View a markdown version of this page

AWSSupport-TroubleshootADConnectorConnectivity - AWS Systems Manager 自动化运行手册参考

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWSSupport-TroubleshootADConnectorConnectivity

描述

AWSSupport-TroubleshootADConnectorConnectivity 运行手册将验证 AD Connector 的以下先决条件:

  • 检查与 AD Connector 关联的安全组和网络访问控制列表(ACL)规则是否允许所需的流量。

  • 检查 AWS Systems Manager AWS Security Token Service、和 Amazon CloudWatch 接口 VPC 终端节点是否与 AD Connector 位于同一个虚拟私有云 (VPC) 中。

成功完成先决条件检查后,运行手册将启动两个与您的 AD Connector 位于相同子网中的亚马逊弹性计算云 (Amazon EC2) Linux t2.micro 实例。然后使用 netcatnslookup 实用程序执行网络连接测试。

运行此自动化(控制台)

重要

使用此运行手册可能会 AWS 账户 对您的亚马逊 EC2实例、Amazon Elastic Block Store 卷和 Amazon Machine Image (AMI) 在自动化期间创建。有关更多信息,请参阅 Amazon Elastic Compute Cloud 定价Amazon Elastic Block Store 定价

如果该aws:deletestack步骤失败,请转到 AWS CloudFormation 控制台手动删除堆栈。此运行手册创建的堆栈名称以 AWSSupport-TroubleshootADConnectorConnectivity 开头。有关删除 CloudFormation 堆栈的信息,请参阅《AWS CloudFormation 用户指南》中的删除堆栈

文档类型

自动化

所有者

Amazon

平台

Linux,macOS, Windows

参数

  • AutomationAssumeRole

    类型:字符串

    描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。

  • DirectoryId

    类型:字符串

    描述:(必需)要排除连接问题的 AD Connector 目录的 ID。

  • Ec2 InstanceProfile

    类型:字符串

    最多 128 个字符

    描述:(必需)要分配给为执行连接测试而启动的实例的实例配置文件的名称。您指定的实例配置文件必须附加 AmazonSSMManagedInstanceCore 策略或等效的权限。

所需的 IAM 权限

AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。

  • ec2:DescribeInstances

  • ec2:DescribeImages

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeVpcEndpoints

  • ec2:CreateTags

  • ec2:RunInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:DeleteStack

  • ds:DescribeDirectories

  • ssm:SendCommand

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:GetParameters

  • ssm:DescribeInstanceInformation

  • iam:PassRole

文档步骤

  • aws:assertAwsResourceProperty - 确认 DirectoryId 参数中指定的目录是 AD Connector。

  • aws:executeAwsApi - 收集有关 AD Connector 的信息。

  • aws:executeAwsApi - 收集与 AD Connector 关联的安全组的相关信息。

  • aws:executeAwsApi - 收集与 AD Connector 子网关联的网络 ACL 规则的相关信息。

  • aws:executeScript - 评价 AD Connector 安全组规则,以验证是否允许所需的出站流量。

  • aws:executeScript - 评价 AD Connector 网络 ACL 规则,以验证是否允许所需的出站和入站网络流量。

  • aws:executeScript-检查 AWS Systems Manager、 AWS Security Token Service 和 Amazon CloudWatch 接口终端节点是否与 AD Connector 位于同一 VPC 中。

  • aws:executeScript - 编译在先前步骤执行的检查的输出。

  • aws:branch - 根据先前步骤的输出对自动化进行分支。如果安全组和网络缺少所需的出站和入站规则,则自动化将在此处停止 ACLs。

  • aws:createStack-创建 CloudFormation 堆栈以启动 Amazon EC2 实例以执行连接测试。

  • aws:executeAwsApi-收集新启动的 IDs Amazon EC2 实例。

  • aws:waitForAwsResourceProperty-等待第一个新启动的 Amazon EC2 实例报告为由 AWS Systems Manager管理。

  • aws:waitForAwsResourceProperty-等待第二个新启动的 Amazon EC2 实例报告为由 AWS Systems Manager管理。

  • aws:runCommand-从第一个 Amazon EC2 实例对本地 DNS 服务器 IP 地址执行网络连接测试。

  • aws:runCommand-从第二个 Amazon EC2 实例对本地 DNS 服务器 IP 地址执行网络连接测试。

  • aws:changeInstanceState-停止用于连接测试的 Amazon EC2 实例。

  • aws:deleteStack-删除 CloudFormation 堆栈。

  • aws:executeScript-输出有关在自动化无法删除 CloudFormation 堆栈时如何手动删除堆栈的说明。