Comment résoudre les problèmes liés à la jointure automatique de domaines pour les instances Windows dans Systems Manager ?
Je n'arrive pas à effectuer une jointure de domaine fluide pour les instances Windows dans AWS Systems Manager.
Brève description
Les raisons les plus courantes pouvant expliquer l'échec d'une jointure de domaine transparente dans Windows sont les suivantes :
- Les prérequis de Systems Manager ne sont pas remplis.
- Le profil d'instance AWS Identity and Access Management (IAM) ne contient pas la stratégie de jointure de domaine transparente.
- Le trafic de l'instance Windows ne peut pas accéder au point de terminaison public d'AWS Directory Service.
- L'instance Windows ne peut pas accéder au contrôleur de domaine ou les ports requis pour rejoindre le domaine ne sont pas autorisés par le groupe de sécurité ou l'ACL réseau.
- Un nom d'objet informatique dupliqué existe déjà au niveau du contrôleur de domaine.
- Votre compte de service ne dispose pas des privilèges requis pour utiliser un connecteur AD.
Si une jointure de domaine fluide pour une instance Windows échoue, passez en revue les points suivants pour résoudre le problème :
Résolution
Vérifiez les prérequis pour Systems Manager
Pour joindre un domaine en toute transparence dans les instances Windows, complétez les prérequis System Manager. Si les prérequis du gestionnaire de systèmes sont remplis, l'état du ping de l'agent AWS Systems Manager (agent SSM) du nœud géré est en ligne. Pour voir l'état du ping de l'agent SSM, ouvrez la console AWS Systems Manager, puis choisissez Fleet Manager dans le volet de navigation. Si l'instance gérée n'apparaît pas dans Fleet Manager, vérifiez que votre instance Amazon Elastic Compute Cloud (Amazon EC2) répond aux exigences en matière d'instance gérée.
Vérifiez les politiques de profil d'instance IAM
Pour que la jointure de domaines soit fluide dans les instances Windows, la politique IAM d'AmazonSSMDirectoryServiceAccess doit être attribuée. Pour consulter les politiques relatives aux rôles IAM, ouvrez la console Amazon EC2, puis choisissez Instances dans le volet de navigation. Choisissez ensuite le rôle IAM dans l'onglet Détails.
Si la politique IAM d'AmazonSSMDirectoryServiceAccess est absente, pour ajouter les autorisations, consultez la section Configurer les autorisations d'instance pour Systems Manager.
Autoriser l'accès au trafic vers le point de terminaison AWS Directory Service
Pour accéder au point de terminaison AWS Directory Service depuis une instance Windows, utilisez le plugin aws:domainJoin.
Pour joindre facilement un domaine à un point de terminaison AWS Directory Service à l'aide du plugin aws:domainJoin, vous devez autoriser l'accès au trafic depuis votre instance Windows. Le trafic provenant de votre instance Windows doit être autorisé à accéder aux points de terminaison publics d'AWS Directory Service. Pour plus d'informations, consultez la section ](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html#vpc-requirements-and-limitations)Restrictions et limites des points de terminaison VPC[.
Fournir un accès aux contrôleurs de domaine
Pour joindre facilement le domaine à l'instance Windows, le système d'exploitation Windows doit communiquer avec les contrôleurs de domaine lors de l'exécution d'une jointure de domaine fluide. Utilisez l'application de test DirectoryServicePortTest pour vérifier que la communication est établie avec le contrôleur de domaine à partir d'une instance Windows.
Pour obtenir la liste des numéros de port requis pour joindre un domaine, consultez la section Exigences relatives aux ports pour Active Directory et les services de domaine Active Directory sur le site Web de Microsoft.
Vous pouvez également vérifier si les instances du même sous-réseau peuvent rejoindre manuellement le domaine. Si les instances ne peuvent pas accéder aux contrôleurs de domaine depuis le même sous-réseau, la jointure transparente du domaine échoue.
Évitez les doublons de noms d'objets informatiques
Si l'objet informatique du même nom existe déjà sur le contrôleur de domaine, la jointure du domaine échoue. Pour joindre facilement des domaines sur plusieurs instances Windows à l'aide d'une image Windows personnalisée, utilisez Sysprep avant de créer l'image. Pour obtenir des instructions sur l'utilisation de Sysprep, voir Comment utiliser Sysprep pour créer et installer des AMI Windows personnalisées réutilisables ?
Vérifiez les privilèges du compte de service AD Connector
Pour utiliser le connecteur AD, le compte de service nécessite des privilèges suffisants. Si le compte de service ne dispose pas des privilèges nécessaires pour créer un compte d'ordinateur, la jointure fluide du domaine échoue. Pour vérifier les privilèges du compte de service, rejoignez manuellement une instance Windows à l'aide du compte de service.
Informations connexes
Testez la connexion fluide d'une instance EC2 pour Windows Server à un domaine
Contenus pertinents
- demandé il y a 4 mois
- demandé il y a 2 mois
- demandé il y a 2 mois
- demandé il y a 5 mois
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 4 ans
