Résoudre les problèmes de connexion à votre instance Windows

Vous trouverez ci-dessous des problèmes possibles que vous rencontrez peut-être et des messages d'erreur que vous pouvez voir lorsque vous essayez de vous connecter à votre instance Windows.

Le service Bureau à distance ne peut pas se connecter à l'ordinateur distant

Essayez d'exécuter l'opération suivante pour résoudre les problèmes liés à votre connexion à votre instance :

• Vérifiez que vous utilisez le nom d'hôte DNS public adéquat. (Dans la console Amazon EC2, sélectionnez l'instance et vérifiez DNS public (IPv4) dans le volet des détails.) Si votre instance est un VPC et que le nom DNS public ne s'affiche pas, vous devez activer les noms d'hôtes DNS. Pour plus d'informations, consultez DNS attributes for your VPC (Attributs DNS pour votre VPC) dans le Guide de l'utilisateur d'Amazon VPC.

• Vérifiez que votre instance dispose d'une adresse IPv4 publique. Si non, vous pouvez associer une adresse IP Elastic à votre instance. Pour de plus amples informations, veuillez consulter Adresses IP Elastic.

• Pour vous connecter à votre instance à l'aide d'une adresse IPv6, vérifiez que votre ordinateur local dispose d'une adresse IPv6 et qu'il est configuré pour utiliser IPv6. Si vous avez lancé une instance à partir d'une AMI Windows Server 2008 SP2 ou antérieure, votre instance n'est pas automatiquement configurée pour reconnaître une adresse IPv6 attribuée à l'instance. Pour plus d'informations, consultez Configuration d'IPv6 sur vos instances dans le Guide de l'utilisateur Amazon VPC.

• Vérifiez que votre groupe de sécurité contient une règle qui autorise l'accès RDP. Pour de plus amples informations, veuillez consulter Création d'un groupe de sécurité.

• Si vous avez copié le mot de passe, mais que vous obtenez l'erreur Your credentials did not work, essayez de le saisir manuellement lorsque vous y êtes invité. Il est possible que vous ayez oublié un caractère ou ajouté une espace supplémentaire lorsque vous avez copié le mot de passe.

• Vérifiez que l'instance a réussi les contrôles d'état. Pour plus d'informations, consultez Contrôles de statut pour vos instances et Résoudre les problèmes d'instances avec des contrôles de statut échoués (Amazon EC2 Guide de l'utilisateur pour les instances Linux).

• Vérifiez que la table de routage du sous-réseau contient une route qui envoie tout le trafic destiné à l'extérieur du VPC vers la passerelle Internet du VPC. Pour plus d'informations, consultez Créer une table de routage personnalisée (Passerelles Internet) dans le Amazon VPC Guide de l'utilisateur.

• Vérifiez que le pare-feu Windows, ou tout autre logiciel de pare-feu, ne bloque pas le trafic RDP vers l'instance. Nous vous recommandons de désactiver le pare-feu Windows et le contrôle d'accès à votre instance à l'aide des règles des groupes de sécurité. Vous pouvez AWSSupport-TroubleshootRDP utiliser pour disable the Windows Firewall profiles using SSM Agent. Pour désactiver le pare-feu Windows sur une instance Windows qui n'est pas configurée pour AWS Systems Manager, utilisez AWSSupport-ExecuteEC2Rescue ou exécutez les étapes manuelles suivantes :

Étapes manuelles

1. Arrêtez l'instance affectée et détachez son volume racine.

2. Lancez une instance temporaire dans la même zone de disponibilité que l'instance affectée.

   Avertissement

   Si votre instance temporaire est basée sur la même AMI que l'instance d'origine, vous devez effectuer des étapes supplémentaires. Dans le cas contraire, vous ne serez pas en mesure de démarrer l'instance d'origine après la restauration de son volume racine en raison d'une collision de signature de disque. Sinon, sélectionnez une autre AMI pour l'instance temporaire. Par exemple, si l'instance d'origine utilise une AMI Windows AWS pour Windows Server 2008 R2, lancez l'instance temporaire à l'aide d'une AMI Windows AWS pour Windows Server 2012.

3. Attachez le volume racine de l'instance affectée à cette instance temporaire. Connectez-vous à l'instance temporaire, ouvrez l'utilitaire Gestion des disques et mettez le lecteur en ligne.

