评测错误消息

Active Directory Services 测试

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

如果自行管理的 AD 中未运行所需的 AD 服务，就会出现此错误。

自行管理的 AD 中必须运行特定的必需 AD 服务。有关更多信息，请参阅 所需的 Active Directory 服务。

Active Directory Services 测试

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

确保自行管理的 AD 域控制器正常运行并且可访问。验证自行管理的 AD 域控制器的网络连接和 DNS 解析。

AD 密码策略测试

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

如果自行管理的 AD 密码策略不满足 Amazon Managed Microsoft AD 要求，就会出现此错误。

自行管理的 AD 密码策略必须满足 Amazon Managed Microsoft AD 的密码要求。有关更多信息，请参阅了解 Amazon Managed Microsoft AD 密码策略。

Amazon 管理员用户存在测试

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

Amazon Admin user not found or invalid.

如果自行管理的 AD 上的 Amazon 预留 OU 中不存在混合目录管理员用户，就会出现此错误。

确保自行管理的 AD 上的 Amazon 预留 OU 中存在混合目录管理员用户。如果缺少该用户，请验证在混合目录设置过程中是否正确创建了账户。更新混合目录。如果混合目录状态无法操作，请联系 Amazon Web Services 支持。

Amazon 管理员用户 SPN 测试

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on Amazon admin user Username. Please remove all SPNs from this account.

如果混合目录管理员用户在自行管理的 AD 上配置了任何 SPNs，就会出现此错误。

从 Amazon 混合目录管理员用户账户中，移除所有服务主体名称（SPNs）。混合目录管理员用户不得对任何 SPNs 进行配置，因为可能会干扰混合目录身份验证。

Amazon 域控制器不是 FSMO 所有者测试

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

Amazon Domain Controller owns FSMO roles: rolesList. Please remove these roles.

如果 FSMO 角色（PDC Emulator、RID Master 或 Infrastructure Master）已从自行管理的 AD 转移至混合目录域控制器，就会出现此错误。

在继续操作之前，请将所有 FSMO 角色（PDC Emulator、RID Master、Infrastructure Master）转回自行管理的 AD 域控制器。有关更多信息，请参阅有关转移 FSMO 角色的 Microsoft 文档。

Amazon 预留组成员资格测试

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

Amazon Reserved OU not found.

如果自行管理的 AD 上的 Amazon 预留 OU 不存在，就会出现此错误。

为了验证组成员资格，自行管理的 AD 上必须存在 Amazon 预留 OU。联系 Amazon Web Services 支持。

Amazon 预留组成员资格测试

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

Amazon Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

如果自行管理的 AD 上 Amazon 预留 OU 中的组包含未经授权的用户，就会出现此错误。

将所有未经授权的用户从自行管理的 AD 上的 Amazon 预留 OU 组中移除。

Amazon 预留 OU ACLs 测试

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

Amazon Reserved OU ACLs permissions are invalid.

如果自行管理的 AD 上的 Amazon 预留 OU ACLs 未对非 Amazon 实体强制只读权限，亦未阻止未经授权访问 Amazon 托管资源，就会出现此错误。

在自行管理的 AD 上查看并纠正 Amazon 预留 OU ACLs 的权限。确保非 Amazon 实体只有读取权限（ListChildren、ReadProperty、ListObject、ReadControl、GenericRead、Synchronize），并移除所有多余的权限。

Amazon 预留 OU GPO 关联测试

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-Amazon GPOs attached to the Amazon Reserved OU: Amazon Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the Amazon Reserved OU.

如果自行管理的 AD 上的 Amazon 预留 OU 和域控制器 OU 链接到未经授权的 GPOs，就会出现此错误。

（只有 Amazon 托管组策略对象（GPOs）才可以链接到这些 OUs。移除链接到自行管理的 AD 上的 Amazon 预留 OU 和域控制器 OU 的任何未经授权的 GPOs。

Amazon 预留 OU 资源测试

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The Amazon Reserved OU does not exist. Please contact Amazon Support.

