Warum kann ich meine EC2 Windows-Instance nicht nahtlos mit einem von AWS verwalteten Microsoft AD-Verzeichnis verknüpfen?

Behebung

Gehen Sie wie folgt vor, um zu beheben, warum Sie Ihre EC2 Windows-Instance nicht nahtloser Beitritt mit einem AWS Managed Microsoft AD-Verzeichnis verbinden können.

Hinweis: Die Schnittstellenendpunkte von Amazon Virtual Private Cloud (Amazon VPC) für AWS Systems Manager beschränken Anfragen, Windows Server-Instances mit Domänen zu verbinden. Weitere Informationen finden Sie unter Einschränkungen und Beschränkungen für VPC-Endpunkte.

Überprüfen Sie Ihr Betriebssystem und Ihren Maschinentyp

Vergewissern Sie sich, dass AWS Systems Manager Ihr Betriebssystem (OS) und Ihren Maschinentyp unterstützt.

Überprüfen Sie Ihre IAM-Rollenrichtlinien

Gehen Sie wie folgt vor, um zu überprüfen, ob Ihre AWS Identitäts- und Zugriffsmanagement (Identity and Access Management) (IAM) -Rolle die richtigen verwalteten Richtlinien angehängt sind:

1. Öffnen Sie die IAM-Konsole.
2. Wählen Sie im Navigationsbereich Rollen aus.
3. Wählen Sie den Rollennamen für die IAM-Rolle aus, die Ihrer Instance zugeordnet ist, um die Übersicht-Seite zu öffnen.
4. Vergewissern Sie sich auf der Registerkarte Berechtigungen für Berechtigungsrichtlinien, dass die Richtlinien AmazonSSMDirectoryServiceAccess und AmazonSSMManagedInstanceCore angehängt sind.
5. Wenn die Berechtigungsrichtlinien fehlen, wählen Sie Hinzufügen Berechtigungen, Anhängen Richtlinien. Suchen Sie nach den Richtliniennamen, wählen Sie die richtigen Richtlinien aus den Suchergebnissen aus und klicken Sie dann auf Hinzufügen Berechtigungen.

Stellen Sie sicher, dass die erforderlichen Ports geöffnet sind

Stellen Sie sicher, dass die Ports 53, 88 und 389 in der Sicherheitsgruppe des Verzeichnisses geöffnet sind. Gehen Sie wie folgt vor, um die Sicherheitsgruppe für Ihr Verzeichnis zu finden und zu überprüfen:

1. Öffnen Sie die Amazon EC2-Konsole.
2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.
3. Sortieren Sie die Liste der Sicherheitsgruppen nach dem Namen der Sicherheitsgruppe, um nach directoryid_controllers zu suchen, wobei directoryid Ihre Verzeichnis-ID ist. Zum Beispiel d-1234567891_controllers.
4. Wählen Sie die Sicherheitsgruppen-ID der Sicherheitsgruppe des Directory Controllers aus.
5. Öffnen Sie die Registerkarten Eingehende Regeln und Ausgehende Regeln, um die Portinformationen zu überprüfen.

Hinweis: Verwenden Sie das PortQry-Befehlszeilentool von Microsoft, um die Konnektivität der Domäne mit den erforderlichen Ports zu testen.

Stellen Sie sicher, dass die DNS-Server auf Ihrer EC2-Instance auf die Verzeichnis-DNS-Server verweisen

Um die Netzwerkadapterkonfiguration auf der Instance anzuzeigen, führen Sie den folgenden AWS-Befehlszeilenschnittstellen-Befehl (AWS CLI) aus:

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS-CLI verwenden.

ipconfig /all

Führen Sie die folgenden Schritte aus, um die DNS-Server des Verzeichnisses zu finden:

1. Öffnen Sie die Verzeichnisdienst-Konsole.
2. Wählen Sie im Navigationsbereich Verzeichnisse aus.
3. Wählen Sie die Verzeichnis-ID, um die Seite mit den Verzeichnisdetails zu öffnen.
4. Sehen Sie sich die DNS-Adresse an.