4. Ouvrez Regedit et sélectionnez HKEY_LOCAL_MACHINE. Dans le menu File (Fichier), choisissez Load Hive (Charger Hive). Sélectionnez le lecteur, ouvrez le fichier Windows\System32\config\SYSTEM et spécifiez un nom de clé lorsque vous y êtes invité (vous pouvez utiliser n'importe quel nom).

5. Sélectionnez la clé que vous venez de charger et naviguez jusqu'à ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy. Pour chaque clé portant un nom au format xxxxProfile, sélectionnez la clé et passez EnableFirewall de 1 à 0. Sélectionnez à nouveau la clé, puis dans le menu File (Fichier), sélectionnez Unload Hive (Décharger Hive).

6. (Facultatif) Si votre instance temporaire est basée sur la même AMI que l'instance d'origine, vous devez effectuer les étapes suivantes. Dans le cas contraire, vous ne serez pas en mesure de démarrer l'instance d'origine après la restauration de son volume racine en raison d'une collision de signature de disque.

   Avertissement

   La procédure suivante décrit comment modifier le Registre Windows à l'aide de l'Éditeur de Registre. Si vous n'êtes pas familier avec le Registre Windows ou comment apporter des modifications en toute sécurité à l'aide de l'Éditeur de Registre, consultez Configurer le registre.

   1. Ouvrez une invite de commande, saisissez regedit.exe, puis appuyez sur Entrée.

   2. Dans Editeur de registre, choisissez HKEY_LOCAL_MACHINE dans le menu contextuel (clic droit), puis choisissez Rechercher.

   3. Cliquez sur Windows Boot Manager, puis.choisissez Rechercher suivant.

   4. Choisissez la clé nommée 11000001. Cette clé est apparentée à la clé que vous avez trouvée à l'étape précédente.

   5. Dans le volet droit, choisissez Element, puis.Modifier à partir du menu contextuel (clic droit).

   6. Localisez la signature du disque de quatre octets au décalage 0x38 dans les données. Inversez les octets pour créer la signature du disque et l'écrire. Par exemple, la signature de disque représentée par les données suivantes est E9EB3AA5 :

      ...
      0030  00 00 00 00 01 00 00 00
      0038  A5 3A EB E9 00 00 00 00
      0040  00 00 00 00 00 00 00 00
      ...

   7. Dans une fenêtre d'invite de commande, exécutez la commande suivante pour démarrer Microsoft DiskPart.

      diskpart

   8. Exécutez la commande DiskPart suivante pour sélectionner le volume. (Vous pouvez vérifier que le numéro de disque est 1 à l'aide de l'utilitaire Gestion des disques.

      DISKPART> select disk 1
      
      Disk 1 is now the selected disk.

   9. Exécutez la commande DiskPart suivante pour obtenir la signature du disque.

      DISKPART>  uniqueid disk
      
      Disk ID: 0C764FA8

   10. Si la signature du disque affichée à l'étape précédente ne correspond pas à la signature du disque du BCD que vous avez notée précédemment, utilisez la commande DiskPart suivante pour modifier la signature du disque afin qu'elle corresponde :

       DISKPART> uniqueid disk id=E9EB3AA5

7. À l'aide de l'utilitaire Gestion des disques, déconnectez le lecteur.

   Note

   Le lecteur est automatiquement hors ligne si l'instance temporaire exécute le même système d'exploitation que l'instance concernée. Vous n'aurez donc pas besoin de le mettre hors ligne manuellement.

8. Détachez le volume de l'instance temporaire. Vous pouvez mettre l'instance temporaire hors service si vous n'en avez plus besoin.

9. Restaurez le volume racine de l'instance affectée en attachant celui-ci en tant que /dev/sda1.

10. Démarrez l'instance.

• Vérifiez que l'authentification au niveau du réseau est désactivée sur les instances qui ne font pas partie d'un domaine Active Directory (utilisez AWSSupport-TroubleshootRDP pour disable NLA).

• Vérifiez que le type de démarrage du service Bureau à distance (TermService) est Automatique et que le service est démarré (utilisez AWSSupport-TroubleshootRDP pour enable and start the RDP service).