如果自行管理的 AD 中不存在 Amazon Managed Microsoft AD 目录功能所必需的 Amazon 预留 OU，就会出现此错误。

必须在混合目录设置期间自动创建 Amazon 预留 OU，不应将其删除。如果此错误仍然存在，请联系 Amazon Web Services 支持。

Amazon 预留 OU 资源测试

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from Amazon Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in Amazon Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

如果在自行管理的 AD 上创建的 Amazon 预留 OU 未包含进行适当混合目录操作所需的对象和 GPOs，就会出现此错误。

确保 Amazon 预留 OU 未经任何人编辑。它必须包含所需的 Amazon 托管资源。移除任何未经授权的对象或 GPOs，如果缺少所需资源，请联系 Amazon Web Services 支持。

Amazon 预留 OU 测试

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

Amazon Reserved OU or Amazon Reserved GPO still exists, please delete.

如果在自行管理的 AD 上仍存在来自之前混合目录设置的 Amazon 预留资源，就会出现此错误。

从控制台中删除现有失败的混合目录。然后从自行管理的 AD 中删除所有 Amazon 预留 OU 和相关 GPOs 以继续。

Bridgehead 命名上下文测试

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

如果自行管理的 AD 在使用 Bridgehead 的站点之间的复制与预期不符，就会出现此错误。如果各站点之间的命名上下文不同步，也有可能出现此错误。

自行管理的 AD bridgehead 站点必须成功。可通过以下方式进一步诊断：repadmin /bridgeheads /verbose。请先解决该评测中的问题，然后再继续。

子域测试

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

如果自行管理的 AD 林包含子域，而 Amazon Managed Microsoft AD 目录不支持这些子域，就会出现此错误。

Amazon Managed Microsoft AD 目录不支持子域。自行管理的 AD 必须使用单域林。有关更多信息，请参阅 Microsoft Active Directory 域要求。

DcDiag 测试

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

如果自行管理的 AD 上有任何 Microsoft DCDiag 测试失败，就会出现此错误。

Amazon 使用 DCDiag 测试自行管理的 AD。如果出现错误，就无法创建混合目录。有关更多信息，请参阅 Microsoft 文档。

DNSIP 匹配测试

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

如果为自行管理的 AD 提供的 DNS IP 地址与通过 Amazon Systems Manager 启用的自行管理 AD 域控制器上的 DNS IP 地址不匹配，就会出现此错误。

请提供正确的 DNS IP 地址。

DNS 名称匹配测试

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

如果为自行管理的 AD 提供的 DNS 名称与通过 Amazon Systems Manager 启用的自行管理 AD 域控制器上的 DNS 名称不匹配，就会出现此错误。

请提供正确的 DNS 名称。

DNS 记录测试

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

如果未为类型 A、NS、SOA 和 SRV 设置 Windows DNS 记录，但可以查询记录，就会出现此错误。

必须为地址（A）、命名空间（NS）、授权状态（SOA）和服务记录（SRV）设置 DNS 记录，并且可以查询。有关更多信息，请参阅 Microsoft 文档。

域林功能级别测试

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

如果自行管理的 AD 域和林功能级别不符合最低要求，就会出现此错误。

自行管理的 AD 必须使用 Windows 2012 R2 或 2016 功能级别。有关更多信息，请参阅 Microsoft 文档。

域运行状况测试

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, Amazon required number is DcMinimum.

如果自行管理的 AD 没有所需的最少域控制器数，就会出现此错误。

确保自行管理的 AD 通过 Amazon Systems Manager 至少启用了两个域控制器。有关更多信息，请参阅 Microsoft Active Directory 域要求。

现有域测试

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

如果自行管理的 AD 域已加入现有的混合目录，就会出现此错误。

自行管理的 AD 域已加入现有的混合目录。通过混合目录加入的每个自行管理的 AD 域都必须是唯一的。创建新的自行管理的 AD 域，或将其从加入的混合目录配置中移除。

FSMO 连接测试

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

如果自行管理的 AD 上的 FSMO 角色、PDC Emulator 和/或 RID Master IP 不可路由，就会出现此错误。

主域控制器（PDC）必须始终可以路由。具体而言，指自行管理的 AD 的 PDC Emulator 和 RID Master IP 可路由。有关更多信息，请参阅 Microsoft Active Directory 域要求。

