Problem RunBooks - Forschungs- und Ingenieurstudio
Probleme bei der InstallationProbleme mit dem IdentitätsmanagementSpeicherSnapshotsInfrastrukturVirtuelle Desktops werden gestartetVirtuelle Desktop-KomponenteLöschen von UmgebungenDemo-Umgebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Problem RunBooks

Der folgende Abschnitt enthält Probleme, die auftreten können, sowie Hinweise zur Behebung des Problems.

Probleme bei der Installation

........................

AWS CloudFormation Der Stapel kann nicht erstellt werden und die Meldung "WaitCondition hat eine fehlgeschlagene Nachricht erhalten. Fehler: Staaten. TaskFailed“

Um das Problem zu identifizieren, untersuchen Sie die Amazon CloudWatch Amazon-Protokollgruppe<stack-name>-InstallerTasksCreateTaskDefCreateContainerLogGroup<nonce>-<nonce>. Wenn es mehrere Protokollgruppen mit demselben Namen gibt, überprüfen Sie die erste verfügbare. Eine Fehlermeldung in den Protokollen enthält weitere Informationen zu dem Problem.

Anmerkung

Stellen Sie sicher, dass die Parameterwerte keine Leerzeichen enthalten.

........................

E-Mail-Benachrichtigung wurde nicht empfangen, nachdem AWS CloudFormation Stacks erfolgreich erstellt wurden

Wenn nach der erfolgreichen Erstellung der AWS CloudFormation Stacks keine E-Mail-Einladung empfangen wurde, überprüfen Sie Folgendes:

  1. Vergewissern Sie sich, dass der E-Mail-Adressparameter korrekt eingegeben wurde.

    Wenn die E-Mail-Adresse falsch ist oder kein Zugriff möglich ist, löschen Sie die Research and Engineering Studio-Umgebung und stellen Sie sie erneut bereit.

  2. Suchen Sie in der EC2 Amazon-Konsole nach Hinweisen auf zyklische Instances.

    Wenn EC2 Amazon-Instances mit dem <envname> Präfix als beendet angezeigt werden und dann durch eine neue Instance ersetzt werden, liegt möglicherweise ein Problem mit der Netzwerk- oder Active Directory-Konfiguration vor.

  3. Wenn Sie die AWS High Performance Compute-Rezepte zur Erstellung Ihrer externen Ressourcen bereitgestellt haben, stellen Sie sicher, dass die VPC, die privaten und öffentlichen Subnetze und andere ausgewählte Parameter vom Stack erstellt wurden.

    Wenn einer der Parameter falsch ist, müssen Sie möglicherweise die RES-Umgebung löschen und erneut bereitstellen. Weitere Informationen finden Sie unter Deinstalliere das Produkt.

  4. Wenn Sie das Produkt mit Ihren eigenen externen Ressourcen bereitgestellt haben, stellen Sie sicher, dass das Netzwerk und das Active Directory der erwarteten Konfiguration entsprechen.

    Die Bestätigung, dass Infrastrukturinstanzen erfolgreich dem Active Directory beigetreten sind, ist von entscheidender Bedeutung. Probieren Sie die Schritte unter ausInstanzen laufen oder der VDC-Controller ist ausgefallen, um das Problem zu lösen.

........................

Instanzen laufen oder der VDC-Controller ist ausgefallen

Die wahrscheinlichste Ursache für dieses Problem ist die Unfähigkeit der Ressource (n), eine Verbindung zum Active Directory herzustellen oder diesem beizutreten.

Um das Problem zu überprüfen:

  1. Starten Sie von der Befehlszeile aus eine Sitzung mit SSM auf der laufenden Instanz des vdc-Controllers.

  2. Führen Sie sudo su -.

  3. Führen Sie systemctl status sssd.

Wenn der Status inaktiv oder ausgefallen ist oder Sie Fehler in den Protokollen sehen, konnte die Instanz Active Directory nicht beitreten.

SSM-Fehlerprotokoll

SSM-Fehlerprotokoll

Um das Problem zu lösen:

  • Führen Sie von derselben Befehlszeileninstanz aus, cat /root/bootstrap/logs/userdata.log um die Protokolle zu untersuchen.

Das Problem könnte eine von drei möglichen Ursachen haben.

Überprüfen Sie die Protokolle. Wenn Sie sehen, dass sich Folgendes mehrfach wiederholt, konnte die Instanz dem Active Directory nicht beitreten.

+ local AD_AUTHORIZATION_ENTRY=
+ [[ -z '' ]]
+ [[ 0 -le 180 ]]
+ local SLEEP_TIME=34
+ log_info '(0 of 180) waiting for AD authorization, retrying in 34 seconds ...'
++ date '+%Y-%m-%d %H:%M:%S,%3N'
+ echo '[2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ...'
[2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ...
+ sleep 34
+ (( ATTEMPT_COUNT++ ))

  1. Stellen Sie sicher, dass die Parameterwerte für Folgendes bei der Erstellung des RES-Stacks korrekt eingegeben wurden.

    • directoryservice.ldap_connection_uri

    • Verzeichnisservice.ldap_base

    • directoryservice.users.ou

    • directoryservice.groups.ou

    • directoryservice.sudoers.ou

    • directoryservice.computers.ou

    • Verzeichnisdienst.Name

  2. Aktualisieren Sie alle falschen Werte in der DynamoDB-Tabelle. Die Tabelle befindet sich in der DynamoDB-Konsole unter Tabellen. Der Tabellenname sollte sein. <stack name>.cluster-settings

  3. Nachdem Sie die Tabelle aktualisiert haben, löschen Sie den Cluster-Manager und den VDC-Controller, auf denen derzeit die Umgebungsinstanzen ausgeführt werden. Auto Scaling startet neue Instances mit den neuesten Werten aus der DynamoDB-Tabelle.

Wenn die Logs zurückgegeben werdenInsufficient permissions to modify computer account, könnte der bei der Stack-Erstellung eingegebene ServiceAccount Name falsch sein.

  1. Öffnen Sie in der AWS Konsole den Secrets Manager.

  2. Suchen Sie nach directoryserviceServiceAccountUsername. Das Geheimnis sollte sein<stack name>-directoryservice-ServiceAccountUsername.

  3. Öffnen Sie das Geheimnis, um die Detailseite anzuzeigen. Wählen Sie unter Geheimer Wert die Option Geheimen Wert abrufen und anschließend Klartext aus.

  4. Wenn der Wert aktualisiert wurde, löschen Sie die derzeit laufenden Cluster-Manager- und VDC-Controller-Instanzen der Umgebung. Auto Scaling startet neue Instances mit dem neuesten Wert von Secrets Manager.

Wenn die Protokolle angezeigt werdenInvalid credentials, ist das bei der Stack-Erstellung eingegebene ServiceAccount Passwort möglicherweise falsch.

  1. Öffnen Sie in der AWS Konsole den Secrets Manager.

  2. Suchen Sie nach directoryserviceServiceAccountPassword. Das Geheimnis sollte sein<stack name>-directoryservice-ServiceAccountPassword.

  3. Öffnen Sie das Geheimnis, um die Detailseite anzuzeigen. Wählen Sie unter Geheimer Wert die Option Geheimen Wert abrufen und anschließend Klartext aus.

  4. Wenn Sie das Passwort vergessen haben oder sich nicht sicher sind, ob das eingegebene Passwort korrekt ist, können Sie das Passwort in Active Directory und Secrets Manager zurücksetzen.

    1. So setzen Sie das Passwort zurück in AWS Managed Microsoft AD:

      1. Öffnen Sie die AWS Konsole und gehen Sie zu AWS Directory Service.

      2. Wählen Sie die Verzeichnis-ID für Ihr RES-Verzeichnis aus und wählen Sie Aktionen aus.

      3. Wählen Sie Benutzerkennwort zurücksetzen.

      4. Geben Sie den ServiceAccount Nutzernamen ein.

      5. Geben Sie ein neues Passwort ein und wählen Sie Passwort zurücksetzen.

    2. So setzen Sie das Passwort in Secrets Manager zurück:

      1. Öffnen Sie die AWS Konsole und gehen Sie zu Secrets Manager.

