Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Informazioni su AWS Managed Microsoft AD (Hybrid Edition)
<a name="aws-hybrid-directory"></a>

*AWS Managed Microsoft AD (Hybrid Edition)* consente di estendere l'Active Directory esistente Cloud AWS con AWS Managed Microsoft AD. Questa funzionalità semplifica lo spostamento dei carichi di lavoro dipendenti dalla pubblicità AWS, l'adozione di AWS servizi e l'aumento della ridondanza in Active Directory. AWS eseguirà periodicamente valutazioni delle directory sulla directory ibrida che è possibile visualizzare nella console. Directory Service 

Una directory ibrida Directory Service collega l'utente esistente *Microsoft Active Directory*a *AWS Directory Service for Microsoft Active Directory* (AWS Managed Microsoft AD). Questo crea un ambiente di identità integrato che comprende l'infrastruttura locale e multi-cloud AWS, che consente di mantenere un'unica fonte di identità estendendo al contempo i servizi di directory. AWS

Una configurazione di directory ibrida offre diverse funzionalità importanti:
+ Estensione di AD autogestito a Cloud AWS senza la necessità di stabilire una relazione di fiducia
+ Autenticazione e autorizzazione senza interruzioni in tutti gli ambienti utilizzando le credenziali Active Directory esistenti
+ Credenziali utente e appartenenza ai gruppi coerenti in entrambi gli ambienti AD
+ Gestione centralizzata delle politiche e delle autorizzazioni di accesso AD

**Topics**
+ [Prerequisiti della directory ibrida](create_hybrid_directory_prereqs.md)
+ [Creazione di una directory ibrida](hybrid_directory_create.md)
+ [Visualizzazione e modifica di una directory ibrida](hybrid_directory_view_and_edit.md)
+ [Eliminazione di una directory ibrida](hybrid_directory_delete.md)
+ [Valutazioni delle directory per directory ibride](hybrid_directory_assessment.md)
+ [Risoluzione dei problemi relativi alla directory ibrida e alla valutazione delle directory](hybrid_directory_troubleshooting.md)

# Prerequisiti della directory ibrida
<a name="create_hybrid_directory_prereqs"></a>

La directory ibrida estende la tua Active Directory autogestita a. Cloud AWS Prima di creare una directory ibrida, assicurati che il tuo ambiente soddisfi questi requisiti:

## Microsoft Active Directoryrequisiti del dominio
<a name="create_hybrid_directory_prereqs-ad-domain"></a>

Prima di creare una directory ibrida, assicurati che l'ambiente e l'infrastruttura AD autogestiti soddisfino i seguenti requisiti e raccogli le informazioni necessarie.

### Requisiti del dominio
<a name="domain_requirements"></a>

L'ambiente AD autogestito deve soddisfare i seguenti requisiti:
+ Utilizza un livello 2016 funzionale Windows Server 2012 R2 or.
+ Utilizza controller di dominio standard da valutare per la creazione di directory ibride. I controller di dominio di sola lettura (RODC) non possono essere utilizzati per la creazione di directory ibride.
+ Dispone di due controller di dominio con tutti i servizi Active Directory in esecuzione.
+ Il controller di dominio primario (PDC) deve essere sempre instradabile.

  In particolare, l'emulatore PDC e il RID Master IPs dell'AD autogestito devono rientrare in una di queste categorie:
  + Parte degli intervalli di indirizzi IP RFC1918 privati (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16)
  + All'interno della tua gamma VPC CIDR
  + Abbina il DNS IPs delle tue istanze autogestite alla directory

  È possibile aggiungere percorsi IP aggiuntivi per la directory dopo la creazione della directory ibrida.

### Informazioni obbligatorie
<a name="required_information"></a>

Raccogli le seguenti informazioni sul tuo AD autogestito:
+ Nome DNS directory
+ Directory DNS IPs
+ Credenziali dell'account di servizio con autorizzazioni di amministratore per il tuo AD autogestito
+ AWS ARN segreto per l'archiviazione delle credenziali dell'account di servizio (vedi) [AWS ARN segreto per directory ibrida](#aws_secret_arn_for_hybrid)

### AWS ARN segreto per directory ibrida
<a name="aws_secret_arn_for_hybrid"></a>

Per configurare una directory ibrida con il tuo AD autogestito, devi creare una chiave KMS per crittografare il AWS segreto e quindi creare il segreto stesso. Entrambe le risorse devono essere create nella stessa Account AWS che contiene la directory ibrida.

#### Crea una chiave KMS
<a name="create_kms_key_for_hybrid"></a>

La chiave KMS viene utilizzata per crittografare il tuo segreto. AWS 

**Importante**  
In **Chiave crittografia**, non utilizzare la chiave KMS  AWS predefinita. Assicurati di creare la chiave AWS KMS nella stessa Account AWS che contiene la directory ibrida che desideri creare per unirti al tuo AD autogestito.

**Per creare una chiave KMS AWS**

1. Nella AWS KMS console, scegli **Crea chiave**.

1. In **Tipo di chiave**, scegli **Simmetrica**.

1. In **Utilizzo delle chiavi**, scegli **Crittografa e decrittografa**.

1. In **Advanced options (Opzioni avanzate)**:

   1. In **Origine materiale chiave**, scegli **KMS**.

   1. **Per **Regionalità**, scegli la **chiave Single-Region** e scegli Avanti.**

1. In **Alias**, fornisci un nome per la chiave KMS.

1. (Facoltativo) In **Descrizione**, immetti una descrizione per la chiave KMS.

1. **(Facoltativo) Per i **tag**, aggiungi i tag per la chiave KMS e scegli Avanti.**

1. Per **gli amministratori chiave**, seleziona un utente IAM.

1. **Per l'**eliminazione della chiave**, mantieni la selezione predefinita per **Consenti agli amministratori chiave di eliminare questa chiave** e scegli Avanti.**

1. Per **gli utenti chiave**, seleziona lo stesso utente IAM del passaggio precedente e scegli **Avanti**.

1. Riesamina la configurazione.

1. Per **Key policy**, aggiungi la seguente dichiarazione alla policy:

1. Scegli **Fine**.

#### Crea un AWS segreto
<a name="create_aws_secret_for_hybrid"></a>

Crea un segreto in Secrets Manager per archiviare le credenziali del tuo account utente AD autogestito.

**Importante**  
Crea il segreto nella stessa Account AWS che contiene la directory ibrida a cui desideri unire con il tuo AD autogestito.

Per creare un segreto
+ In Secrets Manager, scegli **Memorizza un nuovo segreto**
+ Per **Tipo segreto**, scegli **Altro tipo di segreto**
+ In **Coppie chiave/valore**, aggiungi le due chiavi:

1. <a name="add_username_key"></a>Aggiungi la chiave del nome utente

   1. Per la prima chiave, immetti `customerAdAdminDomainUsername`.

   1. Per il valore della prima chiave, immetti solo il nome utente (senza il prefisso di dominio) dell’utente AD. Non includere il nome di dominio in quanto impedisce la creazione dell’istanza.

1. <a name="add_password_key"></a>Aggiungi la chiave della password

   1. Per la seconda chiave, immetti `customerAdAdminDomainPassword`.

   1. Per il valore della seconda chiave, immetti la password creata per l'utente AD nel dominio.

##### Completa la configurazione segreta
<a name="complete_secret_configuration"></a>

1. Per la **chiave di crittografia**, seleziona la chiave KMS che hai creato [Crea una chiave KMS](#create_kms_key_for_hybrid) e scegli **Avanti**.

