Risoluzione dei problemi di connessione all'istanza Windows di Amazon EC2 - Amazon Elastic Compute Cloud
Il desktop remoto non può connettersi al computer remotoErrore durante l'uso del client macOS RDPRDP mostra una schermata nera invece del desktopImpossibile accedere da remoto a un'istanza con un utente che non è un amministratore Risoluzione dei problemi di Remote Desktop con AWS Systems ManagerAbilitazione di Desktop remoto in un'istanza EC2 con il Registro di sistema remotoHo perso la mia chiave privata. Come posso connettermi alla mia istanza Windows?

Risoluzione dei problemi di connessione all'istanza Windows di Amazon EC2

Le informazioni e gli errori comuni seguenti possono essere utili per risolvere i problemi di connessione all'istanza Windows.

Il desktop remoto non può connettersi al computer remoto

Prova a eseguire le operazioni seguenti per risolvere i problemi relativi alla connessione all'istanza:

  • Verificare di utilizzare il nome host DNS pubblico corretto. (Nella console Amazon EC2 selezionare l'istanza, quindi scegliere DNS pubblico (IPv4) nel riquadro dei dettagli). Se l'istanza si trova in un VPC e non si visualizza un nome DNS pubblico, è necessario abilitare i nomi host DNS. Per ulteriori informazioni, consulta Attributi DNS per il VPC nella Guida per l'utente di Amazon VPC.

  • Verificare che l'istanza abbia un indirizzo IPv4 pubblico. Se non lo ha, è possibile associare un indirizzo IP Elastic all'istanza. Per ulteriori informazioni, consulta Indirizzi IP elastici.

  • Per connettersi all'istanza utilizzando un indirizzo IPv6, controllare che il computer locale abbia un indirizzo IPv6 e che sia configurato per utilizzare IPv6. Per ulteriori informazioni, consulta Configurazione di IPv6 sulle istanze nella Guida per l'utente di Amazon VPC.

  • Verificare che il gruppo di sicurezza abbia una regola che consente l'accesso RDP sulla porta 3389.

  • Se si copia la password ma si verifica l'errore Your credentials did not work, provare a digitarla manualmente quando richiesto. È possibile che manchi un carattere o che sia stato inserito uno spazio vuoto aggiuntivo durante la copia della password.

  • Verificare che l'istanza abbia superato i controlli dello stato. Per ulteriori informazioni, consulta Verifiche dello stato delle istanze Amazon EC2 e Risoluzione dei problemi relativi alle istanze Amazon EC2 Linux con esito negativo delle verifiche dello stato.

  • Verificare che la tabella di routing per la sottorete abbia un percorso che instrada tutto il traffico destinato al di fuori del VPC al gateway Internet per il VPC. Per ulteriori informazioni, consulta Creazione di una tabella di routing personalizzata (gateway Internet) nella Guida per l'utente di Amazon VPC.

  • Verificare che Windows Firewall, o un altro firewall, non stia bloccando il traffico RDP alla istanza. Si consiglia di disabilitare Windows Firewall e di controllare l'accesso all'istanza utilizzando le regole del gruppo di sicurezza. Puoi utilizzare AWSSupport-TroubleshootRDP per disable the Windows Firewall profiles using SSM Agent. Per disabilitare Windows Firewall su un'istanza Windows non configurata per AWS Systems Manager, utilizza AWSSupport-ExecuteEC2Rescue o la seguente procedura manuale:

  1. Arrestare l'istanza interessata e distaccarne il volume root.

  2. Avviare un'istanza temporanea nella stessa zona di disponibilità dell'istanza interessata.

    avvertimento

    Se la tua istanza temporanea si basa sulla stessa AMI su cui si basa l'istanza originale, devi completare ulteriori operazioni o non sarai in grado di avviare l'istanza originale dopo aver ripristinato il volume radice a causa di una collisione di firme del disco. In alternativa, seleziona un'AMI diversa per l'istanza temporanea. Ad esempio, se l'istanza originale utilizza un'AMI Windows AWS per Windows Server 2016, avvia l'istanza temporanea utilizzando l'AMI AWS Windows per Windows Server 2019.

