View a markdown version of this page

Masalah RunBooks - Studio Penelitian dan Teknik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Masalah RunBooks

Bagian berikut berisi masalah yang mungkin terjadi, cara mendeteksinya, dan saran tentang cara mengatasi masalah tersebut.

Masalah instalasi

........................

CloudFormationtumpukan gagal dibuat dengan pesan "WaitCondition menerima pesan gagal. Error:States.TaskFailed”

Untuk mengidentifikasi masalah, periksa grup CloudWatch log Amazon bernama<stack-name>-InstallerTasksCreateTaskDefCreateContainerLogGroup<nonce>-<nonce>. Jika ada beberapa grup log dengan nama yang sama, periksa yang pertama tersedia. Pesan kesalahan dalam log akan memberikan informasi lebih lanjut tentang masalah ini.

catatan

Konfirmasikan bahwa nilai parameter tidak memiliki spasi.

........................

Pemberitahuan email tidak diterima setelahnyaCloudFormationtumpukan berhasil dibuat

Jika undangan email tidak diterima setelah CloudFormation tumpukan berhasil dibuat, verifikasi hal berikut:

  1. Konfirmasikan parameter alamat email dimasukkan dengan benar.

    Jika alamat email salah atau tidak dapat diakses, hapus dan gunakan kembali lingkungan Studio Riset dan Teknik.

  2. Periksa konsol Amazon EC2 untuk mengetahui bukti kejadian bersepeda.

    Jika ada instans Amazon EC2 dengan <envname> awalan yang muncul sebagai dihentikan dan kemudian diganti dengan instance baru, mungkin ada masalah dengan jaringan atau konfigurasi Direktori Aktif.

  3. Jika Anda menerapkan resep Komputasi Kinerja AWS Tinggi untuk membuat sumber daya eksternal, konfirmasikan bahwa VPC, subnet pribadi dan publik, dan parameter lain yang dipilih dibuat oleh tumpukan.

    Jika salah satu parameter salah, Anda mungkin perlu menghapus dan menerapkan kembali lingkungan RES. Untuk informasi selengkapnya, lihat Copot pemasangan produk.

  4. Jika Anda menerapkan produk dengan sumber daya eksternal Anda sendiri, konfirmasikan jaringan dan Active Directory cocok dengan konfigurasi yang diharapkan.

    Mengonfirmasi bahwa instans infrastruktur berhasil bergabung dengan Active Directory sangat penting. Coba langkah-langkahnya Instance bersepeda atau vdc-controller dalam keadaan gagal untuk menyelesaikan masalah.

........................

Instance bersepeda atau vdc-controller dalam keadaan gagal

Penyebab paling mungkin dari masalah ini adalah ketidakmampuan sumber daya untuk menghubungkan atau bergabung dengan Active Directory.

Untuk memverifikasi masalah:
  1. Dari baris perintah, mulailah sesi dengan SSM pada instance yang sedang berjalan dari vdc-controller.

  2. Jalankan sudo su -.

  3. Jalankan systemctl status sssd.

Jika status tidak aktif, gagal, atau Anda melihat kesalahan di log, maka instance tidak dapat bergabung dengan Active Directory.

Log kesalahan SSM

Log kesalahan SSM

Untuk mengatasi masalah ini:
  • Dari instance baris perintah yang sama, jalankan cat /root/bootstrap/logs/userdata.log untuk menyelidiki log.

Masalah ini bisa memiliki salah satu dari tiga kemungkinan akar penyebab.

Tinjau log. Jika Anda melihat hal berikut diulang beberapa kali, instance tidak dapat bergabung dengan Active Directory.

+ local AD_AUTHORIZATION_ENTRY= + [[ -z '' ]] + [[ 0 -le 180 ]] + local SLEEP_TIME=34 + log_info '(0 of 180) waiting for AD authorization, retrying in 34 seconds ...' ++ date '+%Y-%m-%d %H:%M:%S,%3N' + echo '[2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ...' [2024-01-16 22:02:19,802] [INFO] (0 of 180) waiting for AD authorization, retrying in 34 seconds ... + sleep 34 + (( ATTEMPT_COUNT++ ))
  1. Verifikasi nilai parameter untuk yang berikut dimasukkan dengan benar selama pembuatan tumpukan RES.

    • directoryservice.ldap_connection_uri

    • directoryservice.ldap_base

    • directoryservice.users.ou

    • directoryservice.groups.ou

    • directoryservice.sudoers.ou

    • directoryservice.computers.ou

    • directoryservice.name

  2. Perbarui nilai yang salah dalam tabel DynamoDB. Tabel ditemukan di konsol DynamoDB di bawah Tabel. Nama tabel seharusnya<stack name>.cluster-settings.

  3. Setelah Anda memperbarui tabel, hapus cluster-manager dan vdc-controller yang saat ini menjalankan instance lingkungan. Penskalaan otomatis akan memulai instance baru menggunakan nilai terbaru dari tabel DynamoDB.

Jika log kembaliInsufficient permissions to modify computer account, ServiceAccount nama yang dimasukkan selama pembuatan tumpukan bisa salah.

  1. Dari AWS Konsol, buka Secrets Manager.

  2. Cari directoryserviceServiceAccountUsername. Rahasianya seharusnya<stack name>-directoryservice-ServiceAccountUsername.

  3. Buka rahasia untuk melihat halaman detail. Di bawah Nilai Rahasia, pilih Ambil nilai rahasia dan pilih Plaintext.

  4. Jika nilai diperbarui, hapus instance cluster-manager dan vdc-controller lingkungan yang sedang berjalan. Penskalaan otomatis akan memulai instance baru menggunakan nilai terbaru dari Secrets Manager.

Jika log ditampilkanInvalid credentials, ServiceAccount kata sandi yang dimasukkan selama pembuatan tumpukan mungkin salah.

  1. Dari AWS Konsol, buka Secrets Manager.

  2. Cari directoryserviceServiceAccountPassword. Rahasianya seharusnya<stack name>-directoryservice-ServiceAccountPassword.

  3. Buka rahasia untuk melihat halaman detail. Di bawah Nilai Rahasia, pilih Ambil nilai rahasia dan pilih Plaintext.

  4. Jika Anda lupa kata sandi atau Anda tidak yakin apakah kata sandi yang dimasukkan benar, Anda dapat mengatur ulang kata sandi di Active Directory dan Secrets Manager.

    1. Untuk mengatur ulang kata sandi diAWS Managed Microsoft AD:

      1. Buka AWS konsol dan pergi keDirectory Service.

      2. Pilih ID Direktori untuk direktori RES Anda, dan pilih Tindakan.

      3. Pilih Setel ulang kata sandi pengguna.

      4. Masukkan nama ServiceAccount pengguna.

      5. Masukkan kata sandi baru, dan pilih Atur ulang kata sandi.

    2. Untuk mengatur ulang kata sandi di Secrets Manager:

      1. Buka AWS konsol dan pergi ke Secrets Manager.

      2. Cari directoryserviceServiceAccountPassword. Rahasianya seharusnya<stack name>-directoryservice-ServiceAccountPassword.

      3. Buka rahasia untuk melihat halaman detail. Di bawah Nilai Rahasia, pilih Ambil nilai rahasia lalu pilih Plaintext.

      4. Pilih Edit.

      5. Tetapkan kata sandi baru untuk ServiceAccount pengguna dan pilih Simpan.

  5. Jika Anda memperbarui nilainya, hapus instance cluster-manager dan vdc-controller lingkungan yang sedang berjalan. Penskalaan otomatis akan memulai instance baru menggunakan nilai terbaru.

........................

CloudFormation Tumpukan lingkungan gagal dihapus karena kesalahan objek dependen

Jika penghapusan <env-name>-vdc CloudFormation tumpukan gagal karena kesalahan objek dependen sepertivdcdcvhostsecuritygroup, ini bisa disebabkan oleh instans Amazon EC2 yang diluncurkan ke subnet atau grup keamanan RES-created menggunakan Konsol. AWS

Untuk mengatasi masalah ini, temukan dan hentikan semua instans Amazon EC2 yang diluncurkan dengan cara ini. Anda kemudian dapat melanjutkan penghapusan lingkungan.

........................

Kesalahan yang ditemui untuk parameter blok CIDR selama pembuatan lingkungan

Saat membuat lingkungan, kesalahan muncul untuk parameter blok CIDR dengan status respons [GAGAL].

Contoh kesalahan:

Failed to update cluster prefix list: An error occurred (InvalidParameterValue) when calling the ModifyManagedPrefixList operation: The specified CIDR (52.94.133.132/24) is not valid. For example, specify a CIDR in the following form: 10.0.0.0/16.

Untuk mengatasi masalah ini, format yang diharapkan adalah x.x.x. atau x.x.x. 0/24 0/32

........................

CloudFormation kegagalan pembuatan tumpukan selama pembuatan lingkungan

Menciptakan lingkungan melibatkan serangkaian operasi pembuatan sumber daya. Di beberapa Wilayah, masalah kapasitas dapat terjadi yang menyebabkan pembuatan CloudFormation tumpukan gagal.

