AWSSupport-TroubleshootActiveDirectoryReplication - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootActiveDirectoryReplication

Description

Le AWSSupport-TroubleshootActiveDirectoryReplicationrunbook permet de résoudre les problèmes de réplication du contrôleur de domaine Microsoft Active Directory (AD) en vérifiant les paramètres courants sur une instance de contrôleur de domaine cible. Ce runbook exécute une série de PowerShell commandes sur l'instance de contrôleur de domaine fournie pour vérifier l'état actuel de la réplication et signaler les erreurs susceptibles de provoquer des problèmes de réplication de domaine. Le runbook peut éventuellement démarrer les services critiques de réplication (Netlogon,RPCSS,W32Time, etKDC) s'ils sont arrêtés et synchroniser l'heure du système en s'exécutant w32tm /resync /force sur l'instance cible.

Important

AWS Managed Microsoft AD n'entre pas dans le cadre de ce runbook.

Important

Pendant que l'automatisation exécute des commandes sur l'instance cible, des modifications sont apportées au système de fichiers de l'instance cible. Ces modifications incluent la création du répertoire des journaux ($env:ProgramData\TroubleshootActiveDirectoryReplication) et des fichiers de rapport.

Fonctionnement

Le runbook effectue les vérifications et actions suivantes :

  • Vérifie que l'instance cible exécute Windows et qu'elle est gérée par Systems Manager.

  • Exécute PowerShell des scripts pour vérifier la configuration et l'état de la réplication Active Directory.

  • Vérifie les paramètres ACL du groupe de sécurité et du réseau pour vérifier la connectivité des partenaires de réplication.

  • Résoudre les problèmes de synchronisation horaire et d'état des services critiques.

  • Télécharge les fichiers journaux dans le compartiment Amazon S3 spécifié à des fins d'analyse.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Windows

Paramètres

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ec2:DescribeInstances

  • secretsmanager:GetSecretValue

  • ssm:DescribeInstanceInformation

  • ssm:SendCommand

  • ssm:GetCommandInvocation

  • s3:GetBucketAcl

  • s3:GetBucketPolicy

  • s3:GetBucketPolicyStatus

  • s3:GetBucketPublicAccessBlock

  • s3:PutObject

Exemple de politique :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "secretsmanager:GetSecretValue"
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWS Secrets Manager configuration

Le PowerShell script de réplication de vérification se connecte au contrôleur de domaine Microsoft Active Directory cible en récupérant le nom d'utilisateur et le mot de passe avec un appel d'exécution à AWS Secrets Manager. Suivez les étapes décrites dans Créer un AWS Secrets Manager secret pour créer un nouveau AWS Secrets Manager secret. Assurez-vous que le nom d'utilisateur et le mot de passe sont enregistrés à l'aide d'une key/value paire au format{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Après avoir créé le AWS Secrets Manager secret, assurez-vous d'accorder l'secretsmanager:GetSecretValueautorisation sur l'ARN secret au rôle de profil d'instance IAM de votre contrôleur de domaine cible.

Instructions

Pour configurer l'automatisation, procédez comme suit :

  1. Accédez AWSSupport-TroubleshootActiveDirectoryReplicationà Systems Manager sous Documents.

  2. Sélectionnez Execute automation (Exécuter l'automatisation).

  3. Pour les paramètres d'entrée, entrez ce qui suit :

    • AutomationAssumeRole (Facultatif) :

      • Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

      • Type : AWS::IAM::Role::Arn

    • InstanceId (Obligatoire) :

      • Description : (Obligatoire) L'ID de l'instance de contrôleur de domaine Amazon EC2 à laquelle vous souhaitez résoudre les problèmes de réplication Active Directory. Notez que l'instance fournie doit être un contrôleur de domaine.

      • Type : AWS::EC2::Instance::Id

    • SecretsManagerArn (Obligatoire) :

      • Description : (Obligatoire) L'ARN de votre AWS Secrets Manager secret contenant un nom d'utilisateur et un mot de passe Active Directory avec des autorisations d'administrateur d'entreprise ou équivalentes pour accéder à votre configuration de domaine et de forêt Active Directory. Assurez-vous que le nom d'utilisateur et le mot de passe sont enregistrés à l'aide d'une key/value paire au format{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Assurez-vous d'associer l'secretsmanager:GetSecretValueautorisation sur l'ARN secret au rôle de profil d'instance IAM de votre contrôleur de domaine cible.

      • Type : String

      • Modèle autorisé : ^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$

    • TimeSync (Facultatif) :

      • Description : (Facultatif) Sélectionnez Check ouSync. Si vous le sélectionnezCheck, le runbook affiche l'état actuel de synchronisation horaire du système. Si cette option Sync est sélectionnée, le runbook tentera une resynchronisation forcée en s'exécutant w32tm /resync /force sur l'instance cible.

      • Type : String

      • Valeurs autorisées : [Check, Sync]

      • Valeur par défaut : Check

    • ServiceAction (Facultatif) :

      • Description : (Facultatif) Sélectionnez Check ouFix. Si vous le sélectionnezCheck, le runbook affiche l'état actuel des Key Distribution Center (KDC) services NetlogonWindows Time service (W32Time),Remote Procedure Call (RPC) Service, et. Si cette option Fix est sélectionnée, le runbook tentera de démarrer ces services si l'un d'entre eux est arrêté.

      • Type : String

      • Valeurs autorisées : [Check, Fix]

      • Valeur par défaut : Check

    • LogDestination (Obligatoire) :

      • Description : (Obligatoire) Le compartiment Amazon Amazon S3 de votre AWS compte pour télécharger les sorties de commande.

      • Type : String

  4. Sélectionnez Exécuter.

  5. L'automatisation démarre.

  6. Le document exécute les étapes suivantes :

    • assertIfOperatingSystemIsWindows:

      Vérifie si le système d'exploitation de l'instance Amazon EC2 cible fournie est Windows.

    • assertifInstanceIsSsmManaged:

      Garantit que l'instance Amazon EC2 est gérée par Systems Manager, sinon l'automatisation prend fin.

    • Vérifiez la réplication :

      Exécute un PowerShell script sur l'instance de contrôleur de domaine spécifiée pour obtenir la configuration et l'état de réplication du domaine Active Directory.

    • checkInstanceSgAndNacl:

      Vérifie si le trafic vers les partenaires de réplication est autorisé par le groupe de sécurité et l'ACL réseau associés à l'instance de contrôleur de domaine cible.

    • Résoudre les problèmes de réplication :

      Exécute un PowerShell script pour résoudre les problèmes de synchronisation horaire et d'état des services critiques.

    • Vérifiez S3 : BucketPublicStatus

      Vérifie si le compartiment Amazon S3 spécifié dans LogDestination autorise les autorisations d'accès anonymes ou publiques en lecture ou en écriture.

    • runUploadScript:

      Exécute un PowerShell script pour télécharger l'archive du journal dans le compartiment AAmazon S3 spécifié dans le LogDestination paramètre et supprime le fichier journal archivé du système d'exploitation. Les fichiers journaux peuvent être utilisés pour le dépannage ou pour être partagés avec le AWS Support lors de la résolution de problèmes de réplication.

  7. Une fois l'exécution terminée, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.

Références

Systems Manager Automation