Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # `AWSSupport-TroubleshootActiveDirectoryReplication` **Description** Le **AWSSupport-TroubleshootActiveDirectoryReplication**runbook permet de résoudre les problèmes de réplication du contrôleur de domaine Microsoft Active Directory (AD) en vérifiant les paramètres courants sur une instance de contrôleur de domaine cible. Ce runbook exécute une série de PowerShell commandes sur l'instance de contrôleur de domaine fournie pour vérifier l'état actuel de la réplication et signaler les erreurs susceptibles de provoquer des problèmes de réplication de domaine. Le runbook peut éventuellement démarrer les services critiques de réplication (`Netlogon`,`RPCSS`,`W32Time`, et`KDC`) s'ils sont arrêtés et synchroniser l'heure du système en s'exécutant `w32tm /resync /force` sur l'instance cible. **Important** AWS Managed Microsoft AD n'entre pas dans le cadre de ce runbook. **Important** Pendant que l'automatisation exécute des commandes sur l'instance cible, des modifications sont apportées au système de fichiers de l'instance cible. Ces modifications incluent la création du répertoire des journaux (`$env:ProgramData\TroubleshootActiveDirectoryReplication`) et des fichiers de rapport. **Fonctionnement** Le runbook effectue les vérifications et actions suivantes : + Vérifie que l'instance cible exécute Windows et qu'elle est gérée par Systems Manager. + Exécute PowerShell des scripts pour vérifier la configuration et l'état de la réplication Active Directory. + Vérifie les paramètres ACL du groupe de sécurité et du réseau pour vérifier la connectivité des partenaires de réplication. + Résoudre les problèmes de synchronisation horaire et d'état des services critiques. + Télécharge les fichiers journaux dans le compartiment Amazon S3 spécifié à des fins d'analyse. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootActiveDirectoryReplication) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** Windows **Paramètres** **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ec2:DescribeInstances` + `secretsmanager:GetSecretValu`e + `ssm:DescribeInstanceInformation` + `ssm:SendCommand` + `ssm:GetCommandInvocation` + `s3:GetBucketAcl` + `s3:GetBucketPolicy` + `s3:GetBucketPolicyStatus` + `s3:GetBucketPublicAccessBlock` + `s3:PutObject` Exemple de politique : ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "secretsmanager:GetSecretValue" "ssm:DescribeInstanceInformation", "ssm:SendCommand", "ssm:GetCommandInvocation", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:PutObject" ], "Resource": "*" } ] } ``` **AWS Secrets Manager configuration** Le PowerShell script de réplication de vérification se connecte au contrôleur de domaine Microsoft Active Directory cible en récupérant le nom d'utilisateur et le mot de passe avec un appel d'exécution à AWS Secrets Manager. Suivez les étapes décrites dans [Créer un AWS Secrets Manager secret](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html) pour créer un nouveau AWS Secrets Manager secret. Assurez-vous que le nom d'utilisateur et le mot de passe sont enregistrés à l'aide d'une key/value paire au format`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Après avoir créé le AWS Secrets Manager secret, assurez-vous d'accorder l'`secretsmanager:GetSecretValue`autorisation sur l'ARN secret au rôle de profil d'instance IAM de votre contrôleur de domaine cible. **Instructions** Pour configurer l'automatisation, procédez comme suit : 1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description)à Systems Manager sous Documents. 1. Sélectionnez **Execute automation** (Exécuter l'automatisation). 1. Pour les paramètres d'entrée, entrez ce qui suit : + **AutomationAssumeRole (Facultatif) :** + Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + Type : `AWS::IAM::Role::Arn` + **InstanceId (Obligatoire) :** + Description : (Obligatoire) L'ID de l'instance de contrôleur de domaine Amazon EC2 à laquelle vous souhaitez résoudre les problèmes de réplication Active Directory. Notez que l'instance fournie doit être un contrôleur de domaine. + Type : `AWS::EC2::Instance::Id` + **SecretsManagerArn (Obligatoire) :** + Description : (Obligatoire) L'ARN de votre AWS Secrets Manager secret contenant un nom d'utilisateur et un mot de passe Active Directory avec des autorisations d'administrateur d'entreprise ou équivalentes pour accéder à votre configuration de domaine et de forêt Active Directory. Assurez-vous que le nom d'utilisateur et le mot de passe sont enregistrés à l'aide d'une key/value paire au format`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Assurez-vous d'associer l'`secretsmanager:GetSecretValue`autorisation sur l'ARN secret au rôle de profil d'instance IAM de votre contrôleur de domaine cible. + Type : `String` + Modèle autorisé : `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$` + **TimeSync (Facultatif) :** + Description : (Facultatif) Sélectionnez `Check` ou`Sync`. Si vous le sélectionnez`Check`, le runbook affiche l'état actuel de synchronisation horaire du système. Si cette option `Sync` est sélectionnée, le runbook tentera une resynchronisation forcée en s'exécutant `w32tm /resync /force` sur l'instance cible. + Type : `String` + Valeurs autorisées : `[Check, Sync]` + Valeur par défaut : `Check` + **ServiceAction (Facultatif) :** + Description : (Facultatif) Sélectionnez `Check` ou`Fix`. Si vous le sélectionnez`Check`, le runbook affiche l'état actuel des `Key Distribution Center (KDC)` services `Netlogon``Windows Time service (W32Time)`,`Remote Procedure Call (RPC) Service`, et. Si cette option `Fix` est sélectionnée, le runbook tentera de démarrer ces services si l'un d'entre eux est arrêté. + Type : `String` + Valeurs autorisées : `[Check, Fix]` + Valeur par défaut : `Check` + **LogDestination (Obligatoire) :** + Description : (Obligatoire) Le compartiment Amazon Amazon S3 de votre AWS compte pour télécharger les sorties de commande. + Type : `String` 1. Sélectionnez **Exécuter**. 1. L'automatisation démarre. 1. Le document exécute les étapes suivantes : + **assertIfOperatingSystemIsWindows**: Vérifie si le système d'exploitation de l'instance Amazon EC2 cible fournie est Windows. + **assertifInstanceIsSsmManaged**: Garantit que l'instance Amazon EC2 est gérée par Systems Manager, sinon l'automatisation prend fin. + **Vérifiez la réplication** : Exécute un PowerShell script sur l'instance de contrôleur de domaine spécifiée pour obtenir la configuration et l'état de réplication du domaine Active Directory. + **checkInstanceSgAndNacl**: Vérifie si le trafic vers les partenaires de réplication est autorisé par le groupe de sécurité et l'ACL réseau associés à l'instance de contrôleur de domaine cible. + **Résoudre les problèmes de réplication** : Exécute un PowerShell script pour résoudre les problèmes de synchronisation horaire et d'état des services critiques. + **Vérifiez S3 : BucketPublicStatus** Vérifie si le compartiment Amazon S3 spécifié dans `LogDestination` autorise les autorisations d'accès anonymes ou publiques en lecture ou en écriture. + **`runUploadScript`**: Exécute un PowerShell script pour télécharger l'archive du journal dans le compartiment AAmazon S3 spécifié dans le `LogDestination` paramètre et supprime le fichier journal archivé du système d'exploitation. Les fichiers journaux peuvent être utilisés pour le dépannage ou pour être partagés avec le AWS Support lors de la résolution de problèmes de réplication. 1. Une fois l'exécution terminée, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution. **Références** Systems Manager Automation + [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description) + [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)