Résoudre les problèmes de connexion à votre instance Amazon EC2 Windows - Amazon Elastic Compute Cloud
Le service Bureau à distance ne peut pas se connecter à l’ordinateur distantErreur lors de l’utilisation du client RDP macOSRDP affiche un écran noir au lieu du bureauImpossible de se connecter à distance à une instance avec un utilisateur autre qu’un administrateur Résolution des problèmes de bureau à distance à l'aide de AWS Systems ManagerActiver le bureau à distance sur une EC2 instance dotée d'un registre distantJ’ai perdu ma clé privée. Comment puis-je me connecter à mon instance Windows ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résoudre les problèmes de connexion à votre instance Amazon EC2 Windows

Les informations suivantes et les erreurs courantes peuvent vous aider à résoudre les problèmes de connexion à votre instance Windows.

Le service Bureau à distance ne peut pas se connecter à l’ordinateur distant

Essayez d’exécuter l’opération suivante pour résoudre les problèmes liés à votre connexion à votre instance :

  • Vérifiez que vous utilisez le nom d’hôte DNS public adéquat. (Dans la EC2 console Amazon, sélectionnez l'instance et cochez Public DNS (IPv4) dans le volet de détails.) Si votre instance est un VPC et que le nom DNS public ne s’affiche pas, vous devez activer les noms d’hôtes DNS. Pour plus d’informations, consultez DNS attributes for your VPC (Attributs DNS pour votre VPC) dans le Guide de l’utilisateur d’Amazon VPC.

  • Vérifiez que votre instance possède une IPv4 adresse publique. Si non, vous pouvez associer une adresse IP Elastic à votre instance. Pour de plus amples informations, veuillez consulter Adresses IP Elastic.

  • Pour vous connecter à votre instance à l'aide d'une IPv6 adresse, vérifiez que votre ordinateur local possède une IPv6 adresse et qu'il est configuré pour l'utiliser IPv6. Pour plus d'informations, consultez la section Configurer IPv6 sur vos instances dans le guide de l'utilisateur Amazon VPC.

  • Vérifiez que votre groupe de sécurité dispose d'une règle qui autorise l'accès RDP sur le port 3389.

  • Si vous avez copié le mot de passe, mais que vous obtenez l’erreur Your credentials did not work, essayez de le saisir manuellement lorsque vous y êtes invité. Il est possible que vous ayez oublié un caractère ou ajouté une espace supplémentaire lorsque vous avez copié le mot de passe.

  • Vérifiez que l’instance a réussi les contrôles d’état. Pour plus d’informations, consultez Contrôles de statut pour les EC2 instances Amazon et Résoudre les problèmes des instances Amazon EC2 Linux dont les vérifications d'état ont échoué.

  • Vérifiez que la table de routage du sous-réseau contient une route qui envoie tout le trafic destiné à l’extérieur du VPC vers la passerelle Internet du VPC. Pour plus d’informations, consultez Créer une table de routage personnalisée (Passerelles Internet) dans le Amazon VPC Guide de l’utilisateur.

  • Vérifiez que le pare-feu Windows, ou tout autre logiciel de pare-feu, ne bloque pas le trafic RDP vers l’instance. Nous vous recommandons de désactiver le pare-feu Windows et le contrôle d’accès à votre instance à l’aide des règles des groupes de sécurité. Vous pouvez utiliser AWSSupport-TroubleshootRDPàdisable the Windows Firewall profiles using SSM Agent. Pour désactiver le pare-feu Windows sur une instance Windows qui n'est pas configurée pour AWS Systems Manager, utilisez AWSSupport-ExecuteEC2Rescue, ou suivez les étapes manuelles suivantes :

  1. Arrêtez l’instance affectée et détachez son volume racine.

  2. Lancez une instance temporaire dans la même zone de disponibilité que l’instance affectée.

    Avertissement

    Si votre instance temporaire est basée sur la même AMI que l’instance d’origine, vous devez effectuer des étapes supplémentaires. Dans le cas contraire, vous ne serez pas en mesure de démarrer l’instance d’origine après la restauration de son volume racine en raison d’une collision de signature de disque. Sinon, sélectionnez une autre AMI pour l’instance temporaire. Par exemple, si l'instance d'origine utilise l'AMI AWS Windows pour Windows Server 2016, lancez l'instance temporaire à l'aide de l'AMI AWS Windows pour Windows Server 2019.

