View a markdown version of this page

AWSSupport-TroubleshootActiveDirectoryReplication - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-TroubleshootActiveDirectoryReplication

説明

AWSSupport-TroubleshootActiveDirectoryReplication ランブックは、ターゲットドメインコントローラーインスタンスの一般的な設定をチェックすることで、Microsoft Active Directory (AD) ドメインコントローラーのレプリケーション障害のトラブルシューティングに役立ちます。このランブックは、提供されたドメインコントローラーインスタンスに対して一連の PowerShell コマンドを実行して、現在のレプリケーションステータスをチェックし、ドメインレプリケーションの問題を引き起こす可能性のあるエラーを報告します。ランブックは、オプションで、レプリケーションクリティカルなサービス (NetlogonRPCSS、、および KDC) が停止された場合にそれらを起動しW32Time、ターゲットインスタンスw32tm /resync /forceで を実行してシステム時間を同期できます。

重要

AWS Managed Microsoft AD はこのランブックの対象外です。

重要

オートメーションがターゲットインスタンスでコマンドを実行している間、ターゲットインスタンスファイルシステムに変更が加えられます。これらの変更には、ログディレクトリ ($env:ProgramData\TroubleshootActiveDirectoryReplication) とレポートファイルの作成が含まれます。

動作の仕組み

ランブックは次のチェックとアクションを実行します。

  • ターゲットインスタンスが Windows を実行しており、Systems Manager によって管理されていることを確認します。

  • PowerShell スクリプトを実行して、Active Directory レプリケーションの設定とステータスを確認します。

  • レプリケーションパートナー接続のセキュリティグループとネットワーク ACL 設定をチェックします。

  • 時間同期と重要なサービスのステータスをトラブルシューティングします。

  • 分析のために、指定された Amazon S3 バケットにログファイルをアップロードします。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

オートメーション

[所有者]

Amazon

[Platforms] (プラットフォーム)

Server

パラメータ

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • ec2:DescribeInstances

  • secretsmanager:GetSecretValue

  • ssm:DescribeInstanceInformation

  • ssm:SendCommand

  • ssm:GetCommandInvocation

  • s3:GetBucketAcl

  • s3:GetBucketPolicy

  • s3:GetBucketPolicyStatus

  • s3:GetBucketPublicAccessBlock

  • s3:PutObject

ポリシーの例:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "secretsmanager:GetSecretValue"
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWS Secrets Manager セットアップ

チェックレプリケーション PowerShell スクリプトは、ランタイム呼び出しでユーザー名とパスワードを取得して、ターゲット Microsoft Active Directory ドメインコントローラーに接続します AWS Secrets Manager。「 AWS Secrets Manager シークレットを作成する」の手順に従って、新しいシーク AWS Secrets Manager レットを作成します。ユーザー名とパスワードが 形式のキーと値のペアを使用して保存されていることを確認します{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}。 AWS Secrets Manager シークレットを作成したら、シークレット ARN に対する アクセスsecretsmanager:GetSecretValue許可をターゲットドメインコントローラーの IAM インスタンスプロファイルロールに付与してください。

指示

次の手順に従って自動化を設定します。

  1. ドキュメントの Systems Manager AWSSupport-TroubleshootActiveDirectoryReplicationで に移動します。

  2. [Execute automation] (オートメーションを実行) を選択します。

  3. 入力パラメータには、次のように入力します。

    • AutomationAssumeRole(オプション):

      • 説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

      • 型: AWS::IAM::Role::Arn

    • InstanceId (必須):

      • 説明: (必須) Active Directory レプリケーションの問題をトラブルシューティングする Amazon EC2 ドメインコントローラーインスタンスの ID。指定されたインスタンスはドメインコントローラーである必要があります。

      • 型: AWS::EC2::Instance::Id

    • SecretsManagerArn (必須):

      • 説明: (必須) エンタープライズ管理者または Active Directory ドメインとフォレスト設定にアクセスするための同等のアクセス許可を持つ Active Directory ユーザー名とパスワードを含む AWS Secrets Manager シークレットの ARN。ユーザー名とパスワードが 形式のキーと値のペアを使用して保存されていることを確認します{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}。シークレット ARN に対する アクセスsecretsmanager:GetSecretValue許可をターゲットドメインコントローラーの IAM インスタンスプロファイルロールにアタッチしてください。

      • 型: String

      • 許可されたパターン: ^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$

    • TimeSync (オプション):

      • 説明: (オプション) Checkまたは を選択しますSync。を選択するとCheck、ランブックは現在のシステムタイム同期ステータスを出力します。Sync が選択されている場合、ランブックはターゲットインスタンスw32tm /resync /forceで を実行して強制時間の再同期を試みます。

      • 型: String

      • 使用できる値: [Check, Sync]

      • デフォルト: Check

    • ServiceAction (オプション):

      • 説明: (オプション) Checkまたは を選択しますFix。を選択するとCheck、ランブックは Netlogon、、Windows Time service (W32Time)Remote Procedure Call (RPC) Serviceおよび Key Distribution Center (KDC)サービスの現在のステータスを出力します。Fix が選択されている場合、ランブックは停止するとこれらのサービスの起動を試みます。

      • 型: String

      • 使用できる値: [Check, Fix]

      • デフォルト: Check

    • LogDestination (必須):

      • 説明: (必須) コマンド出力をアップロードする AWS アカウントの Amazon S3 バケット。

      • 型: String

  4. [実行] を選択します。

  5. 自動化が開始されます。

  6. ドキュメントは以下のステップを実行します。

    • assertIfOperatingSystemIsWindows:

      提供されたターゲット Amazon EC2 インスタンスのオペレーティングシステムが Windows かどうかを確認します。

    • assertifInstanceIsSsmManaged:

      Amazon EC2 インスタンスが Systems Manager によって管理されていることを確認します。管理されていない場合、オートメーションは終了します。

    • checkReplication:

      指定されたドメインコントローラーインスタンスで PowerShell スクリプトを実行して、Active Directory ドメインレプリケーションの設定とステータスを取得します。

    • checkInstanceSgAndNacl:

      レプリケーションパートナーへのトラフィックが、ターゲットドメインコントローラーインスタンスに関連付けられたセキュリティグループとネットワーク ACL によって許可されているかどうかを確認します。

    • troubleshootReplication:

      PowerShell スクリプトを実行して、時刻同期と重要なサービスのステータスをトラブルシューティングします。

    • verifyS3BucketPublicStatus:

      で指定された Amazon S3 バケットで、匿名またはパブリックの読み取り/書き込みアクセス許可LogDestinationが許可されているかどうかを確認します。

    • runUploadScript:

      PowerShell スクリプトを実行して、 LogDestinationパラメータで指定された AAmazon S3 バケットにログアーカイブをアップロードし、OS からアーカイブされたログファイルを削除します。ログファイルは、トラブルシューティングに使用したり、レプリケーションの問題をトラブルシューティングするときに AWS サポートと共有したりできます。

  7. 完了したら、出力セクションで実行の詳細な結果を確認します。

リファレンス

Systems Manager Automation