Résoudre les problèmes de connexion à votre instance Windows

Vous trouverez ci-dessous des problèmes possibles que vous rencontrez peut-être et des messages d’erreur que vous pouvez voir lorsque vous essayez de vous connecter à votre instance Windows.

Le service Bureau à distance ne peut pas se connecter à l’ordinateur distant

Essayez d’exécuter l’opération suivante pour résoudre les problèmes liés à votre connexion à votre instance :

• Vérifiez que vous utilisez le nom d’hôte DNS public adéquat. (Dans la console Amazon EC2, sélectionnez l’instance et vérifiez DNS public (IPv4) dans le volet des détails.) Si votre instance est un VPC et que le nom DNS public ne s’affiche pas, vous devez activer les noms d’hôtes DNS. Pour plus d’informations, consultez DNS attributes for your VPC (Attributs DNS pour votre VPC) dans le Guide de l’utilisateur d’Amazon VPC.

• Vérifiez que votre instance dispose d’une adresse IPv4 publique. Si non, vous pouvez associer une adresse IP Elastic à votre instance. Pour de plus amples informations, veuillez consulter Adresses IP Elastic.

• Pour vous connecter à votre instance à l’aide d’une adresse IPv6, vérifiez que votre ordinateur local dispose d’une adresse IPv6 et qu’il est configuré pour utiliser IPv6. Pour plus d’informations, consultez Configuration d’IPv6 sur vos instances dans le Guide de l’utilisateur Amazon VPC.

• Vérifiez que votre groupe de sécurité contient une règle qui autorise l’accès RDP. Pour de plus amples informations, veuillez consulter Création d'un groupe de sécurité.

• Si vous avez copié le mot de passe, mais que vous obtenez l’erreur Your credentials did not work, essayez de le saisir manuellement lorsque vous y êtes invité. Il est possible que vous ayez oublié un caractère ou ajouté une espace supplémentaire lorsque vous avez copié le mot de passe.

• Vérifiez que l’instance a réussi les contrôles d’état. Pour plus d’informations, consultez Contrôles de statut pour vos instances et Résoudre les problèmes d’instances avec des contrôles de statut échoués (Amazon EC2 Guide de l’utilisateur pour les instances Linux).

• Vérifiez que la table de routage du sous-réseau contient une route qui envoie tout le trafic destiné à l’extérieur du VPC vers la passerelle Internet du VPC. Pour plus d’informations, consultez Créer une table de routage personnalisée (Passerelles Internet) dans le Amazon VPC Guide de l’utilisateur.

• Vérifiez que le pare-feu Windows, ou tout autre logiciel de pare-feu, ne bloque pas le trafic RDP vers l’instance. Nous vous recommandons de désactiver le pare-feu Windows et le contrôle d’accès à votre instance à l’aide des règles des groupes de sécurité. Vous pouvez AWSSupport-TroubleshootRDP utiliser pour disable the Windows Firewall profiles using SSM Agent. Pour désactiver le pare-feu Windows sur une instance Windows qui n'est pas configurée pour AWS Systems ManagerAWSSupport-ExecuteEC2Rescue, utilisez ou suivez les étapes manuelles suivantes :

Étapes manuelles

1. Arrêtez l’instance affectée et détachez son volume racine.

2. Lancez une instance temporaire dans la même zone de disponibilité que l’instance affectée.

   Avertissement

   Si votre instance temporaire est basée sur la même AMI que l’instance d’origine, vous devez effectuer des étapes supplémentaires. Dans le cas contraire, vous ne serez pas en mesure de démarrer l’instance d’origine après la restauration de son volume racine en raison d’une collision de signature de disque. Sinon, sélectionnez une autre AMI pour l’instance temporaire. Par exemple, si l'instance d'origine utilise l'AMI AWS Windows pour Windows Server 2016, lancez l'instance temporaire à l'aide de l'AMI AWS Windows pour Windows Server 2019.

3. Attachez le volume racine de l’instance affectée à cette instance temporaire. Connectez-vous à l’instance temporaire, ouvrez l’utilitaire Gestion des disques et mettez le lecteur en ligne.

4. Ouvrez Regedit et sélectionnez HKEY_LOCAL_MACHINE. Dans le menu File (Fichier), choisissez Load Hive (Charger Hive). Sélectionnez le lecteur, ouvrez le fichier Windows\System32\config\SYSTEM et spécifiez un nom de clé lorsque vous y êtes invité (vous pouvez utiliser n’importe quel nom).