  3. Attachez le volume racine de l’instance affectée à cette instance temporaire. Connectez-vous à l’instance temporaire, ouvrez l’utilitaire Gestion des disques et mettez le lecteur en ligne.

  4. Ouvrez Regedit et sélectionnez HKEY_LOCAL_MACHINE. Dans le menu File (Fichier), choisissez Load Hive (Charger Hive). Sélectionnez le lecteur, ouvrez le fichier Windows\System32\config\SYSTEM et spécifiez un nom de clé lorsque vous y êtes invité (vous pouvez utiliser n’importe quel nom).

  5. Sélectionnez la clé que vous venez de charger et naviguez jusqu’à ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy. Pour chaque clé portant un nom au format xxxxProfile, sélectionnez la clé et passez EnableFirewall de 1 à 0. Sélectionnez à nouveau la clé, puis dans le menu File (Fichier), sélectionnez Unload Hive (Décharger Hive).

  6. (Facultatif) Si votre instance temporaire est basée sur la même AMI que l’instance d’origine, vous devez effectuer les étapes suivantes. Dans le cas contraire, vous ne serez pas en mesure de démarrer l’instance d’origine après la restauration de son volume racine en raison d’une collision de signature de disque.

    Avertissement

    La procédure suivante décrit comment modifier le Registre Windows à l’aide de l’Éditeur de Registre. Si vous n’êtes pas familier avec le Registre Windows ou comment apporter des modifications en toute sécurité à l’aide de l’Éditeur de Registre, consultez Configurer le registre.

    1. Ouvrez une invite de commande, saisissez regedit.exe, puis appuyez sur Entrée.

    2. Dans Editeur de registre, choisissez HKEY_LOCAL_MACHINE dans le menu contextuel (clic droit), puis choisissez Rechercher.

    3. Cliquez sur Windows Boot Manager, puis.choisissez Rechercher suivant.

    4. Choisissez la clé nommée 11000001. Cette clé est apparentée à la clé que vous avez trouvée à l’étape précédente.

    5. Dans le volet droit, choisissez Element, puis.Modifier à partir du menu contextuel (clic droit).

    6. Localisez la signature du disque de quatre octets au décalage 0x38 dans les données. Inversez les octets pour créer la signature du disque et l’écrire. Par exemple, la signature de disque représentée par les données suivantes est E9EB3AA5 :

      ...
0030  00 00 00 00 01 00 00 00
0038  A5 3A EB E9 00 00 00 00
0040  00 00 00 00 00 00 00 00
...

    7. Dans une fenêtre d'invite de commandes, exécutez la commande suivante pour démarrer Microsoft DiskPart.

      diskpart

    8. Exécutez la DiskPart commande suivante pour sélectionner le volume. (Vous pouvez vérifier que le numéro de disque est 1 à l’aide de l’utilitaire Gestion des disques.

      DISKPART> select disk 1

Disk 1 is now the selected disk.

    9. Exécutez la DiskPart commande suivante pour obtenir la signature du disque.

      DISKPART>  uniqueid disk

Disk ID: 0C764FA8

    10. Si la signature de disque affichée à l'étape précédente ne correspond pas à la signature de disque de BCD que vous avez notée plus tôt, utilisez la DiskPart commande suivante pour modifier la signature de disque afin qu'elle corresponde :

      DISKPART> uniqueid disk id=E9EB3AA5

  7. À l’aide de l’utilitaire Gestion des disques, déconnectez le lecteur.

    Note

    Le lecteur est automatiquement hors ligne si l’instance temporaire exécute le même système d’exploitation que l’instance concernée. Vous n’aurez donc pas besoin de le mettre hors ligne manuellement.

