Solucionar problemas de assinaturas baseadas em usuário no License Manager

Veja a seguir dicas de solução de problemas para ajudar a resolver problemas que podem ocorrer no AWS License Manager com assinaturas baseadas no usuário.

Sumário

Solucione problemas de conformidade de instâncias

As instâncias que fornecem assinaturas baseadas no usuário devem permanecer com status íntegro para estarem em conformidade. As instâncias marcadas como não íntegras não atendem mais aos pré-requisitos exigidos. O License Manager tentará retornar a instância ao status íntegro, mas as instâncias que não conseguirem retornar ao status íntegro serão terminadas.

As instâncias que forem executadas para fornecer assinaturas baseadas no usuário e não conseguirem concluir a configuração inicial serão terminadas. Você deve corrigir o problema de configuração e executar novas instâncias para fornecer assinaturas baseadas no usuário nesse cenário. Para obter mais informações, consulte o Pré-requisitos para criar assinaturas baseadas no usuário no License Manager.

Solucionar problemas de falha na configuração do produto de assinatura de usuário

A configuração do seu produto pode estar falhando devido a problemas com o acesso externo à rede. Para resolver isso, certifique-se de que o grupo de segurança padrão permita tráfego de saída para os endereços IP da interface de rede de cada controlador de domínio, bem como para o SSM.

Verifique se as configurações padrão do grupo de segurança facilitam o tráfego de saída para os endereços IP das interfaces de rede do controlador de domínio.
- O License Manager cria duas interfaces de rede que usam o grupo de segurança padrão da VPC em que a sua AWS Managed Microsoft AD está provisionada. Essas interfaces são usadas para a funcionalidade de serviço necessária com o diretório. Certifique-se de que seu grupo de segurança padrão permita tráfego de saída para o endereço IP da interface de rede de cada controlador de domínio ou para o grupo de segurança usado pelos controladores de domínio. Para obter mais informações, consulte Pré-requisitos para criar assinaturas baseadas no usuário e O que é criado no Guia de Administração. Directory Service
Configure o acesso de saída à Internet a partir de instâncias que fornecem assinaturas baseadas no usuário ou VPC endpoints.
- O acesso de saída à Internet das instâncias que fornecem assinaturas baseadas no usuário, ou VPC endpoints, deve ser configurado para que suas instâncias se comuniquem com o SSM. Para obter mais informações, consulte Configurando o Systems Manager para instâncias do EC2 no Guia do AWS Systems Manager usuário.

Quando o processo de provisionamento estiver concluído, será possível associar um grupo de segurança diferente às interfaces criadas pelo License Manager. O grupo de segurança selecionado também deve permitir o tráfego necessário para o IPv4 endereço da interface de rede ou grupo de segurança de cada controlador de domínio. Para obter mais informações, consulte Trabalhar com grupos de segurança no Guia do usuário da Amazon Virtual Private Cloud.

Solucionar problemas de falhas no lançamento de instâncias de assinatura de usuários

As execuções de sua instância podem estar falhando por vários motivos. Aqui estão alguns dos problemas comuns nos quais a inicialização de uma instância pode falhar:

Certifique-se de que sua instância possa ser descoberta pelo SSM, consulte. Solucionar problemas de conectividade da instância
Certifique-se de que sua instância seja capaz de se juntar ao seu domínio, consulteSolucionar falhas ao ingressar no domínio.
Certifique-se de que a regra de endpoint do resolvedor de saída Route53 esteja definida. Para obter mais informações, consulte a postagem do blog Integrando a resolução de DNS do seu serviço de diretório com os resolvedores do Amazon Route 53.
Ao iniciar instâncias personalizadas AMIs criadas em cima da assinatura do usuário AMIs, certifique-se de executar o Sysprep e garantir nomes de computador exclusivos ao criar e executar instâncias personalizadas. AMIs

Solucionar problemas de conformidade de licenças

Se você configurou seu Active Directory para fornecer assinaturas baseadas em usuário com o Microsoft Office, você deve garantir que seus recursos possam se conectar aos endpoints de VPC que o License Manager cria. Os endpoints exigem tráfego de entrada na porta TCP 1688 das instâncias que fornecem assinaturas baseadas no usuário.

