Ecp не работает через rdp

Обновлено: 21.11.2024

Ниже перечислены возможные проблемы и сообщения об ошибках, которые вы можете увидеть при попытке подключения к вашему экземпляру Windows.

Содержание

Удаленный рабочий стол не может подключиться к удаленному компьютеру

Попробуйте следующее, чтобы решить проблемы, связанные с подключением к вашему экземпляру:

Убедитесь, что вы используете правильное общедоступное имя хоста DNS. (В консоли Amazon EC2 выберите инстанс и установите флажок «Общедоступный DNS (IPv4)» на панели сведений.) Если ваш инстанс находится в облаке VPC и вы не видите общедоступного DNS-имени, необходимо включить DNS-имена хостов. Дополнительную информацию см. в разделе «Использование DNS с вашим VPC» в Руководстве пользователя Amazon VPC.

Убедитесь, что у вашего экземпляра общедоступный IPv4-адрес. Если нет, вы можете связать эластичный IP-адрес с вашим экземпляром. Дополнительные сведения см. в разделе Эластичные IP-адреса.

Чтобы подключиться к вашему экземпляру с помощью адреса IPv6, убедитесь, что ваш локальный компьютер имеет адрес IPv6 и настроен на использование IPv6. Если вы запустили экземпляр из AMI Windows Server 2008 SP2 или более ранней версии, ваш экземпляр не настраивается автоматически для распознавания IPv6-адреса, назначенного экземпляру. Дополнительную информацию см. в разделе Настройка IPv6 на ваших инстансах в Руководстве пользователя Amazon VPC.

Убедитесь, что в вашей группе безопасности есть правило, разрешающее доступ по протоколу RDP. Дополнительные сведения см. в разделе Создание группы безопасности.

Если вы скопировали пароль, но получили сообщение об ошибке Ваши учетные данные не работают , попробуйте ввести их вручную при появлении запроса. Возможно, вы пропустили какой-то символ или получили лишний пробел при копировании пароля.

Убедитесь, что экземпляр прошел проверку состояния. Дополнительную информацию см. в разделах Проверка состояния инстансов и Устранение неполадок с инстансами, в которых не удалось выполнить проверку статуса (Руководство пользователя Amazon EC2 для инстансов Linux).

Убедитесь, что в таблице маршрутов для подсети указан маршрут, по которому весь трафик, направляемый за пределы VPC, направляется на интернет-шлюз для VPC. Дополнительную информацию см. в разделе Создание пользовательской таблицы маршрутов (Интернет-шлюзы) в Руководстве пользователя Amazon VPC.

Убедитесь, что брандмауэр Windows или другое программное обеспечение брандмауэра не блокирует трафик RDP к экземпляру. Мы рекомендуем вам отключить брандмауэр Windows и контролировать доступ к вашему экземпляру с помощью правил группы безопасности. Вы можете использовать AWSSupport-TroubleshootRDP, чтобы отключить профили брандмауэра Windows с помощью агента SSM. Чтобы отключить брандмауэр Windows в экземпляре Windows, который не настроен для AWS Systems Manager, используйте AWSSupport-ExecuteEC2Rescue или выполните следующие действия вручную:

Остановите затронутый экземпляр и отсоедините его корневой том.

Запустите временный экземпляр в той же зоне доступности, что и затронутый экземпляр.

Если ваш временный экземпляр основан на том же образе AMI, на котором основан исходный экземпляр, необходимо выполнить дополнительные действия, иначе вы не сможете загрузить исходный экземпляр после восстановления его корневого тома из-за конфликта подписи диска. . Или выберите другой AMI для временного экземпляра. Например, если исходный экземпляр использует AWS Windows AMI для Windows Server 2008 R2, запустите временный экземпляр с помощью AWS Windows AMI для Windows Server 2012.

Присоедините корневой том затронутого экземпляра к этому временному экземпляру. Подключитесь к временному экземпляру, откройте утилиту управления дисками и подключите диск к сети.

