Comment utiliser AWS Systems Manager pour joindre une instance EC2 Windows en cours d'exécution à mon domaine AWS Directory Service ?

Dernière mise à jour : 18/12/2020

Je souhaite utiliser AWS Systems Manager pour joindre une instance Amazon Elastic Compute Cloud (Amazon EC2) en cours d'exécution à mon domaine AWS Directory Service. Comment dois-je procéder ?

Brève description

Vous pouvez utiliser AWS Systems Manager pour joindre automatiquement une instance en cours d'exécution au domaine. Vous pouvez héberger le domaine sur AWS Directory Service à l'aide d'AWS Directory Service pour Microsoft Active Directory ou de Simple AD. Le domaine peut également être situé sur un réseau sur site à l'aide de la passerelle d'annuaire AD Connector.

Résolution

Vous pouvez joindre une instance EC2 Windows en cours d'exécution à un annuaire AWS Directory Service à l'aide de Run Command avec le document AWS-JoinDirectoryServiceDomain fourni par AWS.

Conditions préalables

  • Annuaire AWS Directory Service
  • Instance EC2 Windows
  • Prérequis pour Systems Manager
  • Rôle de profil d'instance AWS Identity and Access Management (IAM) avec les stratégies d'autorisations suivantes attachées pour l'accès à la jonction d'annuaire et Systems Manager :
    AmazonSSMManagedInstanceCore
    AmazonSSMDirectoryServiceAccess

Remarque: Si vous utilisez des points de terminaison Amazon Virtual Private Cloud (Amazon VPC) pour Systems Manager, les demandes de jonction d'une instance EC2 à un domaine AWS Directory Service échouent. Pour plus d'informations, consultez Restrictions et limitations des points de terminaison d'un VPC.

Joindre une instance Amazon EC2 Windows existante à un répertoire AWS Directory Service

Important: L'instance cible redémarre automatiquement pour terminer la jonction de votre domaine. Avant de commencer, assurez-vous que le redémarrage de votre instance ne pose aucun danger pour votre infrastructure.

  1. Ouvrez la console Amazon EC2, choisissez votre région, puis sélectionnez Instances dans le volet de navigation.
  2. Sélectionnez votre instance cible. Sous l'onglet Description pour IAM role (Rôle IAM), vérifiez qu'un rôle est attaché et configuré pour l'accès à Systems Manager et à la jonction d'annuaire. Pour plus d'informations, consultez Créer un profil d'instance IAM pour Systems Manager.
    Remarque : pour mettre à jour le rôle IAM attaché, choisissez Actions, Instance Settings (Paramètres de l'instance), Attach/Replace IAM Role (Joindre/Remplacer un rôle IAM).
  3. Ouvrez la console AWS Systems Manager, choisissez votre région, puis sélectionnez Run Command (Exécuter la commande) dans le volet de navigation.
  4. Choisissez Run a Command (Exécuter une commande).
  5. Recherchez le document AWS-JoinDirectoryServiceDomain. Sélectionnez ensuite AWS-JoinDirectoryServiceDomain dans les résultats de recherche.
  6. Pour Command parameters (Paramètres de commande), entrez ce qui suit :
    Pour Directory Id, entrez l'ID de l'annuaire AWS Directory Service.
    Pour Directory Name (Nom de l'annuaire), entrez le nom DNS de l'annuaire.
    (Facultatif) Pour Adresses IP DNS, entrez les adresses IP des serveurs DNS dans l'annuaire, une par ligne. Cette étape n'est pas requise si les serveurs DNS du domaine sont configurés dans l’ensemble d'options DHCP.
    Remarque : Pour rechercher les valeurs utilisées à l'étape 6 pour votre annuaire, ouvrez la console AWS Directory Service, puis choisissez Annuaires dans le volet de navigation. Choisissez le lien Directory ID (ID d'annuaire) pour votre annuaire, puis recherchez les valeurs dans la section Directory details (Détails de l'annuaire).
  7. Pour Cibles, sélectionnez Choisir les instances manuellement, puis sélectionnez l'instance que vous souhaitez joindre au domaine.
  8. Choisissez Exécuter.
  9. Lorsque la section Statut de la commande indique Réussite, choisissez l'ID d'instance dans la section Cibles et sorties. Vous pouvez afficher la sortie de la commande et vérifier que l'instance a rejoint le domaine avec succès.

Dépannage

Si l'instance ne parvient pas à joindre le domaine d'annuaire, vérifiez alors que l'instance est en mesure de communiquer avec Directory Service à l'aide de l'application DirectoryServicePortTest.

Pour plus d'informations sur l'utilisation de l'agent AWS Systems Manager et d'autres étapes de dépannage, consultez Instances gérées par AWS Systems Manager.

Pour obtenir plus de stratégies de dépannage, consultez Comment résoudre les erreurs survenant lorsque vous joignez des ordinateurs Windows à un domaine ? sur le site web de Microsoft.