Vergewissern Sie sich, dass Sie den Domänennamen aus der Instanz auflösen können

Führen Sie einen der folgenden Befehle aus, um zu bestätigen, dass Sie den Domainnamen von Ihrer Instance aus auflösen können:

**Hinweis:**Ersetzen Sie in Ihren Befehlen Domainname durch Ihren Domainnamen.

Verwendung von PowerShell:

Resolve-DnsName domainname

Verwendung einer Befehlszeile:

nslookup domainname

Überprüfen Sie die DNS-Serverkonfiguration

Um zu überprüfen, ob Sie den DNS-Server der Instanz korrekt konfiguriert haben und ob die Instanz den DNS-Server erreichen kann, führen Sie den folgenden Befehl von Nltest Window aus:

Hinweis: Ersetzen Sie in Ihrem Befehl Domainname durch den DNS-Namen, nicht durch den NetBIOS-Namen. Wenn Ihre Domain beispielsweise example.com ist, dann lautet der DNS-Name example.com und der NetBIOS-Name ist example.

nltest /dsgetdc:domainname /force

Stellen Sie sicher, dass es sich bei der Instanz um eine verwaltete Instanz handelt

Gehen Sie wie folgt vor, um zu überprüfen, ob es sich bei Ihrer Instance um eine verwaltete Instanz handelt:

1. Öffnen Sie die Systems-Manager-Konsole.
2. Wählen Sie im Navigationsbereich Flottenmanager aus.
3. Wählen Sie auf der Flottenmanager-Seite die Registerkarte Verwaltete Knoten aus.
4. Vergewissern Sie sich, dass die Instanz aufgeführt ist und online ist.

Vergewissern Sie sich, dass die Instanz über eine State Manager-Zuordnung verfügt

Gehen Sie wie folgt vor, um zu überprüfen, ob das Dokument awsconfig_Domain_directoryid_domainname über eine State Manager-Zuordnung verfügt, die für die Instanz erstellt wurde:

Hinweis: Im Dokumentnamen ist directoryid Ihre Verzeichnis-ID und domainname ist Ihr Domainname.

1. Öffnen Sie die Systems-Manager-Konsole.
2. Wählen Sie im linken Navigationsbereich Landesleiter aus.
3. Wählen Sie die Suchleiste aus, wählen Sie Instance-ID, Gleich aus, und geben Sie dann die Instanz-ID ein.
4. Wählen Sie die Zuordnungs-ID aus.
5. Vergewissern Sie sich, dass der Status Erfolgreich lautet, und wählen Sie dann Ausführungsverlauf aus, um die Zuordnungsausführungen zu überprüfen.
6. Wenn der Status Fehlgeschlagen lautet, wählen Sie Ausführungs-ID, Ausgabe, um die Ausgabedetails zu überprüfen und die Ursache des Problems zu ermitteln.
7. Wenn der Status Ausstehend lautet, überprüfen Sie, ob Sie alle vorherigen Schritte zur Fehlerbehebung ausgeführt haben. Überprüfen Sie dann die Protokolle auf der EC2-Instance auf explizite Fehlermeldungen, um die Ursache des Problems zu ermitteln. Anweisungen finden Sie im Abschnitt Überprüfen von Protokollen, um Fehlermeldungen zu finden.

Bestätigen Sie, dass Sie die Instance manuell mit der Domain verbinden können

Stellen Sie sicher, dass Ihr Konto über die erforderlichen Berechtigungen verfügt, um Computerobjekte zur Domain hinzuzufügen. Weitere Informationen finden Sie unter Delegieren von Verzeichnisbeitrittsprivilegien für AWS Managed Microsoft AD.

**Hinweis:**Um neue EC2-Windows-Instances zu erstellen, verwenden Sie das Microsoft-Tool Sysprep, um ein standardisiertes Amazon Machine Image (AMI) zu erstellen.