Откройте Regedit и выберите HKEY_LOCAL_MACHINE. В меню «Файл» выберите «Загрузить куст». Выберите диск, откройте файл Windows\System32\config\SYSTEM и при появлении запроса укажите имя ключа (можно использовать любое имя).

Выберите ключ, который вы только что загрузили, и перейдите к ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy . Для каждого ключа с именем вида xxxxПрофиль выберите ключ и измените EnableFirewall с 1 на 0. Снова выберите ключ и в меню "Файл" выберите "Выгрузить куст".

(Необязательно) Если ваш временный экземпляр основан на том же AMI, что и исходный экземпляр, вы должны выполнить следующие шаги, иначе вы не сможете загрузить исходный экземпляр после восстановления его корневого тома из-за коллизия подписи диска.

Следующая процедура описывает, как редактировать реестр Windows с помощью редактора реестра. Если вы не знакомы с реестром Windows или с тем, как безопасно вносить изменения с помощью редактора реестра, см. раздел Настройка реестра .

Откройте командную строку, введите regedit.exe и нажмите Enter.

В редакторе реестра выберите HKEY_LOCAL_MACHINE в контекстном меню (щелкните правой кнопкой мыши), а затем выберите "Найти".

Введите Диспетчер загрузки Windows, а затем выберите «Найти далее».

Выберите ключ с именем 11000001 . Этот ключ является родственником ключа, который вы нашли на предыдущем шаге.

На правой панели выберите «Элемент», а затем выберите «Изменить» в контекстном меню (щелкните правой кнопкой мыши).

Найдите четырехбайтовую сигнатуру диска по смещению 0x38 в данных.Переверните байты, чтобы создать подпись диска, и запишите ее. Например, подпись диска, представленная следующими данными, — E9EB3AA5 :

В окне командной строки выполните следующую команду, чтобы запустить Microsoft DiskPart.

Выполните следующую команду DiskPart, чтобы выбрать том. (Вы можете убедиться, что номер диска равен 1, используя утилиту управления дисками.)

Выполните следующую команду DiskPart, чтобы получить подпись диска.

Если подпись диска, показанная на предыдущем шаге, не соответствует подписи диска из BCD, которую вы записали ранее, используйте следующую команду DiskPart, чтобы изменить подпись диска, чтобы она совпадала:

С помощью утилиты управления дисками переведите диск в автономный режим.

Диск автоматически отключается, если временный экземпляр работает под управлением той же операционной системы, что и затронутый экземпляр, поэтому вам не нужно переводить его в автономный режим вручную.

Отсоедините том от временного экземпляра. Вы можете закрыть временный экземпляр, если он вам больше не нужен.

Восстановите корневой том затронутого экземпляра, подключив его как /dev/sda1 .

Запустите экземпляр.

Убедитесь, что аутентификация на уровне сети отключена для экземпляров, которые не являются частью домена Active Directory (используйте AWSSupport-TroubleshootRDP, чтобы отключить NLA).

Убедитесь, что тип запуска службы удаленных рабочих столов (TermService) установлен автоматически, а служба запущена (используйте AWSSupport-TroubleshootRDP, чтобы включить и запустить службу RDP).

Убедитесь, что вы подключаетесь к правильному порту протокола удаленного рабочего стола, который по умолчанию равен 3389 (используйте AWSSupport-TroubleshootRDP, чтобы прочитать текущий порт RDP и изменить его обратно на 3389).

Убедитесь, что в вашем экземпляре разрешены подключения к удаленному рабочему столу (используйте AWSSupport-TroubleshootRDP, чтобы включить подключения к удаленному рабочему столу).

Убедитесь, что срок действия пароля не истек. Если срок действия пароля истек, его можно сбросить. Дополнительные сведения см. в разделе Восстановление утерянного или просроченного пароля администратора Windows.

Если вы пытаетесь подключиться с использованием учетной записи пользователя, созданной на экземпляре, и получаете сообщение об ошибке Пользователь не может подключиться к серверу из-за недостаточных прав доступа, убедитесь, что вы предоставили пользователю право на локальный вход в систему. Дополнительные сведения см. в разделе Предоставление участнику права на локальный вход в систему .

