信托创建状态原因 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

信托创建状态原因

信任创建失败时,状态消息中将包含其他信息。以下信息可帮助您理解这些消息的含义。

访问被拒绝

尝试创建信任时访问被拒绝。信任密码不正确,或远程域的安全设置不允许配置信任。要解决此问题,请尝试以下操作:

  • 请验证使用的信任密码与在远程域上创建相应信任时使用的密码相同。

  • 验证域安全设置允许创建信任。

  • 验证本地安全策略设置是否正确。具体来说,检查 Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously 并确保其至少包含以下三个命名管道:

    • netlogon

    • samr

    • lsarpc

  • 验证上述命名管道是否作为上的值存在NULL 会话管道注册表路径中的注册表项HKLM\ SYSTEM\ CurrentControlSet\ 服务\ LanManan 服务器\ 参数. 必须将这些值插入到分隔的行上。

注意

默认情况下,Network access: Named Pipes that can be accessed anonymously 未设置并显示 Not Defined。这是正常的,因为域控制器对于 Network access: Named Pipes that can be accessed anonymously 的有效默认设置为 netlogonsamrlsarpc

指定域名不存在或无法访问

目的回复要解决此问题,请确保域的安全组设置和 VPC 的访问控制列表 (ACL) 正确,并已准确输入条件转发服务器信息。Amazon将安全组配置为仅打开 Active Directory 通信所需的端口。在默认配置中,安全组接受从任意 IP 地址到这些端口的流量。出站流量仅限于安全组。您需要更新安全组上的出站规则,以允许流量进入本地网络。有关安全要求的更多信息,请参阅第 2 步:准备您的Amazon托管的 Microsoft AD.


        编辑安全组

如果其他目录网络的 DNS 服务器使用公有 (非 RFC 1918) IP 地址,则需要在目录服务控制台到 DNS 服务器的目录上添加 IP 路由。有关更多信息,请参阅创建、验证或删除信任关系先决条件

互联网号码分配机构 (IANA) 为私有互联网预留了以下三个 IP 地址空间块:

  • 10.0.0.0 - 10.255.255.255(10/8 前缀)

  • 172.16.0.0 - 172.31.255.255(172.16/12 前缀)

  • 192.168.0.0 - 192.168.255.255(192.168/16 前缀)

有关更多信息,请参阅 。https://tools.ietf.org/html/rfc1918.

验证默认 AD 站点名称为了您的Amazon托管的 Microsoft AD 与默认 AD 站点名称在本地基础设施中。计算机使用计算机所属的域而不是用户的域来确定站点名称。重命名站点以匹配最近的本地可确保 DC 定位器将使用来自最近站点的域控制器。如果这样做不能解决问题,则可能是缓存了以前创建的条件转发服务器的信息,从而阻止创建新信任。请等待几分钟,然后再次尝试创建信任和条件转发服务器。

有关其工作方式的更多信息,请参阅。森林信托中的域定位器在微软的网站上。


        默认的第一站点名称

操作无法在此域中执行。

要解决此问题,请确保两个域/目录都没有重叠的 NETBIOS 名称。如果域/目录确实有重叠的 NETBIOS 名称,请使用不同的 NETBIOS 名称重新创建其中一个,然后重试。

信任创建失败是因为错误 “必需且有效的域名”

DNS 名称只能包含字母字符 (A-Z)、数字字符 (0-9)、减号 (-) 和句点 (.)。仅当句点字符用于分隔域样式名称的组成部分时,才允许使用它们。另外,请考虑以下事项:

  • Amazon托管 Microsoft AD 不支持使用单一标签域的信任。有关更多信息,请参阅 。微软对单一标签域的支持.

  • 根据 RFC 1123 (https://tools.ietf.org/html/rfc1123),DNS 标签中唯一可以使用的字符是 “A” 到 “Z”、“a” 到 “z”、“0” 到 “9" 以及连字符 (“-”)。DNS 名称中也使用句点 [.],但仅在 DNS 标签之间和 FQDN 结束时使用。

  • 根据 RFC 952 (https://tools.ietf.org/html/rfc952),“名称”(网络、主机、网关或域名)是从字母表(A-Z)、数字(0-9)、减号 (-) 和句点(.)中抽取的最多 24 个字符的文本字符串。请注意,只有在句点用于分隔 “域样式名称” 的组成部分时才允许使用。

有关更多信息,请参阅 。遵守主机和域名的名称限制在微软的网站上。

测试信任的常用工具

以下是可用于排除各种信任相关问题的工具。

AmazonSystems Manager 自动化排除工具

Support 自动化工作流 (SAW)杠杆作用AmazonSystems Manager 自动化为您提供预定义的运行手册Amazon Directory Service. 这些区域有:AWSSupport-TroubleshootDirectoryTrustrunbook 工具可以帮助您诊断之间的常见信任创建问题AmazonMicrosoft AD 和本地 Microsoft Active Directory。

DirectoryServicePortTest 工具

这些区域有:DirectoryServicePortTest测试工具在排除之间的信任创建问题时非常有用。Amazon托管微软 AD 和本地活动目录。有关如何使用工具的示例,请参阅测试 AD Connector

NETDOM 和 NLTEST 工具

管理员可以使用Netdom最新用于查找、显示、创建、删除和管理信任的命令行工具。这些工具直接与域控制器上的 LSA 授权机构进行通信。有关如何使用这些工具的示例,请参阅NetdomNLTEST在微软的网站上。

数据包捕获工具

你可以使用内置的 Windows 软件包捕获实用程序来调查和解决潜在的网络问题。有关更多信息,请参阅 。无需安装任何东西即可捕获网络.