AWSSupport-TroubleshootRDP - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-TroubleshootRDP

説明

AWSSupport-TroubleshootRDP ランブックを使用すると、ターゲットインスタンスの一般設定の中でリモートデスクトッププロトコル (RDP) 接続に影響する可能性があるもの (RDP ポート、ネットワークレイヤー認証 (NLA)、Windows ファイアウォールプロファイルなど) を、確認または変更できるようになります。オプションで、ユーザーがオフラインの修復を明示的に許可している場合は、インスタンスを停止して起動することで、オフラインで変更を適用できます。デフォルトでは、このランブックは読み取った設定の値を出力します。

重要

RDP 設定、RDP サービス、および Windows ファイアウォールのプロファイルへの変更内容は、このランブックを実行する前に慎重に確認しておく必要があります。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

所有者

Amazon

[Platforms] (プラットフォーム)

Windows

[Parameters] (パラメータ)

  • アクション

    型: 文字列

    有効な値: CheckAll | FixAll | Custom

    デフォルト: Custom

    説明: (オプション) [カスタム] ファイアウォール、RDPServiceStartupType、RDPServiceAction、RDPPortAction、NLASettingAction、および RemoteConnections の値を使用して設定を管理します。[CheckAll] 設定の値を変更せずに読み取ります。[FixAll] RDP のデフォルト設定を復元し、Windows ファイアウォールを無効にします。

  • AllowOffline

    型: 文字列

    有効な値: true | false

    デフォルト: false

    説明: (オプション) 修正のみ - オンラインのトラブルシューティングが失敗した場合、または提供されたインスタンスがマネージドインスタンスではない場合に、オフラインで RDP の修復を許可する場合は true に設定します。注: オフライン修復の場合、SSM Automation はインスタンスを停止し、操作を試みる前に AMI を作成します。

  • AutomationAssumeRole

    型: 文字列

    説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • ファイアウォール

    型: 文字列

    有効な値: Check | Disable

    デフォルト: Check

    説明: (オプション) Windows のファイアウォール (すべてのプロファイル) を確認または無効にします。

  • InstanceId

    型: 文字列

    説明: (必須) RDP 設定のトラブルシューティングを行うインスタンスの ID。

  • NLASettingAction

    型: 文字列

    有効な値: Check | Disable

    デフォルト: Check

    説明: (オプション) ネットワークレイヤー認証 (NLA) を確認または無効にします。

  • RDPPortAction

    型: 文字列

    有効な値: Check | Modify

    デフォルト: Check

    説明: (オプション) RDP 接続に使用されている現在のポートを確認するか、または RDP ポートを 3389 に変更してサービスを再起動します。

  • RDPServiceAction

    型: 文字列

    有効な値: Check | Start | Restart | Force-Restart

    デフォルト: Check

    説明: (オプション) RDP サービス (TermService) を確認、開始、再起動、または強制的に再起動します。

  • RDPServiceStartupType

    型: 文字列

    有効な値: Check | Auto

    デフォルト: Check

    説明: (オプション) RDP サービスを Windows の起動時に自動的に起動するように確認または設定します。

  • RemoteConnections

    型: 文字列

    有効な値: Check | Enable

    デフォルト: Check

    説明: (オプション) fDenyTSConnections 設定で実行するアクション: Check、Enable。

  • S3BucketName

    型: 文字列

    説明: (オプション) オフラインのみ - トラブルシューティングのログをアップロードするアカウントの S3 バケット名です。収集されたログにアクセスする必要がないユーザーへの不必要な読み取り/書き込みアクセス権限をバケットポリシーに付与しないようにします。

  • SubnetId

    型: 文字列

    デフォルト: SelectedInstanceSubnet

    説明: (オプション) オフラインのみ - オフラインのトラブルシューティングを実行するために使用される EC2Rescue インスタンスのサブネット ID。サブネット ID が指定されていない場合、AWS Systems Manager Automation は新しい VPC を作成します。重要: サブネットは InstanceId と同じアベイラビリティーゾーンである必要があり、SSM エンドポイントへのアクセスを許可する必要があります。

