Solução de problemas para conexão à instância do Windows

As informações e os erros comuns apresentados a seguir podem ajudar você a solucionar problemas de conexão com a instância do Windows.

O Remote Desktop não pode se conectar ao computador remoto

Tente o seguinte para resolver problemas relacionados à conexão com sua instância:

• Verifique se você está usando o nome de host DNS público correto. No console do Amazon EC2, selecione a instância e verifique o DNS público (IPv4) no painel de detalhes. Se sua instância estiver em uma VPC e você não vir um nome DNS público, deverá habilitar nomes de host DNS. Para ter mais informações, consulte Atributos de DNS para sua VPC no Guia do usuário da Amazon VPC.

• Verifique se sua instância tem um endereço IPv4 público. Se não tiver, associe um endereço IP elástico à sua instância. Para obter mais informações, consulte Endereços IP elásticos.

• Para conectar-se à sua instância usando um endereço IPv6, verifique se seu computador local tem um endereço IPv6 e está configurado para usar IPv6. Para obter mais informações, consulte Configurar o IPv6 em suas instâncias no Guia do usuário da Amazon VPC.

• Verifique se o grupo de segurança tem uma regra que permita o acesso RDP.

• Se você copiou a senha, mas obtiver o erro Your credentials did not work, tente digitá-la manualmente quando solicitado. É possível que você tenha omitido um caractere ou inserido um espaço em branco extra ao copiar a senha.

• Verifique se a instância passou nas verificações de status. Para obter mais informações, consulte Verificações de status para as instâncias e Solução de problemas de instâncias do Linux com falhas nas verificações de status.

• Verifique se a tabela de rotas da sub-rede tem uma rota que envie todo o tráfego destinado para fora da VPC para o gateway da Internet da VPC. Para obter mais informações, consulte Criação de uma tabela de rotas personalizada (gateways da Internet) no Guia do usuário da Amazon VPC.

• Verifique se o Firewall do Windows ou outros softwares de firewall não estão bloqueando o tráfego de RDP para a instância. Recomendamos que você desabilite o Firewall do Windows e controle o acesso à sua instância usando regras de grupo de segurança. Você pode usar o AWSSupport-TroubleshootRDP para disable the Windows Firewall profiles using SSM Agent. Para desabilitar o Firewall do Windows em uma instância do Windows que não esteja configurada para o AWS Systems Manager, use AWSSupport-ExecuteEC2Rescue ou use as seguintes etapas manuais:

Etapas manuais

1. Interrompa a instância afeta e desanexe seu volume raiz.

2. Execute uma instância temporária na mesma zona de disponibilidade que a instância afetada.

   Atenção

   Se sua instância temporária for baseada na mesma AMI que a instância original, você deverá concluir as etapas adicionais ou não será possível iniciar a instância original depois de restaurar o volume raiz, por causa de uma colisão de assinatura de disco. Como alternativa, selecione uma AMI diferente para a instância temporária. Por exemplo, se a instância original usa a AMI AWS do Windows para Windows Server 2016, inicie a instância temporária usando a AMI AWS do Windows para Windows Server 2019.

3. Anexe o volume raiz da instância afetada a essa instância temporária. Conecte-se à instância temporária, abra o utilitário Disk Management e ative a unidade.

4. Abra Regedit e selecione HKEY_LOCAL_MACHINE. No menu Arquivo, escolha Carregar Hive. Selecione a unidade, abra o arquivo Windows\System32\config\SYSTEM e especifique um nome de chave quando solicitado (é possível usar qualquer nome).

5. Selecione a chave que você acabou de carregar e vá até ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy. Para cada chave com um nome da forma xxxxProfile, selecione a chave e altere EnableFirewall de 1 a 0. Selecione a chave novamente e, no menu Arquivo, escolha Descarregar Hive.

