评测错误消息

Active Directory Services 测试

testActiveDirectoryServices

AD_CRITICAL_SERVICES_NOT_RUNNING

Critical AD Services: [service_list] not running on hostname.

如果自行管理的 AD 中未运行所需的 AD 服务，就会出现此错误。

自行管理的 AD 中必须运行特定的必需 AD 服务。有关更多信息，请参阅 所需的 Active Directory 服务。

Active Directory Services 测试

testActiveDirectoryServices

DOMAIN_CONTROLLER_NOT_FOUND

No domain controllers found for testActiveDirectoryServices.

Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.

确保自行管理的 AD 域控制器正常运行并且可访问。验证自行管理的 AD 域控制器的网络连接和 DNS 解析。

AD 密码策略测试

testPasswordPolicies

PASSWORD_POLICY_VIOLATIONS

ErrorMessage

如果你的自我管理 AD 密码策略不满足 Amazon 托管 Microsoft AD 要求，则会出现。

自行管理的 AD 密码策略必须满足 Amazon Managed Microsoft AD 的密码要求。有关更多信息，请参阅了解 Amazon 托管 Microsoft AD 密码策略。

Amazon 管理员用户存在测试

testAwsAdminUserExist

ADMINISTRATOR_ACCOUNT_MISSING

Amazon Admin user not found or invalid.

如果您的自管理 AD OU 上的 Reserved 中不存在混合目录管理员用户，则会出现。 Amazon

确保自行管理的 AD 上的 Amazon 预留 OU 中存在混合目录管理员用户。如果缺少该用户，请验证在混合目录设置过程中是否正确创建了账户。更新混合目录。如果混合目录状态无法操作，请联系 Amazon Web Services 支持。

Amazon 管理员用户SPN测试

testNoSpnOnAwsAdminAccount

SPN_FOUND_ON_AWS_ADMIN

Found spnCount Service Principal Names (SPNs) set on Amazon admin user Username. Please remove all SPNs from this account.

如果混合目录管理员用户在自行管理的 AD 上配置了任何 SPNs，就会出现此错误。

从 Amazon 混合目录管理员用户帐户中删除所有服务主体名称 (SPNs)。混合目录管理员用户不得对任何 SPNs 进行配置，因为可能会干扰混合目录身份验证。

Amazon 域控制器不是FSMO所有者测试

testAwsDcNotFsmoOwner

AWS_DC_HOLDS_FSMO_ROLE

Amazon Domain Controller owns FSMO roles: rolesList. Please remove these roles.

如果 FSMO 角色（PDC Emulator、RID Master 或 Infrastructure Master）已从自行管理的 AD 转移至混合目录域控制器，就会出现此错误。

在继续操作之前，请将所有 FSMO 角色（PDC Emulator、RID Master、Infrastructure Master）转回自行管理的 AD 域控制器。有关更多信息，请参阅有关转移 FSMO 角色的 Microsoft 文档。

Amazon 预留组成员资格测试

testValidateAwsReservedGroupMembership

AWS_RESERVED_OU_NOT_FOUND

Amazon Reserved OU not found.

如果您的自管理广告OU上的 “ Amazon 预留” 不存在，则会出现。

为了验证群组成员资格，您的自管理 AD 上OU必须存在 Amazon 预留内容。联系 Amazon Web Services 支持。

Amazon 预留组成员资格测试

testValidateAwsReservedGroupMembership

GROUP_MEMBERSHIP_MISMATCH

Amazon Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].

如果您的自管理 AD OU 上的 Reser Amazon ved 中的群组包含未经授权的用户，则会出现。

将所有未经授权的用户从您自行管理的 AD 的 Amazon 预留OU群组中移除。

Amazon 预留OUACLs测试

testReservedOuAclsPermissions

RESERVED_OU_NON_COMPLIANT_AC

Amazon Reserved OU ACLs permissions are invalid.

