Pourquoi m'est-il impossible de joindre de manière transparence mon instance Windows Amazon EC2 à un répertoire AWS Managed Microsoft AD ?

Lecture de 5 minute(s)

Je n'arrive pas à joindre mon instance Windows Amazon Elastic Compute Cloud (Amazon EC2) à mon AWS Directory Service for Microsoft Active Directory.

Solution

Suivez les étapes suivantes pour résoudre les problèmes lorsque vous joignez de manière transparente votre instance Windows Amazon EC2 à un répertoire AWS Managed Microsoft AD.

Remarque : AWS Systems Manager ne prend pas en charge la jointure de domaine d'une manière transparente pour le point de terminaison d'un VPC d'interface, car il n'existe pas de points de terminaison d'un VPC d'interface pour AWS Directory Service. Pour plus d'informations, consultez Restrictions et limitations des points de terminaison d'un VPC.

Vérifier les préalables

Vérifiez que vous remplissez toutes les conditions pour utiliser AWS Systems Manager.

Vérifier les politiques de rôle AWS Identity and Access Management (IAM)

1. Ouvrez la console IAM, puis choisissez Rôles dans le panneau de navigation.

2. Choisissez le nom du rôle IAM associé à votre instance afin d'ouvrir la page « Récapitulatif ».

3. Dans l'onglet Permissions (Autorisations), pour Permissions policies (Politiques d'autorisations), confirmez que les politiques AmazonSSMDirectoryServiceAccess et AmazonSSMManagedInstanceCore sont attachées.

Si l'une des deux politiques est absente, choisissez Attach policies. Recherchez les noms de politique, puis choisissez Attach policy (Attacher une politique).

Vérifier que les ports requis sont ouverts

Vérifiez que les ports 53, 88 et 389 sont ouverts dans le groupe de sécurité du répertoire. Pour localiser le groupe de sécurité de votre répertoire :

1. Ouvrez la console Amazon EC2, puis choisissez Groupes de sécurité dans le volet de navigation sous Réseau et sécurité.

2. Triez la liste par nom de groupe de sécurité pour rechercher directoryid_controllers, où directory_id est votre ID de répertoire. Par exemple, d-1234567891_controllers.

Remarque : utilisez l'utilitaire de ligne de commande Portqry.exe de Microsoft pour tester la connectivité du domaine aux ports requis.

Vérifier que les serveurs DNS de votre instance EC2 pointent vers les serveurs DNS du répertoire

Exécutez la commande suivante pour afficher la configuration de la carte réseau sur l'instance :

ipconfig /all

Pour localiser les serveurs DNS du répertoire :

1. Ouvrez la console Directory Service, puis choisissez Directories (Répertoires) dans le panneau de navigation.

2. Choisissez votre Directory ID (ID de répertoire) pour ouvrir la page Directory Details (Détails du répertoire) et afficher le DNS address (Adresse DNS).

Confirmer que vous pouvez résoudre le problème de nom de domaine à partir de l'instance

Exécutez la commande suivante en remplaçant domainname par votre nom de domaine.

En utilisant PowerShell :

Resolve-DnsName domainname

En utilisant une invite de commande :

nslookup domainname

Vérifier la configuration du serveur DNS

Vérifier que vous avez configuré le serveur DNS adéquat sur l'instance et que l'instance peut l'atteindre le serveur. Exécutez la commande Nltest suivante :

nltest /dsgetdc:domainname /force

Remarque : veillez à remplacer domainname par le nom DNS, et non par le nom NetBIOS. Par exemple, si votre domaine est exemple.com, le nom DNS est exemple.com, et le nom NetBIOS est exemple.

Vérifier que l'instance est signalée comme étant gérée

Ouvrez d'abord la console AWS Systems Manager. Ensuite, choisissez Fleet Manager dans le panneau de navigation pour afficher toutes les instances gérées et confirmez que l'instance est répertoriée et en ligne.

Confirmez ensuite qu'une association State Manager correspondante pour le document awsconfig_Domain_directoryid_nomdedomaine a été créée automatiquement pour l'instance. Procédez comme suit :

1. Dans la console Systems Manager, choisissez Gestionnaire d'état dans le volet de navigation.

2. Sélectionnez la barre de recherche, choisissez ID d'instance, Égal, puis entrez l'ID_instance.

3. Vérifiez la sortie de l'exécution de l'association sous Execution History (Historique d'exécution). Confirmez que le Status (Statut) est Success (Succès).

Si le statut est Failed (Échec), vérifiez la sortie et le statut détaillé pour identifier la cause du problème.

Si le statut est Pending (En attente), vérifiez que vous avez suivi toutes les étapes précédentes de résolution des problèmes. Ensuite, consultez les journaux sur l'instance EC2 pour rechercher les messages d'erreur explicites afin d'identifier la cause du problème. Pour connaître les instructions, consultez la section Résolution des problèmes suivante.

Confirmer que vous pouvez joindre manuellement l'instance au domaine

Vérifiez que votre compte dispose de l'autorisation requise pour ajouter des objets ordinateurs au domaine. Pour plus d'informations, consultez Déléguer les privilèges de jonction de répertoire pour AWS Managed Microsoft AD.

Confirmer qu'une jonction transparente de domaine a abouti

Réessayez de joindre un domaine pour vérifier que les étapes précédentes ont résolu le problème.

1. Ouvrez la console AWS Systems Manager, puis choisissez Gestionnaire d'état dans le volet de navigation.

2. Sélectionnez l'association que vous avez créée pour joindre le domaine, puis choisissez Appliquer l'association maintenant.

3. Vérifiez que le Status (Statut) est Success (Succès).

Résolution des problèmes

Si vous rencontrez toujours des problèmes pour joindre un domaine, consultez les journaux suivants sur l'instance EC2 pour obtenir des indications sur le problème.

Pour les journaux de l'agent Amazon SSM :

Accédez à l'emplacement suivant pour consulter les journaux de l'agent Amazon SSM : C:\ProgramData\Amazon\SSM\Logs

Fichier netsetup.log :

Ouvrez une invite de commande, puis entrez la commande suivante :