Если вы пытаетесь выполнить больше, чем максимально допустимое количество одновременных сеансов RDP, ваш сеанс завершается с сообщением о том, что сеанс служб удаленных рабочих столов завершен. Другой пользователь подключился к удаленному компьютеру, поэтому ваше соединение было потеряно. По умолчанию вам разрешено два одновременных сеанса RDP для вашего экземпляра.

Ошибка при использовании RDP-клиента macOS

Если вы подключаетесь к экземпляру Windows Server 2012 R2 с помощью клиента подключения к удаленному рабочему столу с веб-сайта Microsoft, вы можете получить следующую ошибку:

Загрузите приложение Microsoft Remote Desktop из Mac App Store и используйте его для подключения к вашему экземпляру.

RDP отображает черный экран вместо рабочего стола

Чтобы решить эту проблему, попробуйте следующее:

Дополнительную информацию см. в выводе консоли. Чтобы получить выходные данные консоли для вашего экземпляра с помощью консоли Amazon EC2, выберите экземпляр, а затем выберите «Действия», «Мониторинг и устранение неполадок», «Получить системный журнал».

Убедитесь, что у вас установлена ​​последняя версия клиента RDP.

Попробуйте настройки по умолчанию для RDP-клиента. Дополнительные сведения см. в разделе Среда удаленного сеанса.

Если вы используете подключение к удаленному рабочему столу, попробуйте запустить его с параметром /admin следующим образом.

Если на сервере запущено полноэкранное приложение, возможно, оно перестало отвечать. Используйте Ctrl+Shift+Esc, чтобы запустить Диспетчер задач Windows, а затем закройте приложение.

Если сервер перегружен, он мог перестать отвечать на запросы. Чтобы отслеживать экземпляр с помощью консоли Amazon EC2, выберите экземпляр, а затем перейдите на вкладку «Мониторинг». Если вам нужно изменить тип экземпляра на больший размер, см. раздел Изменение типа экземпляра.

Невозможно удаленно войти в экземпляр с учетной записью пользователя, не являющейся администратором

Если вы не можете удаленно войти в экземпляр Windows с учетной записью пользователя, которая не является учетной записью администратора, убедитесь, что вы предоставили пользователю право на локальный вход в систему. См. раздел Предоставление пользователю или группе права на локальный вход в контроллеры домена в домене.

Устранение неполадок с удаленным рабочим столом с помощью AWS Systems Manager

Вы можете использовать AWS Systems Manager для устранения проблем с подключением к вашему экземпляру Windows с помощью RDP.

AWSSupport-Устранение неполадок RDP

Документ по автоматизации AWSSupport-TroubleshootRDP позволяет пользователю проверять или изменять общие настройки целевого экземпляра, которые могут повлиять на подключения по протоколу удаленного рабочего стола (RDP), такие как порт RDP, аутентификация на сетевом уровне (NLA) и профили брандмауэра Windows. .По умолчанию документ считывает и выводит значения этих параметров.

Документ по автоматизации AWSSupport-TroubleshootRDP можно использовать с инстансами EC2, локальными инстансами и виртуальными машинами (ВМ), которые разрешены для использования с AWS Systems Manager (управляемые инстансы). Кроме того, его также можно использовать с экземплярами EC2 для Windows Server, для которых не разрешено использование с Systems Manager. Информацию о включении экземпляров для использования с AWS Systems Manager см. в разделе Управляемые экземпляры AWS Systems Manager в Руководстве пользователя AWS Systems Manager.

Устранение неполадок с помощью документа AWSSupport-TroubleshootRDP

Убедитесь, что вы находитесь в том же регионе, что и поврежденный экземпляр.

В режиме выполнения выберите Простое выполнение.

Для входных параметров InstanceId включите параметр Показать интерактивное средство выбора экземпляра.

Выберите инстанс Amazon EC2.

Просмотрите примеры, затем выберите «Выполнить».

