评估测试错误消息

Active Directory Services测试

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

如果所需的AD服务未在您的自管理 AD 中运行，则会出现。

所需的特定AD服务必须在您的自管理 AD 中运行。有关更多信息，请参阅 所需的活动目录服务。

Active Directory Services测试

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

确保您的自我管理的 AD 域控制器正常运行并且可以访问。验证自行管理的 AD 域控制器的网络连接和DNS分辨率。

AD密码策略测试

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

如果你的自我管理 AD 密码策略不满足 Amazon 托管 Microsoft AD 要求，则会出现。

你的自我管理的 AD 密码策略必须满足托 Amazon 管 Microsoft AD 密码要求。有关更多信息，请参阅了解 Amazon 托管 Microsoft AD 密码策略。

Amazon 管理员用户存在测试

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

Amazon Admin user not found or invalid.

如果您的自管理 AD OU 上的 Reserved 中不存在混合目录管理员用户，则会出现。 Amazon

确保混合目录管理员用户存在于您自行管理的 AD OU 上 Amazon 的 Reserved 中。如果缺少该用户，请验证在混合目录设置过程中是否正确创建了该帐户。 更新混合目录。如果您的混合目录状态为无法操作，请与联系。Amazon Web Services 支持

Amazon 管理员用户SPN测试

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on Amazon admin user Username. Please remove all SPNs from this account.

如果混合目录管理员用户在您的自管理 AD 上SPNs配置了任何配置，则会出现。

从 Amazon 混合目录管理员用户帐户中删除所有服务主体名称 (SPNs)。不得对混合目录管理员用户SPNs进行任何配置，因为他们可能会干扰混合目录身份验证。

Amazon 域控制器不是FSMO所有者测试

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

Amazon Domain Controller owns FSMO roles: rolesList. Please remove these roles.

如果您已将FSMO角色（PDC EmulatorRID Master、或Infrastructure Master）从自管理 AD 转移到混合目录域控制器，则会出现。

在继续操作之前，请将所有FSMO角色（PDC EmulatorRID Master、、Infrastructure Master）转移回您的自行管理的 AD 域控制器。有关更多信息，请参阅有关转移FSMO角色的Microsoft文档。

Amazon 预留组成员资格测试

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

Amazon Reserved OU not found.

如果您的自管理广告OU上的 “ Amazon 预留” 不存在，则会出现。

为了验证群组成员资格，您的自管理 AD 上OU必须存在 Amazon 预留内容。联系 Amazon Web Services 支持。

Amazon 预留组成员资格测试

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

Amazon Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

如果您的自管理 AD OU 上的 Reser Amazon ved 中的群组包含未经授权的用户，则会出现。

将所有未经授权的用户从您自行管理的 AD 的 Amazon 预留OU群组中移除。

Amazon 预留OUACLs测试

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

Amazon Reserved OU ACLs permissions are invalid.

如果您的自管理 A Amazon D OU ACLs 上的 Amazon Reserved 不对非实体强制只读权限，也无法阻止未经授权访问托管资源，则会发生这种情况。Amazon

查看并更正您自行管理的广告OUACLs上 Amazon 预留的权限。确保非Amazon 实体仅具有读取权限（ListChildren、、、、ReadPropertyListObjectReadControlGenericRead、Synchronize），并移除所有多余的权限。

Amazon 保留OUGPO关联测试

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-Amazon GPOs attached to the Amazon Reserved OU: Amazon Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the Amazon Reserved OU.

如果您的自管理 AD OU 上的 Amazon 预留控制OU器和域控制器链接到未经授权GPOs，则会出现。

（只有 Amazon 托管组策略对象 (GPOs) 可以链接到这些对象OUs。移除任何未经授权的GPOs链接到自行管理的 AD OU 上的 Amazon 预留控制OU器和域控制器。

Amazon 预留OU资源测试

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The Amazon Reserved OU does not exist. Please contact Amazon Support.