6. (Opcional) Se sua instância temporária for baseada na mesma AMI que a instância original, você deverá concluir as etapas a seguir ou não será possível iniciar a instância original depois de restaurar o volume raiz, por causa de uma colisão de assinatura de disco.

   Atenção

   O procedimento a seguir descreve como editar o Registro do Windows usando o Editor do Registro. Se você não estiver familiarizado com o Registro do Windows ou como fazer alterações com segurança usando o Editor do Registro, consulteConfigure the Registry (Configurar o Registro).

   1. Abra um prompt de comando, digite regedit.exe e pressione Enter.

   2. No Editor do Registro, escolha HKEY_LOCAL_MACHINE no menu contextual (clique com o botão direito do mouse), depois escolha Localizar.

   3. Digite Windows Boot Manager e escolha Localizar Próxima.

   4. Escolha a chave chamada 11000001. Essa chave é irmã da chave que você localizou na etapa anterior.

   5. No painel direito, selecione Element e escolha Modificar no menu de contexto (clique com o botão direito do mouse).

   6. Localize a assinatura de disco de quatro bytes no deslocamento 0x38 nos dados. Inverta os bytes para criar a assinatura de disco e anote-a. Por exemplo, a assinatura de disco representada pelos seguintes dados é E9EB3AA5:

      ...
      0030  00 00 00 00 01 00 00 00
      0038  A5 3A EB E9 00 00 00 00
      0040  00 00 00 00 00 00 00 00
      ...

   7. Em uma janela do prompt de comando, execute o comando a seguir para iniciar o Microsoft DiskPart.

      diskpart

   8. Execute o comando DiskPart a seguir para selecionar o volume. (É possível verificar se o número do disco é 1 usando o utilitário Gerenciamento de disco.)

      DISKPART> select disk 1
      
      Disk 1 is now the selected disk.

   9. Execute o comando DiskPart a seguir para obter a assinatura do disco.

      DISKPART>  uniqueid disk
      
      Disk ID: 0C764FA8

   10. Se a assinatura de disco mostrada na etapa anterior não corresponder à assinatura de disco do BCD que você anotou anteriormente, use o seguinte comando DiskPart para alterar a assinatura de disco para que ela corresponda:

       DISKPART> uniqueid disk id=E9EB3AA5

7. Usando o utilitário Disk Management, desative o volume da unidade.

   nota

   A unidade ficará offline automaticamente se a instância temporária estiver executando o mesmo sistema operacional que a instância afetada, portanto, você não precisará deixá-la offline manualmente.

8. Desanexe o volume da instância temporária. É possível encerrar a instância temporária se você não tiver utilização adicional para ela.

9. Restaure o volume raiz da instância afetada anexando-a como /dev/sda1.

10. Inicie a instância.

• Verifique se a autenticação no nível de rede está desabilitada nas instâncias que não fazem parte de um domínio do Active Directory (use AWSSupport-TroubleshootRDP para disable NLA).

• Verifique se o tipo de startup do serviço da área de trabalho remota (TermService) é automático e se o serviço foi iniciado (use AWSSupport-TroubleshootRDP para enable and start the RDP service).

• Verifique se você está se conectando à porta correta do protocolo RDP, que por padrão é 3389 (use AWSSupport-TroubleshootRDP para read the current RDP port e change it back to 3389).

• Verifique se as conexões da área de trabalho remota são permitidas na sua instância (use AWSSupport-TroubleshootRDP para enable Remote Desktop connections).

• Verifique se a senha não expirou. Se a senha expirou, será possível redefini-la. Para ter mais informações, consulte Redefinir uma senha de administrador do Windows perdida ou expirada.

• Se você tentar conectar-se usando um usuário que você criou na instância e receber o erro The user cannot connect to the server due to insufficient access privileges, verifique se você concedeu ao usuário o direito de fazer login localmente. Para obter mais informações, consulte Conceder o direito de fazer login localmente a um membro.

