¿Por qué no puedo unir fácilmente mi instancia de Windows Amazon de EC2 a un directorio de AWS Managed Microsoft AD?

8 minutos de lectura
0

No puedo unir fácilmente mi instancia de Windows de Amazon Elastic Compute Cloud (Amazon EC2) al AWS Directory Service para Microsoft Active Directory.

Resolución

Para solucionar el problema por el que no puede unir sin problemas su instancia EC2 de Windows a un directorio de Microsoft AD administrado por AWS, complete los siguientes pasos.

Nota: Los puntos de conexión de la interfaz de Amazon Virtual Private Cloud (Amazon VPC) para AWS Systems Manager limitan las solicitudes de unión de instancias de Windows Server a los dominios. Para obtener más información, consulte Restricciones y limitaciones de los puntos de conexión de VPC.

Verificar el sistema operativo y el tipo de máquina

Confirme que AWS Systems Manager es compatible con su sistema operativo (SO) y tipo de máquina.

Verificar las políticas de roles de IAM

Para comprobar que su rol de AWS Identity and Access Management (IAM) tiene adjuntas las políticas administradas correctas, complete los siguientes pasos:

  1. Abra la consola de IAM.
  2. En el panel de navegación, elija Roles.
  3. Elija el Nombre del rol para el rol de IAM asociado a su instancia con el fin de abrir la página Resumen.
  4. En la pestaña Permisos, en Políticas de permisos, confirme que se hayan adjuntado las políticas AmazonSSMDirectoryServiceAccess y AmazonSSMManagedInstanceCore.
  5. Si faltan las políticas de permisos, elija Agregar permisos y Adjuntar políticas. Busque los nombres de las políticas, elija las políticas correctas en los resultados de la búsqueda y, a continuación, elija Agregar permisos.

Verificar que los puertos necesarios están abiertos

Compruebe que los puertos 53, 88 y 389 estén abiertos en el grupo de seguridad del directorio. Para localizar y revisar el grupo de seguridad de su directorio, complete los siguientes pasos:

  1. Abra la consola de Amazon EC2.
  2. En el panel de navegación, seleccione Grupos de seguridad.
  3. Ordene la lista de Grupos de seguridad según el nombre del grupo de seguridad para encontrar el directoryid_controllers, donde directoryid es su ID de directorio. Por ejemplo, d-1234567891_controllers.
  4. Seleccione el ID del grupo de seguridad en el grupo de seguridad del controlador de directorios.
  5. Abra las pestañas Reglas de entrada y Reglas de salida para revisar la información del puerto.

Nota: Use la herramienta de línea de comandos de PortQry de Microsoft para probar la conectividad del dominio con los puertos necesarios.

Verificar que los servidores DNS de la instancia señalan a los servidores DNS del directorio

Para mostrar la configuración del adaptador de red en la instancia, ejecute el siguiente comando de la interfaz de línea de comandos de AWS (AWS CLI):

Nota: Si le aparecen errores al ejecutar los comandos de la AWS CLI, asegúrese de utilizar la versión más reciente.

ipconfig /all

Para localizar los servidores DNS del directorio, complete los siguientes pasos:

  1. Abra la consola de Directory Service.
  2. En el panel de navegación, elija Directorios.
  3. Elija ID del directorio para abrir la página Detalles del directorio.
  4. Consulte la dirección DNS.

Confirmar que puede resolver el nombre del dominio de la instancia

Para confirmar que puede resolver el nombre del dominio de su instancia, ejecute uno de los siguientes comandos:

Nota: En los comandos, reemplace domainname por el nombre de su dominio.

Con PowerShell:

Resolve-DnsName domainname

Con el símbolo del sistema:

nslookup domainname

Verificar la configuración del servidor DNS

Para comprobar que ha configurado correctamente el servidor DNS de la instancia y que la instancia puede acceder al servidor DNS, ejecute el siguiente comando Nltest de Windows:

Nota: En el comando, sustituya domainname por el nombre del DNS, no por el nombre de NetBIOS. Por ejemplo, si el dominio es «ejemplo.com», el nombre del DNS es «ejemplo.com» y el nombre de NetBIOS es «ejemplo».

nltest /dsgetdc:domainname /force

Comprobar que la instancia es una instancia administrada

Para comprobar que su instancia es una instancia administrada, siga estos pasos:

  1. Abra la consola de Systems Manager.
  2. En el panel de navegación, elija Fleet Manager.
  3. En la página Fleet Manager, seleccione la pestaña Nodos administrados.
  4. Confirme que la instancia aparece en la lista y está conectada.