• Vérifiez que vous vous connectez au port RDP (Remote Desktop Protocol) approprié, qui est par défaut le port 3389 (utilisez AWSSupport-TroubleshootRDP pour read the current RDP port et change it back to 3389).

• Vérifiez que les connexions via le service Bureau à distance sont autorisées sur votre instance (utilisez AWSSupport-TroubleshootRDP pour enable Remote Desktop connections).

• Vérifiez que le mot de passe n'a pas expiré. Si c'est le cas, vous pouvez le réinitialiser. Pour de plus amples informations, veuillez consulter Réinitialisation d'un mot de passe administrateur Windows perdu ou expiré.

• Si vous tentez de vous connecter à l'aide d'un utilisateur que vous avez créé sur l'instance et que vous recevez le message d'erreur The user cannot connect to the server due to insufficient access privileges, vérifiez que vous avez autorisé l'utilisateur à se connecter localement. Pour plus d'informations, consultez Accorder à un membre le droit de se connecter localement.

• Si vous tentez d'ouvrir un nombre de sessions RDP simultanées supérieur à la limite autorisée, votre session est mise hors service et le message suivant est renvoyé : Your Remote Desktop Services session has ended. Another user connected to the remote computer, so your connection was lost. Par défaut, deux sessions RDP simultanées sont autorisées sur votre instance.

Erreur lors de l'utilisation du client RDP macOS

Si vous vous connectez à une instance Windows Server 2012 R2 en utilisant le client RDP (Remote Desktop Protocol) sur le site web Microsoft, il se peut que vous obteniez l'erreur suivante :

Remote Desktop Connection cannot verify the identity of the computer that you want to connect to.

Téléchargez l'application Microsoft Remote Desktop à partir du Mac App Store et utilisez cette application pour vous connecter à votre instance.

RDP affiche un écran noir au lieu du bureau

Essayez ce qui suit pour résoudre ce problème :

• Consultez la sortie de la console pour plus d'informations. Pour obtenir la sortie de la console de votre instance à l'aide de la console Amazon EC2, sélectionnez l'instance, puis Actions, Surveiller et dépanner et Obtenir le journal système.

• Vérifiez que vous exécutez la version la plus récente de votre client RDP.

• Essayez les paramètres par défaut pour le client RDP. Pour plus d'informations, consultez Remote Session Environment.

• Si vous utilisez la connexion au Bureau à distance, essayez de la démarrer avec l'option /admin comme suit.

  mstsc /v:instance /admin

• Si le serveur exécute une application plein écran, il se peut qu'elle ait cessé de répondre. Utilisez Ctrl+Shift+Esc pour démarrer le Gestionnaire des tâches de Windows, puis fermez l'application.

• Si le serveur est sur-utilisé, il peut avoir cessé de répondre. Pour surveiller l'instance à l'aide de la console Amazon EC2, sélectionnez l'instance, puis sélectionnez l'onglet Surveillance. Si vous avez besoin d'attribuer une taille supérieure au type d'instance, consultez Modifier le type d'instance.

Impossible de se connecter à distance à une instance avec un utilisateur autre qu'un administrateur

Si vous ne pouvez pas vous connecter à distance à une instance Windows avec un utilisateur qui n'est pas un compte administrateur, vérifiez que l'utilisateur est autorisé à se connecter localement. Consultez Accorder à un utilisateur ou à un groupe le droit de se connecter localement aux contrôleurs de domaine du domaine.

Dépannage des problèmes du service Bureau à distance à l'aide de AWS Systems Manager

Vous pouvez utiliser AWS Systems Manager pour dépanner les problèmes de connexion à votre instance Windows à l'aide de RDP.

AWSSupport-TroubleshootRDP

Le document d'automatisation AWSSupport-TroubleshootRDP permet à l'utilisateur de vérifier ou de modifier des paramètres courants sur l'instance cible qui peuvent avoir un impact sur les connexions RDP (Remote Desktop Protocol), tels que le port RDP, l'authentification de couche réseau et les profils de pare-feu Windows. Par défaut, le document lit et produit les valeurs de ces paramètres.

Le document d'automatisation AWSSupport-TroubleshootrDP peut être utilisé avec des instances EC2, des instances locales et des machines virtuelles (VM) activées pour une utilisation avec AWS Systems Manager (instances gérées). En outre, il peut également être utilisé avec des instances EC2 pour Windows Server qui ne sont pas activées pour une utilisation avec Systems Manager. Pour plus d'informations sur l'activation des instances à utiliser avec AWS Systems Manager, consultez Nœuds gérés dans le Guide de l'utilisateur AWS Systems Manager.

