Problembehebung bei Startproblemen von Amazon-EC2-Windows-Instance - Amazon Elastic Compute Cloud
Passwort nicht verfügbarPasswort noch nicht verfügbarWindows-Passwort kann nicht abgerufen werdenWarten auf Metadaten-ServiceWindows kann nicht aktiviert werdenKeine Original-Windows-Version (0x80070005)Kein Terminal Server License-Server verfügbar, um eine Lizenz bereitzustellen„Einige Einstellungen werden von Ihrer Organisation verwaltet.“ (Windows 2019)

Problembehebung bei Startproblemen von Amazon-EC2-Windows-Instance

Mithilfe der folgenden Tipps können Sie Passwort- und Aktivierungs-Probleme von Amazon-EC2-Windows-Instances beheben.

Passwort nicht verfügbar

Um eine Verbindung zu der Windows-Instance unter Verwendung der Remotedesktopdienste herzustellen, müssen Sie einen Benutzernamen und ein Passwort angeben. Die bereitgestellten Benutzerkonten und Passwörter richten sich nach dem AMI, mit dem die Instance gestartet wurde. Sie können entweder das automatisch erzeugte Passwort für das Administrator-Konto abrufen oder das Benutzerkonto und das Passwort verwenden, das in der ursprünglichen Instance bei der Erstellung des AMI verwendet wurden.

Sie können ein Passwort für das Administratorkonto für Instances generieren, die unter Verwendung eines benutzerdefinierten Windows-AMIs gestartet wurden. Um das Passwort zu generieren, müssen Sie einige Einstellungen im Betriebssystem konfigurieren, bevor das AMI erstellt wird. Weitere Informationen finden Sie unter Ein Amazon-EBS-gestütztes AMI erstellen.

Wenn Ihre Windows-Instance nicht für die Generierung eines zufällig gewählten Passworts konfiguriert sind, wird bei dem Versuch, das automatisch generierte Passwort über die Konsole abzurufen, die folgende Meldung angezeigt:

Password is not available.
The instance was launched from a custom AMI, or the default password has changed. A
password cannot be retrieved for this instance. If you have forgotten your password, you can
reset it using the Amazon EC2 configuration service. For more information, see Passwords for a
Windows Server instance.

Überprüfen Sie die Ausgabe der Konsole für die Instance daraufhin, ob auf dem zum Starten der Instance verwendeten AMI die automatische Generierung des Passworts deaktiviert ist. Wenn die Generierung des Passworts deaktiviert ist, sieht die Ausgabe der Konsole wie folgt aus:

Ec2SetPassword: Disabled

Wenn die automatische Passwortgenerierung deaktiviert ist und Sie sich nicht an das Passwort der ursprünglichen Instance erinnern, können Sie das Passwort für diese Instance zurücksetzen. Weitere Informationen finden Sie unter Zurücksetzen des Windows-Administratorpassworts für eine Amazon-EC2-Windows-Instance.

Passwort noch nicht verfügbar

Um eine Verbindung zu der Windows-Instance unter Verwendung der Remotedesktopdienste herzustellen, müssen Sie einen Benutzernamen und ein Passwort angeben. Die bereitgestellten Benutzerkonten und Passwörter richten sich nach dem AMI, mit dem die Instance gestartet wurde. Sie können entweder das automatisch erzeugte Passwort für das Administrator-Konto abrufen oder das Benutzerkonto und das Passwort verwenden, das in der ursprünglichen Instance bei der Erstellung des AMI verwendet wurden.

Ihr Passwort sollte innerhalb von einigen Minuten verfügbar sein. Wenn das Passwort noch nicht verfügbar ist, wird bei dem Versuch, das automatisch generierte Passwort über die Konsole abzurufen, die folgende Meldung angezeigt:

Password not available yet.
Please wait at least 4 minutes after launching an instance before trying to retrieve the 
auto-generated password.

Wenn Sie das Passwort auch nach etwa vier Minuten nicht abrufen können, ist möglicherweise der Launch-Agent für Ihre Instance nicht für die Generierung eines Passworts konfiguriert. Sie können dies daran erkennen, dass die Ausgabe der Konsole leer ist. Weitere Informationen finden Sie unter Abrufen der Konsoleausgabe nicht möglich.