  3. Collegare il volume radice dall'istanza interessata all'istanza temporanea. Connettersi all'istanza temporanea, aprire l'utilità Gestione disco e portare l'unità online.

  4. Aprire Regedit e selezionare HKEY_LOCAL_MACHINE. Dal menu File scegliere Carica Hive. Selezionare l'unità, aprire il file Windows\System32\config\SYSTEM e specificare un nome della chiave quando richiesto (è possibile utilizzare qualsiasi nome).

  5. Selezionare la chiave appena caricata e passare a ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy. Per ciascuna chiave con un nome dal formato xxxxProfile, selezionare la chiave e modificare EnableFirewall da 1 a 0. Selezionare nuovamente la chiave e, dal menu File, scegliere Scarica Hive.

  6. (Facoltativo) Se la tua istanza temporanea si basa sulla stessa AMI su cui si basa quella originale, devi completare ulteriori operazioni o non sarai in grado di avviare l'istanza originale dopo aver ripristinato il volume di root a causa di un conflitto di firme del disco.

    avvertimento

    Nella procedura seguente viene descritto come modificare il Registro di sistema di Windows utilizzando l'editor del Registro di sistema. Se non hai familiarità con il Registro di sistema di Windows o non sai come apportare modifiche in modo sicuro utilizzando l'editor del Registro di sistema, consulta Configura il Registro di sistema.

    1. Apri un prompt dei comandi, digita regedit.exe e premi Invio.

    2. In Editor del Registro di sistema, scegli HKEY_LOCAL_MACHINE dal menu contestuale (tasto destro del mouse), quindi seleziona Cerca.

    3. Digita Windows Boot Manager e quindi seleziona Trova successivo.

    4. Scegli la chiave denominata 11000001. Questa chiave è un pari livello della chiave trovata nella fase precedente.

    5. Nel riquadro a destra, seleziona Element e quindi Modifica dal menu contestuale (tasto destro del mouse).

    6. Individua la firma del disco a quattro byte con offset 0x38 nei dati. Inverti i byte per creare la firma del disco e annotala. Ad esempio, la firma del disco rappresentata dai seguenti dati è E9EB3AA5:

      ...
0030  00 00 00 00 01 00 00 00
0038  A5 3A EB E9 00 00 00 00
0040  00 00 00 00 00 00 00 00
...

    7. In una finestra del prompt dei comandi, esegui il comando seguente per avviare Microsoft DiskPart.

      diskpart

    8. Esegui il comando DiskPart riportato di seguito per selezionare il volume. (È possibile verificare che il numero del disco sia 1 utilizzando l'utilità Gestione del disco.)

      DISKPART> select disk 1

Disk 1 is now the selected disk.

    9. Per ottenere la firma del disco, esegui il comando DiskPart seguente.

      DISKPART>  uniqueid disk

Disk ID: 0C764FA8

    10. Se la firma del disco mostrata nel passaggio precedente non corrisponde alla firma del disco da BCD annotata in precedenza, utilizza il comando DiskPart seguente per modificare la firma del disco in modo che corrisponda:

      DISKPART> uniqueid disk id=E9EB3AA5

  7. Tramite l'utilità Gestione disco, portare l'unità offline.

    Nota

    L'unità è automaticamente non in linea se l'istanza temporanea esegue lo stesso sistema operativo dell'istanza interessata, quindi non sarà necessario disconnetterla manualmente.

  8. Distaccare il volume dall'istanza temporanea. Se non si utilizza più l'istanza temporanea, è possibile terminarla.

  9. Ripristinare il volume root dell'istanza interessata collegandolo come /dev/sda1.

  10. Avviare l'istanza.

Errore durante l'uso del client macOS RDP

Se si sta effettuando la connessione a un'istanza Windows Server tramite il client Remote Desktop Connection dal sito Web Microsoft, è possibile che venga restituito il seguente errore:

Remote Desktop Connection cannot verify the identity of the computer that you want to connect to.

