View a markdown version of this page

Problema RunBooks - Estudio de investigación e ingeniería

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Problema RunBooks

La siguiente sección contiene los problemas que pueden producirse, cómo detectarlos y sugerencias para resolverlos.

Problemas de instalación

........................

CloudFormationla pila no se puede crear con el mensaje «se WaitCondition recibió el mensaje fallido». Error:States.TaskFailed»

Para identificar el problema, examine el grupo de CloudWatch registros de Amazon denominado<stack-name>-InstallerTasksCreateTaskDefCreateContainerLogGroup<nonce>-<nonce>. Si hay varios grupos de registros con el mismo nombre, examine el primero que esté disponible. Un mensaje de error en los registros proporcionará más información sobre el problema.

nota

Confirme que los valores de los parámetros no tengan espacios.

........................

La notificación por correo electrónico no se recibió despuésCloudFormationlas pilas se crearon correctamente

Si no se recibió una invitación por correo electrónico después de haber creado correctamente las CloudFormation pilas, compruebe lo siguiente:

  1. Confirme que el parámetro de dirección de correo electrónico se haya introducido correctamente.

    Si la dirección de correo electrónico es incorrecta o no se puede acceder a ella, elimine y vuelva a implementar el entorno de Research and Engineering Studio.

  2. Consulte la consola Amazon EC2 para ver si hay pruebas de casos de ciclismo.

    Si hay instancias de Amazon EC2 con el <envname> prefijo que aparecen como terminadas y, a continuación, se sustituyen por una nueva instancia, es posible que haya un problema con la configuración de la red o de Active Directory.

  3. Si implementó las recetas de computación de AWS alto rendimiento para crear sus recursos externos, confirme que la pila haya creado la VPC, las subredes públicas y privadas y otros parámetros seleccionados.

    Si alguno de los parámetros es incorrecto, es posible que tengas que eliminar y volver a implementar el entorno RES. Para obtener más información, consulte Desinstalar el producto.

  4. Si implementó el producto con sus propios recursos externos, confirme que la red y Active Directory coincidan con la configuración esperada.

    Es fundamental confirmar que las instancias de infraestructura se han unido correctamente a Active Directory. Pruebe los pasos que se indican Instancias cíclicas o controladora de vdc en estado fallido a continuación para resolver el problema.

........................

Instancias cíclicas o controladora de vdc en estado fallido

La causa más probable de este problema es la incapacidad de los recursos para conectarse o unirse a Active Directory.

Para comprobar el problema:
  1. Desde la línea de comandos, inicie una sesión con SSM en la instancia en ejecución del vdc-controller.

  2. Ejecute sudo su -.

  3. Ejecute systemctl status sssd.

Si el estado es inactivo, ha fallado o aparecen errores en los registros, significa que la instancia no se ha podido unir a Active Directory.

Registro de errores de SSM

Registro de errores de SSM

Para resolver el problema:
  • Desde la misma instancia de línea de comandos, ejecuta cat /root/bootstrap/logs/userdata.log para investigar los registros.

El problema puede tener una de las tres causas principales posibles.

Revise los registros. Si ve que lo siguiente se repite varias veces, significa que la instancia no ha podido unirse a Active Directory.

+ local AD_AUTHORIZATION_ENTRY= + [[ -z '' ]] + [[ 0 -le 180 ]] + local SLEEP_TIME=34 + log_info '(0 of 180) waiting for AD authorization, retrying in 34 seconds ...' ++ date '+%Y-%m-%d %H:%M:%S,%3N' + echo '[2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ...' [2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ... + sleep 34 + (( ATTEMPT_COUNT++ ))
  1. Compruebe que los valores de los siguientes parámetros se hayan introducido correctamente durante la creación de la pila RES.

    • directoryservice.ldap_connection_uri

    • directoryservice.ldap_base

    • directoryservice.users.ou

    • directoryservice.groups.eu

    • directoryservice.sudoers.ou

    • directoryservice.computers.ou

    • directoryservice.name

  2. Actualice los valores incorrectos de la tabla de DynamoDB. La tabla se encuentra en la consola de DynamoDB, en Tablas. El nombre de la tabla debe ser. <stack name>.cluster-settings

  3. Tras actualizar la tabla, elimine el administrador de clústeres y el vdc-controller que actualmente ejecutan las instancias del entorno. El escalado automático iniciará nuevas instancias con los valores más recientes de la tabla de DynamoDB.

Si los registros vuelven a aparecerInsufficient permissions to modify computer account, es posible que el ServiceAccount nombre introducido durante la creación de la pila sea incorrecto.

  1. Desde la AWS consola, abre Secrets Manager.

  2. Busque la opción directoryserviceServiceAccountUsername. El secreto debería ser<stack name>-directoryservice-ServiceAccountUsername.

  3. Abre el secreto para ver la página de detalles. En Valor secreto, selecciona Recuperar valor secreto y selecciona Texto sin formato.

  4. Si el valor se actualizó, elimine las instancias del entorno con el administrador de clústeres y el controlador de vdc que se estén ejecutando actualmente. El escalado automático iniciará nuevas instancias con el valor más reciente de Secrets Manager.

Si se muestran los registrosInvalid credentials, es posible que la ServiceAccount contraseña introducida durante la creación de la pila sea incorrecta.

  1. Desde la AWS consola, abre Secrets Manager.

  2. Busque la opción directoryserviceServiceAccountPassword. El secreto debería ser<stack name>-directoryservice-ServiceAccountPassword.

  3. Abre el secreto para ver la página de detalles. En Valor secreto, selecciona Recuperar valor secreto y selecciona Texto sin formato.

  4. Si ha olvidado la contraseña o no está seguro de si es correcta, puede restablecerla en Active Directory y Secrets Manager.

    1. Para restablecer la contraseña enAWS Managed Microsoft AD:

      1. Abra la AWS consola y vaya aDirectory Service.

      2. Seleccione el ID de directorio para su directorio RES y elija Acciones.

      3. Seleccione Restablecer contraseña de usuario.

      4. Ingresa el ServiceAccount nombre de usuario.

      5. Introduce una contraseña nueva y selecciona Restablecer contraseña.

    2. Para restablecer la contraseña en Secrets Manager:

      1. Abre la AWS consola y ve a Secrets Manager.

      2. Busque la opción directoryserviceServiceAccountPassword. El secreto debería ser<stack name>-directoryservice-ServiceAccountPassword.

      3. Abre el secreto para ver la página de detalles. En Valor secreto, selecciona Recuperar valor secreto y, a continuación, selecciona Texto sin formato.

      4. Elija Edit (Edición de).

      5. Establece una nueva contraseña para el ServiceAccount usuario y selecciona Guardar.

  5. Si actualizó el valor, elimine las instancias cluster-manager y vdc-controller del entorno que se estén ejecutando actualmente. El escalado automático iniciará nuevas instancias con el valor más reciente.

........................

La CloudFormation pila de entornos no se puede eliminar debido a un error en el objeto dependiente

Si la eliminación de la <env-name>-vdc CloudFormation pila falla debido a un error de objeto dependiente, como elvdcdcvhostsecuritygroup, podría deberse a que una instancia de Amazon EC2 se lanzó a una RES-created subred o grupo de seguridad mediante la consola. AWS

Para resolver el problema, busque y cancele todas las instancias de Amazon EC2 lanzadas de esta manera. A continuación, puede reanudar la eliminación del entorno.

........................

Se encontró un error en el parámetro de bloque CIDR durante la creación del entorno

Al crear un entorno, aparece un error en el parámetro de bloque CIDR con un estado de respuesta de [FALLIDO].

Ejemplo de error:

Failed to update cluster prefix list: An error occurred (InvalidParameterValue) when calling the ModifyManagedPrefixList operation: The specified CIDR (52.94.133.132/24) is not valid. For example, specify a CIDR in the following form: 10.0.0.0/16.

Para resolver el problema, el formato esperado es x.x.x. 0/24 o x.x.x. 0/32

........................

CloudFormation error al crear la pila durante la creación del entorno

La creación de un entorno implica una serie de operaciones de creación de recursos. En algunas regiones, puede producirse un problema de capacidad que provoque un error en la creación de una CloudFormation pila.

Si esto ocurre, elimine el entorno y vuelva a intentar la creación. Como alternativa, puede volver a intentar la creación en una región diferente.

........................