Jika ini terjadi, hapus lingkungan dan coba lagi pembuatannya. Atau, Anda dapat mencoba lagi pembuatan di Wilayah yang berbeda.

........................

Pembuatan tumpukan sumber daya eksternal (demo) gagal dengan AdDomainAdminNode CREATE_FAILED

Jika pembuatan tumpukan lingkungan demo gagal dengan kesalahan berikut, mungkin karena penambalan Amazon EC2 terjadi secara tak terduga selama penyediaan setelah peluncuran instance.

AdDomainAdminNode CREATE_FAILED Failed to receive 1 resource signal(s) within the specified duration
Untuk menentukan penyebab kegagalan:
  1. Di SSM State Manager, periksa apakah patching dikonfigurasi dan apakah itu dikonfigurasi untuk semua instance.

  2. Dalam riwayat RunCommand/Automation eksekusi SSM, periksa apakah eksekusi dokumen SSM terkait tambalan bertepatan dengan peluncuran instance.

  3. Dalam file log untuk instans Amazon EC2 lingkungan, tinjau logging instans lokal untuk menentukan apakah instance di-boot ulang selama penyediaan.

Jika masalah disebabkan oleh patching, tunda patching untuk instans RES setidaknya 15 menit setelah peluncuran.

........................

Masalah manajemen identitas

Sebagian besar masalah dengan sistem masuk tunggal (SSO) dan manajemen identitas terjadi karena kesalahan konfigurasi. Untuk informasi tentang pengaturan konfigurasi SSO Anda, lihat:

Untuk memecahkan masalah lain yang terkait dengan manajemen identitas, lihat topik pemecahan masalah berikut:

........................

Saya tidak berwenang untuk melakukan iam: PassRole

Jika Anda menerima kesalahan bahwa Anda tidak diizinkan untuk melakukan PassRole tindakan iam:, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke RES.

Beberapa AWS layanan memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika pengguna IAM bernama marymajor mencoba menggunakan konsol untuk melakukan tindakan di RES. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Dalam hal ini, kebijakan Mary harus diperbarui untuk memungkinkannya melakukan iam: PassRole action. Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

........................

Saya ingin mengizinkan orang di luar sayaAWSakun untuk mengakses Studio Penelitian dan Teknik saya diAWSsumber daya

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACL), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:

........................

Saat masuk ke lingkungan, saya segera kembali ke halaman login

Masalah ini terjadi ketika integrasi SSO Anda salah dikonfigurasi. Untuk menentukan masalah, periksa log instance pengontrol dan tinjau pengaturan konfigurasi untuk kesalahan.

Untuk memeriksa log:
  1. Buka konsol CloudWatch .

  2. Dari grup Log, temukan grup bernama/<environment-name>/cluster-manager.

  3. Buka grup log untuk mencari kesalahan apa pun di aliran log.

Untuk memeriksa pengaturan konfigurasi:
  1. Buka konsol DynamoDB

  2. Dari Tabel, temukan tabel bernama<environment-name>.cluster-settings.

  3. Buka tabel dan pilih Jelajahi item tabel.

  4. Perluas bagian filter, dan masukkan variabel berikut:

    • Nama atribut - kunci

    • Kondisi - berisi

    • Nilai — sso

  5. Pilih Jalankan.

  6. Dalam string yang dikembalikan, verifikasi bahwa nilai konfigurasi SSO sudah benar. Jika salah, ubah nilai kunci sso_enabled menjadi False.

    Konsol DynamoDB dengan layar Edit item untuk nilai kunci sso_enabled.
  7. Kembali ke antarmuka pengguna RES untuk mengkonfigurasi ulang SSO.

........................

Kesalahan “Pengguna tidak ditemukan” saat mencoba masuk

Jika pengguna menerima kesalahan “Pengguna tidak ditemukan” ketika mereka mencoba masuk ke antarmuka RES, dan pengguna hadir di Active Directory:

  • Jika pengguna tidak hadir di RES dan Anda baru saja menambahkan pengguna ke AD
  • Jika pengguna hadir di RES:
    1. Pastikan pemetaan atribut dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Mengkonfigurasi penyedia identitas Anda untuk single sign-on (SSO).

    2. Pastikan bahwa subjek SAMP dan email SAMP keduanya dipetakan ke alamat email pengguna.

........................

Pengguna ditambahkan di Active Directory, tetapi hilang dari RES

catatan

Bagian ini berlaku untuk RES 2024.10 dan sebelumnya. Untuk RES 2024.12 dan yang lebih baru lihat. Cara menjalankan sinkronisasi secara manual (rilis 2024.12 dan 2024.12.01) Untuk RES 2025.03 dan yang lebih baru lihat. Cara memulai atau menghentikan sinkronisasi secara manual (rilis 2025.03 dan yang lebih baru)

Jika Anda telah menambahkan pengguna ke Active Directory tetapi tidak ada di RES, sinkronisasi AD perlu dipicu. Sinkronisasi AD dilakukan setiap jam oleh fungsi Lambda yang mengimpor entri AD ke lingkungan RES. Terkadang, ada penundaan hingga proses sinkronisasi berikutnya berjalan setelah Anda menambahkan pengguna atau grup baru. Anda dapat memulai sinkronisasi secara manual dari Amazon Simple Queue Service.

Memulai proses sinkronisasi secara manual:
  1. Buka konsol Amazon SQS.

  2. Dari Antrian, pilih. <environment-name>-cluster-manager-tasks.fifo

  3. Pilih Kirim dan terima pesan.

  4. Untuk isi Pesan, masukkan:

    { "name": "adsync.sync-from-ad", "payload": {} }

  5. Untuk ID grup Pesan, masukkan: adsync.sync-from-ad

  6. Untuk ID deduplikasi Pesan, masukkan string alfa-numerik acak. Entri ini harus berbeda dari semua panggilan yang dilakukan dalam lima menit sebelumnya atau permintaan akan diabaikan.

........................

Pengguna tidak tersedia saat membuat sesi

Jika Anda seorang administrator yang membuat sesi, tetapi menemukan bahwa pengguna yang berada di Direktori Aktif tidak tersedia saat membuat sesi, pengguna mungkin perlu masuk untuk pertama kalinya. Sesi hanya dapat dibuat untuk pengguna aktif. Pengguna aktif harus masuk ke lingkungan setidaknya sekali.

........................

Batas ukuran melebihi kesalahan dalam log CloudWatch pengelola klaster

2023-10-31T18:03:12.942-07:00 ldap.SIZELIMIT_EXCEEDED: {'msgtype': 100, 'msgid': 11, 'result': 4, 'desc': 'Size limit exceeded', 'ctrls': []}

Jika Anda menerima kesalahan ini di log CloudWatch pengelola klaster, pencarian ldap mungkin telah mengembalikan terlalu banyak catatan pengguna. Untuk memperbaiki masalah ini, tingkatkan batas hasil pencarian ldap IDP Anda.

........................

Penyimpanan

........................

Saya membuat sistem file melalui RES tetapi tidak dipasang di host VDI

Sistem file harus dalam keadaan “Tersedia” sebelum dapat dipasang oleh host VDI. Ikuti langkah-langkah di bawah ini untuk memvalidasi sistem file dalam keadaan wajib.

Amazon EFS

  1. Buka konsol Amazon EFS.

  2. Periksa apakah status sistem File Tersedia.

  3. Jika status sistem file tidak Tersedia, tunggu sebelum meluncurkan host VDI.

Amazon FSx ONTAP

  1. Pergi ke konsol Amazon FSx.

  2. Periksa apakah statusnya tersedia.

  3. Jika Status tidak Tersedia, tunggu sebelum meluncurkan host VDI.

........................

Saya memasukkan sistem file melalui RES tetapi tidak dipasang di host VDI

Sistem file yang terpasang pada RES harus memiliki aturan grup keamanan yang diperlukan yang dikonfigurasi untuk memungkinkan host VDI memasang sistem file. Karena sistem file ini dibuat secara eksternal ke RES, RES tidak mengelola aturan grup keamanan terkait.

Grup keamanan yang terkait dengan sistem file onboard harus mengizinkan lalu lintas masuk berikut:

  • Lalu lintas NFS (port: 2049) dari host VDC linux

  • Lalu lintas SMB (port: 445) dari host windows VDC

........................

Saya tidak dapat mengaktifkan read/write dari host VDI

ONTAP mendukung UNIX, NTFS dan gaya keamanan MIXED untuk volume. Gaya keamanan menentukan jenis izin yang digunakan ONTAP untuk mengontrol akses data dan jenis klien apa yang dapat memodifikasi izin ini.

Misalnya, jika volume menggunakan gaya keamanan UNIX, klien SMB masih dapat mengakses data (asalkan mereka benar mengautentikasi dan mengotorisasi) karena sifat multi-protokol ONTAP. Namun, ONTAP menggunakan izin UNIX yang hanya dapat dimodifikasi oleh klien UNIX menggunakan alat asli.

