Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSSupport-TroubleshootADConnectorConnectivity
Beschreibung
Das AWSSupport-TroubleshootADConnectorConnectivity Runbook überprüft die folgenden Voraussetzungen für einen AD Connector:
-
Überprüft, ob der erforderliche Datenverkehr gemäß den Regeln der Sicherheitsgruppe und der Netzwerkzugriffskontrollliste (ACL) zulässig ist, die Ihrem AD Connector zugeordnet sind.
-
Überprüft AWS Systems Manager AWS Security Token Service, ob die VPC Endpunkte, und Amazon CloudWatch Interface in derselben Virtual Private Cloud (VPC) wie der AD Connector existieren.
Wenn die Prüfungen der Voraussetzungen erfolgreich abgeschlossen wurden, startet das Runbook zwei Amazon Elastic Compute Cloud (AmazonEC2) Linux t2.micro-Instances in denselben Subnetzen wie Ihr AD Connector. Anschließend werden die Netzwerkkonnektivitätstests mit den Dienstprogrammen und durchgeführt. netcat nslookup
Führen Sie diese Automatisierung aus (Konsole)
Wichtig
Bei der Verwendung dieses Runbooks können Ihnen zusätzliche Gebühren AWS-Konto für die EC2 Amazon-Instances, Amazon Elastic Block Store-Volumes und Amazon Machine Image (AMI) entstehen, die während der Automatisierung erstellt wurden. Weitere Informationen finden Sie unter Amazon Elastic Compute Cloud-Preise
Wenn der aws:deletestack Schritt fehlschlägt, wechseln Sie zur AWS CloudFormation Konsole, um den Stack manuell zu löschen. Der von diesem Runbook erstellte Stack-Name beginnt mitAWSSupport-TroubleshootADConnectorConnectivity. Informationen zum Löschen von AWS CloudFormation Stacks finden Sie unter Löschen eines Stacks im AWS CloudFormation Benutzerhandbuch.
Art des Dokuments
Automatisierung
Eigentümer
Amazon
Plattformen
LinuxmacOS, Windows
Parameter
-
AutomationAssumeRole
Typ: Zeichenfolge
Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
-
DirectoryId
Typ: Zeichenfolge
Beschreibung: (Erforderlich) Die ID des AD Connector Connector-Verzeichnisses, für das Sie Verbindungsprobleme beheben möchten.
-
Ec2 InstanceProfile
Typ: Zeichenfolge
Maximale Anzahl an Zeichen: 128
Beschreibung: (Erforderlich) Der Name des Instanzprofils, das Sie den Instances zuweisen möchten, die zur Durchführung von Konnektivitätstests gestartet werden. Dem von Ihnen angegebenen Instanzprofil müssen die
AmazonSSMManagedInstanceCoreRichtlinie oder gleichwertige Berechtigungen zugewiesen sein.
Erforderliche IAM Berechtigungen
Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.
-
ec2:DescribeInstances -
ec2:DescribeImages -
ec2:DescribeSubnets -
ec2:DescribeSecurityGroups -
ec2:DescribeNetworkAcls -
ec2:DescribeVpcEndpoints -
ec2:CreateTags -
ec2:RunInstances -
ec2:StopInstances -
ec2:TerminateInstances -
cloudformation:CreateStack -
cloudformation:DescribeStacks -
cloudformation:ListStackResources -
cloudformation:DeleteStack -
ds:DescribeDirectories -
ssm:SendCommand -
ssm:ListCommands -
ssm:ListCommandInvocations -
ssm:GetParameters -
ssm:DescribeInstanceInformation -
iam:PassRole
Dokumentschritte
-
aws:assertAwsResourceProperty— Bestätigt, dass es sich bei dem imDirectoryIdParameter angegebenen Verzeichnis um einen AD Connector handelt. -
aws:executeAwsApi- Sammelt Informationen über den AD Connector. -
aws:executeAwsApi- Sammelt Informationen über die Sicherheitsgruppen, die dem AD Connector zugeordnet sind. -
aws:executeAwsApi- Sammelt Informationen über die ACL Netzwerkregeln, die den Subnetzen für den AD Connector zugeordnet sind. -
aws:executeScript— Wertet die AD Connector-Sicherheitsgruppenregeln aus, um sicherzustellen, dass der erforderliche ausgehende Datenverkehr zulässig ist. -
aws:executeScript— Wertet die AD Connector ACL Connector-Netzwerkregeln aus, um sicherzustellen, dass der erforderliche ausgehende und eingehende Netzwerkverkehr zulässig ist. -
aws:executeScript- Überprüft AWS Systems Manager, ob die Endpunkte AWS Security Token Service und die CloudWatch Amazon-Schnittstelle im selben Format VPC wie der AD Connector existieren. -
aws:executeScript- Kompiliert die Ausgaben der in den vorherigen Schritten durchgeführten Prüfungen. -
aws:branch- Verzweigt die Automatisierung in Abhängigkeit von den Ergebnissen der vorherigen Schritte. Die Automatisierung stoppt hier, wenn die erforderlichen Regeln für ausgehende und eingehende Nachrichten für die Sicherheitsgruppen und das Netzwerk fehlen. ACLs -
aws:createStack- Erstellt einen AWS CloudFormation Stack zum Starten von EC2 Amazon-Instances zur Durchführung von Konnektivitätstests. -
aws:executeAwsApi- Sammelt die IDs neu gestarteten EC2 Amazon-Instances. -
aws:waitForAwsResourceProperty- Wartet darauf, dass die erste neu gestartete EC2 Amazon-Instance als verwaltet von AWS Systems Manager gemeldet wird. -
aws:waitForAwsResourceProperty- Wartet darauf, dass die zweite neu gestartete EC2 Amazon-Instance als verwaltet von AWS Systems Manager gemeldet wird. -
aws:runCommand- Führt Netzwerkverbindungstests für die IP-Adressen der lokalen DNS Server von der ersten EC2 Amazon-Instance aus durch. -
aws:runCommand- Führt Netzwerkverbindungstests für die IP-Adressen der lokalen DNS Server von der zweiten EC2 Amazon-Instance aus durch. -
aws:changeInstanceState- Stoppt die EC2 Amazon-Instances, die für die Konnektivitätstests verwendet wurden. -
aws:deleteStack- Löscht den AWS CloudFormation Stapel. -
aws:executeScript- Gibt Anweisungen zum manuellen Löschen des AWS CloudFormation Stacks aus, falls die Automatisierung den Stapel nicht löschen kann.
