Problema RunBooks - Estudio de investigación e ingeniería
Problemas de instalaciónProblemas de gestión de identidadAlmacenamientoInstantáneasInfraestructuraLanzamiento de escritorios virtualesComponente de escritorio virtualEliminación de EnvEntorno de demostración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Problema RunBooks

La siguiente sección contiene los problemas que pueden producirse, cómo detectarlos y sugerencias para resolverlos.

Problemas de instalación

........................

Quiero configurar dominios personalizados después de la instalación RES

nota

Requisitos previos: Debe almacenar el certificado y el PrivateKey contenido en un secreto de Secrets Manager antes de realizar estos pasos.

Agregue certificados al cliente web

  1. Actualiza el certificado adjunto al detector del balanceador de cargas external-alb:

    1. Ve al balanceador de cargas RES externo en la AWS consola, en > Equilibrio de carga > Equilibradores de carga. EC2

    2. Busca el balanceador de cargas que siga la convención de nomenclatura. <env-name>-external-alb

    3. Comprueba los oyentes conectados al balanceador de cargas.

    4. Actualice el listener que tiene un TLS certificadoSSL/predeterminado adjunto con los detalles del nuevo certificado.

    5. Guarde los cambios.

  2. En la tabla de configuración del clúster:

    1. Busque la tabla de configuración del clúster en DynamoDB -> Tablas ->. <env-name>.cluster-settings

    2. Vaya a Explorar elementos y filtre por atributo: nombre «clave», tipo «cadena», condición «contiene» y valor «external_alb».

    3. Establézcalo en True. cluster.load_balancers.external_alb.certificates.provided

    4. Actualice el valor decluster.load_balancers.external_alb.certificates.custom_dns_name. Este es el nombre de dominio personalizado para la interfaz de usuario web.

    5. Actualice el valor decluster.load_balancers.external_alb.certificates.acm_certificate_arn. Es el nombre del recurso de Amazon (ARN) del certificado correspondiente almacenado en Amazon Certificate Manager (ACM).

  3. Actualice el registro de subdominio de Route53 correspondiente que creó para su cliente web para que apunte al DNS nombre del balanceador de cargas de laboratorio externo. <env-name>-external-alb

  4. Si ya SSO está configurado en el entorno, vuelva a configurarlo SSO con las mismas entradas que utilizó inicialmente en el botón Configuración general > Proveedor de identidad > Inicio de sesión único > Estado > Editar del portal web. RES

Añada certificados al VDIs

  1. Conceda permiso a la RES aplicación para realizar una GetSecret operación en el secreto añadiendo las siguientes etiquetas a los secretos:

    • res:EnvironmentName : <env-name>

    • res:ModuleName : virtual-desktop-controller

  2. En la tabla de configuración del clúster:

    1. Busque la tabla de configuración del clúster en DynamoDB -> Tablas ->. <env-name>.cluster-settings

    2. Vaya a Explorar elementos y filtre por atributo: nombre «clave», tipo «cadena», condición «contiene» y valor «dcv_connection_gateway».

    3. Establézcalo en True. vdc.dcv_connection_gateway.certificate.provided

    4. Actualice el valor devdc.dcv_connection_gateway.certificate.custom_dns_name. Este es el nombre de dominio personalizado para el VDI acceso.

    5. Actualice el valor devdc.dcv_connection_gateway.certificate.certificate_secret_arn. Este es ARN el secreto que contiene el contenido del certificado.

    6. Actualice el valor devdc.dcv_connection_gateway.certificate.private_key_secret_arn. Este es el ARN secreto que contiene el contenido de la clave privada.

  3. Actualice la plantilla de lanzamiento utilizada para la instancia de puerta de enlace:

    1. Abra el grupo Auto Scaling en la AWS consola, en EC2> Auto Scaling > Auto Scaling Groups.

    2. Seleccione el grupo de escalado automático de la puerta de enlace que corresponda al RES entorno. El nombre sigue la convención de nomenclatura<env-name>-vdc-gateway-asg.

    3. Busque y abra la plantilla de lanzamiento en la sección de detalles.

    4. En Detalles > Acciones > selecciona Modificar plantilla (Crear nueva versión).

    5. Desplázate hacia abajo hasta Detalles avanzados.

    6. Desplázate hasta el final, hasta Datos de usuario.

    7. Busca las palabras CERTIFICATE_SECRET_ARN yPRIVATE_KEY_SECRET_ARN. Actualice estos valores con lo ARNs indicado en los secretos que contienen el contenido del certificado (consulte el paso 2.c) y la clave privada (consulte el paso 2.d).

    8. Asegúrese de que el grupo Auto Scaling esté configurado para usar la versión recientemente creada de la plantilla de lanzamiento (de la página del grupo Auto Scaling).

  4. Actualice el registro de subdominio de Route53 correspondiente que creó para sus escritorios virtuales para que apunte al DNS nombre del balanceador de cargas nlb externo:. <env-name>-external-nlb

  5. Finalice la instancia dcv-gateway existente <env-name>-vdc-gateway y espere a que se active una nueva.

........................

AWS CloudFormation la pila no se puede crear con el mensaje «WaitCondition recibió un mensaje fallido». Error: estados. TaskFailed»

Para identificar el problema, examine el grupo de CloudWatch registros de Amazon denominado<stack-name>-InstallerTasksCreateTaskDefCreateContainerLogGroup<nonce>-<nonce>. Si hay varios grupos de registros con el mismo nombre, examine el primero que esté disponible. Un mensaje de error en los registros proporcionará más información sobre el problema.

nota

Confirme que los valores de los parámetros no tengan espacios.

........................

No se recibió la notificación por correo electrónico después de que las AWS CloudFormation pilas se crearan correctamente

Si no se recibió una invitación por correo electrónico después de haber creado correctamente las AWS CloudFormation pilas, compruebe lo siguiente:

  1. Confirme que el parámetro de dirección de correo electrónico se haya introducido correctamente.

    Si la dirección de correo electrónico es incorrecta o no se puede acceder a ella, elimine y vuelva a implementar el entorno de Research and Engineering Studio.

  2. Consulta la EC2 consola de Amazon para ver pruebas de casos de ciclismo.

    Si hay EC2 instancias de Amazon con el <envname> prefijo que aparecen como terminadas y, a continuación, se sustituyen por una nueva instancia, es posible que haya un problema con la configuración de la red o de Active Directory.

  3. Si implementaste las fórmulas informáticas de AWS alto rendimiento para crear tus recursos externos, confirma que la VPC pila haya creado las subredes públicas y privadas y otros parámetros seleccionados.

    Si alguno de los parámetros es incorrecto, es posible que tenga que eliminar y volver a implementar el entorno. RES Para obtener más información, consulte Desinstalar el producto.

  4. Si implementó el producto con sus propios recursos externos, confirme que la red y Active Directory coincidan con la configuración esperada.

