Solucionar problemas de inicialização de instâncias do Windows do Amazon EC2 - Amazon Elastic Compute Cloud

Solucionar problemas de inicialização de instâncias do Windows do Amazon EC2

Veja a seguir dicas de solução de problemas para ajudar na resolução de problemas de senhas e ativação com instâncias do Windows do Amazon EC2.

"A senha não está disponível"

Para se conectar a uma instância do Windows usando Remote Desktop, você deve especificar uma conta e uma senha. As contas e as senhas são fornecidas com base na AMI usada para executar a instância. Você pode recuperar a senha gerada automaticamente para a conta de administrador ou usar a conta e a senha que estavam em uso na instância original na qual a AMI foi criada.

É possível gerar uma senha para a conta do administrador para instâncias iniciadas usando uma AMI personalizada do Windows. Para gerar a senha, você precisará definir algumas configurações no sistema operacional antes da criação da AMI. Para ter mais informações, consulte Criação de uma AMI baseada no Amazon EBS.

Se sua instância do Windows não estiver configurada para gerar uma senha aleatória, você receberá a seguinte mensagem quando recuperar a senha gerada automaticamente usando o console:

Password is not available.
The instance was launched from a custom AMI, or the default password has changed. A
password cannot be retrieved for this instance. If you have forgotten your password, you can
reset it using the Amazon EC2 configuration service. For more information, see Passwords for a
Windows Server instance.

Verifique a saída do console relativa à instância para ver se a AMI usada para executá-la foi criada com a geração de senha desabilitada. Se a geração de senha estiver desabilitada, a saída do console conterá o seguinte:

Ec2SetPassword: Disabled

Se a geração de senha estiver desabilitada e não se lembrar da senha da instância original, você poderá redefinir a senha para essa instância. Para ter mais informações, consulte Redefinir a senha de administrador do Windows para uma instância do Windows do Amazon EC2.

"A senha ainda não está disponível"

Para se conectar a uma instância do Windows usando Remote Desktop, você deve especificar uma conta e uma senha. As contas e as senhas são fornecidas com base na AMI usada para executar a instância. Você pode recuperar a senha gerada automaticamente para a conta de administrador ou usar a conta e a senha que estavam em uso na instância original na qual a AMI foi criada.

A senha deve estar disponível em instantes. Se a senha não estiver disponível, você receberá a seguinte mensagem quando recuperar a senha gerada automaticamente usando o console:

Password not available yet.
Please wait at least 4 minutes after launching an instance before trying to retrieve the 
auto-generated password.

Se estiver demorando mais do que quatro minutos e você ainda não conseguiu obter a senha, é possível que o agente de execução da sua instância não esteja configurado para gerar uma senha. Verifique se a saída do console está vazia. Para ter mais informações, consulte Não foi possível obter o resultado do console.

Verifique também se a conta do AWS Identity and Access Management (IAM) que está sendo usada para acessar o Portal de Gerenciamento tem a ação ec2:GetPasswordData permitida. Para obter mais informações sobre as permissões do IAM, consulte O que é IAM?.

"Não é possível recuperar a senha do Windows"

Para recuperar a senha gerada automaticamente para a conta de administrador, você deve usar a chave privada para o par de chaves que você especificou ao executar a instância. Se você não tiver especificado um par de chaves quando executou a instância, você receberá a seguinte mensagem.

Cannot retrieve Windows password

Você pode encerrar essa instância e executar uma nova instância usando a mesma AMI, certificando-se de especificar um par de chaves.

"Esperando o serviço de metadados"

Uma instância do Windows deve obter informações dos metadados de sua instância para poder se ativar. Por padrão, a configuração WaitForMetaDataAvailable assegura que o serviço EC2Config aguardará que os metadados da instância fiquem acessíveis antes de continuar com o processo de inicialização. Para ter mais informações, consulte Usar metadados da instância para gerenciar a instância do EC2.

Se a instância falhar no teste de acessibilidade, experimente o seguinte para resolver o problema.

  • Verifique o bloco CIDR de sua VPC. Uma instância do Windows não pode ser inicializada corretamente se for executada em uma VPC com um intervalo de endereços IP de 224.0.0.0 a 255.255.255.255 (intervalos de endereços IP de classe D e classe E). Esses intervalos de endereços IP são reservados e não devem ser atribuídos a dispositivos de host. Recomendamos criar uma VPC com um bloco CIDR dos intervalos de endereços IP (não roteáveis publicamente) privados especificados na RFC 1918.

  • É possível que o sistema foi configurado com um endereço IP estático. Tente criar uma interface de rede e anexá-la à instância.

