Je souhaite utiliser AWS Systems Manager pour associer une instance Amazon Elastic Compute Cloud (Amazon EC2) en cours d'exécution à mon domaine AWS Directory Service.
Brève description
Vous pouvez utiliser AWS Systems Manager pour associer automatiquement une instance en cours d’exécution à votre domaine. Utilisez AWS Directory Service pour Microsoft Active Directory ou Simple AD pour héberger le domaine sur AWS Directory Service. Vous pouvez également utiliser la passerelle d’annuaire AD Connector pour localiser le domaine sur un réseau local.
Résolution
Utilisez Run Command avec le document AWS-JoinDirectoryServiceDomain fourni par AWS pour joindre une instance Windows EC2 en cours d'exécution à un annuaire AWS Directory Service.
Prérequis
- Annuaire AWS Directory Service
- Instance Windows EC2
- Configuration de Systems Manager
- Rôle de profil d’instance AWS Identity and Access Management (IAM) associé aux politiques d’autorisation suivantes pour Systems Manager et l’accès par jointure à un annuaire :
AmazonSSMManagedInstanceCore
AmazonSSMDirectoryServiceAccess
Remarque : si vous lancez une instance Amazon EC2 dans un sous-réseau privé, vous devez autoriser le trafic depuis votre instance vers les points de terminaison publics d’AWS Directory Service. Pour en savoir plus, consultez la page ](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html#vpc-requirements-and-limitations)Restrictions et limites des points de terminaison d’un VPC[.
Joindre une instance Windows Amazon EC2 à un annuaire AWS Directory Service
**Important :**L'instance cible redémarre automatiquement pour terminer de rejoindre votre domaine. Avant de commencer, assurez-vous que le redémarrage de votre instance ne présente aucun danger pour votre infrastructure.
- Ouvrez la console Amazon EC2, choisissez votre région AWS, puis choisissez Instances dans le volet de navigation.
- Sélectionnez votre instance cible. Dans l’onglet Détails, pour le rôle IAM, confirmez qu’un rôle est associé et qu’il est configuré pour l’accès à Systems Manager et à l’annuaire. Pour plus de détails, consultez la section Configurer les autorisations d’instance pour Systems Manager.
Remarque : pour mettre à jour le rôle IAM associé, choisissez Actions, Sécurité, Modifier le rôle IAM.
- Ouvrez la console AWS Systems Manager, choisissez votre région, puis choisissez Exécuter la commande dans le volet de navigation.
- Choisissez Exécuter une commande.
- Recherchez le document AWS-JoinDirectoryServiceDomain. Sélectionnez ensuite AWS-JoinDirectoryServiceDomain dans les résultats de recherche.
- Pour les paramètres de commande, entrez ce qui suit :
Pour l'ID du répertoire, entrez l'ID du répertoire AWS Directory Service.
Dans Nom du répertoire, entrez le nom DNS du répertoire.
(Facultatif) Pour les adresses Ip Dns, entrez les adresses IP des serveurs DNS du répertoire, une pour chaque ligne. Si vous avez configuré les serveurs DNS du domaine dans le jeu d’options DHCP, c’est que cette étape n’est pas requise.
Remarque : pour localiser les valeurs que vous avez saisies à l’étape 6 pour votre annuaire, ouvrez la console AWS Directory Service. Choisissez ensuite Répertoires dans le volet de navigation. Cliquez sur le lien ID du répertoire correspondant à votre répertoire, puis recherchez les valeurs dans la section Détails du répertoire.
- Pour la sélection de la cible, choisissez Choisir les instances manuellement, puis sélectionnez l'instance que vous souhaitez associer au domaine.
- Choisissez Exécuter.
- Lorsque le statut de la commande indique Réussite, choisissez l'ID de l’instance dans la section Cibles et sorties . Passez en revue le résultat de la commande et vérifiez que l'instance a bien rejoint le domaine.
Résolution des problèmes
Si l'instance ne parvient pas à rejoindre le domaine de l'annuaire, procédez comme suit :
- Utilisez l’application DirectoryServicePortTest pour vérifier que l’instance peut communiquer avec Directory Service. Pour obtenir la liste des numéros de port requis pour joindre un domaine, consultez la section Exigences relatives aux ports pour Active Directory et les services de domaine Active Directory sur le site Web de Microsoft.
- Vérifiez que les instances du même sous-réseau peuvent rejoindre manuellement le domaine. Si la tentative de jointure manuelle échoue, vérifiez si les contrôleurs de domaine sont accessibles depuis le sous-réseau cible.
- Si vous utilisez AD Connector pour vous connecter à AWS Managed Microsoft AD, vérifiez que le paramètre d'unité organisationnelle du répertoire (UO) est spécifié. Si vous ne spécifiez pas le paramètre UO du répertoire, la jointure du domaine échoue. AWS Managed Microsoft AD ne vous permet pas de créer des objets informatiques dans l’unité d’organisation par défaut.
Pour plus d’informations sur l’utilisation de l’agent AWS Systems Manager et sur les autres étapes de dépannage, consultez la sectionUtilisation de nœuds gérés.
Pour connaître plus de stratégies de résolution des problèmes, consultez Comment résoudre les erreurs qui se produisent quand vous joignez des ordinateurs Windows à un domaine sur le site Web de Microsoft.
Informations connexes
Qu'est-ce qu'AWS Directory Service ?
Comment puis-je gérer un annuaire AWS Managed Microsoft AD ou Simple AD à partir d’une instance Windows Amazon EC2 ?
Comment utiliser AWS Systems Manager pour joindre une nouvelle instance EC2 Windows à mon domaine AWS Directory Service ?