Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Perché non riesco a unire la mia istanza Amazon EC2 Windows a una directory Microsoft AD gestito da AWS?

7 minuti di lettura
0

Non riesco a unire la mia istanza Amazon Elastic Compute Cloud (Amazon EC2) Windows al mio Servizio di directory AWS per Microsoft Active Directory.

Risoluzione

Nota: se utilizzi endpoint Amazon Virtual Private Cloud (Amazon VPC) di interfaccia per AWS Systems Manager, le istanze Windows Server possono comunque essere unite a un dominio. Tuttavia, gli endpoint VPC devono consentire l'accesso alle API e ai controller di dominio di Microsoft AD gestito da AWS. Per ulteriori informazioni, consulta Restrizioni e limitazioni degli endpoint VPC.

Verifica il sistema operativo

Verifica se utilizzi un sistema operativo supportato da Systems Manager.

Verifica le policy relative al ruolo IAM

Per verificare che al ruolo AWS Identity and Access Management (AWS IAM) siano associate le policy gestite corrette, completa i seguenti passaggi:

  1. Apri la console IAM.
  2. Nel pannello di navigazione, scegli Ruoli.
  3. Scegli il Nome ruolo del ruolo IAM associato all'istanza EC2.
  4. Scegli la scheda Autorizzazioni.
  5. Per Policy di autorizzazione, verifica di aver collegato le policy AmazonSSMDirectoryServiceAccess e AmazonSSMManagedInstanceCore.
  6. Se non hai collegato le policy di autorizzazione, scegli Aggiungi autorizzazioni.
  7. Scegli Collega policy.
  8. Inserisci i nomi delle policy nella barra di ricerca, quindi scegli la policy mancante.
  9. Scegli Aggiungi autorizzazioni.

Verifica che le porte richieste siano aperte

Il gruppo di sicurezza della directory deve consentire le porte 53, 88 e 389.

Per individuare ed esaminare il gruppo di sicurezza della directory, completa i seguenti passaggi:

  1. Apri la console Amazon EC2.
  2. Nel pannello di navigazione, scegli Gruppi di sicurezza.
  3. In Nome del gruppo di sicurezza, cerca directoryid_controllers. Il valore di directoryid è l'ID della directory. Ad esempio, in d-1234567891_controllers, l'ID della directory è d-1234567891.
  4. Scegli l'ID del gruppo di sicurezza del gruppo di sicurezza del controller di directory.
  5. Scegli le schede Regole in entrata e Regole in uscita per controllare le informazioni sulla porta. Se manca una porta richiesta, aggiungila al gruppo di sicurezza.
  6. Ripeti i passaggi da 2 a 5 per il gruppo di sicurezza collegato all'istanza EC2. Verifica che il gruppo di sicurezza dell'istanza consenta la connessione in uscita al gruppo di sicurezza directoryid_controllers.

Per eseguire un test della connettività del dominio alle porte richieste, puoi utilizzare lo strumento da riga di comando PortQry. Per ulteriori informazioni, consulta Uso dello strumento da riga di comando PortQry sul sito web Microsoft.

Verifica che i server DNS dell'istanza puntino verso i server DNS della directory

Esegui questo comando per visualizzare la configurazione dell'adattatore di rete nell'istanza:

ipconfig /all

Nell'output, controlla gli indirizzi IP elencati per i server DNS.

Quindi completa i seguenti passaggi per individuare i server DNS della directory:

  1. Apri la console Servizio di directory AWS.
  2. Nel pannello di navigazione, scegli Directories (Directory).
  3. Scegli l'ID della directory.
  4. Assicurati che il valore dell'indirizzo DNS corrisponda agli indirizzi IP nell'output per ipconfig. Se non corrispondono, devi unire i server DNS all'istanza.

Per unire i server DNS all'istanza, completa i seguenti passaggi:

  1. Utilizza il protocollo RDP (Remote Desktop Protocol) per connetterti all'istanza.

  2. Esegui questo comando per aprire Network Connections (Connessioni di rete):

    %SystemRoot%\system32\control.exe ncpa.cpl

  3. Apri il menu contestuale (facendo clic con il pulsante destro del mouse) per qualsiasi connessione di rete attiva, quindi scegli Properties (Proprietà).

  4. Nella finestra di dialogo Connection Properties (Proprietà connessione), apri (facendo doppio clic) Internet Protocol Version 4.

  5. Seleziona Use the following DNS server addresses (Utilizza i seguenti indirizzi di server DNS).

  6. Per Preferred DNS server (Server DNS preferito) e Alternate DNS server (Server DNS alternativo), inserisci gli indirizzi IP dei server DNS forniti da Microsoft AD gestito da AWS, quindi scegli OK.

Verifica di poter risolvere il nome di dominio dall'istanza

Per verificare di poter risolvere il nome di dominio dall'istanza, esegui uno di questi comandi in base alla riga di comando.

