Perché non posso unire la mia istanza EC2 Windows a una directory Microsoft AD gestita da AWS?

Risoluzione

Per risolvere il motivo per cui non puoi unire senza problemi la tua istanza EC2 Windows a una directory Microsoft AD gestita da AWS, completa i seguenti passaggi.

Nota: gli endpoint dell'interfaccia Amazon Virtual Private Cloud (Amazon VPC) per AWS Systems Manager impongono limitazioni alle richieste di unire le istanze di Windows Server ai domini. Per ulteriori informazioni, consulta Restrizioni e limitazioni degli endpoint VPC.

Verifica il sistema operativo e il tipo di macchina

Verifica che AWS Systems Manager supporti il tuo sistema operativo (OS) e il tipo di macchina.

Verifica le policy relative ai ruoli IAM

Per verificare che al tuo ruolo AWS Identity and Access Management (IAM) siano associate le policy gestite corrette, completa i seguenti passaggi:

1. Apri la console IAM.
2. Dal pannello di navigazione, scegliRuoli.
3. Scegli il Nome del ruolo per il ruolo IAM associato alla tua istanza per aprire la pagina di riepilogo.
4. Nella scheda Autorizzazioni, per le Policy sulle autorizzazioni, verifica che le policy AmazonSSMDirectoryServiceAccess e AmazonSSMManagedInstanceCore siano collegate.
5. Se mancano le policy di autorizzazione, scegli Aggiungi autorizzazioni, Collega policy. Cerca i nomi delle policy, scegli le policy corrette dai risultati della ricerca, quindi scegli Aggiungi autorizzazioni.

Verifica che le porte richieste siano aperte

Verifica che le porte 53, 88 e 389 siano aperte nel gruppo di sicurezza della directory. Per individuare ed esaminare il gruppo di sicurezza per la tua directory, completa i seguenti passaggi:

1. Apri la console Amazon EC2.
2. Nel riquadro di navigazione, scegli Gruppi di sicurezza.
3. Ordina l'elenco dei Gruppi di sicurezza in base al nome del gruppo di sicurezza per trovare directoryid_controllers, dove directoryid è l'ID della tua directory. Ad esempio, d-1234567891_controllers.
4. Scegli l'ID del gruppo di sicurezza del gruppo di sicurezza del controller di directory.
5. Apri le schede Regole in entrata e Regole in uscita per esaminare le informazioni sulla porta.

Nota: usa lo strumento a riga di comando PortQry di Microsoft per verificare la connettività del dominio alle porte richieste.

Verifica che i server DNS della tua istanza puntino ai server DNS della directory

Per visualizzare la configurazione dell'adattatore di rete sull'istanza, esegui il seguente comando dell'Interfaccia della linea di comando AWS (AWS CLI):

Nota: se visualizzi errori durante l'esecuzione dei comandi dell'Interfaccia della linea di comando AWS, assicurati di utilizzare la versione più recente di AWS CLI.

ipconfig /all

Per individuare i server DNS della directory, completa i seguenti passaggi:

1. Apri la console Directory Service.
2. Nel riquadro di navigazione, scegli Directory.
3. Scegli l'ID della directory per aprire la pagina dei dettagli della directory.
4. Vedi l'indirizzo DNS.

Conferma di poter risolvere il nome di dominio dall'istanza

Per confermare che puoi risolvere il nome di dominio dalla tua istanza, esegui uno dei seguenti comandi:

Nota: nei tuoi comandi, sostituisci domainname con il tuo nome di dominio.

Utilizzando PowerShell

Resolve-DnsName domainname

Utilizzando un prompt dei comandi:

nslookup domainname

Verifica la configurazione del server DNS

Per verificare di aver configurato correttamente il server DNS dell'istanza e che l'istanza possa raggiungere il server DNS, esegui il seguente comando di Windows Nltest:

Nota: nel comando, sostituisci domainname con il nome DNS, non con il nome NetBIOS. Ad esempio, se il tuo dominio è example.com, il nome DNS è example.com e il nome NetBIOS è example.

nltest /dsgetdc:domainname /force

Verifica che l'istanza sia un'istanza gestita

Per verificare che la tua istanza sia un'istanza gestita, completa i seguenti passaggi:

1. Apri la console di Systems Manager.
2. Nel pannello di navigazione, scegli Fleet Manager.
3. Nella pagina Fleet Manager, scegli la scheda Nodi gestiti.
4. Verifica che l'istanza sia elencata e sia online.

Verifica che l'istanza abbia un'associazione State Manager

Per confermare che il documento awsconfig_Domain_directoryid_domainname abbia un'associazione State Manager creata per l'istanza, completa i seguenti passaggi:

Nota: nel nome del documento, directoryid è l'ID della directory e domainname è il nome di dominio.