      2. Suchen Sie nach directoryserviceServiceAccountPassword. Das Geheimnis sollte sein<stack name>-directoryservice-ServiceAccountPassword.

      3. Öffnen Sie das Geheimnis, um die Detailseite anzuzeigen. Wählen Sie unter Geheimer Wert die Option Geheimen Wert abrufen und anschließend Klartext aus.

      4. Wählen Sie Bearbeiten aus.

      5. Legen Sie ein neues Passwort für den ServiceAccount Benutzer fest und wählen Sie Speichern aus.

  5. Wenn Sie den Wert aktualisiert haben, löschen Sie die derzeit laufenden Cluster-Manager- und VDC-Controller-Instanzen der Umgebung. Auto Scaling startet neue Instanzen mit dem neuesten Wert.

........................

Der CloudFormation Umgebungsstapel kann aufgrund eines Fehlers beim abhängigen Objekt nicht gelöscht werden

Wenn das Löschen des <env-name>-vdc CloudFormation Stacks aufgrund eines Fehlers bei einem abhängigen Objekt wie dem fehlschlägtvdcdcvhostsecuritygroup, könnte dies an einer EC2 Amazon-Instance liegen, die mithilfe der Konsole in einem von RES erstellten Subnetz oder einer Sicherheitsgruppe gestartet wurde. AWS

Um das Problem zu lösen, suchen und beenden Sie alle EC2 Amazon-Instances, die auf diese Weise gestartet wurden. Anschließend können Sie mit dem Löschen der Umgebung fortfahren.

........................

Bei der Erstellung der Umgebung ist ein Fehler für den CIDR-Blockparameter aufgetreten

Beim Erstellen einer Umgebung wird ein Fehler für den CIDR-Blockparameter mit dem Antwortstatus [FAILED] angezeigt.

Beispiel für einen Fehler: 

Failed to update cluster prefix list: 
        An error occurred (InvalidParameterValue) when calling the ModifyManagedPrefixList operation: 
        The specified CIDR (52.94.133.132/24) is not valid. For example, specify a CIDR in the following form: 10.0.0.0/16.

Um das Problem zu beheben, ist das erwartete Format x.x.x.0/24 oder x.x.x.0/32.

........................

CloudFormation Fehler bei der Stapelerstellung während der Umgebungserstellung

Das Erstellen einer Umgebung umfasst eine Reihe von Vorgängen zur Erstellung von Ressourcen. In einigen Regionen kann ein Kapazitätsproblem auftreten, das dazu führt, dass die CloudFormation Stack-Erstellung fehlschlägt.

Wenn dies der Fall ist, löschen Sie die Umgebung und versuchen Sie erneut, sie zu erstellen. Alternativ können Sie die Erstellung in einer anderen Region wiederholen.

........................

Die Erstellung eines Stacks für externe Ressourcen (Demo) schlägt mit AdDomainAdminNode CREATE_FAILED fehl

Wenn die Erstellung des Demo-Umgebungsstapels mit dem folgenden Fehler fehlschlägt, kann dies daran liegen, dass EC2 Amazon-Patches während der Bereitstellung nach dem Start der Instance unerwartet auftreten. 

AdDomainAdminNode CREATE_FAILED  Failed to receive 1 resource signal(s) within the specified duration
Um die Ursache des Fehlers zu ermitteln:

  1. Überprüfen Sie im SSM State Manager, ob das Patchen konfiguriert ist und ob es für alle Instanzen konfiguriert ist.

  2. Prüfen Sie in der RunCommand/Automation SSM-Ausführungshistorie, ob die Ausführung eines SSM-Dokuments im Zusammenhang mit dem Start einer Instanz zusammenfällt.

  3. Überprüfen Sie in den Protokolldateien für die EC2 Amazon-Instances der Umgebung die lokale Instance-Protokollierung, um festzustellen, ob die Instance während der Bereitstellung neu gestartet wurde.

Wenn das Problem durch das Patchen verursacht wurde, verzögern Sie das Patchen für die RES-Instances mindestens 15 Minuten nach dem Start.

........................

Probleme mit der Identitätsverwaltung

Die meisten Probleme mit Single Sign-On (SSO) und Identitätsmanagement treten aufgrund von Fehlkonfigurationen auf. Informationen zur Einrichtung Ihrer SSO-Konfiguration finden Sie unter:

Informationen zur Behebung anderer Probleme im Zusammenhang mit der Identitätsverwaltung finden Sie in den folgenden Themen zur Problembehebung:

........................

Ich bin nicht berechtigt, iam auszuführen: PassRole

Wenn Sie die Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die iam: PassRole -Aktion auszuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an RES übergeben können.

Bei einigen AWS Diensten können Sie eine bestehende Rolle an diesen Dienst übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer namens marymajor versucht, die Konsole zu verwenden, um eine Aktion in RES auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

In diesem Fall müssen Marys Richtlinien aktualisiert werden, damit sie die iam: -Aktion ausführen kann. PassRole Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

........................

Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf mein Research and Engineering Studio über AWS Ressourcen ermöglichen

Sie können eine Rolle erstellen, die Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation für den Zugriff auf Ihre Ressourcen verwenden können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:

........................

Wenn ich mich bei der Umgebung anmelde, kehre ich sofort zur Anmeldeseite zurück

Dieses Problem tritt auf, wenn Ihre SSO-Integration falsch konfiguriert ist. Um das Problem zu ermitteln, überprüfen Sie die Controller-Instanzprotokolle und überprüfen Sie die Konfigurationseinstellungen auf Fehler.

Um die Protokolle zu überprüfen:

  1. Öffnen Sie die CloudWatch -Konsole.

  2. Suchen Sie unter Protokollgruppen nach der Gruppe mit dem Namen/<environment-name>/cluster-manager.

  3. Öffnen Sie die Protokollgruppe, um nach Fehlern in den Protokolldatenströmen zu suchen.

Um die Konfigurationseinstellungen zu überprüfen:

  1. Öffnen Sie die DynamoDB-Konsole

  2. Suchen Sie unter Tabellen nach der Tabelle mit dem Namen. <environment-name>.cluster-settings

  3. Öffnen Sie die Tabelle und wählen Sie Tabellenelemente durchsuchen aus.

  4. Erweitern Sie den Bereich Filter und geben Sie die folgenden Variablen ein:

    • Attributname — Schlüssel

    • Zustand — enthält

    • Wert — sso

  5. Wählen Sie Ausführen aus.

  6. Stellen Sie in der zurückgegebenen Zeichenfolge sicher, dass die SSO-Konfigurationswerte korrekt sind. Wenn sie falsch sind, ändern Sie den Wert des Schlüssels sso_enabled in False.

    Die DynamoDB-Konsole mit dem Bildschirm „Element bearbeiten“ für den Schlüsselwert sso_enabled.

  7. Kehren Sie zur RES-Benutzeroberfläche zurück, um SSO neu zu konfigurieren.

........................

Fehler „Benutzer nicht gefunden“ beim Versuch, sich anzumelden

Wenn ein Benutzer beim Versuch, sich an der RES-Schnittstelle anzumelden, den Fehler „Benutzer nicht gefunden“ erhält und der Benutzer in Active Directory präsent ist:

  • Wenn der Benutzer nicht in RES vorhanden ist und Sie ihn kürzlich zu AD hinzugefügt haben

    • Es ist möglich, dass der Benutzer noch nicht mit RES synchronisiert ist. RES synchronisiert stündlich, sodass Sie nach der nächsten Synchronisierung möglicherweise warten müssen, um zu überprüfen, ob der Benutzer hinzugefügt wurde. Um sofort zu synchronisieren, folgen Sie den Schritten unterDer Benutzer wurde in Active Directory hinzugefügt, fehlt aber in RES.

  • Wenn der Benutzer in RES präsent ist:

    1. Stellen Sie sicher, dass die Attributzuordnung korrekt konfiguriert ist. Weitere Informationen finden Sie unter Konfiguration Ihres Identitätsanbieters für Single Sign-On (SSO).

    2. Stellen Sie sicher, dass der SAML-Betreff und die SAML-E-Mail beide der E-Mail-Adresse des Benutzers zugeordnet sind.

........................

Der Benutzer wurde in Active Directory hinzugefügt, fehlt aber in RES

Wenn Sie einen Benutzer zum Active Directory hinzugefügt haben, dieser jedoch in RES fehlt, muss die AD-Synchronisierung ausgelöst werden. Die AD-Synchronisierung wird stündlich von einer Lambda-Funktion durchgeführt, die AD-Einträge in die RES-Umgebung importiert. Gelegentlich kommt es zu Verzögerungen, bis der nächste Synchronisierungsvorgang ausgeführt wird, nachdem Sie neue Benutzer oder Gruppen hinzugefügt haben. Sie können die Synchronisierung manuell über den Amazon Simple Queue Service initiieren.

Initiieren Sie den Synchronisierungsvorgang manuell:

  1. Öffnen Sie die Amazon-SQS-Konsole.

  2. Wählen Sie unter Warteschlangen die Option aus<environment-name>-cluster-manager-tasks.fifo.

  3. Wählen Sie Nachrichten senden und empfangen aus.

  4. Geben Sie als Nachrichtentext Folgendes ein:

    { "name": "adsync.sync-from-ad", "payload": {} }

  5. Geben Sie für Nachrichtengruppen-ID Folgendes ein: adsync.sync-from-ad

  6. Geben Sie als Nachrichtendeduplizierungs-ID eine zufällige alphanumerische Zeichenfolge ein. Dieser Eintrag muss sich von allen Anrufen unterscheiden, die innerhalb der letzten fünf Minuten getätigt wurden. Andernfalls wird die Anfrage ignoriert.

........................

Der Benutzer ist beim Erstellen einer Sitzung nicht verfügbar

Wenn Sie als Administrator eine Sitzung erstellen, aber feststellen, dass ein Benutzer, der sich im Active Directory befindet, beim Erstellen einer Sitzung nicht verfügbar ist, muss sich der Benutzer möglicherweise zum ersten Mal anmelden. Sitzungen können nur für aktive Benutzer erstellt werden. Aktive Benutzer müssen sich mindestens einmal bei der Umgebung anmelden.

........................

Fehler beim Überschreiten der Größenbeschränkung im CloudWatch Cluster-Manager-Protokoll

2023-10-31T18:03:12.942-07:00 ldap.SIZELIMIT_EXCEEDED: {'msgtype': 100, 'msgid': 11, 'result': 4, 'desc': 'Size limit exceeded', 'ctrls': []}

Wenn Sie diesen Fehler im CloudWatch Cluster-Manager-Protokoll erhalten, hat die LDAP-Suche möglicherweise zu viele Benutzerdatensätze zurückgegeben. Um dieses Problem zu beheben, erhöhen Sie das Limit für LDAP-Suchergebnisse Ihres IDP.

........................

Speicher

........................

Ich habe das Dateisystem über RES erstellt, aber es wird nicht auf den VDI-Hosts bereitgestellt

Die Dateisysteme müssen sich im Status „Verfügbar“ befinden, bevor sie von VDI-Hosts bereitgestellt werden können. Gehen Sie wie folgt vor, um zu überprüfen, ob sich das Dateisystem im erforderlichen Zustand befindet.

Amazon EFS

  1. Gehen Sie zur Amazon EFS-Konsole.

  2. Vergewissern Sie sich, dass der Dateisystemstatus Verfügbar ist.

  3. Wenn der Dateisystemstatus nicht verfügbar ist, warten Sie, bevor Sie VDI-Hosts starten.

  1. Gehen Sie zur FSx Amazon-Konsole.

  2. Vergewissern Sie sich, dass der Status verfügbar ist.

  3. Wenn der Status nicht verfügbar ist, warten Sie, bevor Sie VDI-Hosts starten.

........................

Ich habe ein Dateisystem über RES integriert, aber es wird nicht auf den VDI-Hosts bereitgestellt

Für die in RES integrierten Dateisysteme sollten die erforderlichen Sicherheitsgruppenregeln so konfiguriert sein, dass VDI-Hosts die Dateisysteme mounten können. Da diese Dateisysteme extern in RES erstellt werden, verwaltet RES die zugehörigen Sicherheitsgruppenregeln nicht.

Die Sicherheitsgruppe, die den integrierten Dateisystemen zugeordnet ist, sollte den folgenden eingehenden Datenverkehr zulassen:

  • NFS-Verkehr (Port: 2049) von den Linux-VDC-Hosts

  • SMB-Verkehr (Port: 445) von den Windows VDC-Hosts

........................

Ich kann von VDI-Hosts aus nicht read/write einschalten

ONTAP unterstützt den Sicherheitsstil UNIX, NTFS und MIXED für die Volumes. Die Sicherheitsstile bestimmen, welche Art von Berechtigungen ONTAP zur Steuerung des Datenzugriffs verwendet und welcher Clienttyp diese Berechtigungen ändern kann.

Wenn ein Volume beispielsweise den UNIX-Sicherheitsstil verwendet, können SMB-Clients aufgrund des Multiprotokollcharakters von ONTAP trotzdem auf Daten zugreifen (vorausgesetzt, sie authentifizieren und autorisieren). ONTAP verwendet jedoch UNIX-Berechtigungen, die nur UNIX-Clients mit systemeigenen Tools ändern können.

Beispiele für Anwendungsfälle im Umgang mit Berechtigungen

Verwenden eines Volumes im UNIX-Stil mit Linux-Workloads

Berechtigungen können vom Sudoer für andere Benutzer konfiguriert werden. Im Folgenden würden beispielsweise alle Mitglieder über <group-ID> volle read/write Berechtigungen für das /<project-name> Verzeichnis verfügen:

sudo chown root:<group-ID> /<project-name>
sudo chmod 770 /<project-name>

Verwenden eines Datenträgers im NTFS-Stil bei Linux- und Windows-Workloads

Freigabeberechtigungen können mithilfe der Freigabeeigenschaften eines bestimmten Ordners konfiguriert werden. Wenn Sie beispielsweise einen Benutzer user_01 und einen Ordner angebenmyfolder, können Sie Berechtigungen für Full ControlChange, oder Read für Allow oder festlegenDeny:

Freigabeberechtigungen können für Vollzugriff, Ändern oder Lesen auf Zulassen oder Verweigern gesetzt werden

Wenn das Volume sowohl von Linux- als auch von Windows-Clients verwendet werden soll, müssen wir auf der SVM eine Namenszuordnung einrichten, die jeden Linux-Benutzernamen demselben Benutzernamen mit dem NetBIOS-Domänennamenformat Domäne\ Benutzername zuordnet. Dies ist für die Übersetzung zwischen Linux- und Windows-Benutzern erforderlich. Weitere Informationen finden Sie unter Aktivieren von Multiprotokoll-Workloads mit Amazon FSx für NetApp ONTAP.

........................

Ich habe Amazon FSx for NetApp ONTAP von RES aus erstellt, aber es ist meiner Domain nicht beigetreten

Wenn Sie Amazon FSx für NetApp ONTAP derzeit von der RES-Konsole aus erstellen, wird das Dateisystem bereitgestellt, aber es tritt der Domain nicht bei. Informationen zum Hinzufügen der erstellten ONTAP-Dateisystem-SVM zu Ihrer Domain finden Sie unter Beitreten SVMs zu einem Microsoft Active Directory und folgen Sie den Schritten auf der FSx Amazon-Konsole. Stellen Sie sicher, dass die erforderlichen Berechtigungen an das Amazon FSx Service-Konto in AD delegiert wurden. Sobald die SVM der Domain erfolgreich beitritt, gehen Sie zu SVM-Zusammenfassung > Endpoints > SMB-DNS-Name und kopieren Sie den DNS-Namen, da Sie ihn später benötigen werden.

