Por que não consigo unir de forma contínua minha instância Windows do Amazon EC2 a um diretório do AWS Managed Microsoft AD?

Resolução

Observação: se você usar endpoints de interface da Amazon Virtual Private Cloud (Amazon VPC) no AWS Systems Manager, as instâncias do Windows Server ainda poderão se unir a um domínio. No entanto, os endpoints da VPC devem permitir o acesso às APIs e controladores de domínio do AWS Managed Microsoft AD. Para obter mais informações, consulte Restrições e limitações do endpoint da VPC.

Verifique seu SO

Confirme se você usa um sistema operacional (OS) compatível com o Systems Manager.

Verifique suas políticas de perfil do IAM

Para verificar se o seu perfil do AWS Identity and Access Management (AWS IAM) tem as políticas gerenciadas corretas anexadas, conclua as seguintes etapas:

1. Abra o console do IAM.
2. No painel de navegação, clique em Perfis.
3. Selecione o Nome do perfil do perfil do IAM associado à sua instância do EC2.
4. Clique na guia Permissões.
5. Em Políticas de permissões, confirme se as políticas AmazonSSMDirectoryServiceAccess e AmazonSSMManagedInstanceCore estão anexadas.
6. Se você não anexou as políticas de permissões, clique em Adicionar permissões.
7. Selecione Anexar políticas.
8. Insira os nomes das políticas na barra de pesquisa e selecione a política ausente.
9. Clique em Adicionar permissões.

Verifique se as portas necessárias estão abertas

O grupo de segurança do diretório deve permitir as portas 53, 88 e 389.

Para localizar e analisar o grupo de segurança do seu diretório, conclua as seguintes etapas:

1. Abra o console do Amazon EC2.
2. No painel de navegação, selecione Grupos de segurança.
3. Em Nome do grupo de segurança, pesquise por directoryid_controllers. O valor de directoryid é o ID do seu diretório. Por exemplo, em d-1234567891_controllers, o ID do diretório é d-1234567891.
4. Selecione o ID do grupo de segurança do grupo de segurança do controlador de diretório.
5. Clique nas guias Regras de entrada e Regras de saída para analisar as informações da porta. Se uma porta necessária estiver ausente, adicione-a ao grupo de segurança.
6. Repita as etapas 2 a 5 no grupo de segurança anexado à instância do EC2. Confirme se o grupo de segurança da instância permite conexão de saída com o grupo de segurança directoryid_controllers.

É possível usar a ferramenta de linha de comandos PortQry para testar a conectividade do domínio às portas necessárias. Para obter mais informações, consulte Using the PortQry command-line tool (Usando a ferramenta de linha de comando PortQry) no site da Microsoft.

Verifique se os servidores DNS na sua instância estão apontando para os servidores DNS do diretório

Execute o comando a seguir para exibir a configuração do adaptador de rede na instância:

ipconfig /all

Na saída, verifique os endereços IP listados nos Servidores DNS.

Em seguida, para localizar os servidores DNS do diretório, conclua as seguintes etapas:

1. Abra o console do AWS Directory Service.
2. No painel de navegação, clique em Diretórios.
3. Selecione o ID do diretório diretório do seu diretório.
4. Certifique-se de que o valor do Endereço DNS corresponda aos endereços IP na saída de ipconfig. Se eles não corresponderem, você deve unir os servidores DNS à sua instância.

Para unir os servidores DNS à sua instância, conclua as seguintes etapas:

1. Use o Remote Desktop Protocol (RDP) para se conectar à sua instância.

2. Execute o comando a seguir para abrir as Conexões de rede:

   %SystemRoot%\system32\control.exe ncpa.cpl

3. Abra o menu de contexto (clique com o botão direito do mouse) em qualquer conexão de rede ativa e clique em Propriedades.

4. Na caixa de diálogo Propriedades da conexão, abra (clique duas vezes) Internet Protocol Version 4.

5. Selecione Usar os seguintes endereços de servidor DNS.

6. Em Servidor DNS preferencial e Servidor DNS alternativo, insira os endereços IP dos servidores DNS fornecidos pelo AWS Managed Microsoft AD e clique em OK.

Confirme se é possível resolver o nome de domínio a partir da instância

Para confirmar se é possível resolver o nome de domínio a partir da sua instância, execute um dos seguintes comandos com base na sua linha de comandos.

PowerShell:

Resolve-DnsName domainname

Prompt de comando:

nslookup domainname

Observação: substitua domainname pelo seu nome de domínio.