如果您的自管理 A Amazon D OU ACLs 上的 Amazon Reserved 不对非实体强制只读权限，也无法阻止未经授权访问托管资源，则会发生这种情况。Amazon

查看并更正您自行管理的广告OUACLs上 Amazon 预留的权限。确保非Amazon 实体只有读取权限（ListChildren、ReadProperty、ListObject、ReadControl、GenericRead、Synchronize），并移除所有多余的权限。

Amazon 保留OUGPO关联测试

testReservedOuGPOs

AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND

Found non-Amazon GPOs attached to the Amazon Reserved OU: Amazon Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the Amazon Reserved OU.

如果您的自管理 AD OU 上的 Amazon 预留控制OU器和域控制器链接到未经授权GPOs，则会出现。

（只有 Amazon 托管组策略对象 (GPOs) 可以链接到这些对象OUs。移除任何未经授权的GPOs链接到自行管理的 AD OU 上的 Amazon 预留控制OU器和域控制器。

Amazon 预留OU资源测试

testAwsReservedOUResources

AWS_RESERVED_OU_NOT_FOUND

The Amazon Reserved OU does not exist. Please contact Amazon Support.

如果您的自管理 AD 中OU不存在 Amazon 预留，则会发生这种情况，这是托管 Microsoft AD 目录功能所必需 Amazon 的。

R Amazon es OU erved 必须在混合目录设置期间自动创建，不应删除。如果此错误仍然存在，请联系 Amazon Web Services 支持。

Amazon 预留OU资源测试

testAwsReservedOUResources

AWS_RESERVED_OU_RESOURCES_MISMATCH

The following required resources are missing from Amazon Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in Amazon Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs

如果在您的自管理 AD 上OU创建的 Reserved 不包含所需的对象，并且无法GPOs进行适当的混合目录操作，则会发生这种情况。 Amazon

确保没有人编辑 Amazon 保留的OU。它必须包含所需的 Amazon托管资源。移除任何未经授权的对象或 GPOs，如果缺少所需资源，请联系 Amazon Web Services 支持。

Amazon 预留OU测试

testCleanAwsReservedOU

AWS_RESERVED_RESOURCES_STILL_EXIST

Amazon Reserved OU or Amazon Reserved GPO still exists, please delete.

如果在您的自管理 AD 上找到的来自先前混合目录设置的 Amazon 预留资源仍然存在，则会出现。

从控制台中删除现有失败的混合目录。然后，在继续操作之前OU，请GPOs从您的自行管理的广告中删除所有 Amazon 预留和相关广告。

Bridgehead 命名上下文测试

testBridgeheadNamingContext

NAMING_CONTEXT_INCONSISTENT

failureDetails

如果自行管理的 AD 在使用 Bridgehead 的站点之间的复制与预期不符，就会出现此错误。如果各站点之间的命名上下文不同步，也有可能出现此错误。

自行管理的 AD bridgehead 站点必须成功。可通过以下方式进一步诊断：repadmin /bridgeheads /verbose。请先解决该评测中的问题，然后再继续。

子域测试

testChildDomain

CHILD_DOMAIN_NOT_SUPPORTED

Child Domains are not supported for Hybrid Directory.

如果你的自我管理的 AD 林包含子域，而 Amazon 托管 Microsoft AD 目录不支持这些子域，则会出现这种情况。

Amazon 托管的 Microsoft AD 目录不支持子域。自行管理的 AD 必须使用单域林。有关更多信息，请参阅 Microsoft Active Directory 域要求。

DcDiag 测试

testDcDiag

DCDIAG_TEST_FAILED

DCDiag test failed due to issue from [formatedFailedTests].

如果自行管理的 AD 上有任何 Microsoft DCDiag 测试失败，就会出现此错误。

Amazon DCDiag用于测试您的自行管理 AD。如果出现错误，就无法创建混合目录。有关更多信息，请参阅 Microsoft 文档。

DNSIP 匹配测试

testDnsIpMatch

DNS_IP_MISMATCH

DNS IP address does not match expected IP addresses.

如果为自行管理的 AD 提供的 DNS IP 地址与通过 Amazon Systems Manager启用的自行管理 AD 域控制器上的 DNS IP 地址不匹配，就会出现此错误。

请提供正确的 DNS IP 地址。

DNS 名称匹配测试

testDnsNameMatch

DOMAIN_DNS_NAME_MISMATCH

DNS name does not match expected domain name.