Чтобы отслеживать ход выполнения, для статуса выполнения дождитесь, пока статус не изменится с "Ожидание" на "Успешно". Разверните Выходы, чтобы просмотреть результаты. Чтобы просмотреть результаты отдельных шагов, в разделе «Выполненные шаги» выберите элемент из идентификатора шага.

AWSSupport — примеры устранения неполадок RDP

В следующих примерах показано, как выполнять распространенные задачи по устранению неполадок с помощью AWSSupport-TroubleshootRDP. Вы можете использовать пример команды AWS CLI start-automation-execution или предоставленную ссылку на Консоль управления AWS.

Пример: проверьте текущий статус RDP

Консоль AWS Systems Manager:

Пример: отключить брандмауэр Windows

Консоль AWS Systems Manager:

Пример: отключить аутентификацию на уровне сети

Консоль AWS Systems Manager:

Пример. Установите для параметра "Тип запуска службы RDP" значение "Автоматически" и запустите службу RDP.

Консоль AWS Systems Manager:

Пример: восстановление порта RDP по умолчанию (3389)

Консоль AWS Systems Manager:

Пример: разрешить удаленные подключения

Консоль AWS Systems Manager:

AWSSupport-ExecuteEC2Rescue

Документ по автоматизации AWSSupport-ExecuteEC2Rescue использует использование EC2Rescue для Windows Server для автоматического устранения неполадок и восстановления подключения к инстансу EC2 и проблем с RDP. Дополнительные сведения см. в разделе Запуск инструмента EC2Rescue Tool на недоступных экземплярах.

Документ по автоматизации AWSSupport-ExecuteEC2Rescue требует остановки и перезапуска экземпляра. Systems Manager Automation останавливает экземпляр и создает образ машины Amazon (AMI). Данные, хранящиеся в томах хранилища экземпляров, теряются. Общедоступный IP-адрес меняется, если вы не используете эластичный IP-адрес. Дополнительные сведения см. в разделе «Запуск инструмента EC2Rescue Tool на недоступных экземплярах» в Руководстве пользователя AWS Systems Manager.

Устранение неполадок с помощью документа AWSSupport-ExecuteEC2Rescue

Убедитесь, что вы находитесь в том же регионе, что и поврежденный инстанс Amazon EC2.

В режиме выполнения выберите Простое выполнение.

В разделе «Входные параметры» для UnreachableInstanceId введите идентификатор экземпляра Amazon EC2 для недоступного экземпляра.

(Необязательно) В поле LogDestination введите имя корзины Amazon Simple Storage Service (Amazon S3), если вы хотите собирать журналы операционной системы для устранения неполадок инстанса Amazon EC2. Журналы автоматически загружаются в указанный сегмент.

Выберите «Выполнить».

Чтобы отслеживать ход выполнения, в статусе "Выполнение" подождите, пока статус не изменится с "Ожидание" на "Успешно". Разверните Выходы, чтобы просмотреть результаты. Чтобы просмотреть результаты отдельных шагов, в разделе «Выполненные шаги» выберите идентификатор шага.

Включить удаленный рабочий стол на экземпляре EC2 с удаленным реестром

Если ваш недоступный экземпляр не управляется диспетчером сеансов AWS Systems Manager, вы можете использовать удаленный реестр для включения удаленного рабочего стола.

В консоли EC2 остановите недоступный экземпляр.

Присоедините корневой том недостижимого экземпляра к другому экземпляру в той же зоне доступности.

На экземпляре, к которому вы присоединили корневой том, откройте «Управление дисками». Чтобы открыть Управление дисками, запустите

Щелкните правой кнопкой мыши корневой том затронутого экземпляра и выберите "В сети".

Откройте редактор реестра Windows, выполнив следующую команду:

В дереве консоли редактора реестра выберите HKEY_LOCAL_MACHINE, затем выберите «Файл»> «Загрузить куст».

Выберите диск подключенного тома, перейдите к \Windows\System32\config\ , выберите SYSTEM , а затем выберите Открыть.

В поле «Имя ключа» введите уникальное имя куста и нажмите «ОК».

Создайте резервную копию куста реестра, прежде чем вносить какие-либо изменения в реестр.