Überprüfen Sie auch, dass das IAM-Konto (AWS Identity and Access Management), mit dem auf das Management Portal zugegriffen wird, die Aktion ec2:GetPasswordData ausführen darf. Weitere Informationen zum Verwalten von IAM-Berechtigungen finden Sie unter Was ist IAM?.

Windows-Passwort kann nicht abgerufen werden

Um das automatisch generierte Passwort für das Administrator-Konto abzurufen, müssen Sie das Schlüsselpaar verwenden, das Sie beim Starten der Instance festgelegt haben. Wenn Sie beim Starten Ihrer Instance kein Schlüsselpaar angegeben haben, wird die folgende Meldung angezeigt.

Cannot retrieve Windows password

Sie können diese Instance beenden und eine neue Instance mit demselben AMI starten. Stellen Sie dabei sicher, dass Sie ein Schlüsselpaar angeben.

Warten auf Metadaten-Service

Windows-Instances müssen Informationen aus den Instance-Metadaten abrufen, damit sie sich aktivieren können. Standardmäßig wird mit der Einstellung WaitForMetaDataAvailable sichergestellt, dass der EC2Config-Service darauf wartet, dass die Instance-Metadaten zugänglich sind, bevor der Startvorgang fortgesetzt wird. Weitere Informationen finden Sie unter Instance-Metadaten verwenden, um Ihre EC2-Instance zu verwalten.

Wenn die Instance die Erreichbarkeitsprüfung nicht besteht, gehen Sie wie folgt vor, um dieses Problem zu beheben.

  • Überprüfen Sie bei EC2-VPC den CIDR-Block Ihrer VPC. Windows-Instances können nicht ordnungsgemäß gestartet werden, wenn sie in einer VPC in einem IP-Adressbereich von 224.0.0.0 bis 255.255.255.255 gestartet werden (IP-Adressbereiche Klasse D und Klasse E). Diese IP-Adressbereiche sind reserviert und sollten keinen Hostgeräten zugewiesen werden. Wir empfehlen, eine VPC mit einem CIDR-Block aus dem privaten (nicht öffentlich routingfähigen) IP-Adressbereich zu erstellen, wie in RFC 1918 spezifiziert.

  • Möglicherweise wurde das System mit einer statischen IP-Adresse konfiguriert. Probieren Sie, eine Netzwerkschnittstelle zu erstellen und sie der Instance anzufügen.

  • So aktivieren Sie DHCP auf einer Windows-Instance, zu der Sie keine Verbindung herstellen können

    1. Beenden Sie die betroffene Instance und trennen Sie das Stamm-Volume von der Instance.

    2. Starten Sie eine temporäre Instance in derselben Availability Zone wie die betroffene Instance.

      Warnung

      (Optional) Wenn ihre temporäre Instance auf demselben AMI basiert wie die ursprüngliche Instance, müssen Sie zusätzliche Schritte ausführen. Anderenfalls werden Sie die ursprüngliche Instance nach der Wiederherstellung des Stamm-Volumes wegen einer Festplatten-Signaturkollision nicht booten können. Alternativ können Sie ein anderes AMI für die temporäre Instance verwenden. Wenn beispielsweise die Original-Instance das AWS-Windows-AMI für Windows Server 2016 verwendet, starten Sie die temporäre Instance mithilfe des AWS-Windows-AMI für Windows Server 2019.

    3. Hängen Sie das Stamm-Volume aus der betroffenen Instance an diese temporäre Instance an. Stellen Sie eine Verbindung mit der temporären Instance her, öffnen Sie das Datenträgerverwaltung-Dienstprogramm und bringen Sie das Laufwerk online.

    4. Öffnen Sie von der temporären Instance aus Regedit und wählen Sie HKEY_LOCAL_MACHINE. Wählen Sie im Menü File die Option Load Hive aus. Wählen Sie das Laufwerk aus, öffnen Sie die Datei Windows\System32\config\SYSTEM und geben Sie einen (frei wählbaren) Schlüsselnamen ein, wenn Sie dazu aufgefordert werden.

