Mensagens de erro do teste de avaliação

Teste do Active Directory Services

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

Ocorre se os serviços exigidos do AD não estiverem em execução no AD autogerenciado.

Os serviços exigidos específicos do AD devem estar em execução no AD autogerenciado. Para obter mais informações, consulte Serviços do Active Directory exigidos.

Teste do Active Directory Services

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

Garanta que os controladores de domínio do AD autogerenciado estejam operacionais e possam ser acessados. Verifique a conectividade da rede e a resolução do DNS para os controladores de domínio do AD autogerenciado.

Teste de política de senha do AD

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

Ocorre se a política de senha do AD autogerenciado não atender aos requisitos do AWS Managed Microsoft AD.

A política de senha do AD autogerenciadodeve atender aos requisitos de senha do AWS Managed Microsoft AD. Para obter mais informações, consulte Como entender as políticas de senha do AWS Managed Microsoft AD.

Teste de existência de usuário administrador da AWS

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

AWS Admin user not found or invalid.

Ocorre se o usuário administrador do diretório híbrido não existir na OU Reservada da AWS no AD autogerenciado.

Certifique-se de que o usuário administrador do diretório híbrido exista OU Reservada da AWS no AD autogerenciado. Se o usuário estiver ausente, verifique se a conta foi criada corretamente durante o processo de configuração do diretório híbrido. Como atualizar um diretório híbrido. Se o estado do diretório híbrido estiver inoperante, entre em contato com Suporte.

Teste de usuário administrativo da AWS SPN

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.

Ocorre se o usuário administrador do diretório híbrido tiver algum SPNs configurado no AD autogerenciado.

Remova todos os nomes de entidade principal de serviço (SPNs) da conta de usuário do administrador do diretório híbrido da AWS. O usuário administrador do diretório híbrido não deve ter nenhum SPNs configurado porque ele pode interferir na autenticação do diretório híbrido.

Teste de controlador de domínio AWS não proprietário do FSMO

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.

Ocorre se você tiver transferido os perfis FSMO (PDC Emulator, RID Master ou Infrastructure Master) do AD autogerenciado para o controlador de domínio do diretório híbrido.

Transfira todos os perfis FSMO (PDC Emulator, RID Master, Infrastructure Master) de volta para os controladores de domínio do AD autogerenciado antes de continuar. Para obter mais informações, consulte a documentação da Microsoft sobre a transferência de perfis FSMO.

Teste de associação a grupos reservados da AWS

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

AWS Reserved OU not found.

Ocorre se a OU Reservada da AWS no AD autogerenciado não existir.

A OU Reservada da AWS deve existir no AD autogerenciado para validar a associação ao grupo. Entre em contato com a Suporte.

Teste de associação a grupos reservados da AWS

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

Ocorre se os grupos na OU Reservada da AWS no AD autogerenciado contiverem usuários não autorizados.

Remova todos os usuários não autorizados dos grupos de OU Reservada da AWS no AD autogerenciado.

Teste de ACLs da OU Reservada da AWS

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

AWS Reserved OU ACLs permissions are invalid.

Ocorre se ACLs da OU Reservada da AWS no AD autogerenciado não impõem permissões somente de leitura para entidades que não sejam da AWS e não impedem o acesso não autorizado a recursos gerenciados da AWS.

Revise e corrija as permissões nos ACLs da OU Reservada da AWS no AD autogerenciado. Certifique-se de que as pessoas que não são AWS entidades tenham apenas permissões de leitura (ListChildrenReadProperty,,ListObject,ReadControl,GenericRead,Synchronize) e remova todas as permissões excessivas.

Teste de associações GPO da OU Reservada da AWS

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.

Ocorre se a OU Reservada da AWS e às OU controladoras de domínio no AD autogerenciado estiverem vinculadas a GPOs não autorizados.

(Somente objetos de política de grupo AWS gerenciados (GPOs) podem ser vinculados a elesOUs. Remova qualquer GPOs vinculado não autorizado à OU Reservada da AWS e às OU controladoras de domínio no AD autogerenciado.

Teste de recursos da OU Reservada da AWS

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The AWS Reserved OU does not exist. Please contact AWS Support.

Ocorre se a OU Reservada da AWS não existir no AD autogerenciado, o que é necessário para a funcionalidade de diretório AWS Managed Microsoft AD.

A OU Reservada da AWS deve ser criada automaticamente durante a configuração do diretório híbrido e não deve ser excluída. Se esse erro persistir, entre em contato com o Suporte.

Teste de recursos da OU Reservada da AWS

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

Ocorre se a OU Reservada da AWS criada no AD autogerenciado não contiver os objetos exigidos e GPOs para a operação adequada do diretório híbrido.

