信任创建状态原因 - Amazon Directory Service
访问被拒绝域不存在无法执行操作信任创建失败信任问题排查工具
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

信任创建状态原因

信任创建失败时,状态消息中将包含其他信息。以下信息可帮助您理解这些消息的含义。

访问被拒绝

尝试创建信任时访问被拒绝。信任密码不正确,或远程域的安全设置不允许配置信任。要解决此问题,请尝试以下操作:

  • Amazon 托管 Microsoft AD Active Directory 和Active Directory你希望与之建立信任关系的自我管理广告必须具有相同的第一个站点名称。“第一个站点” 名称设置为Default-First-Site-Name。如果域名之间存在差异,则会出现拒绝访问错误。

  • 请验证使用的信任密码与在远程域上创建相应信任时使用的密码相同。

  • 验证域安全设置允许创建信任。

  • 验证本地安全策略设置是否正确。具体来说,检查 Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously 并确保其至少包含以下三个命名管道:

    • netlogon

    • samr

    • lsarpc

  • 验证上面命名的管道是否作为注册表项的值存在,该注册表项位于NullSessionPipes注册表路径 HKLM\ SYSTEM\\ services\\ Par CurrentControlSet am eters 中。LanmanServer这些值必须插入到分隔的行上。

    注意

    默认情况下,Network access: Named Pipes that can be accessed anonymously 未设置并显示 Not Defined。这是正常的,因为域控制器对于 Network access: Named Pipes that can be accessed anonymously 的有效默认设置为 netlogonsamrlsarpc

  • 验证默认域控制器策略中的以下服务器消息块 (SMB) 签名设置。这些设置可以在 “计算机配置” > “Windows 设置” > “安全设置” > “本地策略/ 安全选项” 下找到。它们应与以下设置相匹配:

    • Microsoft网络客户端:对通信进行数字签名(总是):默认:启用

    • Microsoft网络客户端:对通信进行数字签名(如果服务器同意):默认:启用

    • Microsoft网络服务器:对通信进行数字签名(总是):已启用

    • Microsoft网络服务器:对通信进行数字签名(如果客户同意):默认:启用

指定域名不存在或无法访问

要解决此问题,请确保域的安全组设置和 VPC 的访问控制列表(ACL)正确,并已准确输入条件转发服务器信息。 Amazon 将安全组配置为仅打开 Active Directory 通信所需的端口。在默认配置中,安全组接受从任意 IP 地址到这些端口的流量。出站流量仅限于安全组。您需要更新安全组的出站规则,以允许流量流入本地网络。有关安全要求的更多信息,请参阅 步骤 2:准备 Amazon Managed Microsoft AD

编辑安全组

如果其他目录网络的 DNS 服务器使用公用(非 RFC 1918)IP 地址,则需要在目录上添加一条从 Directory Services 控制台到 DNS 服务器的 IP 路由。有关更多信息,请参阅 创建、验证或删除信任关系先决条件

互联网号码分配机构(IANA)已为私有互联网保留了以下 3 块 IP 地址空间:

  • 10.0.0.0 - 10.255.255.255(10/8 前缀)

  • 172.16.0.0 - 172.31.255.255(172.16/12 前缀)

  • 192.168.0.0 - 192.168.255.255(192.168/16 前缀)

欲了解更多信息,请参阅 https://tools.ietf.org/html/rfc1918

验证 Amazon 托管 Microsoft AD 的默认 AD 站点名称是否与本地基础架构中的默认 AD 站点名称相匹配。计算机使用计算机所属的域而不是用户的域来确定站点名称。将站点重命名为与最近的本地站点相匹配,可确保 DC 定位器使用最近站点的域控制器。如果这样做不能解决问题,则可能是因为缓存了以前创建的条件转发服务器的信息,从而阻止了创建新的信任。等待几分钟,然后再次尝试创建信任和条件转发服务器。

有关其工作原理的更多信息,请参阅Microsoft网站上的跨森林信托的域定位器

默认的第一个站点名称

无法在此域上执行该操作

要解决此问题,请确保两个域/目录的 NETBIOS 名称不重叠。如果域/目录确实有重叠的 NETBIOS 名称,请使用不同的 NETBIOS 名称重新创建其中一个,然后重试。

由于出现“必填且有效的域名”错误,信任创建失败

DNS 名称只能包含字母字符(A-Z)、数字字符(0-9)、减号(-)和句点(.)。只有当句点字符用于分隔域样式名称的组成部分时,才允许使用。另请考虑以下事项:

  • Amazon 托管 Microsoft AD 不支持使用单标签域名的信任。有关更多信息,请参阅对单标签域的Microsoft支持

  • 根据 RFC 1123(https://tools.ietf.org/html/rfc1123),DNS 标签中唯一可以使用的字符是 A-Z、a-z、0-9 以及连字符(-)。DNS 名称中也使用句点 [.],但只能在 DNS 标签之间和 FQDN 结尾处使用。

  • 根据 RFC 952(https://tools.ietf.org/html/rfc952),名称(网络、主机、网关或域名)是一个不超过 24 个字符的文本字符串,可使用字母(A-Z)、数字(0-9)、减号(-)和句点(.)创建。请注意,只有当句点用于分隔域名样式名称的组成部分时,才允许使用。

有关更多信息,请参阅Microsoft网站上的遵守主机和域名的名称限制

用于测试信任的一般工具

以下是可用于排查各种信任相关问题的工具。

Amazon Systems Manager 自动化疑难解答工具

S@@ upport Automation Workflows (SAW) 利用 S Amazon ystems Manager 自动化为你提供预定义的运行手册。 Amazon Directory ServiceTroubleshootDirectoryTrust运行手册工具可帮助您诊断 Amazon 托管 Microsoft AD 和本地部署MicrosoftActive Directory之间常见的信任创建问题。AWSSupport

DirectoryServicePortTest 工具

在解决 Amazon 托管 Microsoft AD 和本地 Active Directory 之间的信任创建问题时,该DirectoryServicePortTest测试工具可能很有用。有关如何使用工具的示例,请参阅测试 AD Connector

NETDOM 和 NLTEST 工具

管理员可以同时使用 NetdomNltest 命令行工具来查找、显示、创建、删除和管理信任。这些工具直接与域控制器上的 LSA 机构通信。有关如何使用这些工具的示例,请参阅网站上的 NetdomNLTEST。Microsoft

数据包捕获工具

您可以使用内置的 Windows 软件包捕获实用程序来调查和解决潜在的网络问题。有关更多信息,请参阅 Capture a Network Trace without installing anything