    Es fundamental confirmar que las instancias de infraestructura se han unido correctamente a Active Directory. Pruebe los pasos que se indican Instancias cíclicas o controladora de vdc en estado fallido a continuación para resolver el problema.

........................

Instancias cíclicas o controladora de vdc en estado fallido

La causa más probable de este problema es la incapacidad de los recursos para conectarse o unirse a Active Directory.

Para comprobar el problema:

  1. Desde la línea de comandos, inicie una sesión con la instancia SSM en ejecución del vdc-controller.

  2. Ejecute sudo su -.

  3. Ejecute systemctl status sssd.

Si el estado es inactivo, ha fallado o aparecen errores en los registros, significa que la instancia no se ha podido unir a Active Directory.

SSMregistro de errores

SSMregistro de errores

Para resolver el problema:

  • Desde la misma instancia de línea de comandos, ejecuta cat /root/bootstrap/logs/userdata.log para investigar los registros.

El problema puede tener una de las tres causas principales posibles.

Revise los registros. Si ve que lo siguiente se repite varias veces, significa que la instancia no ha podido unirse a Active Directory.

+ local AD_AUTHORIZATION_ENTRY=
+ [[ -z '' ]]
+ [[ 0 -le 180 ]]
+ local SLEEP_TIME=34
+ log_info '(0 of 180) waiting for AD authorization, retrying in 34 seconds ...'
++ date '+%Y-%m-%d %H:%M:%S,%3N'
+ echo '[2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ...'
[2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ...
+ sleep 34
+ (( ATTEMPT_COUNT++ ))

  1. Compruebe que los valores de los siguientes parámetros se hayan introducido correctamente durante la creación de la RES pila.

    • directoryservice.ldap_connection_uri

    • directoryservice.ldap_base

    • directoryservice.users.ou

    • directoryservice.groups.eu

    • directoryservice.sudoers.ou

    • directoryservice.computers.ou

    • directoryservice.name

  2. Actualice los valores incorrectos de la tabla de DynamoDB. La tabla se encuentra en la consola de DynamoDB, en Tablas. El nombre de la tabla debe ser. <stack name>.cluster-settings

  3. Tras actualizar la tabla, elimine el administrador de clústeres y el vdc-controller que actualmente ejecutan las instancias del entorno. El escalado automático iniciará nuevas instancias con los valores más recientes de la tabla de DynamoDB.

Si los registros vuelven a aparecerInsufficient permissions to modify computer account, es posible que el ServiceAccount nombre introducido durante la creación de la pila sea incorrecto.

  1. Desde la AWS consola, abre Secrets Manager.

  2. Busque la opción directoryserviceServiceAccountUsername. El secreto debería ser<stack name>-directoryservice-ServiceAccountUsername.

  3. Abre el secreto para ver la página de detalles. En Valor secreto, selecciona Recuperar valor secreto y selecciona Texto sin formato.

  4. Si el valor se actualizó, elimine las instancias del entorno con el administrador de clústeres y el controlador de vdc que se estén ejecutando actualmente. El escalado automático iniciará nuevas instancias con el valor más reciente de Secrets Manager.

Si aparecen los registrosInvalid credentials, es posible que la ServiceAccount contraseña introducida durante la creación de la pila sea incorrecta.

  1. Desde la AWS consola, abre Secrets Manager.

  2. Busque la opción directoryserviceServiceAccountPassword. El secreto debería ser<stack name>-directoryservice-ServiceAccountPassword.

  3. Abre el secreto para ver la página de detalles. En Valor secreto, selecciona Recuperar valor secreto y selecciona Texto sin formato.

  4. Si ha olvidado la contraseña o no está seguro de si es correcta, puede restablecerla en Active Directory y Secrets Manager.

    1. Para restablecer la contraseña en AWS Managed Microsoft AD:

      1. Abra la AWS consola y vaya a AWS Directory Service.

      2. Seleccione el ID de directorio de su RES directorio y elija Acciones.

      3. Seleccione Restablecer contraseña de usuario.

      4. Ingresa el ServiceAccount nombre de usuario.

      5. Introduce una contraseña nueva y selecciona Restablecer contraseña.

    2. Para restablecer la contraseña en Secrets Manager:

      1. Abre la AWS consola y ve a Secrets Manager.

      2. Busque la opción directoryserviceServiceAccountPassword. El secreto debería ser<stack name>-directoryservice-ServiceAccountPassword.

      3. Abre el secreto para ver la página de detalles. En Valor secreto, selecciona Recuperar valor secreto y, a continuación, selecciona Texto sin formato.

      4. Elija Editar.

      5. Establece una nueva contraseña para el ServiceAccount usuario y selecciona Guardar.

  5. Si actualizó el valor, elimine las instancias cluster-manager y vdc-controller del entorno que se estén ejecutando actualmente. El escalado automático iniciará nuevas instancias con el valor más reciente.

........................

La CloudFormation pila de entornos no se puede eliminar debido a un error en el objeto dependiente

Si la eliminación de la <env-name>-vdc CloudFormation pila falla debido a un error de objeto dependiente, como elvdcdcvhostsecuritygroup, podría deberse a que una EC2 instancia de Amazon se lanzó a una subred o grupo de seguridad RES creado mediante la AWS consola.

Para resolver el problema, busca y cancela todas las EC2 instancias de Amazon lanzadas de esta manera. A continuación, puede reanudar la eliminación del entorno.

........................

Se detectó un error en el parámetro de CIDR bloque durante la creación del entorno

Al crear un entorno, aparece un error en el parámetro de CIDR bloque con un estado de respuesta de [FAILED].

Ejemplo de error: 

Failed to update cluster prefix list: 
        An error occurred (InvalidParameterValue) when calling the ModifyManagedPrefixList operation: 
        The specified CIDR (52.94.133.132/24) is not valid. For example, specify a CIDR in the following form: 10.0.0.0/16.

Para resolver el problema, el formato esperado es x.x.x.0/24 o x.x.x.0/32.

........................

CloudFormation error al crear la pila durante la creación del entorno

La creación de un entorno implica una serie de operaciones de creación de recursos. En algunas regiones, puede producirse un problema de capacidad que provoque un error en la creación de una CloudFormation pila.

Si esto ocurre, elimine el entorno y vuelva a intentar la creación. Como alternativa, puede volver a intentar la creación en una región diferente.

........................

La creación de la pila de recursos externos (demostración) falla con _ AdDomainAdminNode CREATE FAILED

Si la creación de la pila del entorno de demostración falla y aparece el siguiente error, es posible que se deba a que Amazon ha aplicado EC2 parches de forma inesperada durante el aprovisionamiento tras el lanzamiento de la instancia. 

AdDomainAdminNode CREATE_FAILED  Failed to receive 1 resource signal(s) within the specified duration
Para determinar la causa del error:

  1. En el administrador de SSM estado, compruebe si la aplicación de parches está configurada y si está configurada para todas las instancias.

