如何使用 AWS Systems Manager 将正在运行的 EC2 Windows 实例加入到我的 AWS Directory Service 域?

2 分钟阅读
0

我想使用 AWS Systems Manager 将正在运行的 Amazon Elastic Compute Cloud(Amazon EC2)实例加入到我的 AWS Directory Service 域。

简短描述

您可以使用 AWS Systems Manager 将正在运行的实例自动加入到您的域。使用 AWS Directory Service for Microsoft Active Directory 或 Simple AD 在 AWS Directory Service 上托管域。您也可以使用 AD Connector 目录网关通过本地网络查找域。

解决方法

使用 Run Command 和 AWS 提供的文档 AWS-JoinDirectoryServiceDomain 将正在运行的 Windows EC2 实例加入到 AWS Directory Service 目录中。

先决条件

  • AWS Directory Service 目录
  • Windows EC2 实例
  • Systems Manager 设置
  • AWS Identity and Access Management(IAM)实例配置文件角色为 Systems Manager 和目录加入访问权限附加的以下权限策略: 
    AmazonSSMManagedInstanceCore
    AmazonSSMDirectoryServiceAccess

**注意:**如果您在私有子网中启动 Amazon EC2 实例,则必须允许流量从您的实例流向公有 AWS Directory Service 端点。有关详细信息,请参阅 VPC 端点限制和局限

将 Amazon EC2 Windows 实例加入到 AWS Directory Service 目录

**重要信息:**目标实例会自动重启以完成加入到您的域。在开始之前,请确保重启实例对您的基础设施是安全的。

  1. 打开 Amazon EC2 控制台,选择您的 AWS 区域,然后从导航窗格中选择实例
  2. 选择您的目标实例。在详细信息选项卡上,对于 IAM 角色,确认已附加了为 Systems Manager 和目录加入访问配置的角色。有关更多详细信息,请参阅为 Systems Manager 配置实例权限
    注意:要更新附加的 IAM 角色,请选择操作 > 安全 > 修改 IAM 角色
  3. 打开 AWS Systems Manager 控制台,选择您的区域,然后从导航窗格中选择 Run Command
  4. 选择运行命令
  5. 搜索 AWS-JoinDirectoryServiceDomain 文档。然后,从搜索结果中选择 AWS-JoinDirectoryServiceDomain
  6. 对于命令参数,输入以下内容:
    对于目录 ID,输入 AWS Directory Service 目录的 ID。
    目录名称中,输入该目录的 DNS 名称。
    (可选)对于 DNS IP 地址,在目录中输入 DNS 服务器的 IP 地址,每行一个。如果您在 DHCP 选项集中配置了域 DNS 服务器,则无需执行此步骤。 
    注意:要找到您在第 6 步中为您的目录输入的值,请打开 AWS Directory Service 控制台。然后,从导航窗格中选择目录。为您的目录选择目录 ID 链接,然后在目录详细信息部分中找到相应的值。
  7. 目标选择中,选择手动选择实例,然后选择要加入域的实例。
  8. 选择运行
  9. 命令状态报告成功时,在目标与输出部分中选择实例 ID。查看命令输出结果,确认该实例是否成功加入了该域。

故障排除

如果该实例未加入该目录域,请完成以下步骤:

  1. 使用 DirectoryServicePortTest 应用程序确认该实例是否可与 Directory Service 通信。有关加入域所需的端口号列表,请参阅 Microsoft 网站上的 Active Directory 和 Active Directory 域服务端口要求
  2. 确认同一子网上的实例可以手动加入域。如果手动加入尝试失败,请检查是否可以从目标子网访问域控制器。
  3. 如果您使用 AD Connector 连接到 AWS 托管的 Microsoft AD,请确认是否指定了目录组织单位(OU)参数。如果您未指定目录 OU 参数,则无法加入域。AWS 托管的 Microsoft AD 不允许您在默认 OU 中创建计算机对象。

有关使用 AWS Systems Manager 代理和其他故障排除步骤的详细信息,请参阅托管节点

有关更多故障排除策略,请参阅 Microsoft 网站上的如何解决在将基于 Windows 的计算机加入域时出现的错误

相关信息

什么是 AWS Directory Service?

如何从 Amazon EC2 Windows 实例管理 AWS Managed Microsoft AD 或 Simple AD 目录?

如何使用 AWS Systems Manager 将新的 EC2 Windows 实例加入 AWS Directory Service 域?

AWS 官方
AWS 官方已更新 10 个月前