Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Por que não consigo unir uma instância do Amazon EC2 Windows ao AWS Managed Microsoft AD no Systems Manager de forma automática?

4 minuto de leitura

Quero unir perfeitamente uma instância Windows do Amazon Elastic Compute Cloud (Amazon EC2) a um AWS Managed Microsoft Active Directory (AWS Managed AD) no AWS Systems Manager.

Breve descrição

Os problemas a seguir podem fazer com que uma instância Windows do Amazon EC2 e o AWS Managed Microsoft AD não se unam perfeitamente:

Sua instância do Windows não atende aos requisitos mínimos do Systems Manager. Para mais informações, consulte Requisitos mínimos em Solução de problemas de disponibilidade de nós gerenciados usando ssm-cli.
Seu perfil de instância do AWS Identity and Access Management (AWS IAM) não tem as políticas necessárias. Para mais informações, consulte Configurar as permissões de instância necessárias para o Systems Manager.
O tráfego da sua instância do Windows não pode acessar seu endpoint do AWS Directory Service.
Sua instância do Windows não pode acessar seu controlador de domínio. Ou seu grupo de segurança ou lista de controle de acesso à rede (ACL de rede) não permite o tráfego pelas portas necessárias.
Já existe um nome de objeto de computador duplicado no seu controlador de domínio.
Você não completou os pré-requisitos para a sua conta de serviço AWS usar o AD Connector.

Resolução

Verifique se sua instância atende aos requisitos mínimos

Se a sua instância atender aos requisitos mínimos para o Systems Manager, o status de ping do Agente do AWS Systems Manager (SSM Agent) do Nó Gerenciado será Online.

Para ver o status de ping do seu Agente SSM, abra o console do AWS Systems Manager e, em seguida, no painel de navegação, escolha Gerenciador de Frota. Se a instância gerenciada não aparecer no Gerenciador de Frota, verifique se a sua instância do Amazon EC2 atende aos requisitos da instância gerenciada.

Verifique as políticas de perfil de instância do IAM

Certifique-se de anexar a política do IAM do AmazonSSMDirectoryServiceAccess ao seu perfil de instância.

Para visualizar as políticas do seu perfil do IAM, complete os seguintes passos:

Abra o console do Amazon EC2.
No painel de navegação, selecione Instâncias.
Na guia Detalhes, escolha o perfil do IAM.

Se você não anexou a política do IAM AmazonSSMDirectoryServiceAccess, então configure as permissões da sua instância. Para obter instruções, consulte a seção Para criar um perfil de instância para instâncias gerenciadas pelo Systems Manager (console) em Configuração alternativa para permissões de instância do Amazon EC2.

Acesse seu endpoint do AWS Directory Service

Verifique se o tráfego flui da sua instância do Windows através dos endpoints do AWS Directory Service. Para mais informações, consulte Restrições e limitações de endpoints da Nuvem Privada Virtual (VPC) da Amazon. Em seguida, use o plugin aws:domainJoin para acessar o endpoint do AWS Directory Service.

Forneça acesso aos controladores de domínio

Use a aplicação DirectoryServicePortTest para verificar se o sistema operacional (SO) Windows consegue se comunicar com os seus controladores de domínio a partir da sua instância Windows. Para instruções, consulte Teste seu AD Connector. Para uma lista das portas necessárias, consulte Requisitos de Portas do Active Directory e dos Serviços de Domínio do Active Directory no site da Microsoft.

Também é possível verificar se instâncias na mesma sub-rede podem ingressar manualmente no domínio. Se suas instâncias não conseguirem acessar seus controladores de domínio na mesma sub-rede, a união automática ao domínio falhará.

Evite nomes duplicados de objetos de computador

Se você precisar unir automaticamente várias instâncias do Windows, use o Sysprep antes de criar sua imagem do Windows.

Revise os privilégios da sua conta de serviço

Use a conta de serviço que seu AD Connector usa para ingressar manualmente na instância do Windows.

Se não for possível ingressar a instância do Windows, delegue as permissões corretas para se conectar ao seu diretório. Para obter instruções, consulte a seção Delegar privilégios para sua conta de serviço.

Observação: O nome da conta de serviço que o seu AD Connector usa deve ter menos de 15 caracteres.

Verifique suas alterações

Após fazer as alterações anteriores, verifique se é possível unir automaticamente a instância do Amazon EC2 Windows.

Informações relacionadas

Teste a união automática de uma instância do Amazon EC2 com Windows Server a um domínio

Tópicos

Gestão e governança

Conteúdo relevante

Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há um mês
Minha instância não aparece no Painel.
Carlos Augusto
feita há um mês
LoadBalancer para certificação SSL
Caio
feita há 2 meses
Executar sitek do IIS pelo browser
Iramar
feita há 2 meses
Cancelamento de instância reservada equivocadamente.
Paulo Achilles
feita há um mês
Por que não consigo conectar minha instância do EC2 do Windows a um diretório do AWS Managed Microsoft AD?
AWS OFICIALAtualizada há 2 anos
Como soluciono problemas de autenticação do RDS para SQL Server Windows com o AWS Managed Microsoft AD?
AWS OFICIALAtualizada há 2 anos
Como posso gerenciar um diretório AWS Managed Microsoft AD ou Simple AD a partir de uma instância Windows do Amazon EC2?
AWS OFICIALAtualizada há 3 anos
Como permitir que usuários de domínio tenham acesso ao RDP a uma instância do EC2 Windows usando a política de grupo no AWS Managed Microsoft AD ou Simple AD?
AWS OFICIALAtualizada há um ano