  2. En el historial de ejecuciones de SSM RunCommand /Automation, comprueba si la ejecución de un SSM documento relacionado con la aplicación de parches coincide con el lanzamiento de una instancia.

  3. En los archivos de registro de las instancias de Amazon del entorno, revisa el registro de EC2 instancias locales para determinar si la instancia se reinició durante el aprovisionamiento.

Si el problema se debió a la aplicación de parches, retrasa la aplicación de los parches a las RES instancias al menos 15 minutos después del lanzamiento.

........................

Problemas de administración de identidades

La mayoría de los problemas relacionados con el inicio de sesión único (SSO) y la administración de identidades se deben a una configuración incorrecta. Para obtener información sobre cómo configurar su SSO configuración, consulte:

Para solucionar otros problemas relacionados con la administración de identidades, consulte los siguientes temas de solución de problemas:

........................

No estoy autorizado a realizar iam: PassRole

Si recibes un mensaje de error que indica que no estás autorizado a realizar la PassRole acción iam:, debes actualizar tus políticas para que puedas transferirle una función. RES

Algunos AWS servicios te permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir el rol al servicio.

El siguiente ejemplo de error se produce cuando un IAM usuario llamado marymajor intenta usar la consola para realizar una acción en ella. RES Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

En este caso, las políticas de Mary deben actualizarse para que pueda realizar la acción iam:PassRole . Si necesitas ayuda, ponte en contacto con tu AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

........................

Quiero permitir que personas ajenas a mi AWS cuenta accedan a los AWS recursos de mi Estudio de Investigación e Ingeniería

Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.

Para más información, consulte lo siguiente:

........................

Al iniciar sesión en el entorno, vuelvo inmediatamente a la página de inicio de sesión

Este problema se produce cuando SSO la integración está mal configurada. Para determinar el problema, compruebe los registros de la instancia del controlador y revise los ajustes de configuración para ver si hay errores.

Para comprobar los registros:

  1. Abre la CloudWatch consola.

  2. En Grupos de registros, busque el grupo denominado/<environment-name>/cluster-manager.

  3. Abra el grupo de registros para buscar cualquier error en las secuencias de registros.

Para comprobar los ajustes de configuración:

  1. Abra la consola de DynamoDB

  2. En Tablas, busque la tabla denominada. <environment-name>.cluster-settings

  3. Abre la tabla y selecciona Explorar los elementos de la tabla.

  4. Amplíe la sección de filtros e introduzca las siguientes variables:

    • Nombre del atributo: clave

    • Condición: contiene

    • Valor: sso

  5. Elija Ejecutar.

  6. En la cadena devuelta, compruebe que los valores SSO de configuración son correctos. Si son incorrectos, cambie el valor de la clave sso_enabled a False.

    La consola DynamoDB con la pantalla Editar elemento para el valor clave sso_enabled.

  7. Vuelva a la interfaz de RES usuario para volver a configurar. SSO

........................

Se produjo el error «Usuario no encontrado» al intentar iniciar sesión

Si un usuario recibe el error «Usuario no encontrado» al intentar iniciar sesión en la RES interfaz y el usuario está presente en Active Directory:

  • Si el usuario no está presente en AD RES y usted lo agregó recientemente a AD

    • Es posible que el usuario aún no esté sincronizado con. RES RESse sincroniza cada hora, por lo que es posible que tengas que esperar y comprobar que el usuario se ha añadido después de la siguiente sincronización. Para sincronizarla inmediatamente, sigue los pasos que se indican. El usuario se agregó en Active Directory, pero no aparece en RES

  • Si el usuario está presente enRES:

    1. Asegúrese de que la asignación de atributos esté configurada correctamente. Para obtener más información, consulte Configurar tu proveedor de identidad para el inicio de sesión único () SSO.

    2. Asegúrese de que tanto el SAML asunto como el SAML correo electrónico coincidan con la dirección de correo electrónico del usuario.

........................

El usuario se agregó en Active Directory, pero no aparece en RES

Si ha agregado un usuario al Active Directory pero no está en élRES, debe activarse la sincronización de AD. La sincronización de AD se realiza cada hora mediante una función Lambda que importa las entradas de AD al RES entorno. En ocasiones, se produce un retraso hasta que se ejecute el siguiente proceso de sincronización después de añadir nuevos usuarios o grupos. Puede iniciar la sincronización manualmente desde Amazon Simple Queue Service.

Inicie el proceso de sincronización manualmente:

  1. Abre la SQSconsola de Amazon.

  2. En Colas, selecciona<environment-name>-cluster-manager-tasks.fifo.

  3. Seleccione Enviar y recibir mensajes.

  4. En Cuerpo del mensaje, introduzca:

    { "name": "adsync.sync-from-ad", "payload": {} }

  5. Para el ID del grupo de mensajes, introduzca: adsync.sync-from-ad

  6. En el campo ID de deduplicación de mensajes, introduce una cadena alfanumérica aleatoria. Esta entrada debe ser diferente de todas las llamadas realizadas en los cinco minutos anteriores o se ignorará la solicitud.

........................

El usuario no estaba disponible al crear una sesión

Si es un administrador que está creando una sesión, pero descubre que un usuario que está en Active Directory no está disponible al crear una sesión, es posible que el usuario tenga que iniciar sesión por primera vez. Las sesiones solo se pueden crear para usuarios activos. Los usuarios activos deben iniciar sesión en el entorno al menos una vez.

........................

Se ha superado el límite de tamaño: error en el registro del administrador del CloudWatch clúster

2023-10-31T18:03:12.942-07:00 ldap.SIZELIMIT_EXCEEDED: {'msgtype': 100, 'msgid': 11, 'result': 4, 'desc': 'Size limit exceeded', 'ctrls': []}

Si recibe este error en el registro del CloudWatch administrador del clúster, es posible que la búsqueda de LDAP haya devuelto demasiados registros de usuario. Para solucionar este problema, aumenta el límite de resultados de búsqueda IDP de LDAP.

........................

Almacenamiento

........................

Creé el sistema de archivos por completoRES, pero no se monta en los hosts VDI

Los sistemas de archivos deben estar en el estado «Disponible» antes de que los VDI hosts puedan montarlos. Siga los pasos que se indican a continuación para validar que el sistema de archivos se encuentra en el estado requerido.

Amazon EFS

  1. Ve a la EFSconsola de Amazon.

  2. Comprueba que el estado del sistema de archivos esté disponible.

  3. Si el estado del sistema de archivos no está disponible, espere antes de iniciar los VDI hosts.

Amazon FSx ONTAP

  1. Ve a la FSxconsola de Amazon.

  2. Comprueba que el estado esté disponible.

  3. Si el estado no está disponible, espere antes de lanzar los VDI hosts.

........................

He incorporado un sistema de archivos, RES pero no se monta en los hosts VDI

Los sistemas de archivos integrados RES deben tener configuradas las reglas de grupo de seguridad requeridas para permitir que los VDI hosts monten los sistemas de archivos. Como estos sistemas de archivos se crean de forma externaRES, RES no administra las reglas de los grupos de seguridad asociados.