如果为自行管理的 AD 提供的 DNS 名称与通过 Amazon Systems Manager启用的自行管理 AD 域控制器上的 DNS 名称不匹配，就会出现此错误。

请提供正确的 DNS 名称。

DNS 记录测试

testDnsRecords

DNS_RECORD_MISSING

Unable to resolve the following DNS queries: [missingRecordsString].

如果未为类型 A、NS、SOA 和 SRV 设置 Windows DNS 记录，但可以查询记录，就会出现此错误。

必须为地址（A）、命名空间（NS）、授权状态（SOA）和服务记录（SRV）设置 DNS 记录，并且可以查询。有关更多信息，请参阅 Microsoft 文档。

域林功能级别测试

testDomainForestFunctionalLevel

UNSUPPORTED_FUNCTIONAL_LEVEL

Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.

如果自行管理的 AD 域和林功能级别不符合最低要求，就会出现此错误。

自行管理的 AD 必须使用 Windows 2012 R2 或 2016 功能级别。有关更多信息，请参阅 Microsoft 文档。

域运行状况测试

testOnPremDcNumber

DC_NUMBER_BELOW_LIMIT

On-Prem DC count is lower than required number. DC count is NumberOfDc, Amazon required number is DcMinimum.

如果自行管理的 AD 没有所需的最少域控制器数，就会出现此错误。

确保您的自管理 AD 至少启用了两个域控制器。 Amazon Systems Manager有关更多信息，请参阅 Microsoft Active Directory 域要求。

现有域测试

testDomainAlreadyJoined

DOMAIN_ALREADY_JOINED

Instance is already joined to a domain.

如果自行管理的 AD 域已加入现有的混合目录，就会出现此错误。

自行管理的 AD 域已加入现有的混合目录。通过混合目录加入的每个自行管理的 AD 域都必须是唯一的。创建新的自行管理的 AD 域，或将其从加入的混合目录配置中移除。

FSMO 连接测试

testFsmoConnectivity

FSMO_ROLE_HOLDER_NOT_ROUTABLE

(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].

如果您的自管理 AD and/or RID Master IPs 上的FSMO角色不可路由PDC Emulator，则会出现。

主域控制器（PDC）必须始终可以路由。具体而言，是您的自我管理广告RID Master IPs 的PDC Emulator和。有关更多信息，请参阅 Microsoft Active Directory 域要求。

FSMO 连接测试

testFsmoConnectivity

FSMO_ROLE_MISSING

FSMO role(s): [missingRolesString] missing or DNS Record not found.

如果自行管理的 AD 域控制器无法访问 FSMO 角色，就会出现此错误。

自行管理的 AD 中的灵活单主机操作（FSMO）角色必须连接到自行管理的 AD 域控制器。有关更多信息，请参阅 Microsoft 文档。

IP 冲突测试

testIpConflict

IP_RANGE_CONFLICT

Conflicting IP address detected: ipOverlaps

如果自行管理的 AD 的 IP 范围与 Amazon 预留范围重叠，就会出现此错误。

您的自管理 AD 不能使用与预留 IP 范围重叠的 Amazon IP 地址范围。有关更多信息，请参阅 Microsoft Active Directory 域要求。

Kerberos 测试

testKerberos

KERBEROS_AUTHENTICATION_FAILED

Unable to get kerberos TGT.

如果 Kerberos 配置不正确，且正在使用，就会出现此错误。

必须在自行管理的 AD 上启用 Kerberos。有关更多信息，请参阅 Microsoft 文档。

LDAP 连接测试

testLdapConnectivity

LDAP_TEST_FAILED

Unable to query LDAP with rootDSE call.