  8. Détachez le volume de l’instance temporaire. Vous pouvez mettre l’instance temporaire hors service si vous n’en avez plus besoin.

  9. Restaurez le volume racine de l’instance affectée en attachant celui-ci en tant que /dev/sda1.

  10. Démarrez l'instance.

Erreur lors de l’utilisation du client RDP macOS

Si vous vous connectez à une instance de Windows Server à l'aide du client RDP (Remote Desktop Connection) du site web de Microsoft, il se peut que vous obteniez l'erreur suivante :

Remote Desktop Connection cannot verify the identity of the computer that you want to connect to.

Téléchargez l’application Microsoft Remote Desktop à partir du Mac App Store et utilisez cette application pour vous connecter à votre instance.

RDP affiche un écran noir au lieu du bureau

Essayez ce qui suit pour résoudre ce problème :

  • Consultez la sortie de la console pour plus d’informations. Pour obtenir la sortie de console de votre instance à l'aide de la EC2 console Amazon, sélectionnez l'instance, puis choisissez Actions, Surveiller et dépanner, puis Obtenir le journal du système.

  • Vérifiez que vous exécutez la version la plus récente de votre client RDP.

  • Essayez les paramètres par défaut pour le client RDP.

  • Si vous utilisez la connexion au Bureau à distance, essayez de la démarrer avec l’option /admin comme suit.

    mstsc /v:instance /admin

  • Si le serveur exécute une application plein écran, il se peut qu’elle ait cessé de répondre. Utilisez Ctrl+Shift+Esc pour démarrer le Gestionnaire des tâches de Windows, puis fermez l’application.

  • Si le serveur est sur-utilisé, il peut avoir cessé de répondre. Pour surveiller l'instance à l'aide de la EC2 console Amazon, sélectionnez l'instance, puis sélectionnez l'onglet Surveillance. Si vous avez besoin d’attribuer une taille supérieure au type d’instance, consultez Changements de type d' EC2 instance Amazon.

Impossible de se connecter à distance à une instance avec un utilisateur autre qu’un administrateur

Si vous ne pouvez pas vous connecter à distance à une instance Windows avec un utilisateur qui n’est pas un compte administrateur, vérifiez que l’utilisateur est autorisé à se connecter localement. Consultez Accorder à un utilisateur ou à un groupe le droit de se connecter localement aux contrôleurs de domaine du domaine.

Résolution des problèmes de bureau à distance à l'aide de AWS Systems Manager

Vous pouvez l'utiliser AWS Systems Manager pour résoudre les problèmes de connexion à votre instance Windows à l'aide du protocole RDP.

AWSSupport-TroubleshootRDP

Le document AWSSupport-TroubleshootRDP d'automatisation permet à l'utilisateur de vérifier ou de modifier les paramètres courants de l'instance cible susceptibles d'avoir un impact sur les connexions RDP (Remote Desktop Protocol), tels que le port RDP, l'authentification de la couche réseau (NLA) et les profils de pare-feu Windows. Par défaut, le document lit et produit les valeurs de ces paramètres.

Le document AWSSupport-TroubleshootRDP d'automatisation peut être utilisé avec EC2 des instances, des instances locales et des machines virtuelles (VMs) activées pour être utilisées avec AWS Systems Manager (instances gérées). En outre, il peut également être utilisé avec des EC2 instances de Windows Server qui ne sont pas activées pour être utilisées avec Systems Manager. Pour plus d'informations sur l'activation des instances à utiliser avec AWS Systems Manager, consultez la section Nœuds gérés dans le guide de AWS Systems Manager l'utilisateur.

Pour résoudre les problèmes liés à l'utilisation du document AWSSupport-TroubleshootRDP

  1. Connectez-vous à la console Systems Manager.

  2. Vérifiez que vous êtes dans la même région que l’instance dégradée.

  3. Dans le volet de navigation de gauche, choisissez Documents.

  4. Sur l’onglet Owned by Amazon (Propriété d’Amazon), saisissez AWSSupport-TroubleshootRDP dans le champ de recherche. Lorsque le document AWSSupport-TroubleshootRDP apparaît, sélectionnez-le.