• Se você tentar mais sessões simultâneas do RDP do que o máximo permitido, sua sessão será encerrada com a mensagem Your Remote Desktop Services session has ended. Another user connected to the remote computer, so your connection was lost. Por padrão, são permitidas duas sessões simultâneas do RDP para sua instância.

Erro ao usar o cliente RDP do macOS

Se estiver se conectando a uma instância do Windows Server usando o cliente de Conexão de Área de Trabalho Remota do site da Microsoft, poderá receber o seguinte erro:

Remote Desktop Connection cannot verify the identity of the computer that you want to connect to.

Faça download do aplicativo Área de Trabalho Remota da App Store do Mac e use o aplicativo para conectar-se à instância.

O RDP exibe uma tela preta em vez da área de trabalho

Tente o seguinte para resolver esse problema:

• Verifique a saída do console para ver se há informações adicionais. Para obter a saída do console da instância usando o console do Amazon EC2, selecione a instância e escolha Actions (Ações), Monitor and troubleshoot (Monitorar e solucionar problemas), Get system log (Obter log do sistema).

• Verifique se você está executando a versão mais recente do cliente do RDP.

• Tente as configurações padrão para o cliente do RDP. Para obter mais informações, consulte Ambiente de sessão remota.

• Se você estiver usando o Remote Desktop Connection, tente iniciá-lo com a opção /admin da seguinte forma.

  mstsc /v:instance /admin

• Se o servidor estiver executando um aplicativo de tela total, talvez tenha parado de responder. Use Ctrl+Shift+Esc para iniciar o Windows Task Manager e feche o aplicativo.

• Se o servidor for utilizado em excesso, talvez tenha parado de responder. Para monitorar a instância usando o console do Amazon EC2, selecione a instância e escolha a guia Monitoramento. Se você precisar alterar o tipo de instância para um tamanho maior, consulte Alterar o tipo de instância.

Não foi possível fazer login remotamente em uma instância com um usuário que não é administrador

Se você não puder fazer login remotamente em uma instância do Windows com um usuário que não seja uma conta de administrador, conceda ao usuário o direito de fazer login localmente. Veja Dar a um usuário ou grupo o direito de entrar localmente nos controladores de domínio no domínio.

Resolução de problemas do desktop remoto usando o AWS Systems Manager

É possível usar o AWS Systems Manager para resolver problemas conectando-se à sua instância do Windows usando RDP.

AWSSupport-TroubleshootRDP

O documento de automação AWSSupport-TroubleshootRDP permite ao usuário verificar ou modificar configurações comuns na instância de destino que possam afetar as conexões RDP (Remote Desktop Protocol), como os perfis RDP Port, Network Layer Authentication (NLA) e Windows Firewall. Por padrão, o documento lê e exibe os valores dessas configurações.

O documento de automação AWSSupport-TroubleshootRDP pode ser usado com instâncias do EC2, instâncias on-premises e máquinas virtuais (VMs) habilitadas para uso com o AWS Systems Manager (instâncias gerenciadas). Além disso, ele também pode ser usado com instâncias do EC2 para Windows Server não habilitadas para uso com o Systems Manager. Para obter informações sobre a habilitação de instâncias para uso com o AWS Systems Manager, consulte Nós gerenciado do no Guia do usuário do AWS Systems Manager.

Para resolver os problemas usando o documento AWSSupport-TroubleshootRDP

1. Faça login no console do Systems Manager.

2. Verifique se você está na mesma região que a instância prejudicada.

3. Escolha Documents (Documentos) no painel de navegação à esquerda.

4. Na guia Owned by Amazon (Pertencente à Amazon), insira AWSSupport-TroubleshootRDP no campo de pesquisa. Quando o documento AWSSupport-TroubleshootRDP aparecer, selecione-o.

5. Escolha Execute automation.

6. Em Execution Mode (Modo de execução), escolha Simple execution (Execução simples).

7. Em Input parameters (Parâmetros de entrada), InstanceId, ative Show interactive instance picker (Mostrar seletor interativo de instâncias).