É possível usar o Reachability Analyzer para ajudar a confirmar se a configuração de rede das instâncias que fornecem assinaturas baseadas no usuário e os endpoints da VPC estão configurados corretamente. É possível especificar como origem uma ID de instância executada em uma sub-rede que fornece assinaturas baseadas no usuário e um endpoint da VPC provisionado para produtos do Microsoft Office como destino. Especifique TCP como protocolo e 1688 como porta de destino para o caminho a ser analisado. Para obter mais informações, consulte Como posso solucionar problemas de conectividade em meus endpoints da VPC de gateway e interface?.

Solucionar problemas de conectividade da instância

Os usuários devem poder usar o RDP para se conectar às instâncias que fornecem assinaturas baseadas no usuário para usar os produtos contidos. Para obter mais informações sobre como solucionar problemas de conectividade de instâncias, consulte Solucionar problemas de conexão com sua instância do Windows no Guia do usuário do Amazon EC2.

Solucionar falhas ao ingressar no domínio

Os usuários devem poder se conectar às instâncias que fornecem aos produtos de assinatura baseados em usuário suas identidades de usuário do Active Directory configurado nas configurações do License Manager. As instâncias que não conseguirem ingressar no domínio serão encerradas.

Para solucionar o problema, talvez seja necessário executar uma instância e ingressar manualmente no domínio para que o atributo não seja encerrado antes de poder investigar. A instância deve receber e executar o comando de execução do Systems Manager com êxito, e a instância também deve ser capaz de ingressar no domínio dentro do sistema operacional. Para obter mais informações, consulte Compreender os status de comando no Guia do usuário do AWS Systems Manager e Como solucionar erros que ocorrem quando computadores baseados no Windows ingressam em um domínio no site da Microsoft.

Se você iniciar instâncias a partir de uma AMI personalizada que usa uma AMI de produto de assinatura baseada em usuário como imagem base, deverá executar as etapas do Sysprep na AMI personalizada para garantir um nome de computador exclusivo na inicialização. Antes de executar o Sysprep com /generalize, verifique se a máquina foi removida do domínio.

Solucionar problemas de conectividade do Systems Manager

As instâncias que fornecem assinaturas baseadas no usuário devem ser gerenciadas AWS Systems Manager ou serão encerradas. Para obter mais informações, consulte Solução de problemas do SSM Agent e Solução de problemas de disponibilidade do nó gerenciado no Guia do usuário do AWS Systems Manager .

Solucionar problemas do comando Run do Systems Manager

O Run Command, um atributo do Systems Manager, é usado com instâncias que fornecem assinaturas baseadas no usuário para ingressar no domínio, fortalecer o sistema operacional e realizar auditorias de acesso ao produto incluído. Para obter mais informações, consulte Entender os status dos comandos no Guia do usuário do AWS Systems Manager .

Solucionar problemas de falhas de licenciamento do Microsoft RDS

Se você tiver problemas com a emissão de CAL (Licença de Acesso para Cliente), verifique se há servidores de licenciamento Microsoft RDS adicionais presentes em seu farm de servidores ou grupo de servidores de terminal. Não recomendamos ter servidores de licenciamento adicionais nesses locais, pois isso pode interferir na emissão de CAL e levar a complicações de licenciamento.

Para resolver esse problema, certifique-se de que somente os servidores Microsoft RDS pretendidos permaneçam em seu farm de servidores e grupo de servidores de terminal.

Ao solucionar problemas de licenciamento, lembre-se de que as conexões que usam o sinalizador /admin ignoram as verificações de licenciamento padrão, pois esse sinalizador é destinado a fins administrativos e não consome uma CAL. Isso pode mascarar problemas de licenciamento subjacentes. Para diagnosticar problemas de licenciamento, verifique se as conexões de usuário padrão (sem o sinalizador /admin) estão funcionando corretamente para o gerenciamento de licenças.

