Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Perché non riesco a unire in modo continuo un'istanza Amazon EC2 Windows a un'AWS Managed Microsoft AD in Systems Manager?

4 minuti di lettura

Desidero unire in modo continuo un'istanza Amazon Elastic Compute Cloud (Amazon EC2) Windows a un'AWS Managed Microsoft Active Directory (AWS Managed AD) in AWS Systems Manager.

Breve descrizione

L'unione continua tra un'istanza Amazon EC2 Windows e un'AWS Managed Microsoft AD potrebbe non essere avvenire correttamente per i seguenti problemi:

L'istanza Windows non soddisfa i requisiti minimi di Systems Manager. Per ulteriori informazioni, consulta Requisiti minimi in Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti tramite ssm-cli.
Il profilo dell'istanza AWS Identity and Access Management (AWS IAM) non dispone delle policy necessarie. Per ulteriori informazioni, consulta Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager.
Il traffico dell'istanza Windows non può accedere all'endpoint del Servizio di directory AWS.
L'istanza Windows non può accedere al controller di dominio. Oppure il gruppo di sicurezza o la lista di controllo degli accessi alla rete (ACL) non consente il traffico attraverso le porte richieste.
Nel controller di dominio è già presente un nome di oggetto computer duplicato.
Non hai soddisfatto i prerequisiti affinché l'account di servizio AWS possa utilizzare AD Connector.

Risoluzione

Verifica che l'istanza soddisfi i requisiti minimi

Se l'istanza soddisfa i requisiti minimi di Systems Manager, lo stato del ping dell'Agente AWS Systems Manager (Agente SSM) di Managed Node è Online.

Per visualizzare lo stato del ping dell'Agente SSM, apri la console AWS Systems Manager e scegli Fleet Manager (Gestione dei gruppi di nodi) nel pannello di navigazione. Se l'istanza gestita non appare in Fleet Manager (Gestione dei gruppi di nodi), verifica che l'istanza Amazon EC2 soddisfi i requisiti dell'istanza gestita.

Verifica le policy del profilo dell'istanza IAM

Assicurati di aver collegato la policy IAM AmazonSSMDirectoryServiceAccess al profilo dell'istanza.

Per visualizzare le policy del ruolo IAM, completa i seguenti passaggi:

Apri la console Amazon EC2.
Nel pannello di navigazione, seleziona Istanze.
Nella scheda Dettagli, scegli Ruolo IAM.

Se non hai collegato la policy IAM AmazonSSMDirectoryServiceAccess, configura le autorizzazioni dell'istanza. Per istruzioni, consulta la sezione Creare un profilo dell'istanza per le istanze gestite di Systems Manager (console) in Configurazione alternativa per le autorizzazioni delle istanze Amazon EC2.

Accedi all'endpoint del Servizio di directory AWS

Verifica che il traffico passi dall'istanza Windows attraverso gli endpoint del Servizio di directory AWS. Per ulteriori informazioni, consulta Restrizioni e limitazioni degli endpoint Amazon Virtual Private Cloud (VPC). Quindi utilizza il plug-in aws:domainJoin per accedere all'endpoint del Servizio di directory AWS.

Fornisci l'accesso ai controller di dominio

Utilizza l'applicazione DirectoryServicePortTest per verificare che il sistema operativo Windows sia in grado di comunicare con i controller di dominio dall'istanza Windows. Per istruzioni, consulta Test di un AD Connector. Per un elenco delle porte necessarie, consulta Active Directory and Active Directory Domain Services Port Requirements (Requisiti delle per Active Directory e Active Directory Domain Services) sul sito web di Microsoft.

Puoi anche verificare che le istanze nella stessa sottorete possano unirsi manualmente al dominio. Se le istanze non riescono ad accedere ai controller di dominio dalla stessa sottorete, l'unione continua al dominio non riesce.

Evita nomi duplicati di oggetti computer

Se devi unire in modo continuo più istanze Windows, utilizza Sysprep prima di creare l'immagine Windows.

Verifica i privilegi dell'account di servizio

Utilizza l'account di servizio utilizzato da AD Connector per unire manualmente l'istanza Windows.

Se non riesci a unire l'istanza Windows, delega le autorizzazioni corrette per la connessione alla tua directory. Per istruzioni, consulta Delegare privilegi all'account di servizio.

Nota: il nome dell'account di servizio utilizzato da AD Connector deve contenere meno di 15 caratteri.

Verifica le modifiche

Dopo aver apportato le modifiche precedenti, verifica di poter unire in modo continuo l'istanza Amazon EC2 Windows.

Informazioni correlate

Prova a unire in modo continuo un'istanza Amazon EC2 per Windows Server a un dominio

Argomenti

Gestione e amministrazione

Tag

AWS Systems Manager

Lingua

Italiano

AWS UFFICIALEAggiornata 2 mesi fa

Contenuto pertinente

Perché non posso unire la mia istanza EC2 Windows a una directory Microsoft AD gestita da AWS?
AWS UFFICIALEAggiornata 2 anni fa
Come posso gestire una directory AWS Managed Microsoft AD o Simple AD da un'istanza Amazon EC2 per Windows?
AWS UFFICIALEAggiornata 3 anni fa
Perché Systems Manager non mostra la mia istanza Amazon EC2 come istanza gestita?
AWS UFFICIALEAggiornata 6 mesi fa
Come posso risolvere i problemi di patch relativi all'istanza Amazon EC2 per Windows quando utilizzo il documento AWS-RunPatchBaseline di Patch Manager?
AWS UFFICIALEAggiornata 2 anni fa