信任创建状态原因 - Amazon Directory Service
访问被拒绝域不存在无法执行操作信任创建失败信任问题排查工具
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

信任创建状态原因

当 Amazon Managed Microsoft AD 信任创建失败时,状态消息中将包含其他信息。以下内容可以帮助您了解这些消息的含义。

访问被拒绝

尝试创建信任时访问被拒绝。信任密码不正确,或远程域的安全设置不允许配置信任。有关信任的更多信息,请参阅使用站点名称和 DCLocator 提高信任效率。要解决此问题,请尝试以下操作:

  • 请验证使用的信任密码与在远程域上创建相应信任时使用的密码相同。

  • 验证域安全设置允许创建信任。

  • 验证本地安全策略设置是否正确。具体来说,检查 Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously 并确保其至少包含以下三个命名管道:

    • netlogon

    • samr

    • lsarpc

  • 验证上面命名的管道是否作为 NullSessionPipes 注册表项的值存在,该注册表项位于注册表路径 HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters 中。这些值必须插入到分隔的行上。

    注意

    默认情况下,Network access: Named Pipes that can be accessed anonymously 未设置并显示 Not Defined。这是正常的,因为域控制器对于 Network access: Named Pipes that can be accessed anonymously 的有效默认设置为 netlogonsamrlsarpc

  • 验证默认域控制器策略中的以下服务器消息块(SMB)签名设置。这些设置可以在计算机配置 > Windows 设置 > 安全设置 > 本地策略/安全选项下找到。这些设置应与以下设置匹配:

    • Microsoft 网络客户端:对通信进行数字签名(总是):默认:启用

    • Microsoft 网络客户端:对通信进行数字签名(如果服务器同意):默认:启用

    • Microsoft 网络服务器:对通信进行数字签名(总是):默认:启用

    • Microsoft 网络服务器:对通信进行数字签名(如果客户端同意):默认:启用

使用站点名称和 DCLocator 提高信任效率

对于在域之间建立信任关系来说,第一个站点名称(例如 Default-First-Site-Name)不是必需的。但是,在域名之间对齐站点名称可显著提高域控制器定位器(dcLocator)的过程效率。这种对齐可改善跨林信任的域控制器选择预测与控制。

DCLocator 过程对于在不同的域和林中寻找域控制器至关重要。有关 DCLocator 过程的更多信息,请参阅 Microsoft 文档。高效的站点配置可以更快、更准确地定位域控制器,从而提高跨林操作的性能和可靠性。

有关站点名称和 DCLocator 过程如何相互影响的更多信息,请参阅以下 Microsoft 文章:

指定域名不存在或无法访问

要解决此问题,请确保域的安全组设置和 VPC 的访问控制列表(ACL)正确,并已准确输入条件转发服务器信息。Amazon 将安全组配置为仅打开 Active Directory 通信所需的端口。在默认配置中,安全组接受从任意 IP 地址到这些端口的流量。出站流量仅限于安全组。您需要更新安全组的出站规则,以允许流量流入本地网络。有关安全要求的更多信息,请参阅 步骤 2:准备 Amazon Managed Microsoft AD

编辑安全组

如果其他目录网络的 DNS 服务器使用公用(非 RFC 1918)IP 地址,则需要在目录上添加一条从 Directory Services 控制台到 DNS 服务器的 IP 路由。有关更多信息,请参阅创建、验证或删除信任关系先决条件

互联网号码分配机构(IANA)已为私有互联网保留了以下 3 块 IP 地址空间:

  • 10.0.0.0 - 10.255.255.255(10/8 前缀)

  • 172.16.0.0 - 172.31.255.255(172.16/12 前缀)

  • 192.168.0.0 - 192.168.255.255(192.168/16 前缀)

有关更多信息,请参阅 https://tools.ietf.org/html/rfc1918

验证 Amazon Managed Microsoft AD 的默认 AD 站点名称是否与本地基础设施中的默认 AD 站点名称相匹配。计算机使用计算机所属的域而不是用户的域来确定站点名称。将站点重命名为与最近的本地站点相匹配,可确保 DC 定位器使用最近站点的域控制器。如果这样做不能解决问题,则可能是因为缓存了以前创建的条件转发服务器的信息,从而阻止了创建新的信任。等待几分钟,然后再次尝试创建信任和条件转发服务器。

有关其工作原理的更多信息,请参阅 Microsoft 网站上的 Domain Locator Across a Forest Trust

默认的第一个站点名称

无法在此域上执行该操作

要解决此问题,请确保两个域/目录的 NETBIOS 名称不重叠。如果域/目录确实有重叠的 NETBIOS 名称,请使用不同的 NETBIOS 名称重新创建其中一个,然后重试。

由于出现“必填且有效的域名”错误,信任创建失败

DNS 名称只能包含字母字符(A-Z)、数字字符(0-9)、减号(-)和句点(.)。只有当句点字符用于分隔域样式名称的组成部分时,才允许使用。另请考虑以下事项:

  • Amazon Managed Microsoft AD 不支持对单个标签域的信任。有关更多信息,请参阅 Microsoft 对单个标签域的支持

  • 根据 RFC 1123(https://tools.ietf.org/html/rfc1123),DNS 标签中唯一可以使用的字符是 A-Z、a-z、0-9 以及连字符(-)。DNS 名称中也使用句点 [.],但只能在 DNS 标签之间和 FQDN 结尾处使用。

  • 根据 RFC 952(https://tools.ietf.org/html/rfc952),名称(网络、主机、网关或域名)是一个不超过 24 个字符的文本字符串,可使用字母(A-Z)、数字(0-9)、减号(-)和句点(.)创建。请注意,只有当句点用于分隔域名样式名称的组成部分时,才允许使用。

有关更多信息,请参阅 Microsoft 网站上的 Complying with Name Restrictions for Hosts and Domains

用于测试信任的一般工具

以下是可用于排查各种信任相关问题的工具。

Amazon Systems Manager 自动化问题排查工具

支持自动化工作流(SAW)利用 Amazon Systems Manager Automation 为您提供预定义的 Amazon Directory Service 运行手册。AWSSupport-TroubleshootDirectoryTrust 运行手册工具可帮助您诊断 Amazon Managed Microsoft AD 和本地 Microsoft Active Directory 之间常见的信任创建问题。

DirectoryServicePortTest 工具

DirectoryServicePortTest 测试工具在排除 Amazon Managed Microsoft AD 和本地 Active Directory 之间的信任创建问题时非常有用。有关如何使用工具的示例,请参阅测试 AD Connector

NETDOM 和 NLTEST 工具

管理员可以同时使用 NetdomNltest 命令行工具来查找、显示、创建、删除和管理信任。这些工具直接与域控制器上的 LSA 机构通信。有关如何使用这些工具的示例,请参阅 Microsoft 网站上的 NetdomNLTEST

数据包捕获工具

您可以使用内置的 Windows 软件包捕获实用程序来调查和解决潜在的网络问题。有关更多信息,请参阅 Capture a Network Trace without installing anything