1. Per **Nome segreto**, inserisci una descrizione per il segreto.

1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il segreto.

1. Scegli **Next (Successivo)**.

1. In **Configura impostazioni di rotazione**, non modificare i valori predefiniti e scegli **Avanti**.

1. Controlla le impostazioni del segreto e scegli **Store**.

1. Scegli il segreto creato e copia il valore in **ARN secreto**. Utilizzerai questo ARN nel passaggio successivo per configurare la tua Active Directory autogestita.

### Requisiti di infrastruttura
<a name="infrastructure_requirements"></a>

Prepara i seguenti componenti dell'infrastruttura:
+ Due AWS Systems Manager nodi con privilegi di amministratore per gli agenti SSM
  + Se la tua Active Directory è **gestita automaticamente all'esterno di Cloud AWS**, avrai bisogno di due nodi Systems Manager per un ambiente ibrido e multicloud. Per ulteriori informazioni su come effettuare il provisioning di questi nodi, vedere [Configurazione di Systems Manager per ambienti ibridi e multicloud](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
  + Se la tua Active Directory è **gestita automaticamente all'interno** di Cloud AWS, avrai bisogno di due istanze EC2 gestite da Systems Manager. Per ulteriori informazioni su come effettuare il provisioning di queste istanze, consulta [Gestione delle istanze EC2 con Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

## Servizi Active Directory richiesti
<a name="create_hybrid_directory_prereqs-ad-services"></a>

Assicurati che i seguenti servizi siano in esecuzione sul tuo AD autogestito:
+ Servizi di dominio Active Directory
+ Servizio Web Active Directory (ADWS)
+ Sistema di eventi COM\$1
+ Distributed File System Replication (DFSR)
+ Domain Name System (DNS)
+ Server DNS
+ Client di policy di gruppo
+ Messaggistica tra siti
+ Chiamata di procedura remota (RPC)
+ Gestore degli account di sicurezza
+ Time Server di Windows
**Nota**  
La directory ibrida richiede che sia la porta UDP 123 sia aperta sia che Windows Time Server sia abilitato e funzionante. Sincronizziamo l'ora con il controller di dominio per garantire che la replica delle directory ibride funzioni correttamente.

## Requisiti di autenticazione Kerberos
<a name="create_hybrid_directory_prereqs-ad-kerberos"></a>

I tuoi account utente devono avere la preautenticazione Kerberos abilitata. Per istruzioni dettagliate su come abilitare questa impostazione, consulta [Assicurarsi che la preautenticazione Kerberos](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos) sia abilitata. [Per informazioni generali su questa impostazione, vai a Preautenticazione attiva.](http://technet.microsoft.com/en-us/library/cc961961.aspx) Microsoft TechNet

## Tipi di crittografia supportati
<a name="create_hybrid_directory_prereqs-encryption"></a>

la directory ibrida supporta i seguenti tipi di crittografia durante l'autenticazione tramite Kerberos nei controller di dominio Active Directory:
+ AES-256-HMAC

## Requisiti delle porte di rete
<a name="create_hybrid_directory_prereqs-ports"></a>

 AWS Per estendere i controller di dominio Active Directory autogestiti, il firewall della rete esistente deve avere le seguenti porte aperte CIDRs per entrambe le sottoreti del tuo Amazon VPC:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - autenticazione Kerberos
+ UDP 123: server temporale
+ TCP 135 - Chiamata di procedura remota
+ TCP/UDP 389 - LDAP
+ TCP 445 - SMB
+ TCP 636 - Necessario solo per ambienti con Lightweight Directory Access Protocol Secure (LDAPS)
+ TCP 49152-65535 - Porte TCP elevate allocate casualmente da RPC
+ TCP 3268 e 3269 - Catalogo globale
+ Servizi Web Active Directory (ADWS) TCP 9389

Queste sono le porte minime necessarie per creare una directory ibrida. La propria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive.

**Nota**  
Il DNS IPs fornito per i controller di dominio e i titolari di ruoli FSMO deve avere le porte di cui sopra aperte CIDRs per entrambe le sottoreti in Amazon VPC.

**Nota**  
La directory ibrida richiede che sia la porta UDP 123 sia aperta sia che Windows Time Server sia abilitato e funzionante. Sincronizziamo l'ora con il controller di dominio per garantire che la replica delle directory ibride funzioni correttamente.

## Account AWS autorizzazioni
<a name="hybrid-dir-prereq-perms"></a>

Avrai bisogno delle autorizzazioni per le seguenti azioni nel tuo: Account AWS
+ ec2: AuthorizeSecurityGroupEgress
+ ec2: AuthorizeSecurityGroupIngress
+ ec2: CreateNetworkInterface
+ ec2: CreateSecurityGroup
+ ec2: DescribeNetworkInterfaces
+ ec2: DescribeSubnets
+ ec2: DescribeVpcs
+ ec2: CreateTags
+ ec2: CreateNetworkInterfacePermission
+ ssm: ListCommands
+ ssm: GetCommandInvocation
+ ssm: GetConnectionStatus
+ ssm: SendCommand
+ gestore dei segreti: DescribeSecret
+ gestore dei segreti: GetSecretValue
+ sono: GetRole
+ Io sono: CreateServiceLinkedRole

## Requisiti di rete Amazon VPC
<a name="hybrid-dir-prereqs-vpc"></a>

Un VPC con quanto segue:
+ Almeno due sottoreti. Ciascuna sottorete deve trovarsi in una zona di disponibilità diversa
+ Il VPC deve avere una locazione predefinita

Non è possibile creare una directory ibrida in un VPC utilizzando gli indirizzi nello spazio di indirizzi 198.18.0.0/15.

Directory Service utilizza una struttura a due VPC. Le istanze EC2 che compongono la tua directory vengono eseguite all'esterno della tua Account AWS e sono gestite da. AWS Hanno due schede di rete, `ETH0` e `ETH1`. `ETH0` è la scheda di gestione ed è al di fuori del tuo account. `ETH1` viene creata all'interno dell'account.

L'intervallo IP di gestione della ETH0 rete per la tua directory è. `198.18.0.0/15`

Per ulteriori informazioni, consulta gli argomenti seguenti nella *Guida per l'utente di Amazon VPC*:
+ [Cos’è Amazon VPC?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [Cos’è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs e sottoreti](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [Che cos'è AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)

Per ulteriori informazioni su AWS Direct Connect, consulta la sezione [Cos'è? AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

## AWS configurazione del gruppo di sicurezza
<a name="hybrid-dir-prereqs-security-group"></a>

Per impostazione predefinita, AWS collega un gruppo di sicurezza per consentire l'accesso di rete ai nodi AWS Systems Manager gestiti nel tuo VPC. Facoltativamente, puoi fornire il tuo gruppo di sicurezza che consente il traffico di rete da e verso i controller di dominio autogestiti al di fuori del tuo VPC.