El grupo de seguridad asociado a los sistemas de archivos integrados debe permitir el siguiente tráfico entrante:

  • NFStráfico (puerto: 2049) desde los hosts de Linux VDC

  • SMBtráfico (puerto: 445) desde los hosts de Windows VDC

........................

No puedo leer ni escribir desde los hosts VDI

ONTAPsoportes UNIX NTFS y estilo MIXED de seguridad para los volúmenes. Los estilos de seguridad determinan el tipo de permisos que se ONTAP utilizan para controlar el acceso a los datos y qué tipo de cliente puede modificar estos permisos.

Por ejemplo, si un volumen utiliza un estilo de UNIX seguridad, SMB los clientes pueden seguir accediendo a los datos (siempre que se autentiquen y autoricen correctamente) debido a su naturaleza multiprotocolo. ONTAP Sin embargo, ONTAP utiliza UNIX permisos que solo UNIX los clientes pueden modificar mediante herramientas nativas.

Ejemplo de casos de uso de la gestión de permisos

Uso del volumen UNIX de estilos con cargas de trabajo de Linux

El sudoer puede configurar los permisos para otros usuarios. Por ejemplo, lo siguiente daría a todos los miembros permisos <group-ID> completos de lectura y escritura en el directorio: /<project-name>

sudo chown root:<group-ID> /<project-name>
sudo chmod 770 /<project-name>

Uso de NTFS Style Volume con cargas de trabajo de Linux y Windows

Los permisos de uso compartido se pueden configurar mediante las propiedades de uso compartido de una carpeta concreta. Por ejemplo, en función de un usuario user_01 y una carpetamyfolder, puedes configurar los permisos de Full ControlChange,, Allow o Read paraDeny:

Los permisos de uso compartido se pueden configurar como Permitir o Denegar para tener un control total, modificarlos o leerlos

Si el volumen lo van a utilizar clientes de Linux y Windows, necesitamos configurar una asignación de nombres SVM que asocie cualquier nombre de usuario de Linux al mismo nombre de usuario con el formato de nombre de BIOS dominio de red de dominio\ nombre de usuario. Esto es necesario para traducir entre usuarios de Linux y Windows. Como referencia, consulte Habilitar cargas de trabajo multiprotocolo con Amazon FSx for. NetApp ONTAP

........................

He creado Amazon FSx para NetApp ONTAPRES, pero no se ha unido a mi dominio

Actualmente, cuando creas Amazon FSx for NetApp ONTAP desde la RES consola, el sistema de archivos se aprovisiona pero no se une al dominio. Para unir el sistema de ONTAP archivos creado SVM a tu dominio, consulta Cómo unirse SVMs a un Microsoft Active Directory y sigue los pasos de la FSxconsola de Amazon. Asegúrese de que los permisos necesarios estén delegados a la cuenta de Amazon FSx Service en AD. Una vez que SVM se haya unido al dominio correctamente, vaya a SVM Resumen > Puntos de enlace > SMB DNS nombre y copie el DNS nombre, ya que lo necesitará más adelante.

Una vez unida al dominio, edite la clave de SMB DNS configuración en la tabla DynamoDB de configuración del clúster:

  1. Vaya a la consola de Amazon DynamoDB.

  2. Seleccione Tablas y, a continuación, elija. <stack-name>-cluster-settings

  3. En Explorar los elementos de la tabla, expanda Filtros e introduzca el siguiente filtro:

    • Nombre del atributo: clave

    • Condición: igual a

    • Valor - shared-storage.<file-system-name>.fsx_netapp_ontap.svm.smb_dns

  4. Selecciona el artículo devuelto y, a continuación, Acciones y Editar artículo.

  5. Actualiza el valor con el SMB DNS nombre que copiaste anteriormente.

  6. Elija Save and close.

Además, asegúrate de que el grupo de seguridad asociado al sistema de archivos permita el tráfico, tal y como se recomienda en File System Access Control with Amazon VPC. VDILos nuevos hosts que utilicen el sistema de archivos ahora podrán montar el sistema de archivos SVM y el sistema de archivos unidos al dominio.

Como alternativa, puede incorporar un sistema de archivos existente que ya esté unido a su dominio utilizando la función de sistema de archivos RES integrado; en Administración del entorno, elija Sistemas de archivos, Sistema de archivos integrado.

........................

Instantáneas

........................

Una instantánea tiene el estado Fallido

En la página RES Instantáneas, si una instantánea tiene el estado Fallido, la causa se puede determinar yendo al grupo de CloudWatch registros de Amazon del administrador de clústeres en el momento en que se produjo el error.

[2023-11-19 03:39:20,208] [INFO] [snapshots-service] creating snapshot in S3 Bucket:
  asdf at path s31
[2023-11-19 03:39:20,381] [ERROR] [snapshots-service] An error occurred while
  creating the snapshot: An error occurred (TableNotFoundException)
  when calling the UpdateContinuousBackups operation: 
  Table not found: res-demo.accounts.sequence-config

........................

No se puede aplicar una instantánea y los registros indican que las tablas no se pudieron importar.

Si una instantánea tomada de un entorno anterior no se aplica a un entorno nuevo, busque en los CloudWatch registros el administrador de clústeres para identificar el problema. Si el problema menciona que la nube de tablas requerida no se puede importar, compruebe que la instantánea esté en un estado válido.

  1. Descargue el archivo metadata.json y compruebe que el estado de las ExportStatus distintas tablas es el siguiente. COMPLETED Asegúrese de que las distintas tablas tengan el ExportManifest campo establecido. Si no encuentra configurados los campos anteriores, la instantánea se encuentra en un estado no válido y no se puede utilizar con la funcionalidad de aplicación de instantáneas.

  2. Tras iniciar la creación de una instantánea, asegúrese de que el estado de la instantánea pase a ser activoCOMPLETED. RES El proceso de creación de la instantánea tarda entre 5 y 10 minutos. Vuelva a cargar o vuelva a visitar la página de administración de instantáneas para asegurarse de que la instantánea se creó correctamente. Esto garantizará que la instantánea creada esté en un estado válido.

........................

Infraestructura

........................

Grupos objetivo del balanceador de carga sin instancias en buen estado

Si aparecen problemas como mensajes de error del servidor en la interfaz de usuario o si las sesiones de escritorio no se pueden conectar, eso puede indicar un problema en la infraestructura de las EC2 instancias de Amazon.

Los métodos para determinar el origen del problema consisten en comprobar primero en la EC2 consola de Amazon cualquier EC2 instancia de Amazon que parezca estar finalizando repetidamente y siendo sustituida por instancias nuevas. Si ese es el caso, comprobar los CloudWatch registros de Amazon puede determinar la causa.