5. Sélectionnez la clé que vous venez de charger et naviguez jusqu’à ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy. Pour chaque clé portant un nom au format xxxxProfile, sélectionnez la clé et passez EnableFirewall de 1 à 0. Sélectionnez à nouveau la clé, puis dans le menu File (Fichier), sélectionnez Unload Hive (Décharger Hive).

6. (Facultatif) Si votre instance temporaire est basée sur la même AMI que l’instance d’origine, vous devez effectuer les étapes suivantes. Dans le cas contraire, vous ne serez pas en mesure de démarrer l’instance d’origine après la restauration de son volume racine en raison d’une collision de signature de disque.

   Avertissement

   La procédure suivante décrit comment modifier le Registre Windows à l’aide de l’Éditeur de Registre. Si vous n’êtes pas familier avec le Registre Windows ou comment apporter des modifications en toute sécurité à l’aide de l’Éditeur de Registre, consultez Configurer le registre.

   1. Ouvrez une invite de commande, saisissez regedit.exe, puis appuyez sur Entrée.

   2. Dans Editeur de registre, choisissez HKEY_LOCAL_MACHINE dans le menu contextuel (clic droit), puis choisissez Rechercher.

   3. Cliquez sur Windows Boot Manager, puis.choisissez Rechercher suivant.

   4. Choisissez la clé nommée 11000001. Cette clé est apparentée à la clé que vous avez trouvée à l’étape précédente.

   5. Dans le volet droit, choisissez Element, puis.Modifier à partir du menu contextuel (clic droit).

   6. Localisez la signature du disque de quatre octets au décalage 0x38 dans les données. Inversez les octets pour créer la signature du disque et l’écrire. Par exemple, la signature de disque représentée par les données suivantes est E9EB3AA5 :

      ...
      0030  00 00 00 00 01 00 00 00
      0038  A5 3A EB E9 00 00 00 00
      0040  00 00 00 00 00 00 00 00
      ...

   7. Dans une fenêtre d'invite de commandes, exécutez la commande suivante pour démarrer Microsoft DiskPart.

      diskpart

   8. Exécutez la DiskPart commande suivante pour sélectionner le volume. (Vous pouvez vérifier que le numéro de disque est 1 à l’aide de l’utilitaire Gestion des disques.

      DISKPART> select disk 1
      
      Disk 1 is now the selected disk.

   9. Exécutez la DiskPart commande suivante pour obtenir la signature du disque.

      DISKPART>  uniqueid disk
      
      Disk ID: 0C764FA8

   10. Si la signature de disque affichée à l'étape précédente ne correspond pas à la signature de disque de BCD que vous avez notée plus tôt, utilisez la DiskPart commande suivante pour modifier la signature de disque afin qu'elle corresponde :

       DISKPART> uniqueid disk id=E9EB3AA5

7. À l’aide de l’utilitaire Gestion des disques, déconnectez le lecteur.

   Note

   Le lecteur est automatiquement hors ligne si l’instance temporaire exécute le même système d’exploitation que l’instance concernée. Vous n’aurez donc pas besoin de le mettre hors ligne manuellement.

8. Détachez le volume de l’instance temporaire. Vous pouvez mettre l’instance temporaire hors service si vous n’en avez plus besoin.

9. Restaurez le volume racine de l’instance affectée en attachant celui-ci en tant que /dev/sda1.

10. Démarrez l’instance.

• Vérifiez que l’authentification au niveau du réseau est désactivée sur les instances qui ne font pas partie d’un domaine Active Directory (utilisez AWSSupport-TroubleshootRDP pour disable NLA).

• Vérifiez que le type de démarrage du service Remote Desktop (TermService) est automatique et que le service est démarré (utilisé AWSSupport-TroubleshootRDPpourenable and start the RDP service).

• Vérifiez que vous vous connectez au port RDP (Remote Desktop Protocol) approprié, qui est par défaut le port 3389 (utilisez AWSSupport-TroubleshootRDP pour read the current RDP port et change it back to 3389).

• Vérifiez que les connexions via le service Bureau à distance sont autorisées sur votre instance (utilisez AWSSupport-TroubleshootRDP pour enable Remote Desktop connections).

