Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # `AWSSupport-TroubleshootActiveDirectoryReplication` **Descripción** El **AWSSupport-TroubleshootActiveDirectoryReplication**manual ayuda a solucionar los errores de replicación del controlador de dominio de Microsoft Active Directory (AD) al comprobar la configuración común de una instancia de controlador de dominio de destino. Este manual ejecuta una serie de PowerShell comandos en la instancia de controlador de dominio proporcionada para comprobar el estado actual de la replicación e informar de los errores que pueden provocar problemas de replicación del dominio. De forma opcional, el runbook puede iniciar los servicios críticos de replicación (`Netlogon``RPCSS`,`W32Time`, y`KDC`) si están parados y sincronizar la hora del sistema ejecutándolos `w32tm /resync /force` en la instancia de destino. **importante** AWS Managed Microsoft AD no está en el ámbito de este manual. **importante** Mientras la automatización ejecuta comandos en la instancia de destino, se realizan cambios en el sistema de archivos de la instancia de destino. Estos cambios incluyen la creación del directorio de registro (`$env:ProgramData\TroubleshootActiveDirectoryReplication`) y los archivos de informe. **¿Cómo funciona?** El manual de ejecución realiza las siguientes comprobaciones y acciones: + Verifica que la instancia de destino ejecute Windows y que la administre Systems Manager. + Ejecuta PowerShell scripts para comprobar la configuración y el estado de la replicación de Active Directory. + Comprueba la configuración de las ACL de los grupos de seguridad y de la red para comprobar la conectividad del socio de replicación. + Soluciona problemas de sincronización horaria y estado de los servicios críticos. + Carga los archivos de registro en el bucket de Amazon S3 especificado para su análisis. [Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootActiveDirectoryReplication) **Tipo de documento** Automatización **Propietario** Amazon **Plataformas** Windows **Parámetros** **Permisos de IAM necesarios** El parámetro `AutomationAssumeRole` requiere las siguientes acciones para utilizar el manual de procedimientos correctamente. + `ec2:DescribeInstances` + `secretsmanager:GetSecretValu`e + `ssm:DescribeInstanceInformation` + `ssm:SendCommand` + `ssm:GetCommandInvocation` + `s3:GetBucketAcl` + `s3:GetBucketPolicy` + `s3:GetBucketPolicyStatus` + `s3:GetBucketPublicAccessBlock` + `s3:PutObject` Ejemplo de política: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "secretsmanager:GetSecretValue" "ssm:DescribeInstanceInformation", "ssm:SendCommand", "ssm:GetCommandInvocation", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:PutObject" ], "Resource": "*" } ] } ``` **AWS Secrets Manager configuración** El PowerShell script de replicación de comprobaciones se conecta al controlador de dominio de Microsoft Active Directory de destino recuperando el nombre de usuario y la contraseña con una llamada en tiempo de ejecución a AWS Secrets Manager. Siga los pasos de [Crear un AWS Secrets Manager secreto](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html) para crear un AWS Secrets Manager secreto nuevo. Asegúrese de que el nombre de usuario y la contraseña estén guardados mediante un key/value par en el formato`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Tras crear el AWS Secrets Manager secreto, asegúrate de conceder el `secretsmanager:GetSecretValue` permiso sobre el ARN secreto a la función de perfil de instancia de IAM del controlador de dominio de destino. **Instrucciones** Siga estos pasos para configurar la automatización: 1. Navegue hasta [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description)Systems Manager, en Documentos. 1. Elija **Execute automation** (Ejecutar automatización). 