Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWSSupport-TroubleshootDirectoryTrust
Deskripsi
AWSSupport-TroubleshootDirectoryTrust
Runbook mendiagnosis masalah pembuatan kepercayaan antara AWS Managed Microsoft AD dan Microsoft Active Directory. Otomatisasi memastikan jenis direktori mendukung kepercayaan, dan kemudian memeriksa aturan grup keamanan terkait, daftar kontrol akses jaringan (ACL jaringan), dan tabel rute untuk potensi masalah konektivitas.
Jenis dokumen
Otomatisasi
Pemilik
Amazon
Platform
Linux,macOS, Windows
Parameter
-
AutomationAssumeRole
Jenis: String
Deskripsi: (Opsional) Amazon Resource Name (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Systems Manager Automation untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
-
DirectoryId
Jenis: String
Pola yang diizinkan: ^d- [a-z0-9] {10} $
Deskripsi: (Diperlukan) ID AWS Managed Microsoft AD untuk memecahkan masalah.
-
RemoteDomainCidrs
Jenis: StringList
Pola yang diizinkan: ^ (([0-9] | [1-9] [0-9] |1 [0-9] {2} |2 [0-4] [0-9] |25 [0-5])\.) {3} ([0-9] | [1-9] [0-9] |1 [0-9] {2} |2 [0-4] [0-9] |25 [0-5]) (\/(3 [0-2] | [1-2] [0-9] | [1-9])) $
Deskripsi: (Diperlukan) CIDR dari domain jarak jauh yang Anda coba buat hubungan kepercayaan. Anda dapat menambahkan beberapa CIDR menggunakan nilai yang dipisahkan koma. Misalnya, 172.31.48.0/20, 192.168.1.10/32.
-
RemoteDomainName
Jenis: String
Deskripsi: (Diperlukan) Nama domain yang memenuhi syarat sepenuhnya dari domain jarak jauh tempat Anda menjalin hubungan kepercayaan.
-
RequiredTrafficACL
Jenis: String
Deskripsi: (Diperlukan) Persyaratan port default untukAWS Managed Microsoft AD. Dalam kebanyakan kasus, Anda tidak boleh mengubah nilai default.
Default: {"masuk”: {"tcp”: [[53,53], [88,88], [135,135], [389,389], [445,445], [464,464], [636,636], [1024,65535]], "udp”: [[53,53], [88,88], [123.123], [138,138], [389,389], [445,445], [464,464]], "icmp”: [[-1, -1]]}, "outbound”: {” -1": [[0,65535]]}}
-
RequiredTrafficSG
Jenis: String
Deskripsi: (Diperlukan) Persyaratan port default untukAWS Managed Microsoft AD. Dalam kebanyakan kasus, Anda tidak boleh mengubah nilai default.
Default: {"masuk”: {"tcp”: [[53,53], [88,88], [135,135], [389,389], [445,445], [464,464], [636,636], [1024,65535]], "udp”: [[53,53], [88,88], [123.123], [138,138], [389,389], [445,445], [464,464]], "icmp”: [[-1, -1]]}, "outbound”: {” -1": [[0,65535]]}}
-
TrustId
Jenis: String
Deskripsi: (Opsional) ID hubungan kepercayaan untuk memecahkan masalah.
Izin IAM yang diperlukan
AutomationAssumeRole
Parameter membutuhkan tindakan berikut untuk menggunakan runbook dengan sukses.
-
ds:DescribeConditionalForwarders
-
ds:DescribeDirectories
-
ds:DescribeTrusts
-
ds:ListIpRoutes
-
ec2:DescribeNetworkAcls
-
ec2:DescribeSecurityGroups
-
ec2:DescribeSubnets
Langkah Dokumen
-
aws:assertAwsResourceProperty
- Mengkonfirmasi jenis direktori adalahAWS Managed Microsoft AD. -
aws:executeAwsApi
- Mendapat informasi tentangAWS Managed Microsoft AD. -
aws:branch
- Otomatisasi cabang jika nilai disediakan untuk parameterTrustId
input. -
aws:executeAwsApi
- Mendapat informasi tentang hubungan kepercayaan. -
aws:executeAwsApi
- Mendapat forwarder bersyarat alamat DNS IP untuk.RemoteDomainName
-
aws:executeAwsApi
- Mendapat informasi tentang rute IP yang telah ditambahkan keAWS Managed Microsoft AD. -
aws:executeAwsApi
- Mendapat CIDR dari subnet. AWS Managed Microsoft AD -
aws:executeAwsApi
- Mendapat informasi tentang kelompok keamanan yang terkait denganAWS Managed Microsoft AD. -
aws:executeAwsApi
- Mendapat informasi tentang ACL jaringan yang terkait dengan. AWS Managed Microsoft AD -
aws:executeScript
- MengkonfirmasiRemoteDomainCidrs
adalah nilai yang valid. Menegaskan bahwa AWS Managed Microsoft AD memiliki forwarder bersyarat untukRemoteDomainCidrs
, dan bahwa rute IP yang diperlukan telah ditambahkan ke AWS Managed Microsoft AD jikaRemoteDomainCidrs
adalah non-RFC 1918 alamat IP. -
aws:executeScript
- Mengevaluasi aturan kelompok keamanan. -
aws:executeScript
- Mengevaluasi ACL jaringan.
Keluaran
evalDirectorySecurityGroup.output - Hasil dari mengevaluasi apakah aturan kelompok keamanan yang terkait dengan AWS Managed Microsoft AD memungkinkan lalu lintas yang diperlukan untuk penciptaan kepercayaan.
evalAclEntries.output - Hasil dari mengevaluasi apakah ACL jaringan terkait dengan AWS Managed Microsoft AD memungkinkan lalu lintas yang diperlukan untuk penciptaan kepercayaan.
evaluateRemoteDomainCIDR.output - Hasil dari mengevaluasi apakah adalah nilai yang valid. RemoteDomainCidrs
Menegaskan bahwa AWS Managed Microsoft AD memiliki forwarder bersyarat untukRemoteDomainCidrs
, dan bahwa rute IP yang diperlukan telah ditambahkan ke AWS Managed Microsoft AD jika RemoteDomainCidrs
adalah non-RFC 1918 alamat IP.