本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # `AWSSupport-TroubleshootADConnectorConnectivity` **Description** `AWSSupport-TroubleshootADConnectorConnectivity` Runbook 會驗證 AD Connector 的下列先決條件: + 檢查與 AD Connector 相關聯的安全群組和網路存取控制清單 (ACL) 規則是否允許所需的流量。 + 檢查 AWS Security Token Service AWS Systems Manager、 和 Amazon CloudWatch 介面 VPC 端點是否存在與 AD Connector 相同的虛擬私有雲端 (VPC) 中。 當先決條件檢查成功完成時,執行手冊會在與 AD Connector 相同的子網路中啟動兩個 Amazon Elastic Compute Cloud (Amazon EC2) Linux t2.micro 執行個體。然後,使用 `netcat`和 `nslookup`公用程式執行網路連線測試。 [執行此自動化 (主控台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootADConnectorConnectivity) **重要** 使用此 Runbook 可能會針對自動化期間建立 AWS 帳戶 的 Amazon EC2 執行個體、Amazon Elastic Block Store 磁碟區和 Amazon Machine Image(AMI),向 收取額外費用。如需詳細資訊,請參閱 [Amazon Elastic Compute Cloud 定價](https://aws.amazon.com/ec2/pricing/)和 [Amazon Elastic Block Store 定價](https://aws.amazon.com/ebs/pricing/)。 如果`aws:deletestack`步驟失敗,請前往 AWS CloudFormation 主控台手動刪除堆疊。此 Runbook 建立的堆疊名稱開頭為 `AWSSupport-TroubleshootADConnectorConnectivity`。如需有關刪除 CloudFormation 堆疊的資訊,請參閱*AWS CloudFormation 《 使用者指南*》中的[刪除堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)。 **文件類型**  自動化 **擁有者** Amazon **平台** Linux、macOS、 Windows **參數** + AutomationAssumeRole 類型:字串 描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 的使用者許可。 + DirectoryId 類型:字串 描述:(必要) 您要疑難排解連線的 AD Connector 目錄 ID。 + Ec2InstanceProfile 類型:字串 字元上限:128 描述:(必要) 您要指派給啟動執行連線測試之執行個體的執行個體設定檔名稱。您指定的執行個體描述檔必須連接`AmazonSSMManagedInstanceCore`政策或同等許可。 **必要的 IAM 許可** `AutomationAssumeRole` 參數需要下列動作才能成功使用 Runbook。 + `ec2:DescribeInstances` + `ec2:DescribeImages` + `ec2:DescribeSubnets` + `ec2:DescribeSecurityGroups` + `ec2:DescribeNetworkAcls` + `ec2:DescribeVpcEndpoints` + `ec2:CreateTags` + `ec2:RunInstances` + `ec2:StopInstances` + `ec2:TerminateInstances` + `cloudformation:CreateStack` + `cloudformation:DescribeStacks` + `cloudformation:ListStackResources` + `cloudformation:DeleteStack` + `ds:DescribeDirectories` + `ssm:SendCommand` + `ssm:ListCommands` + `ssm:ListCommandInvocations` + `ssm:GetParameters` + `ssm:DescribeInstanceInformation` + `iam:PassRole` **文件步驟** + `aws:assertAwsResourceProperty` - 確認 `DirectoryId` 參數中指定的目錄是 AD Connector。 + `aws:executeAwsApi` - 收集 AD Connector 的相關資訊。 + `aws:executeAwsApi` - 收集與 AD Connector 相關聯的安全群組資訊。 + `aws:executeAwsApi` - 收集與 AD Connector 子網路相關聯的網路 ACL 規則的相關資訊。 + `aws:executeScript` - 評估 AD Connector 安全群組規則,以確認允許必要的傳出流量。 + `aws:executeScript` - 評估 AD Connector 網路 ACL 規則,以確認允許必要的傳出和傳入網路流量。 + `aws:executeScript` - 檢查 AWS Systems Manager AWS Security Token Service 和 Amazon CloudWatch 介面端點是否存在於與 AD Connector 相同的 VPC 中。 + `aws:executeScript` - 編譯先前步驟中執行之檢查的輸出。 + `aws:branch` - 會根據先前步驟的輸出來配置自動化。如果安全群組和網路 ACLs 缺少必要的傳出和傳入規則,自動化會停止在此。 + `aws:createStack` - 建立 CloudFormation 堆疊以啟動 Amazon EC2 執行個體,以執行連線測試。 + `aws:executeAwsApi` - 收集新啟動的 Amazon EC2 執行個體 IDs。 + `aws:waitForAwsResourceProperty` - 等待第一個新啟動的 Amazon EC2 執行個體報告由 管理 AWS Systems Manager。 + `aws:waitForAwsResourceProperty` - 等待第二個新啟動的 Amazon EC2 執行個體報告由 管理 AWS Systems Manager。 + `aws:runCommand` - 從第一個 Amazon EC2 執行個體對現場部署 DNS 伺服器 IP 地址執行網路連線測試。 + `aws:runCommand` - 從第二個 Amazon EC2 執行個體對內部部署 DNS 伺服器 IP 地址執行網路連線測試。 + `aws:changeInstanceState` - 停止用於連線測試的 Amazon EC2 執行個體。 + `aws:deleteStack` - 刪除 CloudFormation 堆疊。 + `aws:executeScript` - 輸出在自動化無法刪除 CloudFormation 堆疊時如何手動刪除堆疊的指示。