Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # `AWSSupport-TroubleshootActiveDirectoryReplication` **Deskripsi** **AWSSupport-TroubleshootActiveDirectoryReplication**Runbook membantu memecahkan masalah kegagalan replikasi pengontrol domain Microsoft Active Directory (AD) dengan memeriksa pengaturan umum pada instance pengontrol domain target. Runbook ini menjalankan serangkaian PowerShell perintah terhadap instance pengontrol domain yang disediakan untuk memeriksa status replikasi saat ini dan melaporkan kesalahan yang berpotensi menyebabkan masalah replikasi domain. Runbook secara opsional dapat memulai replikasi layanan kritis (`Netlogon`,`RPCSS`,`W32Time`, dan`KDC`) jika dihentikan dan menyinkronkan waktu sistem dengan berjalan `w32tm /resync /force` pada instance target. **penting** AWS Microsoft AD yang dikelola tidak berada dalam lingkup runbook ini. **penting** Saat otomatisasi menjalankan perintah pada instance target, perubahan dilakukan pada sistem file instance target. Perubahan ini termasuk pembuatan direktori log (`$env:ProgramData\TroubleshootActiveDirectoryReplication`) dan file laporan. **Bagaimana cara kerjanya?** Runbook melakukan pemeriksaan dan tindakan berikut: + Memverifikasi instans target menjalankan Windows dan dikelola oleh Systems Manager. + Menjalankan PowerShell skrip untuk memeriksa konfigurasi dan status replikasi Direktori Aktif. + Memeriksa grup keamanan dan pengaturan ACL jaringan untuk konektivitas mitra replikasi. + Memecahkan masalah sinkronisasi waktu dan status layanan kritis. + Mengunggah file log ke bucket Amazon S3 yang ditentukan untuk analisis. [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootActiveDirectoryReplication) **Jenis dokumen** Otomatisasi **Pemilik** Amazon **Platform** Windows **Parameter** **Izin IAM yang diperlukan** `AutomationAssumeRole`Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses. + `ec2:DescribeInstances` + `secretsmanager:GetSecretValu`e + `ssm:DescribeInstanceInformation` + `ssm:SendCommand` + `ssm:GetCommandInvocation` + `s3:GetBucketAcl` + `s3:GetBucketPolicy` + `s3:GetBucketPolicyStatus` + `s3:GetBucketPublicAccessBlock` + `s3:PutObject` Contoh Kebijakan: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "secretsmanager:GetSecretValue" "ssm:DescribeInstanceInformation", "ssm:SendCommand", "ssm:GetCommandInvocation", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:PutObject" ], "Resource": "*" } ] } ``` **AWS Secrets Manager penyiapan** PowerShell Skrip replikasi cek terhubung ke pengontrol domain Microsoft Active Directory target dengan mengambil nama pengguna dan kata sandi dengan panggilan runtime ke. AWS Secrets Manager Ikuti langkah-langkah di [Buat AWS Secrets Manager rahasia](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html) untuk membuat AWS Secrets Manager rahasia baru. Pastikan nama pengguna dan kata sandi disimpan menggunakan key/value pasangan dalam format`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Setelah membuat AWS Secrets Manager rahasia, pastikan Anda memberikan `secretsmanager:GetSecretValue` izin pada ARN rahasia ke peran profil instans IAM pengontrol domain target Anda. **Instruksi** Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi: 1. Arahkan ke [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description)Systems Manager di bawah Documents. 1. Pilih **Jalankan otomatisasi**. 1. Untuk parameter input, masukkan yang berikut ini: + **AutomationAssumeRole (Opsional):** + Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini. + Tipe: `AWS::IAM::Role::Arn` + **InstanceId (Diperlukan):** + Deskripsi: (Wajib) ID instance pengontrol domain Amazon EC2 yang ingin Anda atasi masalah replikasi Direktori Aktif. Perhatikan bahwa instance yang disediakan harus menjadi pengontrol domain. + Tipe: `AWS::EC2::Instance::Id` + **SecretsManagerArn (Diperlukan):** + Deskripsi: (Wajib) ARN AWS Secrets Manager rahasia Anda yang berisi nama pengguna dan kata sandi Direktori Aktif dengan Admin Perusahaan atau izin yang setara untuk mengakses domain Direktori Aktif dan konfigurasi hutan Anda. Pastikan nama pengguna dan kata sandi disimpan menggunakan key/value pasangan dalam format`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Pastikan untuk melampirkan `secretsmanager:GetSecretValue` izin pada ARN rahasia ke peran profil instans IAM pengontrol domain target Anda. + Tipe: `String` + Pola yang Diizinkan: `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$` + **TimeSync (Opsional):** + Deskripsi: (Opsional) Pilih `Check` atau`Sync`. Jika Anda memilih`Check`, runbook mencetak status sinkronisasi waktu sistem saat ini. Jika `Sync` dipilih, runbook akan mencoba resync waktu paksa dengan menjalankan `w32tm /resync /force` instance target. + Tipe: `String` + Nilai yang Diizinkan: `[Check, Sync]` + Default: `Check` + **ServiceAction (Opsional):** + Deskripsi: (Opsional) Pilih `Check` atau`Fix`. Jika Anda memilih`Check`, runbook mencetak status saat ini dari`Netlogon`, `Windows Time service (W32Time)``Remote Procedure Call (RPC) Service`, dan `Key Distribution Center (KDC)` layanan. Jika `Fix` dipilih, runbook akan mencoba memulai layanan ini jika ada yang dihentikan. + Tipe: `String` + Nilai yang Diizinkan: `[Check, Fix]` + Default: `Check` + **LogDestination (Diperlukan):** + Deskripsi: (Diperlukan) Bucket Amazon S3 Amazon di AWS akun Anda untuk mengunggah output perintah. + Tipe: `String` 1. Pilih **Jalankan**. 1. Otomatisasi dimulai. 1. Dokumen melakukan langkah-langkah berikut: + **assertIfOperatingSystemIsWindows**: Memeriksa apakah sistem operasi instans Amazon EC2 target yang disediakan adalah Windows. + **assertifInstanceIsSsmManaged**: Memastikan instans Amazon EC2 dikelola oleh Systems Manager, jika tidak, otomatisasi akan berakhir. + **CheckReplication:** Menjalankan PowerShell skrip pada instance pengontrol domain tertentu untuk mendapatkan konfigurasi dan status replikasi domain Active Directory. + **checkInstanceSgAndNacl**: Memeriksa apakah lalu lintas ke mitra replikasi diizinkan oleh grup keamanan dan ACL jaringan yang terkait dengan instance pengontrol domain target. + **Pemecahan masalahPlikasi**: Menjalankan PowerShell skrip untuk memecahkan masalah sinkronisasi waktu dan status layanan penting. + **BucketPublicStatusVerifyS3**: Memeriksa apakah bucket Amazon S3 yang ditentukan dalam `LogDestination` mengizinkan izin akses baca atau tulis anonim, atau publik. + **`runUploadScript`**: Menjalankan PowerShell skrip untuk mengunggah arsip log ke bucket AAmazon S3 yang ditentukan dalam `LogDestination` parameter dan menghapus file log yang diarsipkan dari OS. File log dapat digunakan untuk pemecahan masalah atau untuk dibagikan dengan AWS Support saat memecahkan masalah replikasi. 1. Setelah selesai, tinjau bagian **Output** untuk hasil eksekusi yang terperinci. **Referensi** Otomatisasi Systems Manager + [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description) + [Jalankan otomatisasi](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Menyiapkan Otomasi](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Support Automation Workflow](https://aws.amazon.com/premiumsupport/technology/saw/)