В дереве консоли редактора реестра выберите загруженный куст: HKEY_LOCAL_MACHINE\ имя вашего ключа .

Выберите «Файл»> «Экспорт».

В диалоговом окне "Экспорт файла реестра" выберите папку, в которой вы хотите сохранить резервную копию, а затем введите имя файла резервной копии в поле "Имя файла".

Выберите Сохранить.

В дереве консоли редактора реестра перейдите к HKEY_LOCAL_MACHINE\ имя вашего ключа \ControlSet001\Control\Terminal Server, а затем в области сведений дважды щелкните fDenyTSConnections.

В поле "Изменить значение DWORD" введите 0 в поле "Значение".

Если значение в поле "Значение данных" равно 1 , экземпляр будет запрещать подключения к удаленному рабочему столу. Значение 0 разрешает подключение к удаленному рабочему столу.

Закройте редактор реестра и консоль управления дисками.

В консоли EC2 отсоедините корневой том от инстанса, к которому вы его подключили, и повторно подключите его к недоступному инстансу. При подключении тома к недоступному экземпляру введите /dev/sda1 в поле устройства.

Я использовал WAP (прокси веб-приложения) для представления служб удаленных рабочих столов раньше, но никогда не использовал для Microsoft Exchange. На этой неделе это стало возможным требованием для клиента, поэтому я подумал, что разработаю его на скамейке запасных. вот топология;

Exchange: стандарт Exchange 2019

Серверная ОС: Datacenter Server 2019

Решение. Шаг 1. Разверните ADFS

Если вы собираетесь использовать «самозаверяющие» сертификаты, то перед развертыванием ADFS (службы федерации Active Directory) вам потребуется развернуть службы сертификации. Здесь я собираюсь использовать самоподписанный групповой сертификат. Однако в производственной среде я бы посоветовал вам использовать подстановочный сертификат, подписанный общедоступным центром сертификации. (Нажмите ссылку Сертификат выше).

Чтобы развернуть ADFS, просто выполните действия, описанные в этой статье.

Решение. Шаг 2. Настройка ADFS для OWA и ECP

Есть несколько "веб-сервисов", предоставляемых Exchange, Outlook Web App и панель управления Exchange (центр администрирования Exchange), "связанные" вместе, и их нужно представлять одинаково, поэтому мы рассмотрим их в первую очередь. .

ВАЖНО: вам нужно изменить OWA и ECP одновременно. УЧИТЫВАЙТЕ, что ваша панель администрирования Exchange будет защищена ADFS (и ТОЛЬКО ADFS!). Поэтому вам может потребоваться изменить способ администрирования Exchange (или оставить один сервер Exchange без защищенного ECP ADFS для внутреннего управления).

Итак, вы создаете «доверительные отношения» для OWA и ECP в ADFS, после чего WAP-сервер будет использовать эти «доверительные отношения». ВЫПОЛНИТЕ СЛЕДУЮЩУЮ ПРОЦЕДУРУ ДВАЖДЫ, один раз для OWA и один раз для ECP.

Откройте консоль управления ADFS > Доверия с проверяющей стороной > Добавить доверие с проверяющей стороной > (с выбранным параметром «Поддержка утверждений») > Далее.

Введите данные о проверяющей стороне вручную > Далее.

Назовите доверие, например. «Outlook Web App» > «Далее».

Разрешить всем > Далее.

ADFS создает «Политики выдачи требований»

Зачем вы это делаете? Это позволяет вам подключиться к WAP-серверу и ввести имя пользователя и пароль ОДИН РАЗ. Чтобы разрешить вам указывать имена пользователей и пароли только один раз, вам нужны две вещи: 1) Политики выдачи претензий, которые могут запрашивать AD, собирать ваше имя участника-пользователя и проверять ваш пароль, и 2) Настройка Exchange для разрешения аутентификации ADFS (вместо обычной базовая и «на основе форм» аутентификация используется для OWA и ECP по умолчанию).