如果您的自管理 AD 中OU不存在 Amazon 预留，则会发生这种情况，这是托管 Microsoft AD 目录功能所必需 Amazon 的。

R Amazon es OU erved 必须在混合目录设置期间自动创建，不应删除。如果此错误仍然存在，请与联系Amazon Web Services 支持。

Amazon 预留OU资源测试

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from Amazon Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in Amazon Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

如果在您的自管理 AD 上OU创建的 Reserved 不包含所需的对象，并且无法GPOs进行适当的混合目录操作，则会发生这种情况。 Amazon

确保没有人编辑 Amazon 保留的OU。它必须包含所需的 Amazon托管资源。移除任何未经授权的对象GPOs，或者，Amazon Web Services 支持如果缺少所需资源，请与联系。

Amazon 预留OU测试

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

Amazon Reserved OU or Amazon Reserved GPO still exists, please delete.

如果在您的自管理 AD 上找到的来自先前混合目录设置的 Amazon 预留资源仍然存在，则会出现。

从控制台中删除现有失败的混合目录。然后，在继续操作之前OU，请GPOs从您的自行管理的广告中删除所有 Amazon 预留和相关广告。

Bridgehead命名上下文测试

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

如果使用的站点之间的自管理 AD 复制未按预期运行Bridgehead，则会出现。如果站点之间的命名上下文不同步，也可能发生这种情况。

您的自行管理的广告bridgehead网站必须成功。您可以通过以下方式进一步诊断:repadmin /bridgeheads /verbose. 请先解决评估中的问题，然后再继续。

子域测试

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

如果你的自我管理的 AD 林包含子域，而 Amazon 托管 Microsoft AD 目录不支持这些子域，则会出现这种情况。

Amazon 托管的 Microsoft AD 目录不支持子域。您必须为自管理 AD 使用单域林。有关更多信息，请参阅 Microsoft Active Directory域名要求。

DcDiag测试

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

如果您的自管理 AD 上有任何MicrosoftDCDiag测试失败，则会出现。

Amazon DCDiag用于测试您的自行管理 AD。如果出现错误，则无法创建混合目录。有关更多信息，请参阅 Microsoft 文档。

DNSIP 匹配测试

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

如果您的自管理 AD 提供DNS的 IP 地址与启用的自管理 AD 域控制器上DNS的 IP 地址不匹配，则会出现。 Amazon Systems Manager

提供正确的 DNS IP 地址。

DNS姓名匹配测试

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

如果为自管理 AD 提供的DNS名称与启用的自管理 AD 域控制器上的DNS名称不匹配，则会出现。 Amazon Systems Manager

请提供正确的DNS名称。

DNS记录测试

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

如果没有为类型A、、和设置WindowsDNS记录 NSSOA，则会出现，SRV并且可以查询。

必须设置地址 (A)、命名空间 (NS)、权限状态 (SOA) 和服务记录 (SRV) 的记录，并且可以查询。DNS有关更多信息，请参阅 Microsoft 文档。

域森林功能等级测试

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

如果您的自我管理 AD 域和林功能级别不符合最低要求，则会出现。

您的自管理 AD 必须使用Windows2012 R2或2016功能级别。有关更多信息，请参阅 Microsoft 文档。

域名健康测试

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, Amazon required number is DcMinimum.

如果您的自管理 AD 没有所需的最低数量的域控制器，则会出现。

确保您的自管理 AD 至少启用了两个域控制器。 Amazon Systems Manager有关更多信息，请参阅 Microsoft Active Directory域名要求。

现有域名测试

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

如果您的自管理 AD 域已加入现有的混合目录，则会出现。

您的自我管理的 AD 域已加入现有的混合目录。通过混合目录加入的每个自管理 AD 域都必须是唯一的。创建新的自管理 AD 域或将其从其加入的混合目录配置中删除。

FSMO连接测试

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

如果您的自管理 AD and/or RID Master IPs 上的FSMO角色不可路由PDC Emulator，则会出现。

主域控制器 (PDC) 必须始终可路由。具体而言，是您的自我管理广告RID Master IPs 的PDC Emulator和。有关更多信息，请参阅 Microsoft Active Directory域名要求。

