Warum kann ich eine Amazon EC2-Windows-Instance nicht nahtlos mit einem von AWS verwalteten Microsoft AD im Systems Manager verbinden?

Lesedauer: 3 Minute

Ich möchte eine Amazon Elastic Compute Cloud (Amazon EC2)-Windows-Instance nahtlos mit einem AWS Managed Microsoft Active Directory (AWS Managed AD) in AWS Systems Manager verbinden.

Kurzbeschreibung

Die folgenden Probleme können dazu führen, dass eine Amazon EC2-Windows-Instance und ein AWS Managed Microsoft AD nicht nahtlos miteinander verbunden werden:

Die Windows-Instance erfüllt nicht die Mindestanforderungen für Systems Manager. Weitere Informationen findest du unter Mindestanforderungen unter Problembehandlung bei der Verfügbarkeit verwalteter Knoten mit ssm-cli.
Die AWS Identity and Access Management (IAM)-Instance-Profil verfügt nicht über die erforderlichen Richtlinien. Weitere Informationen findest du unter Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren.
Der Windows-Instance-Verkehr kann nicht auf den AWS Directory Service-Endpunkt zugreifen.
Die Windows-Instance kann nicht auf den Domain-Controller zugreifen. Oder die Sicherheitsgruppe oder Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL) lässt keinen Datenverkehr über die erforderlichen Ports zu.
Ein doppelter Computerobjektname ist bereits auf dem Domain-Controller vorhanden.
Du hast die Voraussetzungen für das AWS-Dienstkonto zur Verwendung von AD-Konnektor nicht erfüllt.

Lösung

Sicherstellen, dass die Instance die Mindestanforderungen erfüllt

Wenn die Instance die Mindestanforderungen für Systems Manager erfüllt, lautet der Ping-Status des AWS Systems Manager-Agent (SSM-Agent) des verwalteten Knotens Online.

Um den Ping-Status des SSM Agents zu sehen, öffne die AWS Systems Manager-Konsole und wähle dann im Navigationsbereich Fleet Manager aus. Wenn die verwaltete Instance nicht in Fleet Manager angezeigt wird, stelle sicher, dass die Amazon EC2-Instance die Anforderungen für verwaltete Instances erfüllt.

Überprüfe die Richtlinien für das IAM-Instance-Profil

Stelle sicher, dass du die **AmazonSSMDirectoryServiceAccess **-IAM-Richtlinie an das Instance-Profil angehängt hast.

Gehe wie folgt vor, um die IAM-Rollenrichtlinien anzuzeigen:

Öffne die Amazon-EC2-Konsole.
Wähle im Navigationsbereich Instances aus.
Wähle auf der Registerkarte Details die Option IAM-Rolle aus.

Wenn du die AmazonSSMDirectoryServiceAccess-IAM-Richtlinie nicht angehängt hast, konfiguriere die Instance-Berechtigungen. Anweisungen findest du im Abschnitt So erstellst du ein Instance-Profil für von Systems Manager verwaltete Instances (Konsole) unter Alternative Konfiguration für Amazon EC2-Instance-Berechtigungen.

Auf den AWS Directory Service-Endpunkt zugreifen

Stelle sicher, dass der Datenverkehr von der Windows-Instance über die AWS Directory Service-Endpunkte fließt. Weitere Informationen findest du unter Beschränkungen und Einschränkungen für Amazon Virtual Private Cloud (VPC)-Endpunkte. Verwende dann das aws:somainJoin-Plugin, um auf den AWS Directory Service-Endpunkt zuzugreifen.

Zugriff auf Domain-Controller gewähren

Verwende die DirectoryServicePortTest-Anwendung, um zu überprüfen, ob das Windows-Betriebssystem (OS) von der Windows-Instance aus mit den Domain-Controllern kommunizieren kann. Eine Anleitung findest du unter Teste den AD-Konnektor. Eine Liste miot den notwendigen Ports findest du auf der Microsoft Website unter Portanforderungen für Active Directory und Active Directory-Domain-Dienste.

Du kannst auch überprüfen, ob Instances im selben Subnetz der Domain manuell hinzugefügt werden können. Wenn die Instances nicht aus demselben Subnetz auf die Domain-Controller zugreifen können, schlägt der nahtlose Domain-Beitritt fehl.

Vermeide doppelte Computerobjektnamen

Wenn du mehrere Windows-Instances nahtlos verbinden musst, verwende Sysprep, bevor du das Windows-Image erstellst.

Dienstkontoberechtigungen überprüfen

Verwende das Dienstkonto, das der AD-Konnector verwendet, um der Windows-Instance manuell beizutreten.

Wenn du der Windows-Instance nicht beitreten kannst, delegiere die richtigen Berechtigungen, um eine Verbindung zu dem Verzeichnis herzustellen. Eine Anleitung dazu findest du unter Delegieren von Rechten an das Dienstkonto.

**Hinweis:**Der Dienstkontoname, den der AD-Konnector verwendet, muss weniger als 15 Zeichen lang sein.

Änderungen bestätigen

Nachdem du die vorherigen Änderungen vorgenommen hast, stelle sicher, dass du der Amazon EC2-Windows-Instance problemlos beitreten kannst.

Relevanter Inhalt

Warum kann ich meine EC2 Windows-Instance nicht nahtlos mit einem von AWS verwalteten Microsoft AD-Verzeichnis verknüpfen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich Probleme mit der Windows-Authentifizierung von RDS für SQL Server mit AWS Managed Microsoft AD?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum schlägt die MFA in meinem von AWS verwalteten Microsoft AD-Verzeichnis oder meinem AD Connector fehl?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie löse ich privat gehostete Route-53-Zonen, wenn ich ein von AWS verwaltetes Microsoft-AD-Verzeichnis verwende?
AWS OFFICIALAktualisiert vor 24 Tagen