Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Warum kann ich meine Amazon-EC2-Windows-Instance nicht nahtlos mit einem von AWS verwalteten Microsoft-AD-Verzeichnis verbinden?

Lesedauer: 7 Minute
0

Ich kann meine Amazon Elastic Compute Cloud (Amazon EC2)-Windows-Instance nicht nahtlos mit meinem AWS Directory Service für Microsoft Active Directory verbinden.

Lösung

Hinweis: Wenn du Amazon Virtual Private Cloud (Amazon VPC)-Schnittstellenendpunkte für AWS Systems Manager verwendest, können die Windows-Server-Instances trotzdem einer Domain beitreten. Die VPC-Endpunkte müssen jedoch den Zugriff auf die von AWS verwalteten Microsoft-AD-APIs und Domain-Controller ermöglichen. Weitere Informationen findest du unter Einschränkungen und Beschränkungen für VPC-Endpunkte.

Dein Betriebssystem überprüfen

Vergewissere dich, dass du ein Betriebssystem verwendest, das Systems Manager unterstützt.

Die IAM-Rollenrichtlinien überprüfen

Gehe wie folgt vor, um zu überprüfen, ob an deine AWS Identity and Access Management (IAM)-Rolle die richtigen verwalteten Richtlinien angefügt sind:

  1. Öffne die IAM-Konsole.
  2. Wähle im Navigationsbereich Rollen.
  3. Wähle den Rollennamen für die IAM-Rolle, die der EC2-Instance zugeordnet ist.
  4. Wähle die Registerkarte Berechtigungen aus.
  5. Vergewissere dich bei Berechtigungsrichtlinien, dass du die Richtlinien AmazonSSMDirectoryServiceAccess und AmazonSSMManagedInstanceCore angefügt hast.
  6. Wenn du die Berechtigungsrichtlinien nicht angefügt hast, wähle Berechtigungen hinzufügen aus.
  7. Wähle Richtlinien anfügen aus.
  8. Gib die Richtliniennamen in die Suchleiste ein und wähle dann die fehlende Richtlinie aus.
  9. Wähle Berechtigungen hinzufügen aus.

Sicherstellen, dass die erforderlichen Ports geöffnet sind

Die Sicherheitsgruppe des Verzeichnisses muss die Ports 53, 88 und 389 zulassen.

Gehe wie folgt vor, um die Sicherheitsgruppe für das Verzeichnis zu finden und zu überprüfen:

  1. Öffne die Amazon-EC2-Konsole.
  2. Wähle im Navigationsbereich Sicherheitsgruppen.
  3. Suche unter Name der Sicherheitsgruppe nach directoryid_controllers. Der Wert für directoryid ist deine Verzeichnis-ID. In d-1234567891_controllers lautet die Verzeichnis-ID beispielsweise d-1234567891.
  4. Wähle die Sicherheitsgruppen-ID der Sicherheitsgruppe des Directory Controllers aus.
  5. Wähle die Registerkarten Regeln für eingehenden Datenverkehr und Regeln für ausgehenden Datenverkehr, um die Portinformationen zu überprüfen. Wenn ein erforderlicher Port fehlt, füge den Port der Sicherheitsgruppe hinzu.
  6. Wiederhole die Schritte 2 bis 5 für die Sicherheitsgruppe, die an die EC2-Instance angefügt ist. Stelle sicher, dass die Sicherheitsgruppe der Instance eine ausgehende Verbindung zur Sicherheitsgruppe directoryid_controllers zulässt.

Um die Konnektivität der Domain zu den erforderlichen Ports zu testen, kannst du das PortQry-Befehlszeilentool verwenden. Weitere Informationen findest du unter Verwenden des Befehlszeilentools „PortQry“ auf der Microsoft-Website.