La creación de una pila de recursos externos (demostración) falla con AdDomainAdminNode CREATE_FAILED

Si la creación de la pila del entorno de demostración falla y aparece el siguiente error, es posible que se deba a que los parches de Amazon EC2 se hayan producido inesperadamente durante el aprovisionamiento tras el lanzamiento de la instancia.

AdDomainAdminNode CREATE_FAILED Failed to receive 1 resource signal(s) within the specified duration
Para determinar la causa del error:
  1. En el SSM State Manager, compruebe si la aplicación de parches está configurada y si está configurada para todas las instancias.

  2. En el historial de ejecuciones del SSM, compruebe si la RunCommand/Automation ejecución de un documento SSM relacionado con la aplicación de parches coincide con el lanzamiento de una instancia.

  3. En los archivos de registro de las instancias Amazon EC2 del entorno, revise el registro de la instancia local para determinar si la instancia se reinició durante el aprovisionamiento.

Si el problema se debió a la aplicación de parches, retrase la aplicación de los parches a las instancias RES al menos 15 minutos después del lanzamiento.

........................

Problemas de administración de identidades

La mayoría de los problemas relacionados con el inicio de sesión único (SSO) y la administración de identidades se deben a una configuración incorrecta. Para obtener información sobre cómo configurar tu configuración de SSO, consulta:

Para solucionar otros problemas relacionados con la administración de identidades, consulta los siguientes temas de solución de problemas:

........................

No estoy autorizado a realizar iam: PassRole

Si recibe un mensaje de error que indica que no está autorizado a realizar la PassRole acción iam:, sus políticas deben actualizarse para que pueda transferir una función a RES.

Algunos AWS servicios le permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.

El siguiente ejemplo de error se produce cuando un usuario de IAM llamado marymajor intenta usar la consola para realizar una acción en RES. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

En este caso, las políticas de Mary deben actualizarse para que pueda realizar la PassRole acción iam:. Si necesitas ayuda, ponte en contacto con tu AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

........................

Quiero permitir que personas ajenas a miAWScuenta para acceder a mi estudio de investigación e ingeniería enAWSrecursos

Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso (ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.

Para obtener más información, consulte lo siguiente:

........................

Al iniciar sesión en el entorno, vuelvo inmediatamente a la página de inicio de sesión

Este problema se produce cuando la integración del SSO está mal configurada. Para determinar el problema, consulta los registros de las instancias del controlador y revisa los ajustes de configuración para ver si hay errores.

Para comprobar los registros:
  1. Abra la consola de CloudWatch .

  2. En Grupos de registros, busque el grupo denominado/<environment-name>/cluster-manager.

  3. Abra el grupo de registros para buscar cualquier error en las secuencias de registros.

Para comprobar los ajustes de configuración:
  1. Abra la consola de DynamoDB

  2. En Tablas, busque la tabla denominada. <environment-name>.cluster-settings

  3. Abre la tabla y selecciona Explorar los elementos de la tabla.

  4. Amplíe la sección de filtros e introduzca las siguientes variables:

    • Nombre del atributo: clave

    • Condición: contiene

    • Valor: sso

  5. Seleccione Ejecutar.

  6. En la cadena devuelta, compruebe que los valores de configuración del SSO son correctos. Si son incorrectos, cambie el valor de la clave sso_enabled a False.

    La consola DynamoDB con la pantalla Editar elemento para el valor clave sso_enabled.
  7. Vuelva a la interfaz de usuario de RES para volver a configurar el SSO.

........................

Se produjo el error «Usuario no encontrado» al intentar iniciar sesión

Si un usuario recibe el error «Usuario no encontrado» al intentar iniciar sesión en la interfaz RES y el usuario está presente en Active Directory:

  • Si el usuario no está presente en RES y usted lo agregó recientemente a AD
    • Es posible que el usuario aún no esté sincronizado con RES. RES se sincroniza cada hora, por lo que es posible que tengas que esperar y comprobar que el usuario se ha añadido después de la siguiente sincronización. Para sincronizar inmediatamente, sigue los pasos que se indican. El usuario se agregó en Active Directory, pero no aparece en RES

  • Si el usuario está presente en RES:
    1. Asegúrese de que la asignación de atributos esté configurada correctamente. Para obtener más información, consulte Configuración del proveedor de identidad para el inicio de sesión único (SSO).

    2. Asegúrese de que tanto el asunto SAML como el correo electrónico SAML coincidan con la dirección de correo electrónico del usuario.

........................

El usuario se agregó en Active Directory, pero no aparece en RES

nota

Esta sección se aplica a RES 2024.10 y versiones anteriores. Para ver la RES 2024.12 y versiones posteriores, consulte. Cómo ejecutar la sincronización manualmente (versiones 2024.12 y 2024.12.01) Para RES 2025.03 y versiones posteriores, consulte. Cómo iniciar o detener la sincronización manualmente (versión 2025.03 y versiones posteriores)

Si ha agregado un usuario a Active Directory pero no aparece en RES, debe activarse la sincronización de AD. La sincronización de AD se realiza cada hora mediante una función Lambda que importa las entradas de AD al entorno RES. En ocasiones, se produce un retraso hasta que se ejecute el siguiente proceso de sincronización después de añadir nuevos usuarios o grupos. Puede iniciar la sincronización manualmente desde Amazon Simple Queue Service.

Inicie el proceso de sincronización manualmente:
  1. Abra la consola de Amazon SQS.

  2. En Colas, selecciona<environment-name>-cluster-manager-tasks.fifo.

  3. Seleccione Enviar y recibir mensajes.

  4. En Cuerpo del mensaje, introduzca:

    { "name": "adsync.sync-from-ad", "payload": {} }

  5. Para el ID del grupo de mensajes, introduzca: adsync.sync-from-ad

  6. En el campo ID de deduplicación de mensajes, introduce una cadena alfanumérica aleatoria. Esta entrada debe ser diferente de todas las llamadas realizadas en los cinco minutos anteriores o se ignorará la solicitud.

........................

El usuario no estaba disponible al crear una sesión

Si es un administrador que está creando una sesión, pero descubre que un usuario que está en Active Directory no está disponible al crear una sesión, es posible que el usuario tenga que iniciar sesión por primera vez. Las sesiones solo se pueden crear para usuarios activos. Los usuarios activos deben iniciar sesión en el entorno al menos una vez.

........................

Se ha superado el límite de tamaño: error en el registro del administrador del CloudWatch clúster

2023-10-31T18:03:12.942-07:00 ldap.SIZELIMIT_EXCEEDED: {'msgtype': 100, 'msgid': 11, 'result': 4, 'desc': 'Size limit exceeded', 'ctrls': []}

Si recibe este error en el registro del CloudWatch administrador del clúster, es posible que la búsqueda de LDAP haya devuelto demasiados registros de usuario. Para solucionar este problema, aumente el límite de resultados de búsqueda de LDAP de su IDP.

........................

Almacenamiento

........................

Creé el sistema de archivos a través de RES, pero no se monta en los hosts VDI

Los sistemas de archivos deben estar en el estado «Disponible» antes de que los hosts VDI puedan montarlos. Siga los pasos que se indican a continuación para validar que el sistema de archivos se encuentra en el estado requerido.

Amazon EFS

  1. Vaya a la consola de Amazon EFS.

  2. Compruebe que el estado del sistema de archivos esté disponible.

  3. Si el estado del sistema de archivos no está disponible, espere antes de iniciar los hosts VDI.

Amazon FSx ONTAP

  1. Ve a la consola de Amazon FSx.

  2. Compruebe que el estado esté disponible.

  3. Si el estado no está disponible, espere antes de lanzar los hosts de VDI.

........................

He incorporado un sistema de archivos mediante RES, pero no se monta en los hosts VDI

Los sistemas de archivos integrados en RES deben tener configuradas las reglas de grupo de seguridad requeridas para permitir que los hosts de VDI monten los sistemas de archivos. Como estos sistemas de archivos se crean de forma externa a RES, RES no administra las reglas de los grupos de seguridad asociados.

El grupo de seguridad asociado a los sistemas de archivos integrados debe permitir el siguiente tráfico entrante:

  • Tráfico NFS (puerto: 2049) desde los hosts VDC de Linux

  • Tráfico SMB (puerto: 445) desde los hosts VDC de Windows

........................

No puedo iniciar sesión desde los hosts read/write VDI

ONTAP admite los estilos de seguridad UNIX, NTFS y MIXED para los volúmenes. Los estilos de seguridad determinan el tipo de permisos que ONTAP utiliza para controlar el acceso a los datos y qué tipo de cliente puede modificar estos permisos.

