Como faço para solucionar erros de autenticação ao usar o RDP para conexão com uma instância Windows do EC2?
Recebo erros de autenticação quando uso o Remote Desktop Protocol (RDP) para tentar fazer login na minha instância Windows do Amazon Elastic Compute Cloud (Amazon EC2).
Resolução
Você pode receber os seguintes erros de autenticação ao usar o RDP para fazer login em uma instância Windows do Amazon EC2:
- "Ocorreu um erro de autenticação. Não é possível contatar a Autoridade de Segurança Local."
- "O computador remoto ao qual você está tentando se conectar requer a Autenticação em nível de rede (NLA), mas seu controlador de domínio do Windows não pôde ser contatado para realizar a NLA. Se você for administrador no computador remoto, poderá desativar a NLA usando as opções na guia Remoto da caixa de diálogo Propriedades do sistema."
Esses erros podem ocorrer nas seguintes situações:
- A Autenticação de camada de rede (NLA) está ativada para o servidor.
- A relação de confiança entre seu domínio e a instância do EC2 associada a esse domínio falha durante o login do RDP.
A NLA está ativada para o servidor
Erros de NLA ocorrem quando a instância perde a conectividade com um controlador de domínio porque as credenciais do domínio não estão autenticadas. Para corrigir esse problema, use o documento de automação AWSSupport-TroubleshootRDP do AWS Systems Manager para modificar as configurações da instância ou desativar o NLA na instância.
O documento de automação AWSSupport-TroubleshootRDP permite que você modifique configurações comuns de uma instância que podem afetar as conexões RDP.
Use um dos métodos a seguir para desativar o NLA em uma instância inacessível:
- Configure o Gerenciador de Sessões do AWS Systems Manager.
- Execute o documento de comando AWS-RunPowerShellScript.
- Altere manualmente o registro offline.
Observação: altere o registro ao alterar o NLA. Antes de começar, crie uma imagem de máquina da Amazon (AMI) da sua instância. Assim, você cria um backup antes de alterar o registro.
Desativar o NLA com o Gerenciador de Sessões do Systems Manager
Para desativar o NLA com o Gerenciador de sessões, adicione chaves de registro seguindo estas etapas:
Importante: a instância deve ter o Systems Manager Agent (SSM Agent) instalado e estar on-line. A instância também deve ter uma função do AWS Identity and Access Management (IAM) que conceda permissões para o Gerenciador de sessões. Para obter mais informações, consulte Pré-requisitos do Gerenciador de sessões.
- Abra o console do Systems Manager.
- No painel de navegação, escolha Fleet Manager.
- Escolha a instância gerenciada à qual você deseja se conectar.
- No menu Ações do nó, escolha Iniciar sessão do terminal e Conectar. Você está conectado à instância usando o Gerenciador de sessões.
- Execute os seguintes comandos na sessão do terminal:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f
Desative o NLA com o documento de comando AWS-RunPowerShellScript
Para desativar o NLA com o documento de comando AWS:RunPowerShellScript, adicione chaves de registro seguindo estas etapas:
Importante: a instância deve ter o SSM Agent instalado e estar on-line. A instância também deve ter um perfil do IAM que conceda permissões para o Gerenciador de sessões. Para obter mais informações, consulte Pré-requisitos do Gerenciador de sessões.
-
Abra o console do Systems Manager.
-
No painel de navegação, escolha Executar comando e, em seguida, Executar um comando.
-
Em Documento de comando, selecione AWS-RunPowerShellScript.
-
Em Parâmetros do comando, insira os seguintes comandos:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f
-
Em Seleção de destino, escolha Escolher instâncias manualmente e selecione sua instância.
-
Escolha Executar.
-
Espere até que o Status geral mude para Sucesso. Atualize a página após dois minutos.
-
Reinicie a instância.
-
Use o RDP para fazer login na instância.
Alterar manualmente o registro offline
-
Interrompa a instância inacessível e desvincule o volume raiz.
-
Inicie uma nova instância na mesma zona de disponibilidade da instância inacessível que você interrompeu. A nova instância se torna sua instância de resgate.