Pour dépanner à l'aide du document AWSSupport-TroubleshootRDP.

1. Connectez-vous à la console Systems Manager.

2. Vérifiez que vous êtes dans la même région que l'instance dégradée.

3. Dans le volet de navigation de gauche, choisissez Documents.

4. Sur l'onglet Owned by Amazon (Propriété d'Amazon), saisissez AWSSupport-TroubleshootRDP dans le champ de recherche. Lorsque le document AWSSupport-TroubleshootRDP apparaît, sélectionnez-le.

5. Sélectionnez Execute automation (Exécuter l'automatisation).

6. Pour Mode d'exécution, choisissez Exécution simple.

7. Pour Paramètres d'entrée, InstanceID, activez Afficher le sélecteur d'instance interactif.

8. Sélectionnez votre instance Amazon EC2.

9. Consultez les exemples, puis choisissez Exécuter.

10. Pour surveiller la progression de l'exécution, dans Statut de l'exécution, attendez que le statut passe de En attente à Réussite. Développez Sorties pour afficher les résultats. Pour afficher la sortie de chaque étape, dans Étapes exécutées, choisissez l'ID d'étape.

Exemples AWSSupport-TroubleshootRDP

Les exemples ci-dessous vous montrent comment exécuter les tâches de dépannage courantes avec AWSSupport-TroubleshootRDP. Vous pouvez utiliser soit l'exemple de commande AWS CLI start-automation-execution, soit le lien fourni vers la AWS Management Console.

Exemple : Vérifier le statut RDP actuel

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom" --region region_code

AWS Systems ManagerConsole  :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region#documentVersion=$LATEST

Exemple : Désactiver le pare-feu Windows

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, Firewall=Disable" --region region_code

AWS Systems ManagerConsole  :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&Firewall=Disable

Exemple : Désactiver l'authentification au niveau du réseau

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, NLASettingAction=Disable" --region region_code

AWS Systems ManagerConsole  :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion

Exemple : Définir le type de démarrage du service RDP sur Automatique et démarrer le service RDP

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPServiceStartupType=Auto, RDPServiceAction=Start" --region region_code

AWS Systems ManagerConsole  :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPServiceStartupType=Auto&RDPServiceAction=Start

Exemple : Restaurer le port RDP par défaut (3389)

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPPortAction=Modify" --region region_code

AWS Systems ManagerConsole  :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPPortAction=Modify

Exemple : Autoriser les connexions à distance

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RemoteConnections=Enable" --region region_code

AWS Systems ManagerConsole  :

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RemoteConnections=Enable

AWSSupport-ExecuteEC2Rescue

Le document d'automatisation AWSSupport-ExecuteEC2Rescue utilise Utiliser EC2Rescue for Windows Server pour dépanner et restaurer automatiquement la connectivité d'une instance EC2 et résoudre les problèmes RDP. Pour plus d'informations, consultez Exécuter l'outil EC2Rescue sur des instances inaccessibles.

Le document d'automatisation AWSSupport-ExecuteEC2Rescue nécessite l'arrêt et le redémarrage de l'instance. Systems Manager Automation arrête l'instance et crée une Amazon Machine Image (AMI). Les données stockées sur les volumes de stockage d'instance sont perdues. L'adresse IP publique est modifiée si vous n'utilisez pas une adresse IP Elastic. Pour plus d'informations, consultez Exécuter l'outil EC2Rescue sur des instances inaccessibles dans le Guide de l'utilisateur AWS Systems Manager.

Pour dépanner à l'aide du document AWSSupport-ExecuteEC2Rescue

1. Ouvrez la console Systems Manager.

2. Vérifiez que vous êtes dans la même région que l'instance Amazon EC2 dégradée.

3. Ouvrez le document AWSSupport-ExecuteEC2Rescue.

4. Dans Execution mode (Mode d'exécution), choisissez Simple Execution (Exécution simple).

5. Dans la section Input parameters (Paramètres d'entrée), pour UnreachableInstanceId, entrez l'ID d'instance Amazon EC2 de l'instance inaccessible.