  5. Sélectionnez Execute automation (Exécuter l’automatisation).

  6. Pour Mode d’exécution, choisissez Exécution simple.

  7. Pour les paramètres d'entrée InstanceId, activez Afficher le sélecteur d'instance interactif.

  8. Choisissez votre EC2 instance Amazon.

  9. Consultez les exemples, puis choisissez Exécuter.

  10. Pour surveiller la progression de l’exécution, dans Statut de l’exécution, attendez que le statut passe de En attente à Réussite. Développez Sorties pour afficher les résultats. Pour afficher la sortie de chaque étape, dans Étapes exécutées, choisissez l’ID d’étape.

AWSSupport-TroubleshootRDP exemples

Les exemples suivants vous montrent comment effectuer des tâches de dépannage courantes à l'aide deAWSSupport-TroubleshootRDP. Vous pouvez utiliser soit l'exemple AWS CLI start-automation-executionou le lien fourni vers le AWS Management Console.

Exemple : Vérifier le statut RDP actuel

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region#documentVersion=$LATEST
Exemple : Désactiver le pare-feu Windows

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, Firewall=Disable" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&Firewall=Disable
Exemple : Désactiver l’authentification au niveau du réseau

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, NLASettingAction=Disable" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion
Exemple : Définir le type de démarrage du service RDP sur Automatique et démarrer le service RDP

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPServiceStartupType=Auto, RDPServiceAction=Start" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPServiceStartupType=Auto&RDPServiceAction=Start
Exemple : Restaurer le port RDP par défaut (3389)

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPPortAction=Modify" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPPortAction=Modify
Exemple : Autoriser les connexions à distance

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RemoteConnections=Enable" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RemoteConnections=Enable

AWSSupport-ExecuteEC2 Secours

Le document d'automatisation de AWSSupport-ExecuteEC 2Rescue utilise EC2 Rescue pour Windows Server pour résoudre et restaurer automatiquement la connectivité des EC2 instances et les problèmes RDP. Pour plus d'informations, voir Exécuter l'outil EC2 Rescue sur des instances inaccessibles.

Le document d'automatisation de AWSSupport-ExecuteEC 2Rescue exige l'arrêt et le redémarrage de l'instance. Systems Manager Automation arrête l’instance et crée une Amazon Machine Image (AMI). Les données stockées sur les volumes de stockage d’instance sont perdues. L’adresse IP publique est modifiée si vous n’utilisez pas une adresse IP Elastic. Pour plus d'informations, voir Exécuter l'outil EC2 Rescue sur des instances inaccessibles dans le Guide de l'AWS Systems Manager utilisateur.

Pour résoudre les problèmes à l'aide du document AWSSupport-ExecuteEC 2Rescue

  1. Ouvrez la console Systems Manager.

  2. Vérifiez que vous vous trouvez dans la même région que l' EC2instance Amazon défectueuse.

  3. Dans le panneau de navigation, choisissez Documents.

  4. Recherchez et sélectionnez le document AWSSupport-ExecuteEC2Rescue, puis choisissez Exécuter l’automatisation.

  5. Dans Execution mode (Mode d’exécution), choisissez Simple Execution (Exécution simple).

  6. Dans la section Paramètres d'entrée, pour UnreachableInstanceId, entrez l'ID d' EC2 instance Amazon de l'instance inaccessible.

  7. (Facultatif) Pour LogDestination, entrez le nom du bucket Amazon Simple Storage Service (Amazon S3) si vous souhaitez collecter les journaux du système d'exploitation pour le dépannage de votre instance Amazon EC2 . Les journaux sont chargés automatiquement dans le compartiment spécifié.

  8. Sélectionnez Execute (Exécuter).

  9. Pour surveiller la progression de l’exécution, dans Execution statut (Statut de l’exécution), attendez que le statut passe de Pending (En attente) à Success (Succès). Développez Sorties pour afficher les résultats. Pour afficher la sortie de chaque étape, dans Executed Steps (Étapes exécutées), choisissez l’ID d’étape.

