AWSSupport-TroubleshootActiveDirectoryReplication - AWS Systems Manager Riferimento all'Automation Runbook

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootActiveDirectoryReplication

Descrizione

Il AWSSupport-TroubleshootActiveDirectoryReplicationrunbook aiuta a risolvere gli errori di replica dei controller di dominio Microsoft Active Directory (AD) controllando le impostazioni comuni su un'istanza del controller di dominio di destinazione. Questo runbook esegue una serie di PowerShell comandi sull'istanza del controller di dominio fornita per verificare lo stato corrente della replica e segnalare gli errori che possono potenzialmente causare problemi di replica del dominio. Il runbook può facoltativamente avviare i servizi critici di replica (Netlogon, RPCSSW32Time, eKDC) se vengono interrotti e sincronizzare l'ora del sistema eseguendoli sull'istanza di destinazione. w32tm /resync /force

Importante

AWS Managed Microsoft AD non rientra nell'ambito di questo runbook.

Importante

Mentre l'automazione esegue i comandi sull'istanza di destinazione, vengono apportate modifiche al file system dell'istanza di destinazione. Queste modifiche includono la creazione della directory di log ($env:ProgramData\TroubleshootActiveDirectoryReplication) e dei file di report.

Come funziona?

Il runbook esegue i seguenti controlli e azioni:

  • Verifica che l'istanza di destinazione esegua Windows e sia gestita da Systems Manager.

  • Esegue PowerShell script per verificare la configurazione e lo stato della replica di Active Directory.

  • Verifica le impostazioni ACL del gruppo di sicurezza e della rete per la connettività dei partner di replica.

  • Risolve la sincronizzazione temporale e lo stato dei servizi critici.

  • Carica i file di log nel bucket Amazon S3 specificato per l'analisi.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Windows

Parametri

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ec2:DescribeInstances

  • secretsmanager:GetSecretValue

  • ssm:DescribeInstanceInformation

  • ssm:SendCommand

  • ssm:GetCommandInvocation

  • s3:GetBucketAcl

  • s3:GetBucketPolicy

  • s3:GetBucketPolicyStatus

  • s3:GetBucketPublicAccessBlock

  • s3:PutObject

Politica di esempio:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "secretsmanager:GetSecretValue"
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

Gestione dei segreti AWS configurazione

PowerShell Lo script di replica di check si connette al controller di dominio Microsoft Active Directory di destinazione recuperando il nome utente e la password con una chiamata di runtime a. Gestione dei segreti AWS Segui la procedura descritta in Creare un Gestione dei segreti AWS segreto per creare un nuovo segreto. Gestione dei segreti AWS Assicurati che il nome utente e la password siano memorizzati utilizzando una key/value coppia nel formato{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Dopo aver creato il Gestione dei segreti AWS segreto, assicurati di concedere l'secretsmanager:GetSecretValueautorizzazione sull'ARN segreto al ruolo del profilo dell'istanza IAM del controller di dominio di destinazione.

Istruzioni

Segui questi passaggi per configurare l'automazione:

  1. Accedere AWSSupport-TroubleshootActiveDirectoryReplicationa Systems Manager nella sezione Documenti.

  2. Seleziona Execute automation (Esegui automazione).

  3. Per i parametri di input, immettete quanto segue:

    • AutomationAssumeRole (Facoltativo):

      • Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

      • Tipo: AWS::IAM::Role::Arn

    • InstanceId (Obbligatorio):

      • Descrizione: (Obbligatorio) L'ID dell'istanza del controller di dominio Amazon EC2 che desideri risolvere per risolvere i problemi di replica di Active Directory. Tieni presente che l'istanza fornita deve essere un controller di dominio.

      • Tipo: AWS::EC2::Instance::Id

    • SecretsManagerArn (Obbligatorio):

      • Descrizione: (Obbligatorio) L'ARN del Gestione dei segreti AWS segreto contenente un nome utente e una password di Active Directory con Enterprise Admin o autorizzazioni equivalenti per accedere al dominio di Active Directory e alla configurazione della foresta. Assicurati che il nome utente e la password siano archiviati utilizzando una key/value coppia nel formato. {"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"} Assicurati di allegare l'secretsmanager:GetSecretValueautorizzazione sull'ARN segreto al ruolo del profilo dell'istanza IAM del controller di dominio di destinazione.

      • Tipo: String

      • Modello consentito: ^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$

    • TimeSync (Opzionale):

      • Descrizione: (Facoltativo) Seleziona Check oSync. Se si selezionaCheck, il runbook stampa lo stato corrente della sincronizzazione dell'ora del sistema. Se Sync selezionato, il runbook tenterà una risincronizzazione forzata eseguendolo w32tm /resync /force sull'istanza di destinazione.

      • Tipo: String

      • Valori consentiti: [Check, Sync]

      • Impostazione predefinita: Check

    • ServiceAction (Facoltativo):

      • Descrizione: (Facoltativo) Seleziona Check oFix. Se si selezionaCheck, il runbook stampa lo stato corrente diNetlogon, Windows Time service (W32Time)Remote Procedure Call (RPC) Service, e Key Distribution Center (KDC) servizi. Se Fix selezionato, il runbook tenterà di avviare questi servizi, se ne viene interrotto uno.

      • Tipo: String

      • Valori consentiti: [Check, Fix]

      • Impostazione predefinita: Check

    • LogDestination (Obbligatorio):

      • Descrizione: (Obbligatorio) Il bucket Amazon Amazon S3 nel tuo AWS account per caricare gli output dei comandi.

      • Tipo: String

  4. Seleziona Esegui.

  5. L'automazione inizia.

  6. Il documento esegue le seguenti operazioni:

    • assertIfOperatingSystemIsWindows:

      Verifica se il sistema operativo dell'istanza Amazon EC2 di destinazione fornita è Windows.

    • assertifInstanceIsSsmManaged:

      Assicura che l'istanza Amazon EC2 sia gestita da Systems Manager, altrimenti l'automazione termina.

    • Verifica la replica:

      Esegue uno PowerShell script sull'istanza del controller di dominio specificata per ottenere la configurazione e lo stato della replica del dominio Active Directory.

    • checkInstanceSgAndNacl:

      Verifica se il traffico verso i partner di replica è consentito dal gruppo di sicurezza e dall'ACL di rete associati all'istanza del controller di dominio di destinazione.

    • Risoluzione dei problemi di replica:

      Esegue uno PowerShell script per risolvere i problemi di sincronizzazione temporale e lo stato dei servizi critici.

    • Verify S3: BucketPublicStatus

      Verifica se il bucket Amazon S3 specificato in LogDestination consente autorizzazioni di accesso anonime o pubbliche in lettura o scrittura.

    • runUploadScript:

      Esegue uno PowerShell script per caricare l'archivio di log nel bucket AAmazon S3 specificato nel LogDestination parametro ed elimina il file di registro archiviato dal sistema operativo. I file di registro possono essere utilizzati per la risoluzione dei problemi o condivisi con AWS Support per la risoluzione dei problemi di replica.

  7. Al termine, consulta la sezione Output per i risultati dettagliati dell'esecuzione.

Riferimenti

Systems Manager Automation