Contoh izin menangani kasus penggunaan

Menggunakan volume gaya UNIX dengan beban kerja Linux

Izin dapat dikonfigurasi oleh sudoer untuk pengguna lain. Misalnya, berikut ini akan memberikan semua anggota read/write izin <group-ID> penuh pada /<project-name> direktori:

sudo chown root:<group-ID> /<project-name> sudo chmod 770 /<project-name>

Menggunakan volume gaya NTFS dengan beban kerja Linux dan Windows

Izin Berbagi dapat dikonfigurasi menggunakan properti berbagi folder tertentu. Misalnya, diberikan pengguna user_01 dan foldermyfolder, Anda dapat mengatur izinFull Control,Change, atau Read ke Allow atauDeny:

Izin berbagi dapat diatur ke Izinkan atau Tolak untuk Kontrol Penuh, Ubah, atau Baca

Jika volume akan digunakan oleh klien Linux dan Windows, kita perlu mengatur pemetaan nama pada SVM yang akan mengaitkan nama pengguna Linux apa pun ke nama pengguna yang sama dengan format nama domain NetBIOS dari domain\ username. Ini diperlukan untuk menerjemahkan antara pengguna Linux dan Windows. Untuk referensi, lihat Mengaktifkan beban kerja multiprotokol dengan Amazon FSx untuk ONTAP. NetApp

........................

Saya membuat Amazon FSx untuk NetApp ONTAP dari RES tetapi tidak bergabung dengan domain saya

Saat ini, saat Anda membuat Amazon FSx untuk NetApp ONTAP dari konsol RES, sistem file akan disediakan tetapi tidak bergabung dengan domain. Untuk menggabungkan SVM sistem file ONTAP yang dibuat ke domain Anda, lihat Menggabungkan SVM ke Direktori Aktif Microsoft dan ikuti langkah-langkah di konsol Amazon FSx. Pastikan izin yang diperlukan didelegasikan ke Akun Layanan Amazon FSx di AD. Setelah SVM berhasil bergabung dengan domain, buka Ringkasan SVM > Titik Akhir > nama DNS SMB, dan salin nama DNS karena Anda akan membutuhkannya nanti.

Setelah bergabung ke domain, edit kunci konfigurasi SMB DNS di tabel DynamoDB pengaturan cluster:

  1. Buka konsol Amazon DynamoDB.

  2. Pilih Tabel, lalu pilih<stack-name>-cluster-settings.

  3. Di bawah Jelajahi item tabel, perluas Filter, dan masukkan filter berikut:

    • Nama atribut - kunci

    • Kondisi - Sama dengan

    • Nilai - shared-storage.<file-system-name>.fsx_netapp_ontap.svm.smb_dns

  4. Pilih item yang dikembalikan, lalu Tindakan, Edit item.

  5. Perbarui nilai dengan nama DNS SMB yang Anda salin sebelumnya.

  6. Pilih Save and close (Simpan dan pilih).

Selain itu, pastikan grup keamanan yang terkait dengan sistem file memungkinkan lalu lintas seperti yang direkomendasikan dalam Kontrol Akses Sistem File dengan Amazon VPC. Host VDI baru yang menggunakan sistem file sekarang akan dapat me-mount domain yang bergabung dengan SVM dan sistem file.

Atau, Anda dapat menggunakan sistem file yang sudah ada yang sudah bergabung ke domain Anda menggunakan kemampuan Sistem File Onboard RES- dari Manajemen Lingkungan pilih Sistem File, Sistem File Onboard.

........................

Snapshot

........................

Snapshot memiliki status Gagal

Pada halaman RES Snapshots, jika snapshot memiliki status Gagal, penyebabnya dapat ditentukan dengan membuka grup CloudWatch log Amazon untuk pengelola klaster selama kesalahan terjadi.

[2023-11-19 03:39:20,208] [INFO] [snapshots-service] creating snapshot in S3 Bucket: asdf at path s31 [2023-11-19 03:39:20,381] [ERROR] [snapshots-service] An error occurred while creating the snapshot: An error occurred (TableNotFoundException) when calling the UpdateContinuousBackups operation: Table not found: res-demo.accounts.sequence-config

........................

Snapshot gagal diterapkan dengan log yang menunjukkan bahwa tabel tidak dapat diimpor.

Jika snapshot yang diambil dari env sebelumnya gagal diterapkan di env baru, lihat CloudWatch log untuk pengelola klaster untuk mengidentifikasi masalah. Jika masalah menyebutkan bahwa cloud tabel yang diperlukan tidak diimpor, verifikasi bahwa snapshot dalam status valid.

  1. Unduh file metadata.json dan verifikasi bahwa ExportStatus untuk berbagai tabel memiliki status SELESAI. Pastikan berbagai tabel memiliki ExportManifest bidang yang ditetapkan. Jika Anda tidak menemukan set bidang di atas, snapshot dalam keadaan tidak valid dan tidak dapat digunakan dengan fungsionalitas snapshot terapkan.

  2. Setelah memulai pembuatan snapshot, pastikan status Snapshot berubah menjadi SELESAI di RES. Proses pembuatan Snapshot memakan waktu hingga 5 hingga 10 menit. Muat ulang atau kunjungi kembali halaman Manajemen Snapshot untuk memastikan Snapshot berhasil dibuat. Ini akan memastikan bahwa snapshot yang dibuat dalam keadaan valid.

........................

Infrastruktur

........................

Kelompok sasaran penyeimbang beban tanpa instance yang sehat

Jika masalah seperti pesan kesalahan server muncul di UI atau sesi desktop tidak dapat terhubung, itu mungkin menunjukkan masalah dalam infrastruktur instans Amazon EC2.

Metode untuk menentukan sumber masalah adalah dengan terlebih dahulu memeriksa konsol Amazon EC2 untuk setiap instans Amazon EC2 yang tampaknya berulang kali dihentikan dan digantikan oleh instans baru. Jika itu masalahnya, memeriksa CloudWatch log Amazon dapat menentukan penyebabnya.

Metode lain adalah memeriksa penyeimbang beban dalam sistem. Indikasi bahwa mungkin ada masalah sistem adalah jika ada penyeimbang beban, yang ditemukan di konsol Amazon EC2, tidak menunjukkan instans sehat yang terdaftar.

Contoh penampilan normal ditunjukkan di sini:

dasbor penyeimbang beban ec2

Jika entri Sehat adalah 0, itu menunjukkan bahwa tidak ada instans Amazon EC2 yang tersedia untuk memproses permintaan.

Jika entri Tidak Sehat adalah non-0, itu menunjukkan bahwa instans Amazon EC2 mungkin sedang bersepeda. Ini bisa disebabkan oleh perangkat lunak aplikasi yang diinstal tidak lulus pemeriksaan kesehatan.

Jika entri Sehat dan Tidak Sehat adalah 0, itu menunjukkan potensi kesalahan konfigurasi jaringan. Misalnya, subnet publik dan pribadi mungkin tidak memiliki AZ yang sesuai. Jika kondisi ini terjadi, mungkin ada teks tambahan pada konsol yang menunjukkan bahwa status jaringan ada.

........................

Meluncurkan Desktop Virtual

........................

Akun login untuk Windows Virtual Desktop diatur ke Administrator

Jika Anda dapat meluncurkan Windows Virtual Desktop di portal web RES tetapi akun loginnya diatur ke Administrator saat Anda terhubung, VDI Windows Anda mungkin tidak berhasil bergabung dengan Active Directory.

Untuk memverifikasi, sambungkan ke instance Windows dari konsol Amazon EC2 dan periksa log bootstrap di bawahnya. C:\Users\Administrator\RES\Bootstrap\virtual-desktop-host-windows\ Pesan galat yang dimulai dengan [Join AD] authorization failed: menunjukkan bahwa instans gagal bergabung dengan AD. Periksa log Cluster Manager di CloudWatch bawah nama grup log /<res-environment-name>/cluster-manager untuk detail selengkapnya tentang kegagalan:

  • Insufficient permissions to modify computer account

  • Invalid Credentials

    • Kredensi Akun Layanan Anda di AD telah kedaluwarsa atau Anda memberikan kredensi yang salah. Untuk memeriksa atau memperbarui kredensyal Akun Layanan Anda, akses rahasia yang menyimpan kata sandi di konsol Secrets Manager. Pastikan ARN rahasia ini benar di bidang ARN Rahasia Kredensial Akun Layanan di bawah Domain Direktori Aktif di halaman Manajemen Identitas lingkungan RES Anda.

........................

Sertifikat kedaluwarsa saat menggunakan sumber daya eksternal CertificateRenewalNode

Jika Anda menerapkan resep Sumber Daya Eksternal dan menemukan kesalahan yang menyatakan "The connection has been closed. Transport error" saat Anda terhubung ke VDI Linux, penyebab yang paling mungkin adalah sertifikat kedaluwarsa yang tidak disegarkan secara otomatis karena jalur instalasi pip yang salah di Linux. Sertifikat kedaluwarsa setelah 3 bulan.

