AWSSupport-TroubleshootADConnectorConnectivity - AWS Systems Manager 自動化 Runbook 參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSupport-TroubleshootADConnectorConnectivity

Description

R AWSSupport-TroubleshootADConnectorConnectivity unbook 會驗證 AD Connector 的下列必要條件:

  • 檢查與 AD Connector 相關聯的安全性群組和網路存取控制清單 (ACL) 規則是否允許所需的流量。

  • 檢查 AWS Systems Manager AWS Security Token Service、和 Amazon CloudWatch 界面VPC端點是否存在於與 AD Connector 相同的虛擬私有雲端 (VPC) 中。

當先決條件檢查成功完成時,執行手冊會在與 AD Connector 相同的子網路中啟動兩個 Amazon 彈性運算雲端 (AmazonEC2) Linux t2.micro 執行個體。然後會使用netcat和公用nslookup程式執行網路連線測試。

運行此自動化(控制台)

重要

使用此 Runbook 可能會 AWS 帳戶 對您的 Amazon EC2 執行個體、Amazon 彈性區塊存放區磁碟區和 Amazon Machine Image (AMI) 在自動化期間建立產生額外費用。如需詳細資訊,請參閱 Amazon 彈性運算雲端定價Amazon 彈性區塊存放區定價

如果aws:deletestack步驟失敗,請移至主 AWS CloudFormation 控台以手動刪除堆疊。此 Runbook 所建立的堆疊名稱開頭AWSSupport-TroubleshootADConnectorConnectivity為。如需有關刪除 AWS CloudFormation 堆疊的資訊,請參閱《AWS CloudFormation 使用指南》中的〈刪除堆疊〉

文件類型

 自動化

擁有者

Amazon

平台

LinuxmacOS, Windows

參數

  • AutomationAssumeRole

    類型:字串

    描述:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 ()。ARN如果未指定任何角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。

  • DirectoryId

    類型:字串

    描述:(必要) 您要疑難排解連線問題之 AD 連接器目錄的識別碼。

  • EC2 InstanceProfile

    類型:字串

    字元數目上限:128

    說明:(必要) 您要指派給為執行連線測試而啟動之執行處理的執行處理設定檔名稱。您指定的執行個體設定檔必須附加AmazonSSMManagedInstanceCore原則或同等權限。

必要的IAM權限

AutomationAssumeRole參數需要執行下列動作,才能成功使用 Runbook。

  • ec2:DescribeInstances

  • ec2:DescribeImages

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeVpcEndpoints

  • ec2:CreateTags

  • ec2:RunInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:DeleteStack

  • ds:DescribeDirectories

  • ssm:SendCommand

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:GetParameters

  • ssm:DescribeInstanceInformation

  • iam:PassRole

文件步驟

  • aws:assertAwsResourceProperty-確認DirectoryId參數中指定的目錄是 AD Connector。

  • aws:executeAwsApi-收集 AD Connector 的相關資訊。

  • aws:executeAwsApi-收集與 AD Connector 相關聯之安全性群組的相關資訊。

  • aws:executeAwsApi-收集與 AD Connector 子網路相關聯之網路ACL規則的相關資訊。

  • aws:executeScript-評估 AD Connector 安全性群組規則,以確認允許所需的輸出流量。

  • aws:executeScript-評估 AD Connector 網路ACL規則,以確認所需的輸出和輸入網路流量是否允許。

  • aws:executeScript-檢查 AWS Systems Manager, AWS Security Token Service 和 Amazon CloudWatch 界面端點是否存在於與 AD Connector VPC 相同。

  • aws:executeScript-編譯在先前步驟中執行的檢查的輸出。

  • aws:branch-根據先前步驟的輸出分支自動化。如果安全群組和網路缺少必要的輸出和輸入規則,自動化會在此停止ACLs。

  • aws:createStack-建立 AWS CloudFormation 堆疊以啟動 Amazon 執行個EC2體以執行連線測試。

  • aws:executeAwsApi-收集新推出IDs的 Amazon EC2 執行個體。

  • aws:waitForAwsResourceProperty-等待第一個新啟動的 Amazon EC2 執行個體報告為受管理的執行個體。 AWS Systems Manager

  • aws:waitForAwsResourceProperty-等待第二個新啟動的 Amazon EC2 執行個體報告為受 AWS Systems Manager管理。

  • aws:runCommand-從第一EC2個 Amazon 執行個體對現場部署DNS伺服器 IP 地址執行網路連線測試。

  • aws:runCommand-從第二EC2個 Amazon 執行個體對現場部署DNS伺服器 IP 地址執行網路連線測試。

  • aws:changeInstanceState-停止用於連線測試的 Amazon EC2 執行個體。

  • aws:deleteStack-刪除 AWS CloudFormation 堆疊。

  • aws:executeScript-如果自動化無法刪除 AWS CloudFormation 堆疊,則輸出如何手動刪除堆疊的指示。