AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

信任创建状态原因

信任创建失败时,状态消息中将包含其他信息。以下信息可帮助您理解这些消息的含义。

访问被拒绝

尝试创建信任时访问被拒绝。信任密码不正确,或远程域的安全设置不允许配置信任。要解决此问题,请尝试以下操作:

  • 请验证使用的信任密码与在远程域上创建相应信任时使用的密码相同。

  • 验证域安全设置允许创建信任。

  • 验证本地安全策略设置是否正确。具体来说,检查 Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously 并确保其至少包含以下三个命名管道:

    • netlogon

    • samr

    • lsarpc

注意

默认情况下,Network access: Named Pipes that can be accessed anonymously 未设置并显示 Not Defined。这是正常的,因为域控制器对于 Network access: Named Pipes that can be accessed anonymously 的有效默认设置为 netlogonsamrlsarpc

指定域名不存在或无法访问

要解决此问题,请确保域的安全组设置和 VPC 的访问控制列表 (ACL) 正确,并已准确输入条件转发服务器信息。有关安全要求的更多信息,请参阅何时创建信任关系

如果这样做不能解决问题,则可能是因为缓存了以前创建的条件转发服务器的信息,从而阻止了创建新的信任。请等待几分钟,然后再次尝试创建信任和条件转发服务器。

用于测试信任的常用工具

DirectoryServicePortTest 测试工具在排除 AWS Managed Microsoft AD 和本地 Active Directory 之间的信任创建问题时非常有用。有关如何使用工具的示例,请参阅测试 AD Connector