Otro método consiste en comprobar los balanceadores de carga del sistema. Un indicio de que puede haber problemas en el sistema es si algún balanceador de carga, que se encuentra en la EC2 consola de Amazon, no muestra ninguna instancia en buen estado registrada.

A continuación se muestra un ejemplo de aspecto normal:

panel de control de balanceadores de carga ec2

Si la entrada Healthy es 0, indica que no hay ninguna EC2 instancia de Amazon disponible para procesar las solicitudes.

Si la entrada Unhealthy no es 0, eso indica que es posible que una EC2 instancia de Amazon esté circulando. Esto puede deberse a que el software de las aplicaciones instaladas no pasa los controles de estado.

Si las entradas en buen estado y en mal estado son 0, eso indica un posible error de configuración de la red. Por ejemplo, es posible que las subredes pública y privada no tengan las correspondientes. AZs Si se produce esta condición, es posible que haya texto adicional en la consola que indique que existe un estado de red.

........................

Lanzamiento de escritorios virtuales

........................

Un escritorio virtual que funcionaba anteriormente ya no se puede conectar correctamente

Si se cierra una conexión de escritorio o ya no puedes conectarte a ella, el problema puede deberse a un error en la EC2 instancia de Amazon subyacente o a que la EC2 instancia de Amazon se haya cancelado o detenido fuera del RES entorno. Es posible que el estado de la interfaz de usuario de administración siga mostrando un estado preparado, pero los intentos de conectarse a ella fallan.

Se debe usar Amazon EC2 Console para determinar si la instancia se ha cerrado o detenido. Si está detenida, intenta iniciarla de nuevo. Si el estado finaliza, será necesario crear otro escritorio. Todos los datos almacenados en el directorio principal del usuario deberían seguir estando disponibles cuando se inicie la nueva instancia.

Si la instancia que falló anteriormente sigue apareciendo en la interfaz de usuario del administrador, es posible que sea necesario cerrarla mediante la interfaz de usuario del administrador.

........................

Solo puedo iniciar 5 escritorios virtuales

El límite predeterminado de la cantidad de escritorios virtuales que un usuario puede lanzar es de 5. Un administrador puede cambiarlo mediante la interfaz de usuario de administración de la siguiente manera:

  • Ve a la configuración del escritorio.

  • Seleccione la pestaña Servidor.

  • En el panel DCVSesión, haga clic en el icono de edición de la derecha.

  • Cambie el valor de Sesiones permitidas por usuario al nuevo valor deseado.

  • Elija Enviar.

  • Actualice la página para confirmar que se ha establecido la nueva configuración.

........................

Los intentos de conexión a Windows desde un escritorio fallan y muestran el mensaje «Se ha cerrado la conexión». «Error de transporte»

Si una conexión de escritorio de Windows falla y aparece el error de interfaz de usuario «Se ha cerrado la conexión». Error de transporte», la causa puede deberse a un problema en el software del DCV servidor relacionado con la creación del certificado en la instancia de Windows.

El grupo de CloudWatch registros de Amazon <envname>/vdc/dcv-connection-gateway puede registrar el error de intento de conexión con mensajes similares a los siguientes:

Nov 24 20:24:27.631 DEBUG HTTP:Splicer Connection{id=9}:
Websocket{session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd"}:
Resolver lookup{client_ip=Some(52.94.36.19) 
session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd"
 protocol_type=WebSocket extension_data=None}:NoStrictCertVerification: 
 Additional stack certificate (0): [s/n: 0E9E9C4DE7194B37687DC4D2C0F5E94AF0DD57E]

Nov 24 20:25:15.384  INFO HTTP:Splicer Connection{id=21}:Websocket{
session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: 
Connection initiated error: unreachable, server io error Custom { 
kind: InvalidData, error:
General("Invalid certificate: certificate has expired (code: 10)") }

Nov 24 20:25:15.384  WARN HTTP:Splicer Connection{id=21}:
Websocket{session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: 
Error in websocket connection: Server unreachable: Server error: IO error: 
unexpected error: Invalid certificate: certificate has expired (code: 10)

Si esto ocurre, una solución podría ser utilizar el administrador de SSM sesiones para abrir una conexión a la instancia de Windows y eliminar los dos archivos relacionados con los certificados siguientes:

PS C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv> dir

    Directory: C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         8/4/2022  12:59 PM           1704 dcv.key
-a----         8/4/2022  12:59 PM           1265 dcv.pem

Los archivos deberían volver a crearse automáticamente y es posible que un intento de conexión posterior se realice correctamente.

Si este método resuelve el problema y si los nuevos lanzamientos de escritorios Windows producen el mismo error, utilice la función Crear pila de software para crear una nueva pila de software de Windows de la instancia fija con los archivos de certificado regenerados. Esto puede generar una pila de software de Windows que se puede utilizar para iniciar y establecer conexiones satisfactorias.

........................

VDIsatascado en estado de aprovisionamiento

Si el inicio de un escritorio permanece en el estado de aprovisionamiento en la interfaz de usuario del administrador, puede deberse a varios motivos.

Para determinar la causa, examina los archivos de registro de la instancia de escritorio y busca errores que puedan estar causando el problema. Este documento contiene una lista de archivos de registro y grupos de CloudWatch registros de Amazon que contienen información relevante en la sección denominada Fuentes útiles de información de registros y eventos.

Las posibles causas de este problema son las siguientes.

  • El AMI identificador utilizado se ha registrado como una pila de software, pero no lo admite. RES

    El script de aprovisionamiento de bootstrap no se completó porque Amazon Machine Image (AMI) no tiene la configuración o las herramientas necesarias esperadas. Los archivos de registro de la instancia, como /root/bootstrap/logs/ los de una instancia de Linux, pueden contener información útil al respecto. AMIsEs posible que los identificadores tomados del AWS Marketplace no funcionen en las instancias RES de escritorio. Es necesario probarlas para confirmar si son compatibles.

  • Los scripts de datos de usuario no se ejecutan cuando la instancia de escritorio virtual de Windows se lanza desde una instancia personalizadaAMI.

    De forma predeterminada, los scripts de datos de usuario se ejecutan una vez cuando se lanza una EC2 instancia de Amazon. Si crea una AMI a partir de una instancia de escritorio virtual existente, registra una pila de software en ella AMI e intenta lanzar otro escritorio virtual con esta pila de software, los scripts de datos de usuario no se ejecutarán en la nueva instancia de escritorio virtual.

    Para solucionar el problema, abra una ventana de PowerShell comandos como administrador en la instancia de escritorio virtual original que utilizó para AMI crearla y ejecute el siguiente comando: 

    C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts\InitializeInstance.ps1 –Schedule

    A continuación, cree una nueva AMI a partir de la instancia. Puede usar el nuevo AMI para registrar pilas de software y lanzar nuevos escritorios virtuales posteriormente. Tenga en cuenta que también puede ejecutar el mismo comando en la instancia que permanece en el estado de aprovisionamiento y reiniciar la instancia para corregir la sesión del escritorio virtual, pero volverá a tener el mismo problema al lanzar otro escritorio virtual desde un escritorio mal configurado. AMI

........................