Por ejemplo, si un volumen utiliza el estilo de seguridad UNIX, los clientes SMB pueden seguir accediendo a los datos (siempre que se autentiquen y autoricen correctamente) debido a la naturaleza multiprotocolo de ONTAP. Sin embargo, ONTAP utiliza permisos de UNIX que solo los clientes de UNIX pueden modificar mediante herramientas nativas.

Ejemplo de casos de uso de la gestión de permisos

Uso de volúmenes de estilo UNIX con cargas de trabajo de Linux

El sudoer puede configurar los permisos para otros usuarios. Por ejemplo, lo siguiente daría a todos los miembros todos <group-ID> los read/write permisos en el /<project-name> directorio:

sudo chown root:<group-ID> /<project-name> sudo chmod 770 /<project-name>

Uso de un volumen de estilo NTFS con cargas de trabajo de Linux y Windows

Los permisos de uso compartido se pueden configurar mediante las propiedades de uso compartido de una carpeta en particular. Por ejemplo, en función de un usuario user_01 y una carpetamyfolder, puedes establecer los permisos de Full ControlChange, Allow o Read paraDeny:

Los permisos de uso compartido se pueden configurar como Permitir o Denegar para tener un control total, modificarlos o leerlos

Si los clientes de Linux y Windows van a utilizar el volumen, necesitamos configurar una asignación de nombres en SVM que asocie cualquier nombre de usuario de Linux al mismo nombre de usuario con el formato de nombre de dominio de NetBIOS domain\ username. Esto es necesario para traducir entre usuarios de Linux y Windows. Como referencia, consulte Habilitar cargas de trabajo multiprotocolo con Amazon FSx para ONTAP. NetApp

........................

Creé Amazon FSx para NetApp ONTAP desde RES, pero no se unió a mi dominio

Actualmente, al crear Amazon FSx para NetApp ONTAP desde la consola RES, el sistema de archivos se aprovisiona pero no se une al dominio. Para unir el SVM del sistema de archivos ONTAP creado a su dominio, consulte Cómo unir SVM a un Active Directory de Microsoft y siga los pasos de la consola de Amazon FSx. Asegúrese de que los permisos necesarios estén delegados a la cuenta de servicio de Amazon FSx en AD. Cuando el SVM se una al dominio correctamente, vaya a Resumen del SVM > Puntos de enlace > Nombre DNS SMB y copie el nombre DNS, ya que lo necesitará más adelante.

Una vez unida al dominio, edite la clave de configuración de DNS SMB en la tabla DynamoDB de configuración del clúster:

  1. Vaya a la consola de Amazon DynamoDB.

  2. Seleccione Tablas y, a continuación, elija. <stack-name>-cluster-settings

  3. En Explorar los elementos de la tabla, expanda Filtros e introduzca el siguiente filtro:

    • Nombre del atributo: clave

    • Condición: igual a

    • Valor - shared-storage.<file-system-name>.fsx_netapp_ontap.svm.smb_dns

  4. Selecciona el artículo devuelto y, a continuación, Acciones y Editar artículo.

  5. Actualice el valor con el nombre DNS SMB que copió anteriormente.

  6. Elija Save and close.

Además, asegúrese de que el grupo de seguridad asociado al sistema de archivos permita el tráfico tal y como se recomienda en el Control de acceso al sistema de archivos con Amazon VPC. Los nuevos hosts de VDI que utilicen el sistema de archivos ahora podrán montar el SVM y el sistema de archivos unidos al dominio.

Como alternativa, puede incorporar un sistema de archivos existente que ya esté unido a su dominio mediante la función RES Onboard File System. En Administración del entorno, seleccione File Systems, Onboard File System.

........................

Snapshots

........................

Una instantánea tiene el estado Fallido

En la página de instantáneas de RES, si una instantánea tiene el estado Fallido, se puede determinar la causa yendo al grupo de CloudWatch registros de Amazon del administrador de clústeres correspondiente al momento en que se produjo el error.

[2023-11-19 03:39:20,208] [INFO] [snapshots-service] creating snapshot in S3 Bucket: asdf at path s31 [2023-11-19 03:39:20,381] [ERROR] [snapshots-service] An error occurred while creating the snapshot: An error occurred (TableNotFoundException) when calling the UpdateContinuousBackups operation: Table not found: res-demo.accounts.sequence-config

........................

No se puede aplicar una instantánea y los registros indican que las tablas no se pudieron importar.

Si una instantánea tomada de un entorno anterior no se aplica a un entorno nuevo, busque en los CloudWatch registros el administrador de clústeres para identificar el problema. Si el problema menciona que la nube de tablas requerida no se puede importar, compruebe que la instantánea esté en un estado válido.

  1. Descargue el archivo metadata.json y compruebe que el estado de ExportStatus las distintas tablas esté completado. Asegúrese de que las distintas tablas tengan el ExportManifest campo establecido. Si no encuentra configurados los campos anteriores, la instantánea se encuentra en un estado no válido y no se puede utilizar con la funcionalidad de aplicación de instantáneas.

  2. Tras iniciar la creación de una instantánea, asegúrese de que el estado de la instantánea pase a ser COMPLETADA en RES. El proceso de creación de la instantánea tarda entre 5 y 10 minutos. Vuelva a cargar o vuelva a visitar la página de administración de instantáneas para asegurarse de que la instantánea se creó correctamente. Esto garantizará que la instantánea creada esté en un estado válido.

........................

Infraestructura

........................

Grupos objetivo del balanceador de carga sin instancias en buen estado

Si aparecen problemas como mensajes de error del servidor en la interfaz de usuario o si las sesiones de escritorio no se pueden conectar, eso puede indicar un problema en la infraestructura de las instancias de Amazon EC2.

Los métodos para determinar el origen del problema consisten en comprobar primero en la consola de Amazon EC2 cualquier instancia de Amazon EC2 que parezca estar finalizando repetidamente y siendo sustituida por instancias nuevas. Si ese es el caso, comprobar los CloudWatch registros de Amazon puede determinar la causa.

Otro método consiste en comprobar los balanceadores de carga del sistema. Un indicio de que puede haber problemas en el sistema es si algún balanceador de carga, que se encuentra en la consola Amazon EC2, no muestra ninguna instancia registrada en buen estado.

A continuación se muestra un ejemplo de aspecto normal:

panel de control de balanceadores de carga ec2

Si la entrada Healthy es 0, indica que no hay ninguna instancia de Amazon EC2 disponible para procesar las solicitudes.

Si la entrada Unhealthy no es 0, eso indica que es posible que una instancia de Amazon EC2 esté circulando. Esto puede deberse a que el software de las aplicaciones instaladas no pasa las comprobaciones de estado.

Si las entradas en buen estado y en mal estado son 0, eso indica un posible error de configuración de la red. Por ejemplo, es posible que las subredes públicas y privadas no tengan las AZ correspondientes. Si se produce esta condición, es posible que haya texto adicional en la consola que indique que existe un estado de red.

........................

Lanzamiento de escritorios virtuales

........................

La cuenta de inicio de sesión de Windows Virtual Desktop está configurada como Administrador

Si puede iniciar un escritorio virtual de Windows en el portal web de RES, pero su cuenta de inicio de sesión está configurada como Administrador cuando se conecta, es posible que su VDI de Windows no se haya unido correctamente a Active Directory.

Para verificarlo, conéctese a la instancia de Windows desde la consola Amazon EC2 y compruebe los registros de arranque que aparecen en la sección. C:\Users\Administrator\RES\Bootstrap\virtual-desktop-host-windows\ Un mensaje de error que comienza con [Join AD] authorization failed: indica que la instancia no se ha podido unir al AD. Comprueba que el administrador de clústeres inicie sesión CloudWatch con el nombre del grupo de registros /<res-environment-name>/cluster-manager para obtener más información sobre el error:

  • Insufficient permissions to modify computer account

  • Invalid Credentials

    • Las credenciales de tu cuenta de servicio en AD han caducado o has proporcionado credenciales incorrectas. Para comprobar o actualizar las credenciales de su cuenta de servicio, acceda al secreto que almacena la contraseña en la consola de Secrets Manager. Asegúrese de que el ARN de este secreto sea correcto en el campo ARN secreto de las credenciales de la cuenta de servicio, en el dominio de Active Directory, en la página de administración de identidades de su entorno RES.

........................