  • Para habilitar o DHCP em uma instância do Windows à qual você não pode se conectar
    1. Interrompa a instância afeta e desanexe seu volume raiz.

    2. Execute uma instância temporária na mesma zona de disponibilidade que a instância afetada.

      Atenção

      Se sua instância temporária for baseada na mesma AMI que a instância original, você deverá concluir as etapas adicionais ou não será possível iniciar a instância original depois de restaurar o volume raiz, por causa de uma colisão de assinatura de disco. Como alternativa, selecione uma AMI diferente para a instância temporária. Por exemplo, se a instância original usa a AMI AWS do Windows para Windows Server 2016, inicie a instância temporária usando a AMI AWS do Windows para Windows Server 2019.

    3. Anexe o volume raiz da instância afetada a essa instância temporária. Conecte-se à instância temporária, abra o utilitário Disk Management e ative a unidade.

    4. Na instância temporária, abra o Regedit e selecione HKEY_LOCAL_MACHINE. No menu Arquivo, escolha Carregar Hive. Selecione a unidade, abra o arquivo Windows\System32\config\SYSTEM e especifique um nome de chave quando solicitado (você pode usar qualquer nome).

    5. Selecione a chave que você acabou de carregar e vá até ControlSet001\Services\Tcpip\Parameters\Interfaces. Cada interface de rede é listada por um GUID. Selecione a interface de rede correta. Se o DHCP estiver desabilitado e um endereço IP estático for atribuído, EnableDHCP será definido como 0. Para habilitar o DHCP, defina EnableDHCP como 1 e exclua as seguintes chaves se existirem: NameServer, SubnetMask, IPAddress e DefaultGateway. Selecione a chave novamente e, no menu Arquivo, escolha Descarregar Hive.

      nota

      Se você possuir várias interfaces de rede, precisará identificar a interface correta para habilitar o DHCP. Para identificar a interface de rede correta, reveja os seguintes valores de chave NameServer, SubnetMask, IPAddress e DefaultGateway. Esses valores exibem a configuração estática da instância anterior.

    6. (Opcional) Se o DHCP já estiver ativado, é possível que você não tenha uma rota para o serviço de metadados. Atualizar o EC2Config pode resolver esse problema.

      1. Faça download e instale a versão mais recente do serviço EC2Config. Para obter mais informações sobre como instalar esse serviço, consulte Instalar a versão mais recente do EC2Config.

      2. Extraia arquivos do arquivo .zip para o diretório Temp na unidade que você associou.

      3. Abra Regedit e selecione HKEY_LOCAL_MACHINE. No menu Arquivo, escolha Carregar Hive. Selecione a unidade, abra o arquivo Windows\System32\config\SOFTWARE e especifique um nome de chave quando solicitado (você pode usar qualquer nome).

      4. Selecione a chave que você acabou de carregar e vá até Microsoft\Windows\CurrentVersion. Selecione a chave RunOnce. (Se essa chave não existir, clique com o botão direito do mouse em CurrentVersion, aponte para Novo, selecione Chave e nomeie a chave RunOnce.) Clique com o botão direito do mouse, aponte para Novo e selecione Valor de string. Insira Ec2Install como o nome e C:\Temp\Ec2Install.exe -q como dados.

      5. Selecione a chave novamente e, no menu Arquivo, escolha Descarregar Hive.

    7. (Opcional) Se sua instância temporária for baseada na mesma AMI que a instância original, você deverá concluir as etapas a seguir ou não será possível iniciar a instância original depois de restaurar o volume raiz, por causa de uma colisão de assinatura de disco.

      Atenção

      O procedimento a seguir descreve como editar o Registro do Windows usando o Editor do Registro. Se você não estiver familiarizado com o Registro do Windows ou como fazer alterações com segurança usando o Editor do Registro, consulteConfigure the Registry (Configurar o Registro).

      1. Abra um prompt de comando, digite regedit.exe e pressione Enter.

      2. No Editor do Registro, escolha HKEY_LOCAL_MACHINE no menu contextual (clique com o botão direito do mouse), depois escolha Localizar.

      3. Digite Windows Boot Manager e escolha Localizar Próxima.

      4. Escolha a chave chamada 11000001. Essa chave é irmã da chave que você localizou na etapa anterior.

      5. No painel direito, selecione Element e escolha Modificar no menu de contexto (clique com o botão direito do mouse).

      6. Localize a assinatura de disco de quatro bytes no deslocamento 0x38 nos dados. Inverta os bytes para criar a assinatura de disco e anote-a. Por exemplo, a assinatura de disco representada pelos seguintes dados é E9EB3AA5:

        ... 0030 00 00 00 00 01 00 00 00 0038 A5 3A EB E9 00 00 00 00 0040 00 00 00 00 00 00 00 00 ...
      7. Em uma janela do prompt de comando, execute o comando a seguir para iniciar o Microsoft DiskPart.

        diskpart
      8. Execute o comando DiskPart a seguir para selecionar o volume. (É possível verificar se o número do disco é 1 usando o utilitário Gerenciamento de disco.)