VDIspasar al estado de error después de iniciarlo

Posible problema 1: el sistema de archivos principal tiene un directorio para el usuario con diferentes POSIX permisos.

Este podría ser el problema al que te enfrentas si se dan las siguientes situaciones:

  1. La RES versión implementada es la 2024.01 o superior.

  2. Durante el despliegue de la RES pila para la que EnableLdapIDMapping se estableció el atributo. True

  3. El sistema de archivos principal especificado durante el despliegue de la RES pila se usó en una versión anterior a la RES 2024.01 o se usó en un entorno anterior con el valor establecido en. EnableLdapIDMapping False

Pasos de resolución: elimine los directorios de usuarios del sistema de archivos.

  1. SSMal host del administrador del clúster.

  2. cd /home.

  3. ls- debería incluir directorios con nombres de directorio que coincidan con los nombres de usuario, como,.. y así sucesivamenteadmin1. admin2

  4. Elimine los directorios,. sudo rm -r 'dir_name' No elimine los directorios ssm-user y ec2-user.

  5. Si los usuarios ya están sincronizados con el nuevo entorno, elimine los del usuario de la tabla de usuarios (excepto clusteradmin). DDB

  6. Inicie la sincronización de AD: sudo /opt/idea/python/3.9.16/bin/resctl ldap sync-from-ad ejecútela en el administrador de clústeres Amazon. EC2

  7. Reinicia la VDI instancia en el Error estado desde la página web. RES Valide que VDI pase al Ready estado en unos 20 minutos.

........................

Componente de escritorio virtual

........................

La EC2 instancia de Amazon aparece repetidamente finalizada en la consola

Si una instancia de infraestructura aparece repetidamente como terminada en la EC2 consola de Amazon, la causa puede estar relacionada con su configuración y depender del tipo de instancia de infraestructura. Los siguientes son métodos para determinar la causa.

Si la instancia de vdc-controller muestra estados terminados repetidamente en la EC2 consola de Amazon, esto puede deberse a una etiqueta secreta incorrecta. Los secretos que mantienen RES tienen etiquetas que se utilizan como parte de las políticas de control de IAM acceso asociadas a la infraestructura de las EC2 instancias de Amazon. Si el controlador vdc está circulando y aparece el siguiente error en el grupo de CloudWatch registros, es posible que el secreto no se haya etiquetado correctamente. Tenga en cuenta que el secreto debe estar etiquetado con lo siguiente:

{
    "res:EnvironmentName": "<envname>" # e.g. "res-demo"
    "res:ModuleName": "virtual-desktop-controller"
}

El mensaje de CloudWatch registro de Amazon correspondiente a este error tendrá un aspecto similar al siguiente:

An error occurred (AccessDeniedException) when calling the GetSecretValue
operation: User: arn:aws:sts::160215750999:assumed-role/<envname>-vdc-gateway-role-us-east-1/i-043f76a2677f373d0 
is not authorized to perform: secretsmanager:GetSecretValue on resource:
arn:aws:secretsmanager:us-east-1:160215750999:secret:Certificate-res-bi-Certs-5W9SPUXF08IB-F1sNRv 
because no identity-based policy allows the secretsmanager:GetSecretValue action

Comprueba las etiquetas de la EC2 instancia de Amazon y confirma que coinciden con la lista anterior.

........................

La instancia de vdc-controller está en ciclo debido a que no se pudo unir al VDI módulo AD/e muestra Failed Health Check API

Si el VDI módulo e no pasa la comprobación de estado, mostrará lo siguiente en la sección Estado del entorno.

un ejemplo de los módulos del entorno y del panel de estado

En este caso, la ruta general para la depuración consiste en consultar los registros del administrador del clúster CloudWatch. (Busque el nombre del grupo de registros). <env-name>/cluster-manager

Posibles problemas:

  • Si los registros contienen el textoInsufficient permissions, asegúrese de que el ServiceAccount nombre de usuario indicado al crear la pila de resoluciones esté escrito correctamente.

    Ejemplo de línea de registro:

    Insufficient permissions to modify computer account: CN=IDEA-586BD25043,OU=Computers,OU=RES,OU=CORP,DC=corp,DC=res,DC=com: 000020E7: AtrErr: DSID-03153943, #1: 0: 000020E7: DSID-03153943, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90008 (userAccountControl):len 4 >> 432 ms - request will be retried in 30 seconds

    • Puede acceder al ServiceAccount nombre de usuario proporcionado durante la RES implementación desde la SecretsManager consola. Busca el secreto correspondiente en el administrador de secretos y selecciona Recuperar texto sin formato. Si el nombre de usuario es incorrecto, selecciona Editar para actualizar el valor secreto. Finalice las instancias actuales de cluster-manager y vdc-controller. Las nuevas instancias aparecerán en un estado estable.

    • El nombre de usuario debe ser ServiceAccount «» si utiliza los recursos creados por la pila de recursos externos proporcionada. Si el DisableADJoin parámetro se estableció en False durante la implementación deRES, asegúrese de que el usuario ServiceAccount «» tenga permisos para crear objetos informáticos en el AD.

  • Si el nombre de usuario utilizado es correcto, pero los registros contienen el textoInvalid credentials, es posible que la contraseña que ingresó sea incorrecta o haya caducado.

    Ejemplo de línea de registro:

    {'msgtype': 97, 'msgid': 1, 'result': 49, 'desc': 'Invalid credentials', 'ctrls': [], 'info': '80090308: LdapErr: DSID-0C090569, comment: AcceptSecurityContext error, data 532, v4563'}

    • Puede leer la contraseña que ingresó durante la creación del entorno accediendo al secreto que almacena la contraseña en la consola de Secrets Manager. Seleccione el secreto (por ejemplo<env_name>directoryserviceServiceAccountPassword) y elija Recuperar texto sin formato.

    • Si la contraseña del secreto es incorrecta, selecciona Editar para actualizar su valor en el secreto. Finalice las instancias actuales de cluster-manager y vdc-controller. Las nuevas instancias usarán la contraseña actualizada y aparecerán en un estado estable.

    • Si la contraseña es correcta, es posible que haya caducado en el Active Directory conectado. Primero tendrá que restablecer la contraseña en Active Directory y, a continuación, actualizar el secreto. Puede restablecer la contraseña del usuario en Active Directory desde la consola de Directory Service:

      1. Elija el ID de directorio adecuado

      2. Seleccione Acciones, restablezca la contraseña del usuario y, a continuación, rellene el formulario con el nombre de usuario (por ejemplo, "ServiceAccount«) y la nueva contraseña.

      3. Si la contraseña recién establecida es diferente de la contraseña anterior, actualice la contraseña en el secreto de Secret Manager correspondiente (por ejemplo,<env_name>directoryserviceServiceAccountPassword.

