Como faço para solucionar erros de autenticação ao usar o RDP para conexão com uma instância Windows do EC2?

8 minuto de leitura
0

Recebo erros de autenticação quando uso o Remote Desktop Protocol (RDP) para tentar fazer login na minha instância Windows do Amazon Elastic Compute Cloud (Amazon EC2).

Resolução

Você pode receber os seguintes erros de autenticação ao usar o RDP para fazer login em uma instância Windows do Amazon EC2:

  • "Ocorreu um erro de autenticação. Não é possível contatar a Autoridade de Segurança Local."
  • "O computador remoto ao qual você está tentando se conectar requer a Autenticação em nível de rede (NLA), mas seu controlador de domínio do Windows não pôde ser contatado para realizar a NLA. Se você for administrador no computador remoto, poderá desativar a NLA usando as opções na guia Remoto da caixa de diálogo Propriedades do sistema."

Esses erros podem ocorrer nas seguintes situações:

  • A Autenticação de camada de rede (NLA) está ativada para o servidor.
  • A relação de confiança entre seu domínio e a instância do EC2 associada a esse domínio falha durante o login do RDP.

A NLA está ativada para o servidor

Erros de NLA ocorrem quando a instância perde a conectividade com um controlador de domínio porque as credenciais do domínio não estão autenticadas. Para corrigir esse problema, use o documento de automação AWSSupport-TroubleshootRDP do AWS Systems Manager para modificar as configurações da instância ou desativar o NLA na instância.

O documento de automação AWSSupport-TroubleshootRDP permite que você modifique configurações comuns de uma instância que podem afetar as conexões RDP.

Use um dos métodos a seguir para desativar o NLA em uma instância inacessível:

  • Configure o Gerenciador de Sessões do AWS Systems Manager.
  • Execute o documento de comando AWS-RunPowerShellScript.
  • Altere manualmente o registro offline.

Observação: altere o registro ao alterar o NLA. Antes de começar, crie uma imagem de máquina da Amazon (AMI) da sua instância. Assim, você cria um backup antes de alterar o registro.

Desativar o NLA com o Gerenciador de Sessões do Systems Manager

Para desativar o NLA com o Gerenciador de sessões, adicione chaves de registro seguindo estas etapas:

Importante: a instância deve ter o Systems Manager Agent (SSM Agent) instalado e estar on-line. A instância também deve ter uma função do AWS Identity and Access Management (IAM) que conceda permissões para o Gerenciador de sessões. Para obter mais informações, consulte Pré-requisitos do Gerenciador de sessões.

  1. Abra o console do Systems Manager.
  2. No painel de navegação, escolha Fleet Manager.
  3. Escolha a instância gerenciada à qual você deseja se conectar.
  4. No menu Ações do nó, escolha Iniciar sessão do terminal e Conectar. Você está conectado à instância usando o Gerenciador de sessões.
  5. Execute os seguintes comandos na sessão do terminal:
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f

Desative o NLA com o documento de comando AWS-RunPowerShellScript

Para desativar o NLA com o documento de comando AWS:RunPowerShellScript, adicione chaves de registro seguindo estas etapas:

Importante: a instância deve ter o SSM Agent instalado e estar on-line. A instância também deve ter um perfil do IAM que conceda permissões para o Gerenciador de sessões. Para obter mais informações, consulte Pré-requisitos do Gerenciador de sessões.

  1. Abra o console do Systems Manager.

  2. No painel de navegação, escolha Executar comando e, em seguida, Executar um comando.

  3. Em Documento de comando, selecione AWS-RunPowerShellScript.

  4. Em Parâmetros do comando, insira os seguintes comandos:

    reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f
  5. Em Seleção de destino, escolha Escolher instâncias manualmente e selecione sua instância.

  6. Escolha Executar.

  7. Espere até que o Status geral mude para Sucesso. Atualize a página após dois minutos.

  8. Reinicie a instância.

  9. Use o RDP para fazer login na instância.

Alterar manualmente o registro offline

  1. Interrompa a instância inacessível e desvincule o volume raiz.

  2. Inicie uma nova instância na mesma zona de disponibilidade da instância inacessível que você interrompeu. A nova instância se torna sua instância de resgate.

    Importante: é prática recomendada iniciar uma instância do Windows diferente da instância inacessível para evitar problemas de assinatura de disco.