Solucionar problemas de falhas de ativação do Microsoft Office

Se a ativação do Microsoft Office falhar, verifique se sua instância tem acesso à VPC definida para o License Manager. Qualquer uma das opções a seguir satisfaz esse requisito:

Sua instância está sendo executada na VPC integrada ao License Manager (por meio do VPC endpoint)
Sua instância está sendo executada em uma VPC pareada com a VPC integrada do License Manager.

Para resolver esse problema, certifique-se de que sua instância seja movida para a VPC correta ou estabeleça o emparelhamento de VPC com a VPC integrada do License Manager.

Solucionar problemas de incapacidade de excluir o Active Directory

O License Manager é registrado como um aplicativo autorizado no Directory Service durante a configuração, protegendo assim os diretórios ativos da exclusão depois de configurados. Como parte do procedimento padrão, os clientes precisam primeiro remover todas as instâncias, associações de instâncias e assinaturas de usuários. Depois disso, eles podem prosseguir com a remoção do diretório ativo do License Manager e, posteriormente, excluir o próprio diretório.

Solucionar problemas de incapacidade de excluir a função vinculada ao AWSService RoleFor AWSLicense ManagerUserSubscriptionsService serviço (SLR)

O License Manager exige a função vinculada ao serviço AWSService RoleFor AWSLicense ManagerUserSubscriptionsService "" para gerenciar AWS recursos que fornecerão assinaturas baseadas no usuário. Uma função vinculada ao serviço facilita a configuração do License Manager porque você não precisa adicionar manualmente as permissões necessárias. O License Manager define as permissões dos perfis vinculados ao serviço e, exceto se definido de outra forma, somente o License Manager pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter mais informações, consulte Pré-requisitos para criar assinaturas baseadas no usuário no License Manager License Manager — Função de assinatura baseada no usuário e funções vinculadas ao serviço.

Erro de solução de problemas: a assinatura não está presente para o produto RDS SAL

Sua conta deve ter uma assinatura da Licença de Acesso de Assinante dos Serviços de Área de Trabalho Remota do Windows Server (RDS SAL). Todos os usuários associados às instâncias que fornecem produtos de assinatura com base no usuário devem ter uma única assinatura ativa dessa licença, além de todos os outros produtos que quiserem usar. O usuário será inscrito no RDS SAL em seu nome quando assinar um produto de assinatura baseada no usuário.

Mas se a assinatura tiver sido cancelada ou removida devido a outros motivos de conformidade, talvez você precise se inscrever novamente. Se você já estiver inscrito, tente cancelar e reassinar, o que não afetará suas assinaturas de usuário do License Manager.

Solucione problemas de contagem de licenças que não estão aparecendo corretamente

Após a configuração inicial ou as alterações na configuração, pode levar até 24 horas para que o servidor de licenças exiba contagens precisas de licenças para todos os tipos de licenças no Diagnosticador de Licenças.

O que fazer:

Aguarde até 24 horas após a configuração antes de esperar um relatório preciso da contagem de licenças

Esse atraso é normal e permite que o servidor de licenças tenha tempo suficiente para sincronizar e atualizar adequadamente todas as informações da licença em diferentes tipos de licença. Se você encontrar um erro, consulteSolucionar problemas do RDS License Diagnoser.

Solucionar problemas do RDS License Diagnoser

Esses erros geralmente são causados por problemas de credenciais ou de permissão. Para resolver:

Verifique as credenciais do usuário: verifique se você está usando a mesma conta de usuário fornecida ao License Manager durante a integração
Verifique as credenciais da sessão: se você ver “Credenciais não disponíveis” no servidor na seção de resumo:
1. Clique no servidor de licenças na seção de resumo que mostra “Credenciais não disponíveis”
2. No menu do lado direito que se abre, adicione as credenciais do usuário que foi integrado ao License Manager
3. Clique em “Atualizar”

Se o problema persistir, siga as etapas adicionais de solução de problemas descritas na documentação da Microsoft: Não é possível conectar-se ao RDS - Sem servidor de licenças

Isso deve resolver a maioria dos problemas relacionados a credenciais e permissões com o Diagnosticador de Licenças.