      4. Finalice las instancias actuales de cluster-manager y vdc-controller. Las nuevas instancias aparecerán en un estado estable.

........................

El proyecto no aparece en el menú desplegable al editar la pila de software para añadirla

Este problema puede estar relacionado con el siguiente problema relacionado con la sincronización de la cuenta de usuario con AD. Si aparece este problema, busca el error <user-home-init> account not available yet. waiting for user to be synced "" en el grupo de registros de CloudWatch Amazon, administrador del clúster, para determinar si la causa es la misma o está relacionada.

........................

El registro de CloudWatch Amazon del administrador de clústeres muestra «user-home-init< > la cuenta aún no está disponible. En espera de que se sincronice el usuario» (donde la cuenta es un nombre de usuario)

El SQS suscriptor está ocupado y atrapado en un bucle infinito porque no puede acceder a la cuenta de usuario. Este código se activa cuando se intenta crear un sistema de archivos doméstico para un usuario durante la sincronización del usuario.

La razón por la que no puede acceder a la cuenta de usuario puede deberse a que no se RES configuró correctamente para el AD en uso. Un ejemplo podría ser que el ServiceAccountCredentialsSecretArn parámetro utilizado en la creación del RES entorno BI/ no fuera el valor correcto.

........................

Al intentar iniciar sesión en el escritorio de Windows, aparece el mensaje «Tu cuenta ha sido deshabilitada». Consulte a su administrador»

pantalla de error de cuenta deshabilitada

Si el usuario no puede volver a iniciar sesión en una pantalla bloqueada, esto puede indicar que el usuario se ha desactivado en el AD configurado RES después de haber iniciado sesión correctamente a través deSSO.

El SSO inicio de sesión debería fallar si la cuenta de usuario está deshabilitada en AD.

........................

DHCPProblemas de opciones con la configuración de AD externa o de cliente

Si encuentra un error relacionado "The connection has been closed. Transport error" con los escritorios virtuales de Windows cuando los usa RES con su propio Active Directory, consulte el CloudWatch registro de dcv-connection-gateway Amazon para ver algo similar a lo siguiente:

Oct 28 00:12:30.626  INFO HTTP:Splicer Connection{id=263}:
Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Connection initiated error: unreachable, server io error Custom { kind: Uncategorized, error: "failed to lookup address information: Name or service not known" } 

Oct 28 00:12:30.626  WARN HTTP:Splicer Connection{id=263}: Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Error in websocket connection: Server unreachable: Server error: IO error: failed to lookup address information: Name or service not known
 
Oct 28 00:12:30.627 DEBUG HTTP:Splicer Connection{id=263}: ConnectionGuard dropped

Si utilizas un controlador de dominio de AD para tus DHCP opciones propiasVPC, debes:

  1. AmazonProvidedDNSAñádelo a los dos controladores de dominioIPs.

  2. Establezca el nombre de dominio en ec2.internal.

Aquí se muestra un ejemplo. Sin esta configuración, el escritorio de Windows generará un error de transporte, ya queRES/DCVbusca el nombre de host ip-10-0-x-xx.ec2.internal.

ejemplo de nombres de dominio y servidores de nombres de dominio

........................

Error de Firefox MOZILLA PKIX _ ERROR _ REQUIRED _ TLS _ FEATURE _ MISSING

Al utilizar el navegador web Firefox, es posible que aparezca un mensaje de error del tipo MOZILLA _ PKIX _ ERROR _ REQUIRED _ TLS _ FEATURE _ _ MISSING cuando intentes conectarte a un escritorio virtual.

La causa es que el servidor RES web está configurado con TLS + Stapling activado, pero no responde con la validación de grapado (consulta https://support.mozilla). org/en-US/questions/1372483.

Para solucionarlo, sigue las instrucciones que se encuentran en: /mozilla_pkix_error_required_tls_feature_missing. https://really-simple-ssl.com

........................

Eliminación de Env

........................

res-xxx-cluster se apilan en el estado FAILED "DELETE_" y no se pueden eliminar manualmente debido al error «El rol no es válido o no se puede asumir»

Si observa que la pila «res-xxx-cluster" está en el estado FAILED "DELETE_" y no se puede eliminar manualmente, puede realizar los siguientes pasos para eliminarla.

Si ve la pila en un estado FAILED «DELETE_», primero intente eliminarla manualmente. Es posible que aparezca un cuadro de diálogo confirmando la opción Eliminar pila. Elija Eliminar.

pantalla emergente de confirmación de eliminación de pila

A veces, incluso si eliminas todos los recursos de la pila necesarios, es posible que sigas viendo el mensaje para seleccionar los recursos que deseas conservar. En ese caso, selecciona todos los recursos como «recursos a conservar» y selecciona Eliminar.

Es posible que veas un error parecido a Role: arn:aws:iam::... is Invalid or cannot be assumed

CloudFormation apila la ventana que muestra un error relacionado con un rol no válido

Esto significa que la función necesaria para eliminar la pila se eliminó primero antes que la pila. Para evitar esto, copia el nombre del rol. Ve a la IAM consola y crea un rol con ese nombre usando los parámetros que se muestran aquí, que son:

  • Para el tipo de entidad de confianza, elija AWS servicio.

  • En Caso de uso, Use cases for other AWS services seleccioneCloudFormation.

IAMLa ventana del paso 1 de creación de roles le permite seleccionar la entidad de confianza

Elija Next (Siguiente). Asegúrese de conceder los permisos «AWSCloudFormationFullAccess» y «AdministratorAccess» al rol. Tu página de reseñas debería tener este aspecto:

esta IAM pantalla le permite asignar un nombre a un rol, revisarlo y crearlo

A continuación, vuelve a la CloudFormation consola y elimina la pila. Ahora deberías poder eliminarlo desde que creaste el rol. Por último, ve a IAM la consola y elimina el rol que creaste.

........................

Recopilación de registros

Iniciar sesión en una EC2 instancia desde la EC2 consola

  • Sigue estas instrucciones para iniciar sesión en tu EC2 instancia de Linux.

  • Sigue estas instrucciones para iniciar sesión en tu EC2 instancia de Windows. A continuación, abre Windows PowerShell para ejecutar cualquier comando.

Recopilación de registros del host de Infrastructure

  1. Administrador de clústeres: obtenga los registros para el administrador de clústeres de los siguientes lugares y adjúntelos al ticket.

    1. Todos los registros del grupo de registros. CloudWatch <env-name>/cluster-manager

    2. Todos los registros del /root/bootstrap/logs directorio de la <env-name>-cluster-manager EC2 instancia. Sigue las instrucciones que aparecen en el enlace «Iniciar sesión en una EC2 instancia desde la EC2 consola» al principio de esta sección para iniciar sesión en tu instancia.

