Come posso risolvere gli errori di autenticazione quando uso RDP per connettermi a un'istanza Windows EC2?

Risoluzione

Potresti ricevere i seguenti errori di autenticazione quando utilizzi RDP per accedere a un'istanza Windows di Amazon EC2:

• “Si è verificato un errore di autenticazione. L'Autorità di sicurezza locale non può essere contattata."
• “Il computer remoto a cui stai tentando di connetterti richiede l'autenticazione a livello di rete (NLA), ma il tuo controller di dominio Windows non può essere contattato per eseguire l'NLA. Se sei un amministratore del computer remoto, puoi disattivare l'NLA utilizzando le opzioni nella scheda Remoto della finestra di dialogo Proprietà del sistema."

Questi errori possono verificarsi nei seguenti casi:

• L'autenticazione a livello di rete (NLA) è attivata per il server.
• La relazione di trust tra il dominio e l'istanza EC2 aggiunta a questo dominio fallisce durante l'accesso RDP.

L'NLA è attivata per il server

Gli errori NLA si verificano quando un'istanza perde la connettività a un controller di dominio perché le credenziali di dominio non sono autenticate. Per risolvere questo problema, utilizza il documento di automazione AWS Systems Manager AWSSupport-TroubleshootRDP per modificare le impostazioni dell'istanza o disattivare NLA sull'istanza.

Il documento di automazione AWSSupport-TroubleshootRDP consente di modificare le impostazioni comuni su un'istanza che può influire sulle connessioni RDP.

Utilizzare uno dei seguenti metodi per disattivare NLA su un'istanza irraggiungibile:

• Configura Gestione sessione di AWS Systems Manager.
• Esegui il documento di comando AWS-RunPowerShellScript.
• Modifica manualmente il registro offline.

Nota: è necessario modificare il registro quando si modifica l'NLA. Prima di iniziare, crea un'Amazon Machine Image (AMI) dalla tua istanza. In questo modo, viene creato un backup prima di modificare il registro.

Disattiva NLA con Gestione sessione di Systems Manager

Per disattivare NLA con Gestione sessione, aggiungi le chiavi di registro completando questi passaggi:

Importante: sull’istanza deve essere installato Systems Manager Agent (SSM Agent) e l'istanza deve essere online. L'istanza deve inoltre avere un ruolo AWS Identity and Access Management (IAM) che conceda le autorizzazioni per Gestione sessione. Per ulteriori informazioni, consulta Prerequisiti di Gestione sessione.

1. Apri la console di Systems Manager.
2. Nel riquadro di navigazione, scegli Fleet Manager.
3. Scegli l'istanza gestita a cui desideri connetterti.
4. Nel menu Azioni del nodo, scegli Avvia sessione terminale, Connetti. Ora sei connesso all'istanza tramite Gestione sessione.
5. Esegui i seguenti comandi nella sessione terminale:

   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f

**Disattiva NLA con il documento di comando AWS-RunPowerShellScript **

Per disattivare NLA con il documento di comando AWS:RunPowerShellScript, aggiungi le chiavi di registro completando questi passaggi:

Importante: l'istanza deve avere l'agente SSM installato e deve essere online. L'istanza deve inoltre avere un ruolo IAM che conceda le autorizzazioni per Gestione sessione. Per ulteriori informazioni, consulta Prerequisiti di Gestione sessione.

1. Apri la console di Systems Manager.

2. Nel riquadro di navigazione, scegli Esegui comando, quindi scegli Esegui un comando.

3. Per il Documento di comando, seleziona AWS-RunPowerShellScript.

4. Per i Parametri dei comandi, inserisci i seguenti comandi:

   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f

5. Per Selezione target, seleziona Scegli istanze manualmente, quindi seleziona la tua istanza.

6. Scegli Esegui.

7. Attendi che lo Stato generale cambi in Operazione riuscita. Aggiorna la pagina dopo due minuti.

8. Riavvia l'istanza.

9. Usa RDP per accedere all'istanza.

Modifica manualmente il registro offline

1. Arresta l'istanza irraggiungibile e scollega il volume principale.

2. Avvia una nuova istanza nella stessa zona di disponibilità dell'istanza irraggiungibile che hai appena interrotto. La nuova istanza diventa la tua istanza di ripristino.

   Importante: è consigliabile avviare un'istanza Windows diversa dall'istanza irraggiungibile per evitare problemi di firma del disco.