Nachdem es der Domäne hinzugefügt wurde, bearbeiten Sie den SMB-DNS-Konfigurationsschlüssel in der DynamoDB-Tabelle mit den Clustereinstellungen:

  1. Gehen Sie zur Amazon DynamoDB DynamoDB-Konsole.

  2. Wählen Sie Tabellen und dann. <stack-name>-cluster-settings

  3. Erweitern Sie unter Tabellenelemente durchsuchen die Option Filter und geben Sie den folgenden Filter ein:

    • Attributname — Schlüssel

    • Bedingung — Entspricht

    • Wert - shared-storage.<file-system-name>.fsx_netapp_ontap.svm.smb_dns

  4. Wählen Sie den zurückgesandten Artikel aus und klicken Sie dann auf Aktionen, Artikel bearbeiten.

  5. Aktualisieren Sie den Wert mit dem SMB-DNS-Namen, den Sie zuvor kopiert haben.

  6. Wählen Sie Speichern und schließen aus.

Stellen Sie außerdem sicher, dass die dem Dateisystem zugeordnete Sicherheitsgruppe den in File System Access Control with Amazon VPC empfohlenen Datenverkehr zulässt. Neue VDI-Hosts, die das Dateisystem verwenden, können nun die zur Domäne gehörende SVM und das Dateisystem mounten.

Alternativ können Sie ein vorhandenes Dateisystem einbinden, das bereits mit Ihrer Domain verknüpft ist. Wählen Sie dazu unter Environment Management die Option Dateisysteme, Onboard-Dateisystem aus.

........................

Snapshots

........................

Ein Snapshot hat den Status Fehlgeschlagen

Wenn ein Snapshot auf der Seite RES-Snapshots den Status Fehlgeschlagen hat, kann die Ursache ermittelt werden, indem Sie in der CloudWatch Amazon-Protokollgruppe für den Cluster-Manager nach dem Zeitpunkt suchen, zu dem der Fehler aufgetreten ist.

[2023-11-19 03:39:20,208] [INFO] [snapshots-service] creating snapshot in S3 Bucket:
  asdf at path s31
[2023-11-19 03:39:20,381] [ERROR] [snapshots-service] An error occurred while
  creating the snapshot: An error occurred (TableNotFoundException)
  when calling the UpdateContinuousBackups operation: 
  Table not found: res-demo.accounts.sequence-config

........................

Ein Snapshot kann nicht angewendet werden, da die Protokolle darauf hinweisen, dass die Tabellen nicht importiert werden konnten.

Wenn ein Snapshot aus einer früheren Umgebung nicht in einer neuen Umgebung angewendet werden kann, suchen Sie in den CloudWatch Protokollen nach dem Cluster-Manager, um das Problem zu identifizieren. Wenn das Problem darauf hinweist, dass die erforderlichen Tabellen nicht importiert wurden, überprüfen Sie, ob sich der Snapshot in einem gültigen Zustand befindet.

  1. Laden Sie die Datei metadata.json herunter und überprüfen Sie, ob die Datei ExportStatus für die verschiedenen Tabellen den Status ABGESCHLOSSEN hat. Stellen Sie sicher, dass das Feld für die verschiedenen Tabellen festgelegt istExportManifest. Wenn Sie den oben genannten Feldsatz nicht finden, befindet sich der Snapshot in einem ungültigen Zustand und kann nicht mit der Funktion „Snapshot anwenden“ verwendet werden.

  2. Nachdem Sie die Erstellung eines Snapshots initiiert haben, stellen Sie sicher, dass der Snapshot-Status in RES auf ABGESCHLOSSEN wechselt. Die Erstellung eines Snapshots dauert bis zu 5 bis 10 Minuten. Laden Sie die Seite Snapshot-Verwaltung neu oder besuchen Sie sie erneut, um sicherzustellen, dass der Snapshot erfolgreich erstellt wurde. Dadurch wird sichergestellt, dass sich der erstellte Snapshot in einem gültigen Zustand befindet.

........................

Infrastruktur

........................

Load Balancer-Zielgruppen ohne fehlerfreie Instanzen

Wenn Probleme wie Serverfehlermeldungen in der Benutzeroberfläche angezeigt werden oder Desktop-Sitzungen keine Verbindung herstellen können, kann dies auf ein Problem in der Infrastruktur der EC2 Amazon-Instances hinweisen.

Um die Ursache des Problems zu ermitteln, suchen Sie zunächst in der EC2 Amazon-Konsole nach EC2 Amazon-Instances, die anscheinend wiederholt beendet und durch neue Instances ersetzt werden. In diesem Fall kann die Ursache anhand der CloudWatch Amazon-Protokolle ermittelt werden.

Eine andere Methode besteht darin, die Load Balancer im System zu überprüfen. Ein Hinweis darauf, dass möglicherweise Systemprobleme vorliegen, ist, wenn ein Load Balancer auf der EC2 Amazon-Konsole keine registrierten fehlerfreien Instances anzeigt.

Ein Beispiel für ein normales Erscheinungsbild finden Sie hier:

Dashboard für den EC2-Load Balancer

Wenn der Health-Eintrag 0 ist, bedeutet dies, dass keine EC2 Amazon-Instance für die Bearbeitung von Anfragen verfügbar ist.

Wenn der Eintrag Unhealthy nicht 0 ist, deutet dies darauf hin, dass eine EC2 Amazon-Instance möglicherweise zyklisch läuft. Dies kann daran liegen, dass die installierte Anwendungssoftware die Integritätsprüfungen nicht bestanden hat.

Wenn sowohl die Einträge „Gesund“ als auch „Unhealthy“ den Wert 0 haben, deutet dies auf eine mögliche Fehlkonfiguration des Netzwerks hin. Beispielsweise verfügen die öffentlichen und privaten Subnetze möglicherweise nicht über entsprechende Subnetze. AZs Wenn dieser Zustand eintritt, wird auf der Konsole möglicherweise zusätzlicher Text angezeigt, der darauf hinweist, dass der Netzwerkstatus vorhanden ist.

........................

Virtuelle Desktops werden gestartet

........................

Ein virtueller Desktop, der zuvor funktionierte, kann keine erfolgreiche Verbindung mehr herstellen

Wenn eine Desktop-Verbindung geschlossen wird oder Sie keine Verbindung mehr herstellen können, liegt das Problem möglicherweise daran, dass die zugrunde liegende EC2 Amazon-Instance ausfällt oder die EC2 Amazon-Instance außerhalb der RES-Umgebung beendet oder gestoppt wurde. Der Status der Admin-Benutzeroberfläche zeigt möglicherweise weiterhin den Status Bereit an, aber Versuche, eine Verbindung herzustellen, schlagen fehl.

Die EC2 Amazon-Konsole sollte verwendet werden, um festzustellen, ob die Instance beendet oder gestoppt wurde. Wenn sie gestoppt wurde, versuchen Sie erneut, sie zu starten. Wenn der Status beendet ist, muss ein weiterer Desktop erstellt werden. Alle Daten, die im Home-Verzeichnis des Benutzers gespeichert wurden, sollten weiterhin verfügbar sein, wenn die neue Instanz gestartet wird.

Wenn die Instanz, die zuvor ausgefallen ist, immer noch auf der Admin-Benutzeroberfläche angezeigt wird, muss sie möglicherweise über die Admin-Benutzeroberfläche beendet werden.

........................

Ich kann nur 5 virtuelle Desktops starten

Das Standardlimit für die Anzahl der virtuellen Desktops, die ein Benutzer starten kann, ist 5. Dies kann von einem Administrator über die Admin-Benutzeroberfläche wie folgt geändert werden:

  • Gehen Sie zu den Desktop-Einstellungen.