El certificado caduca cuando se utiliza un recurso externo CertificateRenewalNode

Si implementó la receta de recursos externos y aparece un error al conectarse a los "The connection has been closed. Transport error" VDI de Linux, la causa más probable es que el certificado haya caducado y no se actualice automáticamente debido a una ruta de instalación de pip incorrecta en Linux. Los certificados caducan a los 3 meses.

El grupo de CloudWatch registros de Amazon <envname>/vdc/dcv-connection-gateway puede registrar el error de intento de conexión con mensajes similares a los siguientes:

| 2024-07-29T21:46:02.651Z | Jul 29 21:46:01.702 WARN HTTP:Splicer Connection{id=341 client_address="x.x.x.x:50682"}: Error in connection task: TLS handshake error: received fatal alert: CertificateUnknown | redacted:/res-demo/vdc/dcv-connection-gateway | dcv-connection-gateway_10.3.146.195 | | 2024-07-29T21:46:02.651Z | Jul 29 21:46:01.702 WARN HTTP:Splicer Connection{id=341 client_address="x.x.x.x:50682"}: Certificate error: AlertReceived(CertificateUnknown) | redacted:/res-demo/vdc/dcv-connection-gateway | dcv-connection-gateway_10.3.146.195 |
Para resolver el problema:
  1. En su AWS cuenta, vaya a EC2. Si hay una instancia con nombre*-CertificateRenewalNode-*, finalice la instancia.

  2. Ve a Lambda. Debería ver una función Lambda llamada*-CertificateRenewalLambda-*. Compruebe en el código Lambda algo parecido a lo siguiente:

    export HOME=/tmp/home mkdir -p $HOME cd /tmp wget https://bootstrap.pypa.io/pip/3.7/get-pip.py python3 ./get-pip.py pip3 install boto3 eval $(python3 -c "from botocore.credentials import InstanceMetadataProvider, InstanceMetadataFetcher; provider = InstanceMetadataProvider(iam_role_fetcher=InstanceMetadataFetcher(timeout=1000, num_attempts=2)); c = provider.load().get_frozen_credentials(); print(f'export AWS_ACCESS_KEY_ID={c.access_key}'); print(f'export AWS_SECRET_ACCESS_KEY={c.secret_key}'); print(f'export AWS_SESSION_TOKEN={c.token}')") mkdir certificates cd certificates git clone https://github.com/Neilpang/acme.sh.git cd acme.sh
  3. Encuentra la plantilla de pila de certificados de recursos externos más reciente aquí. Busque el código Lambda en la plantilla: Recursos → → Propiedades CertificateRenewalLambda→ Código. Puede encontrar algo parecido a lo siguiente:

    sudo yum install -y wget export HOME=/tmp/home mkdir -p $HOME cd /tmp wget https://bootstrap.pypa.io/pip/3.7/get-pip.py mkdir -p pip python3 ./get-pip.py --target $PWD/pip $PWD/pip/bin/pip3 install boto3 eval $(python3 -c "from botocore.credentials import InstanceMetadataProvider, InstanceMetadataFetcher; provider = InstanceMetadataProvider(iam_role_fetcher=InstanceMetadataFetcher(timeout=1000, num_attempts=2)); c = provider.load().get_frozen_credentials(); print(f'export AWS_ACCESS_KEY_ID={c.access_key}'); print(f'export AWS_SECRET_ACCESS_KEY={c.secret_key}'); print(f'export AWS_SESSION_TOKEN={c.token}')") mkdir certificates cd certificates VERSION=3.1.0 wget https://github.com/acmesh-official/acme.sh/archive/refs/tags/$VERSION.tar.gz -O acme-$VERSION.tar.gz tar -xvf acme-$VERSION.tar.gz cd acme.sh-$VERSION
  4. Sustituya la sección del paso 2 de la función *-CertificateRenewalLambda-* Lambda por el código del paso 3. Seleccione Implementar y espere a que el cambio de código surta efecto.

  5. Para activar manualmente la función Lambda, vaya a la pestaña Prueba y, a continuación, seleccione Probar. No se requiere ninguna entrada adicional. Esto debería crear una instancia EC2 de certificado que actualice el certificado y PrivateKey los secretos en Secret Manager.

  6. Finalice la instancia dcv-gateway existente <env-name>-vdc-gateway y espere a que el grupo de autoescalado implemente automáticamente una nueva.

........................

Un escritorio virtual que funcionaba anteriormente ya no puede conectarse correctamente

Si se cierra una conexión de escritorio o ya no puede conectarse a ella, el problema puede deberse a un error en la instancia Amazon EC2 subyacente o a que la instancia Amazon EC2 se haya cerrado o detenido fuera del entorno RES. Es posible que el estado de la interfaz de usuario del administrador siga mostrando un estado preparado, pero los intentos de conectarse a ella fallan.

Se debe usar la consola Amazon EC2 para determinar si la instancia se ha cerrado o detenido. Si está detenida, intente iniciarla de nuevo. Si el estado finaliza, será necesario crear otro escritorio. Todos los datos almacenados en el directorio principal del usuario deberían seguir estando disponibles cuando se inicie la nueva instancia.

Si la instancia que falló anteriormente sigue apareciendo en la interfaz de usuario del administrador, es posible que sea necesario cerrarla mediante la interfaz de usuario del administrador.

........................

Solo puedo iniciar 5 escritorios virtuales

El límite predeterminado de la cantidad de escritorios virtuales que un usuario puede lanzar es de 5. Un administrador puede cambiarlo mediante la interfaz de usuario de administración de la siguiente manera:

  • Ve a la configuración del escritorio.

  • Seleccione la pestaña General.

  • Seleccione el icono de edición situado a la derecha de las sesiones permitidas por defecto por usuario y proyecto y cambie el valor por el nuevo valor deseado.

  • Seleccione Enviar.

  • Actualice la página para confirmar que se ha establecido la nueva configuración.

........................

Los intentos de conexión a Windows desde un escritorio fallan y muestran el mensaje «Se ha cerrado la conexión». «Error de transporte»

Si se produce un error en la conexión de escritorio de Windows y aparece el error de interfaz de usuario «Se ha cerrado la conexión». Error de transporte», la causa puede deberse a un problema en el software del servidor DCV relacionado con la creación del certificado en la instancia de Windows.

El grupo de CloudWatch registros de Amazon <envname>/vdc/dcv-connection-gateway puede registrar el error de intento de conexión con mensajes similares a los siguientes:

Nov 24 20:24:27.631 DEBUG HTTP:Splicer Connection{id=9}: Websocket{session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd"}: Resolver lookup{client_ip=Some(52.94.36.19) session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd" protocol_type=WebSocket extension_data=None}:NoStrictCertVerification: Additional stack certificate (0): [s/n: 0E9E9C4DE7194B37687DC4D2C0F5E94AF0DD57E] Nov 24 20:25:15.384 INFO HTTP:Splicer Connection{id=21}:Websocket{ session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: Connection initiated error: unreachable, server io error Custom { kind: InvalidData, error: General("Invalid certificate: certificate has expired (code: 10)") } Nov 24 20:25:15.384 WARN HTTP:Splicer Connection{id=21}: Websocket{session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: Error in websocket connection: Server unreachable: Server error: IO error: unexpected error: Invalid certificate: certificate has expired (code: 10)

Si esto ocurre, una solución podría ser utilizar el administrador de sesiones SSM para abrir una conexión a la instancia de Windows y eliminar los dos archivos siguientes relacionados con el certificado:

PS C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv> dir Directory: C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 8/4/2022 12:59 PM 1704 dcv.key -a---- 8/4/2022 12:59 PM 1265 dcv.pem

Los archivos deberían volver a crearse automáticamente y es posible que un intento de conexión posterior se realice correctamente.

Si este método resuelve el problema y si los nuevos lanzamientos de escritorios Windows producen el mismo error, utilice la función Crear pila de software para crear una nueva pila de software de Windows de la instancia fija con los archivos de certificado regenerados. Esto puede generar una pila de software de Windows que se puede utilizar para iniciar y establecer conexiones satisfactorias.

........................

Los VDI están atascados en estado de aprovisionamiento

Si el lanzamiento de un escritorio permanece en el estado de aprovisionamiento en la interfaz de usuario del administrador, puede deberse a varios motivos.

Para determinar la causa, examina los archivos de registro de la instancia de escritorio y busca errores que puedan estar causando el problema. Este documento contiene una lista de archivos de registro y grupos de CloudWatch registros de Amazon que contienen información relevante en la sección denominada Fuentes útiles de información de registros y eventos.

Las posibles causas de este problema son las siguientes.

