As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Motivos do status da criação de relações de confiança
Quando a criação da confiança falha, a mensagem de status contém informações adicionais. O seguinte ajuda a compreender o que essas mensagens significam.
O acesso é negado
O acesso foi negado ao tentar criar a confiança. A senha da confiança está incorreta ou as configurações de segurança de domínio remoto não permitem que uma confiança seja configurada. Para resolver esse problema, tente o seguinte:
-
O Microsoft AD AWS gerenciado Active Directory e o autogerenciado com o Active Directory qual você deseja criar uma relação de confiança devem ter o mesmo nome de primeiro site. O nome do primeiro site está definido como
Default-First-Site-Name. Um erro de acesso negado ocorre se esses nomes variarem entre os domínios. -
Verifique se você está usando a mesma senha de confiança usada ao criar a confiança correspondente no domínio remoto.
-
Verifique se as configurações de segurança do domínio permitem a criação de confiança.
-
Verifique se a política de segurança local está definida corretamente. Marque especificamente
Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymouslye verifique se a opção contém pelo menos os três pipes nomeados a seguir:-
netlogon
-
samr
-
lsarpc
-
-
Verifique se os pipes nomeados acima existem como valores na chave do registro que está no caminho NullSessionPipesdo registro HKLM\ SYSTEM\\ services\CurrentControlSet\ Parameters LanmanServer. Esses valores devem ser inseridos em linhas separadas.
nota
Por padrão, a opção
Network access: Named Pipes that can be accessed anonymouslynão está definida e exibeNot Defined. Isso é normal, uma vez que as configurações efetivas do controlador de domínio paraNetwork access: Named Pipes that can be accessed anonymouslysãonetlogon,samr,lsarpc. -
Verifique a seguinte configuração de assinatura do Server Message Block (SMB) na política de controladores de domínio padrão. Essas configurações podem ser encontradas em Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas locais/Opções de segurança. Eles devem corresponder às seguintes configurações:
-
Microsoftcliente de rede: assine digitalmente as comunicações (sempre): Padrão: Ativado
-
Microsoftcliente de rede: assine digitalmente as comunicações (se o servidor concordar): Padrão: Ativado
-
Microsoftservidor de rede: assine digitalmente as comunicações (sempre): Ativado
-
Microsoftservidor de rede: assine digitalmente as comunicações (se o cliente concordar): Padrão: Ativado
-
O nome do domínio especificado não existe ou não pôde ser contatado.
Para resolver o problema, verifique se as configurações do grupo de segurança de seu domínio e a lista de controle de acesso (ACL) da sua VPC estão corretas e se você inseriu as informações de maneira precisa para o encaminhador condicional. A AWS configura o grupo de segurança para abrir somente as portas necessárias para as comunicações do Active Directory. Na configuração padrão, o grupo de segurança aceita o tráfego para essas portas de qualquer endereço IP. O tráfego de saída é restrito ao grupo de segurança. Você precisará atualizar a regra de saída no grupo de segurança para permitir o tráfego para sua rede on-premises. Para obter mais informações sobre requisitos de segurança, consulte Etapa 2: preparar o AWS Managed Microsoft AD.
Se os servidores de DNS das redes dos outros diretórios usarem endereços IP públicos (não RFC 1918), será necessário adicionar uma rota IP no diretório do console dos Directory Services aos servidores de DNS. Para obter mais informações, consulte Pré-requisitos e Criar, verificar ou excluir uma relação de confiança.