  • Wählen Sie die Registerkarte Server aus.

  • Klicken Sie im Bereich DCV-Sitzung rechts auf das Bearbeitungssymbol.

  • Ändern Sie den Wert unter Zulässige Sitzungen pro Benutzer auf den gewünschten neuen Wert.

  • Wählen Sie Absenden aus.

  • Aktualisieren Sie die Seite, um zu bestätigen, dass die neue Einstellung vorhanden ist.

........................

Windows-Desktop-Verbindungsversuche schlagen fehl mit der Meldung „Die Verbindung wurde geschlossen“. Transportfehler“

Wenn eine Windows-Desktop-Verbindung mit dem UI-Fehler „Die Verbindung wurde geschlossen“ fehlschlägt. „Transportfehler“: Die Ursache kann auf ein Problem in der DCV-Serversoftware zurückzuführen sein, das mit der Zertifikatserstellung auf der Windows-Instanz zusammenhängt.

Die CloudWatch Amazon-Protokollgruppe protokolliert <envname>/vdc/dcv-connection-gateway möglicherweise den Fehler beim Verbindungsversuch mit Meldungen, die den folgenden ähneln:

Nov 24 20:24:27.631 DEBUG HTTP:Splicer Connection{id=9}:
Websocket{session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd"}:
Resolver lookup{client_ip=Some(52.94.36.19) 
session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd"
 protocol_type=WebSocket extension_data=None}:NoStrictCertVerification: 
 Additional stack certificate (0): [s/n: 0E9E9C4DE7194B37687DC4D2C0F5E94AF0DD57E]

Nov 24 20:25:15.384  INFO HTTP:Splicer Connection{id=21}:Websocket{
session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: 
Connection initiated error: unreachable, server io error Custom { 
kind: InvalidData, error:
General("Invalid certificate: certificate has expired (code: 10)") }

Nov 24 20:25:15.384  WARN HTTP:Splicer Connection{id=21}:
Websocket{session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: 
Error in websocket connection: Server unreachable: Server error: IO error: 
unexpected error: Invalid certificate: certificate has expired (code: 10)

In diesem Fall besteht eine Lösung möglicherweise darin, den SSM Session Manager zu verwenden, um eine Verbindung zur Windows-Instance herzustellen und die folgenden 2 Dateien zu entfernen, die sich auf Zertifikate beziehen:

PS C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv> dir

    Directory: C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         8/4/2022  12:59 PM           1704 dcv.key
-a----         8/4/2022  12:59 PM           1265 dcv.pem

Die Dateien sollten automatisch neu erstellt werden und ein nachfolgender Verbindungsversuch könnte erfolgreich sein.

Wenn diese Methode das Problem behebt und wenn bei Neustarts von Windows-Desktops derselbe Fehler auftritt, verwenden Sie die Funktion „Software-Stack erstellen“, um einen neuen Windows-Softwarestack der festen Instanz mit den neu generierten Zertifikatsdateien zu erstellen. Dadurch kann ein Windows-Softwarestack entstehen, der für erfolgreiche Starts und Verbindungen verwendet werden kann.

........................

VDIs steckt im Bereitstellungsstatus fest

Wenn ein Desktop-Start in der Admin-Benutzeroberfläche im Bereitstellungsstatus verbleibt, kann dies mehrere Gründe haben.

Um die Ursache zu ermitteln, überprüfen Sie die Protokolldateien auf der Desktop-Instanz und suchen Sie nach Fehlern, die das Problem verursachen könnten. Dieses Dokument enthält eine Liste von Protokolldateien und CloudWatch Amazon-Protokollgruppen, die relevante Informationen im Abschnitt Nützliche Protokoll- und Ereignisinformationsquellen enthalten.

Im Folgenden sind mögliche Ursachen für dieses Problem aufgeführt.

  • Die verwendete AMI-ID wurde als Software-Stack registriert, wird aber von RES nicht unterstützt.

    Das Bootstrap-Bereitstellungsskript konnte nicht abgeschlossen werden, da das AMI nicht über die erwartete Konfiguration oder die erforderlichen Tools verfügt. Die Protokolldateien auf der Instance, z. B. /root/bootstrap/logs/ auf einer Linux-Instance, können diesbezüglich nützliche Informationen enthalten. AMIs IDs aus dem AWS Marketplace funktionieren möglicherweise nicht für RES-Desktop-Instanzen. Sie müssen getestet werden, um zu bestätigen, ob sie unterstützt werden.

  • Benutzerdatenskripts werden nicht ausgeführt, wenn die virtuelle Windows-Desktop-Instanz von einem benutzerdefinierten AMI aus gestartet wird.

    Standardmäßig werden Benutzerdatenskripts einmal ausgeführt, wenn eine EC2 Amazon-Instance gestartet wird. Wenn Sie ein AMI aus einer vorhandenen virtuellen Desktop-Instance erstellen, dann einen Software-Stack beim AMI registrieren und versuchen, einen anderen virtuellen Desktop mit diesem Software-Stack zu starten, werden Benutzerdatenskripts auf der neuen virtuellen Desktop-Instance nicht ausgeführt.

    Um das Problem zu beheben, öffnen Sie ein PowerShell Befehlsfenster als Administrator auf der ursprünglichen virtuellen Desktop-Instance, mit der Sie das AMI erstellt haben, und führen Sie den folgenden Befehl aus: 

    C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts\InitializeInstance.ps1 –Schedule

    Erstellen Sie dann ein neues AMI aus der Instance. Sie können das neue AMI verwenden, um Software-Stacks zu registrieren und anschließend neue virtuelle Desktops zu starten. Beachten Sie, dass Sie denselben Befehl auch für die Instance ausführen können, die im Bereitstellungsstatus verbleibt, und die Instance neu starten können, um die virtuelle Desktop-Sitzung zu reparieren. Beim Starten eines anderen virtuellen Desktops über das falsch konfigurierte AMI treten Sie jedoch erneut auf dasselbe Problem.

........................

VDIs nach dem Start in den Fehlerstatus wechseln

Mögliches Problem 1: Das Home-Dateisystem hat ein Verzeichnis für den Benutzer mit unterschiedlichen POSIX-Berechtigungen.

Dies könnte das Problem sein, mit dem Sie konfrontiert sind, wenn die folgenden Szenarien zutreffen:

  1. Die bereitgestellte RES-Version ist 2024.01 oder höher.

  2. Während der Bereitstellung des RES-Stacks EnableLdapIDMapping wurde das Attribut für auf gesetzt. True

  3. Das bei der Bereitstellung des RES-Stacks angegebene Home-Dateisystem wurde in einer Version vor RES 2024.01 oder in einer früheren Umgebung mit der Einstellung auf verwendet. EnableLdapIDMapping False

Lösungsschritte: Löschen Sie die Benutzerverzeichnisse im Dateisystem.

  1. SSM zum Cluster-Manager-Host.

  2. cd /home.

  3. ls- sollte Verzeichnisse mit Verzeichnisnamen auflisten, die mit Benutzernamen übereinstimmen, wieadmin1,admin2.. und so weiter.

  4. Löscht die Verzeichnisse,sudo rm -r 'dir_name'. Löschen Sie nicht die Verzeichnisse ssm-user und ec2-user.

  5. Wenn die Benutzer bereits mit der neuen Umgebung synchronisiert sind, löschen Sie die Benutzer aus der DDB-Tabelle des Benutzers (außer clusteradmin).

  6. AD-Synchronisierung initiieren — sudo /opt/idea/python/3.9.16/bin/resctl ldap sync-from-ad im Cluster-Manager Amazon ausführen. EC2

  7. Starten Sie die VDI-Instanz im Error Status von der RES-Webseite aus neu. Stellen Sie sicher, dass der VDI in etwa 20 Minuten in den Ready Status übergeht.