ВНОВЬ ВЫПОЛНИТЕ ЭТУ ПРОЦЕДУРУ ДВАЖДЫ, ОДИН РАЗ ДЛЯ OWA И ОДИН РАЗ ДЛЯ ECP

В меню «Управление ADFS» > «Доверия с проверяющей стороной» > «Выберите доверие OWA» > «Редактировать политику выдачи требований» > «Добавить правило».

Выберите "Отправлять заявки с использованием специального правила" > "Далее".

Имя клиентского правила: AD-User

Пользовательское правило:

Добавить второе правило > Снова выберите "Отправить претензии с использованием пользовательского правила" > "Далее".

Имя клиентского правила: AD-UPN

Пользовательское правило:

У вас должно получиться что-то вроде этого;

ТЕПЕРЬ ПОВТОРИТЕ ЭТУ ПРОЦЕДУРУ ДЛЯ ЕСР

Решение. Шаг 3. Развертывание и настройка WAP

Требования к брандмауэру

Установка прокси веб-приложения

Честно говоря, это довольно просто, сам сервер не обязательно должен быть членом домена (что хорошо для DMZ-сервера!). Для производства я бы отключил учетную запись локального администратора и также несколько усилил сервер. Убедитесь, что у вас есть копия группового сертификата и на этом сервере.

Диспетчер серверов > Управление > Добавить роли и компоненты > Далее > Далее > Далее > «Удаленный доступ» > Далее > Далее > Далее > «Прокси-сервер веб-приложения» > Далее > Установить

Или используйте следующий PowerShell;

Запустите мастер настройки после развертывания > Далее.

Введите полное доменное имя вашего сервера ADFS и административные учетные данные > Далее > Выберите подстановочный сертификат > Далее.

Если все в порядке, консоль управления удаленным доступом должна открыться, и в рабочем состоянии должно быть указано «Все зеленые».

Настройка прокси веб-приложения для OWA и ECP

Перейдите к > Конфигурация > Прокси веб-приложения > Опубликовать > Далее.

Выберите Службы федерации Active Directory > Далее > Выберите "Интернет и MSOFBA > Далее".

Выберите объект «Relying Trust», который WAP может видеть для Outlook Web app > Далее > Дайте опубликованному правилу имя > Задайте общедоступный URL-адрес > Выберите подстановочный сертификат > Задайте внутренний URL-адрес > Далее.

ПОВТОРИТЕ ДЛЯ ПУБЛИКАЦИИ ECP

Когда вы закончите, это должно выглядеть примерно так;

Решение. Шаг 4. Настройка Exchange для аутентификации ADFS

Вашему Exchange требуется копия сертификата подписи ADFS. Этот сертификат представляет собой «самозаверяющий» сертификат, созданный на самом сервере ADFS, его можно найти здесь;

По умолчанию этот сертификат действует только один год, и его необходимо будет вручную импортировать в Exchange. Вы можете изменить срок действия сертификата, подав иск в следующую оболочку PowerShell и изменив значение дня (в этом примере на три года).

Экспорт сертификата подписи ADFS

Выбрав сертификат, перейдите на вкладку «Подробности» > «Копировать в файл» > следуйте инструкциям (примите значения по умолчанию).

Импорт сертификата подписи ADFS в Exchange

Физически скопируйте экспортированный сертификат на сервер Exchange и дважды щелкните его > Установить сертификат > Локальный компьютер > Далее > Поместить в следующее хранилище > Доверенные корневые центры сертификации > Далее > Готово.

Теперь сертификат импортирован, вам нужно получить его отпечаток, открыть консоль администрирования Exchange и выполнить следующую команду. найдите сертификат ADFS и скопируйте его отпечаток в буфер обмена.

Установите этот сертификат в качестве сертификата ADFS для вашей почтовой организации с помощью следующей команды;

Наконец вам нужно настроить виртуальные каталоги OWA и ECP на прием аутентификации ADFS, а затем перезапустить службы IIS, чтобы изменения вступили в силу.

В ЧАСТИ ВТОРОЙ мы опубликуем Outlook Anywhere, Active Sync, EWS, OAB, MAPI и Autodiscover.

Читайте также: