为什么我无法将我的 Amazon EC2 Windows 实例无缝加入到 AWS Managed Microsoft AD 目录?

上次更新时间:2020 年 5 月 27 日

我无法将我的 Amazon Elastic Compute Cloud (Amazon EC2) Windows 实例无缝加入到适用于 Microsoft Active Directory 的 AWS Directory Service。如何排查加入域时遇到的问题?

解决方法

请按照以下步骤,排查将 Amazon EC2 Windows 实例无缝加入到 AWS Managed Microsoft AD 时遇到的问题。

注意:AWS Systems Manager 不支持接口 VPC 终端节点的无缝域加入操作。有关更多信息,请参阅 VPC 终端节点限制

验证先决条件

确认您满足使用 AWS Systems Manager 的所有先决条件

验证 AWS Identity and Access Management (IAM) 角色策略

1.    打开 IAM 控制台,然后从导航窗格中选择角色

2.    选择与实例关联的 IAM 角色的角色名称,以打开“摘要”页面。

3.    在权限选项卡上,对于权限策略,确认已附加 AmazonSSMDirectoryServiceAccessAmazonSSMManagedInstanceCore 策略。

如果任一策略缺失,请选择附加策略。然后,搜索策略名称,并选择附加策略

确认所需端口已打开

确认目录安全组中的端口 53、88 和 389 已打开。要查找目录的安全组,请执行以下步骤:

1.    打开 Amazon EC2 控制台,然后从导航窗格中选择网络和安全下的安全组

2.    按安全组名称对列表进行排序,以查找 directoryid_controllers,其中 directory_id 为您的目录 ID。例如,d-1234567891_controllers。

注意:您可以使用 Microsoft 的 Portqry.exe 命令行实用程序测试域至所需端口的连接。

确认 EC2 实例上的 DNS 服务器指向目录 DNS 服务器

运行以下命令以显示实例上的网络适配器配置:

ipconfig /all

要查找目录 DNS 服务器,请执行以下步骤:

1.    打开 Directory Service 控制台,然后从导航窗格中选择目录

2.    选择您的目录 ID 以打开“目录详细信息”页面,并查看 DNS 地址

确认您可以解析实例的域名

运行以下命令,将域名替换为您的域名。

使用 PowerShell:

Resolve-DnsName domainname

使用命令提示符:

nslookup domainname

验证 DNS 服务器配置

确认您已在实例上配置正确的 DNS 服务器并且实例可以触及 DNS 服务器。运行以下 Nltest 命令:

nltest /dsgetdc:domainname /force

注意:务必将域名替换为 DNS 名称,而不是 NetBIOS 名称。例如,如果您的域为 example.com,则 DNS 名称为 example.com,NetBIOS 名称为 example

确认实例正报告为“已托管”

首先,打开 AWS Systems Manager 控制台,然后从导航窗格中选择托管实例,以查看所有托管实例。

然后,确认已为该实例自动创建文档 awsconfig_Domain_directoryid_domainname 的相应状态管理器关联。然后执行以下步骤:

1.    在 Systems Manager 控制台中,从导航窗格中选择状态管理器

2.    在搜索栏中,选择实例 ID等于,然后输入 instance_id

3.    验证执行历史记录下的关联的执行输出。确认状态成功

如果状态为失败,请检查输出和详细状态,以确定问题根源。

如果状态为挂起,请确认您是否遵循了上述所有排查步骤。然后检查 EC2 实例的日志中是否存在任何明显错误消息,以确定问题的根源。有关说明,请参阅下面的问题排查部分。

确认您可以手动将实例加入到域

验证您的账户拥有将计算机对象添加到域所需的权限。有关更多信息,请参阅为 AWS Managed Microsoft AD 委派目录加入权限

确认已成功无缝加入域

重新尝试加入域,以验证以上步骤已解决问题。

1.    打开 AWS Systems Manager 控制台,然后从导航窗格中选择状态管理器

2.    选择您创建的要加入域的关联,然后选择立即应用关联

3.    验证状态成功

问题排查

如果您在加入域时仍有问题,请查看 EC2 实例上的以下日志,以了解问题的指示。

对于 Amazon SSM 代理日志:

导航到以下位置以查看 Amazon SSM 代理日志:C:\ProgramData\Amazon\SSM\Logs

netsetup.log 文件:

打开命令提示符,然后输入以下命令:

%windir%\debug\netsetup.log

有关 netsetup.log 错误代码的信息,请参阅 Microsoft 网站上的如何排查将基于 Windows 的计算机加入到域时出现的错误

对于事件查看器日志:

1.    打开 Windows“开始”菜单,然后打开事件查看器

2.    从导航窗格中选择 Windows 日志

3.    对于 Windows 日志,选择系统

4.    检查日期和时间列,以确认事件是在加入域这一操作过程中发生的。


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?