Solucionar problemas de confiança

Com base em nossa experiência de trabalho com muitos clientes, a grande maioria dos problemas de configuração de confiança são erros de resolução de DNS ou de conectividade de rede. Estas são algumas etapas de solução de problemas para ajudá-lo a resolver problemas comuns:

Verifique se você permitiu tráfego de rede de saída no AWS Managed Microsoft AD.
Se o servidor DNS ou a rede do seu domínio local usar um espaço de endereço IP público (não RFC 1918), siga estas etapas:
- No Directory Service console, vá para a seção de roteamento IP do seu diretório, escolha Ações e, em seguida, escolha Adicionar rota.
- Insira o bloco de endereços IP do seu servidor DNS ou rede local usando o formato CIDR, por exemplo, 203.0.113.0/24.
- Essa etapa não é necessária se o servidor DNS e a rede local estiverem usando espaços de endereço IP privados RFC 1918.
Depois de verificar o grupo de segurança e verificar se alguma rota aplicável é necessária, inicie uma instância do Windows Server e associe-a ao AWS Managed Microsoft AD diretório. Depois que a instância for iniciada:
- Execute este PowerShell comando para testar a conectividade DNS:
```
Resolve-DnsName -Name 'example.local' -DnsOnly
```

Você também deve examinar as explicações das mensagens no guia de motivos do status de criação de confiança na Directory Service documentação.

Solucionar problemas de cobrança de assinaturas de usuários

AWS cobrará você por meio de uma assinatura mensal, com base no número de usuários associados à licença, incluindo instâncias do Microsoft Office ou do Visual Studio. Essas cobranças por usuário são cobradas por mês civil, e a cobrança começa no momento em que você assina o produto. Se você remover o acesso a um usuário durante o mês existente, você será cobrado pelo usuário pelo restante do mês. Você deixará de incorrer em cobranças para o usuário no mês seguinte.

Além disso:

O faturamento é baseado em uma base por usuário nas assinaturas do usuário. Somente os usuários inscritos no produto incorrerão em cobranças, nem todos os usuários do Active Directory.
O faturamento opera em um ciclo mensal, começando no primeiro dia de cada mês civil. As cobranças são cobradas durante todo o mês, independentemente da data específica de ativação da assinatura.
Você precisa de um RDS SAL para cada usuário que precisa acessar suas Office/VS instâncias.
Para parar de incorrer em cobranças por assinaturas baseadas no usuário, você deve desassociar o usuário de todas as instâncias às quais ele está associado. A exclusão de um usuário do Active Directory não dissocia o usuário das instâncias. Para obter mais informações, consulte Desassociar usuários de uma instância que fornece assinaturas baseadas no usuário do License Manager.
Um usuário só é contado uma vez. Você é cobrado por usuário pelo Microsoft Office e pelo Visual Studio, independentemente do número de instâncias do EC2 às quais o usuário se conecta. Os usuários são cobrados pela assinatura uma vez, independentemente do uso de várias instâncias.

Solucionar problemas de status de assinatura inativa do Marketplace

Depois de configurar seu diretório com os produtos necessários, você precisaria assinar os produtos necessários. Os produtos com status de assinatura do Marketplace como Inativa exigem que você assine antes de poder associar usuários a uma instância e utilizá-los.

Solucione problemas de limites de usuários por instância

Há um limite de 25 instâncias por usuário. Caso precise de ajustes, entre em contato com o AWS Support. Os usuários são cobrados pela assinatura uma vez, independentemente do uso de várias instâncias.