8. Escolha a instância do Amazon EC2.

9. Revise os exemplos e escolha Execute (Executar).

10. Para monitorar o progresso da execução, no Execution status (Status execução), aguarde o status mudar de Pending (Pendente) para Success (Êxito). Expanda Outputs (Saídas) para visualizar os resultados. Para visualizar a saída de etapas individuais, Executed Steps (Etapas executadas), escolha um item da Step ID (ID da etapa).

Exemplos do AWSSupport-TroubleshootRDP

Os exemplos a seguir mostram como conquistar tarefas de resolução de problema comuns usando AWSSupport-TroubleshootRDP. É possível usar o comando de exemplo AWS CLI start-automation-execution ou o link fornecido para o AWS Management Console.

exemplo Exemplo: verifique o status atual de RDP

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom" --region region_code

Console do AWS Systems Manager:

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region#documentVersion=$LATEST

exemplo Exemplo: desativar o Firewall do Windows

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, Firewall=Disable" --region region_code

Console do AWS Systems Manager:

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&Firewall=Disable

exemplo Exemplo: desativar a autenticação no nível da rede

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, NLASettingAction=Disable" --region region_code

Console do AWS Systems Manager:

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion

exemplo Exemplo: definir o tipo de startup do serviço RDP como automático e iniciar o serviço RDP

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPServiceStartupType=Auto, RDPServiceAction=Start" --region region_code

Console do AWS Systems Manager:

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPServiceStartupType=Auto&RDPServiceAction=Start

exemplo Exemplo: restaurar a porta RDP padrão (3389)

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RDPPortAction=Modify" --region region_code

Console do AWS Systems Manager:

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RDPPortAction=Modify

exemplo Example: permitir conexões remotas

AWS CLI:

aws ssm start-automation-execution --document-name "AWSSupport-TroubleshootRDP" --parameters "InstanceId=instance_id, Action=Custom, RemoteConnections=Enable" --region region_code

Console do AWS Systems Manager:

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP?region=region_code#documentVersion=$LATEST&RemoteConnections=Enable

AWSSupport-ExecuteEC2Rescue

O documento de automação AWSSupport-ExecuteEC2Rescue usa o EC2Rescue para Windows Server com a finalidade de solucionar e restaurar automaticamente a conectividade e os problemas relacionados ao protocolo RDP da instância do EC2. Para obter mais informações, consulte Executar a ferramenta EC2Rescue em instâncias inacessíveis.

O documento de automação AWSSupport-ExecuteEC2Rescue exige que a instância seja interrompida e reiniciada. O Systems Manager Automation interrompe a instância e cria uma Imagem de máquina da Amazon (AMI). Dados armazenados nos volumes de armazenamento da instância são perdidos. O endereço IP público será alterado se você não estiver usando um endereço IP elástico. Para obter mais informações, consulte Executar a ferramenta EC2Rescue em instâncias inacessíveis no Guia do usuário do AWS Systems Manager.

Para resolver o problema usando o documento AWSSupport-ExecuteEC2Rescue

1. Abra o console do Systems Manager.

2. Verifique se você está na mesma região que a instância Amazon EC2 prejudicada.

3. No painel de navegação, escolha Documentos.

4. Pesquise e selecione o documento AWSSupport-ExecuteEC2Rescue e depois escolha Executar automação.

5. Em Execution Mode (Modo de execução), escolha Simple execution (Execução simples).

6. Na seção Input parameters (Parâmetros de entrada), em UnreachableInstanceId, insira o ID da instância do Amazon EC2 para a instância inacessível.

7. (Opcional) Para LogDestination, insira o nome do bucket do Amazon Simple Storage Service (Amazon S3) se quiser coletar logs do sistema operacional para solucionar problemas da sua instância do Amazon EC2. Os logs são enviados automaticamente para o bucket especificado.