Certifique-se de que ninguém edite a OU Reservada da AWS. Ele deve conter os recursos gerenciados pela AWS exigidos. Remova qualquer objeto não autorizado ou GPOs e entre em contato com Suporte se os recursos exigidos estiverem ausentes.

Teste da OU Reservada da AWS

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

AWS Reserved OU or AWS Reserved GPO still exists, please delete.

Ocorre se os recursos da AWS Reservada encontrados no AD autogerenciado de uma configuração anterior de diretório híbrido ainda existirem.

Exclua o diretório híbrido existente com falha do console. Em seguida, exclua qualquer OU Reservada da AWS e GPOs relacionado do AD autogerenciado antes de continuar.

Teste de contexto de nomenclatura do Bridgehead

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

Ocorre se a replicação do AD autogerenciado entre sites que usam Bridgehead não estiver funcionando conforme o esperado. Também pode ocorrer se os contextos de nomenclatura não estiverem sincronizados entre os sites.

O site bridgehead do AD autogerenciado deve ser bem-sucedido. Você pode fazer um diagnóstico adicional com: repadmin /bridgeheads /verbose. Resolva os problemas dessa avaliação antes de continuar.

Teste de domínio secundário

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

Ocorre se a floresta do AD autogerenciado contiver domínios secundários, que não são suportados pelos diretórios do AWS Managed Microsoft AD.

Os diretórios do AWS Managed Microsoft AD não oferecem suporte a domínios secundários. Você deve usar uma floresta de domínio único para o AD autogerenciado. Para obter mais informações, consulte Requisitos de domínio do Microsoft Active Directory.

Teste do DcDiag

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

Ocorre se algum teste Microsoft DCDiag falhar no AD autogerenciado.

A AWS usa DCDiag para testar o AD autogerenciado. Se houver erros, você não poderá criar um diretório híbrido. Para obter mais informações, consulte a documentação da Microsoft.

Teste de correspondência de IP de DNS

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

Ocorre se os endereços IP de DNS fornecidos pelo AD autogerenciado não corresponderem aos endereços IP de DNS dos controladores de domínio do AD autogerenciado que estão habilitados com AWS Systems Manager.

Forneça os endereços IP de DNS corretos.

Teste de correspondência de nome do DNS

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

Ocorre se o nome do DNS fornecido para o AD autogerenciado não corresponder ao nome do DNS nos controladores de domínio do AD autogerenciado habilitados com o AWS Systems Manager.

Forneça o nome do DNS correto.

Teste de registros de DNS

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

Ocorre se os registros Windows DNS não estiverem definidos para o tipo A, NS, SOA e SRV e puderem ser consultados.

Os registros DNS de Endereço (A), Namespace (NS), Estado de autoridade (SOA) e Registro de serviço (SRV) devem ser definidos e podem ser consultados. Para obter mais informações, consulte a documentação da Microsoft.

Teste de nível funcional da floresta de domínio

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

Ocorre se o domínio do AD autogerenciado e os níveis funcionais da floresta não atenderem aos requisitos mínimos.

O AD autogerenciado deve usar o nível funcional Windows 2012 R2 ou 2016. Para obter mais informações, consulte a documentação da Microsoft.

Testes de integridade de domínio

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.

Ocorre se o AD autogerenciado não tiver o número mínimo exigido de controladores de domínio.

Certifique-se de que o AD autogerenciado tenha pelo menos dois controladores de domínio habilitados com o AWS Systems Manager. Para obter mais informações, consulte Requisitos de domínio do Microsoft Active Directory.

Teste de domínio existente

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

Ocorre se o domínio do AD autogerenciado já estiver associado a um diretório híbrido existente.

O domínio do AD autogerenciado já está associado a um diretório híbrido existente. Cada domínio do AD autogerenciado associado a um diretório híbrido deve ser exclusivo. Crie um novo domínio do AD autogerenciado ou remova-o da configuração do diretório híbrido à qual está associado.

Teste de conectividade do FSMO

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

Ocorre se os perfis FSMO, PDC Emulator e/ou IPs RID Master no AD autogerenciado não forem roteáveis.

O Controlador de Domínio Primário (PDC) deve ser roteável por todo o tempo. Especificamente, os IPs RID Master e PDC Emulator e do AD autogerenciado. Para obter mais informações, consulte Requisitos de domínio do Microsoft Active Directory.

Teste de conectividade do FSMO

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

Ocorre se os controladores de domínio do AD autogerenciado não conseguirem acessar os perfis FSMO.

O perfil Flexible Single Master Operation (FSMO) no AD autogerenciado deve estar conectado aos controladores de domínio do AD autogerenciado. Para obter mais informações, consulte a documentação da Microsoft.

Teste de conflito de IP

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

Ocorre se os intervalos de IP do AD autogerenciado se sobrepõem aos intervalos da AWS reservada.

O AD autogerenciado não pode usar um intervalo de endereços IP que se sobreponha aos intervalos de IP da AWS Reservada. Para obter mais informações, consulte Requisitos de domínio do Microsoft Active Directory.

Teste do Kerberos

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

Ocorre se o Kerberos não estiver configurado corretamente e em uso.

O Kerberos deve estar habilitado no AD autogerenciado. Para obter mais informações, consulte a Documentação do Microsoft.

Teste de conectividade do LDAP

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

Ocorre se o LDAP não funcionar.

O Lightweight Directory Access Protocol (LDAP) deve estar ativado e funcionando no AD autogerenciado. Para obter mais informações, consulte a documentação da Microsoft.

Teste do Controlador de domínio não somente de leitura para FSMO

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

Ocorre se o perfil FSMO de controlador de domínio do AD autogerenciado for RODC.

O controlador de domínio do AD autogerenciado não deve usar um perfil de Controlador de domínio somente leitura (RODC) Flexible Single Master Operation (FSMO). Para obter mais informações, consulte a documentação da Microsoft.

Teste de replicação de senha do controlador de domínio somente para leitura

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

Ocorre se o RODC tiver permissão para replicar senhas de administrador.

O RODC para o AD autogerenciado deve ter permissão explicitamente negada para replicar senhas de administrador. Para obter mais informações, consulte a documentação da Microsoft.

Teste de controlador de domínio somente para leitura

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

Ocorre se os controladores de domínio do AD autogerenciado estiverem no modo ReadOnlyDC.

O AD autogerenciado deve ter controladores de domínio de leitura e gravação. Para obter mais informações sobre os tipos de controladores de domínio, consulte a documentação da Microsoft.

Teste de conectividade de porta remota

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

Ocorre se as portas exigidas na sub-rede AWS e no controlador de domínio do AD autogerenciado não estiverem abertas.

Certifique-se de que todas as portas exigidas estejam abertas entre a sub-rede AWS e o AD autogerenciado. Consulte Requisitos de porta de rede para obter mais informações.

Teste de replicação

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

Ocorre se a replicação dos controladores de domínio do AD autogerenciado falhar.

O status de replicação dos controladores de domínio do AD autogerenciado deve ser bem-sucedido. Para obter mais informações, consulte a documentação da Microsoft.

Teste do SMBV1

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

Ocorre se o AD autogerenciado estiver usando o SMBv1 atualmente para autenticação.

SMBv1 é conhecido por não ser seguro e deve estar desabilitado no AD autogerenciado. Para obter mais informações, consulte a documentação da Microsoft.

Teste de permissões de usuário do SSM

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

Ocorre se Windows o usuário usado pelo SSM não tiver privilégios suficientes.

Você precisará de permissões de administrador Windows para os agentes AWS do System Manager (SSM) no AD autogerenciado. Para obter mais informações, consulte Conta da AWSpermissões.

Teste de replicação do Sysvol

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

Ocorre se o AD autogerenciado não tiver o método de replicação do sysvol correto (DFSR) e se algum DCs falhar durante o evento de replicação do DFSR.

O método de replicação sysvol do AD autogerenciado (DFSR) deve ser bem-sucedido. Para obter mais informações, consulte a documentação da Microsoft.

Teste do GPO de nível superior

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

Ocorre se o AD autogerenciado tiver o GPOs de Nível Superior definido como Imposto.

Certifique-se de que o objeto de política de grupo de nível superior do domínio do AD autogerenciado (GPO) não esteja definido como Imposto. Para obter mais informações, consulte a documentação da Microsoft.

Teste de tipos de confiança

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

Ocorre se o AD autogerenciado tiver tipos de confiança não suportados.

Uplevel é o único tipo de confiança suportado pelo diretório híbrido. O AD autogerenciado não pode ter os seguintes tipos de confiança: DCE, MIT, Downlevel. Para obter mais informações sobre tipos de confiança, consulte a documentação da Microsoft.

Teste de controlador de domínio válido

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

Ocorre se as instâncias do AD autogerenciado fornecidas não forem controladores de domínio ou se já fizerem parte de outro diretório híbrido.

Forneça controladores de domínio do AD autogerenciado que sejam exclusivos desse diretório híbrido. Tente novamente com um novo diretório. Certifique-se de ter excluído o diretório híbrido com falha e qualquer AWS OU do AD autogerenciado.