Wie behebe ich Authentifizierungsfehler, wenn ich RDP verwende, um eine Verbindung zu einer EC2-Windows-Instance herzustellen?
Ich erhalte Authentifizierungsfehler, wenn ich das Remote Desktop Protocol (RDP) verwende, um mich bei meiner Amazon Elastic Compute Cloud (Amazon EC2) Windows-Instance anzumelden.
Auflösung
Möglicherweise erhalten Sie die folgenden Authentifizierungsfehler, wenn Sie RDP verwenden, um sich bei einer Amazon EC2-Windows-Instance anzumelden:
- „Ein Authentifizierungsfehler ist aufgetreten. Die örtliche Sicherheitsbehörde kann nicht kontaktiert werden.“
- „Der Remote Computer, zu dem Sie eine Verbindung herstellen möchten, benötigt eine Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA), aber Ihr Windows-Domain-Controller kann nicht kontaktiert werden, um NLA durchzuführen. Wenn Sie Administrator auf dem Remote Computer sind, können Sie NLA mithilfe der Optionen auf der Registerkarte Remote des Dialogfelds Systemeigenschaften deaktivieren.“
Dieser Fehler kann in den folgenden Szenarien auftreten:
- Network Layer Authentication (NLA) ist für den Server aktiviert.
- Die Vertrauensbeziehung zwischen Ihrer Domäne und der EC2-Instance, die mit dieser Domäne verbunden ist, schlägt fehl, wenn sich der RDP anmeldet.
NLA ist für den Server aktiviert
NLA-Fehler treten auf, wenn eine Instance die Konnektivität zu einem Domain-Controller verliert, weil die Domain-Anmeldeinformationen nicht authentifiziert werden. Um dieses Problem zu beheben, verwenden Sie das Dokument AWSSupport-TroubleshootRDP-Automatisierung von AWS Systems Manager, um die Instance-Einstellungen zu ändern oder NLA auf der Instance zu deaktivieren.
Mit dem Dokument AWSSupport-TroubleshootRDP-Automatisierung können Sie allgemeine Einstellungen auf einer Instance ändern, die sich auf RDP-Verbindungen auswirken können.
Verwenden Sie eine der folgenden Methoden, um NLA auf einer nicht erreichbaren Instance zu deaktivieren:
- Konfigurieren Sie den AWS Systems Manager Session Manager.
- Führen Sie das Befehlsdokument AWS-RunPowerShellScript aus.
- Ändern Sie das Register manuell offline.
Hinweis: Sie müssen das Register ändern, wenn Sie die NLA ändern. Bevor Sie beginnen, erstellen Sie ein Amazon Machine Image (AMI) aus Ihrer Instance. Dadurch wird eine Sicherungskopie erstellt, bevor Sie das Regjster ändern.
Deaktivieren Sie NLA mit dem Systems Manager Session Manager
Um NLA mit dem Session Manager zu deaktivieren, fügen Sie Registerschlüssel hinzu, indem Sie die folgenden Schritte ausführen:
Wichtig: Auf der Instance muss der Systems Manager Agent (SSM Agent) installiert sein und die Instance muss online sein. Die Instance muss außerdem über eine AWS Identitäts- und Zugriffsmanagement (Identity and Access Management) (IAM)-Rolle verfügen, die Berechtigungen für Session Manager gewährt. Weitere Informationen finden Sie unter Systems Manager-Voraussetzungen.
- Öffnen Sie die Systems-Manager-Konsole.
- Wählen Sie im Navigationsbereich Flottenmanager aus.
- Wählen Sie die verwaltete Instance aus, zu der Sie eine Verbindung herstellen möchten.
- Wählen Sie im Menü Knotenaktionen die Option Terminalsitzung starten, Verbinden aus. Sie sind über Session Manager mit der Instanz verbunden.
- Führen Sie die folgenden Befehle in der Terminalsitzung aus:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f
**Deaktivieren Sie NLA mit dem AWS-RunPowerShellScript-Befehlsdokument **
Um NLA mit dem Befehlsdokument AWS:RunPowerShellScript zu deaktivieren, fügen Sie Registerschlüssel hinzu, indem Sie die folgenden Schritte ausführen:
Wichtig: Auf der Instance muss der SSM-Agent installiert sein und sie muss online sein. Die Instance muss außerdem über eine IAM-Rolle verfügen, die Berechtigungen für den Session Manager gewährt. Weitere Informationen finden Sie unter Systems Manager-Voraussetzungen.
-
Öffnen Sie die Systems-Manager-Konsole.
-
Wählen Sie im Navigationsbereich Ausführen Befehl und dann Ausführen einen Befehl aus.
-
Wählen Sie als Befehlsdokument AWS-RunPowerShellScript aus.
-
Geben Sie für Befehlsparameter die folgenden Befehle ein:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f
-
Wählen Sie bei Zielauswahl die Option Manuelles Auswählen von Instanzen und wählen Sie dann Ihre Instance aus.
-
Wählen Sie Ausführen.
-
Warten Sie, bis der Gesamtstatus in Erfolgreich geändert wird. Aktualisieren Sie die Seite nach zwei Minuten.
-
Starten Sie die Instance neu.
-
Verwenden Sie die RDP, um sich bei der Instance anzumelden.
Manuelles Ändern der Registrierung offline
-
Stoppen Sie die nicht erreichbare Instance und trennen Sie den Root-Datenträger.
-
Starten Sie eine neue Instance in derselben Availability Zone wie die unerreichbare Instance, die Sie gerade gestoppt haben. Die neue Instance wird zu Ihrer Rettungs-Instance.
Wichtig: Es hat sich bewährt, eine Windows-Instance zu starten, die sich von der nicht erreichbaren Instance unterscheidet, um Probleme mit der Festplattensignatur zu vermeiden.