Solucionar problemas do token CAL não vendido após a migração para o RDS SAL

Se você usa seus próprios servidores de licenças Microsoft RDS, todos os tokens de Licença de Acesso para Cliente (CAL) já emitidos permanecerão válidos até expirarem. Durante esse período, os usuários com tokens CAL válidos não são automaticamente inscritos no produto RDS SAL. Novas sessões de usuário não são automaticamente inscritas no RDS SAL, mesmo que o License Manager esteja configurado. O License Manager não substitui os tokens CAL existentes emitidos por seus próprios servidores de licenças. O servidor de licenças gerenciadas pelo serviço começa a emitir tokens e a lidar com novas solicitações somente após a expiração dos tokens CAL existentes. Quando os tokens CAL emitidos atualmente atingem sua data de expiração, as novas solicitações de token são tratadas pelo servidor de licenças gerenciado pelo serviço e os usuários são assinados automaticamente no produto RDS SAL conforme necessário.

A união perfeita de domínios não funciona para instâncias do EC2 com produtos de assinatura de usuário

O License Manager precisa realizar a associação de domínio nessas instâncias usando SSM para permitir acesso autorizado somente aos usuários inscritos no produto. Como resultado, o recurso de associação perfeita ao domínio é desativado.

O VPC endpoint foi criado em minha conta

O License Manager cria VPC endpoints necessários para que seus recursos se conectem aos servidores de ativação e permaneçam em conformidade quando você configura sua VPC.

Remova todos os recursos de VPC endpoint criados pelo License Manager

Para excluir os recursos do VPC endpoint, você deve realizar as seguintes ações:

Desassociar todos os usuários das assinaturas baseadas no usuário. Para obter mais informações, consulte Desassociar usuários de uma instância que fornece assinaturas baseadas no usuário do License Manager.
Remova qualquer diretório que esteja configurado das configurações do License Manager. Para obter mais informações, consulte Cancelar o registro de um Active Directory nas configurações do License Manager.
Terminar todas as instâncias que fornecem produtos de assinatura baseada no usuário. Para obter mais informações, consulte Execute uma instância a partir de uma licença incluída (AMI).

Alterar um nome de usuário no Managed Active Directory

Alterar um nome de usuário não afeta sua capacidade de RDP em instâncias associadas. Os usuários associados devem poder usar seus detalhes de login atualizados para RDP em instâncias de assinatura de usuário.

Dissociar usuários de uma instância encerrada

Sempre que uma instância de assinatura de usuário é encerrada, todos os usuários associados à instância são desassociados. Você não precisa desassociar manualmente o usuário.

nota

Os usuários não são dissociados se a instância for interrompida.

Instale software adicional em instâncias de assinatura de usuários

É possível instalar software adicional em suas instâncias que não estejam disponíveis como assinaturas baseadas no usuário. Instalações adicionais de software não são monitoradas pelo License Manager. Essas instalações devem ser realizadas usando a conta Admin, que é criada por padrão em seu AWS Managed Microsoft AD diretório. Para obter mais informações, consulte Conta de administrador no Guia de Directory Service administração.

Para instalar software adicional com a conta Admin, você deve:

Inscrever a conta de administrador no produto fornecido pela instância.
Associar a conta de administrador à instância.
Conectar-se à instância usando a conta Admin para realizar a instalação.

Para obter mais informações, consulte Comece com assinaturas baseadas em usuário no License Manager.

Pacotes de idioma japonês em instâncias de assinatura de usuários

A instalação do pacote de idioma japonês é compatível com instâncias de assinatura de usuário.

Usuário administrador local em instâncias de assinatura de usuário

Só permitimos que usuários sob o domínio do Active Directory gerenciado por usuários sejam associados a instâncias de assinatura de usuários para impedir o acesso não autorizado a esses produtos da Microsoft. Quando você cria usuários locais com privilégios de administrador em instâncias que fornecem assinaturas baseadas em usuários, o status de integridade da instância muda para não íntegro.