Scaricare l'app Microsoft Remote Desktop dal Mac App Store e utilizzarla per connettersi all'istanza.

RDP mostra una schermata nera invece del desktop

Per risolvere il problema, prova a eseguire queste operazioni:

  • Per ulteriori informazioni, controllare l'output della console. Per ottenere l'output della console per l'istanza utilizzando la console Amazon EC2, selezionare l'istanza, scegliere Operazioni, Monitoraggio e risoluzione dei problemi, quindi Ottieni il log di sistema.

  • Verificare che sia in esecuzione la versione più recente del client RDP.

  • Provare le impostazioni predefinite per il client RDP. Per ulteriori informazioni, consulta l'articolo sull'ambiente della sessione remota.

  • Se si utilizza la connessione al desktop remoto, provare ad avviarla con l'opzione /admin come mostrato di seguito.

    mstsc /v:instance /admin

  • Se il server esegue un'applicazione a schermo intero, è possibile che abbia smesso di rispondere. Usare Ctrl+Maiusc+Esc per avviare Windows Task Manager, quindi chiudere l'applicazione.

  • Se il server viene utilizzato in modo eccessivo, è possibile che abbia smesso di rispondere. Per monitorare l'istanza che utilizza la console Amazon EC2, selezionare l'istanza e quindi la scheda Monitoraggio. Se è necessario cambiare il tipo di istanza con uno di dimensioni maggiori, consulta Modifiche del tipo di istanza Amazon EC2.

Impossibile accedere da remoto a un'istanza con un utente che non è un amministratore

Se non riesci ad accedere da remoto a un'istanza Windows con un utente che non è un account amministratore, verifica di aver concesso all'utente il diritto di accedere in locale. Consulta Garantire a un utente o a un gruppo il diritto di accesso locale ai controller di dominio.

Risoluzione dei problemi di Remote Desktop con AWS Systems Manager

È possibile utilizzare AWS Systems Manager per risolvere i problemi di connessione all'istanza Windows utilizzando RDP.

AWSSupport-TroubleshootRDP

Il documento sull'automazione AWSSupport-TroubleshootRDP consente all'utente di verificare o modificare impostazioni comuni sull'istanza target che possono avere un impatto sulle connessioni Remote Desktop Protocol (RDP), come i profili RDP Port, Network Layer Authentication (NLA) e Windows Firewall. Per impostazione predefinita, il documento legge e produce i valori di queste impostazioni.

Il documento di automazione AWSSupport-TroubleshootRDP può essere utilizzato con istanze EC2, istanze locali e macchine virtuali (VM) abilitate per l'utilizzo con AWS Systems Manager (istanze gestite). Inoltre, può essere utilizzato anche con istanze EC2 per Windows Server che non sono abilitate per l'utilizzo con Systems Manager. Per informazioni sull'abilitazione di istanze per l'utilizzo con AWS Systems Manager, consulta Nodi gestiti nella Guida per l'utente di AWS Systems Manager.

Per risolvere i problemi utilizzando il documento AWSSupport-TroubleshootRDP

  1. Accedere alla console Systems Manager.

  2. Verificare di trovarsi nella stessa regione dell'istanza danneggiata.

  3. Scegli Documenti nel riquadro di navigazione sinistro.

  4. Nella scheda Di proprietà di Amazon, inserisci AWSSupport-TroubleshootRDP nel campo di ricerca. Quando appare il documento AWSSupport-TroubleshootRDP, selezionalo.