• Vérifiez que le mot de passe n’a pas expiré. Si c’est le cas, vous pouvez le réinitialiser. Pour plus d’informations, consultez Réinitialisation d'un mot de passe administrateur Windows perdu ou expiré.

• Si vous tentez de vous connecter à l’aide d’un utilisateur que vous avez créé sur l’instance et que vous recevez le message d’erreur The user cannot connect to the server due to insufficient access privileges, vérifiez que vous avez autorisé l’utilisateur à se connecter localement. Pour plus d’informations, consultez Accorder à un membre le droit de se connecter localement.

• Si vous tentez d’ouvrir un nombre de sessions RDP simultanées supérieur à la limite autorisée, votre session est mise hors service et le message suivant est renvoyé : Your Remote Desktop Services session has ended. Another user connected to the remote computer, so your connection was lost. Par défaut, deux sessions RDP simultanées sont autorisées sur votre instance.

Erreur lors de l’utilisation du client RDP macOS

Si vous vous connectez à une instance Windows Server à l'aide du client Remote Desktop Connection sur le site Web de Microsoft, le message d'erreur suivant peut s'afficher :

Remote Desktop Connection cannot verify the identity of the computer that you want to connect to.

Téléchargez l’application Microsoft Remote Desktop à partir du Mac App Store et utilisez cette application pour vous connecter à votre instance.

RDP affiche un écran noir au lieu du bureau

Essayez ce qui suit pour résoudre ce problème :

• Consultez la sortie de la console pour plus d’informations. Pour obtenir la sortie de la console de votre instance à l’aide de la console Amazon EC2, sélectionnez l’instance, puis Actions, Surveiller et dépanner et Obtenir le journal système.

• Vérifiez que vous exécutez la version la plus récente de votre client RDP.

• Essayez les paramètres par défaut pour le client RDP. Pour plus d’informations, consultez Remote Session Environment.

• Si vous utilisez la connexion au Bureau à distance, essayez de la démarrer avec l’option /admin comme suit.

  mstsc /v:instance /admin

• Si le serveur exécute une application plein écran, il se peut qu’elle ait cessé de répondre. Utilisez Ctrl+Shift+Esc pour démarrer le Gestionnaire des tâches de Windows, puis fermez l’application.

• Si le serveur est sur-utilisé, il peut avoir cessé de répondre. Pour surveiller l’instance à l’aide de la console Amazon EC2, sélectionnez l’instance, puis sélectionnez l’onglet Surveillance. Si vous avez besoin d’attribuer une taille supérieure au type d’instance, consultez Modifier le type d'instance.

Impossible de se connecter à distance à une instance avec un utilisateur autre qu’un administrateur

Si vous ne pouvez pas vous connecter à distance à une instance Windows avec un utilisateur qui n’est pas un compte administrateur, vérifiez que l’utilisateur est autorisé à se connecter localement. Consultez Accorder à un utilisateur ou à un groupe le droit de se connecter localement aux contrôleurs de domaine du domaine.

Résolution des problèmes de bureau à distance à l'aide de AWS Systems Manager

Vous pouvez l'utiliser AWS Systems Manager pour résoudre les problèmes de connexion à votre instance Windows à l'aide du protocole RDP.

AWSSupport- Résoudre les problèmes liés au RDP

Le document d'automatisation AWSSupport -TroubleShootRDP permet à l'utilisateur de vérifier ou de modifier les paramètres courants de l'instance cible susceptibles d'avoir un impact sur les connexions RDP (Remote Desktop Protocol), tels que le port RDP, l'authentification de couche réseau (NLA) et les profils de pare-feu Windows. Par défaut, le document lit et produit les valeurs de ces paramètres.

Le document d'automatisation AWSSupport -TroubleShootRDP peut être utilisé avec les instances EC2, les instances sur site et les machines virtuelles (VM) activées pour être utilisées avec (instances gérées). AWS Systems Manager En outre, il peut également être utilisé avec des instances EC2 pour Windows Server qui ne sont pas activées pour une utilisation avec Systems Manager. Pour plus d'informations sur l'activation des instances à utiliser avec AWS Systems Manager, consultez la section Nœuds gérés dans le guide de AWS Systems Manager l'utilisateur.