Grup CloudWatch log Amazon <envname>/vdc/dcv-connection-gateway dapat mencatat kesalahan upaya koneksi dengan pesan yang mirip dengan berikut ini:

| 2024-07-29T21:46:02.651Z | Jul 29 21:46:01.702 WARN HTTP:Splicer Connection{id=341 client_address="x.x.x.x:50682"}: Error in connection task: TLS handshake error: received fatal alert: CertificateUnknown | redacted:/res-demo/vdc/dcv-connection-gateway | dcv-connection-gateway_10.3.146.195 | | 2024-07-29T21:46:02.651Z | Jul 29 21:46:01.702 WARN HTTP:Splicer Connection{id=341 client_address="x.x.x.x:50682"}: Certificate error: AlertReceived(CertificateUnknown) | redacted:/res-demo/vdc/dcv-connection-gateway | dcv-connection-gateway_10.3.146.195 |
Untuk mengatasi masalah ini:
  1. Di AWS akun Anda, buka EC2. Jika ada instance bernama*-CertificateRenewalNode-*, hentikan instance.

  2. Pergi ke Lambda. Anda akan melihat fungsi Lambda bernama*-CertificateRenewalLambda-*, periksa kode Lambda untuk sesuatu yang mirip dengan berikut ini:

    export HOME=/tmp/home mkdir -p $HOME cd /tmp wget https://bootstrap.pypa.io/pip/3.7/get-pip.py python3 ./get-pip.py pip3 install boto3 eval $(python3 -c "from botocore.credentials import InstanceMetadataProvider, InstanceMetadataFetcher; provider = InstanceMetadataProvider(iam_role_fetcher=InstanceMetadataFetcher(timeout=1000, num_attempts=2)); c = provider.load().get_frozen_credentials(); print(f'export AWS_ACCESS_KEY_ID={c.access_key}'); print(f'export AWS_SECRET_ACCESS_KEY={c.secret_key}'); print(f'export AWS_SESSION_TOKEN={c.token}')") mkdir certificates cd certificates git clone https://github.com/Neilpang/acme.sh.git cd acme.sh
  3. Temukan template tumpukan Certs sumber daya eksternal terbaru di sini. Temukan kode Lambda di template: Resources → → Properties CertificateRenewalLambda→ Code. Anda mungkin menemukan sesuatu yang mirip dengan berikut ini:

    sudo yum install -y wget export HOME=/tmp/home mkdir -p $HOME cd /tmp wget https://bootstrap.pypa.io/pip/3.7/get-pip.py mkdir -p pip python3 ./get-pip.py --target $PWD/pip $PWD/pip/bin/pip3 install boto3 eval $(python3 -c "from botocore.credentials import InstanceMetadataProvider, InstanceMetadataFetcher; provider = InstanceMetadataProvider(iam_role_fetcher=InstanceMetadataFetcher(timeout=1000, num_attempts=2)); c = provider.load().get_frozen_credentials(); print(f'export AWS_ACCESS_KEY_ID={c.access_key}'); print(f'export AWS_SECRET_ACCESS_KEY={c.secret_key}'); print(f'export AWS_SESSION_TOKEN={c.token}')") mkdir certificates cd certificates VERSION=3.1.0 wget https://github.com/acmesh-official/acme.sh/archive/refs/tags/$VERSION.tar.gz -O acme-$VERSION.tar.gz tar -xvf acme-$VERSION.tar.gz cd acme.sh-$VERSION
  4. Ganti bagian dari Langkah 2 dalam fungsi *-CertificateRenewalLambda-* Lambda dengan kode dari Langkah 3. Pilih Deploy dan tunggu perubahan kode diterapkan.

  5. Untuk memicu fungsi Lambda secara manual, buka tab Uji dan kemudian pilih Uji. Tidak diperlukan input tambahan. Ini harus membuat instance EC2 sertifikat yang memperbarui Sertifikat dan PrivateKey rahasia di Secret Manager.

  6. Hentikan instance dcv-gateway yang ada: <env-name>-vdc-gateway dan tunggu grup penskalaan otomatis menerapkan yang baru secara otomatis.

........................

Desktop virtual yang sebelumnya berfungsi tidak lagi dapat terhubung dengan sukses

Jika koneksi desktop ditutup atau Anda tidak dapat lagi terhubung dengannya, masalahnya mungkin disebabkan instans Amazon EC2 yang mendasarinya gagal atau instans Amazon EC2 mungkin telah dihentikan atau dihentikan di luar lingkungan RES. Status UI Admin dapat terus menampilkan status siap tetapi upaya untuk menghubungkannya gagal.

Konsol Amazon EC2 harus digunakan untuk menentukan apakah instans telah dihentikan atau dihentikan. Jika berhenti, coba mulai lagi. Jika status dihentikan, desktop lain harus dibuat. Setiap data yang disimpan di direktori home pengguna harus tetap tersedia saat instance baru dimulai.

Jika instance yang gagal sebelumnya masih muncul di UI Admin, instance tersebut mungkin perlu dihentikan menggunakan UI Admin.

........................

Saya hanya dapat meluncurkan 5 desktop virtual

Batas default untuk jumlah desktop virtual yang dapat diluncurkan pengguna adalah 5. Ini dapat diubah oleh admin menggunakan UI Admin sebagai berikut:

  • Buka Pengaturan Desktop.

  • Pilih tab Umum.

  • Pilih ikon edit di sebelah kanan Sesi yang Diizinkan Default Per Pengguna Per Proyek dan ubah nilainya ke nilai baru yang diinginkan.

  • Pilih Kirim.

  • Segarkan halaman untuk mengonfirmasi bahwa pengaturan baru sudah ada.

........................

Upaya koneksi Windows Desktop gagal dengan “Koneksi telah ditutup. Kesalahan transportasi”

Jika koneksi desktop Windows gagal dengan kesalahan UI “Sambungan telah ditutup. Kesalahan transportasi”, penyebabnya dapat disebabkan oleh masalah dalam perangkat lunak server DCV yang terkait dengan pembuatan sertifikat pada instance Windows.

Grup CloudWatch log Amazon <envname>/vdc/dcv-connection-gateway dapat mencatat kesalahan upaya koneksi dengan pesan yang mirip dengan berikut ini:

Nov 24 20:24:27.631 DEBUG HTTP:Splicer Connection{id=9}: Websocket{session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd"}: Resolver lookup{client_ip=Some(52.94.36.19) session_id="1291e75f-7816-48d9-bbb2-7371b3b911cd" protocol_type=WebSocket extension_data=None}:NoStrictCertVerification: Additional stack certificate (0): [s/n: 0E9E9C4DE7194B37687DC4D2C0F5E94AF0DD57E] Nov 24 20:25:15.384 INFO HTTP:Splicer Connection{id=21}:Websocket{ session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: Connection initiated error: unreachable, server io error Custom { kind: InvalidData, error: General("Invalid certificate: certificate has expired (code: 10)") } Nov 24 20:25:15.384 WARN HTTP:Splicer Connection{id=21}: Websocket{session_id="d1d35954-f29d-4b3f-8c23-6a53303ebc3f"}: Error in websocket connection: Server unreachable: Server error: IO error: unexpected error: Invalid certificate: certificate has expired (code: 10)

Jika ini terjadi, resolusi mungkin menggunakan SSM Session Manager untuk membuka koneksi ke instance Windows dan menghapus 2 file terkait sertifikat berikut:

PS C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv> dir Directory: C:\Windows\system32\config\systemprofile\AppData\Local\NICE\dcv Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 8/4/2022 12:59 PM 1704 dcv.key -a---- 8/4/2022 12:59 PM 1265 dcv.pem

File harus dibuat ulang secara otomatis dan upaya koneksi berikutnya mungkin berhasil.

Jika metode ini menyelesaikan masalah dan jika peluncuran baru desktop Windows menghasilkan kesalahan yang sama, gunakan fungsi Create Software Stack untuk membuat tumpukan perangkat lunak Windows baru dari instance tetap dengan file sertifikat yang dibuat ulang. Itu dapat menghasilkan tumpukan perangkat lunak Windows yang dapat digunakan untuk peluncuran dan koneksi yang sukses.

........................

VDI macet dalam status Penyediaan

Jika peluncuran desktop tetap dalam status penyediaan di UI Admin, ini mungkin karena beberapa alasan.

Untuk menentukan penyebabnya, periksa file log pada instance desktop dan cari kesalahan yang mungkin menyebabkan masalah. Dokumen ini berisi daftar file log dan grup CloudWatch log Amazon yang berisi informasi yang relevan di bagian berlabel sumber informasi log dan peristiwa yang berguna.

Berikut ini adalah penyebab potensial dari masalah ini.

  • Id AMI yang digunakan telah terdaftar sebagai tumpukan perangkat lunak tetapi tidak didukung oleh RES.