        DISKPART> select disk 1 Disk 1 is now the selected disk.
      9. Execute o comando DiskPart a seguir para obter a assinatura do disco.

        DISKPART> uniqueid disk Disk ID: 0C764FA8
      10. Se a assinatura de disco mostrada na etapa anterior não corresponder à assinatura de disco do BCD que você anotou anteriormente, use o seguinte comando DiskPart para alterar a assinatura de disco para que ela corresponda:

        DISKPART> uniqueid disk id=E9EB3AA5
    8. Usando o utilitário Disk Management, desative o volume da unidade.

      nota

      A unidade ficará offline automaticamente se a instância temporária estiver executando o mesmo sistema operacional que a instância afetada, portanto, você não precisará deixá-la offline manualmente.

    9. Desanexe o volume da instância temporária. Você pode encerrar a instância temporária se você não tiver utilização adicional para ela.

    10. Restaure o volume raiz da instância afetada anexando o volume como /dev/sda1.

    11. Inicie a instância afetada.

Se você estiver conectado à instância, abra um navegador de Internet na instância e insira a seguinte URL do servidor de metadados:

http://169.254.169.254/latest/meta-data/

Se você não conseguir entrar em contato com o servidor de metadados, tente o seguinte para resolver o problema:

  • Faça download e instale a versão mais recente do serviço EC2Config. Para obter mais informações sobre como instalar esse serviço, consulte Instalar a versão mais recente do EC2Config.

  • Verifique se a instância do Windows está executando drivers PV de RedHat. Em caso afirmativo, atualize os drivers PV. Para ter mais informações, consulte Atualizar drivers PV em instâncias do Windows do EC2.

  • Verifique se o firewall, o IPSec e as configurações de servidor não bloquearem o tráfego de saída para o serviço de metadados (169.254.169.254) ou os servidores de AWS KMS (os endereços são especificados nos elementos do TargetKMSServer em C:\Program Files\Amazon\Ec2ConfigService\Settings\ActivationSettings.xml).

  • Verifique se você tem uma rota para o serviço de metadados (169.254.169.254) usando o seguinte comando.

    route print
  • Verifique se há problemas de rede que podem afetar a zona de disponibilidade para sua instância. Acesse http://status.aws.amazon.com/.

"Não é possível ativar o Windows"

As instâncias do Windows usam a ativação do AWS KMS no Windows. Você pode receber esta mensagem: A problem occurred when Windows tried to activate. Error Code 0xC004F074, se sua instância não conseguir acessar o servidor de AWS KMS. O Windows deve ser ativado a cada 180 dias. O EC2Config tenta entrar em contato com o servidor de AWS KMS antes que o período de ativação expire para garantir que o Windows permaneça ativado.

Se você detectar um problema de ativação do Windows, execute o procedimento a seguir para resolver o problema.

Para EC2Config (AMIs do Windows Server 2012 R2 e anteriores)
  1. Faça download e instale a versão mais recente do serviço EC2Config. Para obter mais informações sobre como instalar esse serviço, consulte Instalar a versão mais recente do EC2Config.

  2. Faça login na instância e abra o seguinte arquivo: C:\Program Files\Amazon\Ec2ConfigService\Settings\config.xml.

  3. Localize o plugin Ec2WindowsActivate no arquivo config.xml. Altere o estado para Habilitado e salve suas alterações.

  4. No snap-in Windows Services, reinicie o serviço EC2Config ou reinicialize a instância.

Se isso não resolver o problema de ativação, siga estas etapas adicionais.

  1. Defina o AWS KMS de destino: C:\> slmgr.vbs /skms 169.254.169.250:1688

  2. Ative o Windows: C:\> slmgr.vbs /ato

Para EC2Launch (AMIs do Windows Server 2016 e posteriores)
  1. De um prompt do PowerShell com direitos administrativos, importe o módulo do EC2Launch:

    PS C:\> Import-Module "C:\ProgramData\Amazon\EC2-Windows\Launch\Module\Ec2Launch.psd1"
  2. Chame a função Add-Routes para ver a lista de novas rotas:

    PS C:\> Add-Routes
  3. Chamar a função Set-ActivationSettings:

    PS C:\> Set-Activationsettings
  4. Em seguida, execute o seguinte script para ativar o Windows:

    PS C:\> cscript "${env:SYSTEMROOT}\system32\slmgr.vbs" /ato

Tanto para EC2Config como para EC2Launch, se você ainda estiver recebendo um erro de ativação, verifique as informações a seguir.

