AWSSupport-TroubleshootActiveDirectoryReplication - AWS Systems Manager Automation 런북 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-TroubleshootActiveDirectoryReplication

설명

AWSSupport-TroubleshootActiveDirectoryReplication 실행서는 대상 도메인 컨트롤러 인스턴스의 공통 설정을 확인하여 Microsoft Active Directory(AD) 도메인 컨트롤러 복제 실패 문제를 해결하는 데 도움이 됩니다. 이 실행서는 제공된 도메인 컨트롤러 인스턴스에 대해 일련의 PowerShell 명령을 실행하여 현재 복제 상태를 확인하고 잠재적으로 도메인 복제 문제를 일으킬 수 있는 오류를 보고합니다. 실행서는 중지된 경우 복제 중요 서비스(Netlogon, W32Time, 및 KDC)를 선택적으로 시작하고 대상 인스턴스w32tm /resync /force에서 RPCSS를 실행하여 시스템 시간을 동기화할 수 있습니다.

중요

AWS 관리형 Microsoft AD는이 실행서의 범위에 속하지 않습니다.

중요

자동화가 대상 인스턴스에서 명령을 실행하는 동안 대상 인스턴스 파일 시스템이 변경됩니다. 이러한 변경 사항에는 로그 디렉터리($env:ProgramData\TroubleshootActiveDirectoryReplication) 및 보고서 파일 생성이 포함됩니다.

어떻게 작동하나요?

실행서는 다음과 같은 검사 및 작업을 수행합니다.

  • 대상 인스턴스가 Windows를 실행하고 Systems Manager에서 관리되는지 확인합니다.

  • PowerShell 스크립트를 실행하여 Active Directory 복제 구성 및 상태를 확인합니다.

  • 보안 그룹 및 네트워크 ACL 설정에서 복제 파트너 연결을 확인합니다.

  • 시간 동기화 및 중요 서비스 상태를 해결합니다.

  • 분석을 위해 지정된 Amazon S3 버킷에 로그 파일을 업로드합니다.

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Windows

파라미터

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ec2:DescribeInstances

  • secretsmanager:GetSecretValue

  • ssm:DescribeInstanceInformation

  • ssm:SendCommand

  • ssm:GetCommandInvocation

  • s3:GetBucketAcl

  • s3:GetBucketPolicy

  • s3:GetBucketPolicyStatus

  • s3:GetBucketPublicAccessBlock

  • s3:PutObject

정책 예제:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "secretsmanager:GetSecretValue"
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWS Secrets Manager 설정

복제 확인 PowerShell 스크립트는 런타임 호출을 통해 사용자 이름과 암호를 검색하여 대상 Microsoft Active Directory 도메인 컨트롤러에 연결합니다 AWS Secrets Manager. AWS Secrets Manager 보안 암호 생성의 단계에 따라 새 AWS Secrets Manager 보안 암호를 생성합니다. 형식의 키/값 페어를 사용하여 사용자 이름과 암호를 저장해야 합니다{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. AWS Secrets Manager 보안 암호를 생성한 후 보안 암호 ARN에 대한 secretsmanager:GetSecretValue 권한을 대상 도메인 컨트롤러 IAM 인스턴스 프로파일 역할에 부여해야 합니다.

지침

다음 단계에 따라 자동화를 구성합니다.

  1. Systems ManagerAWSSupport-TroubleshootActiveDirectoryReplication의 문서로 이동합니다.

  2. Execute automation(자동화 실행)을 선택합니다.

  3. 입력 파라미터에 다음을 입력합니다.

    • AutomationAssumeRole(선택 사항):

      • 설명: (선택 사항) Systems Manager Automation이 사용자를 대신하여 작업을 수행하도록 허용하는 AWS Identity and Access Management(IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

      • 유형: AWS::IAM::Role::Arn

    • InstanceId(필수):

      • 설명: (필수) Active Directory 복제 문제를 해결하려는 Amazon EC2 도메인 컨트롤러 인스턴스의 ID입니다. 제공된 인스턴스는 도메인 컨트롤러여야 합니다.

