Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # `AWSSupport-TroubleshootActiveDirectoryReplication` **Descrizione** Il **AWSSupport-TroubleshootActiveDirectoryReplication**runbook aiuta a risolvere gli errori di replica dei controller di dominio Microsoft Active Directory (AD) controllando le impostazioni comuni su un'istanza del controller di dominio di destinazione. Questo runbook esegue una serie di PowerShell comandi sull'istanza del controller di dominio fornita per verificare lo stato corrente della replica e segnalare gli errori che possono potenzialmente causare problemi di replica del dominio. Il runbook può facoltativamente avviare i servizi critici di replica (`Netlogon`, `RPCSS``W32Time`, e`KDC`) se vengono interrotti e sincronizzare l'ora del sistema eseguendoli sull'istanza di destinazione. `w32tm /resync /force` **Importante** AWS Managed Microsoft AD non rientra nell'ambito di questo runbook. **Importante** Mentre l'automazione esegue i comandi sull'istanza di destinazione, vengono apportate modifiche al file system dell'istanza di destinazione. Queste modifiche includono la creazione della directory di log (`$env:ProgramData\TroubleshootActiveDirectoryReplication`) e dei file di report. **Come funziona?** Il runbook esegue i seguenti controlli e azioni: + Verifica che l'istanza di destinazione esegua Windows e sia gestita da Systems Manager. + Esegue PowerShell script per verificare la configurazione e lo stato della replica di Active Directory. + Verifica le impostazioni ACL del gruppo di sicurezza e della rete per la connettività dei partner di replica. + Risolve la sincronizzazione temporale e lo stato dei servizi critici. + Carica i file di log nel bucket Amazon S3 specificato per l'analisi. [Esegui questa automazione (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootActiveDirectoryReplication) **Tipo di documento** Automazione **Proprietario** Amazon **Piattaforme** Windows **Parametri** **Autorizzazioni IAM richieste** Il `AutomationAssumeRole` parametro richiede le seguenti azioni per utilizzare correttamente il runbook. + `ec2:DescribeInstances` + `secretsmanager:GetSecretValu`e + `ssm:DescribeInstanceInformation` + `ssm:SendCommand` + `ssm:GetCommandInvocation` + `s3:GetBucketAcl` + `s3:GetBucketPolicy` + `s3:GetBucketPolicyStatus` + `s3:GetBucketPublicAccessBlock` + `s3:PutObject` Politica di esempio: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "secretsmanager:GetSecretValue" "ssm:DescribeInstanceInformation", "ssm:SendCommand", "ssm:GetCommandInvocation", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:PutObject" ], "Resource": "*" } ] } ``` **Gestione dei segreti AWS configurazione** PowerShell Lo script di replica di check si connette al controller di dominio Microsoft Active Directory di destinazione recuperando il nome utente e la password con una chiamata di runtime a. Gestione dei segreti AWS Segui la procedura descritta in [Creare un Gestione dei segreti AWS segreto](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html) per creare un nuovo segreto. Gestione dei segreti AWS Assicurati che il nome utente e la password siano memorizzati utilizzando una key/value coppia nel formato`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Dopo aver creato il Gestione dei segreti AWS segreto, assicurati di concedere l'`secretsmanager:GetSecretValue`autorizzazione sull'ARN segreto al ruolo del profilo dell'istanza IAM del controller di dominio di destinazione. **Istruzioni** Segui questi passaggi per configurare l'automazione: 1. Accedere [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description)a Systems Manager nella sezione Documenti. 1. Seleziona **Execute automation** (Esegui automazione). 