AWSSupport-TroubleshootRDP - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootRDP

Deskripsi

AWSSupport-TroubleshootRDPRunbook memungkinkan pengguna untuk memeriksa atau memodifikasi pengaturan umum pada instance target yang dapat memengaruhi koneksi Remote Desktop Protocol (RDP), seperti port RDP, Network Layer Authentication (NLA) dan profil Windows Firewall. Secara opsional, perubahan dapat diterapkan secara offline dengan menghentikan dan memulai instance, jika pengguna secara eksplisit mengizinkan remediasi offline. Secara default, runbook membaca dan mengeluarkan nilai pengaturan.

penting

Perubahan pada pengaturan RDP, layanan RDP dan profil Windows Firewall harus ditinjau dengan cermat sebelum menggunakan runbook ini.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Windows

Parameter

  • Action

    Jenis: String

    Nilai yang valid: CheckAll | FixAll | Kustom

    Default: Kustom

    Deskripsi: (Opsional) [Kustom] Gunakan nilai dari Firewall, RDPServiceStartupType, RDP, RDP ServiceActionPortAction, NLA SettingAction dan RemoteConnections untuk mengelola pengaturan. [CheckAll] Baca nilai-nilai pengaturan tanpa mengubahnya. [FixAll] Kembalikan pengaturan default RDP, dan nonaktifkan Windows Firewall.

  • AllowOffline

    Jenis: String

    Nilai yang valid: benar/salah

    Default: salah

    Deskripsi: (Opsional) Perbaiki saja - Setel ke true jika Anda mengizinkan remediasi RDP offline jika pemecahan masalah online gagal, atau instans yang disediakan bukan instans terkelola. Catatan: Untuk remediasi offline, SSM Automation menghentikan instans, dan membuat AMI sebelum mencoba operasi apa pun.

  • AutomationAssumeRole

    Jenis: String

    Deskripsi: (Opsional) Amazon Resource Name (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Systems Manager Automation untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • firewall

    Jenis: String

    Nilai yang valid: Periksa | Nonaktifkan

    Default: Periksa

    Deskripsi: (Opsional) Periksa atau nonaktifkan firewall Windows (semua profil).

  • InstanceId

    Jenis: String

    Deskripsi: (Diperlukan) ID instans untuk memecahkan masalah pengaturan RDP dari.

  • NLA SettingAction

    Jenis: String

    Nilai yang valid: Periksa | Nonaktifkan

    Default: Periksa

    Deskripsi: (Opsional) Periksa atau nonaktifkan Network Layer Authentication (NLA).

  • RDP PortAction

    Jenis: String

    Nilai yang valid: Periksa | Modifikasi

    Default: Periksa

    Deskripsi: (Opsional) Periksa port saat ini yang digunakan untuk koneksi RDP, atau ubah port RDP kembali ke 3389 dan mulai ulang layanan.

  • RDP ServiceAction

    Jenis: String

    Nilai yang valid: Periksa | Mulai | Mulai Ulang | Mulai Ulang Paksa

    Default: Periksa

    Deskripsi: (Opsional) Memeriksa, memulai, memulai ulang, atau memaksa-mulai ulang layanan RDP (). TermService

  • RDP ServiceStartupType

    Jenis: String

    Nilai yang valid: Periksa | Otomatis

    Default: Periksa

    Deskripsi: (Opsional) Periksa atau atur layanan RDP untuk memulai secara otomatis saat Windows melakukan boot.

  • RemoteConnections

    Jenis: String

    Nilai yang valid: Periksa | Aktifkan

    Default: Periksa

    Deskripsi: (Opsional) Tindakan yang harus dilakukan pada pengaturan fdenytsConnections: Periksa, Aktifkan.

  • S3 BucketName

    Jenis: String

    Deskripsi: (Opsional) Hanya offline - Nama bucket S3 di akun tempat Anda ingin mengunggah log pemecahan masalah. Pastikan kebijakan bucket tidak memberikan izin baca/tulis yang tidak perlu kepada pihak yang tidak memerlukan akses ke log yang dikumpulkan.

  • SubnetId

    Jenis: String

    Bawaan: SelectedInstanceSubnet

    Deskripsi: (Opsional) Hanya offline - ID subnet untuk instans EC2Rescue yang digunakan untuk melakukan pemecahan masalah offline. Jika tidak ada ID subnet yang ditentukan, AWS Systems Manager Automation akan membuat VPC baru. PENTING: Subnet harus berada di Availability Zone yang sama denganInstanceId, dan harus mengizinkan akses ke endpoint SSM.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter membutuhkan tindakan berikut untuk menggunakan runbook dengan sukses.

