Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Pourquoi ne puis-je pas associer facilement mon instance Windows Amazon EC2 à un répertoire AWS Managed Microsoft AD ?

Lecture de 7 minute(s)
0

Je ne parviens pas à associer facilement mon instance Windows Amazon Elastic Compute Cloud (Amazon EC2) à AWS Directory Service pour Microsoft Active Directory.

Résolution

Remarque : si vous utilisez des points de terminaison d'interface Amazon Virtual Private Cloud (Amazon VPC) pour AWS Systems Manager, les instances Windows Server peuvent toujours joindre un domaine. Cependant, les points de terminaison de VPC doivent autoriser l'accès aux API et aux contrôleurs de domaine AWS Managed Microsoft AD. Pour en savoir plus, consultez la section ](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html#vpc-requirements-and-limitations)Restrictions et limites des points de terminaison de VPC[.

Vérifier votre système d'exploitation

Vérifiez que vous utilisez un système d'exploitation compatible avec Systems Manager.

Vérifier vos stratégies de rôle IAM

Pour vérifier que les stratégies gérées associées à votre rôle Gestion des identités et des accès AWS (AWS IAM) sont appropriées, procédez comme suit :

  1. Ouvrez la console IAM.
  2. Dans le volet de navigation, sélectionnez Rôles.
  3. Choisissez le nom de rôle du rôle IAM associé à votre instance EC2.
  4. Choisissez l’onglet Autorisations.
  5. Dans Stratégies d’autorisation, vérifiez que les stratégies AmazonSSMDirectoryServiceAccess et AmazonSSMManagedInstanceCore sont associées.
  6. Si vous n'avez pas associé les stratégies d'autorisation, choisissez Ajouter des autorisations.
  7. Sélectionnez Associer des stratégies.
  8. Entrez les noms des stratégies dans la barre de recherche, puis choisissez la stratégie manquante.
  9. Choisissez Ajouter des autorisations.

Vérifier que les ports requis sont ouverts

Le groupe de sécurité du répertoire doit autoriser les ports 53, 88 et 389.

Pour localiser et vérifier le groupe de sécurité de votre répertoire, procédez comme suit :

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Groupes de sécurité.
  3. Sous Nom du groupe de sécurité, recherchez directoryid_controllers. La valeur de directoryid est votre identifiant de répertoire. Par exemple, dans d-1234567891_controllers, l'ID du répertoire est d-1234567891.
  4. Choisissez l'ID de groupe de sécurité du groupe de sécurité du contrôleur de répertoire.
  5. Ouvrez les onglets Règles entrantes et Règles sortantes pour consulter les informations du port. S'il manque un port requis, ajoutez-le au groupe de sécurité.
  6. Répétez les étapes 2 à 5 pour le groupe de sécurité associé à l'instance EC2. Vérifiez que le groupe de sécurité de l'instance autorise la connexion sortante au groupe de sécurité directoryid_controllers.

Pour tester la connectivité du domaine aux ports requis, utilisez l'outil de ligne de commande PortQry de Microsoft. Pour plus d'informations, consultez la page Utilisation de l'outil de ligne de commande PortQry sur le site Web de Microsoft.

Vérifier que les serveurs DNS de votre instance pointent vers les serveurs DNS du répertoire

Pour afficher la configuration de la carte réseau sur l'instance, exécutez la commande suivante :

ipconfig /all

Dans la sortie, vérifiez les adresses IP répertoriées pour les serveurs DNS.

Puis, procédez comme suit pour localiser les serveurs DNS du répertoire :

  1. Ouvrez la console AWS Directory Service.
  2. Dans le volet de navigation, sélectionnez Répertoires.
  3. Choisissez l'ID de répertoire de votre répertoire.
  4. Assurez-vous que la valeur de l'adresse DNS correspond aux adresses IP de la sortie pour ipconfig. S'ils ne correspondent pas, vous devez joindre les serveurs DNS à votre instance.

Pour joindre les serveurs DNS à votre instance, procédez comme suit :

  1. Utilisez un protocole RDP (Remote Desktop Protocol) pour vous connecter à votre instance.

  2. Exécutez la commande suivante pour ouvrir les connexions réseau :

    %SystemRoot%\system32\control.exe ncpa.cpl

  3. Ouvrez le menu contextuel (clic droit) pour toute connexion réseau activée, puis choisissez Propriétés.

  4. Dans la boîte de dialogue Propriétés de connexion, ouvrez (double-cliquez) Internet Protocol Version 4.

  5. Sélectionnez Utiliser les adresses de serveur DNS suivantes.

  6. Dans Serveur DNS préféré et Serveur DNS alternatif, entrez les adresses IP des serveurs DNS fournis par AWS Managed Microsoft AD, puis choisissez OK.

Vérifier que vous pouvez résoudre le nom de domaine à partir de l'instance

Pour vérifier que vous pouvez résoudre le nom de domaine à partir de votre instance, exécutez l'une des commandes suivantes en fonction de votre ligne de commande.