Verifique a configuração do servidor DNS

Verifique se você configurou corretamente o servidor DNS da instância. Execute o comando a seguir para verificar se a instância pode localizar e se comunicar com um controlador de domínio no domínio de destino:

nltest /dsgetdc:domainname /force

Observação: substitua domainname pelo nome DNS, e não pelo nome NetBIOS. Por exemplo, no domínio exemplo.com, o nome DNS é exemplo.com e o nome NetBIOS é exemplo. Para obter mais informações sobre esse comando, consulte Nltest no site da Microsoft.

Se você receber uma mensagem de erro na saída, solucione o problema listado no erro.

Verifique se a instância é uma instância gerenciada

Somente instâncias gerenciadas podem se unir a um Active Directory.

Conclua as etapas a seguir para verificar se sua instância é uma instância gerenciada no Gerenciador de frota, um recurso do AWS Systems Manager:

1. Abra o console do Systems Manager.
2. No painel de navegação, selecione Gerenciador de frota.
3. Clique na guia Nós gerenciados.
4. Confirme se a instância está listada e on-line. Se não for possível encontrar a instância, consulte Por que o Systems Manager não está mostrando minha instância do Amazon EC2 como uma instância gerenciada?

Confirme se a instância tem uma associação de Gerenciador de Estados

O documento awsconfig_Domain_directoryid_domainname deve ter uma associação com o Gerenciador de Estados, um recurso do AWS Systems Manager, para a instância.

Para verificar se há problemas na associação do Gerenciador de Estados, conclua as seguintes etapas:

1. Abra o console do Systems Manager.
2. No painel de navegação, clique em Gerenciador de Estados.
3. Na barra de pesquisa, selecione ID da instância e Igual e, em seguida, insira o ID da instância.
4. Selecione o ID da associação.
5. Confirme se o Status está como Sucesso e, em seguida, clique em Histórico de execução para verificar o status de outras execuções de associação.
   Se o Status for Falhou, clique em ID de execução e Saída para analisar os detalhes da saída e identificar a causa do problema.
   Se o Status for Pendente, verifique os logs na instância do EC2 em busca de mensagens de erro que ajudem a identificar a causa do problema. Para obter instruções, acesse Analise logs para encontrar mensagens de erro.

Verifique se é possível unir a instância ao domínio manualmente

Certifique-se de que você tenha configurado sua conta da AWS para ter as permissões necessárias para adicionar objetos de computador ao domínio.

Observação: para criar novas instâncias Windows, use a ferramenta Sysprep da Microsoft para criar uma Imagem de máquina da Amazon (AMI) padronizada.

Analise logs para encontrar mensagens de erro

Se você ainda não conseguir se unir a um domínio, verifique os seguintes logs da instância para ver se há mensagens de erro.

Logs do SSM Agent

Verifique os logs do AWS Systems Manager Agent (SSM Agent).

Arquivo Netsetup.log

Para abrir um arquivo de log, execute o seguinte comando em um prompt de comando:

%windir%\debug\netsetup.log

Para solucionar erros do NetSetup.log, consulte Troubleshoot networking errors that occur when you join Windows-based computers to a domain (Solucionar erros de rede que ocorrem quando você une computadores baseados em Windows a um domínio) no site da Microsoft.

Se seus grupos de segurança ou firewall bloquearem o tráfego UDP, o fluxo de trabalho de união do domínio não criará saídas no arquivo NetSetup.log. Para testar a conectividade do DNS com o servidor DNS, execute o seguinte comando do PowerShell:

Test-DnsServer -IPAddress YourIPAddress

Observação: substitua YourIPAddress pelo endereço IP do seu servidor DNS.

Logs do Visualizador de evento

Para verificar os logs do Visualizador de evento, conclua as seguintes etapas:

1. Clique no menu Iniciar e, em seguida, insira Visualizador de evento.
2. Selecione Visualizador de evento.
3. No painel de navegação, expanda Logs do Windows e selecione Sistema.
4. Examine a coluna Data e hora para identificar os eventos que ocorreram durante a operação de união do domínio.

Para solucionar outros problemas, consulte Active Directory domain join troubleshooting guidance (Diretrizes de solução de problemas de união de domínio do Active Directory) no site da Microsoft.

Informações relacionadas

Ways to join an Amazon EC2 instance to your AWS Managed Microsoft AD (Maneiras de unir uma instância do Amazon EC2 ao seu AWS Managed Microsoft AD)

Joining an Amazon EC2 Windows instance to your AWS Managed Microsoft AD Active Directory (Unindo uma instância Windows do Amazon EC2 ao seu AWS Managed Microsoft AD Active Directory)