Confirmar que la instancia tiene una asociación de State Manager

Para confirmar que el documento awsconfig_Domain_directoryid_domainname tiene una asociación de State Manager creada para la instancia, complete los siguientes pasos:

Nota: En el nombre del documento, directoryid es su ID de directorio y domainname es su nombre de dominio.

  1. Abra la consola de Systems Manager.
  2. En el panel de navegación, seleccione State Manager.
  3. En la barra de búsqueda, elija ID de instancia, Igual y, a continuación, introduzca el ID de la instancia.
  4. Seleccione el ID de la asociación.
  5. Confirme que el Estado sea Correcto y elija Historial de ejecuciones para verificar las ejecuciones de la asociación.
  6. Si el Estado es Error, seleccione ID de ejecución, Resultado para revisar los detalles del resultado e identificar la causa del problema.
  7. Si el Estado es Pendiente, compruebe si ha seguido todos los pasos anteriores para solucionar el problema. A continuación, revise los registros de la instancia de EC2 para ver si hay algún mensaje de error y así identificar la causa del problema. Para obtener instrucciones, consulte la sección Revisar los registros para encontrar mensajes de error.

Confirmar que puede unir la instancia al dominio manualmente

Compruebe que su cuenta tiene los permisos necesarios para añadir objetos de equipo al dominio. Para obtener más información, consulte Delegar privilegios de unión de directorios para AWS Managed Microsoft AD.

Nota: Para crear nuevas instancias EC2 de Windows, utilice la herramienta Sysprep de Microsoft para crear una imagen de máquina de Amazon (AMI) estandarizada.

Confirmar que el dominio se ha unido de forma correcta y sin problemas

Para comprobar si el problema se ha resuelto con los pasos de solución de problemas, intente volverse a unir a un dominio:

  1. Abra la consola de Systems Manager.
  2. En el panel de navegación, seleccione State Manager.
  3. Seleccione la asociación que ha creado para unirse al dominio y, a continuación, elija Aplicar asociación ahora.
  4. Compruebe que el Estado sea Correcto.

Revisar los registros para encontrar mensajes de error

Si sigue sin poder unirse a un dominio, revise los siguientes registros de la instancia para encontrar mensajes de error.

Uso de registros del SSM Agent:

Para ver los registros de AWS Systems Manager Agent (SSM Agent), vaya a %PROGRAMDATA%\Amazon\SSM\Logs\.

Uso del archivo Netsetup.log:

Para abrir un archivo de registro, ejecute el siguiente comando en un símbolo del sistema:

%windir%\debug\netsetup.log

Códigos de error y comportamientos esperados para cada puerto del resultado de NetSetup.log

TCP 88: autenticación Kerberos:

NetUseAdd to \\serverDC1.example.com\IPC$ returned 64
NetpJoinDomainOnDs: status of connecting to dc '\\serverDC1.example.com':0x40
NetpJoinDomainOnDs: Function exits with status of: 0x40
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x40

TCP 389: LDAP:

NetpLdapBind: ldap_bind failed on serverDC1.example.com: 81: Server Down
NetpJoinCreatePackagePart: status:0x3a.
NetpJoinDomainOnDs: Function exits with status of: 0x3a
NetpJoinDomainOnDs: status of disconnecting from '\\serverDC1.example.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x3a

UDP 389: LDAP:

NetpCheckDomainNameIsValid [ Exists ] for 'example.com' returned 0x54b
NetpJoinDomainOnDs: Domain name is invalid,
NetpValidateName returned: 0x54b
NetpJoinDomainOnDs: Function exits with status of: 0x54b
NetpJoinDomainOnDs: NetpResetIDNEncoding on '(null)': 0x0
NetpDoDomainJoin: status: 0x54b

UDP 53: DNS:

Cuando no se permite el tráfico UDP DNS, el flujo de trabajo de unión al dominio no crea ningún resultado en el archivo NetSetup.log. Para probar el servidor DNS, ejecute el siguiente comando de PowerShell:

Nota: En su comando, sustituya YourIPAddress por la dirección IP de su servidor DNS.

Test-DnsServer -IPAddress YourIPAddress

Para obtener información sobre los códigos de error de NetSetup.log, consulte Cómo solucionar errores que se producen al unir equipos Windows a un dominio en el sitio web de Microsoft.

Uso de registros del Visor de eventos:

  1. En la barra de tareas de Windows, seleccione Buscar, introduzca «Visor de eventos» y escoja Visor de eventos para abrir la herramienta.
  2. En el panel de navegación, expanda Registros de Windows y, a continuación, seleccione Sistema.
  3. Revise la columna Fecha y hora para identificar los eventos que se produjeron durante la operación de unión al dominio.

Información relacionada

Unión de una instancia de EC2 a un directorio de AWS Managed Microsoft AD

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año