Bestätigen Sie einen erfolgreichen nahtlosen Domain-Beitritt

Um zu überprüfen, ob das Problem durch die Schritte zur Fehlerbehebung behoben wurde, versuchen Sie erneut, einer Domain beizutreten:

1. Öffnen Sie die Systems-Manager-Konsole.
2. Wählen Sie im linken Navigationsbereich Landesleiter aus.
3. Wählen Sie die Zuordnung aus, die Sie erstellt haben, um der Domain beizutreten, und klicken Sie dann auf Anwenden jetzt Zuordnung.
4. Stellen Sie sicher, dass der Status Erfolgreich ist.

Überprüfen Sie die Protokolle, um Fehlermeldungen zu finden

Wenn Sie einer Domain immer noch nicht beitreten können, überprüfen Sie die folgenden Protokolle der Instanz auf Fehlermeldungen.

Verwenden von SSM-Agent-Protokollen:

Um die Protokolle des AWS Systems Manager Agent (SSM Agent) einzusehen, gehen Sie zu %PROGRAMDATA%\ Amazon\ SSM\ Logs\.

Verwenden der Datei Netsetup.log:

Um eine Protokolldatei zu öffnen, führen Sie den folgenden Befehl in einer Befehlszeile aus:

%windir%\debug\netsetup.log

Erwartete Fehlercodes und Verhalten für jeden Port in der Ausgabe von NetSetup.log

TCP 88 — Kerberos-Authentifizierung:

NetUseAdd to \\serverDC1.example.com\IPC$ returned 64
NetpJoinDomainOnDs: status of connecting to dc '\\serverDC1.example.com':0x40
NetpJoinDomainOnDs: Function exits with status of: 0x40
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x40

TCP 389 — LDAP:

NetpLdapBind: ldap_bind failed on serverDC1.example.com: 81: Server Down
NetpJoinCreatePackagePart: status:0x3a.
NetpJoinDomainOnDs: Function exits with status of: 0x3a
NetpJoinDomainOnDs: status of disconnecting from '\\serverDC1.example.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x3a

UDP 389 — LDAP:

NetpCheckDomainNameIsValid [ Exists ] for 'example.com' returned 0x54b
NetpJoinDomainOnDs: Domain name is invalid,
NetpValidateName returned: 0x54b
NetpJoinDomainOnDs: Function exits with status of: 0x54b
NetpJoinDomainOnDs: NetpResetIDNEncoding on '(null)': 0x0
NetpDoDomainJoin: status: 0x54b

UDP 53 — DNS:

Wenn UDP-DNS-Verkehr nicht zulässig ist, erstellt der Domainbeitrittsworkflow keine Ausgabe in der Datei NetSetup.log. Führen Sie den folgenden PowerShell-Befehl aus, um den DNS-Server zu testen:

Hinweis: Ersetzen Sie in Ihrem Befehl YourIPAddress durch die IP-Adresse Ihres DNS-Servers.

Test-DnsServer -IPAddress YourIPAddress

Informationen zu den Fehlercodes von netsetup.log finden Sie auf der Microsoft-Website unter Beheben von Fehlern, die auftreten, wenn Sie Windows-Computer zu einer Domain hinzufügen.

Für Event Viewer-Protokolle:

1. Wählen Sie in der Windows-Taskleiste Suchen aus, geben Sie „Ereignisanzeige“ ein und wählen Sie dann Ereignisanzeige aus, um das Tool zu öffnen.
2. Erweitern Sie im Navigationsbereich Windows-Protokolle und wählen Sie dann System aus.
3. Überprüfen Sie die Spalte Datum und Uhrzeit, um die Ereignisse zu identifizieren, die während des Vorgangs zum Domain-Beitritt aufgetreten sind.

Ähnliche Informationen

Verbinden Sie eine EC2-Instance mit Ihrem von AWS verwalteten Microsoft AD-Verzeichnis