如何对 Systems Manager 中 Windows 实例的无缝域加入进行故障排除？

简短描述

以下是 Windows 中无缝域加入可能失败的最常见原因：

• 未满足 System Manager 先决条件。
• Amazon Identity and Access Management (IAM) 实例配置文件缺少无缝域加入策略。
• Windows 实例流量无法访问公共 Amazon Directory Service 端点。
• Windows 实例无法访问域控制器，或者安全组或网络 ACL 不允许使用加入域所需的端口 。
• 域控制器上已经存在重复的计算机对象名称。
• 您的服务账户不具备使用 AD Connector 所需的](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html#connect_delegate_privileges)权限[。

如果 Windows 实例的无缝域加入失败，请查看以下内容来排除问题：

解决方法

验证 Systems Manager 先决条件

要在 Windows 实例中无缝加入域，请满足 Systems Manager 先决条件。如果已满足 Systems Manager 先决条件，则托管节点的 Amazon Systems Manager Agent (SSM Agent) 的 ping 状态为联机。要查看 SSM Agent 的 ping 状态，请打开 Amazon Systems Manager 控制台，然后从导航窗格中选择 Fleet Manager。如果托管实例未显示在 Fleet Manager 中，请验证您的 Amazon Elastic Compute Cloud (Amazon EC2) 实例是否符合托管实例要求。

验证 IAM 实例配置文件策略

要在 Windows 实例中无缝加入域，必须分配 AmazonSSMDirectoryServiceAccess IAM 策略。要查看 IAM 角色策略，请打开 Amazon EC2 控制台，然后从导航窗格中选择实例。然后，选择详细信息选项卡中的 IAM 角色。

如果缺少 AmazonSSMDirectoryServiceAccess IAM 策略，则要添加权限，请参阅为 Systems Manager 配置实例权限。

允许流量访问 Amazon Directory Service 端点

要从 Windows 实例访问 Amazon Directory Service 端点，请使用 aws:domainJoin 插件。

要使用 aws: domainJoin 插件将域无缝加入到 Amazon Directory Service 端点，您必须允许来自 Windows 实例的流量访问。必须允许来自 Windows 实例的流量访问公共 Amazon Directory Service 端点。有关更多信息，请参阅 VPC 端点限制和局限。

提供对域控制器的访问权限

要在 Windows 实例中无缝加入域，Windows 操作系统在执行无缝域加入时必须与域控制器进行通信。使用 DirectoryServicePortTest 测试应用程序验证是否已从 Windows 实例与域控制器建立通信。

有关加入域所需的端口号列表，请参阅 Microsoft 网站上的 Active Directory 和 Active Directory 域服务端口要求。

您还可以验证同一子网上的实例是否可以手动加入域。如果实例无法从同一子网访问域控制器，则无缝域加入将失败。

避免重复的计算机对象名称

如果域控制器上已经存在同名计算机对象，则域加入将会失败。要使用自定义 Windows 映像在多个 Windows 实例中无缝加入域，请在创建映像之前使用 Sysprep。有关使用 Sysprep 的说明，请参阅如何使用 Sysprep 创建和安装可重复使用的自定义 Windows AMI？

查看 AD Connector 服务账户权限

要使用 AD Connector，服务账户需要足够的权限。如果服务账户没有创建计算机账户的权限，则无缝域加入将失败。要验证服务账户的权限，请使用服务账户](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)手动加入 Windows 实例[。

相关信息

测试将 Windows 服务器的 EC2 实例无缝加入域