  3. Vincule o volume desvinculado à instância de resgate como /dev/xvdf.

  4. Use o RDP para conectar a instância de resgate e, depois, coloque online o volume que você acabou de vincular no Gerenciador de discos.

  5. Em um prompt de comando, digite regedit.exe e pressione Enter para abrir o Editor do Registro.

  6. Selecione HKEY_LOCAL_MACHINE e, depois, Arquivo, Carregar hive.

  7. Navegue até a pasta Windows no volume vinculado e selecione o arquivo SYSTEM. O caminho padrão é D:\Windows\System32\config.

  8. Dê um nome ao arquivo SYSTEM. Por exemplo, badsys.

  9. O arquivo do sistema badsys agora aparece em HKEY_LOCAL_MACHINE. Em badsys, navegue até ControlSet001, Controle, Servidor de terminal, WinStations, RDP-Tcp.

  10. Clique duas vezes em SecurityLayer e defina seus dados de valor como **0.**Selecione UserAuthentication e defina os dados de valor como 0. Em seguida, selecione AllowSecProtocolNegotiation e defina os dados de valor como 0.

  11. Role para cima e selecione badsys, Arquivo, Descarregar hive.

  12. Depois que o hive for descarregado, abra o Gerenciador de discos e coloque o disco offline.

  13. Desvincule o volume da instância de resgate e conecte-o à instância inacessível como o volume raiz (/dev/sda1).

  14. Inicie a instância e teste o RDP.

A relação de confiança entre seu domínio e a instância do EC2 associada a esse domínio falha durante o login do RDP

Use credenciais de usuário em cache para tentar fazer login na instância inacessível.

Pré-requisitos

  • Uma conta local que pode se autenticar com êxito na instância do EC2.

  • (Opcional) Pelo menos uma conta de domínio que estava conectada quando a instância estava se comunicando com o controlador de domínio. Para que a conta de domínio funcione, as credenciais da conta de domínio devem ser armazenadas em cache no servidor.

    Observação: é prática recomendada usar uma conta local.

  • Quando o controlador de domínio não estiver disponível, confirme que a configuração do número de logins anteriores para armazenar em cache esteja definida como pelo menos 1. Isso deve ser feito para usar logins interativos. A política pode ser definida com o valor padrão de 10. Por padrão, a política não é definida, e você pode usar a política local do servidor.

Para fazer login usando credenciais de usuário em cache, siga estas etapas:

  1. Abra o console do EC2 e, em seguida, selecione Grupos de segurança.
  2. No painel de navegação, escolha Grupos de segurança.
  3. Escolha Criar grupo de segurança.
  4. Adicione um nome e uma descrição para o grupo de segurança.
  5. Em Regras de entrada, escolha Adicionar regra.
  6. Em Tipo, escolha RDP. Em seguida, forneça informações sobre a fonte da qual você deseja usar o RDP para se conectar.
  7. Em Regras de saída, remova todo o acesso de saída.
  8. Escolha Criar grupo de segurança.
  9. No painel de navegação, escolha Instâncias e, em seguida, selecione a instância inacessível.
  10. Escolha Ações, Segurança, Alterar grupos de segurança. Remova todos os grupos de segurança existentes e atribua aquele que você acabou de criar.
  11. Use a conta de domínio normal para usar o RDP para se conectar à instância do EC2. Como todo o acesso de saída é removido do Amazon EC2, o RDP usa as credenciais em cache armazenadas no servidor.

Observação: é feita uma tentativa inicial de autenticação no controlador de domínio. Mas como não há acesso de saída do Amazon EC2, a autenticação eventualmente verifica as credenciais em cache armazenadas no servidor. A autenticação é repetida com as credenciais em cache, e o login é bem-sucedido. Depois de fazer login, você pode alterar as configurações do grupo de segurança de volta ao estado original e continuar corrigindo eventuais problemas com seu domínio.

Solução de problemas adicionais

Se você ainda não conseguir se conectar à instância, consulte Como faço para solucionar problemas de conexão de áreas de trabalho remotas com instâncias do Amazon EC2 Windows?

Informações relacionadas

Comando de execução do AWS Systems Manager

Gerenciador de Sessões do AWS Systems Manager

AWS OFICIAL
AWS OFICIALAtualizada há um ano