Gründe für den Status der Vertrauensstellung - AWS Directory Service
Zugriff verweigertDomain ist nicht vorhandenDer Vorgang konnte nicht ausgeführt werdenErstellung einer Vertrauensstellung fehlgeschlagenTools für die Fehlersuche bei Vertrauensstellungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gründe für den Status der Vertrauensstellung

Wenn Erstellung von Vertrauensstellungen nicht erfolgreich ist, enthält die Statusmeldung weitere Informationen. Hier finden Sie Hilfe zu verstehen, was diese Nachrichten bedeuten.

Zugriff verweigert

Der Zugriff wurde verweigert, wenn Sie versuchen, die Vertrauensstellung zu erstellen. Entweder das Vertrauensstellungspasswort ist falsch, oder die Sicherheitseinstellungen der Remote-Domain ermöglichen keine Konfiguration der Vertrauensstellung. Versuchen Sie Folgendes, um dieses Problem zu beheben:

  • Das AWS Managed Microsoft AD Active Directory und die selbstverwaltete , mit der Active Directory Sie eine Vertrauensstellung erstellen möchten, müssen denselben Namen für die erste Website haben. Der Name des ersten Standorts ist auf festgelegtDefault-First-Site-Name. Ein Fehler aufgrund Zugriffsverweigerung tritt auf, wenn diese Namen zwischen Domänen variieren.

  • Stellen Sie sicher, dass Sie das gleiche Vertrauensstellungspasswort verwenden wie beim Erstellen der entsprechenden Vertrauensstellung in der Remote-Domain.

  • Vergewissern Sie sich außerdem, dass Ihre Domain-Sicherheitseinstellungen die Erstellung von Vertrauensstellungen ermöglichen.

  • Überprüfen Sie, ob Ihre lokale Sicherheitsrichtlinie korrekt eingerichtet ist. Überprüfen Sie insbesondere Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously und stellen Sie sicher, dass sie mindestens die drei folgenden benannten Pipes enthält:

    • netlogon

    • samr

    • lsarpc

  • Stellen Sie sicher, dass die oben genannten Pipes als Wert(e) auf dem NullSessionPipes Registrierungsschlüssel vorhanden sind, der sich im Registrierungspfad HKLM\SYSTEM\CurrentControlSet\servicesLanmanServer\Parameter befindet. Diese Werte müssen in getrennten Zeilen eingefügt werden.

    Anmerkung

    Standardmäßig ist Network access: Named Pipes that can be accessed anonymously nicht festgelegt und zeigt Not Defined an. Das ist normal, weil die effektiven Standardeinstellungen für Network access: Named Pipes that can be accessed anonymously des Domain-Controllers gleich netlogon, samr, lsarpc sind.

  • Überprüfen Sie die folgende Einstellung für Server Message Block (SMB) Signing in der Standardrichtlinie für Domain-Controller. Diese Einstellungen finden Sie unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien/Sicherheitsoptionen. Sie sollten den folgenden Einstellungen entsprechen:

    • Microsoft Netzwerkclient: Digital signieren Sie die Kommunikation (als immer): Standard: Aktiviert

    • Microsoft Network Client: Digitale Signierung der Kommunikation (wenn der Server zustimmt): Standard: Aktiviert

    • Microsoft Netzwerkserver: Digitale Sign-Kommunikation (als immer): Aktiviert

    • Microsoft Netzwerkserver: Digital signieren Sie die Kommunikation (wenn der Client zustimmt): Standard: Aktiviert

Der angegebene Domain-Name ist nicht vorhanden oder konnte nicht hergestellt werden

Um dieses Problem zu beheben, vergewissern Sie sich, dass die Einstellungen der Sicherheitsgruppe für Ihre Domain und die Zugriffssteuerungsliste (ACL) für Ihre VPC korrekt sind und Sie die Informationen für Ihre bedingte Weiterleitung richtig eingegeben haben. AWS konfiguriert die Sicherheitsgruppe so, dass sie nur die Ports öffnet, die für die Active-Directory-Kommunikation erforderlich sind. In der Standard-Konfiguration akzeptiert die Sicherheitsgruppe Datenverkehr zu diesen Ports von jeder beliebigen IP-Adresse aus. Ausgehender Verkehr ist auf die Sicherheitsgruppe beschränkt. Sie müssen die Regel für ausgehenden Datenverkehr in der Sicherheitsgruppe aktualisieren, um den Datenverkehr in Ihr On-Premises-Netzwerk zuzulassen. Weitere Informationen zu Sicherheitsanforderungen finden Sie unter Schritt 2: Ihr AWS Managed Microsoft AD vorbereiten.

Sicherheitsgruppe bearbeiten

Wenn die DNS-Server für die Netzwerke der anderen Verzeichnisse öffentliche (nicht RFC 1918) IP-Adressen verwenden, müssen Sie eine IP-Route auf dem Verzeichnis von der Directory Services Console zu den DNS-Servern hinzufügen. Weitere Informationen finden Sie unter Eine Vertrauensbeziehung erstellen, überprüfen oder löschen und Voraussetzungen.

Die Internet Assigned Numbers Authority (IANA) hat die folgenden drei Blöcke der IP-Adressumgebung für private Internetdienste reserviert:

  • 10.0.0.0 - 10.255.255.255 (10/8 Präfix)

  • 172.16.0.0 - 172.31.255.255 (172.16/12 Präfix)

  • 192.168.0.0 - 192.168.255.255 (192.168/16 Präfix)

Weitere Informationen finden Sie unter https://tools.ietf.org/html/rfc1918.

