Vous accédez à votre service d'annuaire à partir de la console AWS Directory Service et le statut de l'annuaire indique « Impaired ». Ce problème se produit lorsque vous associez un contrôleur de domaine à votre implémentation existante d'AWS Directory Service.

AWS Directory Service est un service géré qui offre un haut niveau de disponibilité en déployant deux instances Amazon EC2 par VPC avec deux sous-réseaux s'exécutant dans des zones de disponibilité différentes. AWS Directory Service crée ensuite l'équivalent de contrôleurs de domaine principal et de sauvegarde Active Directory sur les instances EC2. Dans la mesure où les instances EC2 se trouvent dans des zones de disponibilité différentes, AWS Directory Service continue à fonctionner normalement si une interruption de service vient à se produire dans une des zones de disponibilité.

Lorsqu'un autre contrôleur de domaine est ajouté à une implémentation existante d'AWS Directory Service, le statut de l'annuaire est « Impaired », car ce contrôleur de domaine n'est pas reconnu par AWS en tant que service géré et il n'offre pas le haut niveau de disponibilité ni la tolérance aux pannes inhérents à AWS Directory Service.

AWS Directory Service surveille la propriété du rôle FSMO (Flexible Single Master Operations) pour l'annuaire. Si le rôle FSMO est transféré à un autre contrôleur de domaine, la surveillance d'AWS Directory Service prend fin, ce qui désactive la fonctionnalité de service géré d'AWS Directory Service.

Remarque : Pour recevoir des notifications par sms ou e-mail lorsque le statut de votre annuaire change, suivez les recommandations de la section Avertissement en cas de modification du statut d'un annuaire à l'aide d'Amazon SNS. Amazon Simple Notification Service (Amazon SNS) peut vous avertir lorsque l'annuaire passe du statut « Active » au statut « Impaired » ou « Inoperable ». Vous pouvez également recevoir une notification lorsque l'annuaire revient au statut « Active ».

Pour résoudre ce problème à l'aide de Simple AD, vous devez retransférer les rôles FSMO vers les contrôleurs de Directory Service et supprimer l'autre contrôleur de domaine.

Remarque : Ceci n'est pas possible avec AWS Directory Service pour Microsoft Active Directory, car ce service n'active pas les droits Admin entreprise.

Vous pouvez utiliser ntdsutil.exe pour afficher et retransférer les rôles FSMO à un contrôleur sous le contrôle d'AWS. Pour plus d'informations, consultez Procédure de recherche des serveurs qui détiennent des rôles FSMO et Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine.

Si cela ne fonctionne pas ou si vous utilisez AWS Directory Service pour Microsoft Active Directory, vous devrez restaurer votre annuaire à partir d'un instantané pris avant l'ajout de l'autre contrôleur de domaine. Si vous ne savez pas quand vous avez ajouté le contrôleur de domaine ou s'il n'est pas possible de restaurer l'annuaire tel qu'il était avant l'ajout du contrôleur de domaine, vous devrez peut-être recréer l'annuaire.

AWS crée automatiquement des instantanés quotidiens de votre annuaire et la perte de données sera donc minimale. Vous pouvez également restaurer un instantané que vous avez créé manuellement. Pour plus d'informations, consultez Instantanés (Simple AD et Microsoft AD).

Remarque : Ce problème n'affecte pas AD Connector, car il ne comporte aucun rôle FSMO géré. Si vous rencontrez un statut « Impaired » sous ce type d'annuaire, créez une demande de support.

Vous devez supprimer le nouveau contrôleur de domaine de l'annuaire pour éviter que Directory Service indique le statut comme étant défaillant à l'avenir. De cette façon, tous les rôles FSMO sont réaffectés à Directory Service.

AWS Directory Service, Simple AD, Microsoft Active Directory, FSMO, Impaired, AD Connector


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 22/04/2016