Pour résoudre les problèmes à l'aide du document AWSSupport -TroubleshootRDP

1. Connectez-vous à la console Systems Manager.

2. Vérifiez que vous êtes dans la même région que l’instance dégradée.

3. Dans le volet de navigation de gauche, choisissez Documents.

4. Sur l’onglet Owned by Amazon (Propriété d’Amazon), saisissez AWSSupport-TroubleshootRDP dans le champ de recherche. Lorsque le document AWSSupport-TroubleshootRDP apparaît, sélectionnez-le.

5. Sélectionnez Execute automation (Exécuter l’automatisation).

6. Pour Mode d’exécution, choisissez Exécution simple.

7. Pour les paramètres d'entrée InstanceId, activez Afficher le sélecteur d'instance interactif.

8. Sélectionnez votre instance Amazon EC2.

9. Consultez les exemples, puis choisissez Exécuter.

10. Pour surveiller la progression de l’exécution, dans Statut de l’exécution, attendez que le statut passe de En attente à Réussite. Développez Sorties pour afficher les résultats. Pour afficher la sortie de chaque étape, dans Étapes exécutées, choisissez l’ID d’étape.

AWSSupport- Exemples de résolution des problèmes liés au RDP

Les exemples suivants vous montrent comment effectuer des tâches de dépannage courantes à l'aide de AWSSupport -TroubleShootRDP. Vous pouvez utiliser l'exemple de AWS CLI start-automation-executioncommande ou le lien fourni vers le AWS Management Console.

Exemple : Vérifier le statut RDP actuel

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region#documentVersion=$LATEST

Exemple : Désactiver le pare-feu Windows

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, Firewall=Disable" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&Firewall=Disable

Exemple : Désactiver l’authentification au niveau du réseau

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, NLASettingAction=Disable" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion

Exemple : Définir le type de démarrage du service RDP sur Automatique et démarrer le service RDP

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPServiceStartupType=Auto, RDPServiceAction=Start" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPServiceStartupType=Auto&RDPServiceAction=Start

Exemple : Restaurer le port RDP par défaut (3389)

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPPortAction=Modify" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPPortAction=Modify

Exemple : Autoriser les connexions à distance

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RemoteConnections=Enable" --region region_code

AWS Systems Manager console :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RemoteConnections=Enable

AWSSupport- Exécutez EC2 Rescue

Le document d'automatisation AWSSupport -ExecuteEC2Rescue est utilisé Utiliser EC2Rescue for Windows Server pour résoudre et restaurer automatiquement la connectivité des instances EC2 et les problèmes RDP. Pour plus d’informations, consultez Exécuter l’outil EC2Rescue sur des instances inaccessibles.

Le document d'automatisation AWSSupport -ExecuteEC2Rescue nécessite l'arrêt et le redémarrage de l'instance. Systems Manager Automation arrête l’instance et crée une Amazon Machine Image (AMI). Les données stockées sur les volumes de stockage d’instance sont perdues. L’adresse IP publique est modifiée si vous n’utilisez pas une adresse IP Elastic. Pour plus d’informations, consultez Exécuter l’outil EC2Rescue sur des instances inaccessibles dans le Guide de l’utilisateur AWS Systems Manager .

Pour résoudre les problèmes liés à l'utilisation du document AWSSupport -ExecuteEC2Rescue

1. Ouvrez la console Systems Manager.

2. Vérifiez que vous êtes dans la même région que l’instance Amazon EC2 dégradée.

3. Dans le panneau de navigation, choisissez Documents.

4. Recherchez et sélectionnez le document AWSSupport-ExecuteEC2Rescue, puis choisissez Exécuter l’automatisation.

5. Dans Execution mode (Mode d’exécution), choisissez Simple Execution (Exécution simple).

6. Dans la section Paramètres d'entrée, pour UnreachableInstanceId, entrez l'ID d'instance Amazon EC2 de l'instance inaccessible.

7. (Facultatif) Pour LogDestination, entrez le nom du bucket Amazon Simple Storage Service (Amazon S3) si vous souhaitez collecter les journaux du système d'exploitation pour le dépannage de votre instance Amazon EC2. Les journaux sont chargés automatiquement dans le compartiment spécifié.

