Mensagens de erro do teste de avaliação

Teste do Active Directory Services

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

Ocorre se os serviços exigidos do AD não estiverem em execução no AD autogerenciado.

Os serviços exigidos específicos do AD devem estar em execução no AD autogerenciado. Para obter mais informações, consulte Serviços do Active Directory exigidos.

Teste do Active Directory Services

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

Garanta que os controladores de domínio do AD autogerenciado estejam operacionais e possam ser acessados. Verifique a conectividade da rede e a resolução do DNS para os controladores de domínio do AD autogerenciado.

Teste de política de senha do AD

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

Ocorre se sua política de senha autogerenciada do AD não atender aos requisitos do AWS Managed Microsoft AD.

A política de senha do AD autogerenciadodeve atender aos requisitos de senha do AWS Managed Microsoft AD. Para obter mais informações, consulte Compreendendo as políticas de senha AWS gerenciadas do Microsoft AD.

AWS Teste de existência de usuário administrador

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

AWS Admin user not found or invalid.

Ocorre se o usuário administrador do diretório híbrido não existir no AWS Reservado OU em seu AD autogerenciado.

Certifique-se de que o usuário administrador do diretório híbrido exista na OU Reservada da AWS no AD autogerenciado. Se o usuário estiver ausente, verifique se a conta foi criada corretamente durante o processo de configuração do diretório híbrido. Como atualizar um diretório híbrido. Se o estado do diretório híbrido estiver inoperante, entre em contato com o Suporte.

AWS SPNTeste de usuário administrativo

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.

Ocorre se o usuário administrador do diretório híbrido tiver SPNs configurados no AD autogerenciado.

Remova todos os nomes principais de serviço (SPNs) da conta de usuário do administrador do diretório AWS híbrido. O usuário administrador do diretório híbrido não deve ter SPNs configurados porque eles podem interferir na autenticação do diretório híbrido.

AWS Teste de controlador de domínio não FSMO proprietário

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.

Ocorre se você tiver transferido os perfis FSMO (PDC Emulator, RID Master ou Infrastructure Master) do AD autogerenciado para o controlador de domínio do diretório híbrido.

Transfira todos os perfis FSMO (PDC Emulator, RID Master, Infrastructure Master) de volta para os controladores de domínio do AD autogerenciado antes de continuar. Para obter mais informações, consulte a documentação da Microsoft sobre a transferência de perfis FSMO.

AWS Teste de associação a grupos reservados

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

AWS Reserved OU not found.

Ocorre se o AWS Reservado OU em seu AD autogerenciado não existir.

O AWS Reservado OU deve existir em seu AD autogerenciado para validar a associação ao grupo. Entre em contato com a Suporte.

AWS Teste de associação a grupos reservados

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

Ocorre se grupos no AWS Reservado OU em seu AD autogerenciado contiverem usuários não autorizados.

Remova todos os usuários não autorizados dos OU grupos AWS reservados em seu AD autogerenciado.

AWS OUACLsTeste reservado

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

AWS Reserved OU ACLs permissions are invalid.

Ocorre se o AWS Reservado OU ACLs em seu AD autogerenciado não impõe permissões somente de leitura para entidades não autorizadas AWS e não impede o acesso não autorizado a recursos gerenciados. AWS

Revise e corrija as permissões no AWS Reservado OU ACLs em seu AD autogerenciado. Certifique-se de que as pessoas que sejam entidades não da AWS tenham apenas permissões de leitura (ListChildren, ReadProperty, ListObject, ReadControl, GenericRead, Synchronize) e remova todas as permissões excessivas.

AWS Teste de OU GPO associações reservadas

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.

Ocorre se os controladores AWS reservados OU e de domínio OU em seu AD autogerenciado estiverem vinculados a controladores não autorizados. GPOs

(Somente objetos de política de grupo AWS gerenciados (GPOs) podem ser vinculados a elesOUs. Remova qualquer GPOs vinculado não autorizado aos controladores AWS reservados OU e de domínio OU em seu AD autogerenciado.

AWS Teste de OU recursos reservados

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The AWS Reserved OU does not exist. Please contact AWS Support.

Ocorre se o AWS Reservado OU não existir em seu AD autogerenciado, o que é necessário para a funcionalidade de diretório AWS gerenciado do Microsoft AD.

O AWS Reservado OU deve ser criado automaticamente durante a configuração do diretório híbrido e não deve ser excluído. Se esse erro persistir, entre em contato com o Suporte.

AWS Teste de OU recursos reservados

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

Ocorre se o AWS Reservado OU criado em seu AD autogerenciado não contiver os objetos necessários e GPOs para a operação adequada do diretório híbrido.