    Skrip penyediaan bootstrap gagal diselesaikan karena Amazon Machine Image (AMI) tidak memiliki konfigurasi atau perkakas yang diharapkan. File log pada instance, seperti /root/bootstrap/logs/ pada instance Linux, mungkin berisi informasi yang berguna mengenai hal ini. Id AMI yang diambil dari AWS Marketplace mungkin tidak berfungsi untuk instans desktop RES. Mereka memerlukan pengujian untuk mengkonfirmasi apakah mereka didukung.

  • Skrip data pengguna tidak dijalankan ketika instance desktop virtual Windows diluncurkan dari AMI khusus.

    Secara default, skrip data pengguna berjalan satu kali ketika instans Amazon EC2 diluncurkan. Jika Anda membuat AMI dari instance desktop virtual yang ada, maka daftarkan tumpukan perangkat lunak dengan AMI dan coba luncurkan desktop virtual lain dengan tumpukan perangkat lunak ini, skrip data pengguna tidak akan berjalan pada instance desktop virtual baru.

    Untuk memperbaiki masalah, buka jendela PowerShell perintah sebagai Administrator pada instance desktop virtual asli yang Anda gunakan untuk membuat AMI, dan jalankan perintah berikut:

    C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts\InitializeInstance.ps1 –Schedule

    Kemudian buat AMI baru dari instance. Anda dapat menggunakan AMI baru untuk mendaftarkan tumpukan perangkat lunak dan meluncurkan desktop virtual baru setelahnya. Perhatikan bahwa Anda juga dapat menjalankan perintah yang sama pada instance yang tetap dalam status penyediaan dan me-reboot instance untuk memperbaiki sesi desktop virtual, tetapi Anda akan mengalami masalah yang sama lagi saat meluncurkan desktop virtual lain dari AMI yang salah konfigurasi.

........................

VDI masuk ke status Kesalahan setelah diluncurkan

Kemungkinan masalah 1: Sistem file beranda memiliki direktori untuk pengguna dengan izin POSIX yang berbeda.

Ini bisa menjadi masalah yang Anda hadapi jika skenario berikut benar:

  1. Versi RES yang digunakan adalah 2024.01 atau lebih tinggi.

  2. Selama penerapan tumpukan RES, atribut untuk EnableLdapIDMapping disetel keTrue.

  3. Sistem file beranda yang ditentukan selama penerapan tumpukan RES digunakan dalam versi sebelum RES 2024.01 atau digunakan di lingkungan sebelumnya dengan disetel ke. EnableLdapIDMapping False

Langkah resolusi: Hapus direktori pengguna di sistem file.

  1. SSM ke host pengelola klaster.

  2. cd /home.

  3. ls- harus mencantumkan direktori dengan nama direktori yang cocok dengan nama pengguna, sepertiadmin1,admin2.. dan sebagainya.

  4. Hapus direktori,sudo rm -r 'dir_name'. Jangan hapus direktori ssm-user dan ec2-user.

  5. Jika pengguna sudah disinkronkan ke env baru, hapus pengguna dari tabel DDB pengguna (kecuali clusteradmin).

  6. Memulai sinkronisasi AD - jalankan sudo /opt/idea/python/3.9.16/bin/resctl ldap sync-from-ad di pengelola klaster Amazon EC2.

  7. Reboot instance VDI di Error negara bagian dari halaman web RES. Validasi bahwa transisi VDI ke Ready status dalam waktu sekitar 20 menit.

........................

Sesi VDI masuk ke layar kosong setelah masuk

Ketika sesi VDI dengan tipe Sesi Konsol kosong dan tidak responsif setelah Anda masuk, ini berarti server X rusak. Ini kemungkinan disebabkan oleh masalah OS di mana DCV mencoba melakukan streaming desktop, tetapi tidak ada yang streaming. Penyebab paling mungkin dari ini adalah masalah dengan konfigurasi Xorg. Perintah berikut dapat dijalankan untuk kurang mengandalkan konfigurasi Xorg default.

Linux berbasis Debian:

dpkg-divert --package nice-xdcv --divert /usr/bin/Xorg.orig --rename /usr/bin/Xorg ln -sf /usr/bin/Xdcv-console /usr/bin/Xorg

Linux berbasis Red Hat:

rpm -q --whatprovides /usr/bin/Xorg && \ cp /usr/bin/Xorg /usr/bin/Xorg.orig && \ ln -sf /usr/bin/Xdcv-console /usr/bin/Xorg

........................

Komponen Desktop Virtual

........................

Instans Amazon EC2 berulang kali ditampilkan dihentikan di konsol

Jika instance infrastruktur berulang kali ditampilkan sebagai dihentikan di konsol Amazon EC2, penyebabnya mungkin terkait dengan konfigurasinya dan bergantung pada jenis instans infrastruktur. Berikut ini adalah metode untuk menentukan penyebabnya.

Jika instance vdc-controller menunjukkan status terminasi berulang di konsol Amazon EC2, ini bisa disebabkan oleh tag Rahasia yang salah. Rahasia yang dikelola oleh RES memiliki tag yang digunakan sebagai bagian dari kebijakan kontrol akses IAM yang dilampirkan pada infrastruktur instans Amazon EC2. Jika vdc-controller sedang bersepeda dan kesalahan berikut muncul di grup CloudWatch log, penyebabnya mungkin rahasia belum ditandai dengan benar. Perhatikan bahwa rahasia perlu ditandai dengan yang berikut:

{ "res:EnvironmentName": "<envname>" # e.g. "res-demo" "res:ModuleName": "virtual-desktop-controller" }

Pesan CloudWatch log Amazon untuk kesalahan ini akan muncul mirip dengan yang berikut:

An error occurred (AccessDeniedException) when calling the GetSecretValue operation: User: arn:aws:sts::160215750999:assumed-role/<envname>-vdc-gateway-role-us-east-1/i-043f76a2677f373d0 is not authorized to perform: secretsmanager:GetSecretValue on resource: arn:aws:secretsmanager:us-east-1:160215750999:secret:Certificate-res-bi-Certs-5W9SPUXF08IB-F1sNRv because no identity-based policy allows the secretsmanager:GetSecretValue action

Periksa tag pada instans Amazon EC2 dan konfirmasikan bahwa tag tersebut cocok dengan daftar di atas.

........................

instance vdc-controller sedang bersepeda karena gagal bergabung dengan modul AD/eVDi menunjukkan Pemeriksaan Kesehatan API Gagal

Jika modul eVDi gagal pemeriksaan kesehatannya, itu akan menampilkan yang berikut di bagian Status Lingkungan.

contoh modul lingkungan dan dasbor status

Dalam hal ini, jalur umum untuk debugging adalah dengan melihat log pengelola klaster. CloudWatch (Cari grup log bernama<env-name>/cluster-manager.)

Kemungkinan masalah:

  • Jika log berisi teksInsufficient permissions, pastikan ServiceAccount nama pengguna yang diberikan saat tumpukan res dibuat dieja dengan benar.

    Contoh baris log:

    Insufficient permissions to modify computer account: CN=IDEA-586BD25043,OU=Computers,OU=RES,OU=CORP,DC=corp,DC=res,DC=com: 000020E7: AtrErr: DSID-03153943, #1: 0: 000020E7: DSID-03153943, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90008 (userAccountControl):len 4 >> 432 ms - request will be retried in 30 seconds
    • Anda dapat mengakses ServiceAccount Nama Pengguna yang disediakan selama penerapan RES dari SecretsManager konsol. Temukan rahasia yang sesuai di Manajer Rahasia dan pilih Ambil teks Biasa. Jika Nama Pengguna salah, pilih Edit untuk memperbarui nilai rahasia. Hentikan instance cluster-manager dan vdc-controller saat ini. Contoh baru akan muncul dalam keadaan stabil.

    • Nama pengguna harus "ServiceAccount" jika Anda memanfaatkan sumber daya yang dibuat oleh tumpukan sumber daya eksternal yang disediakan. Jika DisableADJoin parameter disetel ke False selama penyebaran RES Anda, pastikan pengguna "ServiceAccount" memiliki izin untuk membuat objek Komputer di AD.

  • Jika nama pengguna yang digunakan benar, tetapi log berisi teksInvalid credentials, maka kata sandi yang Anda masukkan mungkin salah atau telah kedaluwarsa.

    Contoh baris log:

    {'msgtype': 97, 'msgid': 1, 'result': 49, 'desc': 'Invalid credentials', 'ctrls': [], 'info': '80090308: LdapErr: DSID-0C090569, comment: AcceptSecurityContext error, data 532, v4563'}
    • Anda dapat membaca kata sandi yang Anda masukkan selama pembuatan env dengan mengakses rahasia yang menyimpan kata sandi di konsol Secrets Manager. Pilih rahasia (misalnya,<env_name>directoryserviceServiceAccountPassword) dan pilih Ambil teks biasa.

    • Jika kata sandi dalam rahasia salah, pilih Edit untuk memperbarui nilainya dalam rahasia. Hentikan instance cluster-manager dan vdc-controller saat ini. Contoh baru akan menggunakan kata sandi yang diperbarui dan muncul dalam keadaan stabil.