8. Sélectionnez Execute (Exécuter).

9. Pour surveiller la progression de l’exécution, dans Execution statut (Statut de l’exécution), attendez que le statut passe de Pending (En attente) à Success (Succès). Développez Sorties pour afficher les résultats. Pour afficher la sortie de chaque étape, dans Executed Steps (Étapes exécutées), choisissez l’ID d’étape.

Activation du Bureau à distance sur une instance EC2 avec le Registre à distance

Si votre instance inaccessible n'est pas gérée par le gestionnaire de session de AWS Systems Manager, vous pouvez utiliser le registre distant pour activer Remote Desktop.

1. À partir de la console EC2, arrêtez l’instance inaccessible.

2. Détachez le volume racine de l’instance inaccessible et attachez-le à une instance accessible dans la même zone de disponibilité que le volume de stockage. Si vous n’avez pas d’instance accessible dans la même zone de disponibilité, lancez-en une. Notez le nom du périphérique du volume racine de l’instance inaccessible.

3. Sur l’instance accessible, ouvrez la Gestion des disques. Vous pouvez le faire en exécutant la commande suivante dans une fenêtre d’invite de commande.

   diskmgmt.msc

4. Cliquez avec le bouton droit sur le volume récemment attaché provenant de l’instance inaccessible, puis sélectionnez En ligne.

5. Ouvrez l’Éditeur du Registre Windows. Vous pouvez le faire en exécutant la commande suivante dans une fenêtre d’invite de commande.

   regedit

6. Dans l’Éditeur du Registre, choisissez HKEY_LOCAL_MACHINE, puis sélectionnez Fichier, Charger Hive.

7. Sélectionnez le lecteur du volume attaché, accédez à \Windows\System32\config\, sélectionnez SYSTEM, puis choisissez Ouvrir.

8. Dans Nom de clé, entrez un nom unique pour le répertoire de stockage et choisissez OK.

9. Sauvegardez la ruche du registre avant d’apporter des modifications au registre.

   1. Dans l'arborescence de la console de l'éditeur de registre, sélectionnez la ruche que vous avez chargée : HKEY_LOCAL_MACHINE \. your-key-name

   2. Choisissez Fichier, Exporter.

   3. Dans la boîte de dialogue Exporter un fichier du Registre, choisissez l’emplacement vers lequel vous souhaitez enregistrer la copie de sauvegarde, puis tapez un nom pour le fichier de sauvegarde dans le champ Nom du fichier.

   4. Choisissez Enregistrer.

10. Dans l’Éditeur du Registre, accédez à HKEY_LOCAL_MACHINE\your key name\ControlSet001\Control\Terminal Server, puis, dans le volet de détails, double-cliquez sur fDenyTSConnections.

11. Dans la zone Modifier la valeur DWORD, entrez 0 dans le champ Données de valeur.

12. Choisissez OK.

    Note

    Si la valeur du champ Données de valeur est 1, l’instance refusera les connexions au bureau à distance. La valeur 0 autorise les connexions au bureau à distance.

13. Dans l'éditeur du registre, choisissez HKEY_LOCAL_MACHINE \ your-key-name, puis sélectionnez Fichier, Décharger la ruche.

14. Fermez l’Éditeur du Registre et la Gestion des disques.

15. À partir de la console EC2, détachez le volume de l’instance accessible et attachez-le à nouveau à l’instance inaccessible. Lorsque vous attachez le volume à l’instance inaccessible, saisissez le nom du périphérique que vous avez enregistré précédemment dans le champ Périphérique.

16. Redémarrez l’instance inaccessible.

J’ai perdu ma clé privée. Comment puis-je me connecter à mon instance Windows ?

Lorsque vous vous connectez à une instance Windows lancée récemment, vous déchiffrez le mot de passe du compte administrateur à l’aide de la clé privée de la paire de clés que vous avez spécifiée lors du lancement de l’instance.

Si vous perdez le mot de passe administrateur et que vous n’avez plus de clé privée, vous devez réinitialiser le mot de passe ou créer une nouvelle instance. Pour plus d’informations, consultez Réinitialisation d'un mot de passe administrateur Windows perdu ou expiré. Pour connaître les étapes de réinitialisation du mot de passe à l’aide d’un document Systems Manager, consultez Réinitialiser des mots de passe et des clés SSH sur des instances EC2 dans le Guide de l’utilisateur AWS Systems Manager .