  • Verifique se você tem rotas para os servidores de AWS KMS. Abra C:\Program Files\Amazon\Ec2ConfigService\Settings\ActivationSettings.xml e localize os elementos TargetKMSServer. Execute o comando a seguir e verifique se os endereços para esses servidores de AWS KMS estão listados.

    route print
  • Verifique se a chave do cliente de AWS KMS está definida. Execute o seguinte comando e verifique a saída.

    C:\Windows\System32\slmgr.vbs /dlv

    Se o resultado contiver o erro Error: product key not found (Erro: chave de produto não encontrada), a chave de cliente do AWS KMS não estará definida. Se a chave de cliente do AWS KMS não estiver definida, procure pela chave de cliente conforme descrito neste artigo da Microsoft: AWS KMS Client Setup Keys, e execute o comando a seguir para definir a chave de cliente do AWS KMS.

    C:\Windows\System32\slmgr.vbs /ipk client_key
  • Verifique se o sistema tem a hora e o fuso horário corretos. Se você estiver usando um fuso horário diferente do UTC, adicione a seguinte chave de registro e configure-a 1 para garantir que a hora esteja correta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation\RealTimeIsUniversal.

  • Se o Firewall do Windows estiver habilitado, desabilite-o temporariamente usando o seguinte comando.

    netsh advfirewall set allprofiles state off

"O Windows não é genuíno (0x80070005)"

As instâncias do Windows usam a ativação do AWS KMS no Windows. Se uma instância não conseguir concluir o processo de ativação, ela relatará que a cópia do Windows não é genuína.

Tente as sugestões para "Não é possível ativar o Windows".

"Nenhum servidor de licença do servidor terminal disponível para fornecer uma licença"

Por padrão, o Windows Server é licenciado para dois usuários simultâneos por meio do Remote Desktop. Se você precisar fornecer a mais de dois usuários acesso simultâneo à sua instância do Windows por meio do Remote Desktop, compre uma licença de acesso de cliente (CAL) do Remote Desktop Services e instale as funções Remote Desktop Session Host e Remote Desktop Licensing Server.

Verifique se há os seguintes problemas:

  • Você excedeu o número máximo de sessões simultâneos de RDP.

  • Você instalou a função Windows Remote Desktop Services.

  • O licenciamento expirou. Se o licenciamento expirou, você não poderá se conectar à sua instância do Windows como um usuário. Você pode tentar o seguinte:

    • Conecte-se à instância da linha de comando usando um parâmetro /admin, por exemplo:

      mstsc /v:instance /admin

      Para obter mais informações, consulte o seguinte artigo da Microsoft: Acessar a área de trabalho remota por meio da linha de comando.

    • Interrompa a instância, desanexe seus volumes do Amazon EBS e anexe-os a outra instância na mesma zona de disponibilidade para recuperar os dados.

“Algumas configurações são gerenciadas pela sua organização”

As instâncias executadas a partir das AMIs mais recentes do Windows Server podem exibir uma mensagem do Windows Update informando “Algumas configurações são gerenciadas por sua organização”. Essa mensagem aparece como resultado de alterações no Windows Server e não afeta o comportamento do Windows Update nem sua capacidade de gerenciar as configurações de atualização.

Como remover o aviso
  1. Abra gpedit.msc e navegue até Configuração do Computador, Modelos Administrativos, Componentes do Windows, Atualizações do Windows. Edite Configurar a atualização automática e defina-a como habilitada.

  2. Em um prompt de comando, atualize a política de grupo usando gpupdate /force.

  3. Feche e reabra as configurações do Windows Update. Você verá a mensagem acima sobre as configurações serem gerenciadas por sua organização, seguida por "Baixaremos automaticamente as atualizações, exceto em conexões limitadas (em que taxas podem ser cobradas). Nesse caso, faremos automaticamente download dessas atualizações necessárias para manter o Windows funcionando sem problemas.

  4. Retorne para gpedit.msc e defina a política de grupo como não configurada. Execute gpupdate /force novamente.

  5. Feche o prompt de comando e aguarde alguns minutos.

  6. Reabra as configurações do Windows Update. Você não deve ver a mensagem “Algumas configurações são gerenciadas pela sua organização”