0

我正在尝试在 Windows 上设置 SSM。我在私有子网中有一个 ASG(绝对 0 互联网访问)。我不能使用 NAT,只能使用 VPC 端点。在实例启动配置中,我有一个 PowerShell 脚本,用于Set-DnsClientServerAddress使实例可以找到并加入 AWS Managed MS AD 服务。我还想设置实例,以便可以使用 SSM 对其进行完全管理。

问题来自 DNS 客户端服务器地址。当我将其设置为匹配 AD 服务的地址时,SSM 将不起作用。当我将 DNS 客户端服务器地址保留为默认值时,SSM 工作但我无法加入 AD。

amazon-ssm-agent.json我尝试通过创建一个文件并在其中设置所有三个端点来强制 SSM 代理使用端点。这允许实例显示在托管实例列表中,但其状态从未改变,pending来自实例内的请求仍然超时。

有谁知道让这些东西同时工作的魔法酱?

编辑1:

我还尝试按照此线程中的说明添加转发,但是我要么缺少某些东西,要么不适用于我的情况: https ://forums.aws.amazon.com/thread.jspa?messageID=919331ܣ

4

1 回答 1

0

事实证明,按照上面链接中的描述添加转发器是有效的。我缺少的部分是 joedaws 评论,“我还将删除现有的 169.254.169.253 条目,以便列表中只有 10.201.0.2 ip 地址”。

当然,我的 IP 是不同的,但是一旦我删除了预先存在的转发,以便我的 xxx2 IP 是列表中唯一的一个(我对两个 AD DNS 服务器都这样做了),SSM 就可以发现该实例。

所以,我会对 saugy 写的列表做一个小的改动:

  1. 在加入域的 Windows 实例上,使用 AD 域管理员用户登录
  2. 打开 DNS 管理器
  3. 连接到 AWS AD 的 DNS IP 地址之一
  4. 选择货代
  5. 添加 VPC 的 DNS IP(来自您的 VPC 的 CIDR 范围的 xxx2)
  6. 删除现有 IP(因此您的 VPC IP 是唯一的一个)
  7. 单击应用
  8. 使用 AWS AD 的其他 DNS IP 地址从步骤 3 开始重复(不是 1

另外,正如另一篇文章中提到的。只需执行一次,设置会保留在 AD DNS 中。

于 2020-07-28T12:58:25.913 回答