FSMO 连接测试

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

如果自行管理的 AD 域控制器无法访问 FSMO 角色，就会出现此错误。

自行管理的 AD 中的灵活单主机操作（FSMO）角色必须连接到自行管理的 AD 域控制器。有关更多信息，请参阅 Microsoft 文档。

IP 冲突测试

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

如果自行管理的 AD 的 IP 范围与 Amazon 预留范围重叠，就会出现此问题。

自行管理的 AD 不能使用与预留 IP 范围重叠的 Amazon IP 地址范围。有关更多信息，请参阅 Microsoft Active Directory 域要求。

Kerberos 测试

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

如果 Kerberos 配置不正确，且正在使用，就会出现此问题。

必须在自行管理的 AD 上启用 Kerberos。有关更多信息，请参阅 Microsoft 文档。

LDAP 连接测试

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

如果 LDAP 不起作用，就会出现此错误。

必须启用轻量级目录访问协议（LDAP）并在自行管理的 AD 上运行。有关更多信息，请参阅 Microsoft 文档。

非只读域控制器用于 FSMO 的测试

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

如果自行管理的 AD 域控制器的 FSMO 角色为 RODC，就会出现此错误。

自行管理的 AD 的域控制器不得使用只读域控制器（RODC）的灵活单主机操作（FSMO）角色。有关更多信息，请参阅 Microsoft 文档。

只读域控制器密码复制测试

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

如果 RODC 拥有复制管理员密码的权限，就会出现此错误。

必须明确拒绝自行管理的 AD 的 RODC 进行管理员密码复制的权限。有关更多信息，请参阅 Microsoft 文档。

只读域控制器测试

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

如果自行管理的 AD 域控制器处于 ReadOnlyDC 模式，就会出现此错误。

自行管理的 AD 必须为读写域控制器。有关域控制器类型的更多信息，请参阅 Microsoft 文档。

远程端口连接测试

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

如果 Amazon 子网和自行管理的 AD 域控制器上的必需端口未开启，就会出现此错误。

确保 Amazon 子网和自行管理的 AD 之间的所有必需端口均处于开启状态。请参阅网络端口要求了解更多信息。

复制测试

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

如果自行管理的 AD 域控制器复制失败，就会出现此错误。

自行管理的 AD 域控制器复制状态必须为成功。有关更多信息，请参阅 Microsoft 文档。

SMBV1 测试

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

如果自行管理的 AD 当前使用 SMBv1 进行身份验证，就会出现此错误。

已知 SMBv1 不安全，必须在自行管理的 AD 上予以禁用。有关更多信息，请参阅 Microsoft 文档。

SSM 用户权限测试

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

如果 SSM 使用的 Windows 用户权限不足，就会出现此错误。

对于自行管理的 AD 上的 Amazon System Manager（SSM）代理，您需要拥有 Windows 管理员权限。有关更多信息，请参阅 Amazon Web Services 账户 权限。

Sysvol 复制测试

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

如果自行管理的 AD 没有正确的 sysvol 复制方法（DFSR），并且在 DFSR 复制事件期间发生任何 DCs 失败，就会出现此错误。

自行管理的 AD 的 sysvol 复制方法（DFSR）必须成功。有关更多信息，请参阅 Microsoft 文档。

顶级 GPO 测试

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

如果自行管理的 AD 将顶级 GPOs 设置为“强制”，就会出现此问题。

确保自行管理的 AD 域的顶级组策略对象（GPO）未设置为“强制”。有关更多信息，请参阅 Microsoft 文档。

信任类型测试

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

如果自行管理的 AD 具有不支持的信任类型，就会出现此错误。

Uplevel 是混合目录支持的唯一信任类型。自行管理的 AD 不能具有以下信任类型：DCE、MIT、Downlevel。有关信任类型的更多信息，请参阅 Microsoft 文档。

有效域控制器测试

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

如果所提供的自行管理的 AD 实例不是域控制器，或者已经是其他混合目录的一部分，就会出现此错误。

请提供此混合目录独有的自行管理的 AD 域控制器。使用新目录重试。确保已删除失败的混合目录以及自行管理的 AD 中的任何 Amazon OU。