3. Collega il volume scollegato all'istanza di ripristino come /dev/xvdf.

4. Usa RDP per connetterti all'istanza di ripristino, quindi connetti online il volume che hai appena collegato in Disk Manager.

5. In un prompt dei comandi, digita regedit.exe, quindi premi Invio per aprire l'editor del Registro di sistema.

6. Seleziona HKEY_LOCAL_MACHINE, quindi seleziona File, Carica Hive.

7. Accedi alla cartella Windows nel volume collegato, quindi seleziona il file SYSTEM. Il percorso predefinito è D:\Windows\System32\config.

8. Assegna un nome al file SYSTEM. Ad esempio, badsys.

9. Il file di sistema badsys ora appare in HKEY\ _LOCAL\ _MACHINE. In badsys, accedi a ControlSet001, Control, Terminal Server, WinStations, RDP-Tcp.

10. Fai doppio clic su SecurityLayer e imposta i relativi valori su0. Seleziona UserAuthentication e imposta i relativi valori su 0. Quindi, seleziona AllowSecProtocolNegotiation e imposta i dati del valore su 0.

11. Scorri verso l'alto e seleziona badsys, File, Scarica Hive.

12. Dopo aver scaricato l'hive, apri Disk Manager e metti il disco offline.

13. Scollega il volume dall'istanza di ripristino e collegalo all'istanza irraggiungibile come volume principale (/dev/sda1).

14. Avvia l'istanza e prova RDP.

La relazione di trust tra il dominio e l'istanza EC2 aggiunta a questo dominio ha esito negativo durante l'accesso RDP

Prova ad accedere all'istanza irraggiungibile utilizzando le credenziali utente memorizzate nella cache.

Prerequisiti

• Un account locale in grado di autenticarsi correttamente sull'istanza EC2.

• (Facoltativo) Almeno un account di dominio connesso quando l'istanza comunicava con il controller di dominio. Affinché l'account di dominio funzioni, le credenziali dell'account di dominio devono essere memorizzate nella cache del server.

  Nota: è consigliabile utilizzare un account locale.

• Quando il controller di dominio non è disponibile, assicurati che l'impostazione per il numero di accessi precedenti da memorizzare nella cache sia impostata almeno su 1. Questa operazione deve essere eseguita per utilizzare accessi interattivi. La policy può essere impostata sul valore predefinito10. Per impostazione predefinita, la policy non è definita ed è possibile utilizzare la policy locale del server.

Per accedere utilizzando le credenziali utente memorizzate nella cache, completa questi passaggi:

1. Apri la console EC2, quindi seleziona Gruppi di sicurezza.
2. Nel riquadro di navigazione, scegli Gruppi di sicurezza.
3. Scegli Crea gruppo di sicurezza.
4. Aggiungi un nome e una descrizione del gruppo di sicurezza.
5. In Regole in entrata, scegli Aggiungi regola.
6. In Tipo, scegli RDP. Quindi, fornisci informazioni sull’origine da cui desideri utilizzare RDP per connetterti.
7. In Regole in uscita, rimuovi tutti gli accessi in uscita.
8. Scegli Crea gruppo di sicurezza.
9. Nel riquadro di navigazione, scegli Istanze, quindi seleziona l'istanza irraggiungibile.
10. Scegli Azioni, Sicurezza, Modifica gruppi di sicurezza. Rimuovi tutti i gruppi di sicurezza esistenti e assegna il gruppo di sicurezza appena creato.
11. Usa il normale account di dominio per utilizzare RDP per connetterti all'istanza EC2. Poiché tutti gli accessi in uscita vengono rimossi da Amazon EC2, RDP utilizza le credenziali memorizzate nella cache memorizzate all'interno del server.

Nota: inizialmente, viene tentata l'autenticazione rispetto al controller di dominio. Ma poiché non vi è accesso in uscita da Amazon EC2, l'autenticazione alla fine verifica le credenziali memorizzate nella cache memorizzate sul server. L'autenticazione viene ritentata con le credenziali memorizzate nella cache e l'accesso ha esito positivo. Dopo aver effettuato l'accesso, puoi ripristinare le impostazioni del gruppo di sicurezza allo stato originale, quindi continuare a risolvere eventuali problemi con il tuo dominio.

Risoluzione di problemi aggiuntivi

Se non riesci ancora a connetterti all’istanza, vedi Come posso risolvere i problemi di connessione Remote Desktop alla mia istanza Amazon EC2 per Windows?

Informazioni correlate

Esegui comando di AWS Systems Manager

Gestione sessione di AWS Systems Manager