评测警告消息 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

评测警告消息

下表描述了评测期间可能出现的警告消息。这些警告代表了最佳配置的建议,但不妨碍混合目录的设置。

测试名称

短名称

警告码

警告消息

描述

解决方案

域运行状况测试

testDisabledStaleUserNumber

STALE_USERS_FOUND

StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.

如果自行管理的 AD 中存在长时间未登录,且可能被视为过时或不活动的用户账户,就会出现此问题。

请清理过时的用户账户。

域控制器时间源测试

testDCTimeSource

DC_BAD_TIMESOURCE

Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source

如果自行管理的 AD 的时间源设置正确,且与 Amazon 时间源的时间偏差不大,就会出现此错误。

您的主域控制器(PDC)时间服务器已定向至 169.254.169.123。非主域控制器应指向 PDC 作为源。有关更多信息,请参阅与 Amazon Time Sync Service 保持时间同步

可用空间测试

testFreeSpace

DISK_SPACE_EXCEEDED

Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)

如果自行管理的 AD 的 NTDS 和 Sysvol 组合使用量超过支持的配额,就会出现此错误。

自行管理的 AD 应有 24 GB 的磁盘空间用于混合目录。

FSMO Roles 测试

testFSMORoles

FSMO_ROLE_TEST_FAILED

PDC Emulator (dc1.example.com) is not among the provided domain controllers.

RID Master (dc1.example.com) is not among the provided domain controllers.

如果在创建混合目录时提供的两个域控制器内不含 FSMO 角色(PDC Emulator 和 RID Master),就会出现此错误。

在创建混合目录时提供的两个域控制器中,您的混合目录应具有两个 FSMO 角色(PDC Emulator 和 RID Master)。有关更多信息,请参阅如何查看和转移 FSMO 角色

S 通道 SSP 测试

testSchannelSSP

TLS_1_2_NOT_ENABLED

Disabled protocol DisabledProtocol is still enabled.

如果自行管理的 AD 未使用 TLS1.2 和 AES256 加密,就会出现此错误。

自行管理的 AD 必须对混合目录使用 TLS 1.2 和 AES256。

磁盘损坏测试

testDiskCorruption

DISK_CORRUPT

Disk corruption detected on Drive.

如果自行管理的 AD 上存在磁盘损坏,就会出现此错误。

自行管理的 AD 磁盘不应损坏。

域控制器规格测试

testDcSpecs

INSUFFICIENT_RESOURCES

numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.

如果自行管理的 AD 域控制器不符合所需的规格,就会出现此错误。

自行管理的 AD 域控制器至少应有 7 GB 的 RAM 和 2 个 CPU 核心用于混合目录。

服务器级插件 Dll 测试

testServerLevelPluginDll

SERVER_LEVEL_PLUGIN_DLL_IS_SET

ServerLevelPluginDll registry configuration is not permitted.

如果在自行管理的 AD 域控制器上设置了 ServerLevelPluginDll,就会出现此错误。

自行管理的 AD 域控制器不应配置 ServerLevelPluginDII。

允许 NT4 加密测试

testAllowNT4Crypto

NT4_CRYPTO_NOT_ALLOWED

Registry key AllowNt4Crypto is not allowed.

如果自行管理的 AD 允许 NT4 加密,就会出现此错误。

自行管理的 AD 不应使用 NT4 加密。有关更多信息,请参阅 Microsoft 文档。

孤立管理员用户测试

testOrphanedAdminUsers

ORPHANED_ADMIN_USER_FOUND

OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].

如果自行管理的 AD 中存在孤立管理员用户,就会出现此问题。

请删除自行管理的 AD 上的孤立用户以继续。

特权用户数测试

testPrivilegedUserCount

DOMAIN_ADMIN_COUNT_EXCEEDED

Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).

如果自行管理的 AD 上的内置管理员、域管理员和企业管理员的总数大于 5,就会出现此错误。

自行管理的 AD 环境中不应有多个特权账户。应该删除多余的管理员账户以继续。

特权用户数测试

testPrivilegedUserCount

ENTERPRISE_ADMIN_COUNT_EXCEEDED

Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).

如果自行管理的 AD 上的内置管理员、域管理员和企业管理员的总数大于 5,就会出现此错误。

自行管理的 AD 环境中不应有多个特权账户。应该删除多余的管理员账户以继续。

特权用户数测试

testPrivilegedUserCount

BUILTIN_ADMIN_COUNT_EXCEEDED

Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).

如果自行管理的 AD 上的内置管理员、域管理员和企业管理员的总数大于 5,就会出现此错误。

自行管理的 AD 环境中不应有多个特权账户。应该删除多余的管理员账户以继续。

NTLM 测试

testNTLM

INSECURE_SETTING_NTLM

NTLMv1 is enabled.

如果在自行管理的 AD 上启用 NTLMv1 进行身份验证,就会出现此错误。

NT LAN Manager 版本 1(NTLMv1)存在已知的安全漏洞,不应使用此版本。在自行管理的 AD 上禁用 NTLMv1。有关更多信息,请参阅 Microsoft 文档

墓碑生命周期

testTombstoneLifetime

TOMBSTONE_LIFETIME_ABOVE_LIMIT

Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, Amazon suggested number is TombstoneMaximum days.

如果自行管理的 AD 上的墓碑有效期超过 180 天,就会出现此错误。

墓碑生命周期是指从 AD 中移除已删除对象之前的天数。自行管理的 AD 的墓碑生命周期值应为 180 天或者更短。有关更多信息,请参阅 Microsoft 文档