AWSSupport-TroubleshootRDP - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootRDP

Descrição

O runbook AWSSupport-TroubleshootRDP permite ao usuário verificar ou modificar configurações comuns na instância de destino que possam afetar as conexões Remote Desktop Protocol (RDP), como os perfis RDP port, Network Layer Authentication (NLA) e Windows Firewall. Opcionalmente, as alterações podem ser aplicadas offline ao interromper e iniciar a instância, se o usuário explicitamente permitir a correção offline. Por padrão, o runbook lê e exibe os valores das configurações.

Importante

As alterações nas configurações RDP, serviço RDP e perfis de Firewall do Windows devem ser cuidadosamente analisadas antes de executar este runbook.

Execute esta automação (console)

Tipo de documento

Automation

Proprietário

Amazon

Plataformas

Windows

Parâmetros

  • Ação

    Tipo: sequência

    Valores válidos: CheckAll | FixAll | Custom

    Padrão: Custom

    Descrição: (opcional) [personalizado] use os valores do Firewall, RDPServiceStartupType, RDPServiceAction, RDPportAction, NLASettingAction e RemoteConnections para gerenciar as configurações. [CheckAll] Leia os valores das configurações sem alterá-las. [FixAll] Restaure as configurações padrão RDP e desabilitar todos os perfis de firewall do Windows.

  • AllowOffline

    Tipo: sequência

    Valores válidos: verdadeiro | falso

    Padrão: falso

    Descrição: (opcional) apenas correção - Defina como verdadeiro se você permitir a correção do RDP offline, caso a solução de problemas online falhe ou caso a instância fornecida não seja uma instância gerenciada. Observação: para a correção offline, a Automação do SSM interrompe a instância e cria uma AMI antes de tentar qualquer operação.

  • AutomationAssumeRole

    Tipo: sequência

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • Firewall

    Tipo: sequência

    Valores válidos: Check | Disable

    Padrão: Check

    Descrição: (Opcional) Marque ou desabilite o firewall do Windows (todos os perfis).

  • InstanceId

    Tipo: sequência

    Descrição: (Obrigatório) O ID da instância que vai solucionar os problemas das configurações de RDP.

  • NLASettingAction

    Tipo: sequência

    Valores válidos: Check | Disable

    Padrão: Check

    Descrição: (Opcional) Marque ou desabilite o Network Layer Authentication (NLA).

  • RDPPortAction

    Tipo: sequência

    Valores válidos: Check | Modify

    Padrão: Check

    Descrição: (Opcional) Marque a porta atual usada para conexões RDP, ou modifique a porta RDP de volta para 3389 e reinicie o serviço.

  • RDPServiceAction

    Tipo: sequência

    Valores válidos: Check | Start | Restart | Force-Restart

    Padrão: Check

    Descrição: (Opcional) Verifique, inicie, reinicie ou reinicie à força o serviço do RDP (TermService).

  • RDPServiceStartupType

    Tipo: sequência

    Valores válidos: Check | Auto

    Padrão: Check

    Descrição: (Opcional) Marque ou defina o serviço RDP para iniciar automaticamente quando o Windows é inicializado.

  • RemoteConnections

    Tipo: sequência

    Valores válidos: Check | Enable

    Padrão: Check

    Descrição: (Opcional) Uma ação para executar na configuração fDenyTSConnections: Check, Enable.

  • S3BucketName

    Tipo: sequência

    Descrição: (Opcional) Apenas offline - Nome do bucket do S3 em sua conta na qual você deseja carregar os logs de solução de problemas. Verifique se a política de buckets não concede permissões de leitura/gravação desnecessárias a partes que não precisam acessar os logs coletados.