Facoltativamente, puoi fornire il tuo gruppo di sicurezza che consente il traffico di rete da e verso i controller di dominio autogestiti al di fuori del tuo VPC. Se fornisci il tuo gruppo di sicurezza, devi:
+ Consenti l'elenco dei tuoi VPC CIDR intervalli e degli intervalli autogestiti.
+ [Assicurati che questi intervalli non si sovrappongano agli intervalli IP riservati AWS](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) 

## Considerazioni sulle valutazioni degli elenchi
<a name="hybrid-dir-prereqs-assessments"></a>

Di seguito sono riportate le considerazioni da prendere in considerazione per la creazione di valutazioni relative agli elenchi e il numero di valutazioni che è possibile inserire nel proprio elenco: Account AWS
+ Una valutazione delle directory viene creata automaticamente quando si crea una directory ibrida. Esistono due tipi di valutazioni: `CUSTOMER` e`SYSTEM`. Hai Account AWS un limite di 100 valutazioni nell'`CUSTOMER`elenco.
+ Se si tenta di creare una directory ibrida e si dispone già di 100 valutazioni di `CUSTOMER` directory, si verificherà un errore. Elimina le valutazioni per liberare capacità prima di riprovare.
+ Puoi richiedere un aumento della quota di valutazione dell'`CUSTOMER`elenco contattando Supporto o eliminando le valutazioni esistenti nell'elenco CUSTOMER per liberare spazio.

# Creazione di una directory ibrida
<a name="hybrid_directory_create"></a>

Prima di creare una directory ibrida, è necessario creare e superare con successo una valutazione della directory che verifichi la connettività e l'interoperabilità con l'Active Directory autogestito

## Creazione di una directory ibrida con AD autogestito
<a name="creating_hybrid_directory"></a>

Segui questi passaggi per creare una directory ibrida con il tuo AD autogestito:

**Per creare una directory ibrida**

1. Apri la Directory Service console per la regione desiderata.

1. Nella pagina **Seleziona il tipo di directory**, scegli **AWS Managed Microsoft AD**.

1. In **Guida introduttiva AWS a Managed Microsoft AD**, seleziona **Estendi il tuo dominio AD con una directory ibrida — new**, quindi scegli **Avanti**. Verrai indirizzato alla pagina di **valutazione Create directory**.

1. Prima di poter creare una directory ibrida, è necessario creare e superare con successo una valutazione della directory. Per creare una valutazione delle directory, segui la procedura riportata di seguito[Creazione di valutazioni degli elenchi](create_directory_assessment.md). Dopo aver superato con successo una valutazione delle directory, è possibile continuare con questa procedura.

1. Dopo aver superato con successo una valutazione delle directory, accedi alla pagina **Elenchi**.

1. **Nella pagina **Elenchi**, in **Trial hybrid directory assessments**, scegli un **ID di valutazione** con uno stato di.** `SUCCESS` Quindi seleziona **Crea una directory ibrida**, che ti indirizza alla pagina dei dettagli della valutazione

1. Nella pagina dei dettagli della valutazione, conferma questa azione selezionando **Crea directory ibrida**, che apre la pagina **Crea directory ibrida utilizzando assessment-id**.

1. Nella pagina **Crea una directory ibrida utilizzando assessment-id**, **esamina** le informazioni di Active Directory autogestita. **Dopo aver confermato le informazioni, seleziona Crea directory ibrida.**

   Dopo aver scelto **Crea directory ibrida**, AWS esegue un'altra valutazione della directory basata su queste informazioni per confermare che la configurazione AD autogestita è ancora valida. Se la valutazione della directory ha esito positivo, creiamo la directory ibrida.

1. Scegliendo **Crea una directory ibrida** si torna alla pagina **Directory**.

   1. Una volta creata correttamente la directory ibrida, verrà visualizzato un banner verde.

   1. Se la creazione della directory ibrida non riesce, verrà visualizzato un banner rosso. Risolvi gli errori di creazione della directory ibrida completando quanto segue:

      1. Eliminare la directory ibrida non riuscita nella console.

      1. Elimina eventuali AWS riserve rimanenti OUs nel tuo AD autogestito.

   **Ulteriori informazioni**
   + [Eliminazione di una directory ibrida](hybrid_directory_delete.md)
   + [Risoluzione dei problemi](hybrid_directory_troubleshooting.md)

# Visualizzazione e modifica di una directory ibrida
<a name="hybrid_directory_view_and_edit"></a>

Utilizza le seguenti procedure per visualizzare o modificare la tua directory ibrida.

## Visualizzazione di una directory ibrida
<a name="viewing_hybrid_dir"></a>

È possibile visualizzare una directory ibrida nella Directory Service console.

**Per visualizzare informazioni dettagliate sulla directory**

1. Nel riquadro di navigazione [Directory Service console](https://console.aws.amazon.com/directoryservicev2/), scegliere **Directories (Directory)**.

1. Seleziona il collegamento dell'ID per la tua directory. Le informazioni sulla directory vengono visualizzate nella pagina dei **dettagli della directory**.

### Informazioni su Active Directory gestite automaticamente
<a name="self-managed-active-directory-information"></a>

Questa sezione fornisce informazioni sull'Active Directory autogestito collegato all' AWS infrastruttura.
+ Tipo di directory
+ ID della directory
+ Stato della directory
+ Dettagli di rete per il tuo AD autogestito, ad esempio:
  + VPC
  + Sottoreti
  + Indirizzi DNS
+ Nodi gestiti da Systems Manager

### Schede di directory ibride
<a name="hybrid_directory_tabs"></a>

Puoi trovare le seguenti informazioni su AWS Managed Microsoft AD:
+ Nella scheda **Condividi e condividi**, puoi condividere il tuo AWS Managed Microsoft AD con altri AWS account e visualizzare i dettagli di rete per i tuoi controller di dominio.
+ Nella scheda **Gestione applicazioni**, puoi abilitare un URL di accesso all'applicazione per AWS Managed Microsoft AD e abilitare AWS applicazioni e servizi per AWS Managed Microsoft AD.
+ Nella scheda **Manutenzione**, puoi consentire a SNS di ricevere notifiche sullo stato di AWS Managed Microsoft AD e rivedere le istantanee di Managed AWS Microsoft AD.
+ Per ulteriori informazioni sul campo **Status** (Stato), consultare [Informazioni sullo stato della directory AWS Managed Microsoft AD](ms_ad_directory_status.md).

## Aggiornamento di una directory ibrida
<a name="editing_hybrid_dir"></a>

È possibile aggiornare una directory ibrida nella Directory Service console per modificare le impostazioni DNS o ripristinare l'accesso all'account amministratore.

**Per aggiornare le informazioni sulla directory ibrida**

1. Nel riquadro di navigazione [Directory Service console](https://console.aws.amazon.com/directoryservicev2), scegliere **Directories (Directory)**.

1. Scegliete il collegamento all'ID della directory per aprire la pagina dei **dettagli della directory**.

1. Scegli **Azioni**, quindi scegli **Aggiorna le informazioni della directory ibrida**.

1. Nella pagina **Aggiorna le informazioni della directory ibrida**, puoi aggiornare le impostazioni DNS o ripristinare il tuo account amministratore.

   **Aggiorna le impostazioni DNS (opzionale)**

   In **Informazioni su Active Directory autogestite**, puoi modificare quanto segue:

   1. **Nome DNS della directory**

   1. **Indirizzi IP DNS**

   È possibile aggiornare entrambe le impostazioni insieme o singolarmente. È necessaria almeno una modifica per il processo di aggiornamento.

1. **Recupera l'account dell'amministratore della directory ibrida**

   Per ripristinare l'account di amministratore della directory ibrida, è necessario l'accesso temporaneo a un utente. Questo accesso viene fornito tramite un segreto di Secrets Manager. Utilizziamo queste credenziali solo una volta durante il ripristino e non le archiviamo. Se il tuo account di amministratore di Hybrid Directory esiste, non è necessario aggiornare questo segreto, anche se hai aggiornato l'utente amministratore di Active Directory autogestito.