如果 LDAP 不起作用，就会出现此错误。

轻量级目录访问协议（LDAP）必须启用并在自行管理的 AD 上运行。有关更多信息，请参阅 Microsoft 文档。

FSMO 的非只读域控制器测试

testNotRodcForFsmo

FSMO_FOUND_ON_RODC

FSMO Role Found on RODC

如果自行管理的 AD 域控制器的 FSMO 角色为 RODC，就会出现此错误。

自行管理的 AD 的域控制器不得使用只读域控制器（RODC）的灵活单主机操作（FSMO）角色。有关更多信息，请参阅 Microsoft 文档。

只读域控制器密码复制测试

testRodcPasswordReplication

RODC_REPLICATE_ADMIN_PASSWORD

ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].

如果 RODC 拥有复制管理员密码的权限，就会出现此错误。

必须明确拒绝自行管理的 AD 的 RODC 进行管理员密码复制的权限。有关更多信息，请参阅 Microsoft 文档。

只读域控制器测试

testIsDCRodc

DC_READONLY_MODE

Provided Domain Controller is set to Read-Only mode.

如果自行管理的 AD 域控制器处于 ReadOnlyDC 模式，就会出现此错误。

自行管理的 AD 必须为读写域控制器。有关域控制器类型的更多信息，请参阅 Microsoft 文档。

远程端口连接测试

testPortConnectivity

PORT_TEST_FAILED

Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].

如果 Amazon 子网上的必需端口和自管理的 AD 域控制器未打开，则会出现。

确保您的 Amazon 子网和自管理 AD 之间的所有必需端口均处于打开状态。请参阅网络端口要求了解更多信息。

复制测试

testReplication

REPLICATION_FAILED

Replication failed for [failedDSAsString].

如果自行管理的 AD 域控制器复制失败，就会出现此错误。

自行管理的 AD 域控制器复制状态必须为成功。有关更多信息，请参阅 Microsoft 文档。

SMBV1 测试

testSMBV1

INSECURE_SETTING_SMB

SMBv1 is enabled on the system.

如果自行管理的 AD 当前使用 SMBv1 进行身份验证，就会出现此错误。

已知 SMBv1 不安全，必须在自行管理的 AD 上予以禁用。有关更多信息，请参阅 Microsoft 文档。

SSM 用户权限测试

testSSMUserPermissions

INSUFFICIENT_PERMISSIONS

Systems Manager user does not have required elevated privileges.

如果 SSM 使用的 Windows 用户权限不足，就会出现此错误。

您需要Windows管理员权限才能使用自行管理的 AD 上的 Amazon 系统管理器 (SSM) 代理。有关更多信息，请参阅 Amazon Web Services 账户 权限。

Sysvol 复制测试

testSysvolReplication

DFSR_FAILURE_DETECTED

Failed DFSR event logs: failedLogsString.

如果自行管理的 AD 没有正确的 sysvol 复制方法（DFSR），并且在 DFSR 复制事件期间发生任何 DCs 失败，就会出现此错误。

自行管理的 AD 的 sysvol 复制方法（DFSR）必须成功。有关更多信息，请参阅 Microsoft 文档。

顶级 GPO 测试

testTopLevelEnforcedGPO

TOP_LEVEL_ENFORCED_GPO_FOUND

GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.

如果自行管理的 AD 将顶级 GPOs 设置为“强制”，就会出现此错误。

确保自行管理的 AD 域的顶级组策略对象（GPO）未设置为“强制”。有关更多信息，请参阅 Microsoft 文档。

信任类型测试

testTrustTypes

INVALID_TRUST_TYPE

Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported.

如果自行管理的 AD 具有不支持的信任类型，就会出现此错误。

Uplevel 是混合目录支持的唯一信任类型。自行管理的 AD 不能具有以下信任类型：DCE、MIT、Downlevel。有关信任类型的更多信息，请参阅 Microsoft 文档。

有效域控制器测试

testValidDC

COMPUTER_NOT_DC

Provided instance is not a domain controller.

如果所提供的自行管理的 AD 实例不是域控制器，或者已经是其他混合目录的一部分，就会出现此错误。

请提供此混合目录独有的自行管理的 AD 域控制器。使用新目录重试。确保您已删除失败的混合目录以及自管理 AD Amazon OU 中的所有目录。