    • Jika kata sandi benar, bisa jadi kata sandi telah kedaluwarsa di Direktori Aktif yang terhubung. Anda harus terlebih dahulu mengatur ulang kata sandi di Active Directory dan kemudian memperbarui rahasianya. Anda dapat mengatur ulang kata sandi pengguna di Active Directory dari konsol Directory Service:

      1. Pilih ID Direktori yang sesuai

      2. Pilih Tindakan, Setel ulang kata sandi pengguna lalu isi formulir dengan nama pengguna (misalnya, "ServiceAccount“) dan kata sandi baru.

      3. Jika kata sandi yang baru ditetapkan berbeda dari kata sandi sebelumnya, perbarui kata sandi dalam rahasia Manajer Rahasia yang sesuai (misalnya,<env_name>directoryserviceServiceAccountPassword.

      4. Hentikan instance cluster-manager dan vdc-controller saat ini. Contoh baru akan muncul dalam keadaan stabil.

........................

Proyek tidak muncul di pull down saat mengedit Software Stack untuk menambahkannya

Masalah ini mungkin terkait dengan masalah berikut yang terkait dengan sinkronisasi akun pengguna dengan AD. Jika masalah ini muncul, periksa grup log CloudWatch Amazon pengelola klaster untuk kesalahan <user-home-init> account not available yet. waiting for user to be synced "" untuk menentukan apakah penyebabnya sama atau terkait.

........................

cluster-manager CloudWatch Amazon log menunjukkan < "akun > user-home-init belum tersedia. menunggu pengguna untuk disinkronkan” (di mana akun adalah nama pengguna)

Pelanggan SQS sibuk dan terjebak dalam loop tak terbatas karena tidak dapat masuk ke akun pengguna. Kode ini dipicu saat mencoba membuat sistem file beranda untuk pengguna selama sinkronisasi pengguna.

Alasan mengapa tidak dapat masuk ke akun pengguna mungkin karena RES tidak dikonfigurasi dengan benar untuk AD yang digunakan. Contohnya mungkin ServiceAccountCredentialsSecretArn parameter yang digunakan pada pembuatan BI/RES lingkungan bukanlah nilai yang benar.

........................

Desktop Windows pada upaya login mengatakan “Akun Anda telah dinonaktifkan. Silakan lihat administrator Anda”

layar kesalahan dinonaktifkan akun

Jika pengguna tidak dapat masuk kembali ke layar yang terkunci, ini mungkin menunjukkan bahwa pengguna telah dinonaktifkan di AD yang dikonfigurasi untuk RES setelah berhasil masuk melalui SSO.

Login SSO akan gagal jika akun pengguna telah dinonaktifkan di AD.

........................

Masalah Opsi DHCP dengan konfigurasi external/customer AD

Jika Anda menemukan kesalahan yang menyatakan "The connection has been closed. Transport error" dengan desktop virtual Windows saat menggunakan RES dengan Active Directory Anda sendiri, periksa log Amazon dcv-connection-gateway untuk sesuatu yang mirip dengan berikut ini: CloudWatch

Oct 28 00:12:30.626 INFO HTTP:Splicer Connection{id=263}: Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Connection initiated error: unreachable, server io error Custom { kind: Uncategorized, error: "failed to lookup address information: Name or service not known" } Oct 28 00:12:30.626 WARN HTTP:Splicer Connection{id=263}: Websocket{session_id="96cffa6e-cf2e-410f-9eea-6ae8478dc08a"}: Error in websocket connection: Server unreachable: Server error: IO error: failed to lookup address information: Name or service not known Oct 28 00:12:30.627 DEBUG HTTP:Splicer Connection{id=263}: ConnectionGuard dropped

Jika Anda menggunakan pengontrol domain AD untuk Opsi DHCP untuk VPC Anda sendiri, Anda perlu:

  1. Tambahkan AmazonProvided DNS ke dua IP pengontrol domain.

  2. Atur nama domain ke ec2.internal.

Sebuah contoh ditampilkan di sini. Tanpa konfigurasi ini, desktop Windows akan memberi Anda kesalahan Transport, karena RES/DCV mencari nama host ip-10-0-x-xx.ec2.internal.

contoh nama domain dan server nama domain

........................

Kesalahan Firefox MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Ketika Anda menggunakan browser web Firefox, Anda mungkin menemukan jenis pesan kesalahan MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING ketika Anda mencoba untuk terhubung ke desktop virtual.

Penyebabnya adalah server web RES diatur dengan TLS+Stapling On tetapi tidak merespons dengan Validasi Stapling (lihat. https://support.mozilla.org/en-US/questions/1372483

Anda dapat memperbaikinya dengan mengikuti instruksi di: https://really-simple-ssl.com/mozilla_pkix_error_required_tls_feature_missing.

........................

Penghapusan Env

........................

tumpukan res-xxx-cluster dalam status “DELETE_FAILED” dan tidak dapat dihapus secara manual karena kesalahan “Peran tidak valid atau tidak dapat diasumsikan”

Jika Anda melihat bahwa tumpukan “res-xxx-cluster” berada dalam status “DELETE_FAILED” dan tidak dapat dihapus secara manual, Anda dapat melakukan langkah-langkah berikut untuk menghapusnya.

Jika Anda melihat tumpukan dalam status “DELETE_FAILED”, pertama-tama coba hapus secara manual. Ini mungkin memunculkan dialog yang mengonfirmasi Hapus Tumpukan. Pilih Hapus.

hapus layar popup konfirmasi tumpukan

Terkadang, bahkan jika Anda menghapus semua sumber daya tumpukan yang diperlukan, Anda mungkin masih melihat pesan untuk memilih sumber daya yang akan disimpan. Dalam hal ini, pilih semua sumber daya sebagai “sumber daya untuk dipertahankan” dan pilih Hapus.

Anda mungkin melihat kesalahan yang terlihat seperti Role: arn:aws:iam::... is Invalid or cannot be assumed

CloudFormation jendela tumpukan yang menunjukkan kesalahan peran yang tidak valid

Ini berarti bahwa peran yang diperlukan untuk menghapus tumpukan dihapus terlebih dahulu sebelum tumpukan. Untuk menyiasatinya, salin nama perannya. Buka konsol IAM dan buat peran dengan nama itu menggunakan parameter seperti yang ditunjukkan di sini, yaitu:

  • Untuk jenis entitas Tepercaya pilih AWSlayanan.

  • Untuk kasus Penggunaan, di bawah Use cases for otherAWS services pilihCloudFormation.

Jendela IAM Roles membuat peran langkah 1 memungkinkan Anda memilih entitas tepercaya

Pilih Berikutnya. Pastikan Anda memberikan izin peran 'AWSCloudFormationFullAccess' dan AdministratorAccess ''. Halaman ulasan Anda akan terlihat seperti ini:

layar IAM ini memungkinkan Anda memberi nama, meninjau, dan membuat peran

Kemudian kembali ke CloudFormation konsol dan hapus tumpukan. Anda sekarang harus dapat menghapusnya sejak Anda membuat peran. Terakhir, buka konsol IAM dan hapus peran yang Anda buat.

........................

Mengumpulkan Log

Masuk ke instans EC2 dari konsol EC2

  • Ikuti instruksi berikut ini untuk masuk ke instans Linux EC2.

  • Ikuti petunjuk ini untuk masuk ke instans Windows EC2 Anda. Kemudian buka Windows PowerShell untuk menjalankan perintah apa pun.

Mengumpulkan log host Infrastruktur

  1. Cluster-manager: Dapatkan log untuk pengelola klaster dari tempat-tempat berikut dan lampirkan ke tiket.

    1. Semua log dari grup CloudWatch log<env-name>/cluster-manager.

    2. Semua log di bawah /root/bootstrap/logs direktori pada instance <env-name>-cluster-manager EC2. Ikuti petunjuk yang ditautkan dari “Masuk ke instans EC2 dari konsol EC2" di awal bagian ini untuk masuk ke instans Anda.

  2. Vdc-controller: Dapatkan log untuk vdc-controller dari tempat-tempat berikut dan lampirkan ke tiket.

    1. Semua log dari grup CloudWatch log<env-name>/vdc-controller.

    2. Semua log di bawah /root/bootstrap/logs direktori pada instance <env-name>-vdc-controller EC2. Ikuti petunjuk yang ditautkan dari “Masuk ke instans EC2 dari konsol EC2" di awal bagian ini untuk masuk ke instans Anda.

Salah satu cara untuk mendapatkan log dengan mudah adalah dengan mengikuti instruksi di Mengunduh log dari instans EC2 Linux bagian. Nama modul akan menjadi nama instance.