Disarankan agar instans EC2 yang menerima perintah memiliki peran IAM dengan kebijakan terkelola Amazon AmazonSSM ManagedInstanceCore yang terpasang. Untuk remediasi online, pengguna harus memiliki setidaknya ssm:DescribeInstanceInformation, ssm: StartAutomationExecution dan ssm: SendCommand untuk menjalankan otomatisasi dan mengirim perintah ke instance, ditambah ssm: GetAutomationExecution untuk dapat membaca output otomatisasi. Untuk remediasi offline, pengguna harus memiliki setidaknya ssm:DescribeInstanceInformation, ssm:, ec2: StartAutomationExecution DescribeInstances, plus ssm: GetAutomationExecution untuk dapat membaca output otomatisasi. AWSSupport-TroubleshootRDPpanggilan AWSSupport-ExecuteEC2Rescue untuk melakukan remediasi offline - harap tinjau izin AWSSupport-ExecuteEC2Rescue untuk memastikan Anda dapat menjalankan otomatisasi dengan sukses.

Langkah Dokumen

  1. aws:assertAwsResourceProperty- Periksa apakah instance adalah Windows Server instance

  2. aws:assertAwsResourceProperty- Periksa apakah instance adalah instance yang dikelola

  3. (Pemecahan masalah online) Jika instance adalah instance terkelola, maka:

    1. aws:assertAwsResourceProperty- Periksa nilai Aksi yang disediakan

    2. (Cek online) Jika Action = CheckAll, maka:

      aws:runPowerShellScript- Menjalankan PowerShell skrip untuk mendapatkan status profil Windows Firewall.

      aws:executeAutomation- Panggilan AWSSupport-ManageWindowsService untuk mendapatkan status layanan RDP.

      aws:executeAutomation- Panggilan AWSSupport-ManageRDPSettings untuk mendapatkan pengaturan RDP.

    3. (Perbaikan online) Jika Action = FixAll, maka:

      aws:runPowerShellScript- Menjalankan PowerShell skrip untuk menonaktifkan semua profil Windows Firewall.

      aws:executeAutomation- Panggilan AWSSupport-ManageWindowsService untuk memulai layanan RDP.

      aws:executeAutomation- Panggilan AWSSupport-ManageRDPSettings untuk mengaktifkan koneksi jarak jauh dan menonaktifkan NLA.

    4. (Manajemen online) Jika Action = Custom, maka:

      aws:runPowerShellScript- Menjalankan PowerShell script untuk mengelola profil Windows Firewall.

      aws:executeAutomation- Panggilan AWSSupport-ManageWindowsService untuk mengelola layanan RDP.

      aws:executeAutomation- Panggilan AWSSupport-ManageRDPSettings untuk mengelola pengaturan RDP.

  4. (Remediasi offline) Jika instance bukan instance terkelola maka:

    1. aws:assertAwsResourceProperty- Menegaskan AllowOffline= benar

    2. aws:assertAwsResourceProperty- Menegaskan Aksi = FixAll

    3. aws:assertAwsResourceProperty- Menegaskan nilai SubnetId

      (Gunakan subnet instance yang disediakan) Jika SubnetId SELECTED_INSTANCE_SUBNET

      aws:executeAwsApi- Ambil subnet contoh saat ini.

      aws:executeAutomation- Jalankan AWSSupport-ExecuteEC2Rescue dengan subnet contoh yang disediakan.

    4. (Gunakan subnet kustom yang disediakan) Jika tidak SubnetId SELECTED_INSTANCE_SUBNET

      aws:executeAutomation- Jalankan AWSSupport-ExecuteEC2Rescue dengan SubnetId nilai yang diberikan.

Keluaran

manageFirewallProfiles.Keluaran

ManajerDP ServiceSettings .Output

ManajerDPSettings.output

checkFirewallProfiles.Keluaran

CheckRDP .Keluaran ServiceSettings

CheckRDPSettings.output

disableFirewallProfiles.Keluaran

RestoreDefaUltrdp ServiceSettings .Output

RestoreDefaUltrdpSettings.output

Troubleshootrdpoffline.output

Pemecahan OfflineWithSubnetId masalahRDP .Output