Come posso risolvere gli errori di autenticazione quando utilizzo RDP per connettermi a un'istanza EC2 Windows?

Breve descrizione

Quando utilizzi RDP per accedere a un'istanza Amazon EC2 Windows, potresti ricevere i seguenti errori di autenticazione:

"An authentication error has occurred. The Local Security Authority cannot be contacted."

"The remote computer that you are trying to connect to requires Network Level Authentication (NLA), but your Windows domain controller cannot be contacted to perform NLA. If you are an administrator on the remote computer, you can disable NLA by using the options on the Remote tab of the System Properties dialog box."

Questi errori possono verificarsi nei seguenti casi:

• L'autenticazione a livello di rete (NLA) è attivata per il server.
• La relazione di attendibilità tra il dominio e l'istanza EC2 aggiunta al dominio restituisce un errore durante l'accesso di RDP.

Puoi utilizzare il runbook AWSSupport-TroubleshootRDP oppure puoi risolvere manualmente gli errori.

Risoluzione

Per il server è attivata l’autenticazione a livello di rete (NLA)

Gli errori NLA si verificano quando un'istanza perde la connettività a un controller di dominio perché le credenziali di dominio non sono autenticate. Per risolvere il problema, utilizza uno dei seguenti metodi per disattivare NLA in un'istanza irraggiungibile:

• Esegui l'automazioneAWSSupport-TroubleshootRDP di AWS Systems Manager per modificare le impostazioni dell'istanza.
• Utilizza Gestione sessione di Systems Manager o il comando aws:runPowerShellscript.
• Modifica manualmente il registro offline.

Nota: quando modifichi NLA, devi modificare il registro. Prima di iniziare, crea un'Amazon Machine Image (AMI) dalla tua istanza. In questo modo, viene creato un backup prima di modificare il registro.

Esegui l'automazione AWSSupport-TroubleshootRDP

Prerequisiti:

• Rivedi le modifiche alle impostazioni RDP, al servizio RDP e ai profili firewall di Windows.
• Assicurati che l'istanza EC2 di destinazione abbia un ruolo del profilo dell'istanza AWS Identity and Access Management (AWS IAM) con la policy gestita da Amazon AmazonSSMManagedInstanceCore collegata.
• Verifica che l'attuale utente o ruolo IAM abbia le autorizzazioni richieste. Per ulteriori informazioni, consulta Autorizzazioni IAM richieste in AWSSupport-TroubleshootRDP.
  Nota: se scegli l'opzione AllowOffline, il runbook chiama il runbook AWSSupport-ExecuteEC2Rescue per eseguire la correzione offline. Per avviare il runbook devi avere la policy gestita IAM AmazonSSMAutomationRole collegata. Per ulteriori informazioni, consulta AWSSupport-StartEC2RescueWorkflow.

Per eseguire il runbook di Systems Manager, completa i seguenti passaggi:

1. Apri la console Systems Manager.
2. Nel pannello di navigazione, scegli Documenti.
3. Nella barra di ricerca, inserisci AWSSupport-TroubleshootRDP.
4. Seleziona il documento AWSSupport-TroubleshootRDP.
5. Scegli Esegui automazione.
6. Scegli Esegui.

Per visualizzare i risultati dettagliati dopo il completamento dell'automazione, consulta la sezione Output.

Utilizza Gestione sessione di Systems Manager

Importante: nell’istanza deve essere installato l'Agente Systems Manager (Agente SSM) e l'istanza deve essere online. L'istanza deve inoltre avere un ruolo IAM che conceda le autorizzazioni per Gestione sessione. Per ulteriori informazioni, consulta Soddisfare i prerequisiti di Gestione sessione.

Per aggiungere chiavi di registro e disattivare NLA con Gestione sessione, completa i seguenti passaggi:

1. Apri la console Systems Manager.
2. Nel pannello di navigazione, scegli Fleet Manager.
3. Seleziona l'istanza gestita a cui desideri connetterti.
4. Nel menu Operazioni dei nodi, seleziona Avvia sessione del terminale.
5. Nella sessione del terminale esegui questi comandi:

   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /freg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f
   

Utilizza il comando aws:runPowerShellscript

Importante: l'istanza deve avere l'Agente SSM installato e deve essere online. L'istanza deve inoltre avere un ruolo IAM che conceda le autorizzazioni per Gestione sessione. Per ulteriori informazioni, consulta Soddisfare i prerequisiti di Gestione sessione.

Per aggiungere chiavi di registro e disattivare NLA con il documento di comando aws:runPowerShellscript,completa i seguenti passaggi:

1. Apri la console Systems Manager.
2. Nel pannello di navigazione, scegli Esegui comando, quindi seleziona Esegui un comando.
   Per Documento di comando, seleziona AWS-RunPowerShellScript.
   In Parametri di comando, inserisci i seguenti comandi:

   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /freg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f

   Per Selezione target, seleziona Scegli istanze manualmente, quindi seleziona la tua istanza.
3. Scegli Esegui.
4. Attendi che lo Stato generale cambi in Operazione riuscita. Aggiorna la pagina dopo 2 minuti.
5. Riavvia l'istanza.
6. Usa RDP per accedere all'istanza.

Modifica manualmente il registro offline

Completa i seguenti passaggi:

1. Arresta l'istanza irraggiungibile, quindi scollega il volume principale.

2. Avvia una nuova istanza nella stessa zona di disponibilità dell'istanza irraggiungibile che hai arrestato. La nuova istanza diventa l'istanza di ripristino.

   Importante: per evitare problemi di firma del disco, è consigliabile avviare un'istanza di Windows diversa dall'istanza irraggiungibile.

3. Collega il volume scollegato all'istanza di ripristino come /dev/xvdf.

4. Utilizza RDP per connetterti all'istanza di ripristino, quindi connetti online il volume che hai appena collegato in Disk Manager.

5. In un prompt dei comandi, inserisci regedit.exe, quindi premi Invio per aprire l'editor del registro.

6. Seleziona HKEY_LOCAL_MACHINE, File, quindi Load Hive (Carica hive).

7. Vai alla cartella Windows nel volume collegato, quindi seleziona il file SYSTEM. Il percorso predefinito è D:\Windows\System32\config.

8. Assegna un nome al file SYSTEM. Ad esempio, badsys.

9. Il file di sistema badsys ora appare in HKEY\ _LOCAL\ _MACHINE. In badsys, accedi a ControlSet001, Control, Terminal Server, WinStations, RDP-Tcp.

10. Fai doppio clic su SecurityLayer, quindi imposta i relativi valori su 0.
    Seleziona UserAuthentication, quindi imposta i relativi valori su 0.
    Seleziona AllowSecProtocolNegotiation, quindi imposta i relativi valori su 0.

11. Seleziona badsys, scegli File, quindi seleziona Unload Hive (Scarica hive).

12. Dopo aver scaricato l'hive, apri Disk Manager e metti il disco offline.

13. Scollega il volume dall'istanza di ripristino e collegalo all'istanza irraggiungibile come volume principale (/dev/sda1).

14. Avvia l'istanza e verifica il funzionamento di RDP.

Durante l'accesso RDP la relazione di attendibilità ha esito negativo

Prova ad accedere all'istanza irraggiungibile utilizzando le credenziali utente memorizzate nella cache.

Prerequisiti:

• Un account locale in grado di autenticarsi correttamente nell'istanza EC2.
• (Facoltativo) Almeno un account di dominio connesso quando l'istanza comunicava con il controller di dominio. Affinché l'account di dominio funzioni, le credenziali dell'account di dominio devono essere memorizzate nella cache del server.
  Nota: è consigliabile utilizzare un account locale.
• Quando il controller di dominio non è disponibile, assicurati che l'impostazione per il numero di accessi precedenti da memorizzare nella cache sia impostata almeno su 1. Questa operazione serve per utilizzare gli accessi interattivi. Puoi impostare la politica sul valore predefinito (10). Per impostazione predefinita, la policy non è determinata e puoi utilizzare la policy locale del server.

Per utilizzare le credenziali utente memorizzate nella cache per accedere, completa i seguenti passaggi:

1. Apri la console Amazon EC2.
2. Nel pannello di navigazione, scegli Gruppi di sicurezza.
3. Scegli Crea gruppo di sicurezza.
4. Aggiungi un nome e una descrizione del gruppo di sicurezza.
5. In Regole in entrata, scegli Aggiungi regola.
   Per Tipo, seleziona RDP. Quindi fornisci informazioni sull’origine da cui desideri utilizzare RDP per connetterti.
6. In Regole in uscita, rimuovi tutti gli accessi in uscita.
7. Scegli Crea gruppo di sicurezza.
8. Nel pannello di navigazione, scegli Istanze, quindi seleziona l'istanza irraggiungibile.
9. Scegli Operazioni, Sicurezza, quindi Modifica gruppi di sicurezza. Rimuovi tutti i gruppi di sicurezza esistenti e assegna il gruppo di sicurezza appena creato.
10. Utilizza il normale account di dominio per connetterti all'istanza EC2 tramite RDP. Poiché ha rimosso tutti gli accessi in uscita da Amazon EC2, RDP utilizza le credenziali memorizzate nella cache memorizzate all'interno del server.

Nota: l'autenticazione viene inizialmente tentata tramite il controller di dominio. Tuttavia, poiché non vi è accesso in uscita da Amazon EC2, alla fine l'autenticazione verifica le credenziali memorizzate nella cache del server. L'autenticazione viene ritentata con le credenziali memorizzate nella cache e l'accesso ha esito positivo. Dopo aver effettuato l'accesso, puoi riportare le impostazioni del gruppo di sicurezza allo stato originale. Quindi continua a risolvere eventuali problemi con il dominio.

Altre indicazioni sulla risoluzione dei problemi

Se non riesci ancora a connetterti all’istanza, consulta Come posso risolvere i problemi di connessione RDP con la mia istanza EC2 Windows?

Informazioni correlate

Esegui comando di AWS Systems Manager

Gestione sessione di AWS Systems Manager

Esegui un'operazione automatizzata basata su Automazione Systems Manager

Configurazione del servizio di automazione

Systems Manager Automation runbook reference