本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # `AWSSupport-TroubleshootDirectoryTrust` **描述** 该`AWSSupport-TroubleshootDirectoryTrust`运行手册诊断了与 Microsoft Active Direct AWS Managed Microsoft AD ory 之间的信任创建问题。自动化可确保目录类型支持信任,然后检查相关的安全组规则、网络访问控制列表(网络 ACLs)和路由表中是否存在潜在的连接问题。 [运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDirectoryTrust) **文档类型** 自动化 **所有者** Amazon **平台** Linux,macOS, Windows **参数** + AutomationAssumeRole 类型:字符串 描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。 + DirectoryId 类型:字符串 允许的模式:^d-[a-z0-9]\$110\$1\$1 描述:(必填) AWS Managed Microsoft AD 要进行故障排除的 ID。 + RemoteDomainCidrs 类型: StringList 允许的模式:^(([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])\$1.)\$13\$1([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])(\$1/(3[0-2]\$1[1-2][0-9]\$1[1-9]))\$1 说明:(必需)您尝试与之建立信任关系的远程域的 CIDR。 CIDRs 您可以使用逗号分隔的值添加多个值。例如,172.31.48.0/20、192.168.1.10/32。 + RemoteDomainName 类型:字符串 说明:(必需)将与之建立信任关系的远程域的完全限定域名。 + RequiredTrafficACL 类型:字符串 描述:(必填)的默认端口要求 AWS Managed Microsoft AD。在大多数情况下,不应修改默认值。 默认值:\$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1 + RequiredTrafficSG 类型:字符串 描述:(必填)的默认端口要求 AWS Managed Microsoft AD。在大多数情况下,不应修改默认值。 默认值:\$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1 + TrustId 类型:字符串 说明:(可选)要排查问题的信任关系的 ID。 **所需的 IAM 权限** `AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。 + `ds:DescribeConditionalForwarders` + `ds:DescribeDirectories` + `ds:DescribeTrusts` + `ds:ListIpRoutes` + `ec2:DescribeNetworkAcls` + `ec2:DescribeSecurityGroups` + `ec2:DescribeSubnets` **文档步骤** + `aws:assertAwsResourceProperty` - 确认目录类型为 AWS Managed Microsoft AD。 + `aws:executeAwsApi`-获取有关信息 AWS Managed Microsoft AD。 + `aws:branch` - 在为 `TrustId` 输入参数提供了值时对自动化进行分支。 + `aws:executeAwsApi` - 获取有关信任关系的信息。 + `aws:executeAwsApi` - 获取 `RemoteDomainName` 的条件转发服务器 DNS IP 地址。 + `aws:executeAwsApi` - 获取有关已添加到 AWS Managed Microsoft AD的 IP 路由的信息。 + `aws:executeAwsApi`-获取 CIDRs AWS Managed Microsoft AD 子网的。 + `aws:executeAwsApi` - 获取有关与 AWS Managed Microsoft AD关联的安全组的信息。 + `aws:executeAwsApi`-获取 ACLs与关联的网络的相关信息 AWS Managed Microsoft AD。 + `aws:executeScript` - 确认 `RemoteDomainCidrs` 为有效值。确认 AWS Managed Microsoft AD 有条件转发器`RemoteDomainCidrs`, AWS Managed Microsoft AD 如果`RemoteDomainCidrs`是非 RFC 1918 IP 地址,则已将必需的 IP 路由添加到中。 + `aws:executeScript` - 评估安全组规则。 + `aws:executeScript`-评估网络 ACLs。 **输出** evalDirectorySecurityGroup.Output-评估与关联的安全组规则是否 AWS Managed Microsoft AD 允许创建信任所需的流量得出的结果。 evalAclEntries.output-评估 ACLs与关联的网络是否 AWS Managed Microsoft AD 允许创建信任所需的流量所得出的结果。 evaluateRemoteDomaincidr.Output-评估`RemoteDomainCidrs`它们是否为有效值的结果。确认 AWS Managed Microsoft AD 有条件转发器`RemoteDomainCidrs`, AWS Managed Microsoft AD 如果`RemoteDomainCidrs`是非 RFC 1918 IP 地址,则已将必需的 IP 路由添加到中。