`AWSSupport-TroubleshootActiveDirectoryReplication`

Descrição

O AWSSupport-TroubleshootActiveDirectoryReplicationrunbook ajuda a solucionar falhas de replicação do controlador de domínio do Microsoft Active Directory (AD) verificando configurações comuns em uma instância do controlador de domínio de destino. Esse runbook executa uma série de PowerShell comandos na instância do controlador de domínio fornecida para verificar o status atual da replicação e relatar erros que podem causar problemas de replicação do domínio. Opcionalmente, o runbook pode iniciar serviços críticos de replicação (Netlogon,, RPCSSW32Time, eKDC) se eles forem interrompidos e sincronizar a hora do sistema executando w32tm /resync /force na instância de destino.

Importante

AWS O Microsoft AD gerenciado não está no escopo deste runbook.

Importante

Enquanto a automação executa comandos na instância de destino, são feitas alterações no sistema de arquivos da instância de destino. Essas mudanças incluem a criação do diretório de log ($env:ProgramData\TroubleshootActiveDirectoryReplication) e dos arquivos de relatório.

Como funciona?

O runbook executa as seguintes verificações e ações:

Verifica se a instância de destino está executando o Windows e é gerenciada pelo Systems Manager.
Executa PowerShell scripts para verificar a configuração e o status da replicação do Active Directory.
Verifica as configurações do grupo de segurança e da ACL de rede quanto à conectividade do parceiro de replicação.
Soluciona problemas de sincronização de horário e status de serviços críticos.
Carrega arquivos de log no bucket do Amazon S3 especificado para análise.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Windows

Parâmetros

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

ec2:DescribeInstances
secretsmanager:GetSecretValue
ssm:DescribeInstanceInformation
ssm:SendCommand
ssm:GetCommandInvocation
s3:GetBucketAcl
s3:GetBucketPolicy
s3:GetBucketPolicyStatus
s3:GetBucketPublicAccessBlock
s3:PutObject

Exemplo de política:



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "secretsmanager:GetSecretValue"
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWS Secrets Manager configuração

O PowerShell script de replicação de verificação se conecta ao controlador de domínio do Microsoft Active Directory de destino recuperando o nome de usuário e a senha com uma chamada de tempo de execução para. AWS Secrets Manager Siga as etapas em Criar um AWS Secrets Manager segredo para criar um novo AWS Secrets Manager segredo. Certifique-se de que o nome de usuário e a senha sejam armazenados usando um key/value par no formato{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Depois de criar o AWS Secrets Manager segredo, certifique-se de conceder a secretsmanager:GetSecretValue permissão no ARN secreto ao papel de perfil da instância IAM do controlador de domínio de destino.

Instruções

Siga estas etapas para configurar a automação:

Navegue até AWSSupport-TroubleshootActiveDirectoryReplicationem Systems Manager em Documentos.
Selecione Execute automation (Executar automação).
Para os parâmetros de entrada, insira o seguinte:
- AutomationAssumeRole (Opcional):
  - Descrição: (Opcional) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
  - Tipo: AWS::IAM::Role::Arn
- InstanceId (Obrigatório):
  - Descrição: (Obrigatório) O ID da instância do controlador de domínio do Amazon EC2 para a qual você deseja solucionar problemas de replicação do Active Directory. Observe que a instância fornecida precisa ser um controlador de domínio.
  - Tipo: AWS::EC2::Instance::Id
- SecretsManagerArn (Obrigatório):
  - Descrição: (Obrigatório) O ARN do seu AWS Secrets Manager segredo contendo um nome de usuário e senha do Active Directory com o Enterprise Admin ou permissões equivalentes para acessar sua configuração de domínio e floresta do Active Directory. Certifique-se de que o nome de usuário e a senha sejam armazenados usando um key/value par no formato{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}. Certifique-se de anexar a secretsmanager:GetSecretValue permissão no ARN secreto à função de perfil da instância IAM do controlador de domínio de destino.
  - Tipo: String
  - Allowed-pattern: ^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$
- TimeSync (Opcional):
  - Descrição: (Opcional) Selecione Check ouSync. Se você selecionarCheck, o runbook imprimirá o status atual da sincronização de horário do sistema. Se Sync estiver selecionado, o runbook tentará uma ressincronização forçada de tempo executando w32tm /resync /force na instância de destino.
  - Tipo: String
  - Valores permitidos: [Check, Sync]
  - Padrão: Check
- ServiceAction (Opcional):
  - Descrição: (Opcional) Selecione Check ouFix. Se você selecionarCheck, o runbook imprimirá o status atual dos Key Distribution Center (KDC) serviços Netlogon Windows Time service (W32Time)Remote Procedure Call (RPC) Service,, e. Se Fix estiver selecionado, o runbook tentará iniciar esses serviços se algum for interrompido.
  - Tipo: String
  - Valores permitidos: [Check, Fix]
  - Padrão: Check
- LogDestination (Obrigatório):
  - Descrição: (Obrigatório) O bucket Amazon Amazon S3 em sua AWS conta para carregar as saídas do comando.
  - Tipo: String
Selecione Executar.
A automação é iniciada.
O bucket realiza as seguintes etapas:
- assertIfOperatingSystemIsWindows:
  
  Verifica se o sistema operacional da instância do Amazon EC2 de destino fornecida é o Windows.
- assertifInstanceIsSsmManaged:
  
  Garante que a instância do Amazon EC2 seja gerenciada pelo Systems Manager, caso contrário, a automação termina.
- Verifique a replicação:
  
  Executa um PowerShell script na instância do controlador de domínio especificada para obter a configuração e o status da replicação de domínio do Active Directory.
- checkInstanceSgAndNacl:
  
  Verifica se o tráfego para os parceiros de replicação é permitido pelo grupo de segurança e pela rede ACL associada à instância do controlador de domínio de destino.
- Solucionar problemas de replicação:
  
  Executa um PowerShell script para solucionar problemas de sincronização de horário e status de serviços críticos.
- Verifique o S3: BucketPublicStatus
  
  Verifica se o bucket do Amazon S3 especificado em LogDestination permite permissões de acesso anônimas ou públicas de leitura ou gravação.
- runUploadScript:
  
  Executa um PowerShell script para carregar o arquivo de log no bucket do AAmazon S3 especificado no LogDestination parâmetro e exclui o arquivo de log arquivado do sistema operacional. Os arquivos de log podem ser usados para solucionar problemas ou compartilhados com o AWS Support ao solucionar problemas de replicação.
Após a conclusão, revise a seção Saídas para obter os resultados detalhados da execução.

Referências

Automação do Systems Manager

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWSSupport-StartEC2RescueWorkflow

AWSPremiumSupport-TroubleshootEC2DiskUsage