Certifique-se de que ninguém edite o AWS Reservado. OU Ele deve conter os recursos AWS gerenciados necessários. Remova quaisquer objetos ou GPOs não autorizados e entre em contato com o Suporte se os recursos exigidos estiverem ausentes.

AWS OUTeste reservado

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

AWS Reserved OU or AWS Reserved GPO still exists, please delete.

Ocorre se os recursos AWS reservados encontrados em seu AD autogerenciado de uma configuração anterior de diretório híbrido ainda existirem.

Exclua do console o diretório híbrido existente com falha. Em seguida, exclua qualquer AWS reservado OU e relacionado GPOs do seu AD autogerenciado antes de continuar.

Teste de contexto de nomenclatura do Bridgehead

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

Ocorre se a replicação do AD autogerenciado entre sites que usam o Bridgehead não estiver funcionando conforme o esperado. Também pode ocorrer se os contextos de nomenclatura não estiverem sincronizados entre os sites.

O site bridgehead do AD autogerenciado deve ser bem-sucedido. Você pode fazer um diagnóstico adicional com: repadmin /bridgeheads /verbose. Resolva os problemas dessa avaliação antes de continuar.

Teste de domínio secundário

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

Ocorre se sua floresta autogerenciada do AD contiver domínios secundários, que não são suportados pelos diretórios gerenciados AWS do Microsoft AD.

AWS Os diretórios gerenciados do Microsoft AD não oferecem suporte a domínios secundários. Você deve usar uma floresta de domínio único para o AD autogerenciado. Para obter mais informações, consulte Requisitos de domínio do Microsoft Active Directory.

Teste do DcDiag

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

Ocorre se algum teste do Microsoft DCDiag falhar no AD autogerenciado.

AWS usa DCDiag para testar seu AD autogerenciado. Se houver erros, você não poderá criar um diretório híbrido. Para obter mais informações, consulte a documentação da Microsoft.

Teste de correspondência de IP de DNS

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

Ocorre se os endereços IP de DNS fornecidos pelo AD autogerenciado não corresponderem aos endereços IP de DNS dos controladores de domínio do AD autogerenciado que estão habilitados com o AWS Systems Manager.

Forneça os endereços IP de DNS corretos.

Teste de correspondência de nome do DNS

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

Ocorre se o nome do DNS fornecido para o AD autogerenciado não corresponder ao nome do DNS nos controladores de domínio do AD autogerenciado habilitados com o AWS Systems Manager.

Forneça o nome do DNS correto.

Teste de registros de DNS

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

Ocorre se os registros de DNS do Windows não estiverem definidos para o tipo A, NS, SOA e SRV e puderem ser consultados.

Os registros de DNS de Endereço (A), Namespace (NS), Início de Autoridade (SOA) e Registro de Serviço (SRV) devem ser definidos e podem ser consultados. Para obter mais informações, consulte a documentação da Microsoft.

Teste de nível funcional da floresta de domínio

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

Ocorre se o domínio do AD autogerenciado e os níveis funcionais da floresta não atenderem aos requisitos mínimos.

O AD autogerenciado deve usar o nível funcional Windows 2012 R2 ou 2016. Para obter mais informações, consulte a documentação da Microsoft.

Testes de integridade de domínio

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.

Ocorre se o AD autogerenciado não tiver o número mínimo exigido de controladores de domínio.

Certifique-se de que seu AD autogerenciado tenha pelo menos dois controladores de domínio habilitados com. AWS Systems Manager Para obter mais informações, consulte Requisitos de domínio do Microsoft Active Directory.

Teste de domínio existente

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

Ocorre se o domínio do AD autogerenciado já estiver associado a um diretório híbrido existente.

O domínio do AD autogerenciado já está associado a um diretório híbrido existente. Cada domínio do AD autogerenciado associado a um diretório híbrido deve ser exclusivo. Crie um novo domínio do AD autogerenciado ou remova-o da configuração do diretório híbrido à qual está associado.

Teste de conectividade do FSMO

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

Ocorre se FSMO as funções,PDC Emulator, and/or RID Master IPs em seu AD autogerenciado não forem roteáveis.

O Controlador de Domínio Primário (PDC) deve ser roteável por todo o tempo. Especificamente, o PDC Emulator fim RID Master IPs do seu AD autogerenciado. Para obter mais informações, consulte Requisitos de domínio do Microsoft Active Directory.

Teste de conectividade do FSMO

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

Ocorre se os controladores de domínio do AD autogerenciado não conseguirem acessar os perfis FSMO.

