Pourquoi m'est-il impossible de joindre de manière transparence mon instance Windows Amazon EC2 à un répertoire AWS Managed Microsoft AD ?

Date de la dernière mise à jour : 27/05/2020

Je ne parviens pas à joindre mon instance Windows Amazon Elastic Compute Cloud (Amazon EC2) à mon AWS Directory Service for Microsoft Active Directory. Comment puis-je résoudre les problèmes liés à la jonction d'un domaine ?

Résolution

Suivez les étapes suivantes pour résoudre les problèmes lorsque vous joignez de manière transparente votre instance Windows Amazon EC2 à un répertoire AWS Managed Microsoft AD.

Remarque : AWS Systems Manager ne prend pas en charge la jonction transparente de domaine pour les points de terminaison d'un VPC d'interface. Pour plus d'informations, consultez Restrictions et limitations des points de terminaison d'un VPC.

Vérifier les préalables

Vérifiez que vous remplissez toutes les conditions pour utiliser AWS Systems Manager.

Modifier les stratégies de rôle AWS Identity and Access Management (IAM)

1.    Ouvrez la console IAM, puis sélectionnez Roles (Rôles) dans le volet de navigation.

2.    Choisissez le nom du rôle IAM associé à votre instance afin d'ouvrir la page « Récapitulatif ».

3.    Dans l'onglet Autorisations pour Stratégies d'autorisation, vérifiez que les stratégies AmazonSSMDirectoryServiceAccess et AmazonSSMManagedInstanceCore sont attachées.

Si l'une des deux stratégies est absente, choisissez Attacher des stratégies. Recherchez ensuite les noms de stratégie, puis choisissez Attacher une stratégie.

Vérifier que les ports requis sont ouverts

Vérifiez que les ports 53, 88 et 389 sont ouverts dans le groupe de sécurité du répertoire. Procédez comme suit pour rechercher le groupe de sécurité de votre répertoire :

1.    Ouvrez la console Amazon EC2, puis choisissez Groupes de sécurité dans le volet de navigation sous Réseau et sécurité.

2.    Triez la liste par nom de groupe de sécurité pour rechercher directoryid_controllers, où directory_id est votre ID de répertoire. Par exemple, d-1234567891_controllers.

Remarque : vous pouvez utiliser l'utilitaire de ligne de commande Portqry.exe de Microsoft pour tester la connectivité du domaine aux ports requis.

Vérifier que les serveurs DNS de votre instance EC2 pointent vers les serveurs DNS du répertoire

Exécutez la commande suivante pour afficher la configuration de la carte réseau sur l'instance :

ipconfig /all

Procédez comme suit pour localiser les serveurs DNS de répertoire :

1.    Ouvrez la console Directory Service, puis choisissez Répertoires dans le volet de navigation.

2.    Choisissez votre ID de répertoire pour ouvrir la page Informations du répertoire et afficher l'adresse DNS.

Vérifier que vous pouvez résoudre le problème de nom de domaine à partir de l'instance

Exécutez la commande suivante en remplaçant nomdedomaine par votre nom de domaine.

Utilisation de PowerShell :

Resolve-DnsName domainname

Utilisez une invite de commande pour :

nslookup domainname

Vérifier la configuration du serveur DNS

Vérifier que vous avez configuré le serveur DNS adéquat sur l'instance et que l'instance peut l'atteindre le serveur. Exécutez la commande Nltest suivante :

nltest /dsgetdc:domainname /force

Remarque : tâchez de remplacer nomdedomaine par le nom DNS et non pas par le nom NetBIOS. Par exemple, si votre domaine est exemple.com, le nom DNS est exemple.com, et le nom NetBIOS est exemple.

Vérifier que l'instance est signalée comme étant gérée

Commencez par ouvrir la console AWS Systems Manager, puis choisissez Instances gérées dans le volet de navigation pour afficher toutes les instances gérées.

Vérifiez ensuite qu'une association State Manager correspondante pour le document awsconfig_Domain_directoryid_nomdedomaine a été créée automatiquement pour l'instance. Procédez comme suit :

1.    Dans la console Systems Manager, choisissez Gestionnaire d'état dans le volet de navigation.

2.    Sélectionnez la barre de recherche, choisissez ID d'instance, Égal, puis entrez l'ID_instance.

3.    Vérifiez la sortie de l'exécution de l'association sous Historique d'exécution. Confirmez que le Statut est Succès.

Si le statut est Échec, vérifiez la sortie et le statut détaillé pour identifier la cause du problème.

Si le statut est En attente, vérifiez que vous avez suivi toutes les étapes précédentes de résolution des problèmes. Ensuite, consultez les journaux sur l'instance EC2 pour rechercher les messages d'erreur explicites afin d'identifier la cause du problème. Pour connaître les instructions, consultez la section Résolution des problèmes ci-dessous.

Vérifier que vous pouvez joindre manuellement l'instance au domaine

Vérifiez que votre compte dispose de l'autorisation requise pour ajouter des objets ordinateurs au domaine. Pour plus d'informations, consultez Déléguer les privilèges de jonction de répertoire pour AWS Managed Microsoft AD.

Vérifier qu'une jonction transparente de domaine a abouti

Réessayez de joindre un domaine pour vérifier que les étapes ci-dessus ont résolu le problème.

1.    Ouvrez la console AWS Systems Manager, puis choisissez Gestionnaire d'état dans le volet de navigation.

2.    Sélectionnez l'association que vous avez créée pour joindre le domaine, puis choisissez Appliquer l'association maintenant.

3.    Vérifiez que Statut est Succès.

Résolution des problèmes

Si vous rencontrez toujours des problèmes pour joindre un domaine, consultez les journaux suivants sur l'instance EC2 pour obtenir des indications sur le problème.

Pour les journaux de l'agent Amazon SSM :

Accéder à l'emplacement C:\ProgramData\Amazon\SSM\Logs pour consulter les journaux de l'agent Amazon SSM

Fichier netsetup.log :

Ouvrez une invite de commande, puis entrez la commande suivante :

%windir%\debug\netsetup.log

Pour plus d'informations sur les codes d'erreur netsetup.log, consultez Comment résoudre les erreurs qui se produisent lorsque vous joignez des ordinateurs Windows à un domaine sur le site web Microsoft.

Pour les journaux de l'Afficheur d'événements :

1.    Ouvrez le menu Démarrer de Windows, puis Afficheur d'événements.

2.    Choisissez Journaux Windows dans le volet de navigation.

3.    Pour Journaux Windows, choisissez Système.

4.    Dans la colonne Date et heure, identifiez les événements qui se sont produits au cours de l'opération de jonction du domaine.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?