FSMO连接测试

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

如果您的自管理 AD 域控制器无法访问您的FSMO角色，则会出现。

您在自管理 AD 中的灵活单主操作 (FSMO) 角色必须连接到您的自我管理的 AD 域控制器。有关更多信息，请参阅 Microsoft 文档。

IP 冲突测试

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

如果您自行管理的 AD IP 范围与 Amazon 保留的范围重叠，则会出现。

您的自管理 AD 不能使用与预留 IP 范围重叠的 Amazon IP 地址范围。有关更多信息，请参阅 Microsoft Active Directory域名要求。

Kerberos测试

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

如果配置不正确且Kerberos正在使用，则会出现。

Kerberos必须在您的自管理 AD 上启用。有关更多信息，请参阅 Microsoft 文档。

LDAP连接测试

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

如果LDAP不起作用，则会发生。

轻型目录访问协议 (LDAP) 必须启用并在您的自管理 AD 上运行。有关更多信息，请参阅 Microsoft 文档。

非只读域控制器用于FSMO测试

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

如果您的自管理 AD 域控制器FSMO角色为RODC，则会出现。

您的自我管理 AD 的域控制器不得使用只读域控制器 (RODC) 灵活的单主机操作 (FSMO) 角色。有关更多信息，请参阅 Microsoft 文档。

只读域控制器密码复制测试

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

如果RODC有权复制管理员密码，则会发生。

必须明确拒绝您的自管理 AD 的复制管理员密码的权限。RODC有关更多信息，请参阅 Microsoft 文档。

只读域控制器测试

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

如果您的自管理 AD 域控制器处于ReadOnlyDC模式，则会出现。

您的自管理 AD 必须是读写域控制器。有关域控制器类型的更多信息，请参阅Microsoft文档。

远程端口连接测试

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

如果 Amazon 子网上的必需端口和自管理的 AD 域控制器未打开，则会出现。

确保您的 Amazon 子网和自管理 AD 之间的所有必需端口均处于打开状态。请参阅网络端口要求了解更多信息。

复制测试

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

如果您的自管理 AD 域控制器复制失败，则会出现。

您的自管理 AD 域控制器复制状态必须为成功。有关更多信息，请参阅 Microsoft 文档。

SMBV1测试

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

如果自管理 AD 当前正在使用身份验证，则会SMBv1出现。

SMBv1已知是不安全的，必须在您的自管理 AD 上将其禁用。有关更多信息，请参阅 Microsoft 文档。

SSM用户权限测试

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

如果使用的Windows用户权限不足，则会SSM出现。

您需要Windows管理员权限才能使用自行管理的 AD 上的 Amazon 系统管理器 (SSM) 代理。有关更多信息，请参阅 Amazon Web Services 账户 权限。

Sysvol复制测试

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

如果您的自管理 AD 没有正确的sysvol复制方法 (DFSR)，并且在复制事件期间DFSR有任何复制方法DCs失败，则会发生。

您的自管理 AD sysvol 复制方法 (DFSR) 必须成功。有关更多信息，请参阅 Microsoft 文档。

顶级GPO测试

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

如果您的自管理 AD 将 “顶级” GPOs 设置为 “强制”，则会出现。

确保您的自我管理的 AD 域顶级组策略对象 (GPO) 未设置为 “强制执行”。有关更多信息，请参阅 Microsoft 文档。

信任类型测试

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

如果您的自管理 AD 具有不受支持的信任类型，则会出现。

Uplevel是混合目录支持的唯一信任类型。您的自管理 AD 不能具有以下信任类型：DCE、MIT、Downlevel。有关信任类型的更多信息，请参阅Microsoft文档。

有效的域控制器测试

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

如果您提供的自管理 AD 实例不是域控制器，或者它们已经是另一个混合目录的一部分，则会出现。

提供此混合目录独有的自管理 AD 域控制器。使用新目录重试。确保您已删除失败的混合目录以及自管理 AD Amazon OU 中的所有目录。