AWSSupport-TroubleshootRDP - AWS Systems Manager Guide de référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootRDP

Description

Le AWSSupport-TroubleshootRDP runbook permet à l'utilisateur de vérifier ou de modifier les paramètres courants de l'instance cible qui peuvent avoir un impact sur les connexions RDP (Remote Desktop Protocol), tels que le port RDP, l'authentification de la couche réseau (NLA) et les profils du pare-feu Windows. Le cas échéant, les modifications peuvent être appliquées hors connexion par l'arrêt et le redémarrage de l'instance, si l'utilisateur autorise explicitement la correction hors connexion. Par défaut, le runbook lit et affiche les valeurs des paramètres.

Important

Les modifications apportées aux paramètres RDP, au service RDP et aux profils du pare-feu Windows doivent être examinées attentivement avant d'utiliser ce runbook.

Exécutez cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Windows

Paramètres

  • Action

    Type : String

    Valeurs valides : CheckAll | FixAll | Personnalisé

    Par défaut : Custom

    Description : (Facultatif) [Personnalisé] Utilisez les valeurs du pare-feu, du RDP, du RDPServiceStartupType, du RDP ServiceActionPortAction, du NLA SettingAction et RemoteConnections pour gérer les paramètres. [CheckAll] Lisez les valeurs des paramètres sans les modifier. [FixAll] Restaurez les paramètres par défaut du protocole RDP et désactivez le pare-feu Windows.

  • AllowOffline

    Type : String

    Valeurs valides : true | false

    Par défaut : faux

    Description : (Facultatif) Fix only - définissez cette valeur sur true si vous autorisez la correction RDP hors connexion dans le cas où le dépannage en ligne échouerait ou dans le cas où l'instance fournie ne serait pas une instance gérée. Remarque : pour la correction hors connexion, SSM Automation arrête l'instance et crée une AMI avant de tenter toute opération.

  • AutomationAssumeRole

    Type : String

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui démarre ce runbook.

  • Pare-feu

    Type : String

    Valeurs valides : Vérifier | Désactiver

    Par défaut : Check

    Description : (Facultatif) vérifiez ou désactivez le pare-feu Windows (tous les profils).

  • InstanceId

    Type : String

    Description : (Obligatoire) ID de l'instance pour laquelle les paramètres RDP doivent être dépannés.

  • NLA SettingAction

    Type : String

    Valeurs valides : Vérifier | Désactiver

    Par défaut : Check

    Description : (Facultatif) vérifiez ou désactivez l'authentification NLA (Network Layer Authentication).

  • RDP PortAction

    Type : String

    Valeurs valides : Vérifier | Modifier

    Par défaut : Check

    Description : (Facultatif) vérifiez le port utilisé pour les connexions RDP ou remplacez le port RDP par 3389 et redémarrez le service.

  • RDP ServiceAction

    Type : String

    Valeurs valides : Vérifier | Démarrer | Redémarrer | Force-Restart

    Par défaut : Check

    Description : (Facultatif) Vérifiez, démarrez, redémarrez ou forcez le redémarrage du service RDP (). TermService

  • RDP ServiceStartupType

    Type : String

    Valeurs valides : Check | Auto

    Par défaut : Check

    Description : (Facultatif) vérifiez ou définissez le service RDP pour commencer automatiquement au démarrage de Windows.

  • RemoteConnections

    Type : String

    Valeurs valides : Vérifier | Activer

    Par défaut : Check

    Description : (Obligatoire) action à effectuer au niveau du paramètre fDenyTSConnections : Check, Enable.

  • S3 BucketName

    Type : String

    Description : (Facultatif) hors connexion uniquement - nom du compartiment S3 de votre compte dans lequel vous souhaitez charger les journaux de dépannage. Assurez-vous que la stratégie de compartiment n'accorde pas des autorisations en lecture/écriture superflues pour les tiers qui n'ont pas besoin d'accéder aux journaux collectés.

  • SubnetId

    Type : String

    Par défaut : SelectedInstanceSubnet

    Description : (Facultatif et hors connexion uniquement) ID de sous-réseau de l'instance EC2Rescue utilisé pour réaliser le dépannage hors connexion. Si aucun ID de sous-réseau n'est spécifié, AWS Systems Manager Automation crée un VPC. IMPORTANT : Le sous-réseau doit se trouver dans la même zone de disponibilité que InstanceId les points de terminaison SSM et autoriser l'accès à ces derniers.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

Il est recommandé que l'instance EC2 recevant la commande dispose d'un rôle IAM auquel est associée la politique gérée par ManagedInstanceCore Amazon d'AmazonSSM. Pour la correction en ligne, l'utilisateur doit disposer au minimum de ssm : DescribeInstanceInformation, ssm : StartAutomationExecution et ssm : SendCommand pour exécuter l'automatisation et envoyer la commande à l'instance, ainsi que de ssm : GetAutomationExecution pour pouvoir lire le résultat de l'automatisation. Pour la correction hors ligne, l'utilisateur doit disposer au moins de ssm : DescribeInstanceInformation, ssm :, ec2 : StartAutomationExecution DescribeInstances, plus ssm : GetAutomationExecution pour pouvoir lire le résultat de l'automatisation. AWSSupport-TroubleshootRDPappels AWSSupport-ExecuteEC2Rescue pour effectuer la correction hors ligne : veuillez vérifier les autorisations pour vous AWSSupport-ExecuteEC2Rescue assurer que vous pouvez exécuter l'automatisation correctement.

Étapes de document

  1. aws:assertAwsResourceProperty- Vérifie si l'instance est une Windows Server instance

  2. aws:assertAwsResourceProperty- Vérifiez si l'instance est une instance gérée

  3. (Dépannage en ligne) S'il s'agit d'une instance gérée :

    1. aws:assertAwsResourceProperty- Vérifiez la valeur d'action fournie

    2. (Vérification en ligne) Si l'action = CheckAll, alors :

      aws:runPowerShellScript- Exécute le PowerShell script pour obtenir l'état des profils du pare-feu Windows.

      aws:executeAutomation- Appels AWSSupport-ManageWindowsService pour obtenir l'état du service RDP.

      aws:executeAutomation- Appels AWSSupport-ManageRDPSettings pour obtenir les paramètres RDP.

    3. (Correctif en ligne) Si l'action = FixAll, alors :

      aws:runPowerShellScript- Exécute le PowerShell script pour désactiver tous les profils du pare-feu Windows.

      aws:executeAutomation- Appels AWSSupport-ManageWindowsService pour démarrer le service RDP.

      aws:executeAutomation- Appels AWSSupport-ManageRDPSettings pour activer les connexions à distance et désactiver le NLA.

    4. (Gestion en ligne) Si Action = Custom :

      aws:runPowerShellScript- Exécute le PowerShell script pour gérer les profils du pare-feu Windows.

      aws:executeAutomation- Appels AWSSupport-ManageWindowsService pour gérer le service RDP.

      aws:executeAutomation- Appels AWSSupport-ManageRDPSettings pour gérer les paramètres RDP.

  4. (Correction hors connexion) Si l'instance n'est pas une instance gérée :

    1. aws:assertAwsResourceProperty- Affirmer AllowOffline= vrai

    2. aws:assertAwsResourceProperty- Affirmer une action = FixAll

    3. aws:assertAwsResourceProperty- Affirmer la valeur de SubnetId

      (Utilisez le sous-réseau de l'instance fournie) S'il s'SubnetIdagit de SELECTED_INSTANCE_SUBNET

      aws:executeAwsApi- Récupère le sous-réseau de l'instance en cours.

      aws:executeAutomation- Exécuter AWSSupport-ExecuteEC2Rescue avec le sous-réseau de l'instance fournie.

    4. (Utilisez le sous-réseau personnalisé fourni) S'il n'SubnetIdest pas SELECTED_INSTANCE_SUBNET

      aws:executeAutomation- Exécuter AWSSupport-ExecuteEC2Rescue avec SubnetId la valeur fournie.

Sorties

manageFirewallProfiles. Sortie

Manager DPServiceSettings. Sortie

manageRDPSettings.Output

checkFirewallProfiles. Sortie

Vérifiez RDP. Output ServiceSettings

checkRDPSettings.Output

disableFirewallProfiles. Sortie

Restaurer ServiceSettings le RDP par défaut. Sortie

restoreDefaultRDPSettings.Output

troubleshootRDPOffline.Output

Résoudre les problèmes liés à RDP. Output OfflineWithSubnetId