Raisons liées aux statuts de création d'une relation d'approbation - AWS Directory Service
L'accès est refuséLe domaine n'existe pasL'opération n'a pas pu être effectuéeÉchec de création d'une relation d'approbationOutils de résolution des problèmes d'approbation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Raisons liées aux statuts de création d'une relation d'approbation

Lorsque la création de confiance échoue pour AWS Managed Microsoft AD, le message d'état contient des informations supplémentaires. Ce qui suit peut vous aider à comprendre le sens de ces messages.

L'accès est refusé

Accès refusé lorsque vous essayez de créer la relation d'approbation. Le mot de passe de la relation d'approbation est incorrect ou les paramètres de sécurité du domaine distant n'autorisent pas la configuration d'une relation d'approbation. Pour plus d'informations sur les trusts, consultezAméliorer l'efficacité de la confiance grâce aux noms de sites et DCLocator. Pour résoudre ce problème, essayez ce qui suit :

  • Vérifiez que vous utilisez le même mot de passe de relation d'approbation que celui que vous avez utilisé lors de la création de la relation d'approbation correspondante sur le domaine distant.

  • Vérifiez que les paramètres de sécurité de votre domaine permettent la création de la relation d'approbation.

  • Vérifiez que votre stratégie de sécurité locale est définie correctement. En particulier, vérifiez Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously et assurez-vous que ce paramètre contient au moins les trois canaux nommés suivants :

    • netlogon

    • samr

    • lsarpc

  • Vérifiez que les canaux nommés ci-dessus existent en tant que valeur (s) sur la clé de NullSessionPipesregistre qui se trouve dans le chemin de registre HKLM\ SYSTEM \ CurrentControlSet \ services \ LanmanServer \ Parameters. Ces valeurs doivent être insérées sur des lignes séparées.

    Note

    Par défaut, Network access: Named Pipes that can be accessed anonymously n'est pas défini et affiche Not Defined. Ceci est normal, car les paramètres par défaut effectifs du contrôleur de domaine pour Network access: Named Pipes that can be accessed anonymously sont netlogon, samr, lsarpc.

  • Vérifiez le paramètre de signature du bloc de messages du serveur (SMB) suivant dans la politique des contrôleurs de domaine par défaut. Ces paramètres se trouvent sous Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales/Options de sécurité. Ils doivent correspondre aux paramètres suivants :

    • Microsoft client réseau : communications signées numériquement (toujours) : Par défaut : Activé

    • Microsoft client réseau : communications signées numériquement (si le serveur est d'accord) : par défaut : activé

    • Microsoft serveur réseau : communications signées numériquement (toujours) : Activé

    • Microsoft serveur réseau : Signer numériquement les communications (si le client est d'accord) : Par défaut : Activé

Améliorer l'efficacité de la confiance grâce aux noms de sites et DCLocator

Le nom du premier site n' Default-First-Site-Nameest pas obligatoire pour établir des relations de confiance entre les domaines. Cependant, l'alignement des noms de sites entre les domaines peut améliorer considérablement l'efficacité du processus Domain Controller Locator (DCLocator). Cet alignement améliore la prévision et le contrôle de la sélection des contrôleurs de domaine dans les forêts approuvées.

Le DCLocator processus est crucial pour trouver des contrôleurs de domaine dans différents domaines et forêts. Pour plus d'informations sur le DCLocator processus, voir Microsoft documentation. Une configuration de site efficace permet une localisation plus rapide et plus précise des contrôleurs de domaine, ce qui améliore les performances et la fiabilité des opérations interforestières.

Pour plus d'informations sur la manière dont les noms de sites et les DCLocator processus interagissent, consultez ce qui suit Microsoft articles :

Le nom de domaine spécifié n'existe pas ou n'a pas pu être contacté

Pour résoudre ce problème, assurez-vous que les paramètres du groupe de sécurité pour votre domaine et de la liste de contrôle d'accès (ACL) pour votre domaine VPC sont corrects et que vous avez correctement saisi les informations relatives à votre redirecteur conditionnel. AWS configure le groupe de sécurité pour ouvrir uniquement les ports requis pour les communications Active Directory. Dans la configuration par défaut, le groupe de sécurité accepte le trafic vers ces ports à partir de n'importe quelle adresse IP. Le trafic sortant est limité au groupe de sécurité. Vous devez mettre à jour la règle sortante du groupe de sécurité pour autoriser le trafic vers votre réseau sur site. Pour plus d'informations sur les exigences de sécurité, veuillez consulter Étape 2 : préparer votre AWS Managed Microsoft AD.

Modifier le groupe de sécurité

Si les DNS serveurs des réseaux des autres annuaires utilisent des adresses IP publiques (autres que RFC 1918), vous devrez ajouter une route IP sur le répertoire entre la console des services d'annuaire et les DNS serveurs. Pour plus d’informations, consultez Création, vérification ou suppression d'une relation d'approbation et Prérequis.

