AWSSupport-TroubleshootActiveDirectoryReplication - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootActiveDirectoryReplication

Beschreibung

Das AWSSupport-TroubleshootActiveDirectoryReplicationRunbook hilft bei der Behebung von Replikationsfehlern bei der Microsoft Active Directory (AD) -Domänencontroller-Replikation, indem allgemeine Einstellungen auf einer Zieldomänencontroller-Instanz überprüft werden. Dieses Runbook führt eine Reihe von PowerShell Befehlen für die bereitgestellte Domänencontroller-Instanz aus, um den aktuellen Replikationsstatus zu überprüfen und Fehler zu melden, die möglicherweise zu Problemen bei der Domänenreplikation führen können. Das Runbook kann optional replikationskritische Dienste (Netlogon,, undKDC) starten RPCSSW32Time, wenn sie beendet sind, und die Systemzeit synchronisieren, indem sie w32tm /resync /force auf der Zielinstanz ausgeführt werden.

Wichtig

AWS Verwaltetes Microsoft AD fällt nicht in den Geltungsbereich dieses Runbooks.

Wichtig

Während die Automatisierung Befehle auf der Zielinstanz ausführt, werden Änderungen am Dateisystem der Zielinstanz vorgenommen. Zu diesen Änderungen gehören die Erstellung des Protokollverzeichnisses ($env:ProgramData\TroubleshootActiveDirectoryReplication) und der Berichtsdateien.

Wie funktioniert es?

Das Runbook führt die folgenden Prüfungen und Aktionen durch:

  • Überprüft, ob auf der Zielinstanz Windows ausgeführt wird und sie von Systems Manager verwaltet wird.

  • Führt PowerShell Skripts aus, um die Konfiguration und den Status der Active Directory-Replikation zu überprüfen.

  • Überprüft die Sicherheitsgruppen- und Netzwerk-ACL-Einstellungen auf Konnektivität mit dem Replikationspartner.

  • Behebt Fehler bei der Zeitsynchronisierung und beim Status kritischer Dienste.

  • Lädt Protokolldateien zur Analyse in den angegebenen Amazon S3 S3-Bucket hoch.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Windows

Parameter

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:DescribeInstances

  • secretsmanager:GetSecretValue

  • ssm:DescribeInstanceInformation

  • ssm:SendCommand

  • ssm:GetCommandInvocation

  • s3:GetBucketAcl

  • s3:GetBucketPolicy

  • s3:GetBucketPolicyStatus

  • s3:GetBucketPublicAccessBlock

  • s3:PutObject

Beispiel für eine Richtlinie:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "secretsmanager:GetSecretValue"
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWS Secrets Manager einrichten

Das PowerShell Check-Replication-Skript stellt eine Verbindung zum Microsoft Active Directory-Zieldomänencontroller her, indem es den Benutzernamen und das Kennwort mit einem Laufzeitaufruf von abruft. AWS Secrets Manager Folgen Sie den Schritten unter Create an AWS Secrets Manager Secret, um ein neues AWS Secrets Manager Secret zu erstellen. Stellen Sie sicher, dass der Benutzername und das Passwort als key/value Paar im folgenden Format gespeichert sind{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Stellen Sie nach der Erstellung des AWS Secrets Manager Geheimnisses sicher, dass Sie der IAM-Instanzprofilrolle Ihres Zieldomänencontrollers die secretsmanager:GetSecretValue Berechtigung für den geheimen ARN erteilen.

Anweisungen

Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:

  1. Navigieren Sie AWSSupport-TroubleshootActiveDirectoryReplicationim Systems Manager unter Dokumente zu.

  2. Wählen Sie Execute automation (Automatisierung ausführen).

  3. Geben Sie für die Eingabeparameter Folgendes ein:

    • AutomationAssumeRole (Fakultativ):

      • Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

      • Typ: AWS::IAM::Role::Arn

    • InstanceId (Erforderlich):

      • Beschreibung: (Erforderlich) Die ID der Amazon EC2 EC2-Domain-Controller-Instance, für die Sie Probleme mit der Active Directory-Replikation beheben möchten. Beachten Sie, dass es sich bei der bereitgestellten Instance um einen Domain-Controller handeln muss.