      • 유형: AWS::EC2::Instance::Id

    • SecretsManagerArn(필수):

      • 설명: (필수) Enterprise Admin 또는 Active Directory 도메인 및 포리스트 구성에 액세스할 수 있는 동등한 권한이 있는 Active Directory 사용자 이름과 암호가 포함된 AWS Secrets Manager 보안 암호의 ARN입니다. 형식의 키/값 페어를 사용하여 사용자 이름과 암호를 저장해야 합니다{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. 보안 암호 ARN에 대한 secretsmanager:GetSecretValue 권한을 대상 도메인 컨트롤러 IAM 인스턴스 프로파일 역할에 연결해야 합니다.

      • 유형: String

      • 허용된 패턴: ^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$

    • TimeSync(선택 사항):

      • 설명: (선택 사항) Check 또는를 선택합니다Sync. Check를 선택하면 실행서가 현재 시스템 시간 동기화 상태를 출력합니다. Sync이 선택된 경우 실행서는 대상 인스턴스w32tm /resync /force에서를 실행하여 강제 시간 재동기화를 시도합니다.

      • 유형: String

      • 허용되는 값: [Check, Sync]

      • 기본값: Check

    • ServiceAction(선택 사항):

      • 설명: (선택 사항) Check 또는를 선택합니다Fix. 를 선택하면 실행서가 Check, Netlogon, Windows Time service (W32Time) Remote Procedure Call (RPC) ServiceKey Distribution Center (KDC) 서비스의 현재 상태를 출력합니다. Fix이 선택되면 런북은 중지된 서비스가 있는 경우 이러한 서비스를 시작하려고 시도합니다.

      • 유형: String

      • 허용된 값: [Check, Fix]

      • 기본값: Check

    • LogDestination(필수):

      • 설명: (필수) 명령 출력을 업로드하기 위한 AWS 계정의 Amazon S3 버킷입니다.

      • 유형: String

  4. 실행을 선택합니다.

  5. 자동화가 시작됩니다.

  6. 문서는 다음 단계를 수행합니다.

    • assertIfOperatingSystemIsWindows:

      제공된 대상 Amazon EC2 인스턴스의 운영 체제가 Windows인지 확인합니다.

    • assertifInstanceIsSsmManaged:

      Systems Manager에서 Amazon EC2 인스턴스를 관리하는지 확인합니다. 그렇지 않으면 자동화가 종료됩니다.

    • checkReplication:

      지정된 도메인 컨트롤러 인스턴스에서 PowerShell 스크립트를 실행하여 Active Directory 도메인 복제 구성 및 상태를 가져옵니다.

    • checkInstanceSgAndNacl:

      대상 도메인 컨트롤러 인스턴스와 연결된 보안 그룹 및 네트워크 ACL에서 복제 파트너에 대한 트래픽을 허용하는지 확인합니다.

    • troubleshootReplication:

      PowerShell 스크립트를 실행하여 시간 동기화 및 중요 서비스 상태를 해결합니다.

    • verifyS3BucketPublicStatus:

      에 지정된 Amazon S3 버킷이 익명 또는 퍼블릭 읽기 또는 쓰기 액세스 권한을 LogDestination 허용하는지 확인합니다.

    • runUploadScript:

      PowerShell 스크립트를 실행하여 LogDestination 파라미터에 지정된 AAmazon S3 버킷에 로그 아카이브를 업로드하고 OS에서 아카이브된 로그 파일을 삭제합니다. 로그 파일은 문제 해결에 사용하거나 복제 문제를 해결할 때 AWS Support와 공유할 수 있습니다.

  7. 완료 후 출력 섹션에서 실행의 자세한 결과를 검토합니다.

참조

Systems Manager Automation