為什麼我無法在 Systems Manager 中將 Amazon EC2 Windows 執行個體順暢地加入 AWS Managed Microsoft AD？

簡短描述

下列問題可能導致 Amazon EC2 Windows 執行個體和 AWS Managed Microsoft AD 無法順暢加入：

• 您的 Windows 執行個體不符合 Systems Manager 的最低要求。如需詳細資訊，請參閱使用 ssm-cli 對受管節點可用性進行疑難排解中的最低要求。
• 您的 AWS Identity and Access Management (IAM) 執行個體設定檔沒有必要的政策。如需詳細資訊，請參閱設定 Systems Manager 所需的執行個體權限。
• 您的 Windows 執行個體流量無法存取 AWS Directory Service 端點。
• 您的 Windows 執行個體無法存取網域控制站。或者，您的安全群組或網路存取控制清單 (網路 ACL) 不允許流量通過所需的連接埠。
• 網域控制站上已存在重複的電腦物件名稱。
• 您尚未完成 AWS 服務帳戶使用 AD 連接器的先決條件。

解決方法

確認您的執行個體符合最低需求

如果您的執行個體符合 Systems Manager 的最低需求，則受管節點的 AWS Systems Manager Agent (SSM Agent) ping 狀態為線上。

若要查看您的 SSM Agent ping 狀態，請開啟 AWS Systems Manager 主控台，然後在導覽窗格中選擇 Fleet Manager。如果受管執行個體未出現在 Fleet Manager 中，請確認您的 Amazon EC2 執行個體是否符合受管執行個體需求。

確認 IAM 執行個體設定檔政策

請確定您已將 AmazonSSMDirectoryServiceAccess IAM 政策附加到執行個體設定檔。

若要查看您的 IAM 角色政策，請完成下列步驟：

1. 開啟 Amazon EC2 console (Amazon EC2 主控台)。
2. 在導覽窗格中，選擇 Instances (執行個體)。
3. 在 Details (詳細資訊) 索引標籤上，選擇 IAM role (IAM 角色)。

如果您沒有附加 AmazonSSMDirectoryServiceAccess IAM 政策，請設定執行個體權限。如需指示，請參閱 Amazon EC2 執行個體權限的替代組態中的為 Systems Manager 受管執行個體 (主控台) 建立執行個體設定檔一節。

存取 AWS Directory Service 端點

確認流量是否從您的 Windows 執行個體流經 AWS Directory Service 端點。如需詳細資訊，請參閱虛擬私有雲端 (VPC) 端點限制和局限。然後，使用 aws:domainJoin 外掛程式存取 AWS Directory Service 端點。

提供對網域控制站的存取權

使用 DirectoryServicePortTest 應用程式確認 Windows 作業系統 (OS) 是否可以從 Windows 執行個體與您的網域控制站通訊。如需說明，請參閱測試 AD 連接器。如需必要連接埠的清單，請參閱 Microsoft 網站上的 Active Directory 和 Active Directory 網域服務連接埠要求。

您也可以確認相同子網路上的執行個體是否可以手動加入網域。如果您的執行個體無法從相同的子網路存取網域控制站，則您將無法順暢加入網域。

避免重複的電腦物件名稱

如果您必須順暢地加入多個 Windows 執行個體，請在建立 Windows 映像檔之前使用 Sysprep。

檢閱您的服務帳戶權限

使用 AD 連接器所使用的服務帳戶手動加入 Windows 執行個體。

如果您無法加入 Windows 執行個體，請委派正確的權限以連線到您的目錄。如需指示，請參閱將權限委派給服務帳戶。

**注意：**AD 連接器使用的服務帳戶名稱長度必須少於 15 個字元。

確認您的變更

完成上述變更後，請確認您是否可以順暢加入 Amazon EC2 Windows 執行個體。

相關資訊

測試將適用於 Windows Server 的 Amazon EC2 執行個體順暢加入網域