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

このコマンドを受信する EC2 インスタンスには、[AmazonSSMManagedInstanceCore] Amazon 管理ポリシーがアタッチされた IAM ロールがあることが推奨されます。オンライン修復の場合、オートメーションを実行し、インスタンスにコマンドを送信するには少なくとも [ssm:DescribeInstanceInformation]、[ssm:StartAutomationExecution] および [ssm:SendCommand] が必要です。また、オートメーションの出力を読み取るためには、[ssm:GetAutomationExecution] も必要です。オフライン修復の場合、自動化の出力を読み取るためには、少なくとも [ssm:DescribeInstanceInformation]、[ssm:StartAutomationExecution]、[ec2:DescribeInstances]、および [ssm:GetAutomationExecution] が必要です。AWSSupport-TroubleshootRDPAWSSupport-ExecuteEC2Rescueを呼び出してオフライン修復を実行します。自動化を正常に実行できるように、AWSSupport-ExecuteEC2Rescue のアクセス許可を確認してください。

ドキュメントステップ

  1. aws:assertAwsResourceProperty - インスタンスが Windows Server インスタンスかを確認します

  2. aws:assertAwsResourceProperty - インスタンスがマネージドインスタンスかを確認します

  3. (オンラインのトラブルシューティング) インスタンスがマネージドインスタンスの場合は、次のようになります。

    1. aws:assertAwsResourceProperty - 指定されたアクション値を確認します

    2. (オンラインチェック) [Action = CheckAll] の場合、次のようになります。

      aws:runPowerShellScript - PowerShell スクリプトを実行して、Windows ファイアウォールのプロファイルのステータスを取得します。

      aws:executeAutomation - RDP サービスのステータスを取得するために AWSSupport-ManageWindowsService を呼び出します。

      aws:executeAutomation - RDP 設定を取得するために AWSSupport-ManageRDPSettings を呼び出します。

    3. (オンライン修正) [Action = FixAll] の場合、次のようになります。

      aws:runPowerShellScript - PowerShell スクリプトを実行して、すべての Windows ファイアウォールのプロファイルを無効にします。

      aws:executeAutomation - RDP サービスを開始するために AWSSupport-ManageWindowsService を呼び出します。

      aws:executeAutomation - リモート接続を有効にし、NLA を無効にするために AWSSupport-ManageRDPSettings を呼び出します。

    4. (オンライン管理) [Action = Custom] の場合、次のようになります。

      aws:runPowerShellScript - PowerShell スクリプトを実行して、Windows ファイアウォールのプロファイルを管理します。

      aws:executeAutomation - RDP サービスを管理するために AWSSupport-ManageWindowsService を呼び出します。

      aws:executeAutomation - RDP 設定を管理するために AWSSupport-ManageRDPSettings を呼び出します。

  4. (オフラインの修復) インスタンスがマネージドインスタンスでない場合は以下のようになります。

    1. aws:assertAwsResourceProperty - AllowOffline = true をアサートします

    2. aws:assertAwsResourceProperty - Action = FixAll をアサートします

    3. aws:assertAwsResourceProperty - SubnetId の値をアサートします

      (提供されたインスタンスのサブネットを使用) SubnetId が SELECTED_INSTANCE_SUBNET の場合

      aws:executeAwsApi - 現在のインスタンスのサブネットを取得します。

      aws:executeAutomation - 指定したインスタンスのサブネットで AWSSupport-ExecuteEC2Rescue を実行します。

    4. (提供されたカスタムサブネットを使用) SubnetId が SELECTED_INSTANCE_SUBNET でない場合

      aws:executeAutomation - 指定された SubnetId 値を使用して AWSSupport-ExecuteEC2Rescue を実行します。

[Outputs] (出力)

manageFirewallProfiles.Output

manageRDPServiceSettings.Output

manageRDPSettings.Output

checkFirewallProfiles.Output

checkRDPServiceSettings.Output

checkRDPSettings.Output

disableFirewallProfiles.Output

restoreDefaultRDPServiceSettings.Output

restoreDefaultRDPSettings.Output

troubleshootRDPOffline.Output

troubleshootRDPOfflineWithSubnetId.Output