AWS Windows EC2 無法使用 SSM 加入 AWS Managed AD

我有一個 Windows 伺服器，它位於無法訪問 Internet 的 VPC 中。但它有到 SSM、ec2messages、ssmmessages 和 ec2 api 的 VPC 端點。

當我嘗試使用 ssm api 將其加入域時，

aws ssm create-association --instance-id <id> --name <ssm document>

它超時並出現以下錯誤。

1 out of 1 plugin processed, 0 success, 1 failed, 0 timedout, 0 skipped. The operation aws:domainJoin failed because Failed to create domain computer account 'Servername', Message=A WebException with status ConnectFailure was thrown.,ErrorCode=,ErrorType=Sender,StatusCode=0 Amazon.Runtime.AmazonServiceException: A WebException with status ConnectFailure was thrown. ---> System.Net.WebException: Unable to connect to the remote server ---> System.Net.Sockets.SocketException: A connect--output truncated--

此伺服器已連接到 AD。事實上，如果我嘗試手動加入域，它也可以。

另一方面，我有另一台能夠加入同一個域的伺服器。唯一不同的是，它有網際網路連接。但由於新的也有 SSM 端點，我不明白為什麼會發生這種情況。IAM 角色也完全相同。任何幫助，將不勝感激。

在此處發布答案，以防其他人遇到此問題。域加入也需要連接到目錄服務終端節點 (ds..amazonaws.com)，截至目前，此服務沒有 VPC 終端節點。這意味著，如果伺服器沒有出站 Internet 訪問權限，則無法使用 SSM 加入域。

引用自：https://serverfault.com/questions/1007410