翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-TroubleshootADConnectorConnectivity
説明
AWSSupport-TroubleshootADConnectorConnectivity ランブックでは、AD Connector の以下の前提条件を確認します。
-
必要なトラフィックが、AD Connector に関連するセキュリティグループおよびネットワークアクセスコントロールリスト (ACL) ルールによって許可されているかどうかを確認します。
-
AD Connector と同じ Virtual Private Cloud (VPC) に AWS Systems Manager、 AWS Security Token Service、、および Amazon CloudWatch インターフェイス VPC エンドポイントが存在するかどうかを確認します。
前提条件のチェックが正常に完了すると、ランブックは AD Connector と同じサブネットで 2 つの Amazon Elastic Compute Cloud (Amazon EC2) Linux t2.micro インスタンスを起動します。その後、netcat および nslookup ユーティリティを使用してネットワーク接続テストが実行されます。
重要
このランブックを使用すると、Amazon EC2 インスタンス、Amazon Elastic Block Store ボリューム、およびオートメーション中に作成された Amazon Machine Image (AMI) AWS アカウント に対して、 に追加の料金が発生する場合があります。詳細については、「Amazon Elastic Compute クラウド料金表」
aws:deletestack ステップが失敗した場合は、 AWS CloudFormation コンソールに移動してスタックを手動で削除します。このランブックで作成されたスタック名は AWSSupport-TroubleshootADConnectorConnectivity で始まります。 AWS CloudFormation スタックの削除の詳細については、「 AWS CloudFormation ユーザーガイド」の「スタックの削除」を参照してください。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
タイプ: 文字列
説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
DirectoryId
タイプ: 文字列
説明: (必須) 接続のトラブルシューティングを行う AD Connector ディレクトリの ID。
-
Ec2InstanceProfile
タイプ: 文字列
最大文字数: 128
説明: (必須) 接続テストを実行するために起動されるインスタンスに割り当てるインスタンスプロファイルの名前。指定するインスタンスプロファイルには、
AmazonSSMManagedInstanceCoreポリシーまたは同等の権限がアタッチされている必要があります。
必要な IAM アクセス許可
AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
ec2:DescribeInstances -
ec2:DescribeImages -
ec2:DescribeSubnets -
ec2:DescribeSecurityGroups -
ec2:DescribeNetworkAcls -
ec2:DescribeVpcEndpoints -
ec2:CreateTags -
ec2:RunInstances -
ec2:StopInstances -
ec2:TerminateInstances -
cloudformation:CreateStack -
cloudformation:DescribeStacks -
cloudformation:ListStackResources -
cloudformation:DeleteStack -
ds:DescribeDirectories -
ssm:SendCommand -
ssm:ListCommands -
ssm:ListCommandInvocations -
ssm:GetParameters -
ssm:DescribeInstanceInformation -
iam:PassRole
ドキュメントステップ
-
aws:assertAwsResourceProperty-DirectoryIdパラメータで指定されたディレクトリが AD Connector であることを確認します。 -
aws:executeAwsApi- AD Connector に関する情報を収集します。 -
aws:executeAwsApi- AD Connector に関連付けられているセキュリティグループに関する情報を収集します。 -
aws:executeAwsApi- AD Connector のサブネットに関連付けられているネットワーク ACL ルールに関する情報を収集します。 -
aws:executeScript- AD Connector セキュリティグループのルールを評価して、必要なアウトバウンドトラフィックが許可されていることを確認します。 -
aws:executeScript- AD Connector ネットワーク ACL のルールを評価して、必要なアウトバウンドネットワークトラフィックとインバウンドネットワークトラフィックが許可されていることを確認します。 -
aws:executeScript- AWS Systems Manager AWS Security Token Service および Amazon CloudWatch インターフェイスエンドポイントが AD Connector と同じ VPC に存在するかどうかを確認します。 -
aws:executeScript- 前のステップで実行したチェックの出力をコンパイルします。 -
aws:branch- 前のステップの出力に応じて自動化を分岐させます。セキュリティグループとネットワーク ACL に必要なアウトバウンドルールとインバウンドルールが欠落している場合、自動化はここで停止します。 -
aws:createStack- AWS CloudFormation スタックを作成して Amazon EC2 インスタンスを起動し、接続テストを実行します。 -
aws:executeAwsApi- 新しく起動した Amazon EC2 インスタンスの ID を収集します。 -
aws:waitForAwsResourceProperty- 新しく起動された最初の Amazon EC2 インスタンスが AWS Systems Managerの管理対象としてレポートされるのを待ちます。 -
aws:waitForAwsResourceProperty- 新しく起動された 2 番目の Amazon EC2 インスタンスが AWS Systems Managerの管理対象としてレポートされるのを待ちます。 -
aws:runCommand- 最初の Amazon EC2 インスタンスからオンプレミス DNS サーバーの IP アドレスへのネットワーク接続テストを実行します。 -
aws:runCommand- 2 番目の Amazon EC2 インスタンスからオンプレミス DNS サーバーの IP アドレスへのネットワーク接続テストを実行します。 -
aws:changeInstanceState- 接続テストに使用した Amazon EC2 インスタンスを停止します。 -
aws:deleteStack- AWS CloudFormation スタックを削除します。 -
aws:executeScript- 自動化が AWS CloudFormation スタックの削除に失敗した場合にスタックを手動で削除する方法に関する指示を出力します。