  • El identificador de AMI utilizado se registró como una pila de software, pero RES no lo admite.

    No se pudo completar el script de aprovisionamiento de bootstrap porque la Amazon Machine Image (AMI) no tiene la configuración o las herramientas necesarias esperadas. Los archivos de registro de la instancia, como /root/bootstrap/logs/ los de una instancia de Linux, pueden contener información útil al respecto. Es posible que los identificadores de AMI AWS extraídos del Marketplace no funcionen para las instancias de escritorio de RES. Es necesario probarlas para confirmar si son compatibles.

  • Los scripts de datos de usuario no se ejecutan cuando la instancia de escritorio virtual de Windows se lanza desde una AMI personalizada.

    De forma predeterminada, los scripts de datos de usuario se ejecutan una vez cuando se lanza una instancia de Amazon EC2. Si crea una AMI a partir de una instancia de escritorio virtual existente, registra una pila de software con la AMI e intenta lanzar otro escritorio virtual con esta pila de software, los scripts de datos de usuario no se ejecutarán en la nueva instancia de escritorio virtual.

    Para solucionar el problema, abra una ventana de PowerShell comandos como administrador en la instancia de escritorio virtual original que utilizó para crear la AMI y ejecute el siguiente comando:

    C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts\InitializeInstance.ps1 –Schedule

    A continuación, cree una AMI nueva a partir de la instancia. Puede utilizar la nueva AMI para registrar pilas de software y lanzar nuevos escritorios virtuales posteriormente. Tenga en cuenta que también puede ejecutar el mismo comando en la instancia que permanece en el estado de aprovisionamiento y reiniciar la instancia para corregir la sesión del escritorio virtual, pero volverá a tener el mismo problema al lanzar otro escritorio virtual desde la AMI mal configurada.

........................

Los VDI entran en estado de error después de iniciar

Posible problema 1: el sistema de archivos principal tiene un directorio para el usuario con diferentes permisos POSIX.

Este podría ser el problema al que te enfrentas si se dan las siguientes situaciones:

  1. La versión RES implementada es la 2024.01 o superior.

  2. Durante el despliegue de la pila RES, el atributo para EnableLdapIDMapping se estableció en. True

  3. El sistema de archivos principal especificado durante el despliegue de la pila RES se usó en una versión anterior a la RES 2024.01 o se usó en un entorno anterior con el valor establecido en. EnableLdapIDMapping False

Pasos de resolución: elimine los directorios de usuarios del sistema de archivos.

  1. Envíe un SMS al host del administrador del clúster.

  2. cd /home.

  3. ls- debería enumerar los directorios con nombres de directorio que coincidan con los nombres de usuario, comoadmin1,.. y así sucesivamente. admin2

  4. Elimine los directorios,. sudo rm -r 'dir_name' No elimine los directorios ssm-user y ec2-user.

  5. Si los usuarios ya están sincronizados con el nuevo entorno, elimine los del usuario de la tabla DDB del usuario (excepto clusteradmin).

  6. Inicie la sincronización de AD: sudo /opt/idea/python/3.9.16/bin/resctl ldap sync-from-ad ejecútela en el administrador de clústeres Amazon EC2.

  7. Reinicie la instancia de VDI en el Error estado desde la página web de RES. Valide que la VDI pase al Ready estado en unos 20 minutos.

........................

La sesión de VDI pasa a una pantalla en blanco después de iniciar sesión

Cuando una sesión de VDI con el tipo de sesión de consola está en blanco y no responde después de iniciar sesión, significa que el servidor X no funciona. Es probable que esto se deba a un problema del sistema operativo en el que DCV intenta transmitir al escritorio, pero no hay ninguno para transmitir. La causa más probable de esto es un problema con la configuración de Xorg. Se puede ejecutar el siguiente comando para depender menos de la configuración predeterminada de Xorg.

Linux basado en Debian:

dpkg-divert --package nice-xdcv --divert /usr/bin/Xorg.orig --rename /usr/bin/Xorg ln -sf /usr/bin/Xdcv-console /usr/bin/Xorg

Linux basado en Red Hat:

rpm -q --whatprovides /usr/bin/Xorg && \ cp /usr/bin/Xorg /usr/bin/Xorg.orig && \ ln -sf /usr/bin/Xdcv-console /usr/bin/Xorg

........................

Componente de escritorio virtual

........................

La instancia de Amazon EC2 muestra repetidamente «Terminado» en la consola

Si una instancia de infraestructura aparece repetidamente como terminada en la consola Amazon EC2, la causa puede estar relacionada con su configuración y depender del tipo de instancia de infraestructura. Los siguientes son métodos para determinar la causa.

Si la instancia vdc-controller muestra estados de terminación repetidos en la consola Amazon EC2, esto puede deberse a una etiqueta secreta incorrecta. Los secretos que mantiene RES tienen etiquetas que se utilizan como parte de las políticas de control de acceso de IAM asociadas a la infraestructura de las instancias Amazon EC2. Si el controlador vdc está circulando y aparece el siguiente error en el grupo de CloudWatch registros, es posible que el secreto no se haya etiquetado correctamente. Tenga en cuenta que el secreto debe estar etiquetado con lo siguiente:

{ "res:EnvironmentName": "<envname>" # e.g. "res-demo" "res:ModuleName": "virtual-desktop-controller" }

El mensaje de CloudWatch registro de Amazon correspondiente a este error tendrá un aspecto similar al siguiente:

An error occurred (AccessDeniedException) when calling the GetSecretValue operation: User: arn:aws:sts::160215750999:assumed-role/<envname>-vdc-gateway-role-us-east-1/i-043f76a2677f373d0 is not authorized to perform: secretsmanager:GetSecretValue on resource: arn:aws:secretsmanager:us-east-1:160215750999:secret:Certificate-res-bi-Certs-5W9SPUXF08IB-F1sNRv because no identity-based policy allows the secretsmanager:GetSecretValue action

Compruebe las etiquetas de la instancia Amazon EC2 y confirme que coinciden con la lista anterior.

........................

La instancia de vdc-controller está en ciclo debido a que no se pudo unir al módulo AD/eVDI muestra un error en la comprobación de estado de la API

Si el módulo eVDI no pasa la comprobación de estado, mostrará lo siguiente en la sección Estado del entorno.

un ejemplo de los módulos del entorno y del panel de estado

En este caso, la ruta general para la depuración consiste en consultar los registros del administrador del clúster CloudWatch. (Busque el nombre del grupo de registros). <env-name>/cluster-manager

Posibles problemas:

  • Si los registros contienen el textoInsufficient permissions, asegúrese de que el ServiceAccount nombre de usuario indicado al crear la pila de resoluciones esté escrito correctamente.

    Ejemplo de línea de registro:

    Insufficient permissions to modify computer account: CN=IDEA-586BD25043,OU=Computers,OU=RES,OU=CORP,DC=corp,DC=res,DC=com: 000020E7: AtrErr: DSID-03153943, #1: 0: 000020E7: DSID-03153943, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90008 (userAccountControl):len 4 >> 432 ms - request will be retried in 30 seconds
    • Puede acceder al ServiceAccount nombre de usuario proporcionado durante la implementación de RES desde la SecretsManager consola. Busca el secreto correspondiente en el administrador de secretos y selecciona Recuperar texto sin formato. Si el nombre de usuario es incorrecto, selecciona Editar para actualizar el valor secreto. Finalice las instancias actuales de cluster-manager y vdc-controller. Las nuevas instancias aparecerán en un estado estable.

    • El nombre de usuario debe ser ServiceAccount «» si utiliza los recursos creados por la pila de recursos externos proporcionada. Si el DisableADJoin parámetro se estableció en False durante la implementación de RES, asegúrese de que el usuario ServiceAccount «» tenga permisos para crear objetos informáticos en el AD.

  • Si el nombre de usuario utilizado es correcto, pero los registros contienen el textoInvalid credentials, es posible que la contraseña que ingresó sea incorrecta o haya caducado.

    Ejemplo de línea de registro:

    {'msgtype': 97, 'msgid': 1, 'result': 49, 'desc': 'Invalid credentials', 'ctrls': [], 'info': '80090308: LdapErr: DSID-0C090569, comment: AcceptSecurityContext error, data 532, v4563'}
    • Puede leer la contraseña que ingresó durante la creación del entorno accediendo al secreto que almacena la contraseña en la consola de Secrets Manager. Seleccione el secreto (por ejemplo<env_name>directoryserviceServiceAccountPassword) y elija Recuperar texto sin formato.

