AWSSupport-TroubleshootADConnectorConnectivity - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-TroubleshootADConnectorConnectivity

Descripción

El manual de procedimientos AWSSupport-TroubleshootADConnectorConnectivity verifica los siguientes requisitos previos para el conector de AD:

  • Comprueba si el grupo de seguridad y las reglas de la lista de control de acceso a la red (ACL) asociadas a su AD Connector permiten el tráfico necesario.

  • Comprueba si los VPC puntos de enlace de la CloudWatch interfaz AWS Systems Manager AWS Security Token Service, y de Amazon existen en la misma nube privada virtual (VPC) que el AD Connector.

Cuando las comprobaciones de requisitos previos se completen correctamente, el runbook lanza dos instancias t2.micro de Amazon Elastic Compute Cloud (AmazonEC2) Linux en las mismas subredes que el AD Connector. Después se realizan las pruebas de conectividad de red con las utilidades netcat y nslookup.

Ejecuta esta automatización (consola)

importante

El uso de este manual puede generar cargos adicionales Cuenta de AWS para las EC2 instancias de Amazon, los volúmenes de Amazon Elastic Block Store y Amazon Machine Image (AMI) creados durante la automatización. Para obtener más información, consulte Precios de Amazon Elastic Compute Cloud y Precios de Amazon Elastic Block Store.

Si el aws:deletestack paso no funciona, ve a la AWS CloudFormation consola para eliminar la pila manualmente. El nombre de la pila creado por este manual de procedimientos comienza por AWSSupport-TroubleshootADConnectorConnectivity. Para obtener información sobre la eliminación de AWS CloudFormation pilas, consulte Eliminar una pila en la Guía del AWS CloudFormation usuario.

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • DirectoryId

    Tipo: cadena

    Descripción: (obligatorio) el ID del directorio del conector de AD con el que desea solucionar los problemas de conectividad.

  • Ec2 InstanceProfile

    Tipo: cadena

    Máximo de caracteres: 128

    Descripción: (obligatorio) el nombre del perfil de instancia que desea asignar a las instancias que se lanzan para realizar pruebas de conectividad. El perfil de instancia que especifique debe tener la política AmazonSSMManagedInstanceCore o los permisos equivalentes adjuntos.

Permisos necesarios IAM

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ec2:DescribeInstances

  • ec2:DescribeImages

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeVpcEndpoints

  • ec2:CreateTags

  • ec2:RunInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:DeleteStack

  • ds:DescribeDirectories

  • ssm:SendCommand

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:GetParameters

  • ssm:DescribeInstanceInformation

  • iam:PassRole

Pasos de documentos

  • aws:assertAwsResourceProperty: confirma que el directorio especificado en el parámetro DirectoryId es un conector de AD.

  • aws:executeAwsApi: recopila información sobre el conector de AD.

  • aws:executeAwsApi: recopila información sobre los grupos de seguridad asociados al conector de AD.

  • aws:executeAwsApi- Recopila información sobre las ACL reglas de red asociadas a las subredes del AD Connector.

  • aws:executeScript: evalúa las reglas del grupo de seguridad del conector de AD para verificar que se permite el tráfico saliente necesario.

  • aws:executeScript- Evalúa las ACL reglas de red del AD Connector para comprobar que se permite el tráfico de red entrante y saliente necesario.

  • aws:executeScript- Comprueba si los puntos finales de la AWS Systems Manager CloudWatch interfaz de Amazon AWS Security Token Service y Amazon se encuentran en el VPC mismo lugar que el AD Connector.

  • aws:executeScript: compila los resultados de las comprobaciones realizadas en los pasos anteriores.

  • aws:branch: ramifica la automatización en función del resultado de los pasos anteriores. La automatización se detiene aquí si faltan las reglas de entrada y salida requeridas para los grupos de seguridad y la red. ACLs

  • aws:createStack- Crea una AWS CloudFormation pila para lanzar EC2 instancias de Amazon para realizar pruebas de conectividad.

  • aws:executeAwsApi- Reúne las EC2 instancias IDs de Amazon recién lanzadas.

  • aws:waitForAwsResourceProperty- Espera a que la primera EC2 instancia de Amazon recién lanzada muestre que está gestionada por AWS Systems Manager.

  • aws:waitForAwsResourceProperty- Espera a que la segunda EC2 instancia de Amazon recién lanzada muestre que está gestionada por AWS Systems Manager.

  • aws:runCommand- Realiza pruebas de conectividad de red con las direcciones IP DNS del servidor local desde la primera EC2 instancia de Amazon.

  • aws:runCommand- Realiza pruebas de conectividad de red con las direcciones IP DNS del servidor local desde la segunda EC2 instancia de Amazon.

  • aws:changeInstanceState- Detiene las EC2 instancias de Amazon utilizadas para las pruebas de conectividad.

  • aws:deleteStack- Elimina la AWS CloudFormation pila.

  • aws:executeScript- Muestra instrucciones sobre cómo eliminar manualmente la AWS CloudFormation pila si la automatización no logra eliminarla.