對 License Manager 中的使用者型訂閱進行故障診斷 - AWS License Manager
對執行個體合規進行故障診斷使用者訂閱產品組態失敗的故障診斷使用者訂閱執行個體啟動失敗的故障診斷對授權合規進行故障診斷執行個體連線故障診斷對加入網域的失敗進行故障診斷Systems Manager 連線故障診斷Systems Manager Run Command 故障診斷故障診斷 Microsoft RDS 授權失敗故障診斷 Microsoft Office 啟用失敗故障診斷無法刪除 Active Directory故障診斷無法刪除 AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService Service Linked Role (SLR)RDS SAL 產品的訂閱故障診斷不存在錯誤故障診斷授權計數未正確顯示故障診斷 RDS License Diagnoser 問題對信任進行故障診斷使用者訂閱的帳單問題疑難排解故障診斷非作用中的市集訂閱狀態對每個執行個體的使用者限制進行故障診斷對遷移至 RDS SAL 後未提供的 CAL 字符進行故障診斷無縫網域聯結不適用於具有使用者訂閱產品的 EC2 執行個體已在我的帳戶中建立 VPC 端點移除 License Manager 建立的所有 VPC 端點資源在 Managed Active Directory 上變更使用者名稱取消使用者與已終止執行個體的關聯在使用者訂閱執行個體上安裝其他軟體使用者訂閱執行個體上的日文語言套件使用者訂閱執行個體上的本機管理員使用者可 RDP 至使用者訂閱執行個體的使用者數量我的自我管理 AD for Office 和 Visual Studio 產品中的使用者支援的 Windows 作業系統支援的 Office 和 Visual Studio 版本搭配較舊的 Windows Server 版本使用使用者訂閱跨帳戶或區域使用 License Manager 使用者訂閱聯絡 AWS Support 的提示

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對 License Manager 中的使用者型訂閱進行故障診斷

以下是疑難排解秘訣,可協助解決 中以使用者為基礎的訂閱可能發生的問題 AWS License Manager。

內容

對執行個體合規進行故障診斷

提供以使用者為基礎的訂閱的執行個體必須保持運作狀態,才能符合規範。標示為運作狀態不佳的執行個體不再符合必要的先決條件。License Manager 會嘗試將執行個體恢復為正常運作狀態,但無法恢復正常運作狀態的執行個體會終止。

啟動以提供以使用者為基礎的訂閱,且無法完成初始組態的執行個體將會終止。您必須修正組態問題並啟動新的執行個體,才能在此案例中提供以使用者為基礎的訂閱。如需更多資訊,請參閱在 License Manager 中建立使用者型訂閱的先決條件

使用者訂閱產品組態失敗的故障診斷

您的產品組態可能因為傳出網路存取問題而失敗。若要解決此問題,請確定預設安全群組允許傳出流量傳送到每個網域控制器網路介面和 SSM 的 IP 地址。

  • 確認預設安全群組設定有助於傳出流量到網域控制器網路介面的 IP 地址。

    • License Manager 會建立兩個網路介面,使用 AWS Managed Microsoft AD 佈建您 之 VPC 的預設安全群組。這些界面用於目錄所需的服務功能。請確定您的預設安全群組允許傳出流量傳送到每個網域控制器的網路介面 IP 地址,或網域控制器使用的安全群組。如需詳細資訊,請參閱 管理指南中 Directory Service 建立使用者型訂閱的先決條件建立的內容

  • 從提供使用者型訂閱或 VPC 端點的執行個體設定傳出網際網路存取。

    • 必須設定來自提供使用者型訂閱或 VPC 端點之執行個體的傳出網際網路存取,您的執行個體才能與 SSM 通訊。如需詳細資訊,請參閱 AWS Systems Manager 《 使用者指南》中的為 EC2 執行個體設定 Systems Manager

佈建程序完成後,您可以將不同的安全群組與 License Manager 建立的介面建立關聯。您選取的安全群組也必須允許每個網域控制器的網路介面 IPv4 地址或安全群組所需的流量。如需詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的使用安全群組

使用者訂閱執行個體啟動失敗的故障診斷

由於多個原因,您的執行個體啟動可能會失敗。以下是執行個體啟動可能失敗的一些常見問題:

對授權合規進行故障診斷

如果您將 Active Directory 設定為透過 Microsoft Office 提供以使用者為基礎的訂閱,您必須確保您的資源可以連線到 License Manager 建立的 VPC 端點。端點需要 TCP 連接埠 1688 上來自提供使用者型訂閱之執行個體的傳入流量。

您可以使用 Reachability Analyzer 來協助確認來自提供使用者型訂閱之執行個體的聯網組態,以及 VPC 端點已正確設定。您可以指定在子網路中啟動的執行個體 ID,提供以使用者為基礎的訂閱做為來源,以及為 Microsoft Office 產品佈建的 VPC 端點做為目的地。指定 TCP 做為通訊協定,並指定 1688 做為要分析路徑的目的地連接埠。如需詳細資訊,請參閱如何對閘道和界面 VPC 端點的連線問題進行疑難排解?