8. Selecione Execute (Executar).

9. Para monitorar o progresso da execução, no status Execution (Execução), aguarde o status mudar de Pending (Pendente) para Success (Concluído com sucesso). Expanda Outputs (Saídas) para visualizar os resultados. Para visualizar a saída de etapas individuais, Executed Steps (Etapas executadas), escolha Step ID (ID da etapa).

Habilitar a área de trabalho remota em uma instância do EC2 com o registro remoto

Se a instância inacessível não for gerenciada pelo Gerenciador de sessões do AWS Systems Manager, será possível usar o registro remoto para habilitar a área de trabalho remota.

1. No console do EC2, interrompa a instância inacessível.

2. Desvincule o volume raiz da instância inacessível e anexe-o a uma instância acessível na mesma zona de disponibilidade como um volume de armazenamento. Se você não tiver uma instância acessível na mesma zona de disponibilidade, inicie uma. Observe o nome do dispositivo do volume raiz na instância inacessível.

3. Na instância acessível, abra Gerenciamento de disco. Você pode fazer isso executando o comando a seguir em uma janela de prompt de comando.

   diskmgmt.msc

4. Clique com o botão direito do mouse no volume recém-conectado que veio da instância inacessível e escolha Online.

5. Abrir o Editor do Registro do Windows. Você pode fazer isso executando o comando a seguir em uma janela de prompt de comando.

   regedit

6. No Editor do registro, escolha HKEY_LOCAL_MACHINE e selecione Arquivo, Carregar hive.

7. Selecione a unidade do volume conectado, navegue até \Windows\System32\config\, SYSTEM, selecione e escolha Open (Abrir).

8. Em Key Name (Nome da chave), insira um nome exclusivo para o hive e escolha OK.

9. Faça uma cópia de backup do hive do registro antes de fazer qualquer alteração no registro.

   1. Na árvore de console do Editor do Registro, selecione o hive que você carregou: HKEY_LOCAL_MACHINE\ your-key-name.

   2. Escolha Arquivo, Exportar.

   3. Na caixa de diálogo Export Registry File (Exportar arquivo do registro), escolha o local no qual deseja salvar a cópia de backup e digite um nome para o arquivo de backup no campo File Name (Nome do arquivo).

   4. Escolha Salvar.

10. No Editor do Registro, navegue para HKEY_LOCAL_MACHINE\your key name\ControlSet001\Control\Terminal Server e depois no painel de detalhes, clique duas vezes em fDenyTSConnections.

11. Na caixa de valor Edit DWORD (Editar DWORD) insira 0 no campo Value Data (Dados do valor).

12. Escolha OK.

    nota

    Se o valor no campo Value data (Dados do valor) for 1, a instância negará conexões de área de trabalho remota. Um valor de 0 permitirá conexões de área de trabalho remota.

13. No Editor do Registro, escolha HKEY_LOCAL_MACHINE\your-key-name e selecione Arquivo, Descarregar hive.

14. Feche o Editor do registro e Gerenciamento de disco.

15. No console do EC2, desanexe o volume raiz da instância acessível à qual você o anexou e anexe-o novamente à instância inacessível. Ao anexar o volume à instância inacessível, insira o nome do dispositivo que você salvou anteriormente no campo dispositivo.

16. Reinicie a instância inacessível.

Perdi minha chave privada. Como posso me conectar à minha instância do Windows?

Quando você se conecta a uma instância do Windows recém-iniciada, você descriptografa a senha da conta do administrador usando a chave privada para o par de chaves que você especificou quando iniciou a instância.

Se você perder a senha do Administrador e não tiver mais a chave privada, é preciso redefinir a senha ou criar uma nova instância. Para ter mais informações, consulte Redefinir uma senha de administrador do Windows perdida ou expirada. Para conhecer as etapas e redefinir a senha usando um documento do Systems Manager, consulte Redefinir senhas e chaves SSH nas instâncias do EC2 no Manual do usuário do AWS Systems Manager.