Sicherstellen, dass die DNS-Server auf der Instance auf die DNS-Server des Verzeichnisses verweisen

Führe den folgenden Befehl aus, um die Netzwerkadapterkonfiguration auf der Instance anzuzeigen:

ipconfig /all

Überprüfe in der Ausgabe die IP-Adressen, die für DNS-Server aufgeführt sind.

Gehe wie folgt vor, um die DNS-Server des Verzeichnisses zu finden:

  1. Öffne die AWS-Directory-Service-Konsole.
  2. Wähle im Navigationsbereich Verzeichnisse aus.
  3. Wähle die Verzeichnis-ID deines Verzeichnisses aus.
  4. Stelle sicher, dass der Wert für DNS-Adresse mit den IP-Adressen in der Ausgabe für ipconfig übereinstimmt. Wenn sie nicht übereinstimmen, musst du die DNS-Server mit der Instance verknüpfen.

Gehe wie folgt vor, um die DNS-Server mit der Instance zu verknüpfen:

  1. Verwende das Remote Desktop Protocol (RDP), um eine Verbindung zur Instance herzustellen.

  2. Führe den folgenden Befehl aus, um Netzwerkverbindungen zu öffnen:

    %SystemRoot%\system32\control.exe ncpa.cpl

  3. Öffne das Kontextmenü (Klick mit der rechten Maustaste) für jede aktivierte Netzwerkverbindung und wähle dann Eigenschaften.

  4. Öffne im Dialogfeld Verbindungseigenschaften Internetprotokoll Version 4 (Doppeklick).

  5. Wähle Folgende DNS-Serveradressen verwenden aus.

  6. Gib für Bevorzugter DNS-Server und Alternativer DNS-Server die IP-Adressen der DNS-Server ein, die AWS Managed Microsoft AD bereitgestellt hat, und wähle dann OK.

Vergewissere dich, dass du den Domainnamen aus der Instance auflösen kannst

Führe einen der folgenden Befehle auf der Grundlage der Befehlszeile aus, um dich zu vergewissern, dass du den Domainnamen aus der Instance auflösen kannst.

PowerShell:

Resolve-DnsName domainname

Eingabeaufforderung:

nslookup domainname

Hinweis: Ersetze domainname durch den Namen deiner Domain.

Die DNS-Serverkonfiguration überprüfen

Stelle sicher, dass du den DNS-Server der Instance richtig konfiguriert hast. Führe den folgenden Befehl aus, um zu überprüfen, ob die Instance einen Domain-Controller in der Zieldomain finden und mit ihm kommunizieren kann:

nltest /dsgetdc:domainname /force

Hinweis: Ersetze domainname durch den DNS-Namen, nicht durch den NetBIOS-Namen. Für die Domain example.com lautet der DNS-Name beispielsweise example.com und der NetBIOS-Name example. Weitere Informationen zu diesem Befehl findest du unter Nltest auf der Microsoft-Website.

Wenn du in der Ausgabe eine Fehlermeldung erhältst, behebe das in der Fehlermeldung aufgeführte Problem.

Sicherstellen, dass es sich bei der Instance um eine verwaltete Instance handelt

Nur verwaltete Instances können einem Active Directory beitreten.

Gehe wie folgt vor, um zu überprüfen, ob es sich bei der Instance um eine verwaltete Instance in Fleet Manager, einer Funktion von AWS Systems Manager, handelt:

  1. Öffne die Systems-Manager-Konsole.
  2. Wähle im Navigationsbereich Fleet Manager aus.
  3. Wähle die Registerkarte Verwaltete Knoten.
  4. Vergewissere dich, dass die Instance aufgeführt und online ist. Wenn du die Instance nicht finden kannst, findest du weitere Informationen unter Warum zeigt Systems Manager meine Amazon-EC2-Instance nicht als verwaltete Instance an?

Vergewissere dich, dass die Instance über eine State-Manager-Zuordnung verfügt

Das Dokument awsconfig_Domain_directoryid_domainname muss eine Zuordnung zu State Manager, einer Funktion von AWS Systems Manager, für die Instance aufweisen.