PowerShell:

Resolve-DnsName domainname

Prompt dei comandi:

nslookup domainname

Nota: sostituisci domainname con il tuo nome di dominio.

Verifica la configurazione del server DNS

Verifica di aver configurato correttamente il server DNS dell'istanza. Esegui questo comando per verificare se l'istanza è in grado di individuare e comunicare con un controller di dominio nel dominio di destinazione:

nltest /dsgetdc:domainname /force

Nota: sostituisci domainname con il nome DNS, non con il nome NetBIOS. Ad esempio, per il dominio esempio.com, il nome DNS è esempio.com e il nome NetBIOS è esempio. Per ulteriori informazioni su questo comando, consulta Nltest sul sito web Microsoft.

Se ricevi un messaggio di errore nell'output, risolvi il problema indicato nell'errore.

Verifica che l'istanza sia un'istanza gestita

Solo le istanze gestite possono essere unite a un Active Directory.

Completa i passaggi seguenti per verificare che l'istanza sia un'istanza gestita in Gestione dei gruppi di nodi, una funzionalità di AWS Systems Manager:

  1. Apri la console Systems Manager.
  2. Nel pannello di navigazione, scegli Fleet Manager.
  3. Scegli la scheda Nodi gestiti.
  4. Verifica che l'istanza sia elencata e sia online. Se riscontri un problema, consulta Perché Systems Manager non mostra la mia istanza Amazon EC2 come istanza gestita?

Verifica che l'istanza abbia un'associazione con Gestione stato

Il documento awsconfig_Domain_directoryid_domainname deve avere un'associazione con Gestione stato, una funzionalità di AWS Systems Manager, per l'istanza.

Per verificare la presenza di problemi nell'associazione con Gestione stato, completa i seguenti passaggi:

  1. Apri la console Systems Manager.
  2. Nel pannello di navigazione, scegli Gestione stato.
  3. Nella barra di ricerca, seleziona Id istanza e Uguale, quindi inserisci l'ID dell'istanza.
  4. Scegli l'ID dell'associazione.
  5. Verificato che lo Stato sia Esito positivo, quindi scegli Cronologia delle esecuzioni per verificare lo stato di altre esecuzioni dell'associazione.
    Se lo Stato è Non riuscita, scegli Id esecuzione, quindi seleziona Output per esaminare i dettagli dell'output e individuare la causa del problema.
    Se lo Stato è In sospeso, controlla nei log dell'istanza EC2 se sono presenti messaggi di errore che ti possono aiutare a individuare la causa del problema. Per istruzioni, vai a Analizza i log per trovare messaggi di errore.

Verifica se puoi unire manualmente l'istanza al dominio

Assicurati di aver configurato l'account AWS in modo da avere le autorizzazioni necessarie per aggiungere oggetti computer al dominio.

Nota: per creare nuove istanze Windows, utilizza lo strumento Microsoft Sysprep per creare un'Amazon Machine Image (AMI) standardizzata.

Analizza i log per individuare messaggi di errore

Se ancora non riesci ad aggiungere l'istanza a un dominio, controlla nei seguenti log dell'istanza se sono presenti messaggi di errore.

Log dell'Agente SSM

Controlla i log dell'Agente AWS Systems Manager (Agente SSM).

File Netsetup.log

Per aprire un file di log, esegui questo comando in un prompt dei comandi:

%windir%\debug\netsetup.log

Per risolvere gli errori NetSetup.log, consulta Risolvere gli errori di rete che si verificano quando si aggiungono computer basati su Windows a un dominio.

Se i gruppi di sicurezza o il firewall bloccano il traffico UDP, il flusso di lavoro di unione al dominio non crea output nel file NetSetup.log. Per eseguire un test della connettività DNS al server DNS, esegui questo comando PowerShell:

Test-DnsServer -IPAddress YourIPAddress

Nota: sostituisci YourIPAddress con l'indirizzo IP del tuo server DNS.

Log di Visualizzatore eventi

Per controllare i log di Visualizzatore eventi, completa i seguenti passaggi:

  1. Scegli il menu Start, quindi accedi a Visualizzatore eventi.
  2. Scegli Visualizzatore eventi.
  3. Nel pannello di navigazione, espandi Log di Windows, quindi scegli Sistema.
  4. Controlla la colonna Data e ora per identificare gli eventi che si sono verificati durante l'operazione di unione al dominio.

Per risolvere ulteriormente i problemi, consulta Linee guida per la risoluzione dei problemi di unione a un dominio di Active Directory sul sito web Microsoft.

Informazioni correlate

Modi per aggiungere un'istanza Amazon EC2 al tuo Microsoft AD gestito da AWS

Unire un'istanza Windows di Amazon EC2 a un Active Directory Microsoft AD gestito da AWS

Argomenti
Compute
Tag
Amazon EC2Windows
Lingua
Italiano
AWS UFFICIALEAggiornata 5 mesi fa

Contenuto pertinente