  5. Scegliere Esegui automazione.

  6. Per Modalità esecuzione, scegliere Esecuzione semplice.

  7. Per Parametri di input, InstanceId, abilitare Mostra selettore interattivo delle istanze.

  8. Scegliere l'istanza Amazon EC2.

  9. Rivedere gli esempi, quindi scegliere Esegui.

  10. Per monitorare l'avanzamento dell'esecuzione, per Stato esecuzione, aspettare che lo stato cambi da In sospeso a Riuscito. Espandere Output per vedere i risultati. Per vedere l'output delle singole fasi, in Fasi eseguite, scegliere un elemento da ID fase.

Esempi di AWSSupport-TroubleshootRDP

Gli esempi seguenti illustrano come portare a termine attività comuni di risoluzione dei problemi con AWSSupport-TroubleshootRDP. Puoi utilizzare il comando start-automation-execution della AWS CLI di esempio o il collegamento alla AWS Management Console fornito.

Esempio: verificare lo stato RDP attuale

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom" --region region_code

AWS Systems ManagerConsole :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region#documentVersion=$LATEST
Esempio: disabilitare Windows Firewall

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, Firewall=Disable" --region region_code

AWS Systems ManagerConsole :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&Firewall=Disable
Esempio: disabilitare Network Level Authentication

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, NLASettingAction=Disable" --region region_code

AWS Systems ManagerConsole :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion
Esempio: impostare RDP Service Startup Type su Automatico e avviare il servizio RDP

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPServiceStartupType=Auto, RDPServiceAction=Start" --region region_code

AWS Systems ManagerConsole :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPServiceStartupType=Auto&RDPServiceAction=Start
Esempio: ripristinare la porta RDP predefinita (3389)

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPPortAction=Modify" --region region_code

AWS Systems ManagerConsole :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPPortAction=Modify
Esempio: consentire connessioni remote

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RemoteConnections=Enable" --region region_code

AWS Systems ManagerConsole :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RemoteConnections=Enable

AWSSupport-ExecuteEC2Rescue

Il documento di automazione AWSSupport-ExecuteEC2Rescue utilizza EC2Rescue per Windows Server per risolvere e ripristinare automaticamente la connettività dell'istanza EC2 e problematiche RDP. Per ulteriori informazioni, consulta Esecuzione dello strumento EC2Rescue su istanze non raggiungibili.

Il documento del servizio di automazione AWSSupport-ExecuteEC2Rescue richiede l'arresto e il riavvio dell'istanza. Systems Manager arresta l'istanza e crea un'Amazon Machine Image (AMI). I dati archiviati nei volumi dell'instance store vengono persi. L'indirizzo IP pubblico viene modificato se non si utilizza un IP elastico. Per ulteriori informazioni, consulta Esecuzione dello strumento EC2Rescue su istanze non raggiungibili nella Guida per l'utente di AWS Systems Manager.

Per risolvere i problemi utilizzando il documento WSSupport-ExecuteEC2Rescue

  1. Aprire la console Systems Manager.

  2. Verificare di trovarsi nella stessa regione dell'istanza Amazon EC2 danneggiata.

  3. Nel riquadro di navigazione, scegli Documenti.

  4. Cerca e seleziona il documento AWSSupport-ExecuteEC2Rescue, quindi scegli Esegui automazione.

  5. In Modalità esecuzione, scegliere Esecuzione semplice.

  6. Nella sezione Parametri di input, per UnreachableInstanceId, immettere l'ID dell'istanza Amazon EC2 non raggiungibile.

  7. (Opzionale) In LogDestination inserire il nome del bucket Amazon Simple Storage Service (Amazon S3), se si desidera raccogliere i log del sistema operativo e risolvere i problemi dell'istanza Amazon EC2. I log vengono automaticamente caricati nel bucket specificato.

  8. Selezionare Esegui.

  9. Per monitorare l'avanzamento dell'esecuzione, nello stato Esecuzione, aspettare che lo stato cambi da In sospeso a Riuscito. Espandere Output per vedere i risultati. Per vedere l'output delle singole fasi, in Fasi eseguite, scegliere ID Fase.