  • SubnetId

    Tipo: sequência

    Padrão: SelectedInstanceSubnet

    Descrição: (Opcional) Apenas offline - O ID de sub-rede para a instância EC2Rescue usado para executar a solução de problemas offline. Se nenhum ID de sub-rede for especificado, a Automação do AWS Systems Manager criará uma nova VPC. IMPORTANTE: a sub-rede deve estar na mesma zona de disponibilidade que o InstanceId, e deve permitir acesso aos endpoints SSM.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

Recomendamos que a instância do EC2 que recebe o comando tenha uma função do IAM com a política gerenciada pela Amazon AmazonSSMManagedInstanceCore anexada. Para a correção online, o usuário deve ter pelo menos ssm:DescribeInstanceInformation, ssm:StartAutomationExecution e ssm:SendCommand para executar a automação e enviar o comando para a instância, além de ssm:GetAutomationExecution para poder ler a saída da automação. Para a correção offline, o usuário deve ter pelo menos ssm:DescribeInstanceInformation, ssm:StartAutomationExecution, ec2:DescribeInstances, além de ssm:GetAutomationExecution para poder ler a saída de automação. AWSSupport-TroubleshootRDP chama AWSSupport-ExecuteEC2Rescue para realizar a correção offline - revise as permissões para AWSSupport-ExecuteEC2Rescue para garantir que você possa executar a automação com êxito.

Etapas do documento

  1. aws:assertAwsResourceProperty: verifica se a instância é uma instância Windows Server

  2. aws:assertAwsResourceProperty: verifica se a instância é uma instância gerenciada

  3. (Solução de problemas online) Se a instância é uma instância gerenciada, então:

    1. aws:assertAwsResourceProperty: verifica o valor da ação fornecido

    2. (Verificação online) Se Action = CheckAll, então:

      aws:runPowerShellScript: executa o script do PowerShell para obter o status de perfis de firewall do Windows.

      aws:executeAutomation: chama AWSSupport-ManageWindowsService para obter o status do serviço RDP.

      aws:executeAutomation: chama AWSSupport-ManageRDPSettings para obter as configurações do RDP.

    3. (Correção online) Se Action = FixAll, então:

      aws:runPowerShellScript: executa o script do PowerShell para desabilitar todos os perfis de firewall do Windows.

      aws:executeAutomation: chama AWSSupport-ManageWindowsService para iniciar o serviço RDP.

      aws:executeAutomation: chama AWSSupport-ManageRDPSettings para ativar conexões remotas e desativar o NLA.

    4. (Gerenciamento online) Se Action = Custom, então:

      aws:runPowerShellScript: executa o script do PowerShell para gerenciar os perfis de firewall do Windows.

      aws:executeAutomation: chama AWSSupport-ManageWindowsService para gerenciar o serviço RDP.

      aws:executeAutomation: chama AWSSupport-ManageRDPSettings para gerenciar as configurações do RDP.

  4. (Correção offline) Se a instância não for uma instância gerenciada, então:

    1. aws:assertAwsResourceProperty declara AllowOffline = true

    2. aws:assertAwsResourceProperty declara Action = FixAll

    3. aws:assertAwsResourceProperty: declara o valor de SubnetId

      (Use a sub-rede da instância fornecida) Se SubnetId for SELECTED_INSTANCE_SUBNET

      aws:executeAwsApi: recupera a sub-rede da instância atual.

      aws:executeAutomation: executa AWSSupport-ExecuteEC2Rescue com a sub-rede da instância fornecida.

    4. (Use a sub-rede personalizada fornecida) Se SubnetId não for SELECTED_INSTANCE_SUBNET

      aws:executeAutomation: executa AWSSupport-ExecuteEC2Rescue com o valor SubnetId fornecido.

Saídas

manageFirewallProfiles.Output

manageRDPServiceSettings.Output

manageRDPSettings.Output

checkFirewallProfiles.Output

checkRDPServiceSettings.Output

checkRDPSettings.Output

disableFirewallProfiles.Output

restoreDefaultRDPServiceSettings.Output

restoreDefaultRDPSettings.Output

troubleshootRDPOffline.Output

troubleshootRDPOfflineWithSubnetId.Output