Motivos de los estados al crear relaciones de confianza - AWS Directory Service
Acceso denegadoEl dominio no existeNo se pudo llevar a cabo la operaciónHa ocurrido un error durante la creación de relaciones de confianzaHerramientas de solución de problemas de confianza

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Motivos de los estados al crear relaciones de confianza

Cuando se produce un error en la creación de confianza para Microsoft AD AWS administrado, el mensaje de estado contiene información adicional. A continuación se detallan los elementos que pueden ayudarlo a comprender el significado de esos mensajes.

Acceso denegado

Se ha rechazado el acceso al intentar crear la relación de confianza. O la contraseña de confianza es incorrecta o bien la configuración de seguridad del dominio remoto no permite configurar una relación de confianza. Para obtener más información sobre las confianzas, consulteMejorar la eficiencia de la confianza con nombres de sitios y DCLocator. Para resolver este problema, pruebe lo siguiente:

  • Compruebe que está utilizando la misma contraseña de confianza que utilizó al crear la relación de confianza correspondiente en el dominio remoto.

  • Compruebe también que la configuración de seguridad de su dominio permite crear relaciones de confianza.

  • Compruebe que la política de seguridad local está configurada correctamente. Compruebe específicamente Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously y asegúrese de que contiene al menos las siguientes tres canalizaciones mencionadas a continuación:

    • netlogon

    • samr

    • lsarpc

  • Compruebe que las canalizaciones mencionadas anteriormente existan como valores de la clave de NullSessionPipesregistro que se encuentra en la ruta de registro HKLM\\ SYSTEMCurrentControlSet\ services\LanmanServer\ Parameters. Estos valores deben insertarse en filas separadas.

    nota

    Network access: Named Pipes that can be accessed anonymously no está configurado de forma predeterminada y se mostrará Not Defined. Esto es normal, ya que la configuración predeterminada efectiva del controlador de dominio de Network access: Named Pipes that can be accessed anonymously es netlogon, samr, lsarpc.

  • Compruebe la siguiente configuración de firma del bloque de mensajes del servidor (SMB) en la política de controladores de dominio predeterminada. Estos ajustes se encuentran en Configuración del equipo > Configuración de Windows > Configuración de seguridad > Políticas locales/opciones de seguridad. Deben coincidir con la siguiente configuración:

    • Microsoft cliente de red: firma digitalmente las comunicaciones (siempre): predeterminado: activado

    • Microsoft cliente de red: firma digitalmente las comunicaciones (si el servidor está de acuerdo): Predeterminado: activado

    • Microsoft servidor de red: firmar digitalmente las comunicaciones (siempre): activado

    • Microsoft servidor de red: firme digitalmente las comunicaciones (si el cliente está de acuerdo): predeterminado: habilitado

Mejorar la eficiencia de la confianza con nombres de sitios y DCLocator

El nombre del primer sitio no Default-First-Site-Name es un requisito para establecer relaciones de confianza entre dominios. Sin embargo, alinear los nombres de los sitios entre los dominios puede mejorar considerablemente la eficacia del proceso de localización de controladores de dominio (DCLocator). Esta alineación mejora la predicción y el control de la selección de controladores de dominio en los fideicomisos forestales.

El DCLocator proceso es crucial para encontrar controladores de dominio en diferentes dominios y bosques. Para obtener más información sobre el DCLocator proceso, consulte Microsoft documentación. La configuración eficiente del sitio permite una ubicación más rápida y precisa del controlador de dominio, lo que se traduce en un mejor rendimiento y confiabilidad en las operaciones entre bosques.

Para obtener más información sobre cómo interactúan los nombres de los sitios y los DCLocator procesos, consulte lo siguiente Microsoft artículos:

El nombre de dominio especificado no existe o no se pudo contactar con él

Para resolver este problema, asegúrese de que la configuración del grupo de seguridad de su dominio y su VPC lista de control de acceso (ACL) sea correcta y de que haya introducido correctamente la información de su reenviador condicional. AWS configura el grupo de seguridad para que abra únicamente los puertos necesarios para las comunicaciones de Active Directory. En la configuración predeterminada, el grupo de seguridad acepta el tráfico a estos puertos desde cualquier dirección IP. El tráfico saliente está restringido al grupo de seguridad. Deberá actualizar la regla de salida del grupo de seguridad para permitir el tráfico a su red en las instalaciones. Para obtener más información sobre los requisitos de seguridad, consulte Paso 2: preparación de su AWS Managed Microsoft AD.

Editar el grupo de seguridad

Si los DNS servidores de las redes de los demás directorios utilizan direcciones IP públicas (RFCdistintas de 1918), necesitará agregar una ruta IP en el directorio desde la consola de servicios de directorio hasta los DNS servidores. Para obtener más información, consulte Crear, verificar o eliminar una relación de confianza y Requisitos previos.

