Pourquoi ne puis-je pas associer facilement mon instance Windows EC2 à un répertoire AWS Managed Microsoft AD ?

Résolution

Pour résoudre les problèmes liés à l'impossibilité d'associer facilement votre instance Windows EC2 à un répertoire AWS Managed Microsoft AD, procédez comme suit.

Remarque : les points de terminaison de l'interface Amazon Virtual Private Cloud (Amazon VPC) pour AWS Systems Manager limitent les demandes visant à associer des instances Windows Server à des domaines. Pour en savoir plus, consultez la page ](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html#vpc-requirements-and-limitations)Restrictions et limites des points de terminaison VPC[.

Vérifier votre système d'exploitation et le type de machine

Vérifiez qu'AWS Systems Manager prend en charge votre système d'exploitation (OS) et votre type de machine.

Vérifier vos stratégies de rôle IAM

Pour vérifier que les stratégies gérées associées à votre rôle AWS Identity and Access Management (IAM) sont appropriées, procédez comme suit :

1. Ouvrez la console IAM.
2. Dans le volet de navigation, choisissez Rôles.
3. Choisissez le nom du rôle IAM associé à votre instance pour ouvrir la page Résumé.
4. Dans l'onglet Autorisations, pour les stratégies d'autorisation, vérifiez que les stratégies AmazonSSMDirectoryServiceAccess et AmazonSSMManagedInstanceCore sont associées.
5. S'il manque les stratégies d'autorisation, choisissez Ajouter des autorisations, puis Associer des stratégies. Recherchez le nom des stratégies, choisissez les stratégies appropriées dans les résultats de recherche, puis choisissez Ajouter des autorisations.

Vérifier que les ports requis sont ouverts

Vérifiez que les ports 53, 88 et 389 sont ouverts dans le groupe de sécurité du répertoire. Pour localiser et vérifier le groupe de sécurité de votre répertoire, procédez comme suit :

1. Ouvrez la console Amazon EC2.
2. Dans le volet de navigation, choisissez Groupes de sécurité.
3. Triez la liste Groupes de sécurité à l'aide de l'option Nom du groupe de sécurité pour trouver directoryid_controllers, où directoryid correspond à votre ID de répertoire. Par exemple, d-1234567891_controllers.
4. Choisissez l'ID de groupe de sécurité du groupe de sécurité du contrôleur de répertoire.
5. Ouvrez les onglets Règles entrantes et Règles sortantes pour consulter les informations relatives au port.

Remarque : utilisez l'outil de ligne de commande PortQry de Microsoft pour tester la connectivité du domaine aux ports requis.

Vérifiez que les serveurs DNS de votre instance pointent vers les serveurs DNS du répertoire

Pour afficher la configuration de l'adaptateur réseau sur l'instance, exécutez la commande de l'interface de la ligne de commande AWS (AWS CLI) suivante :

Remarque : si des erreurs surviennent lors de l'exécution des commandes AWS CLI, assurez-vous que vous utilisez la version la plus récente d'AWS CLI.

ipconfig /all

Pour localiser les serveurs DNS du répertoire, procédez comme suit :

1. Ouvrez la console du service de répertoire.
2. Dans le volet de navigation, sélectionnez Répertoires.
3. Choisissez l'ID du répertoire pour ouvrir la page Détails du répertoire.
4. Consultez l'adresse DNS.

Vérifier que vous pouvez résoudre le nom de domaine à partir de l'instance

Pour vérifier que vous pouvez résoudre le nom de domaine à partir de votre instance, exécutez l'une des commandes suivantes :

Remarque : dans vos commandes, remplacez domainname par votre nom de domaine.

À l'aide de PowerShell :

Resolve-DnsName domainname

À l'aide d'une invite de commande :

nslookup domainname

Vérifier la configuration du serveur DNS

Pour vérifier que vous avez correctement configuré le serveur DNS de l'instance et que celle-ci peut accéder au serveur DNS, exécutez la commande Windows Nltest suivante :

Remarque : dans votre commande, remplacez domainname par le nom DNS, et non par le nom NetBIOS. Par exemple, si votre domaine est exemple.com, le nom DNS est exemple.com, et le nom NetBIOS est exemple.

nltest /dsgetdc:domainname /force

Vérifier que l'instance est une instance gérée

Pour vérifier que votre instance est une instance gérée, procédez comme suit :

1. Ouvrez la console Systems Manager.
2. Dans le volet de navigation, sélectionnez Fleet Manager.
3. Sur la page Fleet Manager, choisissez l'onglet Nœuds gérés.
4. Vérifiez que l'instance est répertoriée et qu'elle est en ligne.

Vérifier que l'instance possède une association State Manager

Pour vérifier que le document awsconfig_Domain_directoryid_domainname possède une association State Manager créée pour l'instance, procédez comme suit :

Remarque : dans le nom du document, directoryid correspond à votre ID de répertoire et domainname à votre nom de domaine.