Mengumpulkan log VDI

Identifikasi instans Amazon EC2 yang sesuai

Jika pengguna meluncurkan VDI dengan nama sesiVDI1, nama instans yang sesuai di konsol Amazon EC2 adalah. <env-name>-VDI1-<user name>

Kumpulkan log VDI Linux

Masuk ke instans Amazon EC2 yang sesuai dari konsol Amazon EC2 dengan mengikuti petunjuk yang ditautkan ke “Masuk ke instans EC2 dari konsol EC2" di awal bagian ini. Dapatkan semua log di bawah /var/log/dcv/ direktori /root/bootstrap/logs dan pada instance VDI Amazon EC2.

Salah satu cara untuk mendapatkan log adalah dengan mengunggahnya ke s3 dan kemudian mengunduhnya dari sana. Untuk itu, Anda dapat mengikuti langkah-langkah ini untuk mendapatkan semua log dari satu direktori dan kemudian mengunggahnya:

  1. Ikuti langkah-langkah ini untuk menyalin log dcv di bawah /root/bootstrap/logs direktori:

    sudo su - cd /root/bootstrap mkdir -p logs/dcv_logs cp -r /var/log/dcv/* logs/dcv_logs/
  2. Sekarang, ikuti langkah-langkah yang tercantum di bagian berikutnya- Mengunduh VDI Logs untuk mengunduh log.

Kumpulkan log Windows VDI

Masuk ke instans Amazon EC2 yang sesuai dari konsol Amazon EC2 dengan mengikuti petunjuk yang ditautkan ke “Masuk ke instans EC2 dari konsol EC2" di awal bagian ini. Dapatkan semua log di bawah $env:SystemDrive\Users\Administrator\RES\Bootstrap\Log\ direktori pada instance VDI EC2.

Salah satu cara untuk mendapatkan log adalah dengan mengunggahnya ke S3 dan kemudian mengunduhnya dari sana. Untuk melakukan itu, ikuti langkah-langkah yang tercantum di bagian berikutnya-Mengunduh VDI Logs.

........................

Mengunduh VDI Logs

  1. Perbarui peran IAM instans VDI EC2 untuk memungkinkan akses S3.

  2. Buka konsol EC2 dan pilih instans VDI Anda.

  3. Pilih peran IAM yang digunakannya.

  4. Di bagian Kebijakan Izin dari menu tarik-turun Tambahkan izin, pilih Lampirkan Kebijakan lalu pilih kebijakan. AmazonS3FullAccess

  5. Pilih Tambahkan izin untuk melampirkan kebijakan tersebut.

  6. Setelah itu, ikuti langkah-langkah yang tercantum di bawah ini berdasarkan jenis VDI Anda untuk mengunduh log. Nama modul akan menjadi nama instance.

    1. Mengunduh log dari instans EC2 Linuxuntuk Linux.

    2. Mengunduh log dari instans Windows EC2untuk Windows.

  7. Terakhir, edit peran untuk menghapus AmazonS3FullAccess kebijakan.

catatan

Semua VDI menggunakan peran IAM yang sama yaitu <env-name>-vdc-host-role-<region>

........................

Mengunduh log dari instans EC2 Linux

Masuk ke instans EC2 tempat Anda ingin mengunduh log dan jalankan perintah berikut untuk mengunggah semua log ke bucket s3:

sudo su - ENV_NAME=<environment_name> REGION=<region> ACCOUNT=<aws_account_number> MODULE=<module_name> cd /root/bootstrap tar -czvf ${MODULE}_logs.tar.gz logs/ --overwrite aws s3 cp ${MODULE}_logs.tar.gz s3://${ENV_NAME}-cluster-${REGION}-${ACCOUNT}/${MODULE}_logs.tar.gz

Setelah ini, buka konsol S3, pilih ember dengan nama <environment_name>-cluster-<region>-<aws_account_number> dan unduh file yang diunggah <module_name>_logs.tar.gz sebelumnya.

........................

Mengunduh log dari instans Windows EC2

Masuk ke instans EC2 tempat Anda ingin mengunduh log dan jalankan perintah berikut untuk mengunggah semua log ke bucket S3:

$ENV_NAME="<environment_name>" $REGION="<region>" $ACCOUNT="<aws_account_number>" $MODULE="<module_name>" $logDirPath = Join-Path -Path $env:SystemDrive -ChildPath "Users\Administrator\RES\Bootstrap\Log" $zipFilePath = Join-Path -Path $env:TEMP -ChildPath "logs.zip" Remove-Item $zipFilePath Compress-Archive -Path $logDirPath -DestinationPath $zipFilePath $bucketName = "${ENV_NAME}-cluster-${REGION}-${ACCOUNT}" $keyName = "${MODULE}_logs.zip" Write-S3Object -BucketName $bucketName -Key $keyName -File $zipFilePath

Setelah ini, buka konsol S3, pilih ember dengan nama <environment_name>-cluster-<region>-<aws_account_number> dan unduh file yang diunggah <module_name>_logs.zip sebelumnya.

........................

Mengumpulkan log ECS untuk kesalahan WaitCondition

  1. Buka tumpukan yang digunakan dan pilih tab Sumber Daya.

  2. Perluas DeployResearchAndEngineeringStudioInstallerTasksCreateTaskDefCreateContainerLogGroup, dan pilih grup log untuk membuka CloudWatch log.

  3. Ambil log terbaru dari grup log ini.

........................

Kegagalan penghapusan antarmuka jaringan

Jika Anda melihat kegagalan detachvpcfromlambdacustomresource penghapusan di bagian Peristiwa penghapusan tumpukan finalizer RES, ini kemungkinan besar berarti layanan Lambda gagal menghapus atau tidak menghapus pada saat antarmuka jaringan dilampirkan ke RES Lambdas.

Anda dapat menghapus antarmuka jaringan basi ini secara manual dengan menavigasi ke halaman Antarmuka Jaringan dalam konsol Amazon EC2 dan memfilter berdasarkan deskripsi yang berisi. AWS Lambda VPC ENI-{RES-Environment-Name} Seharusnya ada hingga 14 antarmuka jaringan, meskipun bisa lebih sedikit tergantung pada berapa banyak Lambda yang berhasil dihapus. Hapus antarmuka jaringan ini secara manual, lalu mulai ulang penghapusan tumpukan RES.

Lingkungan demo

........................

Kesalahan login lingkungan demo saat menangani permintaan otentikasi ke penyedia identitas

Masalah

Jika Anda mencoba masuk dan mendapatkan 'Kesalahan tak terduga saat menangani permintaan otentikasi ke penyedia identitas', kata sandi Anda mungkin kedaluwarsa. Ini bisa berupa kata sandi untuk pengguna yang Anda coba masuk sebagai atau Active Directory Service Account Anda.

Mitigasi

  1. Setel ulang kata sandi akun pengguna dan layanan di konsol layanan direktori.

  2. Perbarui kata sandi Akun Layanan di Secrets Manager agar sesuai dengan kata sandi baru yang Anda masukkan di atas:

    • untuk tumpukan Keycloak: PasswordSecret-... - ReseXternal -... - DirectoryService-... dengan Deskripsi: Kata Sandi untuk Microsoft Active Directory

    • untuk RES: res- ServiceAccountPassword -... dengan Deskripsi: Active Directory Service Account Password

  3. Buka konsol EC2 dan akhiri instance cluster-manager. Aturan Auto Scaling akan secara otomatis memicu penerapan instance baru.

........................

Demo stack keycloak tidak berfungsi

Masalah

Jika server keycloak Anda mogok dan, ketika Anda memulai ulang server, IP instance berubah, ini mungkin mengakibatkan kerusakan keycloak— halaman login portal RES Anda gagal memuat atau macet dalam status pemuatan yang tidak pernah diselesaikan.

Mitigasi

Anda harus menghapus infrastruktur yang ada dan menerapkan kembali tumpukan Keycloak untuk mengembalikan Keycloak ke keadaan sehat. Ikuti langkah-langkah ini:

  1. Pergi ke Cloudformation. Anda akan melihat dua tumpukan terkait keycloak di sana:

    • <env-name>-RESSsoKeycloak-<random characters>(Tumpukan1)

      <env-name>-RESSsoKeycloak-<random characters>-RESSsoKeycloak-*(Tumpukan2)

  2. Hapus Stack1. Jika diminta untuk menghapus tumpukan bersarang, pilih Ya untuk menghapus tumpukan bersarang.

    Pastikan tumpukan telah dihapus sepenuhnya.

  3. Unduh template tumpukan Keycloak RES SSO di sini.

  4. Terapkan tumpukan ini secara manual dengan nilai parameter yang sama persis dengan tumpukan yang dihapus. Menyebarkannya dari CloudFormation konsol dengan pergi ke Create StackDengan sumber daya baru (standar)Pilih template yang adaUpload file template. Isi parameter yang diperlukan menggunakan input yang sama dengan tumpukan yang dihapus. Anda dapat menemukan input ini di tumpukan yang dihapus dengan mengubah filter di CloudFormation konsol dan pergi ke tab Parameter. Pastikan bahwa nama lingkungan, key pair, dan parameter lainnya cocok dengan parameter stack asli.