Número de usuários que podem usar RDP para uma instância de assinaturas de usuários

As instâncias que fornecem assinaturas baseadas em usuário oferecem suporte a até duas sessões de usuário ativas por vez, conforme declarado em Use License Manager, assinaturas baseadas em usuário para produtos de software compatíveis. Por padrão, o Windows permite até duas conexões de área de trabalho remota, incluindo uma conexão de administrador a qualquer momento, em todas as edições do Windows Server. Para usar mais de 2 usuários simultâneos, os clientes precisam configurar um servidor de licenciamento RDS.

Usuários em meus produtos autogerenciados do AD para Office e Visual Studio

Para associar usuários em seu diretório autogerenciado, você deve estabelecer uma relação de confiança bidirecional entre seu diretório autogerenciado e seu diretório. AWS Managed Microsoft AD Para obter mais informações, consulte Tutorial: Crie uma relação de confiança entre seu domínio autogerenciado do Active Directory AWS Managed Microsoft AD e o seu no Guia de Directory Service Administração.

Sistemas operacionais Windows compatíveis

Para obter informações sobre plataformas de sistema operacional Windows suportadas, consulteProdutos de software compatíveis para assinaturas baseadas em usuário no License Manager.

Versões compatíveis do Office e do Visual Studio

Para obter informações sobre o software compatível com assinaturas baseadas no usuário, consulte. Software com suporte para assinaturas baseadas no usuário

Usando a assinatura de usuário com versões mais antigas do Windows Server

Quando você executa uma instância de uma AMI que oferece suporte ao Office LTSC Professional Plus ou ao Microsoft Visual Studio, o padrão de execução é a versão mais recente da plataforma do sistema operacional Windows da AMI (por exemplo, Windows Server 2022). Para iniciar com uma versão anterior da plataforma do sistema operacional, siga estas etapas:

Abra o AWS Marketplace console emhttps://console.aws.amazon.com/marketplace.
No painel de navegação, escolha Gerenciar assinaturas.
Para otimizar os resultados da assinatura, você pode pesquisar todo ou parte do nome da assinatura. Por exemplo, Office LTSC Professional Plus ou Visual Studio Enterprise.
Selecione Iniciar nova instância no painel de assinatura. Isso abre uma página de configuração de execução.
Para iniciar uma instância a partir de uma AMI baseada em uma versão anterior da plataforma do sistema operacional Windows, selecione o link completo AWS Marketplace do site, localizado abaixo da versão do software. Isso leva você a uma página de configuração na qual você pode selecionar em uma lista de versões.
A lista mostra as versões mais recentes da AMI para as plataformas de sistema operacional Windows compatíveis. Selecione a versão do sistema operacional Windows a partir da qual você deseja iniciar.

Usando assinaturas de usuário do License Manager em todas as contas ou regiões

Esses cenários são suportados:

Usando assinaturas de usuário do License Manager em todas as contas

Usando assinaturas de usuário do License Manager com o Active Directory compartilhado

Esses cenários não são suportados:

Usando assinaturas de usuário do License Manager em todas as regiões

Dicas para entrar em contato com o AWS Support

Ao entrar em contato com o AWS suporte, crie uma instância com as mesmas configurações de uma instância encerrada e ative a proteção contra encerramento da instância para obter uma resposta rápida.
Para qualquer problema relacionado ao RDP, precisaríamos de registros relacionados ao RDP para ajudar a depurar esses problemas. Utilize o 'AWSSupport-RunEC2RescueForWindowsTool' para ambientes com acesso à Internet. Para obter mais informações, consulte EC2Rescue for Windows Server.
Ao usar uma instância do Office como instância de trabalho e montar um volume restaurado a partir de um instantâneo do volume da instância original, é possível coletar dados mesmo em um ambiente sem acesso à Internet.
Solução de problemas de lançamentos de instâncias a partir do backup AMIs: se você iniciar uma instância a partir de uma AMI de backup, deverá encerrar a instância original.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Cancelar o registro do Active Directory

Gerenciar assinaturas Linux