      • Typ: AWS::EC2::Instance::Id

    • SecretsManagerArn (Erforderlich):

      • Beschreibung: (Erforderlich) Der ARN Ihres AWS Secrets Manager Geheimnisses, der einen Active Directory-Benutzernamen und ein Kennwort mit Enterprise Admin- oder gleichwertigen Berechtigungen für den Zugriff auf Ihre Active Directory-Domäne und Gesamtstrukturkonfiguration enthält. Stellen Sie sicher, dass der Benutzername und das Passwort als key/value Paar im folgenden Format gespeichert werden{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Stellen Sie sicher, dass Sie die secretsmanager:GetSecretValue Berechtigung für den geheimen ARN der IAM-Instanzprofilrolle Ihres Zieldomänencontrollers zuordnen.

      • Typ: String

      • Zulässiges Muster: ^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$

    • TimeSync (Fakultativ):

      • Beschreibung: (Optional) Wählen Sie Check oderSync. Wenn Sie diese Option auswählenCheck, druckt das Runbook den aktuellen Status der Systemzeitsynchronisierung aus. Wenn diese Option ausgewählt Sync ist, versucht das Runbook, eine erneute Synchronisierung der Zeit zu erzwingen, indem es w32tm /resync /force auf der Zielinstanz ausgeführt wird.

      • Typ: String

      • Zulässige Werte: [Check, Sync]

      • Standard: Check

    • ServiceAction (Fakultativ):

      • Beschreibung: (Optional) Wählen Sie Check oderFix. Wenn Sie diese Option auswählenCheck, druckt das Runbook den aktuellen Status der Key Distribution Center (KDC) DiensteNetlogon, Windows Time service (W32Time)Remote Procedure Call (RPC) Service, und aus. Wenn diese Option ausgewählt Fix ist, versucht das Runbook, diese Dienste zu starten, falls sie beendet wurden.

      • Typ: String

      • Zulässige Werte: [Check, Fix]

      • Standard: Check

    • LogDestination (Erforderlich):

      • Beschreibung: (Erforderlich) Der Amazon Amazon S3 S3-Bucket in Ihrem AWS Konto, um die Befehlsausgaben hochzuladen.

      • Typ: String

  4. Wählen Sie Ausführen aus.

  5. Die Automatisierung wird initiiert.

  6. Das Dokument führt die folgenden Schritte aus:

    • assertIfOperatingSystemIsWindows:

      Überprüft, ob das Betriebssystem der bereitgestellten Amazon EC2 EC2-Zielinstanz Windows ist.

    • assertifInstanceIsSsmManaged:

      Stellt sicher, dass die Amazon EC2 EC2-Instance von Systems Manager verwaltet wird, andernfalls endet die Automatisierung.

    • Überprüfen Sie die Replikation:

      Führt ein PowerShell Skript auf der angegebenen Domänencontroller-Instanz aus, um die Konfiguration und den Status der Active Directory-Domänenreplikation abzurufen.

    • checkInstanceSgAndNacl:

      Überprüft, ob die Sicherheitsgruppe und die Netzwerk-ACL, die der Ziel-Domänen-Controller-Instanz zugeordnet sind, Datenverkehr zu den Replikationspartnern zulassen.

    • Problembehandlung bei der Replikation:

      Führt ein PowerShell Skript aus, um Fehler bei der Zeitsynchronisierung und beim Status kritischer Dienste zu beheben.

    • Überprüft S3 BucketPublicStatus:

      Prüft, ob der in angegebene Amazon S3 S3-Bucket anonyme oder öffentliche Lese- oder Schreibzugriffsberechtigungen LogDestination zulässt.

    • runUploadScript:

      Führt ein PowerShell Skript aus, um das Protokollarchiv in den im LogDestination Parameter angegebenen AAmazon S3-Bucket hochzuladen, und löscht die archivierte Protokolldatei aus dem Betriebssystem. Die Protokolldateien können zur Fehlerbehebung verwendet oder bei der Behebung von Replikationsproblemen an den AWS Support weitergegeben werden.

  7. Nach Abschluss der Ausführung finden Sie im Abschnitt Ausgaben die detaillierten Ergebnisse der Ausführung.

Referenzen

Systems Manager Automation