Activer le bureau à distance sur une EC2 instance dotée d'un registre distant

Si votre instance inaccessible n'est pas gérée par le gestionnaire de session de AWS Systems Manager, vous pouvez utiliser le registre distant pour activer Remote Desktop.

  1. Depuis la EC2 console, arrêtez l'instance inaccessible.

  2. Détachez le volume racine de l’instance inaccessible et attachez-le à une instance accessible dans la même zone de disponibilité que le volume de stockage. Si vous n’avez pas d’instance accessible dans la même zone de disponibilité, lancez-en une. Notez le nom du périphérique du volume racine de l’instance inaccessible.

  3. Sur l’instance accessible, ouvrez la Gestion des disques. Vous pouvez le faire en exécutant la commande suivante dans une fenêtre d’invite de commande.

    diskmgmt.msc

  4. Cliquez avec le bouton droit sur le volume récemment attaché provenant de l’instance inaccessible, puis sélectionnez En ligne.

  5. Ouvrez l’Éditeur du Registre Windows. Vous pouvez le faire en exécutant la commande suivante dans une fenêtre d’invite de commande.

    regedit

  6. Dans l’Éditeur du Registre, choisissez HKEY_LOCAL_MACHINE, puis sélectionnez Fichier, Charger Hive.

  7. Sélectionnez le lecteur du volume attaché, accédez à \Windows\System32\config\, sélectionnez SYSTEM, puis choisissez Ouvrir.

  8. Dans Nom de clé, entrez un nom unique pour le répertoire de stockage et choisissez OK.

  9. Sauvegardez la ruche du registre avant d’apporter des modifications au registre.

    1. Dans l'arborescence de la console de l'éditeur de registre, sélectionnez la ruche que vous avez chargée : HKEY_LOCAL_MACHINE \. your-key-name

    2. Choisissez Fichier, Exporter.

    3. Dans la boîte de dialogue Exporter un fichier du Registre, choisissez l’emplacement vers lequel vous souhaitez enregistrer la copie de sauvegarde, puis tapez un nom pour le fichier de sauvegarde dans le champ Nom du fichier.

    4. Choisissez Save (Enregistrer).

  10. Dans l'éditeur du registre, accédez àHKEY_LOCAL_MACHINE\your key name\ControlSet001\Control\Terminal Server, puis dans le volet de détails, double-cliquez sur FDeny TSConnections.

  11. Dans la zone Modifier la valeur DWORD, entrez 0 dans le champ Données de valeur.

  12. Choisissez OK.

    Note

    Si la valeur du champ Données de valeur est 1, l’instance refusera les connexions au bureau à distance. La valeur 0 autorise les connexions au bureau à distance.

  13. Dans l'éditeur du registre, choisissez HKEY_LOCAL_MACHINE \your-key-name, puis sélectionnez Fichier, Décharger la ruche.

  14. Fermez l’Éditeur du Registre et la Gestion des disques.

  15. Depuis la EC2 console, détachez le volume de l'instance accessible, puis attachez-le à nouveau à l'instance inaccessible. Lorsque vous attachez le volume à l’instance inaccessible, saisissez le nom du périphérique que vous avez enregistré précédemment dans le champ Périphérique.

  16. Redémarrez l’instance inaccessible.

J’ai perdu ma clé privée. Comment puis-je me connecter à mon instance Windows ?

Lorsque vous vous connectez à une instance Windows lancée récemment, vous déchiffrez le mot de passe du compte administrateur à l’aide de la clé privée de la paire de clés que vous avez spécifiée lors du lancement de l’instance.

Si vous perdez le mot de passe administrateur et que vous n’avez plus de clé privée, vous devez réinitialiser le mot de passe ou créer une nouvelle instance. Pour de plus amples informations, veuillez consulter Réinitialisation du mot de passe administrateur Windows pour une instance Amazon EC2 Windows. Pour connaître les étapes de réinitialisation du mot de passe à l'aide d'un document Systems Manager, voir Réinitialiser les mots de passe et les clés SSH sur les EC2 instances dans le Guide de AWS Systems Manager l'utilisateur.