Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # `AWSSupport-TroubleshootDirectoryTrust` **Beschreibung** Das `AWSSupport-TroubleshootDirectoryTrust` Runbook diagnostiziert Probleme bei der Vertrauensbildung zwischen einem AWS Managed Microsoft AD und einem Microsoft Active Directory. Die Automatisierung stellt sicher, dass der Verzeichnistyp Vertrauensstellungen unterstützt, und überprüft dann die zugehörigen Sicherheitsgruppenregeln, Netzwerkzugriffskontrolllisten (Netzwerk ACLs) und Routingtabellen auf mögliche Verbindungsprobleme. [Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDirectoryTrust) **Art des Dokuments** Automatisierung **Eigentümer** Amazon **Plattformen** Linux, macOS, Windows **Parameter** + AutomationAssumeRole Typ: Zeichenfolge Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet. + DirectoryId Typ: Zeichenfolge Zulässiges Muster: ^d- [a-z0-9] \$110\$1 \$1 Beschreibung: (Erforderlich) Die ID von, mit der die Fehlerbehebung durchgeführt werden soll. AWS Managed Microsoft AD + RemoteDomainCidrs Typ: StringList Zulässiges Muster: ^ (([0-9] \$1 [1-9] [0-9] \$11 [0-9] \$12\$1 \$12 [0-4] [0-9] \$125 [0-5])\$1.) \$13\$1 ([0-9] \$1 [1-9] [0-9] [0-9] \$11 [0-9] \$12\$1 \$12 [0-4] [0-9] \$125 [0-5]) (\$1/(3 [0-2] \$1 [1-2] [0-9] \$1 [1-9])) \$1 Beschreibung: (Erforderlich) Die CIDR(s) der Remotedomäne, mit der Sie eine Vertrauensstellung einrichten möchten. Sie können mehrere hinzufügen, CIDRs indem Sie kommagetrennte Werte verwenden. Zum Beispiel 172.31.48.0/20, 192.168.1.10/32. + RemoteDomainName Typ: Zeichenfolge Beschreibung: (Erforderlich) Der vollqualifizierte Domänenname der Remotedomäne, mit der Sie eine Vertrauensstellung einrichten. + RequiredTrafficACL Typ: Zeichenfolge Beschreibung: (Erforderlich) Die Standard-Portanforderungen für AWS Managed Microsoft AD. In den meisten Fällen sollten Sie den Standardwert nicht ändern. Standard: \$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1 + RequiredTrafficSG Typ: Zeichenfolge Beschreibung: (Erforderlich) Die Standard-Portanforderungen für AWS Managed Microsoft AD. In den meisten Fällen sollten Sie den Standardwert nicht ändern. Standard: \$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1 + TrustId Typ: Zeichenfolge Beschreibung: (Optional) Die ID der Vertrauensstellung für die Fehlerbehebung. **Erforderliche IAM-Berechtigungen** Der `AutomationAssumeRole` Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden. + `ds:DescribeConditionalForwarders` + `ds:DescribeDirectories` + `ds:DescribeTrusts` + `ds:ListIpRoutes` + `ec2:DescribeNetworkAcls` + `ec2:DescribeSecurityGroups` + `ec2:DescribeSubnets` **Dokumentschritte** + `aws:assertAwsResourceProperty`- Bestätigt, dass der Verzeichnistyp ist AWS Managed Microsoft AD. + `aws:executeAwsApi`- Ruft Informationen über die ab AWS Managed Microsoft AD. + `aws:branch`- Verzweigt die Automatisierung, wenn ein Wert für den `TrustId` Eingabeparameter angegeben wird. + `aws:executeAwsApi`- Ruft Informationen über die Vertrauensbeziehung ab. + `aws:executeAwsApi`- Ruft die bedingten Forwarder-DNS-IP-Adressen für die `RemoteDomainName` ab. + `aws:executeAwsApi`- Ruft Informationen über IP-Routen ab, die dem AWS Managed Microsoft AD hinzugefügt wurden. + `aws:executeAwsApi`- Ruft CIDRs die AWS Managed Microsoft AD Subnetze ab. + `aws:executeAwsApi`- Ruft Informationen über die Sicherheitsgruppen ab, die dem AWS Managed Microsoft AD zugeordnet sind. + `aws:executeAwsApi`- Ruft Informationen über das Netzwerk ab, das dem ACLs zugeordnet ist AWS Managed Microsoft AD. + `aws:executeScript`- Bestätigt, dass `RemoteDomainCidrs` es sich um gültige Werte handelt. Bestätigt, dass der AWS Managed Microsoft AD über bedingte Weiterleitungen für die `RemoteDomainCidrs` verfügt und dass die erforderlichen IP-Routen zu den IP-Adressen hinzugefügt wurden, AWS Managed Microsoft AD falls es sich nicht um RFC 1918-IP-Adressen `RemoteDomainCidrs` handelt. + `aws:executeScript`- Wertet Sicherheitsgruppenregeln aus. + `aws:executeScript`- Wertet das Netzwerk aus. ACLs **Ausgaben** evalDirectorySecurityGroup.output — Ergebnisse der Bewertung, ob die zugehörigen Sicherheitsgruppenregeln den für die AWS Managed Microsoft AD Vertrauensbildung erforderlichen Datenverkehr zulassen. evalAclEntries.output — Ergebnisse der Bewertung, ob das ACLs zugeordnete Netzwerk den für die AWS Managed Microsoft AD Vertrauensbildung erforderlichen Datenverkehr zulässt. evaluateRemoteDomainCIDR.Output — Ergebnisse der Bewertung, ob es sich um gültige Werte handelt. `RemoteDomainCidrs` Bestätigt, dass der AWS Managed Microsoft AD über bedingte Weiterleitungen für die verfügt und dass die erforderlichen IP-Routen zu den IP-Adressen hinzugefügt wurden`RemoteDomainCidrs`, AWS Managed Microsoft AD falls es sich nicht um RFC 1918-IP-Adressen `RemoteDomainCidrs` handelt.