    • Si la contraseña del secreto es incorrecta, selecciona Editar para actualizar su valor en el secreto. Finalice las instancias actuales de cluster-manager y vdc-controller. Las nuevas instancias usarán la contraseña actualizada y aparecerán en un estado estable.

    • Si la contraseña es correcta, es posible que haya caducado en el Active Directory conectado. Primero tendrá que restablecer la contraseña en Active Directory y, a continuación, actualizar el secreto. Puede restablecer la contraseña del usuario en Active Directory desde la consola de Directory Service:

      1. Elija el ID de directorio adecuado

      2. Seleccione Acciones, restablezca la contraseña del usuario y, a continuación, rellene el formulario con el nombre de usuario (por ejemplo, "ServiceAccount«) y la nueva contraseña.

      3. Si la contraseña recién establecida es diferente de la contraseña anterior, actualice la contraseña en el secreto de Secret Manager correspondiente (por ejemplo,<env_name>directoryserviceServiceAccountPassword.

      4. Finalice las instancias actuales de cluster-manager y vdc-controller. Las nuevas instancias aparecerán en un estado estable.

........................

El proyecto no aparece en el menú desplegable al editar la pila de software para añadirla

Este problema puede estar relacionado con el siguiente problema relacionado con la sincronización de la cuenta de usuario con AD. Si aparece este problema, busca el error <user-home-init> account not available yet. waiting for user to be synced "" en el grupo de registros de CloudWatch Amazon, administrador del clúster, para determinar si la causa es la misma o está relacionada.

........................

El registro de CloudWatch Amazon de cluster-manager muestra < «la cuenta > user-home-init aún no está disponible. Esperando que se sincronice el usuario» (donde la cuenta es un nombre de usuario)

El suscriptor de SQS está ocupado y atrapado en un bucle infinito porque no puede acceder a la cuenta de usuario. Este código se activa cuando se intenta crear un sistema de archivos doméstico para un usuario durante la sincronización del usuario.

La razón por la que no puede acceder a la cuenta de usuario puede deberse a que RES no se configuró correctamente para el AD en uso. Un ejemplo podría ser que el ServiceAccountCredentialsSecretArn parámetro utilizado en la creación del BI/RES entorno no fuera el valor correcto.

........................

Al intentar iniciar sesión en el escritorio de Windows, aparece el mensaje «Tu cuenta ha sido deshabilitada». Consulte a su administrador»

pantalla de error de cuenta deshabilitada

Si el usuario no puede volver a iniciar sesión en una pantalla bloqueada, esto puede indicar que el usuario se ha desactivado en el AD configurado para RES tras haber iniciado sesión correctamente mediante el inicio de sesión único.

El inicio de sesión único debería fallar si la cuenta de usuario se ha desactivado en AD.

........................

Problemas de opciones de DHCP con external/customer la configuración de AD

Si encuentra un error relacionado "The connection has been closed. Transport error" con los escritorios virtuales de Windows al usar RES con su propio Active Directory, consulte el registro de CloudWatch Amazon dcv-connection-gateway para ver algo similar a lo siguiente:

Oct 28 00:12:30.626 INFO HTTP:Splicer Connection{id=263}: Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Connection initiated error: unreachable, server io error Custom { kind: Uncategorized, error: "failed to lookup address information: Name or service not known" } Oct 28 00:12:30.626 WARN HTTP:Splicer Connection{id=263}: Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Error in websocket connection: Server unreachable: Server error: IO error: failed to lookup address information: Name or service not known Oct 28 00:12:30.627 DEBUG HTTP:Splicer Connection{id=263}: ConnectionGuard dropped

Si utiliza un controlador de dominio de AD para las opciones de DHCP de su propia VPC, debe:

  1. Agregue AmazonProvided DNS a las dos IP del controlador de dominio.

  2. Establezca el nombre de dominio en ec2.internal.

Aquí se muestra un ejemplo. Sin esta configuración, el escritorio de Windows generará un error de transporte, ya que RES/DCV busca el nombre de host ip-10-0-x-xx.ec2.internal.

ejemplo de nombres de dominio y servidores de nombres de dominio

........................

Error de Firefox MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Cuando utilizas el navegador web Firefox, es posible que aparezca el mensaje de error MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING cuando intentes conectarte a un escritorio virtual.

La causa es que el servidor web RES está configurado con TLS + Stapling activado, pero no responde con la validación de grapado (consulte. https://support.mozilla.org/en-US/questions/1372483

Puede solucionar este problema siguiendo las instrucciones que se encuentran en:. https://really-simple-ssl.com/mozilla_pkix_error_required_tls_feature_missing

........................

Eliminación de Env

........................

La pila res-xxx-cluster tiene el estado «DELETE_FAILED» y no se puede eliminar manualmente debido al error «El rol no es válido o no se puede asumir»

Si observa que la pila «res-xxx-cluster» tiene el estado «DELETE_FAILED» y no se puede eliminar manualmente, puede realizar los siguientes pasos para eliminarla.

Si ves la pila en el estado «DELETE_FAILED», primero intenta eliminarla manualmente. Es posible que aparezca un cuadro de diálogo confirmando la opción Eliminar pila. Elija Eliminar.

pantalla emergente de confirmación de eliminación de pila

A veces, incluso si eliminas todos los recursos de la pila necesarios, es posible que sigas viendo el mensaje para seleccionar los recursos que deseas conservar. En ese caso, selecciona todos los recursos como «recursos a conservar» y selecciona Eliminar.

Es posible que veas un error parecido a Role: arn:aws:iam::... is Invalid or cannot be assumed

CloudFormation apila la ventana que muestra un error relacionado con un rol no válido

Esto significa que la función necesaria para eliminar la pila se eliminó primero antes que la pila. Para evitar esto, copia el nombre del rol. Vaya a la consola de IAM y cree un rol con ese nombre utilizando los parámetros que se muestran aquí, que son:

  • En el tipo de entidad de confianza, elija AWSservicio.

  • En Caso de uso, Use cases for otherAWS services seleccioneCloudFormation.

La ventana del paso 1 de creación de roles de IAM le permite seleccionar la entidad de confianza

Elija Siguiente. Asegúrese de conceder los permisos «» y AWSCloudFormationFullAccess «AdministratorAccess» al rol. Tu página de reseñas debería tener este aspecto:

esta pantalla de IAM le permite asignar un nombre a un rol, revisarlo y crearlo

A continuación, vuelva a la CloudFormation consola y elimine la pila. Ahora deberías poder eliminarlo desde que creaste el rol. Por último, vaya a la consola de IAM y elimine el rol que creó.

........................

Recopilación de registros

Iniciar sesión en una instancia EC2 desde la consola EC2

  • Siga estas instrucciones para iniciar sesión en su instancia EC2 de Linux.

  • Siga estas instrucciones para iniciar sesión en su instancia EC2 de Windows. A continuación, abra Windows PowerShell para ejecutar cualquier comando.

Recopilación de registros del host de Infrastructure

  1. Cluster-manager: Obtenga los registros para el administrador de clústeres de los siguientes lugares y adjúntelos al ticket.

    1. Todos los registros del grupo de CloudWatch registros<env-name>/cluster-manager.

    2. Todos los registros del /root/bootstrap/logs directorio de la instancia <env-name>-cluster-manager EC2. Siga las instrucciones que aparecen al principio de esta sección en la sección «Iniciar sesión en una instancia EC2 desde la consola EC2» para iniciar sesión en la instancia.

  2. Vdc-controller: Obtenga los registros del controlador vdc de los siguientes lugares y adjúntelos al ticket.

    1. Todos los registros del grupo de registros. CloudWatch <env-name>/vdc-controller

    2. Todos los registros del /root/bootstrap/logs directorio de la instancia <env-name>-vdc-controller EC2. Siga las instrucciones que aparecen al principio de esta sección en la sección «Iniciar sesión en una instancia EC2 desde la consola EC2» para iniciar sesión en la instancia.

Una de las maneras de obtener los registros fácilmente es seguir las instrucciones de la sección. Descarga de registros de instancias EC2 de Linux El nombre del módulo sería el nombre de la instancia.