La Autoridad de números asignados de Internet (IANA) ha reservado los tres bloques siguientes del espacio de direcciones IP para redes de Internet privadas:

  • 10.0.0.0 - 10.255.255.255 (prefijo 10/8)

  • 172.16.0.0 - 172.31.255.255 (prefijo 172.16/12)

  • 192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)

Para obtener más información, consulte https://tools.ietf.org/html/rfc1918.

Compruebe que el nombre del sitio de AD predeterminado para su Microsoft AD AWS administrado coincide con el nombre del sitio de AD predeterminado de su infraestructura local. El equipo determina el nombre del sitio mediante un dominio del que el equipo es miembro, no a partir del dominio del usuario. Si se cambia el nombre del sitio para que coincida con las instalaciones más cercanas, se garantiza que el localizador de centros de distribución utilizará un controlador de dominio del sitio más cercano. Si esto no resuelve el problema, es posible que se almacenara en caché la información desde un programa de envío condicional creado anteriormente que esté impidiendo crear una nueva relación de confianza. Espere unos minutos y, a continuación, vuelva a crear la relación de confianza y el programa de envío condicional.

Para obtener más información sobre cómo funciona esto, consulte Domain Locator Across a Forest Trust en Microsoft sitio web.

Primer nombre predeterminado del sitio

No se pudo llevar a cabo la operación en este dominio

Para resolver este problema, asegúrese de que ambos dominios o directorios no tengan NETBIOS nombres superpuestos. Si los dominios o directorios tienen NETBIOS nombres superpuestos, vuelva a crear uno de ellos con un NETBIOS nombre diferente e inténtelo de nuevo.

La creación de relaciones de confianza no se puede llevar a cabo debido al error “Required and valid domain name”

DNSlos nombres solo pueden contener caracteres alfabéticos (A-Z), caracteres numéricos (0-9), el signo menos (-) y un punto (.). El punto es un carácter que solo se permite cuando se utiliza para delimitar los componentes de los nombres de estilo de dominio. Tenga en cuenta las siguientes soluciones:

  • AWS Microsoft AD administrado no admite confianzas con dominios de etiqueta única. Para obtener más información, consulte Microsoft compatibilidad con dominios de etiqueta única.

  • Según RFC 1123 (https://tools.ietf.org/html/rfc1123), los únicos caracteres que se pueden usar en DNS las etiquetas son de la «A» a la «Z», de la «a» a la «z», del «0" al «9" y un guión («-»). El punto [.] también se usa en los DNS nombres, pero solo entre DNS etiquetas y al final de una. FQDN

  • Según RFC 952 (https://tools.ietf.org/html/rfc952), un «nombre» (nombre de red, servidor, puerta de enlace o dominio) es una cadena de texto de hasta 24 caracteres extraída del alfabeto (A-Z), dígitos (0-9), signo menos (-) y punto (.). Tenga en cuenta que los puntos solo se permiten cuando sirven para delimitar los componentes de los “nombres de estilo de dominio”.

Para obtener más información, consulte Cumplir con las restricciones de nombres para hosts y dominios en Microsoft sitio web.

Herramientas generales de comprobación de confianza

Las siguientes son herramientas que se pueden utilizar para solucionar diversos problemas relacionados con la confianza.

AWS Herramienta de solución de problemas de automatización de Systems Manager

Support Automation Workflows (SAW) aprovecha AWS Systems Manager Automation para proporcionarle un manual predefinido para AWS Directory Service. La AWSSupport herramienta TroubleshootDirectoryTrust runbook le ayuda a diagnosticar problemas comunes de creación de confianza entre Microsoft AD AWS administrado y un entorno local Microsoft Active Directory.

DirectoryServicePortTest herramienta

La herramienta de DirectoryServicePortTestpruebas puede resultar útil a la hora de solucionar problemas de creación de confianza entre Microsoft AD AWS administrado y Active Directory local. Para ver un ejemplo de cómo se puede utilizar la herramienta, consulte Probar el conector de AD.

NETDOMy herramienta NLTEST

Los administradores pueden utilizar las herramientas de línea de comandos Netdom y Nltest para buscar, mostrar, crear, eliminar y gestionar las reacciones de confianza. Estas herramientas se comunican directamente con la LSA autoridad de un controlador de dominio. Para ver un ejemplo de cómo utilizar estas herramientas, consulte Netdom y NLTESTen Microsoft sitio web.

Herramienta de captura de paquetes

Puede utilizar el complemento de captura de paquetes de Windows integrado para investigar y solucionar un posible problema de red. Para obtener más información, consulte Capture a Network Trace without installing anything.