   1. **Credenziali di amministratore segrete**: creiamo un account amministratore di directory ibrida quando creiamo una directory ibrida. Se hai eliminato questo segreto, inserisci il tuo segreto di Secrets Manager per l'utente amministratore di AD autogestito.

# Eliminazione di una directory ibrida
<a name="hybrid_directory_delete"></a>

Quando si elimina una directory ibrida, tutti i dati e le istantanee della directory vengono eliminati e non possono essere recuperati. Dopo l'eliminazione della directory, tutte le istanze unite alla directory rimangono intatte. Tuttavia, non è possibile utilizzare le credenziali della directory per accedere a queste istanze. È necessario accedere a queste istanze con un account utente locale.

**Eliminazione di una directory**

1. Nel riquadro di navigazione della [console Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**. Assicurati di trovarti nel luogo in Regione AWS cui è distribuita la tua directory ibrida. Per ulteriori informazioni, consulta [Scelta di una regione.](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)

1. Assicurati che nessuna AWS applicazione sia abilitata per la directory che intendi eliminare. AWS Le applicazioni abilitate impediranno di eliminare la directory ibrida.

1. Nella pagina **Directories** (Directory), scegli l'ID della directory.

1. Nella pagina **Directory details (Dettagli della directory)**, seleziona la scheda **Application management (Gestione dell'applicazione)**. Nella sezione **AWS app e servizi**, puoi vedere quali AWS applicazioni sono abilitate per la tua directory.

   1. Disabilita Console di gestione AWS l'accesso. Per ulteriori informazioni, vedere [Disabilitazione dell'accesso alla console AWS di gestione](https://docs.aws.amazon.com/ms_ad_management_console_access.xml).

   1. Per disabilitare Amazon FSx for Windows File Server, devi rimuovere il FSx file system Amazon dal dominio. Per ulteriori informazioni, consulta [Working with Active Directory in FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) nella *Amazon FSx for Windows File Server User Guide*.

   1. Per disabilitare Amazon Relational Database Service, devi rimuovere l'istanza Amazon RDS dal dominio. Per ulteriori informazioni, consulta [Gestione di un'istanza database in un dominio](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) nella *Guida per l'utente di Amazon RDS*.

1. Nel riquadro di navigazione, seleziona **Directory**.

1. Seleziona solo la directory da eliminare e scegli **Elimina**. Sono necessari alcuni minuti per l'eliminazione della directory. Una volta eliminata la directory, viene rimossa dal tuo elenco di directory.

1. Elimina manualmente tutti gli oggetti del controller di dominio rimanenti, inclusi eventuali oggetti AWS riservati OUs. È possibile eliminare l'intera directory AWS riservata per completare la pulizia dell'ambiente. 

# Valutazioni delle directory per directory ibride
<a name="hybrid_directory_assessment"></a>

Una valutazione delle directory esamina l'ambiente Active Directory autogestito per assicurarsi che soddisfi i requisiti per la creazione di una directory ibrida. Questa valutazione verifica la connettività di rete, la configurazione dei controller di dominio e i servizi richiesti per aiutare a identificare e risolvere potenziali problemi prima di stabilire una connessione tra AD autogestito e. Directory Service

Esistono due tipi di valutazione delle directory:
+ *`CUSTOMER`valutazioni*: avviate dall'utente nella console quando si inizia a configurare una directory ibrida. Puoi eliminare le valutazioni dell'elenco clienti, anche mentre sono in corso. Puoi avere fino a 100 valutazioni dei clienti.
+ *`SYSTEM`valutazioni*: create automaticamente AWS ed eseguite periodicamente dopo una creazione riuscita. Non puoi eliminare le `SYSTEM` valutazioni.

Le valutazioni delle directory forniscono informazioni preziose sulla fattibilità dell'ambiente, tra cui:
+ Connettività tra AD autogestito e AWS
+ Disponibilità dei servizi richiesti sui controller di dominio
+ Compatibilità della configurazione con i requisiti del AWS Directory Service
+ Potenziali problemi che potrebbero impedire la corretta creazione di directory ibride

Prima di poter creare una directory ibrida, è necessaria una valutazione corretta (superata) della directory. Se una valutazione fallisce, puoi visualizzare il rapporto dettagliato per identificare e risolvere i problemi prima di riprovare. AWS elimina le `SYSTEM` valutazioni dopo 30 giorni.

**Topics**
+ [Creazione di valutazioni degli elenchi](create_directory_assessment.md)
+ [Visualizzazione delle valutazioni delle directory](viewing_hybrid_dir_assessment.md)
+ [Eliminazione delle valutazioni delle directory](deleting_hybrid_dir_assessment.md)

# Creazione di valutazioni degli elenchi
<a name="create_directory_assessment"></a>

È possibile creare una valutazione delle directory come parte della creazione di una directory ibrida oppure crearne una manualmente. Per creare una valutazione manualmente, apri la Directory Service console all'indirizzo [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/). Nella pagina **Elenchi**, nella sezione **Valutazioni degli elenchi**, scegli **Crea** valutazione.

**Per creare una valutazione dell'elenco**

1. Nella pagina di **valutazione Create directory**, per **Directory DNS name, inserisci il tuo nome DNS** Active Directory autogestito.

1. Per **gli indirizzi IP DNS, inserisci due indirizzi IP** DNS per il tuo AD autogestito.

1. La directory ibrida richiede un Amazon VPC con almeno due sottoreti. Se non li possiedi già, puoi crearli. Nella sezione **Rete**, fornisci quanto segue:

   1. Per **VPC, scegli il tuo** identificatore VPC.

   1. Per le **sottoreti**, scegli l'identificatore per ciascuna delle due sottoreti. Ogni sottorete deve trovarsi in zone di disponibilità diverse. Per ulteriori informazioni, consulta [Requisiti di rete Amazon VPC](create_hybrid_directory_prereqs.md#hybrid-dir-prereqs-vpc).

   1. Per **Gruppo di sicurezza**, scegli l'identificatore del gruppo di sicurezza. Per impostazione predefinita, AWS collega un gruppo di sicurezza per consentire l'accesso di rete ai nodi Gestione dei segreti AWS gestiti nel tuo Amazon VPC. Facoltativamente, puoi fornire il tuo gruppo di sicurezza che consente il traffico di rete da e verso i controller di dominio autogestiti al di fuori del tuo Amazon VPC.

1. Nella sezione **AWS Systems Manager nodi**, scegli due nodi o istanze di Systems Manager in base ai seguenti requisiti:
   + Se la tua Active Directory è **gestita automaticamente all'esterno di Cloud AWS**, avrai bisogno di due nodi Systems Manager per un ambiente ibrido e multicloud. Per ulteriori informazioni su come effettuare il provisioning di questi nodi, vedere [Configurazione di Systems Manager per ambienti ibridi e multicloud](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
   + Se Active Directory è **gestita automaticamente all'interno** di Cloud AWS, saranno necessarie due EC2 istanze gestite di Systems Manager. Per ulteriori informazioni su come effettuare il provisioning di queste istanze, vedere [Gestione delle EC2 istanze con Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).

