Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # `AWSSupport-TroubleshootActiveDirectoryReplication` **Beschreibung** Das **AWSSupport-TroubleshootActiveDirectoryReplication**Runbook hilft bei der Behebung von Replikationsfehlern bei der Microsoft Active Directory (AD) -Domänencontroller-Replikation, indem allgemeine Einstellungen auf einer Zieldomänencontroller-Instanz überprüft werden. Dieses Runbook führt eine Reihe von PowerShell Befehlen für die bereitgestellte Domänencontroller-Instanz aus, um den aktuellen Replikationsstatus zu überprüfen und Fehler zu melden, die möglicherweise zu Problemen bei der Domänenreplikation führen können. Das Runbook kann optional replikationskritische Dienste (`Netlogon`,, und`KDC`) starten `RPCSS``W32Time`, wenn sie beendet sind, und die Systemzeit synchronisieren, indem sie `w32tm /resync /force` auf der Zielinstanz ausgeführt werden. **Wichtig** AWS Verwaltetes Microsoft AD fällt nicht in den Geltungsbereich dieses Runbooks. **Wichtig** Während die Automatisierung Befehle auf der Zielinstanz ausführt, werden Änderungen am Dateisystem der Zielinstanz vorgenommen. Zu diesen Änderungen gehören die Erstellung des Protokollverzeichnisses (`$env:ProgramData\TroubleshootActiveDirectoryReplication`) und der Berichtsdateien. **Wie funktioniert es?** Das Runbook führt die folgenden Prüfungen und Aktionen durch: + Überprüft, ob auf der Zielinstanz Windows ausgeführt wird und sie von Systems Manager verwaltet wird. + Führt PowerShell Skripts aus, um die Konfiguration und den Status der Active Directory-Replikation zu überprüfen. + Überprüft die Sicherheitsgruppen- und Netzwerk-ACL-Einstellungen auf Konnektivität mit dem Replikationspartner. + Behebt Fehler bei der Zeitsynchronisierung und beim Status kritischer Dienste. + Lädt Protokolldateien zur Analyse in den angegebenen Amazon S3 S3-Bucket hoch. [Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootActiveDirectoryReplication) **Art des Dokuments** Automatisierung **Eigentümer** Amazon **Plattformen** Windows **Parameter** **Erforderliche IAM-Berechtigungen** Der `AutomationAssumeRole` Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden. + `ec2:DescribeInstances` + `secretsmanager:GetSecretValu`e + `ssm:DescribeInstanceInformation` + `ssm:SendCommand` + `ssm:GetCommandInvocation` + `s3:GetBucketAcl` + `s3:GetBucketPolicy` + `s3:GetBucketPolicyStatus` + `s3:GetBucketPublicAccessBlock` + `s3:PutObject` Beispiel für eine Richtlinie: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "secretsmanager:GetSecretValue" "ssm:DescribeInstanceInformation", "ssm:SendCommand", "ssm:GetCommandInvocation", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:PutObject" ], "Resource": "*" } ] } ``` **AWS Secrets Manager einrichten** Das PowerShell Check-Replication-Skript stellt eine Verbindung zum Microsoft Active Directory-Zieldomänencontroller her, indem es den Benutzernamen und das Kennwort mit einem Laufzeitaufruf von abruft. AWS Secrets Manager Folgen Sie den Schritten unter [Create an AWS Secrets Manager Secret](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html), um ein neues AWS Secrets Manager Secret zu erstellen. Stellen Sie sicher, dass der Benutzername und das Passwort als key/value Paar im folgenden Format gespeichert sind`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Stellen Sie nach der Erstellung des AWS Secrets Manager Geheimnisses sicher, dass Sie der IAM-Instanzprofilrolle Ihres Zieldomänencontrollers die `secretsmanager:GetSecretValue` Berechtigung für den geheimen ARN erteilen. **Anweisungen** Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren: 1. Navigieren Sie [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description)im Systems Manager unter Dokumente zu. 1. Wählen Sie **Execute automation (Automatisierung ausführen)**. 