6. (Facultatif) Pour LogDestination, entrez le nom du compartiment Amazon Simple Storage Service (Amazon S3) si vous souhaitez collecter les journaux du système d'exploitation pour le dépannage de votre instance Amazon EC2. Les journaux sont chargés automatiquement dans le compartiment spécifié.

7. Sélectionnez Execute (Exécuter).

8. Pour surveiller la progression de l'exécution, dans Execution statut (Statut de l'exécution), attendez que le statut passe de Pending (En attente) à Success (Succès). Développez Sorties pour afficher les résultats. Pour afficher la sortie de chaque étape, dans Executed Steps (Étapes exécutées), choisissez l'ID d'étape.

Activer le Bureau à distance sur une instance EC2 avec le Registre à distance

Si votre instance inaccessible n'est pas gérée par AWS Systems Manager Session Manager, vous pouvez utiliser le registre à distance pour activer le Bureau à distance.

1. À partir de la console EC2, arrêtez l'instance inaccessible.

2. Attachez le volume racine de l'instance inaccessible à une autre instance dans la même zone de disponibilité.

3. Sur l'instance à laquelle vous avez attaché le volume racine, ouvrez l'utilitaire de gestion des disques. Pour ce faire, exécutez

   diskmgmt.msc

4. Faites un clic droit sur le volume racine de l'instance concernée et choisissez Online (En ligne).

5. Ouvrez l'Éditeur du Registre Windows en exécutant la commande suivante :

   regedit

6. Dans l'arborescence de la console de l'Éditeur du Registre, choisissez HKEY_LOCAL_MACHINE, puis sélectionnez Fichier>Charger Hive.

7. Sélectionnez le lecteur du volume attaché, accédez à \Windows\System32\config\, sélectionnez SYSTEM, puis choisissez Ouvrir.

8. Dans Nom de clé, entrez un nom unique pour le répertoire de stockage et choisissez OK.

9. Sauvegardez la ruche du registre avant d'apporter des modifications au registre.

   1. Dans l'arborescence de la console de l'Éditeur du Registre, sélectionnez le répertoire de stockage que vous avez chargé : HKEY_LOCAL_MACHINE\your key name.

   2. Choisissez Fichier>Exporter.

   3. Dans la boîte de dialogue Exporter un fichier du Registre, choisissez l'emplacement vers lequel vous souhaitez enregistrer la copie de sauvegarde, puis tapez un nom pour le fichier de sauvegarde dans le champ Nom du fichier.

   4. Choisissez Enregistrer.

10. Dans l'arborescence de la console de l'Éditeur du Registre, accédez à HKEY_LOCAL_MACHINE\your key name\ControlSet001\Control\Terminal Server, puis, dans le volet de détails, double-cliquez sur fDenyTSConnections.

11. Dans la zone Modifier la valeur DWORD, entrez 0 dans le champ Données de valeur.

12. Choisissez OK.

    Note

    Si la valeur du champ Données de valeur est 1, l'instance refusera les connexions au bureau à distance. La valeur 0 autorise les connexions au bureau à distance.

13. Fermez l'Éditeur du Registre et les consoles de gestion des disques.

14. À partir de la console EC2, détachez le volume racine de l'instance à laquelle vous l'avez attaché et attachez-le à nouveau à l'instance inaccessible. Lorsque vous attachez le volume à l'instance inaccessible, entrez /dev/sda1 dans le champ Périphérique.

15. Redémarrez l'instance inaccessible.

J'ai perdu ma clé privée. Comment puis-je me connecter à mon instance Windows ?

Lorsque vous vous connectez à une instance Windows lancée récemment, vous déchiffrez le mot de passe du compte administrateur à l'aide de la clé privée de la paire de clés que vous avez spécifiée lors du lancement de l'instance.

Si vous perdez le mot de passe administrateur et que vous n'avez plus de clé privée, vous devez réinitialiser le mot de passe ou créer une nouvelle instance. Pour de plus amples informations, veuillez consulter Réinitialisation d'un mot de passe administrateur Windows perdu ou expiré. Pour connaître les étapes de réinitialisation du mot de passe à l'aide d'un document Systems Manager, consultez Réinitialiser des mots de passe et des clés SSH sur des instances EC2 dans le Guide de l'utilisateur AWS Systems Manager.