1. Para los parámetros de entrada, introduzca lo siguiente: + **AutomationAssumeRole (Opcional):** + Descripción: (opcional) El nombre del recurso de Amazon (ARN) de la función AWS Identity and Access Management (IAM) (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos. + Tipo: `AWS::IAM::Role::Arn` + **InstanceId (Obligatorio):** + Descripción: (obligatorio) El ID de la instancia del controlador de dominio de Amazon EC2 que desea solucionar los problemas de replicación de Active Directory. Tenga en cuenta que la instancia proporcionada debe ser un controlador de dominio. + Tipo: `AWS::EC2::Instance::Id` + **SecretsManagerArn (Obligatorio):** + Descripción: (Obligatorio) El ARN de su AWS Secrets Manager secreto que contiene un nombre de usuario y una contraseña de Active Directory con permisos de administrador empresarial o equivalentes para acceder a la configuración de dominio y bosque de Active Directory. Asegúrese de que el nombre de usuario y la contraseña se almacenen mediante un key/value par en ese formato`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Asegúrese de adjuntar el `secretsmanager:GetSecretValue` permiso del ARN secreto a la función de perfil de instancia de IAM del controlador de dominio de destino. + Tipo: `String` + Valor permitido: `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$` + **TimeSync (Opcional):** + Descripción: (opcional) Seleccione `Check` o`Sync`. Si lo selecciona`Check`, el manual imprimirá el estado actual de la sincronización horaria del sistema. Si `Sync` se selecciona, el runbook intentará forzar la resincronización temporal ejecutándose `w32tm /resync /force` en la instancia de destino. + Tipo: `String` + Valores permitidos: `[Check, Sync]` + Valor predeterminado: `Check` + **ServiceAction (Opcional):** + Descripción: (opcional) Seleccione `Check` o`Fix`. Si selecciona`Check`, el manual imprimirá el estado actual de los `Key Distribution Center (KDC)` servicios `Netlogon``Windows Time service (W32Time)`,`Remote Procedure Call (RPC) Service`, y. Si `Fix` se selecciona, el runbook intentará iniciar estos servicios si alguno está detenido. + Tipo: `String` + Valores permitidos: `[Check, Fix]` + Valor predeterminado: `Check` + **LogDestination (Obligatorio):** + Descripción: (Obligatorio) El bucket de Amazon S3 de su AWS cuenta para cargar los resultados de los comandos. + Tipo: `String` 1. Seleccione **Ejecutar**. 1. Se inicia la automatización. 1. Este documento realiza los siguientes pasos: + **assertIfOperatingSystemIsWindows**: Comprueba si el sistema operativo de la instancia Amazon EC2 de destino proporcionada es Windows. + **assertifInstanceIsSsmManaged**: Garantiza que Systems Manager administre la instancia de Amazon EC2; de lo contrario, la automatización finaliza. + **Compruebe** la replicación: Ejecuta un PowerShell script en la instancia del controlador de dominio especificada para obtener la configuración y el estado de la replicación del dominio de Active Directory. + **checkInstanceSgAndNacl**: Comprueba si el grupo de seguridad y la ACL de red asociadas a la instancia del controlador de dominio de destino permiten el tráfico a los socios de replicación. + **Solucionar problemas de replicación**: Ejecuta un PowerShell script para solucionar los problemas de sincronización horaria y del estado de los servicios críticos. + **Verifica S3 BucketPublicStatus**: Comprueba si el bucket de Amazon S3 especificado en `LogDestination` permite permisos de acceso de lectura o escritura públicos o anónimos. + **`runUploadScript`**: Ejecuta un PowerShell script para cargar el archivo de registro en el bucket de AAmazon S3 especificado en el `LogDestination` parámetro y elimina el archivo de registro archivado del sistema operativo. Los archivos de registro se pueden usar para solucionar problemas o se pueden compartir con AWS Support al solucionar problemas de replicación. 1. Una vez finalizada, revise la sección de **resultados** para ver los resultados detallados de la ejecución. **Referencias** Automatización de Systems Manager + [Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description) + [Ejecución de una automatización](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configuración de Automatización](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Flujos de trabajo de automatización de Support](https://aws.amazon.com/premiumsupport/technology/saw/)