 10.0.0.0 - 10.255.255.255 (prefiks 10/8)
+ 172.16.0.0 - 172.31.255.255 (prefiks 172.16/12)
+ 192.168.0.0 - 192.168.255.255 (prefiks 192.168/16)

Untuk informasi lebih lanjut, lihat [https://tools.ietf.org/html/rfc1918](https://tools.ietf.org/html/rfc1918).

Verifikasi bahwa **Nama Situs AD Default** untuk iklan Microsoft AWS Terkelola cocok dengan **Nama Situs AD Default** di infrastruktur lokal Anda. Komputer menentukan nama situs menggunakan domain yang di mana komputer adalah anggota, bukan domain pengguna. Mengganti nama situs agar sesuai dengan on-premise terdekat memastikan pencari lokasi DC akan menggunakan pengendali domain dari situs terdekat. Jika ini tidak menyelesaikan masalah, ada kemungkinan bahwa informasi dari penerus bersyarat yang dibuat sebelumnya telah di-cache, mencegah pembuatan kepercayaan baru. Tunggu beberapa menit, dan kemudian coba buat kepercayaan dan penerus bersyarat lagi.

Untuk informasi selengkapnya tentang cara kerjanya, lihat [Domain Locator Across a Forest Trust](https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/domain-locator-across-a-forest-trust/ba-p/395689) di Microsoft situs web.

![\[Nama default situs pertama\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/default_first_site_name.png)


## Operasi tidak dapat dilakukan pada domain ini
<a name="operationfailedondomain"></a>

Untuk mengatasi hal ini, pastikan kedua domain / direktori tidak memiliki nama NETBIOS yang tumpang tindih. Jika domain / direktori memiliki nama NETBIOS yang tumpang tindih, buat kembali salah satu dari mereka dengan nama NETBIOS yang berbeda, dan kemudian coba lagi.

## Pembuatan kepercayaan gagal karena kesalahan “Nama domain yang diperlukan dan valid”
<a name="trustcreationfailing"></a>

Nama DNS hanya bisa berisi karakter abjad (A-Z), karakter numerik (0-9), tanda minus (-), dan titik (.). Karakter titik diperbolehkan hanya ketika mereka digunakan untuk membatasi komponen nama gaya domain. Juga, pertimbangkan hal berikut:
+ AWS Microsoft AD yang dikelola tidak mendukung kepercayaan dengan domain label tunggal. Untuk informasi selengkapnya, lihat [Microsoftdukungan untuk Domain Label Tunggal](https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/single-label-domains-support-policy).
+ Menurut RFC 1123 ([https://tools.ietf.org/html/rfc1123](https://tools.ietf.org/html/rfc1123)), satu-satunya karakter yang dapat digunakan dalam label DNS adalah “A” hingga “Z”, “a” hingga “z”, “0" hingga “9", dan tanda hubung (“-”). Titik [.] juga digunakan dalam nama DNS, tetapi hanya antara label DNS dan pada akhir dari FQDN.
+ Menurut RFC 952 ([https://tools.ietf.org/html/rfc952](https://tools.ietf.org/html/rfc952)), “nama” (Net, Host, Gateway, atau nama Domain) adalah string teks hingga 24 karakter yang diambil dari alfabet (A-Z), digit (0-9), tanda minus (-), dan titik (.). Perhatikan bahwa titik hanya diperbolehkan ketika berfungsi untuk membatasi komponen “nama gaya domain”.

Untuk informasi selengkapnya, lihat [Mematuhi Pembatasan Nama untuk Host dan Domain di Microsoft situs web](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc959336(v=technet.10)).

## Alat umum untuk menguji kepercayaan
<a name="trusttroubleshootingtools"></a>

Berikut ini adalah alat yang dapat digunakan untuk memecahkan berbagai masalah terkait kepercayaan.

**AWS Alat pemecahan masalah Otomasi Systems Manager**

[Support Automation Workflows (SAW)](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-walk-support.html) memanfaatkan AWS Systems Manager Automation untuk memberi Anda runbook yang telah ditentukan sebelumnya. Directory Service Alat [AWSSupport-TroubleshootDirectoryTrust](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-awssupport-troubleshootdirectorytrust.html)runbook membantu Anda mendiagnosis masalah pembuatan kepercayaan umum antara Microsoft AD yang AWS Dikelola dan Direktori Microsoft Aktif lokal.

**DirectoryServicePortTest alat**

Alat [DirectoryServicePortTest](samples/DirectoryServicePortTest.zip)pengujian dapat membantu saat memecahkan masalah pembuatan kepercayaan antara AWS Microsoft AD yang Dikelola dan Direktori Aktif lokal. Sebagai contoh tentang bagaimana alat dapat digunakan, lihat [Uji AD Connector Anda](ad_connector_getting_started.md#connect_verification).

**Alat NETDOM dan NLTEST**

Administrator dapat menggunakan alat baris perintah **Netdom** dan **Nltest** untuk menemukan, menampilkan, membuat, menghapus, dan mengelola kepercayaan. Alat-alat ini berkomunikasi secara langsung dengan otoritas LSA pada pengendali domain. Untuk contoh tentang cara menggunakan alat ini, lihat [Netdom](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc772217(v=ws.11)) dan [NLTEST](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc731935(v=ws.11)) di situs web. Microsoft

**Alat penangkap paket**

Anda dapat menggunakan utilitas pengambilan paket Windows bawaan untuk menyelidiki dan memecahkan masalah jaringan potensial. Untuk informasi selengkapnya, lihat [Mengambil Jejak Jaringan tanpa menginstal apa pun](https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503).