1. Scegliete **Avanti** per aprire la pagina di **valutazione Review and create directory**.

1. Nella pagina **Rivedi e crea una directory assessment**, esamina le informazioni sulla valutazione della directory e apporta le modifiche necessarie. Quando le informazioni sono corrette, scegli **Crea valutazione**. La creazione della valutazione della directory richiede circa 30 minuti. Verrai reindirizzato alla pagina dei dettagli degli elenchi. Quando la valutazione della directory ha esito positivo, viene visualizzato un banner verde.
**avvertimento**  
Per creare una directory ibrida, la valutazione della directory deve inserire lo stato SUCCESS. Non è possibile creare una directory ibrida senza aver prima superato con successo una valutazione della directory.

# Visualizzazione delle valutazioni delle directory
<a name="viewing_hybrid_dir_assessment"></a>

È possibile visualizzare le valutazioni dell'elenco Console di gestione AWS per esaminare i risultati delle valutazioni e gestire i report di valutazione.

**Per visualizzare una valutazione dell'elenco**

1. Apri la Directory Service console all'indirizzo [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Nella pagina **Elenchi**, nella sezione **Trial hybrid directory assessments**, scegli la valutazione che desideri visualizzare. Verrà aperta la pagina dei dettagli della valutazione.

1. Nella pagina dei dettagli della valutazione, puoi scegliere:
   + **Scarica** per scaricare il rapporto di valutazione della directory come file CSV.
   + **Elimina** per eliminare il rapporto di valutazione della directory.
   + **Crea valutazione** per creare una nuova valutazione della directory.

1. Dalla pagina dei dettagli della valutazione, puoi visualizzare le seguenti informazioni:

   1. Informazioni sulla valutazione, come l'ID della valutazione, lo stato, se è stata creata dal cliente o dal sistema e quando è stata aggiornata l'ultima volta.

   1. Dettagli AD autogestiti come nome DNS, VPC e sottoreti.

   1. AWS Systems Manager gestiva le informazioni sui nodi, come l'indirizzo IP, lo stato di valutazione e il numero di test di valutazione superati e non riusciti.

   1. Stato di valutazione per i controller di dominio. È inoltre possibile esaminare i dettagli del test di valutazione scegliendo i controller di dominio. I codici di errore vengono visualizzati nella colonna **Stato** per i test di valutazione non riusciti.

# Eliminazione delle valutazioni delle directory
<a name="deleting_hybrid_dir_assessment"></a>

È possibile eliminare le valutazioni delle directory create dal cliente in. Console di gestione AWS Non è possibile eliminare le valutazioni avviate dal sistema che vengono create automaticamente. AWS 

**Per eliminare una valutazione dell'elenco clienti**

1. Apri la Directory Service console all'indirizzo [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Nella pagina **Elenchi**, nella sezione **Valutazioni degli elenchi**, scegli la valutazione dei clienti che desideri eliminare. **In alternativa, puoi selezionare la casella di controllo accanto alle valutazioni della directory che desideri eliminare e quindi, dal menu **Azioni**, scegliere Elimina.**

1. Verrai indirizzato alla pagina dei dettagli **delle valutazioni.** Scegli **Azioni**, quindi scegli **Elimina valutazione**. Viene visualizzata una finestra di dialogo per **la valutazione dell'eliminazione della directory**. Scegli **Delete** (Elimina).

# Risoluzione dei problemi relativi alla directory ibrida e alla valutazione delle directory
<a name="hybrid_directory_troubleshooting"></a>

È necessaria una valutazione della directory per creare una directory ibrida. I test di valutazione vengono eseguiti su ogni controller di dominio. I test di valutazione esaminano diverse aree e restituiscono lo stato Superato o Fallito. Se la valutazione della directory ha esito negativo, è possibile visualizzare i test di valutazione dei controller di dominio per identificare i problemi che hanno causato l'errore.

**Importante**  
È possibile creare una directory ibrida quando lo stato della valutazione della directory viene superato con un avviso. Si consiglia di risolvere il problema che causa l'avviso prima di creare una directory ibrida

**Topics**
+ [Risoluzione dei problemi di valutazione della directory ibrida non riuscita](#hybrid_directory_troubleshooting_steps)
+ [Errori di stato della directory](hybrid_directory_status_errors.md)
+ [Messaggi di errore di valutazione della directory](da-error-msgs.md)
+ [Messaggi di errore del test di valutazione](assessment_test_error-msgs.md)
+ [Messaggi di avviso relativi al test di valutazione](assessment_test_warning-msgs.md)

## Risoluzione dei problemi di valutazione della directory ibrida non riuscita
<a name="hybrid_directory_troubleshooting_steps"></a>

È possibile risolvere i problemi relativi a una valutazione delle directory non riuscita dalla pagina **Directory** di. Console di gestione AWS

1. Accedi a Console di gestione AWS e apri la console all' Directory Service indirizzo. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)

1. Nella sezione **Directory assessment**, seleziona la valutazione della directory ibrida non riuscita.

1. Nella pagina **Dettagli della valutazione**, esamina la valutazione della directory e identifica quali test non sono riusciti.

   1. I test di valutazione del controller di dominio conterranno ulteriori informazioni su quali test hanno avuto esito positivo o negativo. La colonna **Stato** fornisce ulteriori dettagli sulla causa del fallimento del test. Per visualizzare i test di valutazione del controller di dominio, consulta[Visualizzazione delle valutazioni delle directory](viewing_hybrid_dir_assessment.md).

1. Risolvi i problemi che causano gli errori su Active Directory autogestito o AWS Microsoft AD gestito. Per ulteriori informazioni, consulta [Messaggi di errore di valutazione della directory](da-error-msgs.md) e [Messaggi di errore del test di valutazione](assessment_test_error-msgs.md).

1. Torna alla valutazione non riuscita nella Directory Service console. Scegli **Crea valutazione** nel messaggio di avviso rosso. [Creazione di una directory ibrida con AD autogestito](hybrid_directory_create.md#creating_hybrid_directory)Per ulteriori informazioni sulla creazione di una valutazione della directory, consulta.

# Errori di stato della directory
<a name="hybrid_directory_status_errors"></a>

Directory Service le directory possono presentare diversi stati che indicano diversi tipi di problemi. La comprensione di questi stati consente di determinare i passaggi appropriati per la risoluzione dei problemi.


**Tipi di stato delle directory**  

| Status | Description | Operazione richiesta | 
| --- | --- | --- | 
| Attivo | La creazione della directory è stata completata correttamente e funziona normalmente. | Nessuna operazione necessaria. | 
| Impaired (Insufficiente) | La directory è stata creata correttamente, ma il controller di dominio ha riscontrato dei problemi in seguito. Il sistema tenta il ripristino automatico. | Monitora lo stato della directory. Se il problema persiste, contatta l' AWS assistenza. | 
| Non riuscito | La creazione della directory non è riuscita ed è irreversibile. | Eliminare la directory danneggiata e crearne una nuova. | 
| Non utilizzabile (solo Hybrid AD) | AWS ha rilevato un problema di sicurezza e ha isolato automaticamente la directory per motivi di protezione. La directory diventa completamente inutilizzabile fino al ripristino. |  Contatta immediatamente il [Supporto AWS Centro di](https://console.aws.amazon.com/support/home#/) contatto. Questo stato richiede un Supporto intervento per esaminare e ripristinare la directory. | 

# Messaggi di errore di valutazione della directory
<a name="da-error-msgs"></a>

Per creare una directory ibrida, è necessaria una valutazione della directory superata. Le valutazioni delle directory possono avere esito negativo per vari motivi.

La tabella seguente mostra i messaggi di errore di valutazione delle directory e come risolverli.


