AWSSupport-TroubleshootADConnectorConnectivity - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootADConnectorConnectivity

Description

Le AWSSupport-TroubleshootADConnectorConnectivity runbook vérifie les conditions préalables suivantes pour un AD Connector :

  • Vérifie si le trafic requis est autorisé par le groupe de sécurité et les règles de liste de contrôle d'accès réseau (ACL) associées à votre AD Connector.

  • Vérifie si les VPC points de terminaison de CloudWatch l'interface AWS Systems Manager AWS Security Token Service,, et Amazon existent dans le même cloud privé virtuel (VPC) que l'AD Connector.

Lorsque les vérifications préalables sont terminées avec succès, le runbook lance deux instances Amazon Elastic Compute Cloud (AmazonEC2) Linux t2.micro dans les mêmes sous-réseaux que votre AD Connector. Les tests de connectivité réseau sont ensuite effectués à l'aide netcat des nslookup utilitaires et.

Exécuter cette automatisation (console)

Important

L'utilisation de ce runbook peut entraîner des frais supplémentaires Compte AWS pour les EC2 instances Amazon, les volumes Amazon Elastic Block Store et Amazon Machine Image (AMI) créés lors de l'automatisation. Pour plus d'informations, consultez les tarifs Amazon Elastic Compute Cloud et Amazon Elastic Block Store.

Si l'aws:deletestackétape échoue, accédez à la AWS CloudFormation console pour supprimer manuellement la pile. Le nom de la pile créée par ce runbook commence AWSSupport-TroubleshootADConnectorConnectivity par. Pour plus d'informations sur la suppression de AWS CloudFormation piles, voir Supprimer une pile dans le Guide de l'AWS CloudFormation utilisateur.

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : String

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • DirectoryId

    Type : String

    Description : (Obligatoire) L'ID du répertoire AD Connector auquel vous souhaitez résoudre les problèmes de connectivité.

  • Eco 2 InstanceProfile

    Type : String

    Nombre maximum de caractères : 128

    Description : (Obligatoire) Nom du profil d'instance que vous souhaitez attribuer aux instances lancées pour effectuer des tests de connectivité. Le profil d'instance que vous spécifiez doit être associé à la AmazonSSMManagedInstanceCore politique ou à des autorisations équivalentes.

IAMAutorisations requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ec2:DescribeInstances

  • ec2:DescribeImages

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeVpcEndpoints

  • ec2:CreateTags

  • ec2:RunInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:DeleteStack

  • ds:DescribeDirectories

  • ssm:SendCommand

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:GetParameters

  • ssm:DescribeInstanceInformation

  • iam:PassRole

Étapes de document

  • aws:assertAwsResourceProperty- Confirme que le répertoire spécifié dans le DirectoryId paramètre est un AD Connector.

  • aws:executeAwsApi- Recueille des informations sur l'AD Connector.

  • aws:executeAwsApi- Recueille des informations sur les groupes de sécurité associés à l'AD Connector.

  • aws:executeAwsApi- Recueille des informations sur les ACL règles réseau associées aux sous-réseaux de l'AD Connector.

  • aws:executeScript- Évalue les règles du groupe de sécurité AD Connector pour vérifier que le trafic sortant requis est autorisé.

  • aws:executeScript- Évalue les ACL règles réseau AD Connector pour vérifier que le trafic réseau sortant et entrant requis est autorisé.

  • aws:executeScript- Vérifie si les AWS Systems Manager points de terminaison de CloudWatch l'interface AWS Security Token Service et Amazon existent au même endroit VPC que l'AD Connector.

  • aws:executeScript- Compile les résultats des contrôles effectués au cours des étapes précédentes.

  • aws:branch- Divise l'automatisation en fonction du résultat des étapes précédentes. L'automatisation s'arrête là si les règles sortantes et entrantes requises ne sont pas respectées pour les groupes de sécurité et le réseau. ACLs

  • aws:createStack- Crée une AWS CloudFormation pile pour lancer des EC2 instances Amazon afin d'effectuer des tests de connectivité.

  • aws:executeAwsApi- Rassemble les IDs EC2 instances Amazon récemment lancées.

  • aws:waitForAwsResourceProperty- Attend que la première EC2 instance Amazon récemment lancée soit signalée comme gérée par AWS Systems Manager.

  • aws:waitForAwsResourceProperty- Attend que la deuxième EC2 instance Amazon récemment lancée soit signalée comme gérée par AWS Systems Manager.

  • aws:runCommand- Effectue des tests de connectivité réseau sur les adresses IP des DNS serveurs locaux à partir de la première EC2 instance Amazon.

  • aws:runCommand- Effectue des tests de connectivité réseau sur les adresses IP des DNS serveurs locaux à partir de la deuxième EC2 instance Amazon.

  • aws:changeInstanceState- Arrête les EC2 instances Amazon utilisées pour les tests de connectivité.

  • aws:deleteStack- Supprime la AWS CloudFormation pile.

  • aws:executeScript- Affiche des instructions sur la façon de supprimer manuellement la AWS CloudFormation pile si l'automatisation ne parvient pas à supprimer la pile.