    5. Wählen Sie den gerade geladenen Schlüssel aus und navigieren Sie zu ControlSet001\Services\Tcpip\Parameters\Interfaces. Dort sind alle Netzwerkschnittstellen nach ihrer GUID sortiert aufgelistet. Wählen Sie die richtige Netzwerkschnittstelle aus. Wenn DHCP deaktiviert und eine statische IP-Adresse zugewiesen ist, ist EnableDHCP auf 0 gesetzt. Um DHCP zu aktivieren, setzen Sie EnableDHCP auf 1 und löschen Sie die folgenden Schlüssel (falls vorhanden): NameServer, SubnetMask, IPAddress und DefaultGateway. Wählen Sie den Schlüssel erneut aus und wählen Sie dann aus dem Menü File den Befehl Unload Hive.

      Anmerkung

      Wenn Sie mehrere Netzwerkschnittstellen konfiguriert haben, müssen Sie DHCP für die richtige Schnittstelle aktivieren. Um die richtige Netzwerkschnittstelle zu identifizieren, überprüfen Sie die folgenden Schlüsselwerte: NameServer, SubnetMask, IPAddress und DefaultGateway. Diese Werte enthalten die statische Konfiguration der vorangehenden Instance.

    6. (Optional) Wenn DHCP bereits aktiviert ist, besteht die Möglichkeit, dass keine Route zu dem Metadaten-Service vorhanden ist. Sie können dieses Problem beheben, indem Sie EC2Config aktualisieren.

      1. Laden Sie die aktuelle Version des EC2Config-Service herunter und installieren Sie sie. Weitere Informationen zum Installieren dieses Service erhalten Sie unter Installieren der neuesten Version von EC2Config.

      2. Extrahieren Sie die Dateien aus der .zip-Datei in das Temp-Verzeichnis auf dem von Ihnen angefügten Laufwerk.

      3. Öffnen Sie Regedit und wählen Sie HKEY_LOCAL_MACHINE. Wählen Sie im Menü File die Option Load Hive aus. Wählen Sie das Laufwerk aus, öffnen Sie die Datei Windows\System32\config\SOFTWARE und geben Sie einen (frei wählbaren) Schlüsselnamen ein, wenn Sie dazu aufgefordert werden.

      4. Wählen Sie den gerade geladenen Schlüssel aus und navigieren Sie zu Microsoft\Windows\CurrentVersion. Wählen Sie den Schlüssel RunOnce aus. (Wenn dieser Schlüssel nicht vorhanden ist, klicken Sie mit der rechten Maustaste auf CurrentVersion, zeigen Sie auf New, wählen Sie die Option Schlüssel und benennen Sie den Schlüssel RunOnce.) Klicken Sie mit der rechten Maustaste auf den Schlüssel, zeigen Sie auf New und wählen Sie String Value. Geben Sie Ec2Install als den Namen und C:\Temp\Ec2Install.exe -q als die Daten ein.

      5. Wählen Sie den Schlüssel erneut aus und wählen Sie dann aus dem Menü File den Befehl Unload Hive.

    7. (Optional) Wenn ihre temporäre Instance auf demselben AMI basiert wie die ursprüngliche Instance, müssen Sie die folgenden Schritte ausführen. Andernfalls werden Sie die ursprüngliche Instance nach der Wiederherstellung des Stamm-Volumes wegen einer Festplatten-Signaturkollision nicht booten können.

      Warnung

      Im folgenden Verfahren wird beschrieben, wie Sie mit dem Registrierungs-Editor die Windows-Registrierung bearbeiten. Wenn Sie nicht mit der Windows-Registrierung vertraut sind oder nicht wissen, wie man Änderungen mit dem Registrierungs-Editor vornimmt, finden Sie weitere Informationen unter Konfigurieren der Registrierung.

      1. Öffnen Sie eine Eingabeaufforderung, geben Sie regedit.exe ein und drücken Sie die Eingabetaste.

      2. Wählen Sie im Registrierungs-Editor im Kontextmenü (rechte Maustaste) HKEY_LOCAL_MACHINE aus und dann Suchen.

      3. Geben Sie Windows Boot Manager ein und klicken Sie dann auf Weiteresuchen.

      4. Wählen Sie den Schlüssel aus 11000001. Dieser Schlüssel ist ein gleichgeordnetes Element des Schlüssels, den Sie im vorherigen Schritt gefunden haben.