  5. Setelah tumpukan dikerahkan, lingkungan Anda siap digunakan lagi. Anda dapat menemukan ApplicationUrl di tab Output dari tumpukan yang digunakan.

........................

Masalah Direktori Aktif

VDI saya macet dalam status penyediaan untuk waktu yang lama, atau saya tidak dapat memasukkan VDI saya sebagai pengguna AD setelah VDI siap

Periksa log instalasi dan konfigurasi VDI (/root/bootstrap/logs/dan /opt/idea/app/logs/ direktori untuk Linux, atau C:\Users\Administrator\RES\Bootstrap\Log\ dan C:\Program Files\RES\app\logs\ direktori untuk Windows) terlebih dahulu untuk setiap kesalahan instalasi atau konfigurasi.

Jika Anda menemukan pesan kesalahan yang mengatakan bahwa instans gagal bergabung dengan Active Directory, ini biasanya karena Manajer Cluster tidak dapat mengatur akun komputer untuk instance di AD Anda. Periksa log Manajer Cluster di bawah grup /environment-name/cluster-manager CloudWatch log dan filter untuk pesan kesalahan yang berisi[preset-computer]. Masalah umum meliputi:

  • Kredensi untuk Akun Layanan AD tidak valid.

    • Periksa rahasia Akun Layanan yang Anda berikan kepada RES. Pastikan bahwa nama pengguna dan kata sandi disediakan sebagai pasangan nilai kunci {username: password} dan kredensialnya valid. Anda perlu mengsiklus instance Cluster Manager dengan menghentikan instance yang ada dan mengizinkan grup penskalaan otomatis untuk meluncurkan yang baru secara otomatis setelah Anda mengubah rahasia Akun Layanan. Kemudian luncurkan VDI baru untuk menerapkan perubahan.

  • Akun Layanan tidak memiliki izin untuk membuat akun komputer di AD.

  • Tidak dapat terhubung ke server LDAP.

    • Pastikan konfigurasi AD Anda memungkinkan LDAP/LDAPS koneksi dalam VPC dan opsi DHCP VPC Anda disetel dengan benar mengikuti Membuat atau mengubah opsi DHCP yang disetel untuk AWS Microsoft AD yang Dikelola jika Anda menggunakan iklan terkelola. AWS

    • Untuk koneksi LDAPS, DomainTLSCertificateSecretArn parameter diperlukan dan Anda harus memberikan sertifikat CA yang valid untuk mengamankan koneksi. Anda perlu mengsiklus instance Cluster Manager dengan menghentikan instance yang ada dan mengizinkan grup penskalaan otomatis meluncurkan yang baru secara otomatis setelah mengubah rahasia sertifikat TLS. Kemudian luncurkan VDI baru untuk menerapkan perubahan.

    • Untuk menguji koneksi antara RES dan AD Anda, jalankan perintah ldapsearch berikut pada instance Cluster Manager (ganti Users OU, LDAP connection URI, Service Account username dan password). Perintah ini harus mengembalikan semua pengguna di bawah OU yang disediakan jika AD Anda dikonfigurasi dengan benar untuk memungkinkan koneksi.

      ldapsearch -x -b "OU=Users,OU=RES,OU=CORP,DC=corp,DC=res,DC=com" -D "ServiceAccount@corp.res.com" -H ldap://corp.res.com -w service-account-password "(objectClass=group)"

Jika Anda menyetel DisableadJoin true saat menginstal RES, VDI Linux Anda hanya terhubung ke Active Directory alih-alih bergabung melalui layanan SSSD. Connect ke instans VDI Anda dari konsol EC2 dan jalankan perintah id username di atasnya. Jika perintah tidak dapat mengembalikan UID/GID dari pengguna AD yang sesuai, periksa status layanan SSSD menggunakan perintah sudo systemctl status sssd pada instance VDI serta log layanan SSSD di bawah direktori. /var/log/sssd/

Jika Anda perlu menyesuaikan konfigurasi SSSD untuk terhubung ke AD Anda, Anda dapat mengedit file konfigurasi SSSD (/etc/sssd/sssd.conf) secara manual dan memulai ulang layanan SSSD menggunakan perintah sudo systemctl restart sssd pada host infra/VDI (rilis 2024.12.01 dan sebelumnya), atau memberikan konfigurasi SSSD tambahan dari portal web RES berikut yang akan diterapkan ke VDI Anda Sinkronisasi Direktori Aktif yang ada atau baru secara otomatis (rilis 2025.03 dan sesudahnya).

........................

Saya tidak dapat masuk ke portal web RES setelah mengonfigurasi SSO

Periksa tabel environment-name.accounts.users dan environment-name.accounts.groups DynamoDB untuk melihat apakah pengguna dan grup disinkronkan dari Active Directory Anda. Jika tabel kosong atau kehilangan pengguna yang Anda masuki, periksa log sinkronisasi AD di grup /environment-name/cluster-manager CloudWatch log (sebelum rilis 2024.12) atau grup /environment-name/ad-sync CloudWatch log (rilis 2024.12 dan yang lebih baru).

Selain masalah konfigurasi AD umum yang disebutkan diVDI saya macet dalam status penyediaan untuk waktu yang lama, atau saya tidak dapat memasukkan VDI saya sebagai pengguna AD setelah VDI siap, kesalahan lain mungkin termasuk:

  • Akun Layanan tidak memiliki izin untuk menanyakan pengguna dan grup di AD.

  • Pengguna/grup di Active Directory kehilangan atribut yang diperlukan seperti alamat email.

    • Perbarui atribut pengguna/grup Anda sesuai untuk memperbaiki masalah.

Setelah memperbaiki masalah sinkronisasi AD, Anda dapat menunggu sinkronisasi AD terjadwal berikutnya yang terjadi setiap jam atau memicunya secara manual mengikuti instruksi di Cara menjalankan sinkronisasi secara manual (rilis 2024.12 dan 2024.12.01) (rilis 2024.12 dan 2024.12.01) atau Cara memulai atau menghentikan sinkronisasi secara manual (rilis 2025.03 dan yang lebih baru) (rilis 2025.03 dan yang lebih baru).

........................

Pengguna AD tidak dapat mengakses direktori home menggunakan File Browser bahkan setelah meluncurkan Linux VDI berhasil

Periksa apakah pengguna AD terlihat oleh Cluster Manager dengan menjalankan perintah id username pada instance Cluster Manager. Jika perintah tidak dapat mengembalikan UID/GID dari pengguna AD yang sesuai, periksa log Manajer Cluster di bawah grup /environment-name/cluster-manager CloudWatch log dan cari kesalahan tentang memulai layanan SSSD. Jika tidak ada kesalahan dalam log Cluster Manager, periksa status layanan SSSD menggunakan perintah sudo systemctl status sssd pada instance Cluster Manager serta log layanan SSSD di bawah direktori. /var/log/sssd/

Jika pengguna AD terlihat oleh Cluster Manager, periksa UID/GID pada direktori home pengguna (/home/username) dengan menjalankan perintahls -n /home. Bandingkan UID/GID direktori home pengguna dengan UID/GID yang dikembalikan oleh perintah. id username Jika UID/GID tidak cocok, itu berarti direktori home pengguna mungkin dibuat di luar RES atau dari penerapan RES sebelumnya. Cadangkan data pengguna penting, hapus direktori home dan luncurkan VDI Linux baru dengan pengguna. Direktori home akan dibuat ulang dengan UID/GID yang tepat setelah VDI baru berhasil disediakan.

........................

Pengguna admin AD tidak dapat mengakses Bastion Host setelah akses SSH diaktifkan

Periksa apakah pengguna AD terlihat oleh Bastion Host dengan menjalankan perintah id username pada instance Bastion Host. Jika perintah tidak dapat mengembalikan UID/GID dari pengguna AD yang sesuai, periksa log Host Bastion di bawah grup /environment-name/bastion-host CloudWatch log dan cari kesalahan tentang memulai layanan SSSD. Jika tidak ada kesalahan dalam log Host Bastion, periksa status layanan SSSD menggunakan perintah sudo systemctl status sssd pada instance Bastion Host serta log layanan SSSD di bawah direktori. /var/log/sssd/

........................

Lihat dan kelola Direktori Aktif saya yang digunakan oleh tumpukan sumber daya eksternal RES

Jika Direktori Aktif AWS terkelola digunakan oleh tumpukan sumber daya eksternal RES, harus ada instance dengan nama yang dimulai dengan AdDomainWindowsNode-external-resource-stack-name-WindowsManagementHost disebarkan di bawah AWS akun Anda yang dapat digunakan untuk mengakses dan mengelola Direktori Aktif. Anda dapat masuk instans melalui Fleet Manager di konsol EC2 dengan kredensi berikut:

  • Nama Pengguna: Admin

  • kata sandi: AdminPassword parameter disediakan saat menerapkan tumpukan sumber daya eksternal

Untuk AWS mengelola Direktori Aktif terkelola, periksa Kelola pengguna dan grup dengan instans Amazon EC2 di Panduan Administrasi Layanan AWS Direktori.

........................