¿Por qué no puedo unir con fluidez mi instancia de Windows de Amazon EC2 a un directorio de AWS Managed Microsoft AD?

Solución

Nota: Si utilizas los puntos de enlace de la interfaz de Amazon Virtual Private Cloud (Amazon VPC) para AWS Systems Manager, las instancias de Windows Server aún pueden unirse a un dominio. Sin embargo, los puntos de enlace de VPC deben permitir el acceso a las API y los controladores de dominio de AWS Managed Microsoft AD. Para obtener más información, consulta Restricciones y limitaciones de los puntos de enlace de VPC.

Verificación del sistema operativo

Confirma que utilizas un sistema operativo (SO) compatible con Systems Manager.

Verificación de las políticas de roles de IAM

Para comprobar que tu rol de AWS Identity and Access Management (IAM) tiene adjuntas las políticas administradas correctas, completa los siguientes pasos:

1. Abre la consola de IAM.
2. En el panel de navegación, selecciona Roles.
3. Elige el nombre de rol para el rol de IAM que está asociado a tu instancia de EC2.
4. Selecciona la pestaña Permisos.
5. En la pestaña Políticas de permisos, confirma que se hayan asociado las políticas AmazonSSMDirectoryServiceAccess y AmazonSSMManagedInstanceCore.
6. Si no has asociado las políticas de permisos, selecciona Agregar permisos.
7. Elige Asociar políticas.
8. Introduce los nombres de las políticas en la barra de búsqueda y, a continuación, selecciona la política que falta.
9. Elige Agregar permisos.

Verificar que los puertos necesarios están abiertos

El grupo de seguridad del directorio debe permitir los puertos 53, 88 y 389.

Para localizar y revisar el grupo de seguridad de tu directorio, completa los siguientes pasos:

1. Abre la consola de Amazon EC2.
2. En el panel de navegación, selecciona Grupos de seguridad.
3. En Nombre del grupo de seguridad, busca directoryid_controllers. El valor de directoryid es tu ID de directorio. Por ejemplo, en d-1234567891_controllers, el ID de directorio es d-1234567891.
4. Selecciona el ID del grupo de seguridad en el grupo de seguridad del controlador de directorios.
5. Selecciona las pestañas Reglas de entrada y Reglas de salida para comprobar la información del puerto. Si falta un puerto obligatorio, agrega el puerto al grupo de seguridad.
6. Repite los pasos 2 a 5 para el grupo de seguridad adjunto a la instancia de EC2. Confirma que el grupo de seguridad de la instancia permita la conexión saliente al grupo de seguridad directoryid_controllers.

Para probar la conectividad del dominio con los puertos necesarios, puedes usar la herramienta de línea de comandos de PortQry. Para obtener más información, consulta Uso de la herramienta de línea de comandos PortQry en el sitio web de Microsoft.

Verificar que los servidores DNS de la instancia señalan a los servidores DNS del directorio

Para ver la configuración del adaptador de red en la instancia, ejecuta el siguiente comando:

ipconfig /all

En el resultado, comprueba las direcciones IP enumeradas para los servidores DNS.

A continuación, sigue estos pasos para localizar los servidores DNS del directorio:

1. Abre la consola de AWS Directory Service.
2. En el panel de navegación, elige Directorios.
3. Elige el ID de directorio de tu directorio.
4. Asegúrate de que el valor de la dirección DNS coincida con las direcciones IP de la salida de ipconfig. Si no coinciden, debes unir los servidores DNS a tu instancia.

Para unir los servidores DNS a tu instancia, sigue estos pasos:

1. Usa Protocolo de escritorio remoto (RDP) para conectarte a la instancia.

2. Ejecuta el siguiente comando para abrir Conexiones de red:

   %SystemRoot%\system32\control.exe ncpa.cpl

3. Abre el menú contextual (haz clic con el botón derecho) de cualquier conexión de red activa y, a continuación, selecciona Propiedades.

4. En el cuadro de diálogo Propiedades de conexión, abre (haz doble clic en) la versión 4 del protocolo de Internet.

5. Selecciona Usar las siguientes direcciones de servidor DNS.

6. En Servidor DNS preferido y Servidor DNS alternativo, introduce las direcciones IP de los servidores DNS que AWS Managed Microsoft AD proporcionó y, a continuación, elige Aceptar.

Confirmar que puedes resolver el nombre del dominio de la instancia

Para confirmar que puedes resolver el nombre del dominio de tu instancia, ejecuta uno de los siguientes comandos en función de tu línea de comandos.