Stellen Sie sicher, dass der Standard-AD-Standortname für Ihr AWS Managed Microsoft AD mit dem Standard-AD-Standortnamen in Ihrer On-Premises-Infrastruktur übereinstimmt. Der Computer bestimmt den Namen des Standorts anhand einer Domain, in der der Computer Mitglied ist, und nicht anhand der Domain des Benutzers. Die Umbenennung des Standorts in den nächstgelegenen On-Premises-Standort stellt sicher, dass der DC Locator einen Domain-Controller vom nächstgelegenen Standort verwendet. Wenn dies das Problem nicht behebt, ist es möglich, dass Informationen aus einer zuvor erstellten bedingten Weiterleitung zwischengespeichert wurden und die Erstellung einer neuen Vertrauensstellung verhindern. Warten Sie einige Minuten und versuchen Sie dann erneut, die Vertrauensstellung und die bedingte Weiterleitung zu erstellen.

Weitere Informationen darüber, wie dies funktioniert, finden Sie unter Domain Locator incross a Forest Trust auf der -MicrosoftWebsite.

Standardname des ersten Standorts

Der Vorgang konnte in dieser Domain nicht ausgeführt werden

Um dieses Problem zu lösen, stellen Sie sicher, dass beide Domains bzw. Verzeichnisse keine überlappenden NETBIOS-Namen haben. Falls die Domains/Verzeichnisse sich überschneidende NETBIOS-Namen haben, erstellen Sie eines davon mit einem anderen NETBIOS-Namen neu und versuchen Sie es dann erneut.

Die Erstellung einer Vertrauensstellung schlägt aufgrund des Fehlers „Erforderlicher und gültiger Domainname“ fehl

DNS-Namen dürfen nur alphabetische Zeichen (A–Z), Ziffern (0–9), das Minuszeichen (-) und Punkte (.) enthalten. Punkte sind nur zulässig, wenn sie zur Abgrenzung der Bestandteile von Namen im Domain-Stil verwendet werden. Berücksichtigen Sie dabei auch Folgendes:

  • AWS Managed Microsoft AD unterstützt keine Vertrauensstellungen mit Single Label Domains. Weitere Informationen finden Sie unter -MicrosoftUnterstützung für Single Label Domains.

  • Laut RFC 1123 (https://tools.ietf.org/html/rfc1123) sind die einzigen Zeichen, die in DNS-Bezeichnungen verwendet werden können, „A“ bis „Z“, „a“ bis „z“, „0" bis „9" und ein Bindestrich („-“). Ein Punkt [.] wird auch in DNS-Namen verwendet, jedoch nur zwischen DNS-Labels und am Ende eines FQDN.

  • Gemäß RFC 952 (https://tools.ietf.org/html/rfc952) ist ein „Name“ (Netz-, Host-, Gateway- oder Domainname) eine Textkette mit bis zu 24 Zeichen aus dem Alphabet (A–Z), Ziffern (0–9), dem Minuszeichen (-) und dem Punkt (.). Beachten Sie, dass Punkte nur zulässig sind, wenn sie der Abgrenzung von Komponenten von Namen im „Domain-Stil“ dienen.

Weitere Informationen finden Sie unter Einhaltung von Namensbeschränkungen für Hosts und Domains auf der -MicrosoftWebsite.

Standard-Tools für das Testen von Vertrauensstellungen

Im Folgenden finden Sie Tools, mit denen Sie verschiedene Probleme im Zusammenhang mit Vertrauensstellungen beheben können.

AWS Tools zur Fehlerbehebung bei Systems Manager Automation

Support Automation Workflows (SAW) nutzen AWS Systems Manager Automation, um Ihnen ein vordefiniertes Runbook für bereitzustellen AWS Directory Service. Das AWSSupport-TroubleshootDirectoryTrustRunbook-Tool hilft Ihnen bei der Diagnose häufiger Probleme mit der Vertrauensstellung zwischen AWS Managed Microsoft AD und einem On-PremisesMicrosoft-Active Directory.

DirectoryServicePortTest -Tool

Das DirectoryServicePortTest Testtool kann bei der Behebung von Problemen mit der Vertrauensstellung zwischen AWS Managed Microsoft AD und On-Premises-Active-Directory hilfreich sein. Ein Beispiel, wie das Tool verwendet werden kann, finden Sie unter Testen Sie Ihren AD Connector.

NETDOM- und NLTEST-Tool

Administratoren können sowohl die Befehlszeilentools Netdom als auch Nltest verwenden, um Vertrauensstellungen zu finden, anzuzeigen, zu erstellen, zu entfernen und zu verwalten. Diese Tools kommunizieren direkt mit der LSA-Stelle auf einem Domain-Controller. Ein Beispiel für die Verwendung dieser Tools finden Sie unter Netdom und NLTEST auf der -MicrosoftWebsite.

Tool zur Paketerfassung

Sie können das integrierte Windows-Hilfsprogramm zur Paketerfassung verwenden, um ein potenzielles Netzwerkproblem zu untersuchen und zu beheben. Weitere Informationen finden Sie unter Eine Netzwerkverfolgung erfassen, ohne etwas zu installieren.