Abilitazione di Desktop remoto in un'istanza EC2 con il Registro di sistema remoto

Se l'istanza irraggiungibile non è gestita da AWS Systems Manager Session Manager, è possibile utilizzare il Registro di sistema remoto per abilitare il Desktop remoto.

  1. Dalla console EC2, arrestare l'istanza irraggiungibile.

  2. Scollega il volume root dell'istanza non raggiungibile e collegalo a un'istanza raggiungibile nella stessa zona di disponibilità come volume di archiviazione. Se non disponi di un'istanza raggiungibile nella stessa zona di disponibilità, avviane una. Prendi nota del nome del dispositivo del volume root sull'istanza irraggiungibile.

  3. Sull'istanza raggiungibile, apri Gestione disco. Ciò è possibile emettendo il comando seguente in una finestra di prompt dei comandi.

    diskmgmt.msc

  4. Fai clic con il pulsante destro del mouse sul nuovo volume collegato proveniente dall'istanza irraggiungibile, quindi scegli Online.

  5. Apri l'editor del Registro di Windows. Ciò è possibile emettendo il comando seguente in una finestra di prompt dei comandi.

    regedit

  6. Nell'Editor del registro di sistema, scegliere HKEY_LOCAL_MACHINE, quindi selezionare File, Carica Hive.

  7. Selezionare l'unità del volume allegato, passare a \Windows\System32\config\, selezionare SYSTEM, quindi scegliere Apri.

  8. Per Nome chiave, immettere un nome univoco per l'hive e scegliere OK.

  9. Eseguire il backup dell'hive del Registro di sistema prima di apportare modifiche al Registro di sistema.

    1. Nell'albero della console dell'Editor del registro di sistema seleziona l'hive caricato: HKEY_LOCAL_MACHINE\nome_chiave.

    2. Scegli File, Esporta.

    3. Nella finestra di dialogo Esporta file del Registro di sistema scegliere il percorso in cui si desidera salvare la copia di backup e quindi digitare un nome per il file di backup nel campo Nome file.

    4. Seleziona Salva.

  10. Nell'Editor del registro di sistema passare a HKEY_LOCAL_MACHINE\your key name\ControlSet001\Control\Terminal Server, quindi, nel riquadro dei dettagli, fare doppio clic su fDenyTSConnections.

  11. Nella casella Modifica valore DWORD immettere 0 nel campo Dati valore.

  12. Seleziona OK.

    Nota

    Se il valore nel campo Dati valore è 1, l'istanza negherà le connessioni desktop remoto. Un valore di 0 consente connessioni desktop remoto.

  13. Nell'Editor del registro di sistema, scegli HKEY_LOCAL_MACHINE\nome_chiave, quindi seleziona File, Carica Hive.

  14. Chiudere l'Editor del registro di sistema e Gestione disco.

  15. Dalla console EC2, scollegare il volume root dall'istanza raggiungibile e collegarlo di nuovo all'istanza non raggiungibile. Quando si collega il volume all'istanza irraggiungibile, immettere il nome del dispositivo salvato in precedenza nel campo Dispositivo.

  16. Riavviare l'istanza irraggiungibile.

Ho perso la mia chiave privata. Come posso connettermi alla mia istanza Windows?

Quando ci si connette a un'istanza di Windows appena avviata, decodificare la password per l'account amministratore utilizzando la chiave privata per la coppia di chiavi specificata all'avvio dell'istanza.

Se si perde la password dell'amministratore e non si dispone più della chiave privata, è necessario reimpostare la password o creare una nuova istanza. Per ulteriori informazioni, consulta Reimpostazione della password dell'amministratore Windows per un'istanza Amazon EC2 Windows. Per la procedura di reimpostazione della password utilizzando un documento Systems Manager, consulta Reimpostazione di password e chiavi SSH sulle istanze EC2 nella Guida per l'utente di AWS Systems Manager.