**Messaggi e risoluzioni di errore di valutazione delle directory**  

| Messaggio di errore di valutazione della directory | Risoluzione | 
| --- | --- | 
|  Questa valutazione non ha superato diversi test su entrambe le istanze gestite. Analizza i test non riusciti selezionando ogni istanza gestita e risolvendoli nella directory locale. Quindi, crea una nuova valutazione.  |  Uno o più test di valutazione della directory non sono riusciti per il tuo AD autogestito. Consulta la [Messaggi di errore del test di valutazione](assessment_test_error-msgs.md) pagina per ulteriori informazioni sugli errori di test specifici e sulle relative risoluzioni.  | 
|  Questa valutazione non è riuscita a causa dell'eccezione del servizio interno. Riprova creando una nuova valutazione o contatta il servizio per la risoluzione dei problemi.  |  Prova a creare una nuova valutazione della directory. Se continui a riscontrare questo errore, contatta [Supporto](https://aws.amazon.com/premiumsupport/).  | 
|  Questa valutazione non è riuscita a causa della mancanza dell'autorizzazione a eseguire un'azione come `ec2:CreateSecurityGroup` `ec2:DeleteSecurityGroup``ec2:CreateNetworkInterface`,`ec2:DeleteNetworkInterface`,`ec2:DescribeSubnets`, e`ec2:DescribeNetworkInterface`.  |  Per creare una valutazione dell'elenco, è necessario disporre del necessario[Account AWS autorizzazioni](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). Account AWS   | 
|  Questa valutazione non è riuscita a causa della mancanza dell'autorizzazione a eseguire un'azione come `ssm:GetConnectionStatus``ssm:GetCommandInvocation`,,`ssm:ListCommands`,`ssm:SendCommand`.  |  Per creare una valutazione delle directory, sono necessari due nodi Systems Manager con il necessario[Account AWS autorizzazioni](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms).  | 
|  Questa valutazione non è riuscita perché è stato raggiunto il limite del numero di interfacce di rete che è possibile creare. Per ulteriori informazioni, consulta la pagina relativa alle [quote di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Per creare una valutazione delle directory, è necessario creare un'interfaccia di rete e gruppi di sicurezza. Esistono dei limiti al numero di risorse VPC che puoi creare, tuttavia puoi modificare alcuni di questi limiti. Per ulteriori informazioni, consulta la pagina relativa alle [quote di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  | 
|  Questa valutazione non è riuscita perché è stato raggiunto il limite del numero di gruppi di sicurezza che è possibile creare o assegnare a un'istanza. Per ulteriori informazioni, consulta la pagina relativa alle [quote di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html).  |  Per creare una valutazione delle directory, è necessario creare un'interfaccia di rete e gruppi di sicurezza. Esistono dei limiti al numero di risorse VPC che puoi creare, tuttavia puoi modificare alcuni di questi limiti. Per ulteriori informazioni, consulta la pagina relativa alle [quote di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll).  | 
|  Questa valutazione non è riuscita. Impossibile connettersi alle istanze del cliente da AWS Systems Manager.  |  Per creare una valutazione della directory, sono necessari due AWS Systems Manager nodi con uno stato di connessione. Vedi [Risoluzione dei problemi dell'agente SSM.](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)   | 
|  Questa valutazione non ha superato diversi test critici. Analizza i test non riusciti selezionando ogni istanza gestita e risolvili nella directory locale. Quindi, crea una nuova valutazione.  |  Uno o più test di valutazione della directory non sono riusciti per il tuo AD autogestito. Consulta il [Messaggi di errore del test di valutazione](assessment_test_error-msgs.md) per ulteriori informazioni.  | 

# Messaggi di errore del test di valutazione
<a name="assessment_test_error-msgs"></a>

La tabella seguente descrive i messaggi di errore che possono verificarsi durante i test di valutazione. Questi errori indicano problemi di blocco che devono essere risolti prima di procedere con la configurazione della directory ibrida.


