기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # `AWSSupport-TroubleshootActiveDirectoryReplication` **설명** **AWSSupport-TroubleshootActiveDirectoryReplication** 실행서는 대상 도메인 컨트롤러 인스턴스의 공통 설정을 확인하여 Microsoft Active Directory(AD) 도메인 컨트롤러 복제 실패 문제를 해결하는 데 도움이 됩니다. 이 실행서는 제공된 도메인 컨트롤러 인스턴스에 대해 일련의 PowerShell 명령을 실행하여 현재 복제 상태를 확인하고 잠재적으로 도메인 복제 문제를 일으킬 수 있는 오류를 보고합니다. 실행서는 중지된 경우 복제 중요 서비스(`Netlogon`, `W32Time`, 및 `KDC`)를 선택적으로 시작하고 대상 인스턴스`w32tm /resync /force`에서 `RPCSS`를 실행하여 시스템 시간을 동기화할 수 있습니다. **중요** AWS 관리형 Microsoft AD는이 실행서의 범위에 속하지 않습니다. **중요** 자동화가 대상 인스턴스에서 명령을 실행하는 동안 대상 인스턴스 파일 시스템이 변경됩니다. 이러한 변경 사항에는 로그 디렉터리(`$env:ProgramData\TroubleshootActiveDirectoryReplication`) 및 보고서 파일 생성이 포함됩니다. **어떻게 작동하나요?** 실행서는 다음과 같은 검사 및 작업을 수행합니다. + 대상 인스턴스가 Windows를 실행하고 Systems Manager에서 관리되는지 확인합니다. + PowerShell 스크립트를 실행하여 Active Directory 복제 구성 및 상태를 확인합니다. + 보안 그룹 및 네트워크 ACL 설정에서 복제 파트너 연결을 확인합니다. + 시간 동기화 및 중요 서비스 상태를 해결합니다. + 분석을 위해 지정된 Amazon S3 버킷에 로그 파일을 업로드합니다. [이 자동화 실행(콘솔)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootActiveDirectoryReplication) **문서 유형** 자동화 **소유자** Amazon **플랫폼** Windows **파라미터** **필수 IAM 권한** 실행서를 성공적으로 사용하려면 `AutomationAssumeRole` 파라미터에 다음 작업이 필요합니다. + `ec2:DescribeInstances` + `secretsmanager:GetSecretValu`e + `ssm:DescribeInstanceInformation` + `ssm:SendCommand` + `ssm:GetCommandInvocation` + `s3:GetBucketAcl` + `s3:GetBucketPolicy` + `s3:GetBucketPolicyStatus` + `s3:GetBucketPublicAccessBlock` + `s3:PutObject` 정책 예제: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "secretsmanager:GetSecretValue" "ssm:DescribeInstanceInformation", "ssm:SendCommand", "ssm:GetCommandInvocation", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:PutObject" ], "Resource": "*" } ] } ``` **AWS Secrets Manager 설정** 복제 확인 PowerShell 스크립트는 런타임 호출을 통해 사용자 이름과 암호를 검색하여 대상 Microsoft Active Directory 도메인 컨트롤러에 연결합니다 AWS Secrets Manager. [AWS Secrets Manager 보안 암호 생성](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html)의 단계에 따라 새 AWS Secrets Manager 보안 암호를 생성합니다. 형식의 키/값 페어를 사용하여 사용자 이름과 암호를 저장해야 합니다`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. AWS Secrets Manager 보안 암호를 생성한 후 보안 암호 ARN에 대한 `secretsmanager:GetSecretValue` 권한을 대상 도메인 컨트롤러 IAM 인스턴스 프로파일 역할에 부여해야 합니다. **지침** 다음 단계에 따라 자동화를 구성합니다. 1. Systems Manager[https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description)의 문서로 이동합니다. 1. **Execute automation(자동화 실행)**을 선택합니다. 1. 