1. Geben Sie für die Eingabeparameter Folgendes ein: + **AutomationAssumeRole (Fakultativ):** + Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet. + Typ: `AWS::IAM::Role::Arn` + **InstanceId (Erforderlich):** + Beschreibung: (Erforderlich) Die ID der Amazon EC2 EC2-Domain-Controller-Instance, für die Sie Probleme mit der Active Directory-Replikation beheben möchten. Beachten Sie, dass es sich bei der bereitgestellten Instance um einen Domain-Controller handeln muss. + Typ: `AWS::EC2::Instance::Id` + **SecretsManagerArn (Erforderlich):** + Beschreibung: (Erforderlich) Der ARN Ihres AWS Secrets Manager Geheimnisses, der einen Active Directory-Benutzernamen und ein Kennwort mit Enterprise Admin- oder gleichwertigen Berechtigungen für den Zugriff auf Ihre Active Directory-Domäne und Gesamtstrukturkonfiguration enthält. Stellen Sie sicher, dass der Benutzername und das Passwort als key/value Paar im folgenden Format gespeichert werden`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Stellen Sie sicher, dass Sie die `secretsmanager:GetSecretValue` Berechtigung für den geheimen ARN der IAM-Instanzprofilrolle Ihres Zieldomänencontrollers zuordnen. + Typ: `String` + Zulässiges Muster: `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$` + **TimeSync (Fakultativ):** + Beschreibung: (Optional) Wählen Sie `Check` oder`Sync`. Wenn Sie diese Option auswählen`Check`, druckt das Runbook den aktuellen Status der Systemzeitsynchronisierung aus. Wenn diese Option ausgewählt `Sync` ist, versucht das Runbook, eine erneute Synchronisierung der Zeit zu erzwingen, indem es `w32tm /resync /force` auf der Zielinstanz ausgeführt wird. + Typ: `String` + Zulässige Werte: `[Check, Sync]` + Standard: `Check` + **ServiceAction (Fakultativ):** + Beschreibung: (Optional) Wählen Sie `Check` oder`Fix`. Wenn Sie diese Option auswählen`Check`, druckt das Runbook den aktuellen Status der `Key Distribution Center (KDC)` Dienste`Netlogon`, `Windows Time service (W32Time)``Remote Procedure Call (RPC) Service`, und aus. Wenn diese Option ausgewählt `Fix` ist, versucht das Runbook, diese Dienste zu starten, falls sie beendet wurden. + Typ: `String` + Zulässige Werte: `[Check, Fix]` + Standard: `Check` + **LogDestination (Erforderlich):** + Beschreibung: (Erforderlich) Der Amazon Amazon S3 S3-Bucket in Ihrem AWS Konto, um die Befehlsausgaben hochzuladen. + Typ: `String` 1. Wählen Sie **Ausführen aus**. 1. Die Automatisierung wird initiiert. 1. Das Dokument führt die folgenden Schritte aus: + **assertIfOperatingSystemIsWindows**: Überprüft, ob das Betriebssystem der bereitgestellten Amazon EC2 EC2-Zielinstanz Windows ist. + **assertifInstanceIsSsmManaged**: Stellt sicher, dass die Amazon EC2 EC2-Instance von Systems Manager verwaltet wird, andernfalls endet die Automatisierung. + **Überprüfen Sie** die Replikation: Führt ein PowerShell Skript auf der angegebenen Domänencontroller-Instanz aus, um die Konfiguration und den Status der Active Directory-Domänenreplikation abzurufen. + **checkInstanceSgAndNacl**: Überprüft, ob die Sicherheitsgruppe und die Netzwerk-ACL, die der Ziel-Domänen-Controller-Instanz zugeordnet sind, Datenverkehr zu den Replikationspartnern zulassen. + **Problembehandlung bei** der Replikation: Führt ein PowerShell Skript aus, um Fehler bei der Zeitsynchronisierung und beim Status kritischer Dienste zu beheben. + **Überprüft S3 BucketPublicStatus**: Prüft, ob der in angegebene Amazon S3 S3-Bucket anonyme oder öffentliche Lese- oder Schreibzugriffsberechtigungen `LogDestination` zulässt. + **`runUploadScript`**: Führt ein PowerShell Skript aus, um das Protokollarchiv in den im `LogDestination` Parameter angegebenen AAmazon S3-Bucket hochzuladen, und löscht die archivierte Protokolldatei aus dem Betriebssystem. Die Protokolldateien können zur Fehlerbehebung verwendet oder bei der Behebung von Replikationsproblemen an den AWS Support weitergegeben werden. 1. Nach Abschluss der Ausführung finden Sie im Abschnitt **Ausgaben** die detaillierten Ergebnisse der Ausführung. **Referenzen** Systems Manager Automation + [Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description) + [Führen Sie eine Automatisierung aus](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Eine Automatisierung einrichten](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Support Sie Automatisierungs-Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)