为什么我无法在 Systems Manager 中将 Amazon EC2 Windows 实例无缝加入到 AWS Managed Microsoft AD？

简短描述

以下问题可能会导致 Amazon EC2 Windows 实例和 AWS Managed Microsoft AD 无法无缝加入：

• 您的 Windows 实例不满足 Systems Manager 的最低要求。有关详细信息，请参阅使用 ssm-cli 对托管节点可用性进行故障排除中的“最低要求”。
• 您的 AWS Identity and Access Management (IAM) 实例配置文件没有必要的策略。有关详细信息，请参阅配置 Systems Manager 所需的实例权限。
• 您的 Windows 实例流量无法访问您的 AWS Directory Service 端点。
• 您的 Windows 实例无法访问您的域控制器。或者，您的安全组或网络访问控制列表（网络 ACL）不允许流量通过所需端口。
• 域控制器上已经存在重复的计算机对象名称。
• 您没有满足 AWS 服务账户使用 AD Connector 的先决条件。

解决方法

验证您的实例是否满足最低要求

如果您的实例满足 Systems Manager 的最低要求，则托管节点的 AWS Systems Manager Agent (SSM Agent) 的 ping 状态将为 Online（在线）。

要查看 SSM Agent 的 ping 状态，请打开 Amazon Systems Manager 控制台，然后在导航窗格中选择 Fleet Manager。如果托管实例未显示在 Fleet Manager 中，请验证您的 Amazon EC2 实例是否满足托管实例要求。

验证 IAM 实例配置文件策略

确保已将 AmazonSSMDirectoryServiceAccess IAM 策略附加到您的实例配置文件中。

要查看您的 IAM 角色策略，请完成以下步骤：

1. 打开 Amazon EC2 控制台。
2. 在导航窗格中，选择 Instances（实例）。
3. 在 Details（详细信息）选项卡上，选择 IAM role（IAM 角色）。

如果您没有附加 AmazonSSMDirectoryServiceAccess IAM 策略，请配置您的实例权限。有关说明，请参阅 Amazon EC2 实例权限的替代配置中的“为 Systems Manager 托管实例创建实例配置文件（控制台）”部分。

访问您的 AWS Directory Service 端点

验证来自 Windows 实例的流量是否可以通过 AWS Directory Service 端点。有关详细信息，请参阅 Amazon Virtual Private Cloud (VPC) 端点限制和局限。然后，使用 aws:domainJoin 插件访问 AWS Directory Service 端点。

提供对域控制器的访问权限

使用 DirectoryServicePortTest 应用程序来验证 Windows 操作系统 (OS) 是否可以从您的Windows 实例与您的域控制器通信。有关说明，请参阅 Test your AD Connector。有关所需端口的列表，请参阅 Microsoft 网站上的 Active Directory and Active Directory Domain Services Port Requirements。

您还可以验证同一子网上的实例是否可以手动加入域。如果您的实例无法从同一子网访问您的域控制器，则无缝域加入将失败。

避免重复的计算机对象名称

如果您必须无缝加入多个 Windows 实例，请在创建 Windows 映像之前使用 Sysprep。

查看您的服务账户权限

使用您的 AD Connector 使用的服务账户手动加入 Windows 实例。

如果您无法加入 Windows 实例，请委派正确的权限以连接到您的目录。有关说明，请参阅向您的服务账户委派权限。

**注意：**您的 AD Connector 使用的服务账户名称长度必须少于 15 个字符。

验证您的更改

在进行上述更改后，请验证您是否可以无缝加入 Amazon EC2 Windows 实例。

相关信息

测试将 Windows 服务器的 Amazon EC2 实例无缝加入域