입력 파라미터에 다음을 입력합니다. + **AutomationAssumeRole(선택 사항):** + 설명: (선택 사항) Systems Manager Automation이 사용자를 대신하여 작업을 수행하도록 허용하는 AWS Identity and Access Management(IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다. + 유형: `AWS::IAM::Role::Arn` + **InstanceId(필수):** + 설명: (필수) Active Directory 복제 문제를 해결하려는 Amazon EC2 도메인 컨트롤러 인스턴스의 ID입니다. 제공된 인스턴스는 도메인 컨트롤러여야 합니다. + 유형: `AWS::EC2::Instance::Id` + **SecretsManagerArn(필수):** + 설명: (필수) Enterprise Admin 또는 Active Directory 도메인 및 포리스트 구성에 액세스할 수 있는 동등한 권한이 있는 Active Directory 사용자 이름과 암호가 포함된 AWS Secrets Manager 보안 암호의 ARN입니다. 형식의 키/값 페어를 사용하여 사용자 이름과 암호를 저장해야 합니다`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. 보안 암호 ARN에 대한 `secretsmanager:GetSecretValue` 권한을 대상 도메인 컨트롤러 IAM 인스턴스 프로파일 역할에 연결해야 합니다. + 유형: `String` + 허용된 패턴: `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$` + **TimeSync(선택 사항):** + 설명: (선택 사항) `Check` 또는를 선택합니다`Sync`. `Check`를 선택하면 실행서가 현재 시스템 시간 동기화 상태를 출력합니다. `Sync`이 선택된 경우 실행서는 대상 인스턴스`w32tm /resync /force`에서를 실행하여 강제 시간 재동기화를 시도합니다. + 유형: `String` + 허용되는 값: `[Check, Sync]` + 기본값: `Check` + **ServiceAction(선택 사항):** + 설명: (선택 사항) `Check` 또는를 선택합니다`Fix`. 를 선택하면 실행서가 `Check`, `Netlogon`, `Windows Time service (W32Time)` `Remote Procedure Call (RPC) Service`및 `Key Distribution Center (KDC)` 서비스의 현재 상태를 출력합니다. `Fix`이 선택되면 런북은 중지된 서비스가 있는 경우 이러한 서비스를 시작하려고 시도합니다. + 유형: `String` + 허용된 값: `[Check, Fix]` + 기본값: `Check` + **LogDestination(필수):** + 설명: (필수) 명령 출력을 업로드하기 위한 AWS 계정의 Amazon S3 버킷입니다. + 유형: `String` 1. **실행**을 선택합니다. 1. 자동화가 시작됩니다. 1. 문서는 다음 단계를 수행합니다. + **assertIfOperatingSystemIsWindows**: 제공된 대상 Amazon EC2 인스턴스의 운영 체제가 Windows인지 확인합니다. + **assertifInstanceIsSsmManaged**: Systems Manager에서 Amazon EC2 인스턴스를 관리하는지 확인합니다. 그렇지 않으면 자동화가 종료됩니다. + **checkReplication**: 지정된 도메인 컨트롤러 인스턴스에서 PowerShell 스크립트를 실행하여 Active Directory 도메인 복제 구성 및 상태를 가져옵니다. + **checkInstanceSgAndNacl**: 대상 도메인 컨트롤러 인스턴스와 연결된 보안 그룹 및 네트워크 ACL에서 복제 파트너에 대한 트래픽을 허용하는지 확인합니다. + **troubleshootReplication**: PowerShell 스크립트를 실행하여 시간 동기화 및 중요 서비스 상태를 해결합니다. + **verifyS3BucketPublicStatus**: 에 지정된 Amazon S3 버킷이 익명 또는 퍼블릭 읽기 또는 쓰기 액세스 권한을 `LogDestination` 허용하는지 확인합니다. + **`runUploadScript`**: PowerShell 스크립트를 실행하여 `LogDestination` 파라미터에 지정된 AAmazon S3 버킷에 로그 아카이브를 업로드하고 OS에서 아카이브된 로그 파일을 삭제합니다. 로그 파일은 문제 해결에 사용하거나 복제 문제를 해결할 때 AWS Support와 공유할 수 있습니다. 1. 완료 후 **출력** 섹션에서 실행의 자세한 결과를 검토합니다. **참조** Systems Manager Automation + [이 자동화 실행(콘솔)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description) + [자동화 실행](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Automation 설정](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [자동화 워크플로 지원](https://aws.amazon.com/premiumsupport/technology/saw/)