У меня есть сервер Windows, который находится в VPC без доступа в Интернет. Но у него есть конечные точки VPC для SSM, ec2messages, ssmmessages и ec2 api.
Когда я пытаюсь присоединиться к домену с помощью ssm api,
aws ssm create-association --instance-id <id> --name <ssm document>
время ожидания со следующей ошибкой.
1 out of 1 plugin processed, 0 success, 1 failed, 0 timedout, 0 skipped. The operation aws:domainJoin failed because Failed to create domain computer account 'Servername', Message=A WebException with status ConnectFailure was thrown.,ErrorCode=,ErrorType=Sender,StatusCode=0 Amazon.Runtime.AmazonServiceException: A WebException with status ConnectFailure was thrown. ---> System.Net.WebException: Unable to connect to the remote server ---> System.Net.Sockets.SocketException: A connect--output truncated--
Этот сервер подключен к AD. Фактически, если я попытаюсь присоединиться к домену вручную, это тоже сработает.
С другой стороны, у меня есть другой сервер, который может присоединиться к тому же домену. Единственная разница в том, что у него есть подключение к Интернету. Но поскольку у нового также есть конечная точка SSM, я не понимаю, почему это происходит. Роли IAM тоже точно такие же. Любая помощь будет оценена.
Публикация ответа здесь, если кто-то еще столкнется с этой проблемой. Присоединение к домену требует подключения к конечной точке службы каталогов (ds..amazonaws.com), и на данный момент для этой службы нет конечной точки VPC. Это означает, что если сервер не имеет исходящего доступа в Интернет, невозможно присоединиться к домену с помощью SSM.