  2. Controlador de VDC: Obtenga los registros del controlador de VDC de los siguientes lugares y adjúntelos al ticket.

    1. Todos los registros del grupo de registros. CloudWatch <env-name>/vdc-controller

    2. Todos los registros del /root/bootstrap/logs directorio de la <env-name>-vdc-controller EC2 instancia. Sigue las instrucciones que aparecen en el enlace «Iniciar sesión en una EC2 instancia desde la EC2 consola» al principio de esta sección para iniciar sesión en tu instancia.

Una de las maneras de obtener los registros fácilmente es seguir las instrucciones de la Descargar registros de EC2 instancias de Linux sección. El nombre del módulo sería el nombre de la instancia.

Recopilación VDI de registros

Identifica la EC2 instancia de Amazon correspondiente

Si un usuario lanzó una VDI con nombre de sesiónVDI1, sería el nombre correspondiente de la instancia en la EC2 consola de Amazon<env-name>-VDI1-<user name>.

Recopile los VDI registros de Linux

Inicia sesión en la EC2 instancia de Amazon correspondiente desde la EC2 consola de Amazon siguiendo las instrucciones que aparecen en «Iniciar sesión en una EC2 instancia desde la EC2 consola» al principio de esta sección. Obtenga todos los registros de los /var/log/dcv/ directorios /root/bootstrap/logs y de la EC2 instancia de VDI Amazon.

Una de las formas de obtener los registros sería subirlos a s3 y luego descargarlos desde allí. Para ello, puedes seguir estos pasos para obtener todos los registros de un directorio y luego subirlos:

  1. Siga estos pasos para copiar los registros dcv del /root/bootstrap/logs directorio:

    sudo su - 
cd /root/bootstrap
mkdir -p logs/dcv_logs
cp -r /var/log/dcv/* logs/dcv_logs/

  2. Ahora, siga los pasos que se indican en la siguiente sección Descargando VDI registros para descargar los registros.

Recopila los VDI registros de Windows

Inicia sesión en la EC2 instancia de Amazon correspondiente desde la EC2 consola de Amazon siguiendo las instrucciones que aparecen en «Iniciar sesión en una EC2 instancia desde la EC2 consola» al principio de esta sección. Obtén todos los registros del $env:SystemDrive\Users\Administrator\RES\Bootstrap\Log\ directorio de la VDI EC2 instancia.

Una de las formas de obtener los registros sería subirlos a S3 y, a continuación, descargarlos desde allí. Para hacerlo, siga los pasos que se enumeran en la siguiente sección:Descargando VDI registros.

........................

Descargando VDI registros

  1. Actualiza el IAM rol de la VDI EC2 instancia para permitir el acceso a S3.

  2. Ve a la EC2 consola y selecciona tu VDI instancia.

  3. Seleccione el IAM rol que está utilizando.

  4. En la sección Políticas de permisos del menú desplegable Añadir permisos, selecciona Adjuntar políticas y, a continuación, selecciona la política de AmazonS3 FullAccess.

  5. Seleccione Añadir permisos para adjuntar esa política.

  6. Después, sigue los pasos que se indican a continuación según tu VDI tipo para descargar los registros. El nombre del módulo sería el nombre de la instancia.

    1. Descargar registros de EC2 instancias de Linuxpara Linux.

    2. Descargar registros de EC2 instancias de Windowspara Windows.

  7. Por último, edite el rol para eliminar la AmazonS3FullAccess política.

nota

Todos VDIs usan el mismo IAM rol, que es <env-name>-vdc-host-role-<region>

........................

Descargar registros de EC2 instancias de Linux

Inicia sesión en la EC2 instancia desde la que quieres descargar los registros y ejecuta los siguientes comandos para cargar todos los registros en un bucket de s3:

sudo su -
ENV_NAME=<environment_name>
REGION=<region>
ACCOUNT=<aws_account_number>
MODULE=<module_name>

cd /root/bootstrap
tar -czvf ${MODULE}_logs.tar.gz logs/ --overwrite
aws s3 cp ${MODULE}_logs.tar.gz s3://${ENV_NAME}-cluster-${REGION}-${ACCOUNT}/${MODULE}_logs.tar.gz

Después, vaya a la consola S3, seleccione el bucket con su nombre <environment_name>-cluster-<region>-<aws_account_number> y descargue el <module_name>_logs.tar.gz archivo cargado anteriormente.

........................

Descargar registros de EC2 instancias de Windows

Inicie sesión en la EC2 instancia desde la que desee descargar los registros y ejecute los siguientes comandos para cargar todos los registros en un bucket de S3:

$ENV_NAME="<environment_name>"
$REGION="<region>"
$ACCOUNT="<aws_account_number>"
$MODULE="<module_name>"

$logDirPath = Join-Path -Path $env:SystemDrive -ChildPath "Users\Administrator\RES\Bootstrap\Log"
$zipFilePath = Join-Path -Path $env:TEMP -ChildPath "logs.zip"
Remove-Item $zipFilePath
Compress-Archive -Path $logDirPath -DestinationPath $zipFilePath
$bucketName = "${ENV_NAME}-cluster-${REGION}-${ACCOUNT}"
$keyName = "${MODULE}_logs.zip"
Write-S3Object -BucketName $bucketName -Key $keyName -File $zipFilePath

Después, vaya a la consola S3, seleccione el bucket con su nombre <environment_name>-cluster-<region>-<aws_account_number> y descargue el <module_name>_logs.zip archivo cargado anteriormente.

........................

Recopilando ECS los registros del WaitCondition error

  1. Ve a la pila desplegada y selecciona la pestaña Recursos.

  2. Expanda Implementar ResearchAndEngineeringStudioInstaladorTareas CreateTaskDefCreateContainer→ → LogGroupy seleccione el grupo de registros para abrir CloudWatch los registros.

  3. Obtenga el registro más reciente de este grupo de registros.

........................

Entorno de demostración

........................

Error de inicio de sesión en el entorno de demostración al gestionar la solicitud de autenticación al proveedor de identidad

Problema

Si intentas iniciar sesión y aparece un «error inesperado al tramitar la solicitud de autenticación al proveedor de identidad», es posible que tus contraseñas estén caducadas. Puede ser la contraseña del usuario con el que intenta iniciar sesión o su cuenta de Active Directory Service.

Mitigación

  1. Restablezca las contraseñas del usuario y de la cuenta de servicio en la consola de servicio de Directory.

  2. Actualice las contraseñas de las cuentas de servicio en Secrets Manager para que coincidan con la nueva contraseña que ingresó anteriormente:

    • para la pila Keycloak: -... PasswordSecret - -... RESExternal - DirectoryService-... con descripción: Contraseña para Microsoft Active Directory

    • paraRES: res- ServiceAccountPassword -... con descripción: contraseña de la cuenta de Active Directory Service

  3. Ve a la EC2consola y termina la instancia del administrador de clústeres. Las reglas de Auto Scaling activarán automáticamente el despliegue de una nueva instancia.

........................