Recopilación de registros de VDI

Identifique la instancia de Amazon EC2 correspondiente

Si un usuario lanzó una VDI con un nombre de sesiónVDI1, sería el nombre correspondiente de la instancia en la consola Amazon EC2. <env-name>-VDI1-<user name>

Recopile los registros de VDI de Linux

Inicie sesión en la instancia de Amazon EC2 correspondiente desde la consola de Amazon EC2 siguiendo las instrucciones que aparecen en «Iniciar sesión en una instancia EC2 desde la consola EC2» al principio de esta sección. Obtenga todos los registros de los /var/log/dcv/ directorios /root/bootstrap/logs y de la instancia Amazon EC2 de VDI.

Una de las formas de obtener los registros sería subirlos a s3 y, a continuación, descargarlos desde allí. Para ello, puedes seguir estos pasos para obtener todos los registros de un directorio y luego subirlos:

  1. Siga estos pasos para copiar los registros dcv del /root/bootstrap/logs directorio:

    sudo su - cd /root/bootstrap mkdir -p logs/dcv_logs cp -r /var/log/dcv/* logs/dcv_logs/
  2. Ahora, siga los pasos que se indican en la siguiente sección Descarga de registros de VDI para descargar los registros.

Recopile los registros de VDI de Windows

Inicie sesión en la instancia de Amazon EC2 correspondiente desde la consola de Amazon EC2 siguiendo las instrucciones que aparecen en «Iniciar sesión en una instancia EC2 desde la consola EC2» al principio de esta sección. Obtenga todos los registros del $env:SystemDrive\Users\Administrator\RES\Bootstrap\Log\ directorio de la instancia EC2 de VDI.

Una de las formas de obtener los registros sería cargarlos en S3 y, a continuación, descargarlos desde allí. Para hacerlo, siga los pasos que se enumeran en la siguiente sección:Descarga de registros de VDI.

........................

Descarga de registros de VDI

  1. Actualice la función de IAM de la instancia EC2 de VDI para permitir el acceso a S3.

  2. Vaya a la consola EC2 y seleccione su instancia de VDI.

  3. Seleccione la función de IAM que utiliza.

  4. En la sección Políticas de permisos del menú desplegable Añadir permisos, elija Adjuntar políticas y, a continuación, seleccione la AmazonS3FullAccesspolítica.

  5. Selecciona Añadir permisos para adjuntar esa política.

  6. Después, siga los pasos que se indican a continuación en función del tipo de VDI para descargar los registros. El nombre del módulo sería el nombre de la instancia.

    1. Descarga de registros de instancias EC2 de Linuxpara Linux.

    2. Descarga de registros de instancias EC2 de Windowspara Windows.

  7. Por último, edite el rol para eliminar la AmazonS3FullAccess política.

nota

Todos los VDI utilizan la misma función de IAM, que es <env-name>-vdc-host-role-<region>

........................

Descarga de registros de instancias EC2 de Linux

Inicie sesión en la instancia EC2 desde la que desea descargar los registros y ejecute los siguientes comandos para cargar todos los registros en un bucket de s3:

sudo su - ENV_NAME=<environment_name> REGION=<region> ACCOUNT=<aws_account_number> MODULE=<module_name> cd /root/bootstrap tar -czvf ${MODULE}_logs.tar.gz logs/ --overwrite aws s3 cp ${MODULE}_logs.tar.gz s3://${ENV_NAME}-cluster-${REGION}-${ACCOUNT}/${MODULE}_logs.tar.gz

Después, vaya a la consola S3, seleccione el bucket con su nombre <environment_name>-cluster-<region>-<aws_account_number> y descargue el <module_name>_logs.tar.gz archivo cargado anteriormente.

........................

Descarga de registros de instancias EC2 de Windows

Inicie sesión en la instancia EC2 desde la que desea descargar los registros y ejecute los siguientes comandos para cargar todos los registros en un bucket de S3:

$ENV_NAME="<environment_name>" $REGION="<region>" $ACCOUNT="<aws_account_number>" $MODULE="<module_name>" $logDirPath = Join-Path -Path $env:SystemDrive -ChildPath "Users\Administrator\RES\Bootstrap\Log" $zipFilePath = Join-Path -Path $env:TEMP -ChildPath "logs.zip" Remove-Item $zipFilePath Compress-Archive -Path $logDirPath -DestinationPath $zipFilePath $bucketName = "${ENV_NAME}-cluster-${REGION}-${ACCOUNT}" $keyName = "${MODULE}_logs.zip" Write-S3Object -BucketName $bucketName -Key $keyName -File $zipFilePath

Después, vaya a la consola S3, seleccione el bucket con su nombre <environment_name>-cluster-<region>-<aws_account_number> y descargue el <module_name>_logs.zip archivo cargado anteriormente.

........................

Recopilación de registros de ECS para detectar el WaitCondition error

  1. Ve a la pila implementada y selecciona la pestaña Recursos.

  2. Expanda Implementar ResearchAndEngineeringStudioInstaladorTareas CreateTaskDefCreateContainer→ → LogGroupy seleccione el grupo de registros para abrir CloudWatch los registros.

  3. Obtenga el registro más reciente de este grupo de registros.

........................

Fallo al eliminar la interfaz de red

Si observa un error de detachvpcfromlambdacustomresource eliminación en la sección Eventos de la eliminación de la pila de finalizadores de RES, lo más probable es que el servicio Lambda no haya eliminado o no haya eliminado a tiempo las interfaces de red conectadas a RES Lambdas.

Puede eliminar manualmente estas interfaces de red obsoletas accediendo a la página Interfaces de red de la consola Amazon EC2 y filtrándolas según las descripciones que contengan. AWS Lambda VPC ENI-{RES-Environment-Name} Debería haber hasta 14 interfaces de red, aunque podrían ser menos en función del número que Lambda haya podido eliminar correctamente. Elimine manualmente estas interfaces de red y, a continuación, reinicie la eliminación de la pila RES.

Entorno de demostración

........................

Error de inicio de sesión en el entorno de demostración al gestionar la solicitud de autenticación al proveedor de identidad

Problema

Si intentas iniciar sesión y aparece un «error inesperado al tramitar la solicitud de autenticación al proveedor de identidad», es posible que tus contraseñas estén caducadas. Puede ser la contraseña del usuario con el que intenta iniciar sesión o su cuenta de Active Directory Service.

Mitigación

  1. Restablezca las contraseñas de usuario y cuenta de servicio en la consola de servicio de Directory.

  2. Actualice las contraseñas de las cuentas de servicio en Secrets Manager para que coincidan con la nueva contraseña que ingresó anteriormente:

    • para la pila Keycloak: -... PasswordSecret - ResExternal -... - DirectoryService-... con descripción: Contraseña para Microsoft Active Directory

    • para RES: res- ServiceAccountPassword -... con descripción: contraseña de la cuenta de Active Directory Service

  3. Vaya a la consola EC2 y finalice la instancia del administrador de clústeres. Las reglas de Auto Scaling activarán automáticamente el despliegue de una nueva instancia.

........................

El keycloak de la pila de demostración no funciona

Problema

Si tu servidor de keycloak se bloqueó y, al reiniciarlo, la IP de la instancia cambió, es posible que Keycloak se rompa: la página de inicio de sesión de tu portal RES no se carga o queda atascada en un estado de carga que nunca se resuelve.

Mitigación

Tendrá que eliminar la infraestructura existente y volver a implementar la pila de Keycloak para restaurar Keycloak a un estado correcto. Siga estos pasos:

  1. Ve a Cloudformation. Ahí deberías ver dos pilas relacionadas con Keycloak:

    • <env-name>-RESSsoKeycloak-<random characters>(Pila 1)

      <env-name>-RESSsoKeycloak-<random characters>-RESSsoKeycloak-*(Pila 2)

  2. Eliminar Stack1. Si se le solicita que elimine la pila anidada, seleccione para eliminar la pila anidada.

    Asegúrese de que la pila se haya eliminado por completo.

  3. Descarga la plantilla de pila Keycloak de RES SSO aquí.

  4. Implemente esta pila manualmente con exactamente los mismos valores de parámetros que la pila eliminada. Para desplegarla desde la CloudFormation consola, vaya a Crear pilaCon nuevos recursos (estándar)Elija una plantilla existenteCargue un archivo de plantilla. Rellene los parámetros necesarios utilizando las mismas entradas que en la pila eliminada. Puedes encontrar estas entradas en la pila eliminada cambiando el filtro de la CloudFormation consola y accediendo a la pestaña Parámetros. Asegúrese de que el nombre del entorno, el key pair y otros parámetros coincidan con los parámetros de la pila original.

  5. Una vez implementada la pila, el entorno estará listo para volver a usarse. Puede encontrarlos ApplicationUrl en la pestaña Resultados de la pila implementada.