O perfil Flexible Single Master Operation (FSMO) no AD autogerenciado deve estar conectado aos controladores de domínio do AD autogerenciado. Para obter mais informações, consulte a documentação da Microsoft.

Teste de conflito de IP

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

Ocorre se os intervalos de IP do AD autogerenciado se sobrepõem aos intervalos reservados da AWS .

Seu AD autogerenciado não pode usar um intervalo de endereços IP que se sobreponha aos intervalos de IP reservados AWS . Para obter mais informações, consulte Requisitos de domínio do Microsoft Active Directory.

Teste do Kerberos

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

Ocorre se o Kerberos não estiver configurado corretamente e em uso.

O Kerberos deve estar habilitado no AD autogerenciado. Para obter mais informações, consulte a Documentação do Microsoft.

Teste de conectividade do LDAP

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

Ocorre se o LDAP não funcionar.

O Lightweight Directory Access Protocol (LDAP) deve estar habilitado e funcionando no AD autogerenciado. Para obter mais informações, consulte a documentação da Microsoft.

Teste do controlador de domínio não somente leitura para FSMO

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

Ocorre se o perfil FSMO de controlador de domínio do AD autogerenciado for RODC.

O controlador de domínio do AD autogerenciado não deve usar um perfil de controlador de domínio somente leitura (RODC) Flexible Single Master Operation (FSMO). Para obter mais informações, consulte a documentação da Microsoft.

Teste de replicação de senha do controlador de domínio somente leitura

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

Ocorre se o RODC tiver permissão para replicar senhas de administrador.

O RODC para o AD autogerenciado deve ter permissão explicitamente negada para replicar senhas de administrador. Para obter mais informações, consulte a documentação da Microsoft.

Teste de controlador de domínio somente leitura

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

Ocorre se os controladores de domínio do AD autogerenciado estiverem no modo ReadOnlyDC.

O AD autogerenciado deve ter controladores de domínio de leitura e gravação. Para obter mais informações sobre os tipos de controladores de domínio, consulte a documentação da Microsoft.

Teste de conectividade de porta remota

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

Ocorre se as portas necessárias em sua AWS sub-rede e seu controlador de domínio AD autogerenciado não estiverem abertas.

Certifique-se de que todas as portas necessárias estejam abertas entre sua AWS sub-rede e seu AD autogerenciado. Consulte Requisitos de porta de rede para obter mais informações.

Teste de replicação

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

Ocorre se a replicação dos controladores de domínio do AD autogerenciado falhar.

O status de replicação dos controladores de domínio do AD autogerenciado deve ser bem-sucedido. Para obter mais informações, consulte a documentação da Microsoft.

Teste do SMBV1

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

Ocorre se o AD autogerenciado estiver usando o SMBv1 atualmente para autenticação.

O SMBv1 é conhecido por não ser seguro e deve estar desabilitado no AD autogerenciado. Para obter mais informações, consulte a documentação da Microsoft.

Teste de permissões de usuário do SSM

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

Ocorre se o usuário do Windows usado pelo SSM não tiver privilégios suficientes.

Você precisará de permissões de Windows administrador para os agentes AWS do System Manager (SSM) em seu AD autogerenciado. Para obter mais informações, consulte Conta da AWS permissões.

Teste de replicação do Sysvol

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

Ocorre se o AD autogerenciado não tiver o método de replicação do sysvol correto (DFSR) e se DCs falharam durante o evento de replicação do DFSR.

O método de replicação sysvol do AD autogerenciado (DFSR) deve ser bem-sucedido. Para obter mais informações, consulte a documentação da Microsoft.

Teste do GPO de nível superior

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

Ocorre se o AD autogerenciado tiver GPOs de nível superior definidos como Imposto.

Certifique-se de que o objeto de política de grupo de nível superior do domínio do AD autogerenciado (GPO) não esteja definido como Imposto. Para obter mais informações, consulte a documentação da Microsoft.

Teste de tipos de confiança

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

Ocorre se o AD autogerenciado tiver tipos de confiança não compatíveis.

Uplevel é o único tipo de confiança compatível com o diretório híbrido. O AD autogerenciado não pode ter os seguintes tipos de confiança: DCE, MIT, Downlevel. Para obter mais informações sobre tipos de confiança, consulte a documentação da Microsoft.

Teste de controlador de domínio válido

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

Ocorre se as instâncias do AD autogerenciado fornecidas não forem controladores de domínio ou se já fizerem parte de outro diretório híbrido.

Forneça controladores de domínio do AD autogerenciado que sejam exclusivos desse diretório híbrido. Tente novamente com um novo diretório. Certifique-se de ter excluído o diretório híbrido com falha e qualquer um do AWS OU seu AD autogerenciado.