........................

Virtuelle Desktop-Komponente

........................

Die EC2 Amazon-Instance wird in der Konsole wiederholt als beendet angezeigt

Wenn eine Infrastruktur-Instance in der EC2 Amazon-Konsole wiederholt als beendet angezeigt wird, kann die Ursache in ihrer Konfiguration liegen und vom Typ der Infrastruktur-Instance abhängen. Im Folgenden finden Sie Methoden, um die Ursache zu ermitteln.

Wenn die vdc-controller-Instance in der EC2 Amazon-Konsole wiederholt den Status „Beendet“ anzeigt, kann dies an einem falschen Secret-Tag liegen. Geheimnisse, die von RES verwaltet werden, haben Tags, die als Teil der IAM-Zugriffskontrollrichtlinien verwendet werden, die den EC2 Amazon-Infrastruktur-Instances zugeordnet sind. Wenn der vdc-Controller zyklisch läuft und der folgende Fehler in der CloudWatch Protokollgruppe erscheint, kann dies daran liegen, dass ein Geheimnis nicht korrekt markiert wurde. Beachten Sie, dass das Geheimnis mit dem folgenden Tag versehen werden muss:

{
    "res:EnvironmentName": "<envname>" # e.g. "res-demo"
    "res:ModuleName": "virtual-desktop-controller"
}

Die CloudWatch Amazon-Protokollmeldung für diesen Fehler wird etwa wie folgt aussehen:

An error occurred (AccessDeniedException) when calling the GetSecretValue
operation: User: arn:aws:sts::160215750999:assumed-role/<envname>-vdc-gateway-role-us-east-1/i-043f76a2677f373d0 
is not authorized to perform: secretsmanager:GetSecretValue on resource:
arn:aws:secretsmanager:us-east-1:160215750999:secret:Certificate-res-bi-Certs-5W9SPUXF08IB-F1sNRv 
because no identity-based policy allows the secretsmanager:GetSecretValue action

Überprüfen Sie die Tags auf der EC2 Amazon-Instance und vergewissern Sie sich, dass sie mit der obigen Liste übereinstimmen.

........................

Die vdc-Controller-Instanz läuft, weil sie dem AD nicht beitreten konnte. /Das eVDI-Modul zeigt die fehlgeschlagene API-Zustandsprüfung

Wenn das eVDI-Modul die Zustandsprüfung nicht besteht, wird im Abschnitt Umgebungsstatus Folgendes angezeigt.

ein Beispiel für die Umgebungsmodule und das Status-Dashboard

In diesem Fall besteht der allgemeine Pfad zum Debuggen darin, in die CloudWatchCluster-Manager-Protokolle zu schauen. (Suchen Sie nach der Protokollgruppe mit dem Namen.) <env-name>/cluster-manager

Mögliche Probleme:

  • Wenn die Protokolle den Text enthaltenInsufficient permissions, stellen Sie sicher, dass der ServiceAccount Benutzername, der bei der Erstellung des Res-Stacks angegeben wurde, richtig geschrieben ist.

    Beispiel für eine Protokollzeile:

    Insufficient permissions to modify computer account: CN=IDEA-586BD25043,OU=Computers,OU=RES,OU=CORP,DC=corp,DC=res,DC=com: 000020E7: AtrErr: DSID-03153943, #1: 0: 000020E7: DSID-03153943, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90008 (userAccountControl):len 4 >> 432 ms - request will be retried in 30 seconds

    • Sie können über die SecretsManager Konsole auf den bei der RES-Bereitstellung angegebenen ServiceAccount Benutzernamen zugreifen. Suchen Sie im Secrets Manager nach dem entsprechenden Secret und wählen Sie Retrieve Plain Text aus. Wenn der Benutzername falsch ist, wählen Sie Bearbeiten aus, um den Geheimwert zu aktualisieren. Beenden Sie die aktuellen Cluster-Manager- und VDC-Controller-Instanzen. Die neuen Instanzen werden sich in einem stabilen Zustand befinden.

    • Der Benutzername muss "ServiceAccount" lauten, wenn Sie die Ressourcen verwenden, die durch den bereitgestellten externen Ressourcenstapel erstellt wurden. Wenn der DisableADJoin Parameter bei der Bereitstellung von RES auf False gesetzt wurde, stellen Sie sicher, dass der Benutzer ServiceAccount "" über die erforderlichen Berechtigungen zum Erstellen von Computerobjekten im AD verfügt.

  • Wenn der verwendete Benutzername korrekt war, die Protokolle jedoch den Text enthaltenInvalid credentials, ist das von Ihnen eingegebene Passwort möglicherweise falsch oder abgelaufen.

    Beispiel für eine Protokollzeile:

    {'msgtype': 97, 'msgid': 1, 'result': 49, 'desc': 'Invalid credentials', 'ctrls': [], 'info': '80090308: LdapErr: DSID-0C090569, comment: AcceptSecurityContext error, data 532, v4563'}

    • Sie können das Passwort, das Sie bei der Erstellung der Umgebung eingegeben haben, lesen, indem Sie in der Secrets Manager-Konsole auf das Geheimnis zugreifen, das das Passwort speichert. Wählen Sie das Geheimnis aus (z. B.<env_name>directoryserviceServiceAccountPassword) und wählen Sie Klartext abrufen aus.

    • Wenn das Passwort im Secret falsch ist, wählen Sie Bearbeiten aus, um den Wert im Secret zu aktualisieren. Beenden Sie die aktuellen Cluster-Manager- und VDC-Controller-Instanzen. Die neuen Instanzen verwenden das aktualisierte Passwort und befinden sich in einem stabilen Zustand.

    • Wenn das Passwort korrekt ist, kann es sein, dass das Passwort im verbundenen Active Directory abgelaufen ist. Sie müssen zuerst das Passwort im Active Directory zurücksetzen und dann das Geheimnis aktualisieren. Sie können das Benutzerkennwort im Active Directory von der Directory Service Console aus zurücksetzen:

      1. Wählen Sie die entsprechende Verzeichnis-ID

      2. Wählen Sie Aktionen, Benutzerkennwort zurücksetzen und füllen Sie dann das Formular mit dem Benutzernamen (z. B. "ServiceAccount„) und dem neuen Passwort aus.

      3. Wenn sich das neu eingestellte Passwort vom vorherigen Passwort unterscheidet, aktualisieren Sie das Passwort im entsprechenden Secret Manager-Geheimnis (z. <env_name>directoryserviceServiceAccountPassword B.

      4. Beenden Sie die aktuellen Cluster-Manager- und VDC-Controller-Instanzen. Die neuen Instanzen werden sich in einem stabilen Zustand befinden.

........................

Das Projekt erscheint nicht im Pulldown, wenn Sie den Software-Stack bearbeiten, um es hinzuzufügen

Dieses Problem kann mit dem folgenden Problem im Zusammenhang mit der Synchronisierung des Benutzerkontos mit AD zusammenhängen. Wenn dieses Problem auftritt, überprüfen Sie die CloudWatch Amazon-Protokollgruppe des Cluster-Managers auf den Fehler "<user-home-init> account not available yet. waiting for user to be synced", um festzustellen, ob die Ursache dieselbe ist oder zusammenhängt.

........................

Clustermanager Amazon CloudWatch Log zeigt „< user-home-init > Konto noch nicht verfügbar. wartet darauf, dass der Benutzer synchronisiert wird“ (wobei das Konto ein Benutzername ist)

Der SQS-Abonnent ist beschäftigt und steckt in einer Endlosschleife fest, weil er nicht auf das Benutzerkonto zugreifen kann. Dieser Code wird ausgelöst, wenn versucht wird, während der Benutzersynchronisierung ein Home-Dateisystem für einen Benutzer zu erstellen.