........................

Problemas con Active Directory

Mi VDI está atascada en el estado de aprovisionamiento durante mucho tiempo o no puedo iniciar sesión en mi VDI como usuario de AD una vez que la VDI está lista

Compruebe primero los registros de instalación y configuración de la VDI (/root/bootstrap/logs/y los /opt/idea/app/logs/ directorios de Linux o C:\Users\Administrator\RES\Bootstrap\Log\ los C:\Program Files\RES\app\logs\ directorios de Windows) para ver si hay algún error de instalación o configuración.

Si encuentra un mensaje de error que indica que la instancia no se ha podido unir a Active Directory, normalmente se debe a que el administrador de clústeres no puede preestablecer la cuenta de equipo de la instancia en su AD. Comprueba los registros del administrador de clústeres del grupo de /environment-name/cluster-manager CloudWatch registros y filtra los mensajes de error que contengan[preset-computer]. Entre los problemas más frecuentes se incluyen:

  • Las credenciales de la cuenta de servicio de AD no son válidas.

    • Compruebe el secreto de la cuenta de servicio que proporcionó a RES. Asegúrese de que el nombre de usuario y la contraseña se proporcionan como un par clave-valor {username: password} y de que las credenciales son válidas. Tendrá que cerrar la instancia de Cluster Manager cerrando la instancia existente y permitiendo que el grupo de escalado automático lance una nueva automáticamente después de cambiar el secreto de la cuenta de servicio. A continuación, lance nuevos VDI para aplicar el cambio.

  • La cuenta de servicio no tiene permiso para crear cuentas de ordenador en AD.

  • No se puede conectar al servidor LDAP.

    • Asegúrese de que la configuración de AD permita la LDAP/LDAPS conexión dentro de la VPC y de que la opción DHCP de la VPC esté configurada correctamente después de Crear o cambiar un conjunto de opciones de DHCP para AWS Microsoft AD administrado si utiliza AD administrado. AWS

    • Para la conexión LDAPS, el DomainTLSCertificateSecretArn parámetro es obligatorio y debes proporcionar un certificado de CA válido para proteger la conexión. Tendrá que cerrar la instancia de Cluster Manager cerrando la instancia existente y permitiendo que el grupo de autoescalado lance una nueva automáticamente después de cambiar el secreto del certificado TLS. A continuación, lance nuevos VDI para aplicar el cambio.

    • Para probar la conexión entre RES y su AD, ejecute el siguiente comando ldapsearch en la instancia de Cluster Manager (sustituya la unidad organizativa del usuario, el URI de la conexión LDAP y el nombre de usuario y la contraseña de la cuenta de servicio). Este comando debería mostrar todos los usuarios de la unidad organizativa proporcionada si el AD está configurado correctamente para permitir la conexión.

      ldapsearch -x -b "OU=Users,OU=RES,OU=CORP,DC=corp,DC=res,DC=com" -D "ServiceAccount@corp.res.com" -H ldap://corp.res.com -w service-account-password "(objectClass=group)"

Si configuró DisableAdJoin en true al instalar RES, sus VDI de Linux solo se conectarán a Active Directory en lugar de unirse a él a través del servicio SSSD. Conéctese a su instancia de VDI desde la consola EC2 y ejecute el comando id username en ella. Si el comando no puede devolver el UID o el GID del usuario de AD correspondiente, compruebe el estado del servicio SSSD mediante el comando sudo systemctl status sssd de la instancia de VDI y los registros del servicio SSSD del directorio. /var/log/sssd/

Si necesita personalizar las configuraciones de SSSD para conectarse a su AD, puede editar el archivo de configuración de SSSD (/etc/sssd/sssd.conf) manualmente y reiniciar el servicio SSSD mediante el comando sudo systemctl restart sssd en el host infra/VDI (versión 2024.12.01 y versiones anteriores), o proporcionar configuraciones de SSSD adicionales desde el portal web de RES, Sincronización de Active Directory que se aplicarán automáticamente a sus VDI existentes o nuevos (versión 2025.03 y posteriores).

........................

No puedo iniciar sesión en el portal web de RES después de configurar el SSO

Compruebe las tablas environment-name.accounts.users y environment-name.accounts.groups DynamoDB para comprobar si los usuarios y los grupos están sincronizados desde Active Directory. Si las tablas están vacías o faltan los usuarios a los que está iniciando sesión, compruebe los registros de sincronización de AD en el grupo de registros (anteriores a la /environment-name/cluster-manager CloudWatch versión 2024.12) o en el grupo de /environment-name/ad-sync CloudWatch registros (versión 2024.12 y posteriores).

Además de los problemas comunes de configuración de AD que se mencionan en la secciónMi VDI está atascada en el estado de aprovisionamiento durante mucho tiempo o no puedo iniciar sesión en mi VDI como usuario de AD una vez que la VDI está lista, otros errores pueden incluir:

  • La cuenta de servicio no tiene permiso para consultar usuarios y grupos en AD.

  • A los usuarios o grupos de Active Directory les faltan los atributos necesarios, como la dirección de correo electrónico.

    • Actualice los atributos de usuario o grupo en consecuencia para solucionar el problema.

Tras solucionar el problema de sincronización de AD, puedes esperar a la siguiente sincronización programada de AD, que se realiza cada hora, o activarla manualmente siguiendo las instrucciones de las versiones 2024.12 y 2024.12.01 o Cómo iniciar o detener la sincronización manualmente (versión 2025.03 y versiones posteriores) 2025.03 y posteriores. Cómo ejecutar la sincronización manualmente (versiones 2024.12 y 2024.12.01)

........................

El usuario de AD no puede acceder al directorio principal mediante el explorador de archivos incluso después de iniciar correctamente los VDI de Linux

Compruebe si el administrador de clústeres puede ver al usuario de AD ejecutando el comando id username en la instancia del administrador de clústeres. Si el comando no puede devolver el UID o el GID del usuario de AD correspondiente, compruebe los registros del administrador de clústeres incluidos en el /environment-name/cluster-manager CloudWatch grupo de registros y busque cualquier error relacionado con el inicio del servicio SSSD. Si no hay ningún error en los registros del administrador de clústeres, comprueba el estado del servicio SSSD mediante el comando sudo systemctl status sssd de la instancia del administrador de clústeres, así como los registros del servicio SSSD del directorio. /var/log/sssd/

Si el administrador de clústeres puede ver al usuario de AD, ejecute el comando para comprobar el UID/GID en el directorio principal del usuario (/home/username). ls -n /home Compara el UID/ GID del directorio principal del usuario con el UID/ GID devuelto por el comando. id username Si el UID/GID no coincide, significa que el directorio principal del usuario puede crearse fuera de RES o a partir de una implementación anterior de RES. Haga una copia de seguridad de todos los datos importantes del usuario, elimine el directorio principal e inicie una nueva VDI de Linux con el usuario. El directorio principal se volverá a crear con el UID/GID adecuado una vez que la nueva VDI se haya aprovisionado correctamente.

........................

El usuario administrador de AD no puede acceder al host Bastion después de habilitar el acceso SSH

Compruebe si el usuario de AD está visible para el host de Bastion ejecutando el comando id username en la instancia de host de Bastion. Si el comando no puede devolver el UID o el GID del usuario de AD correspondiente, compruebe los registros de Bastion Host en el grupo de registros y busque cualquier error relacionado con el /environment-name/bastion-host CloudWatch inicio del servicio SSSD. Si no hay ningún error en los registros de Bastion Host, comprueba el estado del servicio SSSD con el comando sudo systemctl status sssd de la instancia de Bastion Host y de los registros del servicio SSSD del directorio. /var/log/sssd/

........................

Vea y administre mi Active Directory implementado por la pila de recursos externos de RES

Si su Active Directory AWS administrado se implementa mediante una pila de recursos externos de RES, debería haber una instancia con un nombre que comience por «AdDomainWindowsNode-external-resource-stack-name-WindowsManagementHostdesplegada» en su AWS cuenta que pueda usarse para acceder a Active Directory y administrarlo. Puede iniciar sesión en la instancia mediante Fleet Manager en la consola de EC2 con las siguientes credenciales:

  • nombre de usuario: Admin

  • contraseña: AdminPassword parámetro proporcionado al implementar la pila de recursos externos

Para gestionar el Active Directory AWS gestionado, consulte Gestionar usuarios y grupos con una instancia de Amazon EC2 en la AWSGuía de administración de Directory Service.

........................