| Nome del test | Nome breve | Codice di errore | Messaggio di errore | Description | Risoluzione | 
| --- | --- | --- | --- | --- | --- | 
| Active Directory ServicesTest | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | Si verifica se AD i servizi richiesti non sono in esecuzione nell'AD autogestito. | ADI servizi specifici richiesti devono essere in esecuzione nell'AD autogestito. Per ulteriori informazioni, consulta [Servizi Active Directory richiesti](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services). | 
| Active Directory ServicesTest | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | Assicurati che i controller di dominio AD autogestiti siano operativi e raggiungibili. Verifica la connettività e la DNS risoluzione di rete per i controller di dominio AD autogestiti. | 
| ADTest della politica in materia di password | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | Si verifica se la politica di gestione automatica delle password di AD non soddisfa i requisiti di AWS Managed Microsoft AD. | La politica di gestione automatica delle password di AD deve soddisfare i requisiti relativi alle password di AWS Managed Microsoft AD. Per ulteriori informazioni, vedere [Understanding AWS Managed Microsoft AD Password Policy](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html). | 
| AWS Test di esistenza degli utenti amministratori | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | Si verifica se l'utente amministratore della directory ibrida non esiste nel file AWS Reserved OU on your AD autogestito. | Assicurati che l'utente amministratore della directory ibrida esista nella cartella AWS OU Riservata del tuo AD autogestito. Se l'utente non è presente, verifica che l'account sia stato creato correttamente durante il processo di configurazione della directory ibrida. [Aggiornamento di una directory ibrida](hybrid_directory_view_and_edit.md#editing_hybrid_dir). Se lo stato della directory ibrida non è utilizzabile, contatta. [Supporto](https://console.aws.amazon.com/support/home#/) | 
| AWS Test per utenti amministrativi SPN | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | Si verifica se l'utente amministratore della directory ibrida ne ha SPNs configurato uno sull'AD autogestito. | Rimuove tutti i Service Principal Names (SPNs) dall'account utente dell'amministratore della directory AWS ibrida. L'utente amministratore della directory ibrida non deve averne SPNs configurato nessuno perché può interferire con l'autenticazione della directory ibrida. | 
| AWS Test del controller di dominio non FSMO del proprietario | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | Si verifica se sono stati trasferiti FSMO ruoli (PDC EmulatorRID Master, oInfrastructure Master) dall'AD autogestito al controller di dominio della directory ibrida. | Trasferisci nuovamente tutti i FSMO ruoli (PDC Emulator,RID Master,Infrastructure Master) ai controller di dominio AD autogestiti prima di procedere. Per ulteriori informazioni, consulta la [Microsoftdocumentazione sul](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles) trasferimento dei ruoli. FSMO | 
| AWS Test di appartenenza a un gruppo riservato | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | Si verifica se l'opzione AWS OU Riservata sul tuo AD autogestito non esiste. | L'elemento AWS Riservato OU deve esistere nel tuo AD autogestito per convalidare l'appartenenza al gruppo. Contattare [Supporto](https://console.aws.amazon.com/support/home#/). | 
| AWS Test di iscrizione al gruppo riservato | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | Si verifica se i gruppi presenti nell' AWS area OU Riservata di AD autogestita contengono utenti non autorizzati. | Rimuovi tutti gli utenti non autorizzati dai OU gruppi AWS riservati sul tuo AD autogestito. | 
| AWS Test riservato OU ACLs | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | Si verifica se le impostazioni AWS riservate OU ACLs su AD autogestite non impongono autorizzazioni di sola lettura per le entità non gestite AWS e non impediscono l'accesso non autorizzato alle risorse gestite. AWS | Rivedi e correggi le autorizzazioni relative all'area Riservata del tuo AD autogestito. AWS OU ACLs Assicurati che le persone non AWS giuridiche dispongano solo delle autorizzazioni di lettura (`ListChildren`,,,`ReadProperty`, `ListObject` `ReadControl``GenericRead`,`Synchronize`) e rimuovi le autorizzazioni eccessive. | 
| AWS Test delle associazioni riservate OU GPO | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | Si verifica se i controller AWS OU riservati OU e di dominio dell'AD autogestito sono collegati a siti non autorizzati. GPOs | (A questi possono essere collegati solo gli oggetti di policy di gruppo AWS gestiti (GPOs). OUs Rimuovi tutti i GPOs collegamenti non autorizzati ai controller AWS OU riservati OU e di dominio dal tuo AD autogestito. | 
| AWS Test delle risorse riservate OU | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` | Si verifica se l' AWS elemento Riservato OU non esiste nell'AD autogestito, necessario per la funzionalità della directory AWS Managed Microsoft AD. | Il file AWS Reserved OU deve essere creato automaticamente durante la configurazione della directory ibrida e non deve essere eliminato. Se l'errore persiste, contatta [Supporto](https://console.aws.amazon.com/support/home#/). | 
| AWS Test OU delle risorse riservate | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | Si verifica se il AWS Reserved OU creato nell'AD autogestito non contiene gli oggetti richiesti e GPOs consente il corretto funzionamento della directory ibrida. | Assicurati che nessuno modifichi il Reserved. AWS OU Deve contenere le risorse AWS gestite richieste. Rimuovi eventuali oggetti non autorizzati oppure GPOs contatta [Supporto](https://console.aws.amazon.com/support/home#/)se mancano le risorse necessarie. | 
| AWS Test riservato OU | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | Si verifica se esistono ancora risorse AWS riservate presenti nell'AD autogestito da una precedente configurazione di directory ibrida. | Elimina la directory ibrida esistente con errore dalla console. Quindi elimina tutte le informazioni AWS riservate OU e correlate GPOs dal tuo AD autogestito prima di procedere. | 
| BridgeheadTest del contesto di denominazione | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Si verifica se la replica AD autogestita tra siti utilizzati non Bridgehead funziona come previsto. Può verificarsi anche se i contesti di denominazione non sono sincronizzati tra i siti. | Il bridgehead sito AD autogestito deve avere successo. Puoi diagnosticare ulteriormente con:. `repadmin /bridgeheads /verbose` Risolvi i problemi di tale valutazione prima di continuare. | 
| Child Domain Test | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | Si verifica se la foresta AD autogestita contiene domini figlio, che non sono supportati con le directory gestite di AWS Microsoft AD. | AWS Le directory Microsoft AD gestite non supportano i domini secondari. È necessario utilizzare una foresta a dominio singolo per l'AD autogestito. Per ulteriori informazioni, consulta [Microsoft Active Directoryrequisiti del dominio](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| DcDiagTest | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | Si verifica se un Microsoft DCDiag test dell'AD autogestito ha esito negativo. | AWS viene utilizzato DCDiag per testare l'AD autogestito. In caso di errori, non è possibile creare una directory ibrida. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration). | 
| DNSTest IP Match | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | Si verifica se gli indirizzi DNS IP forniti dell'AD autogestito non corrispondono agli indirizzi DNS IP dei controller di dominio AD autogestiti abilitati con. AWS Systems Manager | Fornisci gli indirizzi IP correttiDNS. | 
| DNSTest di corrispondenza dei nomi | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | Si verifica se il DNS nome fornito per l'AD autogestito non corrisponde al DNS nome sui controller di dominio AD autogestiti abilitati con. AWS Systems Manager | Fornisci il nome corretto. DNS | 
| DNSTest dei record | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Si verifica se Windows DNS i record non sono impostati per il tipo A NSSOA,, SRV e possono essere interrogati. | I DNS record per Address (A), Namespace (NS), State of Authority (SOA) e Service Record (SRV) devono essere impostati e possono essere interrogati. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records). | 
| Test del livello funzionale di Domain Forest | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | Si verifica se i livelli di funzionalità del dominio AD e della foresta autogestiti non soddisfano i requisiti minimi. | L'AD autogestito deve utilizzare il nostro Windows 2012 R2 livello 2016 funzionale. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment). | 
| Domain Health Tests | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | Si verifica se l'AD autogestito non dispone del numero minimo richiesto di controller di dominio. | Assicurati che il tuo AD autogestito abbia almeno due controller di dominio abilitati con. AWS Systems Manager Per ulteriori informazioni, consulta [Microsoft Active Directoryrequisiti del dominio](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| Test del dominio esistente | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | Si verifica se il dominio AD autogestito è già aggiunto a una directory ibrida esistente. | Il dominio AD autogestito è già aggiunto a una directory ibrida esistente. Ogni dominio AD autogestito unito a una directory ibrida deve essere unico. Crea un nuovo dominio AD autogestito o rimuovilo dalla configurazione di directory ibrida a cui è aggiunto. | 
| FSMOTest di connettività | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | Si verifica se FSMO i ruoliPDC Emulator, and/or RID Master IPs nell'AD autogestito non sono instradabili. | Il controller di dominio primario (PDC) deve essere instradabile in qualsiasi momento. In particolare, la fine RID Master IPs del PDC Emulator tuo AD autogestito. Per ulteriori informazioni, consulta [Microsoft Active Directoryrequisiti del dominio](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| FSMOTest di connettività | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | Si verifica se i controller di dominio AD autogestiti non riescono ad accedere ai ruoli dell'utenteFSMO. | Il ruolo Flexible Single Master Operation (FSMO) nell'AD autogestito deve essere collegato ai controller di dominio AD autogestiti. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| Test di conflitto IP | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | Si verifica se gli intervalli IP AD autogestiti si sovrappongono agli intervalli AWS riservati. | L'AD autogestito non può utilizzare un intervallo di indirizzi IP che si sovrappone agli intervalli IP riservati. AWS Per ulteriori informazioni, consulta [Microsoft Active Directoryrequisiti del dominio](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain). | 
| KerberosTest | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Si verifica se non Kerberos è configurato correttamente e in uso. | Kerberosdeve essere abilitato sul tuo AD autogestito. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview). | 
| LDAPTest di connettività | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | Si verifica se LDAP non funziona. | Lightweight Directory Access Protocol (LDAP) deve essere abilitato e funzionante su un AD autogestito. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api). | 
| Controller di dominio non di sola lettura da testare FSMO | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | Si verifica se il FSMO ruolo di controller di dominio AD autogestito èRODC. | Il controller di dominio per l'AD autogestito non deve utilizzare un ruolo Flexible Single Master Operation (RODC) di tipo Controller di dominio in sola lettura (). FSMO Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles). | 
| Test di replica delle password del controller di dominio di sola lettura | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | Si verifica se RODC dispone dell'autorizzazione a replicare le password degli amministratori. | All'RODCAD autogestito deve essere esplicitamente negata l'autorizzazione a replicare le password di amministratore. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). | 
| Test del controller di dominio in sola lettura | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | Si verifica se i controller di dominio AD autogestiti sono in ReadOnlyDC modalità. | I tuoi AD autogestiti devono essere controller di dominio di lettura-scrittura. [Per ulteriori informazioni sui tipi di controller di dominio, consulta la documentazione. Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers) | 
| Test di connettività delle porte remote | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` | Si verifica se le porte richieste sulla AWS sottorete e il controller di dominio AD autogestito non sono aperti. | Assicurati che tutte le porte richieste siano aperte tra la AWS sottorete e l'AD autogestito. Per ulteriori informazioni, consulta [Requisiti delle porte di rete](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports). | 
| Test di replica | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | Si verifica se la replica dei controller di dominio AD autogestiti non è riuscita. | Lo stato di replica dei controller di dominio AD autogestiti deve avere esito positivo. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview). | 
| SMBV1Test | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | Si verifica se AD autogestito viene attualmente utilizzato SMBv1 per l'autenticazione. | SMBv1è noto per non essere sicuro e deve essere disabilitato nell'AD autogestito. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server). | 
| SSMTest delle autorizzazioni utente | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | Si verifica se Windows l'utente utilizzato da non SSM dispone di privilegi sufficienti. | Avrai bisogno delle autorizzazioni di Windows amministratore per gli agenti di AWS System Manager (SSM) sul tuo AD autogestito. Per ulteriori informazioni, consulta [Account AWS autorizzazioni](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms). | 
| SysvolTest di replica | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | Si verifica se l'AD autogestito non utilizza il metodo di sysvol replica corretto (DFSR) e se uno di essi DCs non è riuscito durante l'DFSRevento di replica. | Il metodo di sysvol replica AD autogestito () DFSR deve avere esito positivo. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr). | 
| Test di primo livello GPO | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | Si verifica se l'AD autogestito ha Top Level GPOs impostato su Enforced. | Assicurati che l'oggetto dei criteri di gruppo di primo livello del dominio AD autogestito (GPO) non sia impostato su Enforced. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing). | 
| Test dei tipi di fiducia | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | Si verifica se l'AD autogestito include tipi di trust non supportati. | Uplevelè l'unico tipo di trust supportato dalla directory ibrida. Il tuo AD autogestito non può avere i seguenti tipi di trust:DCE,MIT,Downlevel. Per ulteriori informazioni sui tipi di trust, consulta [Microsoftla documentazione](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions). | 
| Test valido del controller di dominio | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | Si verifica se le istanze AD autogestite fornite non sono controller di dominio o se fanno già parte di un'altra directory ibrida. | Fornisci controller di dominio AD autogestiti esclusivi per questa directory ibrida. Riprova con una nuova directory. Assicurati di aver eliminato la directory ibrida in cui si è verificato l'errore e tutte le cartelle presenti AWS OU nell'AD autogestito. | 