PowerShell:

Resolve-DnsName domainname

Símbolo del sistema:

nslookup domainname

Nota: Sustituye domainname por tu nombre de dominio.

Comprobación de la configuración del servidor DNS

Comprueba que has configurado correctamente el servidor DNS de la instancia. Ejecuta el siguiente comando para comprobar si la instancia puede localizar y comunicarse con un controlador de dominio en el dominio de destino:

nltest /dsgetdc:domainname /force

Nota: Sustituye domainname por el nombre DNS, no por el nombre NetBIOS. Por ejemplo, para el dominio ejemplo.com, el nombre DNS es ejemplo.com y el nombre NetBIOS es ejemplo. Para obtener más información acerca de este comando, consulta Nltest en el sitio web de Microsoft.

Si recibes un mensaje de error en el resultado, soluciona el problema que aparece en el error.

Comprobar que la instancia es una instancia administrada

Solo las instancias administradas pueden unirse a un Active Directory.

Completa los siguientes pasos para verificar que tu instancia es una instancia administrada en el Administrador de flotas, una capacidad de AWS Systems Manager:

1. Abre la consola de Systems Manager.
2. En el panel de navegación, selecciona Administrador de flotas.
3. Selecciona la pestaña Nodos administrados.
4. Confirma que la instancia aparece en la lista y está conectada. Si no encuentras la instancia, consulta ¿Por qué Systems Manager no muestra mi instancia de Amazon EC2 como una instancia administrada?

Confirmar que la instancia tiene una asociación de State Manager

El documento awsconfig_Domain_directoryid_domainname debe tener una asociación con State Manager, una capacidad de AWS Systems Manager, para la instancia.

Para comprobar si hay problemas en la asociación con State Manager, sigue estos pasos:

1. Abre la consola de Systems Manager.
2. En el panel de navegación, selecciona State Manager.
3. En la barra de búsqueda, selecciona ID de instancia, Igual y, a continuación, introduce el ID de la instancia.
4. Selecciona el ID de la asociación.
5. Confirma que el Estado sea Correcto y, a continuación, elige Historial de ejecuciones para comprobar el estado de otras ejecuciones de la asociación.
   Si el Estado es Error, elige ID de ejecución y, a continuación, Resultado para revisar los detalles del resultado e identificar la causa del problema.
   Si el Estado es Pendiente, consulta los registros de la instancia de EC2 para ver si hay mensajes de error que te ayuden a identificar la causa del problema. Para obtener instrucciones, ve a Revisar los registros para encontrar mensajes de error.

Comprobar si puedes unir la instancia al dominio manualmente

Asegúrate de configurar tu cuenta de AWS para que tenga los permisos necesarios para agregar objetos informáticos al dominio.

Nota: Para crear nuevas instancias de Windows, utiliza la herramienta Sysprep de Microsoft para crear una imagen de máquina de Amazon (AMI) estandarizada.

Revisar los registros para encontrar mensajes de error

Si sigues sin poder unirte a un dominio, comprueba los siguientes registros de instancias para ver si hay mensajes de error.

Registros de SSM Agent

Comprueba los registros de AWS Systems Manager Agent (SSM Agent).

Archivo Netsetup.log

Para abrir un archivo de registro, ejecuta el siguiente comando en un símbolo del sistema:

%windir%\debug\netsetup.log

Para solucionar los errores de NetSetup.log, consulta Solución de errores de red que se producen al unir equipos basados en Windows a un dominio en el sitio web de Microsoft.

Si los grupos de seguridad o el firewall bloquean el tráfico UDP, el flujo de trabajo de unión al dominio no crea resultados en el archivo NetSetup.log. Para probar la conectividad DNS con el servidor DNS, ejecuta el siguiente comando de PowerShell:

Test-DnsServer -IPAddress YourIPAddress

Nota: Sustituye YourIPAddress por la dirección IP del servidor DNS.

Registros del Visor de eventos

Para comprobar los ** registros del Visor de ** eventos, siga estos pasos:

1. Selecciona el menú Inicio y, a continuación, escribe Visor de eventos.
2. Elige Visor de eventos.
3. En el panel de navegación, expande Registros de Windows y, a continuación, selecciona Sistema.
4. Comprueba la columna Fecha y hora para identificar los eventos que se produjeron durante la operación de unión al dominio.

Para seguir solucionando problemas, consulta Guía para la resolución de problemas al unirse a un dominio de Active Directory en el sitio web de Microsoft.

Información relacionada

Formas de unir una instancia de Amazon EC2 a tu AWS Managed Microsoft AD

Unir una instancia de Windows de Amazon EC2 a tu AWS Managed Microsoft AD Active Directory