L'Internet Assigned Numbers Authority (IANA) a réservé les trois blocs suivants de l'espace d'adresse IP aux réseaux Internet privés :

  • 10.0.0.0 - 10.255.255.255 (préfixe 10/8)

  • 172.16.0.0 - 172.31.255.255 (préfixe 172.16/12)

  • 192.168.0.0 - 192.168.255.255 (préfixe 192.168/16)

Pour plus d'informations, consultez https://tools.ietf.org/html/rfc1918.

Vérifiez que le nom du site AD par défaut de votre Microsoft AD AWS géré correspond au nom du site AD par défaut de votre infrastructure locale. L'ordinateur détermine le nom du site en utilisant un domaine dont l'ordinateur est membre, et non le domaine de l'utilisateur. Le fait de renommer le site pour qu'il corresponde au site le plus proche garantit que le localisateur de contrôleurs de domaine utilisera un contrôleur de domaine du site le plus proche. Si le problème n'est pas résolu, il est possible que les informations fournies d'un redirecteur conditionnel créé précédemment soient mises en cache et empêchent la création d'une nouvelle approbation. Patientez plusieurs minutes et essayez à nouveau de créer la confiance et un redirecteur conditionnel.

Pour plus d'informations sur son fonctionnement, consultez Domain Locator Across a Forest Trust sur Microsoft site Web.

Nom du premier site par défaut

L'opération n'a pas pu être effectuée sur ce domaine

Pour résoudre ce problème, assurez-vous que les noms des deux domaines/répertoires ne se chevauchent NETBIOS pas. Si les NETBIOS noms des domaines/répertoires se chevauchent, recréez l'un d'entre eux avec un NETBIOS nom différent, puis réessayez.

La création d'une relation d'approbation échoue en raison de l'erreur « Required and valid domain name » (Nom de domaine obligatoire et valide)

DNSles noms ne peuvent contenir que des caractères alphabétiques (A-Z), des caractères numériques (0-9), le signe moins (-) et un point (.). Les points ne sont autorisés que lorsqu'ils sont utilisés pour délimiter les composants des noms de style de domaine. Éléments à prendre également en compte :

  • AWS Managed Microsoft AD ne prend pas en charge les approbations avec des domaines à étiquette unique. Pour plus d’informations, consultez .Microsoft support pour les domaines à étiquette unique.

  • Selon RFC 1123 (https://tools.ietf.org/html/rfc1123), les seuls caractères pouvant être utilisés dans les DNS étiquettes sont « A » à « Z », « a » à « z », « 0 » à « 9 » et un trait d'union (« - »). Un point [.] est également utilisé dans les DNS noms, mais uniquement entre les DNS étiquettes et à la fin d'unFQDN.

  • Selon RFC 952 (https://tools.ietf.org/html/rfc952), un « nom » (réseau, hôte, passerelle ou nom de domaine) est une chaîne de texte comportant jusqu'à 24 caractères tirés de l'alphabet (A-Z), des chiffres (0-9), du signe moins (-) et du point (.). Notez que les points ne sont autorisés que lorsqu'ils servent à délimiter les composants des « noms de style de domaine ».

Pour plus d'informations, consultez la section Respect des restrictions de noms pour les hôtes et les domaines sur Microsoft site Web.

Outils généraux utilisés pour tester les approbations

Les outils suivants peuvent être utilisés pour résoudre divers problèmes liés aux approbations.

AWS Outil de dépannage de Systems Manager Automation

Support Automation Workflows (SAW) tire parti de AWS Systems Manager Automation pour vous fournir un runbook prédéfini pour AWS Directory Service. L'outil AWSSupport- TroubleshootDirectoryTrust runbook vous aide à diagnostiquer les problèmes courants de création de confiance entre AWS Managed Microsoft AD et un site sur site Microsoft Active Directory.

DirectoryServicePortTest outil

L'outil de DirectoryServicePortTesttest peut être utile pour résoudre les problèmes de création de confiance entre AWS Managed Microsoft AD et Active Directory sur site. Pour obtenir un exemple de la manière dont l'outil peut être utilisé, veuillez consulter Test de votre connecteur AD Connector.

NETDOMet NLTEST outil

Les administrateurs peuvent utiliser les outils de ligne de commande Netdom et Nltest pour rechercher, afficher, créer, supprimer et gérer les approbations. Ces outils communiquent directement avec l'LSAautorité d'un contrôleur de domaine. Pour un exemple d'utilisation de ces outils, voir Netdom et NLTESTsur Microsoft site Web.

Outil de capture de paquets

Vous pouvez utiliser l'utilitaire intégré de capture de paquets Windows pour étudier et résoudre un problème de réseau potentiel. Pour plus d'informations, veuillez consulter Capture a Network Trace without installing anything (français non garanti).