View a markdown version of this page

AWSSupport-TroubleshootActiveDirectoryReplication - AWS Systems Manager Referensi Buku Runbook Otomasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootActiveDirectoryReplication

Deskripsi

AWSSupport-TroubleshootActiveDirectoryReplicationRunbook membantu memecahkan masalah kegagalan replikasi pengontrol domain Microsoft Active Directory (AD) dengan memeriksa pengaturan umum pada instance pengontrol domain target. Runbook ini menjalankan serangkaian PowerShell perintah terhadap instance pengontrol domain yang disediakan untuk memeriksa status replikasi saat ini dan melaporkan kesalahan yang berpotensi menyebabkan masalah replikasi domain. Runbook secara opsional dapat memulai replikasi layanan kritis (Netlogon,RPCSS,W32Time, danKDC) jika dihentikan dan menyinkronkan waktu sistem dengan berjalan w32tm /resync /force pada instance target.

penting

AWS Microsoft AD yang dikelola tidak berada dalam lingkup runbook ini.

penting

Saat otomatisasi menjalankan perintah pada instance target, perubahan dilakukan pada sistem file instance target. Perubahan ini termasuk pembuatan direktori log ($env:ProgramData\TroubleshootActiveDirectoryReplication) dan file laporan.

Bagaimana cara kerjanya?

Runbook melakukan pemeriksaan dan tindakan berikut:

  • Memverifikasi instans target menjalankan Windows dan dikelola oleh Systems Manager.

  • Menjalankan PowerShell skrip untuk memeriksa konfigurasi dan status replikasi Direktori Aktif.

  • Memeriksa grup keamanan dan pengaturan ACL jaringan untuk konektivitas mitra replikasi.

  • Memecahkan masalah sinkronisasi waktu dan status layanan kritis.

  • Mengunggah file log ke bucket Amazon S3 yang ditentukan untuk analisis.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Windows

Parameter

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ec2:DescribeInstances

  • secretsmanager:GetSecretValue

  • ssm:DescribeInstanceInformation

  • ssm:SendCommand

  • ssm:GetCommandInvocation

  • s3:GetBucketAcl

  • s3:GetBucketPolicy

  • s3:GetBucketPolicyStatus

  • s3:GetBucketPublicAccessBlock

  • s3:PutObject

Contoh Kebijakan:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "secretsmanager:GetSecretValue"
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWS Secrets Manager penyiapan

PowerShell Skrip replikasi cek terhubung ke pengontrol domain Microsoft Active Directory target dengan mengambil nama pengguna dan kata sandi dengan panggilan runtime ke. AWS Secrets Manager Ikuti langkah-langkah di Buat AWS Secrets Manager rahasia untuk membuat AWS Secrets Manager rahasia baru. Pastikan nama pengguna dan kata sandi disimpan menggunakan key/value pasangan dalam format{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Setelah membuat AWS Secrets Manager rahasia, pastikan Anda memberikan secretsmanager:GetSecretValue izin pada ARN rahasia ke peran profil instans IAM pengontrol domain target Anda.

Instruksi

Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:

  1. Arahkan ke AWSSupport-TroubleshootActiveDirectoryReplicationSystems Manager di bawah Documents.

  2. Pilih Jalankan otomatisasi.

  3. Untuk parameter input, masukkan yang berikut ini:

    • AutomationAssumeRole (Opsional):

      • Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

      • Tipe: AWS::IAM::Role::Arn

    • InstanceId (Diperlukan):

      • Deskripsi: (Wajib) ID instance pengontrol domain Amazon EC2 yang ingin Anda atasi masalah replikasi Direktori Aktif. Perhatikan bahwa instance yang disediakan harus menjadi pengontrol domain.

      • Tipe: AWS::EC2::Instance::Id

    • SecretsManagerArn (Diperlukan):

      • Deskripsi: (Wajib) ARN AWS Secrets Manager rahasia Anda yang berisi nama pengguna dan kata sandi Direktori Aktif dengan Admin Perusahaan atau izin yang setara untuk mengakses domain Direktori Aktif dan konfigurasi hutan Anda. Pastikan nama pengguna dan kata sandi disimpan menggunakan key/value pasangan dalam format{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Pastikan untuk melampirkan secretsmanager:GetSecretValue izin pada ARN rahasia ke peran profil instans IAM pengontrol domain target Anda.

      • Tipe: String

      • Pola yang Diizinkan: ^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$

    • TimeSync (Opsional):

      • Deskripsi: (Opsional) Pilih Check atauSync. Jika Anda memilihCheck, runbook mencetak status sinkronisasi waktu sistem saat ini. Jika Sync dipilih, runbook akan mencoba resync waktu paksa dengan menjalankan w32tm /resync /force instance target.

      • Tipe: String

      • Nilai yang Diizinkan: [Check, Sync]

      • Default: Check

    • ServiceAction (Opsional):

      • Deskripsi: (Opsional) Pilih Check atauFix. Jika Anda memilihCheck, runbook mencetak status saat ini dariNetlogon, Windows Time service (W32Time)Remote Procedure Call (RPC) Service, dan Key Distribution Center (KDC) layanan. Jika Fix dipilih, runbook akan mencoba memulai layanan ini jika ada yang dihentikan.

      • Tipe: String

      • Nilai yang Diizinkan: [Check, Fix]

      • Default: Check

    • LogDestination (Diperlukan):

      • Deskripsi: (Diperlukan) Bucket Amazon S3 Amazon di AWS akun Anda untuk mengunggah output perintah.

      • Tipe: String

  4. Pilih Jalankan.

  5. Otomatisasi dimulai.

  6. Dokumen melakukan langkah-langkah berikut:

    • assertIfOperatingSystemIsWindows:

      Memeriksa apakah sistem operasi instans Amazon EC2 target yang disediakan adalah Windows.

    • assertifInstanceIsSsmManaged:

      Memastikan instans Amazon EC2 dikelola oleh Systems Manager, jika tidak, otomatisasi akan berakhir.

    • CheckReplication:

      Menjalankan PowerShell skrip pada instance pengontrol domain tertentu untuk mendapatkan konfigurasi dan status replikasi domain Active Directory.

    • checkInstanceSgAndNacl:

      Memeriksa apakah lalu lintas ke mitra replikasi diizinkan oleh grup keamanan dan ACL jaringan yang terkait dengan instance pengontrol domain target.

    • Pemecahan masalahPlikasi:

      Menjalankan PowerShell skrip untuk memecahkan masalah sinkronisasi waktu dan status layanan penting.

    • BucketPublicStatusVerifyS3:

      Memeriksa apakah bucket Amazon S3 yang ditentukan dalam LogDestination mengizinkan izin akses baca atau tulis anonim, atau publik.

    • runUploadScript:

      Menjalankan PowerShell skrip untuk mengunggah arsip log ke bucket AAmazon S3 yang ditentukan dalam LogDestination parameter dan menghapus file log yang diarsipkan dari OS. File log dapat digunakan untuk pemecahan masalah atau untuk dibagikan dengan AWS Support saat memecahkan masalah replikasi.

  7. Setelah selesai, tinjau bagian Output untuk hasil eksekusi yang terperinci.

Referensi

Otomatisasi Systems Manager