1. Per i parametri di input, immettete quanto segue: + **AutomationAssumeRole (Facoltativo):** + Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook. + Tipo: `AWS::IAM::Role::Arn` + **InstanceId (Obbligatorio):** + Descrizione: (Obbligatorio) L'ID dell'istanza del controller di dominio Amazon EC2 che desideri risolvere per risolvere i problemi di replica di Active Directory. Tieni presente che l'istanza fornita deve essere un controller di dominio. + Tipo: `AWS::EC2::Instance::Id` + **SecretsManagerArn (Obbligatorio):** + Descrizione: (Obbligatorio) L'ARN del Gestione dei segreti AWS segreto contenente un nome utente e una password di Active Directory con Enterprise Admin o autorizzazioni equivalenti per accedere al dominio di Active Directory e alla configurazione della foresta. Assicurati che il nome utente e la password siano archiviati utilizzando una key/value coppia nel formato. `{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}` Assicurati di allegare l'`secretsmanager:GetSecretValue`autorizzazione sull'ARN segreto al ruolo del profilo dell'istanza IAM del controller di dominio di destinazione. + Tipo: `String` + Modello consentito: `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$` + **TimeSync (Opzionale):** + Descrizione: (Facoltativo) Seleziona `Check` o`Sync`. Se si seleziona`Check`, il runbook stampa lo stato corrente della sincronizzazione dell'ora del sistema. Se `Sync` selezionato, il runbook tenterà una risincronizzazione forzata eseguendolo `w32tm /resync /force` sull'istanza di destinazione. + Tipo: `String` + Valori consentiti: `[Check, Sync]` + Impostazione predefinita: `Check` + **ServiceAction (Facoltativo):** + Descrizione: (Facoltativo) Seleziona `Check` o`Fix`. Se si seleziona`Check`, il runbook stampa lo stato corrente di`Netlogon`, `Windows Time service (W32Time)``Remote Procedure Call (RPC) Service`, e `Key Distribution Center (KDC)` servizi. Se `Fix` selezionato, il runbook tenterà di avviare questi servizi, se ne viene interrotto uno. + Tipo: `String` + Valori consentiti: `[Check, Fix]` + Impostazione predefinita: `Check` + **LogDestination (Obbligatorio):** + Descrizione: (Obbligatorio) Il bucket Amazon Amazon S3 nel tuo AWS account per caricare gli output dei comandi. + Tipo: `String` 1. Seleziona **Esegui**. 1. L'automazione inizia. 1. Il documento esegue le seguenti operazioni: + **assertIfOperatingSystemIsWindows**: Verifica se il sistema operativo dell'istanza Amazon EC2 di destinazione fornita è Windows. + **assertifInstanceIsSsmManaged**: Assicura che l'istanza Amazon EC2 sia gestita da Systems Manager, altrimenti l'automazione termina. + **Verifica** la replica: Esegue uno PowerShell script sull'istanza del controller di dominio specificata per ottenere la configurazione e lo stato della replica del dominio Active Directory. + **checkInstanceSgAndNacl**: Verifica se il traffico verso i partner di replica è consentito dal gruppo di sicurezza e dall'ACL di rete associati all'istanza del controller di dominio di destinazione. + **Risoluzione dei problemi di replica:** Esegue uno PowerShell script per risolvere i problemi di sincronizzazione temporale e lo stato dei servizi critici. + **Verify S3: BucketPublicStatus** Verifica se il bucket Amazon S3 specificato in `LogDestination` consente autorizzazioni di accesso anonime o pubbliche in lettura o scrittura. + **`runUploadScript`**: Esegue uno PowerShell script per caricare l'archivio di log nel bucket AAmazon S3 specificato nel `LogDestination` parametro ed elimina il file di registro archiviato dal sistema operativo. I file di registro possono essere utilizzati per la risoluzione dei problemi o condivisi con AWS Support per la risoluzione dei problemi di replica. 1. Al termine, consulta la sezione **Output** per i risultati dettagliati dell'esecuzione. **Riferimenti** Systems Manager Automation + [Esegui questa automazione (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description) + [Esegui un'automazione](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configurazione di un'automazione](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Flussi di lavoro di Support Automation](https://aws.amazon.com/premiumsupport/technology/saw/)