Der Grund, warum es nicht in der Lage ist, auf das Benutzerkonto zuzugreifen, ist möglicherweise, dass RES für das verwendete AD nicht korrekt konfiguriert wurde. Ein Beispiel könnte sein, dass der bei der Erstellung der BI/RES Umgebung verwendete ServiceAccountUsername Parameter nicht der richtige Wert war, z. B. die Verwendung von "ServiceAccount" anstelle von „Admin“.

........................

Auf dem Windows-Desktop wird beim Anmeldeversuch die Meldung „Ihr Konto wurde deaktiviert“ angezeigt. Bitte wenden Sie sich an Ihren Administrator.“

Fehlerbildschirm „Konto deaktiviert“

Wenn sich der Benutzer auf einem gesperrten Bildschirm nicht wieder anmelden kann, kann dies darauf hindeuten, dass der Benutzer in dem für RES konfigurierten AD deaktiviert wurde, nachdem er sich erfolgreich über SSO angemeldet hat.

Die SSO-Anmeldung sollte fehlschlagen, wenn das Benutzerkonto in AD deaktiviert wurde.

........................

Probleme mit den DHCP-Optionen bei der external/customer AD-Konfiguration

Wenn Sie bei der Verwendung von RES "The connection has been closed. Transport error" mit Ihrem eigenen Active Directory auf einen Fehler bei virtuellen Windows-Desktops stoßen, suchen Sie im dcv-connection-gateway CloudWatch Amazon-Protokoll nach etwas Ähnlichem wie dem Folgenden:

Oct 28 00:12:30.626  INFO HTTP:Splicer Connection{id=263}:
Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Connection initiated error: unreachable, server io error Custom { kind: Uncategorized, error: "failed to lookup address information: Name or service not known" } 

Oct 28 00:12:30.626  WARN HTTP:Splicer Connection{id=263}: Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Error in websocket connection: Server unreachable: Server error: IO error: failed to lookup address information: Name or service not known
 
Oct 28 00:12:30.627 DEBUG HTTP:Splicer Connection{id=263}: ConnectionGuard dropped

Wenn Sie einen AD-Domänencontroller für Ihre DHCP-Optionen für Ihre eigene VPC verwenden, müssen Sie:

  1. Fügen Sie den beiden Domänencontrollern AmazonProvided DNS hinzu. IPs

  2. Setzen Sie den Domainnamen auf ec2.internal.

Ein Beispiel wird hier gezeigt. Ohne diese Konfiguration gibt der Windows-Desktop einen Transportfehler RES/DCV aus, weil nach dem Hostnamen ip-10-0-x-xx.ec2.internal gesucht wird.

Beispiel für Domänennamen und Domainnamenserver

........................

Firefox-Fehler MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Wenn Sie den Firefox-Webbrowser verwenden, wird möglicherweise die Fehlermeldung vom Typ MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING angezeigt, wenn Sie versuchen, eine Verbindung zu einem virtuellen Desktop herzustellen.

Die Ursache ist, dass der RES-Webserver mit TLS + Stapling On eingerichtet ist, aber nicht mit Stapling Validation reagiert (siehe https://support.mozilla). org/en-US/questions/1372483.

Sie können dies beheben, indem Sie den Anweisungen unter /mozilla_pkix_error_required_tls_feature_missing folgen. https://really-simple-ssl.com

........................

Löschen von Umgebungen

........................

res-xxx-cluster Der Stapel befindet sich im Status „DELETE_FAILED“ und kann aufgrund des Fehlers „Rolle ist ungültig oder kann nicht angenommen werden“ nicht manuell gelöscht werden

Wenn Sie feststellen, dass sich der Stapel res-xxx-cluster "" im Status „DELETE_FAILED“ befindet und nicht manuell gelöscht werden kann, können Sie ihn mit den folgenden Schritten löschen.

Wenn Sie sehen, dass sich der Stapel im Status „DELETE_FAILED“ befindet, versuchen Sie zunächst, ihn manuell zu löschen. Möglicherweise wird ein Dialogfeld angezeigt, in dem Delete Stack bestätigt wird. Wählen Sie Löschen aus.

Popup-Bildschirm zur Bestätigung des Stacks löschen

Selbst wenn Sie alle erforderlichen Stack-Ressourcen löschen, wird manchmal immer noch die Meldung angezeigt, dass Sie Ressourcen auswählen müssen, die beibehalten werden sollen. Wählen Sie in diesem Fall alle Ressourcen als „beizubehaltende Ressourcen“ aus und wählen Sie Löschen aus.

Möglicherweise wird ein Fehler angezeigt, der wie folgt aussieht Role: arn:aws:iam::... is Invalid or cannot be assumed

CloudFormation Das Stapelfenster zeigt den Fehler einer ungültigen Rolle

Das bedeutet, dass die Rolle, die zum Löschen des Stacks erforderlich ist, zuerst gelöscht wurde, bevor der Stapel gelöscht wurde. Um dies zu umgehen, kopieren Sie den Namen der Rolle. Gehen Sie zur IAM-Konsole und erstellen Sie eine Rolle mit diesem Namen. Verwenden Sie dabei die folgenden Parameter:

  • Wählen Sie für den Typ Vertrauenswürdige Entität die Option AWS Service aus.

  • Wählen Sie für Anwendungsfall unter Use cases for other AWS services „Wählen“ ausCloudFormation.

Im Fenster „IAM-Rollen: Rolle erstellen“ (Schritt 1) können Sie die vertrauenswürdige Entität auswählen

Klicken Sie auf Weiter. Stellen Sie sicher, dass Sie den Rollen '' und AWSCloudFormationFullAccess 'AdministratorAccess' die Berechtigungen geben. Ihre Bewertungsseite sollte so aussehen:

Auf diesem IAM-Bildschirm können Sie Rollen benennen, überprüfen und erstellen

Gehen Sie dann zurück zur CloudFormation Konsole und löschen Sie den Stack. Sie sollten es jetzt löschen können, seit Sie die Rolle erstellt haben. Gehen Sie abschließend zur IAM-Konsole und löschen Sie die von Ihnen erstellte Rolle.

........................

Protokolle sammeln

Von der EC2 Konsole aus bei einer EC2 Instanz anmelden

  • Folgen Sie diesen Anweisungen, um sich bei Ihrer EC2 Linux-Instance anzumelden.

  • Folgen Sie diesen Anweisungen, um sich bei Ihrer EC2 Windows-Instanz anzumelden. Öffnen Sie dann PowerShell Windows, um beliebige Befehle auszuführen.

Sammeln von Infrastruktur-Host-Protokollen

  1. Cluster-Manager: Rufen Sie die Protokolle für den Clustermanager von den folgenden Stellen ab und hängen Sie sie an das Ticket an.

    1. Alle Protokolle aus der CloudWatch Protokollgruppe. <env-name>/cluster-manager

    2. Alle Protokolle im /root/bootstrap/logs Verzeichnis auf der <env-name>-cluster-manager EC2 Instanz. Folgen Sie den Anweisungen unter „Von der EC2 Konsole aus bei einer EC2 Instanz anmelden“ am Anfang dieses Abschnitts, um sich bei Ihrer Instance anzumelden.

  2. VDC-Controller: Rufen Sie die Logs für den vdc-Controller von den folgenden Stellen ab und hängen Sie sie an das Ticket an.

    1. Alle Protokolle aus der Protokollgruppe. CloudWatch <env-name>/vdc-controller

    2. Alle Protokolle im /root/bootstrap/logs Verzeichnis auf der <env-name>-vdc-controller EC2 Instanz. Folgen Sie den Anweisungen unter „Von der EC2 Konsole aus bei einer EC2 Instanz anmelden“ am Anfang dieses Abschnitts, um sich bei Ihrer Instance anzumelden.

Eine Möglichkeit, die Logs einfach abzurufen, besteht darin, den Anweisungen im Protokolle von EC2 Linux-Instanzen werden heruntergeladen Abschnitt zu folgen. Der Modulname wäre der Instanzname.