      5. Klicken Sie im rechten Bereich auf Element und wählen Sie dann im Kontextmenü (rechte Maustaste) die Option Ändern aus.

      6. Suchen Sie die 4-Byte-Datenträgersignatur bei Versatz 0x38 in den Daten. Kehren Sie die Bytes um, um die Datenträgersignatur zu erstellen, und notieren Sie diese. Die Datenträgersignatur der folgenden Daten lautet zum Beispiel E9EB3AA5:

        ...
0030  00 00 00 00 01 00 00 00
0038  A5 3A EB E9 00 00 00 00
0040  00 00 00 00 00 00 00 00
...

      7. Führen Sie in einem Eingabeaufforderungsfenster den folgenden Befehl aus, um Microsoft DiskPart zu starten.

        diskpart

      8. Führen Sie den folgenden DiskPart-Befehl aus, um das Volume auszuwählen. (Sie können mit dem Hilfsprogramm Datenträgerverwaltung überprüfen, ob die Datenträgernummer "1" ist.)

        DISKPART> select disk 1

Disk 1 is now the selected disk.

      9. Führen Sie den folgenden DiskPart-Befehl aus, um die Datenträgersignatur abzurufen.

        DISKPART>  uniqueid disk

Disk ID: 0C764FA8

      10. Wenn die im vorherigen Schritt angezeigte Datenträgersignatur nicht mit der zuvor notierten Datenträgersignatur von BCD übereinstimmt, verwenden Sie den folgenden DiskPart-Befehl, um die Datenträgersignatur entsprechend zu ändern:

        DISKPART> uniqueid disk id=E9EB3AA5

    8. Bringen Sie das Laufwerk mit dem Datenträgerveraltung-Dienstprogramm offline.

      Anmerkung

      Das Laufwerk ist automatisch offline, wenn die temporäre Instance dasselbe Betriebssystem wie die betroffene Instance ausführt. Sie müssen es daher nicht manuell offline schalten.

    9. Trennen Sie das Volume von der temporären Instance. Sie können die temporäre Instance beenden, falls Sie keine weitere Verwendung mehr dafür haben.

    10. Stellen Sie das Stamm-Volume aus der betroffenen Instance wieder her, indem Sie es als anhänge /dev/sda1.

    11. Starten Sie die betroffene Instance.

Wenn Sie mit der Instance verbunden sind, öffnen Sie auf der Instance einen Webbrowser und geben Sie den folgenden URL für den Metadaten-Server ein:

http://169.254.169.254/latest/meta-data/

Wenn Sie keine Verbindung zu dem Metadaten-Server herstellen können, versuchen Sie das Problem mit den folgenden Maßnahmen zu beheben.

  • Laden Sie die aktuelle Version des EC2Config-Service herunter und installieren Sie sie. Weitere Informationen zum Installieren dieses Service erhalten Sie unter Installieren der neuesten Version von EC2Config.

  • Überprüfen Sie, ob die Windows-Instance mit PV-Treibern von Red Hat ausgeführt wird. Wenn dies der Fall ist, führen Sie eine Treiberaktualisierung aus Citrix PV-Treiber durch. Weitere Informationen finden Sie unter Upgrade von PV-Treibern auf EC2-Windows-Instances.

  • Überprüfen Sie, dass die Firewall-, IPSec- und Proxyeinstellungen nicht den ausgehenden Datenverkehr des Metadaten-Service (169.254.169.254) oder des AWS KMS-Servers (die Adressen sind in TargetKMSServer-Elementen in C:\Program Files\Amazon\Ec2ConfigService\Settings\ActivationSettings.xml angegeben) blockiert.

  • Überprüfen Sie, ob Sie eine Route zu dem Metadaten-Server (169.254.169.254) haben, indem Sie den folgenden Befehl ausführen.

    route print

  • Überprüfen Sie, ob (allgemeine) Netzwerkprobleme vorliegen, die die Availability Zone für Ihre Instance betreffen. Gehen Sie zu http://status.aws.amazon.com/.

Windows kann nicht aktiviert werden

Windows-Instances verwenden Windows AWS KMS-Aktivierung. Sie können diese Meldung erhalten: A problem occurred when Windows tried to activate. Error Code 0xC004F074, wenn Ihre Instance nicht auf den AWS KMS-Server zugreifen kann. Windows muss alle 180 Tage aktiviert werden. EC2Config versucht, den AWS KMS-Server zu kontaktieren, bevor der Aktivierungszeitraum vorbei ist, um sicherzustellen, dass Windows durchgehend aktiviert bleibt.

Wenn Sie ein Problem bei der Windows-Aktivierung haben, gehen Sie wie folgt vor, um das Problem zu beheben.

Für EC2Config (Windows Server 2012 R2-AMIs und früher)

  1. Laden Sie die aktuelle Version des EC2Config-Service herunter und installieren Sie sie. Weitere Informationen zum Installieren dieses Service erhalten Sie unter Installieren der neuesten Version von EC2Config.

  2. Melden Sie sich an der Instance an und öffnen Sie die folgende Datei: C:\Program Files\Amazon\Ec2ConfigService\Settings\config.xml.

  3. Suchen Sie in der Datei config.xml nach dem Plugin Ec2WindowsActivate. Ändern Sie den Status in Enabled und speichern Sie die Änderungen.

  4. Starten Sie in dem Windows-Dienste-Snap-In den EC2Config-Service neu oder starten Sie die Instance neu.

Wenn dies das Aktivierungsproblem nicht behebt, führen Sie zusätzlich die folgenden Schritte aus.

  1. Legen Sie das AWS KMS-Ziel fest: C:\> slmgr.vbs /skms 169.254.169.250:1688

  2. Aktivieren Sie Windows: C:\> slmgr.vbs /ato

Für EC2Launch (Windows Server 2016-AMIs und höher)

  1. Importieren des EC2Launch-Moduls über eine PowerShell-Eingabeaufforderung mit Administratorrechten:

    PS C:\> Import-Module "C:\ProgramData\Amazon\EC2-Windows\Launch\Module\Ec2Launch.psd1"

  2. Rufen Sie die Funktion Add-Routes auf, um die Liste der neuen Routen anzuzeigen:

    PS C:\> Add-Routes

  3. Rufen Sie die Set-ActivationSettings-Funktion auf:

    PS C:\> Set-Activationsettings

  4. Führen Sie das folgende Skript aus, um Windows zu aktivieren:

    PS C:\> cscript "${env:SYSTEMROOT}\system32\slmgr.vbs" /ato

Sowohl für EC2Config als auch für EC2Launch: Wenn dann immer noch ein Aktivierungsfehler angezeigt wird, überprüfen Sie die folgenden Informationen.

  • Überprüfen Sie, dass eine Route zu den AWS KMS-Servern vorhanden ist. Öffnen Sie die Datei C:\Program Files\Amazon\Ec2ConfigService\Settings\ActivationSettings.xml und suchen Sie die TargetKMSServer-Elemente. Führen Sie den folgenden Befehl aus und überprüfen Sie, ob die Adressen dieser AWS KMS-Server aufgelistet werden.

    route print

  • Überprüfen Sie, ob der AWS KMS-Clientschlüssel festgelegt ist. Führen Sie dazu den folgenden Befehl aus und überprüfen Sie die Ausgabe.

    C:\Windows\System32\slmgr.vbs /dlv

    Wenn die Ausgabe den Fehler Error: product key not found enthält, ist der AWS KMS-Clientschlüssel nicht festgelegt. Wenn der AWS KMS-Clientschlüssel nicht festgelegt ist, schlagen Sie den Clientschlüssel wie in dem folgenden Microsoft-Artikel beschrieben nach: AWS KMS-Client-Aktivierung und Produktschlüssel. Führen Sie dann den folgenden Befehl aus, um den AWS KMS-Clientschlüssel festzulegen.

    C:\Windows\System32\slmgr.vbs /ipk client_key

  • Überprüfen Sie, ob für das System die Uhrzeit und die Zeitzone richtig eingestellt sind. Wenn Sie eine andere Zeitzone als UTC verwenden, fügen Sie den folgenden Registrierungsschlüssel hinzu und setzen ihn auf 1, um sicherzustellen, dass die Zeit korrekt ist: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation\RealTimeIsUniversal.

  • Wenn die Windows-Firewall aktiviert ist, deaktivieren Sie sie vorübergehend mit dem folgenden Befehl.

    netsh advfirewall set allprofiles state off

Keine Original-Windows-Version (0x80070005)

Windows-Instances verwenden Windows AWS KMS-Aktivierung. Wenn eine Instance den Aktivierungsprozess nicht abschließen kann, wird gemeldet, dass diese Kopie von Windows keine Original-Windows-Version ist.

Versuchen Sie die Empfehlungen unter Windows kann nicht aktiviert werden.

Kein Terminal Server License-Server verfügbar, um eine Lizenz bereitzustellen

Standardmäßig ist Windows Server über Remotedesktopdienste für zwei gleichzeitige Benutzersitzungen lizenziert. Wenn Sie einen gleichzeitigen Zugriff auf Ihre Windows-Instance über Remotedesktopdienste für mehr als zwei Benutzer bereitstellen möchten, können Sie eine zusätzliche Remotedesktopdienst-CAL (Client Access License) erwerben und die Serverrollen Remotedesktop-Sitzungshost und Remotedesktop-Lizenzierungsserver installieren.

Überprüfen Sie, ob folgende Probleme auftreten:

  • Sie haben die maximal zulässige Anzahl an gleichzeitigen RDP-Sitzungen überschritten.

  • Sie haben die Windows-Remotedesktopdienste-Rolle installiert.

  • Die Lizenz ist abgelaufen. Wenn die Lizenz abgelaufen ist, können Sie keine Verbindung mehr zu der Windows-Instance als Benutzer herstellen. Sie können die folgenden Gegenmaßnahmen versuchen:

    • Stellen Sie über die Befehlszeile unter Verwendung eines /admin-Parameters eine Verbindung zu der Instance her. Beispiel: 

      mstsc /v:instance /admin

      Weitere Informationen finden Sie in dem folgenden Microsoft-Artikel: Access Remote Desktop Via Command Line.

    • Halten Sie die Instance an, lösen Sie die Amazon EBS-Volumes und hängen Sie sie an eine neue Instance in derselben Availability Zone an, um Ihre Daten wiederherzustellen.

„Einige Einstellungen werden von Ihrer Organisation verwaltet.“ (Windows 2019)

Bei Instances, die aus den neuesten Windows Server AMIs gestartet werden, wird möglicherweise die Windows Update-Dialogfeldmeldung „Einige Einstellungen werden von Ihrer Organisation verwaltet.“ angezeigt. Diese Meldung erscheint aufgrund von Änderungen in Windows Server und wirkt sich nicht auf das Verhalten von Windows Update oder Ihre Fähigkeit zur Verwendung von Einstellungen aus.

So entfernen Sie die Warnung

  1. Öffnen Sie gpedit.msc und navigieren Sie zu Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Windows-Updates. Bearbeiten Sie Automatisches Update konfigurieren und setzen Sie diese Option auf aktiviert.

  2. Aktualisieren Sie in einer Eingabeaufforderung die Gruppenrichtlinie mit gpupdate /force.

  3. Schließen Sie die Windows-Aktualisierungseinstellungen und öffnen Sie sie erneut. Ihnen wird in der obigen Nachricht mitgeteilt, das Ihre Einstellungen von Ihrer Organisation verwaltet werden, gefolgt von: „Wir laden Updates automatisch herunter, abgesehen von gemessenen Verbindungen (wofür Gebühren anfallen können). In diesem Fall laden wir die Updates, die für das reibungslose Ausführen von Windows erforderlich sind, automatisch herunter.“

  4. Kehren Sie zu gpedit.msc zurück und setzen Sie die Gruppenrichtlinie zurück auf nicht konfiguriert. Führen Sie gpupdate /force erneut aus.

  5. Schließen Sie die Befehlsaufforderung und warten Sie einige Minuten.

  6. Öffnen Sie die Windows-Aktualisierungseinstellungen erneut. Sie sollten die Meldung „Einige Einstellungen werden von Ihrer Organisation verwaltet.“ nicht sehen.