# Messaggi di avviso relativi al test di valutazione
<a name="assessment_test_warning-msgs"></a>

La tabella seguente descrive i messaggi di avviso che possono verificarsi durante i test di valutazione. Questi avvisi rappresentano consigli per una configurazione ottimale ma non impediscono la configurazione della directory ibrida.


| Nome del test | Nome breve | Codice di avviso | Messaggio di avviso | Description | Risoluzione | 
| --- | --- | --- | --- | --- | --- | 
| Domain Health Tests | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | Si verifica se nell'AD autogestito sono presenti account utente che non hanno effettuato l'accesso per un periodo prolungato e che possono essere considerati obsoleti o inattivi. | Pulisci gli account utente obsoleti. | 
| Test Time Source del controller di dominio | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | Si verifica se l'AD autogestito ha la corretta configurazione dell'origine temporale e se non vi è una grande asimmetria temporale rispetto a un' AWS origine temporale. | Il server orario del controller di dominio principale (PDC) è indirizzato a. `169.254.169.123` I controller di dominio non primari devono essere indicati PDC come origine. Per ulteriori informazioni, consulta [Keeping time with. Amazon Time Sync Service](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/) | 
| Test dello spazio libero | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | Si verifica se AD Combined autogestito NTDS e Sysvol l'utilizzo superano la quota supportata. | L'AD autogestito deve disporre di 24 GB di spazio su disco per le directory ibride. | 
| FSMO RolesTest | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | Si verifica se i ruoli FSMO (PDC Emulator e RID Master) non sono tra i due controller di dominio forniti quando si crea una directory ibrida. | La directory ibrida deve avere entrambi i ruoli FSMO (PDC Emulator e RID Master) tra i due controller di dominio forniti quando si crea una directory ibrida. Per ulteriori informazioni, consulta [Come visualizzare e trasferire i](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles) ruoli. FSMO | 
| SSPTest del canale S. | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | Si verifica se un AD autogestito non utilizza TLS1.2 la AES256 crittografia. | L'AD autogestito deve utilizzare TLS 1.2 e AES256 per le directory ibride. | 
| Test di danneggiamento del disco | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | Si verifica in caso di danneggiamento del disco nell'AD autogestito. | I dischi AD autogestiti non devono essere danneggiati. | 
| Test delle specifiche del controller di dominio | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | Si verifica se i controller di dominio AD autogestiti non soddisfano le specifiche richieste. | I controller di dominio AD autogestiti devono avere almeno 7 GB di RAM e 2 core CPU per la directory ibrida. | 
| Test del plug-in a livello di server Dll | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | Si verifica se ServerLevelPluginDll è impostato sui controller di dominio AD autogestiti. | I controller di dominio AD autogestiti non avrebbero dovuto essere configurati. ServerLevelPluginDII | 
| Consenti NT4 Crypto Test | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | Si verifica se AD autogestito consente la NT4 crittografia. | L'AD autogestito non deve utilizzare la crittografia. NT4 Per ulteriori informazioni, consultare la documentazione di Microsoft. | 
| Test per utenti amministratori orfani | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | Si verifica se esistono utenti amministratori orfani nel tuo AD autogestito. | Rimuovi gli utenti orfani dal tuo AD autogestito prima di continuare. | 
| Test del conteggio degli utenti privilegiati | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | Si verifica se il conteggio totale degli amministratori integrati, degli amministratori di dominio e degli amministratori aziendali del sistema AD a autogestito è superiore a 5. | L'ambiente AD autogestito non dovrebbe avere più account privilegiati. È necessario rimuovere un numero eccessivo di account di amministrazione prima di continuare. | 
| Test del conteggio degli utenti privilegiati | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | Si verifica se il conteggio totale degli amministratori integrati, degli amministratori di dominio e degli amministratori aziendali del sistema AD a autogestito è superiore a 5. | L'ambiente AD autogestito non dovrebbe avere più account privilegiati. È necessario rimuovere un numero eccessivo di account di amministrazione prima di continuare. | 
| Test del conteggio degli utenti privilegiati | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | Si verifica se il conteggio totale degli amministratori integrati, degli amministratori di dominio e degli amministratori aziendali del sistema AD a autogestito è superiore a 5. | L'ambiente AD autogestito non dovrebbe avere più account privilegiati. È necessario rimuovere un numero eccessivo di account di amministrazione prima di continuare. | 
| NTLMTest | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | Si verifica se NTLMv1 è abilitata l'autenticazione sul tuo AD autogestito. | NT LAN Managerla versione 1 (NTLMv1) presenta vulnerabilità di sicurezza note e non deve essere utilizzata. NTLMv1Disabilitalo sul tuo AD autogestito. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73). | 
| Tombstone Lifetime Test | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | Si verifica se la durata di vita di Tombstone sul tuo AD autogestito è superiore a 180 giorni. | La durata di Tombstone è il numero di giorni prima che un oggetto eliminato venga rimosso da. AD La durata di vita di Tombstone per il tuo AD autogestito dovrebbe essere pari o inferiore a 180 giorni. Per ulteriori informazioni, consulta la [documentazione di Microsoft](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180). |