-
Hängen Sie den abgetrennten Datenträger als /dev/xvdf an die Rescue-Instance an.
-
Stellen Sie mithilfe von RDP eine Verbindung zur Rescue-Instance her und schalten Sie dann den gerade angehängten Datenträger im Festplatten-Manager online.
-
Geben Sie in einer Befehlszeile regedit.exe ein, und drücken Sie dann die Eingabetaste, um den Register-Editor zu öffnen.
-
Wählen Sie HKEY_LOCAL_MACHINE und dann Datei, Load Hive aus.
-
Navigieren Sie zum Windows-Ordner auf dem angehängten Datenträger und wählen Sie dann die SYSTEM-Datei aus. Der Standardpfad ist D:\Windows\System32\config.
-
Benennen Sie die SYSTEM-Datei. Zum Beispiel badsys.
-
Die badsys-Systemdatei erscheint jetzt unter HKEY_LOCAL_MACHINE. Navigieren Sie unter badsys zu Steuersatz001, Steuerung, Terminal Server, WinStationen, RDP-tcp.
-
Doppelklicken Sie auf Sicherheitsebene und setzen Sie die Wertdaten auf 0. Wählen Sie Benutzerauthentifizierung aus und setzen Sie die Wertdaten auf 0. Wählen Sie dann ZulassenAushandlungdesSec-Protokolls aus und setzen Sie die Wertdaten auf 0.
-
Scrollen Sie nach oben und wählen Sie badsys, Datei, Entladen Hive aus.
-
Nachdem die Struktur entladen wurde, öffnen Sie den Festplatten-Manager und schalten Sie die Festplatte offline.
-
Trennen Sie den Datenträger von der Rescue-Instance und fügen Sie ihn als Root-Datenträger an die nicht erreichbare Instance an (/dev/sda1).
-
Starten Sie die Instance und testen Sie die RDP.
Die Vertrauensbeziehung zwischen Ihrer Domain und der EC2-Instance, die mit dieser Domain verbunden ist, schlägt während der RDP-Anmeldung fehl
Verwenden Sie zwischengespeicherte Benutzeranmeldeinformationen, um sich bei der unerreichbaren Instance anzumelden.
Voraussetzungen
-
Ein lokales Konto, das sich erfolgreich bei der EC2-Instance authentifizieren kann.
-
(Optional) Mindestens ein Domain-Konto, das angemeldet war, als die Instance mit dem Domain-Controller kommunizierte. Damit das Domain-Konto funktioniert, müssen die Anmeldeinformationen des Domain-Kontos auf dem Server zwischengespeichert werden.
Hinweis: Es hat sich bewährt, ein lokales Konto zu verwenden.
-
Stellen Sie sicher, dass die Richtlinie, die die Anzahl früherer Anmeldungen festlegt, die zwischengespeichert werden sollen (falls der Domain-Controller nicht verfügbar ist), auf mindestens 1 festgelegt ist. Dies muss geschehen, um interaktive Anmeldungen zu verwenden. Oder die Richtlinie kann auf den Standardwert 10 festgelegt werden. Standardmäßig ist die Richtlinie nicht definiert und Sie können die lokale Richtlinie des Servers verwenden.
Gehen Sie wie folgt vor, um sich mit zwischengespeicherten Benutzeranmeldeinformationen anzumelden:
- Öffnen Sie die EC2-Konsole. und wählen Sie dann Sicherheitsgruppen aus.
- Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.
- Wählen Sie Sicherheitsgruppe erstellen aus.
- Fügen Sie einen Namen und eine Beschreibung der Sicherheitsgruppe hinzu.
- Wählen Sie unter Eingehende Regeln die Option Regel hinzufügen aus.
- Wählen Sie als Typ die Option RDP aus. Geben Sie dann Informationen für die Quelle an, von der aus Sie die RDP für die Verbindung verwenden möchten.
- Entfernen Sie unter Regeln für ausgehenden Datenverkehr den gesamten ausgehenden Zugriff.
- Wählen Sie Sicherheitsgruppe erstellen aus.
- Wählen Sie im Navigationsbereich Instances und dann die unerreichbare Instance aus.
- Wählen Sie Aktionen, Sicherheit, Sicherheitsgruppen ändern aus. Entfernen Sie alle vorhandenen Sicherheitsgruppen und weisen Sie dann nur die Sicherheitsgruppe zu, die Sie gerade erstellt haben.
- Verwenden Sie das reguläre Domain-Konto, um die RDP für die Verbindung mit der EC2-Instance zu verwenden. Da der gesamte ausgehende Zugriff von EC2 entfernt wird, verwendet die RDP die zwischengespeicherten Anmeldeinformationen, die auf dem Server gespeichert sind.
Hinweis: Die Authentifizierung wird zunächst gegenüber dem Domain-Controller versucht. Da es jedoch keinen ausgehenden Zugriff von Amazon EC2 gibt, überprüft die Authentifizierung letztendlich die zwischengespeicherten Anmeldeinformationen auf dem Server. Die Authentifizierung wird mit den zwischengespeicherten Anmeldeinformationen erneut versucht und die Anmeldung ist erfolgreich. Nachdem Sie sich angemeldet haben, können Sie die Sicherheitsgruppeneinstellungen wieder auf den ursprünglichen Status zurücksetzen und dann weiterhin alle Probleme mit Ihrer Domain beheben.
Zusätzliche Problembehebung
Wenn Sie immer noch keine Verbindung herstellen können, finden Sie weitere Informationen unter Wie behebe ich Probleme mit der Remote-Desktop-Verbindung zu meiner Amazon EC2-Windows-Instance?
Ähnliche Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 8 Monaten
- AWS OFFICIALAktualisiert vor einem Jahr