Gehe wie folgt vor, um die State-Manager-Zuordnung auf Probleme zu überprüfen:

  1. Öffne die Systems-Manager-Konsole.
  2. Wähle im linken Navigationsbereich State Manager aus.
  3. Wähle in der Suchleiste Instance-ID und Gleich aus und gib dann die Instance-ID ein.
  4. Wähle die Zuordnungs-ID aus.
  5. Vergewissere dich, dass der Status Erfolgreich lautet, und wähle dann Ausführungsverlauf, um den Status anderer Zuordnungsausführungen zu überprüfen.
    Wenn der Status Fehlgeschlagen lautet, wähle Ausführungs-ID und dann Ausgabe, um die Ausgabedetails zu überprüfen und die Ursache des Problems zu ermitteln.
    Wenn der Status Ausstehend lautet, überprüfe die Protokolle auf der EC2-Instance auf Fehlermeldungen, anhand derer du die Ursache des Problems ermitteln kannst. Eine Anleitung findest du unter Überprüfen der Protokolle, um nach Fehlermeldungen zu suchen.

Prüfen, ob du die Instance manuell der Domain hinzufügen kannst

Stelle sicher, dass du das AWS-Konto so konfiguriert hast, dass es über die erforderlichen Berechtigungen zum Hinzufügen von Computerobjekten zur Domain verfügt.

Hinweis: Um neue Windows-Instances zu erstellen, verwende das Microsoft-Tool Sysprep, um ein standardisiertes Amazon Machine Image (AMI) zu erstellen.

Überprüfen der Protokolle, um Fehlermeldungen zu finden

Wenn du einer Domain immer noch nicht beitreten kannst, überprüfe die folgenden Instance-Protokolle auf Fehlermeldungen.

SSM-Agent-Protokolle

Überprüfe die Protokolle des AWS Systems Manager Agent (SSM Agent).

Datei Netsetup.log

Um eine Protokolldatei zu öffnen, führe den folgenden Befehl in einer Eingabeaufforderung aus:

%windir%\debug\netsetup.log

Informationen zur Behebung von Fehlern mit NetSetup.log findest du unter Behebung von Netzwerkfehlern bei der Integration von Windows-basierten Computern in eine Domäne auf der Microsoft-Website.

Wenn die Sicherheitsgruppen oder die Firewall den UDP-Datenverkehr blockieren, erstellt der Workflow zum Domainbeitritt keine Ausgaben in der Datei NetSetup.log. Führe den folgenden PowerShell-Befehl aus, um die DNS-Konnektivität zum DNS-Server zu testen:

Test-DnsServer -IPAddress YourIPAddress

Hinweis: Ersetze YourIPAddress durch die IP-Adresse deines DNS-Servers.

Ereignisanzeigenprotokolle

Gehe wie folgt vor, um die Ereignisanzeigen-Protokolle zu überprüfen:

  1. Wähle das Start-Menü und gib dann Ereignisanzeige ein.
  2. Wähle Ereignisanzeige.
  3. Erweitere im Navigationsbereich Windows-Protokolle und wähle dann System.
  4. Überprüfe die Spalte Datum und Uhrzeit, um die Ereignisse zu identifizieren, die während des Vorgangs zum Domainbeitritt aufgetreten sind.

Weitere Informationen zur Problembehandlung findest du unter Anleitung zur Problembehandlung beim Active Directory-Domänenbeitritt auf der Microsoft-Website.

Ähnliche Informationen

Möglichkeiten, eine Amazon-EC2-Instance mit dem AWS Managed Microsoft AD zu verknüpfen

Beitritt einer Amazon-EC2-Windows-Instance zum AWS Managed Microsoft AD Active Directory

Themen
Compute
Tags
Amazon EC2Windows
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 4 Monaten

Relevanter Inhalt