¿Cómo puedo solucionar los errores de autenticación al utilizar el RDP para conectarme a una instancia de Windows de EC2?

Resolución

Es posible que aparezcan los siguientes errores de autenticación cuando utilice el RDP para iniciar sesión en una instancia de Windows de Amazon EC2:

• «Se ha producido un error de autenticación. No se puede contactar con la autoridad de seguridad local».
• «El equipo remoto al que intenta conectarse requiere la autenticación de nivel de red (NLA), pero no se puede contactar con su controlador de dominio de Windows para realizar la NLA. Si es administrador del equipo remoto, puede deshabilitar la NLA mediante las opciones de la pestaña Remoto del cuadro de diálogo Propiedades del sistema».

Estos errores pueden producirse en los siguientes escenarios:

• La autenticación de nivel de red (NLA) está activada en el servidor.
• La relación de confianza entre su dominio y la instancia de EC2 unida a ese dominio falla durante el inicio de sesión del RDP.

La NLA está activada en el servidor

Los errores de NLA se producen cuando una instancia pierde la conectividad a un controlador de dominio porque las credenciales del dominio no están autenticadas. Para solucionar este problema, utilice el documento de automatización AWSSupport-TroubleshootRDP de AWS Systems Manager para modificar la configuración de la instancia o desactivar la NLA en la instancia.

El documento de automatización AWSSupport-TroubleshootRDP le permite modificar la configuración común de una instancia que puede afectar a las conexiones del RDP.

Utilice uno de los siguientes métodos para desactivar la NLA en una instancia inaccesible:

• Configure el Administrador de sesiones de AWS Systems Manager.
• Ejecute el documento de comandos AWS-RunPowerShellScript.
• Cambie manualmente el registro sin conexión.

Nota: Debe cambiar el registro al cambiar la NLA. Antes de empezar, cree una imagen de máquina de Amazon (AMI) a partir de su instancia. De este modo, se crea una copia de seguridad antes de cambiar el registro.

Desactivación de la NLA con el Administrador de sesiones de Systems Manager

Para desactivar la NLA con el Administrador de sesiones, añada las claves de registro siguiendo estos pasos:

Importante: La instancia debe estar en línea y tener instalado Systems Manager Agent (SSM Agent). La instancia también debe tener un rol de AWS Identity and Access Management (IAM) que otorgue permisos para el Administrador de sesiones. Para obtener más información, consulte Requisitos previos del Administrador de sesiones.

1. Abra la consola de Systems Manager.
2. En el panel de navegación, seleccione Administrador de flotas.
3. Seleccione la instancia administrada a la que quiere conectarse.
4. En el menú Acciones del nodo, seleccione Iniciar sesión de terminal y Conectar. Está conectado a la instancia mediante el Administrador de sesiones.
5. Ejecute los siguientes comandos en la sesión del terminal:

   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f

Desactivación de la NLA con el documento de comandos AWS-RunPowerShellScript

Para desactivar la NLA con el documento de comandos AWS:RunPowerShellScript, añada claves de registro siguiendo estos pasos:

Importante: La instancia debe estar en línea y tener el SSM Agent instalado. Además, la instancia debe tener un rol de IAM que conceda permisos para el Administrador de sesiones. Para obtener más información, consulte Requisitos previos del Administrador de sesiones.

1. Abra la consola de Systems Manager.

2. En el panel de navegación, seleccione Ejecutar comando y, a continuación, elija Ejecutar un comando.

3. En Documento de comando, seleccione AWS-RunPowerShellScript.

4. En Parámetros de comando, introduzca los siguientes comandos:

   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f

5. En Selección de destino, elija Elegir instancias manualmente y, a continuación, seleccione la instancia.

6. Seleccione Ejecutar.

7. Espere hasta que el Estado general cambie a Correcto. Actualice la página después de dos minutos.

8. Reinicie la instancia.

9. Utilice el RDP para iniciar sesión en la instancia.

Cambio manual del registro sin conexión

1. Detenga la instancia inaccesible y separe el volumen raíz.

2. Lance una nueva instancia en la misma zona de disponibilidad que la instancia inaccesible que acaba de detener. La nueva instancia se convierte en su instancia de rescate.

   Importante: Se recomienda lanzar una instancia de Windows diferente de la instancia inaccesible para evitar problemas de firma de disco.

3. Asocie el volumen separado a la instancia de rescate como /dev/xvdf.

4. Conéctese a la instancia de rescate mediante el RDP y, a continuación, ponga en línea el volumen que acaba de asociar en Administrador de discos.

5. En el símbolo del sistema, escriba regedit.exe y, a continuación, pulse Intro para abrir el Editor del registro.

6. Seleccione HKEY_LOCAL_MACHINE y, a continuación, seleccione Archivo, Cargar subárbol.

7. Navegue hasta la carpeta Windows del volumen asociado y, a continuación, seleccione el archivo SYSTEM. La ruta predeterminada es D:\Windows\System32\config.

8. Asigne un nombre al archivo SYSTEM; por ejemplo, badsys.

9. El archivo de sistema badsys aparece ahora en HKEY_LOCAL_MACHINE. En badsys, vaya a ControlSet001, Control, Servidor de terminales, WinStations, RDP-Tcp.

10. Haga doble clic en SecurityLayer y establezca los datos de valor en 0. Seleccione UserAuthentication y establezca los datos de valor en 0. A continuación, seleccione AllowSecProtocolNegotiation y establezca los datos de valor en 0.

11. Desplácese hacia arriba y seleccione badsys, Archivo, Descargar subárbol.

12. Cuando se descargue el subárbol, abra el Administrador de discos y desconecte el disco.

13. Separe el volumen de la instancia de rescate y asócielo a la instancia inaccesible como volumen raíz (/dev/sda1).

14. Inicie la instancia y pruebe el RDP.

La relación de confianza entre su dominio y la instancia de EC2 unida a ese dominio falla durante el inicio de sesión del RDP

Intente iniciar sesión en la instancia inaccesible con las credenciales de usuario almacenadas en caché.

Requisitos previos

• Una cuenta local que pueda autenticarse correctamente en la instancia de EC2.

• (Opcional) Al menos una cuenta de dominio que haya iniciado sesión cuando la instancia se comunicaba con el controlador de dominio. Para que la cuenta de dominio funcione, las credenciales de la cuenta de dominio deben almacenarse en caché en el servidor.

  Nota: Se recomienda utilizar una cuenta local.

• Cuando el controlador de dominio no esté disponible, asegúrese de que la configuración del número de inicios de sesión anteriores que se deben almacenar en caché esté establecida en al menos 1. Esto debe hacerse para utilizar inicios de sesión interactivos. La política se puede establecer en el valor predeterminado de 10. De forma predeterminada, la política no está definida y puede utilizar la política local del servidor.

Para iniciar sesión con las credenciales de usuario almacenadas en caché, siga estos pasos:

1. Abra la consola de EC2 y, a continuación, seleccione Grupos de seguridad.
2. En el panel de navegación, seleccione Grupos de seguridad.
3. Seleccione Crear grupo de seguridad.
4. Añada un nombre y una descripción para el grupo de seguridad.
5. En Reglas de entrada, seleccione Añadir regla.
6. En Tipo, seleccione RDP. A continuación, proporcione información sobre el origen desde el que desea utilizar el RDP para conectarse.
7. En Reglas de salida, elimine todos los accesos salientes.
8. Seleccione Crear grupo de seguridad.
9. En el panel de navegación, elija Instancias y, a continuación, seleccione la instancia inaccesible.
10. Elija ** Acciones**, Seguridad, Cambiar grupos de seguridad. Elimine todos los grupos de seguridad existentes y, a continuación, asigne el grupo de seguridad que acaba de crear.
11. Utilice la cuenta de dominio normal para usar el RDP para conectarse a la instancia de EC2. Dado que todos los accesos salientes se eliminan de Amazon EC2, el RDP utiliza las credenciales almacenadas en caché en el servidor.

Nota: Inicialmente, se intenta realizar la autenticación con el controlador de dominio. Sin embargo, dado que no hay acceso saliente desde Amazon EC2, la autenticación finalmente comprueba las credenciales almacenadas en caché en el servidor. Se vuelve a intentar la autenticación con las credenciales almacenadas en caché y el inicio de sesión se completa correctamente. Después de iniciar sesión, puede volver a cambiar la configuración del grupo de seguridad al estado original y, a continuación, seguir solucionando los problemas del dominio.

Resolución de problemas adicionales

Si sigue sin poder conectarse a la instancia, consulte ¿Cómo soluciono los problemas de conexión de escritorio remoto a mi instancia de Windows de Amazon EC2?

Información relacionada

Ejecutar comando de AWS Systems Manager

Administrador de sesiones de AWS Systems Manager