翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-TroubleshootADConnectorConnectivity
説明
AWSSupport-TroubleshootADConnectorConnectivity
ランブックでは、AD Connector の以下の前提条件を確認します。
-
必要なトラフィックが、AD Connector に関連付けられたセキュリティグループおよびネットワークアクセスコントロールリスト (ACL) ルールによって許可されているかどうかを確認します。
-
AWS Systems Manager、 AWS Security Token Service、および Amazon CloudWatch インターフェイスVPCエンドポイントが AD Connector と同じ仮想プライベートクラウド (VPC) に存在するかどうかを確認します。
前提条件チェックが正常に完了すると、ランブックは AD Connector と同じサブネットで 2 つの Amazon Elastic Compute Cloud (Amazon EC2) Linux t2.micro インスタンスを起動します。その後、netcat
および nslookup
ユーティリティを使用してネットワーク接続テストが実行されます。
重要
このランブックを使用すると、Amazon EC2インスタンス、Amazon Elastic Block Store ボリューム、およびオートメーション中に作成された Amazon Machine Image (AMI) AWS アカウント に対して追加料金が発生する場合があります。詳細については、「Amazon Elastic Compute クラウド料金表」
aws:deletestack
ステップが失敗した場合は、 AWS CloudFormation コンソールに移動してスタックを手動で削除します。このランブックで作成されたスタック名は AWSSupport-TroubleshootADConnectorConnectivity
で始まります。 AWS CloudFormation スタックの削除の詳細については、「 AWS CloudFormation ユーザーガイド」の「スタックの削除」を参照してください。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
型: 文字列
説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする () ロールARNの AWS Identity and Access Management Amazon リソースネーム (IAM)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
DirectoryId
型: 文字列
説明: (必須) 接続のトラブルシューティングを行う AD Connector ディレクトリの ID。
-
Ec2InstanceProfile
型: 文字列
最大文字数: 128
説明: (必須) 接続テストを実行するために起動されるインスタンスに割り当てるインスタンスプロファイルの名前。指定するインスタンスプロファイルには、
AmazonSSMManagedInstanceCore
ポリシーまたは同等の権限がアタッチされている必要があります。
必要なIAMアクセス許可
AutomationAssumeRole
パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
ec2:DescribeInstances
-
ec2:DescribeImages
-
ec2:DescribeSubnets
-
ec2:DescribeSecurityGroups
-
ec2:DescribeNetworkAcls
-
ec2:DescribeVpcEndpoints
-
ec2:CreateTags
-
ec2:RunInstances
-
ec2:StopInstances
-
ec2:TerminateInstances
-
cloudformation:CreateStack
-
cloudformation:DescribeStacks
-
cloudformation:ListStackResources
-
cloudformation:DeleteStack
-
ds:DescribeDirectories
-
ssm:SendCommand
-
ssm:ListCommands
-
ssm:ListCommandInvocations
-
ssm:GetParameters
-
ssm:DescribeInstanceInformation
-
iam:PassRole
ドキュメントステップ
-
aws:assertAwsResourceProperty
-DirectoryId
パラメータで指定されたディレクトリが AD Connector であることを確認します。 -
aws:executeAwsApi
- AD Connector に関する情報を収集します。 -
aws:executeAwsApi
- AD Connector に関連付けられているセキュリティグループに関する情報を収集します。 -
aws:executeAwsApi
- AD Connector のサブネットに関連付けられているネットワークACLルールに関する情報を収集します。 -
aws:executeScript
- AD Connector セキュリティグループのルールを評価して、必要なアウトバウンドトラフィックが許可されていることを確認します。 -
aws:executeScript
- AD Connector ネットワークACLルールを評価して、必要なアウトバウンドおよびインバウンドネットワークトラフィックが許可されていることを確認します。 -
aws:executeScript
- AWS Systems Manager、 AWS Security Token Service および Amazon CloudWatch インターフェイスエンドポイントが AD Connector VPCと同じ に存在するかどうかを確認します。 -
aws:executeScript
- 前のステップで実行したチェックの出力をコンパイルします。 -
aws:branch
- 前のステップの出力に応じて自動化を分岐させます。セキュリティグループとネットワーク に必要なアウトバウンドルールとインバウンドルールが欠落している場合、オートメーションはここで停止しますACLs。 -
aws:createStack
- Amazon EC2インスタンスを起動して接続テストを実行する AWS CloudFormation スタックを作成します。 -
aws:executeAwsApi
- 新しく起動された Amazon EC2インスタンスIDsの を収集します。 -
aws:waitForAwsResourceProperty
- 新しく起動された最初の Amazon EC2インスタンスが、 によって管理される としてレポートされるのを待ちます AWS Systems Manager。 -
aws:waitForAwsResourceProperty
- 新しく起動された 2 番目の Amazon EC2インスタンスが、 によって管理される としてレポートされるのを待ちます AWS Systems Manager。 -
aws:runCommand
- 最初の Amazon EC2インスタンスからオンプレミスDNSサーバーの IP アドレスへのネットワーク接続テストを実行します。 -
aws:runCommand
- 2 番目の Amazon EC2インスタンスからオンプレミスDNSサーバーの IP アドレスへのネットワーク接続テストを実行します。 -
aws:changeInstanceState
- 接続テストに使用される Amazon EC2インスタンスを停止します。 -
aws:deleteStack
- AWS CloudFormation スタックを削除します。 -
aws:executeScript
- オートメーションが AWS CloudFormation スタックの削除に失敗した場合にスタックを手動で削除する方法に関する指示を出力します。