本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSSupport-TroubleshootRDP
Description (描述)
R AWSSupport-TroubleshootRDP unbook 可讓使用者檢查或修改目標執行個體上的一般設定,這些設定可能會影響遠端桌面通訊協定 (RDP) 連線,例如 RDP 連接埠、網路層驗證 (NLA) 和 Windows 防火牆設定檔。或者,如果使用者明確允許離線修復,則可藉由停用和啟動執行個體以離線套用變更。默認情況下,runbook 讀取並輸出設置的值。
重要
對 RDP 設置,RDP 服務和 Windows 防火牆配置文件的更改應仔細檢查使用此手冊之前。
文件類型
自動化
擁有者
Amazon
平台
Windows
參數
-
動作
類型:字串
有效值:CheckAll| FixAll | 自訂
預設:Custom
描述:(選用) [自訂] 使用防火牆、RDP、RDP ServiceStartupType、RDP ServiceAction、NLA 中的值PortAction,SettingAction並管理設RemoteConnections定。[CheckAll] 讀取設置的值而不更改它們。[FixAll] 恢復 RDP 默認設置,並禁用視窗防火牆。
-
AllowOffline
類型:字串
有效值:true | false
預設:false
描述:(選用) Fix only - 若您想在線上疑難排解失敗或所提供的執行個體非受管執行個體時允許離線 RDP 修復,請將其設定為 true。備註:對於離線修復,SSM 自動化會停止執行個體,並在嘗試任何操作前建立 AMI。
-
AutomationAssumeRole
類型:字串
說明:(選用) 允許系統管理員自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定角色,系統管理員自動化會使用啟動此 runbook 的使用者的權限。
-
防火牆
類型:字串
有效值:「檢查」|「停用」
預設:Check
描述:(選用) 檢查或停用 Windows 防火牆 (所有描述檔)。
-
InstanceId
類型:字串
描述:(必要) 疑難排解 RDP 設定的受管執行個體之 ID。
-
NLA SettingAction
類型:字串
有效值:「檢查」|「停用」
預設:Check
描述:(選用) 檢查或停用網路層身分驗證 (NLA)。
-
RDP PortAction
類型:字串
有效值:「檢查」|「修改」
預設:Check
描述:(選用) 檢查目前用於 RDP 連線的連接埠,或將 RDP 連接埠修改回 3389 並重新啟動服務。
-
RDP ServiceAction
類型:字串
有效值:檢查 | 開始 | 重新啟動 | 強制重新啟動
預設:Check
說明:(選擇性) 檢查、啟動、重新啟動或強制重新啟動 RDP 服務 ()。TermService
-
RDP ServiceStartupType
類型:字串
有效值:檢查 | 自動
預設:Check
描述:(選用) 檢查或設定 RDP 服務以在 Windows 開機時自動啟動。
-
RemoteConnections
類型:字串
有效值:核取 | 啟用
預設:Check
描述:(選用) 在 fDenyTSConnections 設定上執行的動作:Check,Enable。
-
S3 BucketName
類型:字串
描述:(選用) 僅限離線 - 您想要上傳疑難排解日誌之帳戶中的 S3 儲存貯體名稱。請確認儲存貯體政策不會授予不必要的讀取/寫入許可給不需要存取所收集日誌的單位。
-
SubnetId
類型:字串
預設值:SelectedInstanceSubnet
描述:(選用) 僅限離線 - 用於執行離線疑難排解的 EC2Rescue 執行個體之子網路 ID。如果未指定子網路 ID,AWS Systems Manager 自動化會建立新的 VPC。重要:子網路必須與位於相同的可用區域中InstanceId,且必須允許存取 SSM 端點。
必要的 IAM 許可
此AutomationAssumeRole參數需要執行下列動作,才能成功使用 Runbook。
建議接收命令的 EC2 執行個體具有 IAM 角色,並附加了ManagedInstanceCore亞馬遜亞馬遜受管政策。對於線上修復,使用者必須具有至少 ssm: DescribeInstanceInformation、ssm: StartAutomationExecution 和 ssm:,才能執行自動化並將命令傳送SendCommand至執行個體,再加上 ssm:,GetAutomationExecution才能讀取自動化輸出。對於離線補救,使用者必須具有至少 ssm: DescribeInstanceInformation、ssm: StartAutomationExecution、ec2: 以及 ssm: DescribeInstances,GetAutomationExecution才能讀取自動化輸出。 AWSSupport-TroubleshootRDP執AWSSupport-ExecuteEC2Rescue行離線修復的呼叫-請檢閱的權限,以確AWSSupport-ExecuteEC2Rescue保您可以成功執行自動化操作。
文件步驟
-
aws:assertAwsResourceProperty-檢查執行個體是否為執Windows Server行個體 -
aws:assertAwsResourceProperty-檢查執行個體是否為代管執行個體 -
(線上疑難排解) 若執行個體為受管執行個體,則:
-
aws:assertAwsResourceProperty-檢查提供的操作值 -
(線上檢查) 如果「作業」= CheckAll,則:
aws:runPowerShellScript-執行指PowerShell令碼以取得 Windows 防火牆資料檔狀態。aws:executeAutomation-獲AWSSupport-ManageWindowsService取 RDP 服務狀態的呼叫。aws:executeAutomation-呼叫AWSSupport-ManageRDPSettings以獲取 RDP 設置。 -
(線上修正) 如果動作 = FixAll,則:
aws:runPowerShellScript-執行PowerShell指令碼以停用所有 Windows 防火牆設定檔。aws:executeAutomation-呼叫AWSSupport-ManageWindowsService以啟動 RDP 服務。aws:executeAutomation-通話AWSSupport-ManageRDPSettings以啟用遠程連接並禁用 NLA。 -
(線上管理) 若 Action = Custom ,則:
aws:runPowerShellScript-執行指PowerShell令碼以管理 Windows 防火牆設定檔。aws:executeAutomation-呼叫AWSSupport-ManageWindowsService以管理 RDP 服務。aws:executeAutomation-AWSSupport-ManageRDPSettings用於管理 RDP 設置的呼叫。
-
-
(離線修復) 如果執行個體不是受管執行個體,則:
-
aws:assertAwsResourceProperty-斷言 AllowOffline= 真 -
aws:assertAwsResourceProperty-斷言動作 = FixAll -
aws:assertAwsResourceProperty-斷言的值 SubnetId(使用提供的執行個體的子網路) 如果SubnetId已選取 _INSTANCE_子網路
aws:executeAwsApi-擷取目前執行個體的子網路。aws:executeAutomation-AWSSupport-ExecuteEC2Rescue使用提供的執行個體的子網路執行。 -
(使用提供的自訂子網路) 如果未選取 _INST SubnetId ANCE_子網路
aws:executeAutomation-AWSSupport-ExecuteEC2Rescue使用提供的SubnetId值運行。
-
輸出
manageFirewallProfiles輸出。
管理員. 輸ServiceSettings出
manageRDPSettings.Output
checkFirewallProfiles輸出。
檢查 RDP. 輸ServiceSettings出
checkRDPSettings.Output
disableFirewallProfiles輸出。
還原預設輸出 ServiceSettings
restoreDefaultRDPSettings.Output
troubleshootRDPOffline.Output
疑難排解輸出 OfflineWithSubnetId
