AWSSupport-TroubleshootActiveDirectoryReplication - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-TroubleshootActiveDirectoryReplication

Descripción

El AWSSupport-TroubleshootActiveDirectoryReplicationmanual ayuda a solucionar los errores de replicación del controlador de dominio de Microsoft Active Directory (AD) al comprobar la configuración común de una instancia de controlador de dominio de destino. Este manual ejecuta una serie de PowerShell comandos en la instancia de controlador de dominio proporcionada para comprobar el estado actual de la replicación e informar de los errores que pueden provocar problemas de replicación del dominio. De forma opcional, el runbook puede iniciar los servicios críticos de replicación (NetlogonRPCSS,W32Time, yKDC) si están parados y sincronizar la hora del sistema ejecutándolos w32tm /resync /force en la instancia de destino.

importante

AWS Managed Microsoft AD no está en el ámbito de este manual.

importante

Mientras la automatización ejecuta comandos en la instancia de destino, se realizan cambios en el sistema de archivos de la instancia de destino. Estos cambios incluyen la creación del directorio de registro ($env:ProgramData\TroubleshootActiveDirectoryReplication) y los archivos de informe.

¿Cómo funciona?

El manual de ejecución realiza las siguientes comprobaciones y acciones:

  • Verifica que la instancia de destino ejecute Windows y que la administre Systems Manager.

  • Ejecuta PowerShell scripts para comprobar la configuración y el estado de la replicación de Active Directory.

  • Comprueba la configuración de las ACL de los grupos de seguridad y de la red para comprobar la conectividad del socio de replicación.

  • Soluciona problemas de sincronización horaria y estado de los servicios críticos.

  • Carga los archivos de registro en el bucket de Amazon S3 especificado para su análisis.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Windows

Parámetros

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ec2:DescribeInstances

  • secretsmanager:GetSecretValue

  • ssm:DescribeInstanceInformation

  • ssm:SendCommand

  • ssm:GetCommandInvocation

  • s3:GetBucketAcl

  • s3:GetBucketPolicy

  • s3:GetBucketPolicyStatus

  • s3:GetBucketPublicAccessBlock

  • s3:PutObject

Ejemplo de política:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "secretsmanager:GetSecretValue"
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWS Secrets Manager configuración

El PowerShell script de replicación de comprobaciones se conecta al controlador de dominio de Microsoft Active Directory de destino recuperando el nombre de usuario y la contraseña con una llamada en tiempo de ejecución a AWS Secrets Manager. Siga los pasos de Crear un AWS Secrets Manager secreto para crear un AWS Secrets Manager secreto nuevo. Asegúrese de que el nombre de usuario y la contraseña estén guardados mediante un key/value par en el formato{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Tras crear el AWS Secrets Manager secreto, asegúrate de conceder el secretsmanager:GetSecretValue permiso sobre el ARN secreto a la función de perfil de instancia de IAM del controlador de dominio de destino.

Instrucciones

Siga estos pasos para configurar la automatización:

  1. Navegue hasta AWSSupport-TroubleshootActiveDirectoryReplicationSystems Manager, en Documentos.

  2. Elija Execute automation (Ejecutar automatización).

  3. Para los parámetros de entrada, introduzca lo siguiente:

    • AutomationAssumeRole (Opcional):

      • Descripción: (opcional) El nombre del recurso de Amazon (ARN) de la función AWS Identity and Access Management (IAM) (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

      • Tipo: AWS::IAM::Role::Arn

    • InstanceId (Obligatorio):

      • Descripción: (obligatorio) El ID de la instancia del controlador de dominio de Amazon EC2 que desea solucionar los problemas de replicación de Active Directory. Tenga en cuenta que la instancia proporcionada debe ser un controlador de dominio.

      • Tipo: AWS::EC2::Instance::Id

    • SecretsManagerArn (Obligatorio):

      • Descripción: (Obligatorio) El ARN de su AWS Secrets Manager secreto que contiene un nombre de usuario y una contraseña de Active Directory con permisos de administrador empresarial o equivalentes para acceder a la configuración de dominio y bosque de Active Directory. Asegúrese de que el nombre de usuario y la contraseña se almacenen mediante un key/value par en ese formato{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Asegúrese de adjuntar el secretsmanager:GetSecretValue permiso del ARN secreto a la función de perfil de instancia de IAM del controlador de dominio de destino.

      • Tipo: String

      • Valor permitido: ^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$

    • TimeSync (Opcional):

      • Descripción: (opcional) Seleccione Check oSync. Si lo seleccionaCheck, el manual imprimirá el estado actual de la sincronización horaria del sistema. Si Sync se selecciona, el runbook intentará forzar la resincronización temporal ejecutándose w32tm /resync /force en la instancia de destino.

      • Tipo: String

      • Valores permitidos: [Check, Sync]

      • Valor predeterminado: Check

    • ServiceAction (Opcional):

      • Descripción: (opcional) Seleccione Check oFix. Si seleccionaCheck, el manual imprimirá el estado actual de los Key Distribution Center (KDC) servicios NetlogonWindows Time service (W32Time),Remote Procedure Call (RPC) Service, y. Si Fix se selecciona, el runbook intentará iniciar estos servicios si alguno está detenido.

      • Tipo: String

      • Valores permitidos: [Check, Fix]

      • Valor predeterminado: Check

    • LogDestination (Obligatorio):

      • Descripción: (Obligatorio) El bucket de Amazon S3 de su AWS cuenta para cargar los resultados de los comandos.

      • Tipo: String

  4. Seleccione Ejecutar.

  5. Se inicia la automatización.

  6. Este documento realiza los siguientes pasos:

    • assertIfOperatingSystemIsWindows:

      Comprueba si el sistema operativo de la instancia Amazon EC2 de destino proporcionada es Windows.

    • assertifInstanceIsSsmManaged:

      Garantiza que Systems Manager administre la instancia de Amazon EC2; de lo contrario, la automatización finaliza.

    • Compruebe la replicación:

      Ejecuta un PowerShell script en la instancia del controlador de dominio especificada para obtener la configuración y el estado de la replicación del dominio de Active Directory.

    • checkInstanceSgAndNacl:

      Comprueba si el grupo de seguridad y la ACL de red asociadas a la instancia del controlador de dominio de destino permiten el tráfico a los socios de replicación.

    • Solucionar problemas de replicación:

      Ejecuta un PowerShell script para solucionar los problemas de sincronización horaria y del estado de los servicios críticos.

    • Verifica S3 BucketPublicStatus:

      Comprueba si el bucket de Amazon S3 especificado en LogDestination permite permisos de acceso de lectura o escritura públicos o anónimos.

    • runUploadScript:

      Ejecuta un PowerShell script para cargar el archivo de registro en el bucket de AAmazon S3 especificado en el LogDestination parámetro y elimina el archivo de registro archivado del sistema operativo. Los archivos de registro se pueden usar para solucionar problemas o se pueden compartir con AWS Support al solucionar problemas de replicación.

  7. Una vez finalizada, revise la sección de resultados para ver los resultados detallados de la ejecución.

Referencias

Automatización de Systems Manager