Importante: é prática recomendada iniciar uma instância do Windows diferente da instância inacessível para evitar problemas de assinatura de disco.
-
Vincule o volume desvinculado à instância de resgate como /dev/xvdf.
-
Use o RDP para conectar a instância de resgate e, depois, coloque online o volume que você acabou de vincular no Gerenciador de discos.
-
Em um prompt de comando, digite regedit.exe e pressione Enter para abrir o Editor do Registro.
-
Selecione HKEY_LOCAL_MACHINE e, depois, Arquivo, Carregar hive.
-
Navegue até a pasta Windows no volume vinculado e selecione o arquivo SYSTEM. O caminho padrão é D:\Windows\System32\config.
-
Dê um nome ao arquivo SYSTEM. Por exemplo, badsys.
-
O arquivo do sistema badsys agora aparece em HKEY_LOCAL_MACHINE. Em badsys, navegue até ControlSet001, Controle, Servidor de terminal, WinStations, RDP-Tcp.
-
Clique duas vezes em SecurityLayer e defina seus dados de valor como **0.**Selecione UserAuthentication e defina os dados de valor como 0. Em seguida, selecione AllowSecProtocolNegotiation e defina os dados de valor como 0.
-
Role para cima e selecione badsys, Arquivo, Descarregar hive.
-
Depois que o hive for descarregado, abra o Gerenciador de discos e coloque o disco offline.
-
Desvincule o volume da instância de resgate e conecte-o à instância inacessível como o volume raiz (/dev/sda1).
-
Inicie a instância e teste o RDP.
A relação de confiança entre seu domínio e a instância do EC2 associada a esse domínio falha durante o login do RDP
Use credenciais de usuário em cache para tentar fazer login na instância inacessível.
Pré-requisitos
-
Uma conta local que pode se autenticar com êxito na instância do EC2.
-
(Opcional) Pelo menos uma conta de domínio que estava conectada quando a instância estava se comunicando com o controlador de domínio. Para que a conta de domínio funcione, as credenciais da conta de domínio devem ser armazenadas em cache no servidor.
Observação: é prática recomendada usar uma conta local.
-
Quando o controlador de domínio não estiver disponível, confirme que a configuração do número de logins anteriores para armazenar em cache esteja definida como pelo menos 1. Isso deve ser feito para usar logins interativos. A política pode ser definida com o valor padrão de 10. Por padrão, a política não é definida, e você pode usar a política local do servidor.
Para fazer login usando credenciais de usuário em cache, siga estas etapas:
- Abra o console do EC2 e, em seguida, selecione Grupos de segurança.
- No painel de navegação, escolha Grupos de segurança.
- Escolha Criar grupo de segurança.
- Adicione um nome e uma descrição para o grupo de segurança.
- Em Regras de entrada, escolha Adicionar regra.
- Em Tipo, escolha RDP. Em seguida, forneça informações sobre a fonte da qual você deseja usar o RDP para se conectar.
- Em Regras de saída, remova todo o acesso de saída.
- Escolha Criar grupo de segurança.
- No painel de navegação, escolha Instâncias e, em seguida, selecione a instância inacessível.
- Escolha Ações, Segurança, Alterar grupos de segurança. Remova todos os grupos de segurança existentes e atribua aquele que você acabou de criar.
- Use a conta de domínio normal para usar o RDP para se conectar à instância do EC2. Como todo o acesso de saída é removido do Amazon EC2, o RDP usa as credenciais em cache armazenadas no servidor.
Observação: é feita uma tentativa inicial de autenticação no controlador de domínio. Mas como não há acesso de saída do Amazon EC2, a autenticação eventualmente verifica as credenciais em cache armazenadas no servidor. A autenticação é repetida com as credenciais em cache, e o login é bem-sucedido. Depois de fazer login, você pode alterar as configurações do grupo de segurança de volta ao estado original e continuar corrigindo eventuais problemas com seu domínio.
Solução de problemas adicionais
Se você ainda não conseguir se conectar à instância, consulte Como faço para solucionar problemas de conexão de áreas de trabalho remotas com instâncias do Amazon EC2 Windows?
Informações relacionadas
Vídeos relacionados
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos