Por que não consigo conectar minha instância do EC2 do Windows a um diretório do AWS Managed Microsoft AD?

Solução

Para solucionar o motivo pelo qual você não pode se conectar perfeitamente sua instância do EC2 Windows a um diretório AWS Managed Microsoft AD, conclua as etapas a seguir.

Observação: os endpoints de interface do Amazon Virtual Private Cloud (Amazon VPC) para o AWS Systems Manager limitam as solicitações para conectar instâncias do Windows Server a domínios. Para mais informações, consulte VPC endpoint restrictions and limitations (Restrições e limitações de endpoints de VPC).

Verifique seu sistema operacional e tipo de máquina

Confirme se o AWS Systems Manager é compatível com seu sistema operacional (SO) e o tipo da máquina.

Verificar suas políticas de perfil do IAM

Para verificar se o seu perfil do AWS Identity and Access Management (IAM) tem as políticas gerenciadas corretas, conclua as seguintes etapas:

1. Abra o console do IAM.
2. No painel de navegação, escolha Perfis.
3. Escolha o Nome do perfil do IAM associado à sua instância para abrir a página Resumo.
4. Na guia Permissões, em Políticas de permissões, confirme se as políticas AmazonSSMDirectoryServiceAccess e AmazonSSMManagedInstanceCore estão anexadas.
5. Se as políticas de permissões estiverem ausentes, escolha Adicionar permissões, Anexar políticas. Pesquise os nomes das políticas, escolha as políticas corretas nos resultados da pesquisa e escolha Adicionar permissões.

Verificar se as portas necessárias estão abertas

Verifique se as portas 53, 88 e 389 estão abertas no grupo de segurança do diretório. Para localizar e revisar o grupo de segurança do seu diretório, conclua as seguintes etapas:

1. Abra o console do Amazon EC2.
2. No painel de navegação, selecione Grupos de segurança.
3. Classifique a lista Grupos de segurança por Nome do grupo de segurança para encontrar directoryid_controllers, em que directoryid é o ID do seu diretório. Por exemplo, d-1234567891_controllers.
4. Escolha a ID do grupo de segurança do controlador de diretório.
5. Abra as guias Regras de entrada e Regras de saída para revisar as informações da porta.

Observação: use a ferramenta de linha de comando PortQry da Microsoft para testar a conectividade do domínio com as portas necessárias.

Verifique se os servidores DNS na sua instância estão apontando para os servidores DNS do diretório

Para exibir a configuração do adaptador de rede na instância, execute o seguinte comando da AWS Command Line Interface (AWS CLI):

Observação: se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente dela.

ipconfig /all

Para localizar os servidores DNS do diretório, conclua as seguintes etapas:

1. Abra o console do Directory Service.
2. No painel de navegação, selecione Diretórios.
3. Escolha o ID do diretório para abrir a página Detalhes do diretório.
4. Confira o endereço DNS.

Confirmar se você pode resolver o nome de domínio a partir da instância

Para confirmar se você pode resolver o nome de domínio da sua instância, execute um dos seguintes comandos:

Observação: nos seus comandos, substitua domainname pelo seu nome de domínio.

Usando o PowerShell:

Resolve-DnsName domainname

Usando um prompt de comando:

nslookup domainname

Verificar a configuração do servidor DNS

Para verificar se você configurou corretamente o servidor DNS da instância e se a instância pode acessar o servidor DNS, execute o seguinte comando da Janela Nltest:

Observação: no comando, substitua domainname pelo nome DNS, e não pelo nome NetBIOS. Por exemplo, se o domínio é example.com, o nome DNS é example.com, e o nome NetBIOS é example.

nltest /dsgetdc:domainname /force

Verificar se a instância é uma instância gerenciada

Para verificar se sua instância é gerenciada, conclua as seguintes etapas:

1. Abra o console do Systems Manager.
2. No painel de navegação, escolha Fleet Manager.
3. Na página Fleet Manager, escolha a guia Nós gerenciados.
4. Confirme se a instância está listada e online.

Confirme se a instância tem uma associação de gerente estadual

Para confirmar se o documento awsconfig_Domain_directoryid_domainname tem uma associação de State Manager criada para a instância, conclua as seguintes etapas:

Observação: no nome do documento, directoryid é seu ID de diretório e ** domainname** é seu nome do domínio.

1. Abra o console do Systems Manager.
2. No painel de navegação, escolha Gerenciador de estados.
3. Na barra de pesquisa, selecione ID da instância e Igual e, em seguida, insira o ID da instância.
4. Selecione o ID da associação.
5. Confirme se o **Status ** é Êxito e, em seguida, escolha Histórico de execução para verificar as execuções da associação.
6. Se o Status for Falhou, escolha ID de execução e Saída para revisar os detalhes da saída e identificar a causa do problema.
7. Se o Status for Pendente, verifique se você seguiu todas as etapas de solução de problemas anteriores. Em seguida, revise os registros na instância do EC2 em busca de mensagens de erro para identificar a causa do problema. Para obter instruções, consulte a seção Revisar logs para encontrar mensagens de erro.

Confirmar se você pode se conectar manualmente a instância ao domínio

Verifique se a sua conta tem a permissão necessária para adicionar objetos de computador ao domínio. Para mais informações, consulte Delegate directory join privileges for AWS Managed Microsoft AD (Delegar privilégios de ingresso para o AWS Managed Microsoft AD).

Observação: para criar novas instâncias Windows do EC2, use a ferramenta Sysprep da Microsoft para criar uma Imagem de máquina da Amazon (AMI) padronizada.

Confirmar uma conexão bem-sucedida no domínio

Para verificar se as etapas de solução de problemas resolveram seu problema, tente se reconectar a um domínio:

1. Abra o console do Systems Manager.
2. No painel de navegação, escolha Gerenciador de estados.
3. Selecione a associação que você criou para ingressar no domínio e escolha Aplicar associação agora.
4. Verifique se o Status é Sucesso.

Revisar os logs para encontrar mensagens de erro

Se você ainda não conseguir ingressar em um domínio, analise os seguintes logs na instância para encontrar mensagens de erro.

Usando logs do SSM Agent:

Para ver os logs do AWS Systems Manager Agent (SSM Agent), acesse %PROGRAMDATA%\Amazon\SSM\Logs\.

Usando o arquivo Netsetup.log:

Para abrir um arquivo de log, execute o seguinte comando em um prompt de comando:

%windir%\debug\netsetup.log

**Códigos de erro e comportamentos esperados para cada porta na saída do NetSetup.log **

TCP 88 - Autenticação Kerberos:

NetUseAdd to \\serverDC1.example.com\IPC$ returned 64
NetpJoinDomainOnDs: status of connecting to dc '\\serverDC1.example.com':0x40
NetpJoinDomainOnDs: Function exits with status of: 0x40
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x40

TCP 389 - LDAP:

NetpLdapBind: ldap_bind failed on serverDC1.example.com: 81: Server Down
NetpJoinCreatePackagePart: status:0x3a.
NetpJoinDomainOnDs: Function exits with status of: 0x3a
NetpJoinDomainOnDs: status of disconnecting from '\\serverDC1.example.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x3a

UDP 389 - LDAP:

NetpCheckDomainNameIsValid [ Exists ] for 'example.com' returned 0x54b
NetpJoinDomainOnDs: Domain name is invalid,
NetpValidateName returned: 0x54b
NetpJoinDomainOnDs: Function exits with status of: 0x54b
NetpJoinDomainOnDs: NetpResetIDNEncoding on '(null)': 0x0
NetpDoDomainJoin: status: 0x54b

UDP 53 - DNS:

Quando o tráfego DNS UDP não é permitido, o fluxo de trabalho de ingresso no domínio não cria saídas no arquivo NetSetup.log. Para testar o servidor DNS, execute o seguinte comando do PowerShell:

Observação: no seu comando, substitua YourIPAddress pelo endereço IP do seu servidor DNS.

Test-DnsServer -IPAddress YourIPAddress

Para informações sobre os códigos de erro de netsetup.log, consulte How to troubleshoot errors that occur when you join Windows-based computers to a domain (Como solucionar erros que ocorrem quando você ingressa computadores baseados no Windows em um domínio), no site da Microsoft.

Usando logs do Visualizador de Eventos:

1. Na barra de tarefas do Windows, selecione Pesquisar, insira Visualizador de eventos e selecione Visualizador de eventos para abrir a ferramenta.
2. No painel de navegação, expanda Logs do Windows e escolha System (Sistema).
3. Examine a coluna Data e hora para identificar os eventos que ocorreram durante a operação de conexão de domínios.

Informações relacionadas

Conectar uma instância do EC2 ao seu diretório do Microsoft AD gerenciado pela AWS