AWSSupport-TroubleshootADConnectorConnectivity - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootADConnectorConnectivity

Beschreibung

Das AWSSupport-TroubleshootADConnectorConnectivity Runbook überprüft die folgenden Voraussetzungen für einen AD Connector:

  • Prüft, ob der erforderliche Datenverkehr gemäß den Regeln der Sicherheitsgruppe und der Network Access Control List (ACL) zulässig ist, die Ihrem AD Connector zugeordnet sind.

  • Prüft AWS Systems ManagerAWS Security Token Service, ob die VPC-Endpunkte der CloudWatch Amazon-Schnittstelle in derselben Virtual Private Cloud (VPC) wie der AD Connector vorhanden sind.

Wenn die erforderlichen Prüfungen erfolgreich abgeschlossen wurden, startet das Runbook zwei Amazon Elastic Compute Cloud (Amazon EC2) Linux t2.micro-Instances in denselben Subnetzen wie Ihr AD Connector. Netzwerkkonnektivitätstests werden dann mit den nslookup Dienstprogrammen netcat und durchgeführt.

Diese Automatisierung ausführen (Konsole)

Wichtig

Bei Verwendung dieses Runbooks können zusätzliche Kosten AWS-Konto für Ihre Amazon EC2-Instances, Amazon Elastic Block Store-Volumes und Amazon Machine Image (AMI) anfallen, die während der Automatisierung erstellt wurden. Weitere Informationen finden Sie unter Amazon Elastic Compute Cloud — Preise und Amazon Elastic Block Store — Preise.

Wenn der aws:deletestack Schritt fehlschlägt, rufen Sie die AWS CloudFormation Konsole auf, um den Stapel manuell zu löschen. Der von diesem Runbook erstellte Stackname beginnt mitAWSSupport-TroubleshootADConnectorConnectivity. Informationen zum Löschen von AWS CloudFormation Stacks finden Sie im AWS CloudFormationBenutzerhandbuch unter Löschen eines Stacks.

Art des Dokuments

-Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, die es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen auszuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • DirectoryId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID des AD Connector-Verzeichnisses, zu dem Sie Verbindungsprobleme beheben möchten.

  • Ec2 InstanceProfile

    Typ: Zeichenfolge

    Maximale Anzahl Zeichen: 128

    Beschreibung: (Erforderlich) Der Name des Instanzprofils, das Sie den Instances zuweisen möchten, die zur Durchführung von Konnektivitätstests gestartet werden. Dem von Ihnen angegebenen Instanzprofil müssen die AmazonSSMManagedInstanceCore Richtlinie oder gleichwertige Berechtigungen beigefügt sein.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:DescribeInstances

  • ec2:DescribeImages

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeVpcEndpoints

  • ec2:CreateTags

  • ec2:RunInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:DeleteStack

  • ds:DescribeDirectories

  • ssm:SendCommand

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:GetParameters

  • ssm:DescribeInstanceInformation

  • iam:PassRole

Dokumentschritte

  • aws:assertAwsResourceProperty— Bestätigt, dass es sich bei dem im DirectoryId Parameter angegebenen Verzeichnis um einen AD-Connector handelt.

  • aws:executeAwsApi- Sammelt Informationen über den AD Connector.

  • aws:executeAwsApi- Sammelt Informationen über die Sicherheitsgruppen, die dem AD Connector zugeordnet sind.

  • aws:executeAwsApi- Sammelt Informationen über die Netzwerk-ACL-Regeln, die den Subnetzen für den AD Connector zugeordnet sind.

  • aws:executeScript- Wertet die AD Connector-Sicherheitsgruppenregeln aus, um sicherzustellen, dass der erforderliche ausgehende Datenverkehr zulässig ist.

  • aws:executeScript- Wertet die AD Connector-Netzwerk-ACL-Regeln aus, um sicherzustellen, dass der erforderliche ausgehende und eingehende Netzwerkverkehr zulässig ist.

  • aws:executeScript- PrüftAWS Systems Manager, ob die Endpunkte der CloudWatch Amazon-Schnittstelle AWS Security Token Service und die Amazon-Schnittstelle in derselben VPC wie der AD Connector vorhanden sind.

  • aws:executeScript- Kompiliert die Ergebnisse der in den vorherigen Schritten durchgeführten Prüfungen.

  • aws:branch- Zweigt die Automatisierung in Abhängigkeit von der Leistung der vorherigen Schritte ab. Die Automatisierung stoppt hier, wenn die erforderlichen Regeln für ausgehende und eingehende Nachrichten für die Sicherheitsgruppen und Netzwerk-ACLs fehlen.

  • aws:createStack- Erstellt einen AWS CloudFormation Stack zum Starten von Amazon EC2-Instances zur Durchführung von Konnektivitätstests.

  • aws:executeAwsApi- Erfasst die IDs neu gestarteter Amazon EC2-Instances.

  • aws:waitForAwsResourceProperty— Wartet darauf, dass die erste neu gestartete Amazon EC2-Instance als verwaltet von gemeldet wird. AWS Systems Manager

  • aws:waitForAwsResourceProperty— Wartet darauf, dass die zweite neu gestartete Amazon EC2-Instance als verwaltet von gemeldet wird. AWS Systems Manager

  • aws:runCommand- Führt von der ersten Amazon EC2-Instance aus Netzwerkkonnektivitätstests zu den lokalen DNS-Server-IP-Adressen durch.

  • aws:runCommand- Führt von der zweiten Amazon EC2-Instance aus Netzwerkkonnektivitätstests zu den lokalen DNS-Server-IP-Adressen durch.

  • aws:changeInstanceState— Stoppt die Amazon EC2-Instances, die für die Konnektivitätstests verwendet werden.

  • aws:deleteStack- Löscht den AWS CloudFormation Stapel.

  • aws:executeScript- Gibt Anweisungen zum manuellen Löschen des AWS CloudFormation Stacks aus, wenn die Automatisierung den Stapel nicht löschen kann.