1. Ouvrez la console Systems Manager.
2. Dans le volet de navigation, choisissez State Manager.
3. Dans la barre de recherche, choisissez ID d'instance et Égal, puis saisissez l'ID d'instance.
4. Sélectionnez l'ID d'association.
5. Vérifiez que le champ Statut indique Réussite, puis choisissez Historique d'exécution pour vérifier les exécutions d'association.
6. Si le champ Statut indique Échec, choisissez ID d'exécution, puis Sortie pour examiner les détails de la sortie et identifier la cause du problème.
7. Si le champ Statut indique En attente, vérifiez que vous avez bien suivi toutes les étapes de dépannage précédentes. Passez ensuite en revue les journaux de l'instance EC2 pour déterminer s'ils contiennent des messages d'erreur afin d'identifier la cause du problème. Pour obtenir les instructions nécessaires, consultez la section Consulter les journaux pour trouver les messages d'erreur.

Vérifier que vous pouvez associer manuellement l'instance au domaine

Vérifiez que votre compte dispose de l'autorisation requise pour ajouter des objets informatiques au domaine. Pour en savoir plus, consultez la page Déléguer les privilèges de jonction de répertoire pour AWS Managed Microsoft AD.

Remarque : pour créer de nouvelles instances Windows EC2, utilisez l'outil Microsoft Sysprep afin de créer une Amazon Machine Image (AMI) standardisée.

Vérifier que vous pouvez associer un domaine facilement

Pour vérifier que les étapes de résolution des problèmes ont résolu votre problème, essayez d'associer un domaine :

1. Ouvrez la console Systems Manager.
2. Dans le volet de navigation, choisissez State Manager.
3. Sélectionnez l'association que vous avez créée pour associer le domaine, puis choisissez Appliquer l'association maintenant.
4. Vérifiez que le champ Statut indique Réussite.

Consulter les journaux pour trouver les messages d'erreur

Si vous ne parvenez toujours pas à rejoindre un domaine, consultez les journaux suivants sur l'instance pour trouver les messages d'erreur.

Utilisation des journaux SSM Agent :

Pour consulter les journaux AWS Systems Manager Agent (SSM Agent), accédez à %PROGRAMDATA%\Amazon\SSM\Logs\.

À l'aide du fichier Netsetup.log :

Pour ouvrir un fichier journal, exécutez la commande suivante dans une invite de commande :

%windir%\debug\netsetup.log

Codes d'erreur et comportements attendus pour chaque port dans la sortie NetSetup.log

TCP 88 – Authentification Kerberos :

NetUseAdd to \\serverDC1.example.com\IPC$ returned 64
NetpJoinDomainOnDs: status of connecting to dc '\\serverDC1.example.com':0x40
NetpJoinDomainOnDs: Function exits with status of: 0x40
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x40

TCP 389 – LDAP :

NetpLdapBind: ldap_bind failed on serverDC1.example.com: 81: Server Down
NetpJoinCreatePackagePart: status:0x3a.
NetpJoinDomainOnDs: Function exits with status of: 0x3a
NetpJoinDomainOnDs: status of disconnecting from '\\serverDC1.example.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.com': 0x0
NetpDoDomainJoin: status: 0x3a

UDP 389 – LDAP :

NetpCheckDomainNameIsValid [ Exists ] for 'example.com' returned 0x54b
NetpJoinDomainOnDs: Domain name is invalid,
NetpValidateName returned: 0x54b
NetpJoinDomainOnDs: Function exits with status of: 0x54b
NetpJoinDomainOnDs: NetpResetIDNEncoding on '(null)': 0x0
NetpDoDomainJoin: status: 0x54b

UDP 53 – DNS :

Lorsque le trafic DNS UDP n'est pas autorisé, le flux de travail de jonction de domaines ne crée aucune sortie dans le fichier NetSetup.log. Pour tester le serveur DNS, exécutez la commande PowerShell suivante :

Remarque : dans votre commande, remplacez YourIPAddress par l'adresse IP de votre serveur DNS.

Test-DnsServer -IPAddress YourIPAddress

Pour en savoir plus sur les codes d'erreur NetSetup.log, consultez la page Comment résoudre les erreurs qui se produisent quand vous associez des ordinateurs Windows à un domaine du site Web Microsoft.

À l'aide des journaux de l'observateur d'événements :

1. Dans la barre des tâches de Windows, choisissez Rechercher, saisissez « Observateur d'événements », puis choisissez Observateur d'événements pour ouvrir l'outil.
2. Dans le volet de navigation, développez Journaux Windows, puis choisissez Système.
3. Consultez la colonne Date et heure pour identifier les événements survenus lors de l'opération de jonction de domaine.

Informations connexes

Associer une instance EC2 à votre répertoire AWS Managed Microsoft AD