Sammeln von VDI-Protokollen

Identifizieren Sie die entsprechende EC2 Amazon-Instance

Wenn ein Benutzer einen VDI mit einem Sitzungsnamen starten würdeVDI1, wäre <env-name>-VDI1-<user name> der entsprechende Name der Instance auf der EC2 Amazon-Konsole.

Sammeln Sie Linux-VDI-Protokolle

Melden Sie sich von der EC2 Amazon-Konsole aus bei der entsprechenden EC2 Amazon-Instance an, indem Sie den Anweisungen folgen, die zu Beginn dieses Abschnitts unter „Von der EC2 Konsole aus bei einer EC2 Instance anmelden“ verlinkt sind. Rufen Sie alle Protokolle unter den /var/log/dcv/ Verzeichnissen /root/bootstrap/logs und auf der EC2 VDI-Amazon-Instance ab.

Eine Möglichkeit, die Protokolle abzurufen, besteht darin, sie auf S3 hochzuladen und dann von dort herunterzuladen. Dazu können Sie die folgenden Schritte ausführen, um alle Protokolle aus einem Verzeichnis abzurufen und sie dann hochzuladen:

  1. Gehen Sie wie folgt vor, um die DCV-Protokolle in das /root/bootstrap/logs Verzeichnis zu kopieren:

    sudo su - 
cd /root/bootstrap
mkdir -p logs/dcv_logs
cp -r /var/log/dcv/* logs/dcv_logs/

  2. Folgen Sie nun den im nächsten Abschnitt aufgeführten SchrittenVDI-Protokolle werden heruntergeladen, um die Protokolle herunterzuladen.

Sammeln Sie Windows VDI-Protokolle

Melden Sie sich von der EC2 Amazon-Konsole aus bei der entsprechenden EC2 Amazon-Instance an, indem Sie den Anweisungen folgen, die zu Beginn dieses Abschnitts unter „Von der EC2 Konsole aus bei einer EC2 Instance anmelden“ verlinkt sind. Rufen Sie alle Protokolle unter dem $env:SystemDrive\Users\Administrator\RES\Bootstrap\Log\ Verzeichnis auf der EC2 VDI-Instance ab.

Eine Möglichkeit, die Protokolle abzurufen, besteht darin, sie auf S3 hochzuladen und dann von dort herunterzuladen. Folgen Sie dazu den im nächsten Abschnitt aufgeführten SchrittenVDI-Protokolle werden heruntergeladen.

........................

VDI-Protokolle werden heruntergeladen

  1. Aktualisieren Sie die IAM-Rolle der EC2 VDI-Instanz, um den S3-Zugriff zu ermöglichen.

  2. Gehen Sie zur EC2 Konsole und wählen Sie Ihre VDI-Instanz aus.

  3. Wählen Sie die IAM-Rolle aus, die sie verwendet.

  4. Wählen Sie im Dropdownmenü Berechtigungen hinzufügen im Abschnitt Berechtigungsrichtlinien die Option Richtlinien anhängen aus und wählen Sie dann die FullAccess AmazonS3-Richtlinie aus.

  5. Wählen Sie Berechtigungen hinzufügen aus, um diese Richtlinie anzuhängen.

  6. Folgen Sie anschließend je nach VDI-Typ den unten aufgeführten Schritten, um die Protokolle herunterzuladen. Der Modulname wäre der Instanzname.

    1. Protokolle von EC2 Linux-Instanzen werden heruntergeladenfür Linux.

    2. Protokolle von EC2 Windows-Instanzen herunterladenfür Windows.

  7. Bearbeiten Sie abschließend die Rolle, um die AmazonS3FullAccess Richtlinie zu entfernen.

Anmerkung

Alle VDIs verwenden dieselbe IAM-Rolle, nämlich <env-name>-vdc-host-role-<region>

........................

Protokolle von EC2 Linux-Instanzen werden heruntergeladen

Melden Sie sich bei der EC2 Instanz an, von der Sie Logs herunterladen möchten, und führen Sie die folgenden Befehle aus, um alle Logs in einen S3-Bucket hochzuladen:

sudo su -
ENV_NAME=<environment_name>
REGION=<region>
ACCOUNT=<aws_account_number>
MODULE=<module_name>

cd /root/bootstrap
tar -czvf ${MODULE}_logs.tar.gz logs/ --overwrite
aws s3 cp ${MODULE}_logs.tar.gz s3://${ENV_NAME}-cluster-${REGION}-${ACCOUNT}/${MODULE}_logs.tar.gz

Gehen Sie danach zur S3-Konsole, wählen Sie den Bucket mit dem Namen aus <environment_name>-cluster-<region>-<aws_account_number> und laden Sie die zuvor hochgeladene <module_name>_logs.tar.gz Datei herunter.

........................

Protokolle von EC2 Windows-Instanzen herunterladen

Melden Sie sich bei der EC2 Instanz an, von der Sie Protokolle herunterladen möchten, und führen Sie die folgenden Befehle aus, um alle Protokolle in einen S3-Bucket hochzuladen:

$ENV_NAME="<environment_name>"
$REGION="<region>"
$ACCOUNT="<aws_account_number>"
$MODULE="<module_name>"

$logDirPath = Join-Path -Path $env:SystemDrive -ChildPath "Users\Administrator\RES\Bootstrap\Log"
$zipFilePath = Join-Path -Path $env:TEMP -ChildPath "logs.zip"
Remove-Item $zipFilePath
Compress-Archive -Path $logDirPath -DestinationPath $zipFilePath
$bucketName = "${ENV_NAME}-cluster-${REGION}-${ACCOUNT}"
$keyName = "${MODULE}_logs.zip"
Write-S3Object -BucketName $bucketName -Key $keyName -File $zipFilePath

Gehen Sie danach zur S3-Konsole, wählen Sie den Bucket mit dem Namen aus <environment_name>-cluster-<region>-<aws_account_number> und laden Sie die zuvor hochgeladene <module_name>_logs.zip Datei herunter.

........................

Sammeln von ECS-Protokollen für den WaitCondition Fehler

  1. Gehen Sie zum bereitgestellten Stack und wählen Sie die Registerkarte Ressourcen.

  2. Erweitern Sie Deploy ResearchAndEngineeringStudio→ → InstallerTasks CreateTaskDefCreateContainer→ und wählen Sie die Protokollgruppe aus LogGroup, um die CloudWatch Logs zu öffnen.

  3. Besorgen Sie sich das neueste Protokoll aus dieser Protokollgruppe.

........................

Demo-Umgebung

........................

Anmeldefehler in der Demo-Umgebung bei der Bearbeitung der Authentifizierungsanfrage an den Identitätsanbieter

Problem

Wenn Sie versuchen, sich anzumelden und die Meldung „Unerwarteter Fehler bei der Bearbeitung der Authentifizierungsanfrage an den Identitätsanbieter“ angezeigt wird, sind Ihre Passwörter möglicherweise abgelaufen. Dies kann entweder das Passwort für den Benutzer sein, mit dem Sie sich anmelden möchten, oder Ihr Directory Service Directory-Dienstkonto.

Schadensbegrenzung

  1. Setzen Sie die Benutzer- und Dienstkontokennwörter in der Directory Service Console zurück.

  2. Aktualisieren Sie die Passwörter für das Dienstkonto in Secrets Manager so, dass sie mit dem neuen Passwort übereinstimmen, das Sie oben eingegeben haben:

    • für den Keycloak-Stack: PasswordSecret-... - -... RESExternal - DirectoryService-... mit Beschreibung: Passwort für Microsoft Active Directory

    • für RES: res- ServiceAccountPassword -... mit Beschreibung: Directory Service Directory-Dienstkontokennwort

  3. Gehen Sie zur EC2 Konsole und beenden Sie die Cluster-Manager-Instanz. Auto Scaling Scaling-Regeln lösen automatisch die Bereitstellung einer neuen Instanz aus.

........................