1. Apri la console di Systems Manager.
2. Nel pannello di navigazione, scegli State Manager.
3. Nella barra di ricerca, scegli Id istanza e Uguale, quindi inserisci l'ID dell'istanza.
4. Seleziona l'ID dell'associazione.
5. Conferma che lo stato è Positivo, quindi scegli Cronologia delle esecuzioni per verificare le esecuzioni delle associazioni.
6. Se lo stato è Non riuscito, scegli Id esecuzione, Output per esaminare i dettagli dell'output e identificare la causa del problema.
7. Se lo stato è In sospeso, verifica di aver seguito tutti i passaggi precedenti per la risoluzione dei problemi. Quindi, esamina i log dell'istanza EC2 alla ricerca di eventuali messaggi di errore per identificare la causa del problema. Per istruzioni, consulta la sezione Rivedi i log per trovare i messaggi di errore.

Conferma di poter aggiungere manualmente l'istanza al dominio

Verifica che il tuo account disponga dell'autorizzazione necessaria per aggiungere oggetti informatici al dominio. Per ulteriori informazioni, consulta Delegate directory join privileges for AWS Managed Microsoft AD.

Nota: per creare nuove istanze EC2 Windows, usa lo strumento Microsoft Sysprep per creare un'Amazon Machine Image (AMI) standardizzata.

Conferma l'avvenuta unione al dominio senza problemi

Per verificare che la procedura di risoluzione dei problemi abbia risolto il problema, prova a ricongiungerti a un dominio:

1. Apri la console di Systems Manager.
2. Nel pannello di navigazione, scegli State Manager.
3. Seleziona l'associazione che hai creato per aderire al dominio, quindi scegli Applica associazione ora.
4. Verifica che lo Stato sia Positivo.

Esamina i log per trovare i messaggi di errore

Se non riesci ancora a far parte di un dominio, esamina i seguenti log sull'istanza per trovare i messaggi di errore.

Utilizzando i log di SSM Agent:

Per visualizzare i log dell'Agente AWS Systems Manager (Agente SSM), vai a %PROGRAMDATA%\Amazon\SSM\Logs\.

Utilizzando il file Netsetup.log:

Per aprire un file di log, esegui il comando seguente in un prompt dei comandi:

%windir%\debug\netsetup.log

Codici e comportamenti di errore previsti per ogni porta nell'output di NetSetup.log

TCP 88 - Autenticazione Kerberos:

NetUseAdd to \\serverDC1.example.com\IPC$ returned 64
NetpJoinDomainOnDs: status of connecting to dc '\\serverDC1.example.com':0x40
NetpJoinDomainOnDs: Function exits with status of: 0x40
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x40

TCP 389 — LDAP:

NetpLdapBind: ldap_bind failed on serverDC1.example.com: 81: Server Down
NetpJoinCreatePackagePart: status:0x3a.
NetpJoinDomainOnDs: Function exits with status of: 0x3a
NetpJoinDomainOnDs: status of disconnecting from '\\serverDC1.example.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x3a

UDP 389 — LDAP:

NetpCheckDomainNameIsValid [ Exists ] for 'example.com' returned 0x54b
NetpJoinDomainOnDs: Domain name is invalid,
NetpValidateName returned: 0x54b
NetpJoinDomainOnDs: Function exits with status of: 0x54b
NetpJoinDomainOnDs: NetpResetIDNEncoding on '(null)': 0x0
NetpDoDomainJoin: status: 0x54b

UDP 53 — DNS:

Quando il traffico DNS UDP non è consentito, il flusso di lavoro di aggiunta al dominio non crea alcun output nel file NetSetup.log. Per testare il server DNS, esegui il seguente comando PowerShell:

Nota: nel tuo comando, sostituisci YourIPAddress con l'indirizzo IP del tuo server DNS.

Test-DnsServer -IPAddress YourIPAddress

Per informazioni sui codici di errore NetSetup.log, consulta Come risolvere i problemi relativi agli errori che si verificano quando si aggiungono a un dominio dei computer basati su Windows sul sito web di Microsoft.

Utilizzando i log di Event Viewer:

1. Sulla barra delle applicazioni di Windows, scegli Cerca, inserisci “visualizzatore eventi”, quindi seleziona Visualizzatore eventi per aprire lo strumento.
2. Nel riquadro di navigazione, espandi Log di Windows, quindi scegli Sistema.
3. Esamina la colonna Data e ora per identificare gli eventi che si sono verificati durante l'operazione di aggiunta al dominio.

Informazioni correlate

Join an EC2 instance to your AWS Managed Microsoft AD directory