Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # `AWSSupport-TroubleshootDirectoryTrust` **Deskripsi** `AWSSupport-TroubleshootDirectoryTrust`Runbook mendiagnosis masalah pembuatan kepercayaan antara Direktori Aktif Microsoft AWS Managed Microsoft AD dan Microsoft. Otomatisasi memastikan jenis direktori mendukung trust, dan kemudian memeriksa aturan grup keamanan terkait, daftar kontrol akses jaringan (jaringan ACLs), dan tabel rute untuk potensi masalah konektivitas. [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDirectoryTrust) **Jenis dokumen** Otomatisasi **Pemilik** Amazon **Platform** Linux, macOS, Windows **Parameter** + AutomationAssumeRole Tipe: String Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini. + DirectoryId Tipe: String Pola yang diizinkan: ^d- [a-z0-9] \$110\$1 \$1 Deskripsi: (Wajib) ID AWS Managed Microsoft AD untuk memecahkan masalah. + RemoteDomainCidrs Jenis: StringList Pola yang diizinkan: ^ (([0-9] \$1 [1-9] [0-9] \$11 [0-9] \$12\$1 \$12 [0-4] [0-9] \$125 [0-5])\$1.) \$13\$1 ([0-9] \$1 [1-9] [0-9] \$11 [0-9] \$12\$1 \$12 [0-4] [0-9] \$125 [0-5]) (\$1/(3 [0-2] \$1 [1-2] [0-9] \$1 [1-9])) \$1 Deskripsi: (Wajib) CIDR (s) dari domain jarak jauh yang Anda coba untuk membangun hubungan kepercayaan dengan. Anda dapat menambahkan beberapa CIDRs menggunakan nilai yang dipisahkan koma. Misalnya, 172.31.48.0/20, 192.168.1.10/32. + RemoteDomainName Tipe: String Deskripsi: (Wajib) Nama domain yang sepenuhnya memenuhi syarat dari domain jarak jauh yang menjalin hubungan kepercayaan dengan Anda. + RequiredTrafficACL Tipe: String Deskripsi: (Diperlukan) Persyaratan port default untuk AWS Managed Microsoft AD. Dalam kebanyakan kasus, Anda tidak harus mengubah nilai default. Default: \$1"inbound”: \$1"tcp”: [[53,53], [88,88], [135,135], [389,389], [445,445], [464,464], [636,636], [1024,65535]], "udp”: [[53,53], [88,88], [123.123], [138,138], [389,389], [445.445], [464.464]], "icmp”: [[-1, -1]]\$1, "keluar”: \$1” -1": [[0,65535]]\$1\$1 + RequiredTrafficSG Tipe: String Deskripsi: (Diperlukan) Persyaratan port default untuk AWS Managed Microsoft AD. Dalam kebanyakan kasus, Anda tidak harus mengubah nilai default. Default: \$1"inbound”: \$1"tcp”: [[53,53], [88,88], [135,135], [389,389], [445,445], [464,464], [636,636], [1024,65535]], "udp”: [[53,53], [88,88], [123.123], [138,138], [389,389], [445.445], [464.464]], "icmp”: [[-1, -1]]\$1, "keluar”: \$1” -1": [[0,65535]]\$1\$1 + TrustId Tipe: String Deskripsi: (Opsional) ID hubungan kepercayaan untuk memecahkan masalah. **Izin IAM yang diperlukan** `AutomationAssumeRole`Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses. + `ds:DescribeConditionalForwarders` + `ds:DescribeDirectories` + `ds:DescribeTrusts` + `ds:ListIpRoutes` + `ec2:DescribeNetworkAcls` + `ec2:DescribeSecurityGroups` + `ec2:DescribeSubnets` **Langkah Dokumen** + `aws:assertAwsResourceProperty`- Mengonfirmasi jenis direktori adalah AWS Managed Microsoft AD. + `aws:executeAwsApi`- Mendapat informasi tentang AWS Managed Microsoft AD. + `aws:branch`- Otomatisasi cabang jika nilai disediakan untuk parameter `TrustId` input. + `aws:executeAwsApi`- Mendapat informasi tentang hubungan kepercayaan. + `aws:executeAwsApi`- Mendapat alamat IP DNS forwarder bersyarat untuk file. `RemoteDomainName` + `aws:executeAwsApi`- Mendapat informasi tentang rute IP yang telah ditambahkan ke AWS Managed Microsoft AD. + `aws:executeAwsApi`- CIDRs Mendapat AWS Managed Microsoft AD subnet. + `aws:executeAwsApi`- Mendapat informasi tentang kelompok keamanan yang terkait dengan AWS Managed Microsoft AD. + `aws:executeAwsApi`- Mendapat informasi tentang jaringan ACLs yang terkait dengan AWS Managed Microsoft AD. + `aws:executeScript`- Mengonfirmasi nilai `RemoteDomainCidrs` yang valid. Mengonfirmasi bahwa AWS Managed Microsoft AD memiliki forwarder bersyarat untuk`RemoteDomainCidrs`, dan bahwa rute IP yang diperlukan telah ditambahkan ke AWS Managed Microsoft AD jika alamat IP non-RFC `RemoteDomainCidrs` 1918. + `aws:executeScript`- Mengevaluasi aturan kelompok keamanan. + `aws:executeScript`- Mengevaluasi jaringan ACLs. **Keluaran** evalDirectorySecurityGroup.output - Hasil dari evaluasi apakah aturan grup keamanan terkait dengan AWS Managed Microsoft AD mengizinkan lalu lintas yang diperlukan untuk pembuatan kepercayaan. evalAclEntries.output - Hasil dari evaluasi apakah jaringan yang ACLs terkait dengan AWS Managed Microsoft AD memungkinkan lalu lintas yang diperlukan untuk pembuatan kepercayaan. evaluateRemoteDomainCIDR.output - Hasil dari evaluasi apakah nilai valid. `RemoteDomainCidrs` Mengonfirmasi bahwa AWS Managed Microsoft AD memiliki forwarder bersyarat untuk`RemoteDomainCidrs`, dan bahwa rute IP yang diperlukan telah ditambahkan ke AWS Managed Microsoft AD jika alamat IP non-RFC `RemoteDomainCidrs` 1918.