A Internet Assigned Numbers Authority (IANA) reservou os seguintes três blocos do espaço de endereço IP para internets privadas:
-
10.0.0.0 - 10.255.255.255 (prefixo 10/8)
-
172.16.0.0 - 172.31.255.255 (prefixo 172.16/12)
-
192.168.0.0 - 192.168.255.255 (prefixo 192.168/16)
Para obter mais informações, consulte https://tools.ietf.org/html/rfc1918
Verifique se o nome padrão do site AD para seu Microsoft AD AWS gerenciado corresponde ao nome do site AD padrão em sua infraestrutura local. O computador determina o nome do site usando um domínio do qual o computador é membro, e não o domínio do usuário. Renomear o site para corresponder ao on-premises mais próximo garante que o localizador de DCs use um controlador de domínio do site mais próximo. Se isso não resolver o problema, é possível que as informações de um encaminhador condicional criado anteriormente tenham sido armazenadas em cache, impedindo a criação de uma nova confiança. Espere alguns minutos e tente criar a confiança e o encaminhador condicional novamente.
Para obter mais informações sobre como isso funciona, consulte Domain Locator Across a Forest Trust
Não foi possível executar a operação neste domínio
Para resolver isso, certifique-se de que os dois domínios/diretórios não tenham nomes NETBIOS sobrepostos. Se os domínios/diretórios tiverem nomes NETBIOS sobrepostos, recrie um deles com um nome NETBIOS diferente e tente novamente.
A criação de confiança está falhando devido ao erro "Nome de domínio válido obrigatório"
Os nomes de DNS só podem conter caracteres alfabéticos (A - Z), caracteres numéricos (0 - 9), o sinal de subtração (-) e ponto (.). Caracteres de ponto final são permitidos somente quando usados para delimitar os componentes dos nomes de estilo de domínio. Considere também o seguinte:
-
AWS O Microsoft AD gerenciado não oferece suporte a relações de confiança com domínios de rótulo único. Para obter mais informações, consulte o Microsoftsuporte para domínios de rótulo único
. -
De acordo com a RFC 1123 (https://tools.ietf.org/html/rfc1123
), os únicos caracteres que podem ser usados em rótulos de DNS são "A" a "Z", "a" a "z", "0" a "9" e hífen ("-"). Um ponto [.] também pode ser usado em nomes de DNS, mas somente entre rótulos de DNS e no final de um FQDN. -
De acordo com a RFC 952 (https://tools.ietf.org/html/rfc952
), um "nome" (de rede, host, gateway ou domínio) é uma sequência de texto com até 24 caracteres extraída do alfabeto (A-Z), dígitos (0-9), sinal de subtração (-) e ponto (.). Observe que os pontos só são permitidos para delimitar componentes de "nomes de estilo de domínio".
Para obter mais informações, consulte Conformidade com restrições de nome para hosts e domínios no Microsoft site
Ferramentas gerais para testar relações de confiança
As ferramentas a seguir podem ser usadas para solucionar vários problemas relacionados a confiança.
AWS Ferramenta de solução de problemas do Systems Manager Automation
Os fluxos de trabalho do Support Automation (SAW) utilizam o AWS Systems Manager Automation para fornecer a você um runbook predefinido para. AWS Directory ServiceA ferramenta AWSSupport- TroubleshootDirectoryTrust runbook ajuda você a diagnosticar problemas comuns de criação de confiança entre o AWS Microsoft AD gerenciado e um local. Microsoft Active Directory
DirectoryServicePortTest ferramenta
A ferramenta DirectoryServicePortTestde teste pode ser útil na solução de problemas de criação de confiança entre o Microsoft AD AWS gerenciado e o Active Directory local. Para obter um exemplo de como a ferramenta pode ser usada, consulte Testar o AD Connector.
Ferramenta NETDOM e NLTEST
Os administradores podem usar as ferramentas de linha de comando Netdom e Nltest para encontrar, exibir, criar, remover e gerenciar relações de confiança. Essas ferramentas se comunicam diretamente com a autoridade LSA em um controlador de domínio. Para obter um exemplo de como usar essas ferramentas, consulte Netdom
Ferramenta de captura de pacotes
O utilitário integrado de captura de pacotes do Windows pode ser usado para investigar e solucionar um possível problema de rede. Para obter mais informações, consulte Capturar um trace de rede sem instalar nada