PowerShell :

Resolve-DnsName domainname

Invite de commande :

nslookup domainname

Remarque : remplacez domainname par le nom de votre domaine.

Vérifier la configuration du serveur DNS

Vérifiez que vous avez correctement configuré le serveur DNS de l'instance. Exécutez la commande suivante pour vérifier si l'instance peut localiser et communiquer avec un contrôleur de domaine dans le domaine cible :

nltest /dsgetdc:domainname /force

Remarque : remplacez domainname par le nom DNS, et non par le nom NetBIOS. Par exemple, pour le domaine example.com, le nom DNS est example.com et le nom NetBIOS est example. Pour plus d'informations sur cette commande, consultez la page Nltest sur le site Web de Microsoft.

Si vous recevez un message d'erreur dans la sortie, résolvez le problème répertorié dans l'erreur.

Vérifier que l'instance est une instance gérée

Seules les instances gérées peuvent joindre un Active Directory.

Procédez comme suit pour vérifier que votre instance est une instance gérée dans Fleet Manager, une fonctionnalité d'AWS Systems Manager :

  1. Ouvrez la console Systems Manager.
  2. Dans le volet de navigation, sélectionnez Fleet Manager.
  3. Choisissez l'onglet Nœuds gérés.
  4. Vérifiez que l'instance est répertoriée et qu'elle est en ligne. Si vous ne trouvez pas l’instance, consultez la section Pourquoi Systems Manager n'affiche-t-il pas mon instance Amazon EC2 en tant qu'instance gérée ?

Vérifier que l'instance possède une association State Manager

Le document awsconfig_Domain_directoryid_domainname doit avoir et être associé à State Manager, une fonctionnalité d'AWS Systems Manager, pour l'instance.

Pour vérifier si l'association State Manager présente des problèmes, procédez comme suit :

  1. Ouvrez la console Systems Manager.
  2. Dans le volet de navigation, choisissez State Manager.
  3. Dans la barre de recherche, sélectionnez ID d'instance et Égal, puis saisissez l'ID d'instance.
  4. Sélectionnez l'ID d'association.
  5. Vérifiez que le champ Statut indique Réussite, puis choisissez Historique d'exécution pour vérifier l’état des autres exécutions d'association.
    Si le champ Statut indique Échec, choisissez ID d'exécution, puis Sortie pour examiner les détails de la sortie et identifier la cause du problème.
    Si le statut est En attente, consultez les journaux de l'instance EC2 pour y trouver des messages d'erreur qui vous aideront à identifier la cause du problème. Pour obtenir des instructions, consultez les journaux pour rechercher les messages d'erreur.

Vérifier si vous pouvez associer manuellement l'instance au domaine

Assurez-vous d'avoir configuré votre compte AWS de manière à disposer des autorisations requises pour ajouter des objets informatiques au domaine.

Remarque : pour créer de nouvelles instances Windows, utilisez l'outil Microsoft Sysprep afin de créer une Amazon Machine Image (AMI) standardisée.

Consulter les journaux pour trouver les messages d'erreur

Si vous ne parvenez toujours pas à joindre un domaine, recherchez d’éventuels messages d’erreur dans les journaux d'instance suivants.

Journaux de SSM Agent

Consultez les journaux AWS Systems Manager Agent (SSM Agent).

Fichier Netsetup.log

Pour ouvrir un fichier journal, exécutez la commande suivante dans une invite de commande :

%windir%\debug\netsetup.log

Pour résoudre les erreurs NetSetup.log, consultez la page Résoudre les erreurs réseau qui se produisent lorsque vous associez des ordinateurs Windows à un domaine sur le site Web de Microsoft.

Si vos groupes de sécurité ou votre pare-feu bloquent le trafic UDP, le flux de travail de jonction de domaines ne crée pas de sorties dans le fichier NetSetup.log. Pour tester la connectivité DNS au serveur DNS, exécutez la commande PowerShell suivante :

Test-DnsServer -IPAddress YourIPAddress

Remarque : remplacez YourIPAddress par l'adresse IP de votre serveur DNS.

Journaux de l'observateur d'événements

Pour consulter les journaux de l'observateur d'événements, procédez comme suit :

  1. Choisissez le menu Démarrer, puis accédez à Observateur d’événements.
  2. Choisissez Observateur d’événements.
  3. Dans le volet de navigation, développez Journaux Windows, puis choisissez Système.
  4. Vérifiez la colonne Date et heure pour identifier les événements survenus lors de l'opération de jonction de domaines.

Pour résoudre les problèmes, consultez la page Instructions de résolution des problèmes de jonction de domaines Active Directory sur le site Web de Microsoft.

Informations connexes

Comment joindre une instance Amazon EC2 à votre AWS Managed Microsoft AD

Joindre une instance Windows Amazon EC2 à votre AWS Managed Microsoft AD Active Directory

Sujets
Compute
Balises
Amazon EC2Windows
Langue
Français
AWS OFFICIELA mis à jour il y a 6 mois
Aucun commentaire

Contenus pertinents