執行個體連線故障診斷

使用者必須能夠使用 RDP 連線到提供使用者型訂閱的執行個體,才能使用其中的產品。如需執行個體連線故障診斷的詳細資訊,請參閱《Amazon EC2 使用者指南》中的連線至 Windows 執行個體的故障診斷

對加入網域的失敗進行故障診斷

使用者必須能夠連線至執行個體,從 License Manager 設定中設定的 Active Directory 提供使用者型訂閱產品及其使用者身分。無法加入網域的執行個體將會終止。

若要疑難排解,您可能需要啟動執行個體並手動加入網域,才不會終止資源,才能進行調查。執行個體必須成功接收並執行 Systems Manager Run Command,而且執行個體也必須能夠在作業系統內完成網域聯結。如需詳細資訊,請參閱AWS Systems Manager 《 使用者指南》中的了解命令狀態以及如何針對將 Windows 型電腦加入 Microsoft 網站上的網域時發生的錯誤進行故障診斷

如果您從使用使用者型訂閱產品 AMI 作為其基礎映像的自訂 AMI 啟動執行個體,您必須在自訂 AMI 上執行 Sysprep 步驟,以確保啟動時的唯一電腦名稱。使用 /generalize 執行 Sysprep 之前,請確定機器已從網域中移除。

Systems Manager 連線故障診斷

提供使用者型訂閱的執行個體必須由 管理 AWS Systems Manager ,否則將會終止。如需詳細資訊,請參閱AWS Systems Manager 《 使用者指南》中的對 SSM 代理程式進行故障診斷和對受管節點可用性進行故障診斷

Systems Manager Run Command 故障診斷

Run Command 是 Systems Manager 的一項功能,可與提供以使用者為基礎的訂閱的執行個體搭配使用,以加入網域、強化作業系統,以及對包含的產品執行存取稽核。如需詳細資訊,請參閱AWS Systems Manager 《 使用者指南》中的了解命令狀態

故障診斷 Microsoft RDS 授權失敗

如果您遇到 CAL (用戶端存取授權) 發行的問題,請檢查您的伺服器陣列或終端機伺服器群組中是否存在其他 Microsoft RDS 授權伺服器。我們不建議在這些位置擁有額外的授權伺服器,因為這可能會干擾 CAL 發行並導致授權複雜性。

若要解決此問題,請確保只有預期的 Microsoft RDS 伺服器保留在您的伺服器陣列和終端機伺服器群組中。

疑難排解授權問題時,請注意使用 /admin 旗標略過標準授權檢查的連線,因為此旗標旨在用於管理目的,且不會使用 CAL。這可能會掩蓋基礎授權問題。若要診斷授權問題,請驗證標準使用者連線 (不含 /admin 旗標) 是否正常運作以進行授權管理。

故障診斷 Microsoft Office 啟用失敗

如果 Microsoft Office 啟用失敗,請確認您的執行個體可存取 License Manager 定義的 VPC。下列其中一個選項符合此要求:

  • 您的執行個體正在已加入 License Manager 的 VPC 中執行 (透過 VPC 端點)

  • 您的執行個體正在與已加入 VPC 的 License Manager 對等的 VPC 中執行。

若要解決此問題,請確定您的執行個體已移至正確的 VPC,或與已加入 License Manager 的 VPC 建立 VPC 對等互連。

故障診斷無法刪除 Active Directory

License Manager 會在組態期間向 Directory Service 註冊為授權應用程式,藉此在設定後保護作用中目錄免於刪除。在標準程序中,客戶需要先移除所有執行個體、執行個體關聯和使用者訂閱。之後,他們可以繼續從 License Manager 中移除作用中目錄,然後刪除目錄本身。

故障診斷無法刪除 AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService Service Linked Role (SLR)

License Manager 需要「AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService」服務連結角色來管理將提供使用者型訂閱 AWS 的資源。服務連結角色可讓您更輕鬆地設定 License Manager,因為您不必手動新增必要的許可。License Manager 會定義其服務連結角色的許可,除非另有定義,否則只有 License Manager 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。

如需詳細資訊,請參閱 在 License Manager 中建立使用者型訂閱的先決條件License Manager – 以使用者為基礎的訂閱角色和服務連結角色

RDS SAL 產品的訂閱故障診斷不存在錯誤

您的帳戶必須擁有 Windows Server 遠端桌面服務訂閱者存取授權 (RDS SAL) 的訂閱。與提供使用者型訂閱產品的執行個體相關聯的所有使用者,除了想要使用的任何其他產品之外,還必須擁有此授權的單一作用中訂閱。您的使用者訂閱以使用者為基礎的訂閱產品時,將會代表他們訂閱 RDS SAL。

但是,如果由於其他合規原因而取消訂閱或移除,您可能需要重新訂閱。如果您已訂閱,您可以嘗試取消訂閱並重新訂閱,這不會影響您的 License Manager 使用者訂閱。

故障診斷授權計數未正確顯示

初始設定或組態變更後,授權伺服器最多可能需要 24 小時才能在 License Diagnoser 中顯示所有授權類型的正確授權計數。

處理方式:

  • 在設定後等待最多 24 小時,再預期準確的授權計數報告

此延遲是正常的,可讓授權伺服器有足夠的時間正確同步和更新不同授權類型的所有授權資訊。如果您遇到錯誤,請參閱 故障診斷 RDS License Diagnoser 問題

故障診斷 RDS License Diagnoser 問題

這些錯誤通常是由登入資料或許可問題造成。若要解決問題:

  1. 驗證使用者登入資料:確保您使用的使用者帳戶與加入期間提供給 License Manager 的使用者帳戶相同

  2. 檢查工作階段登入資料:如果您在摘要區段中看到伺服器的「憑證不可用」

    1. 在顯示「憑證不可用」的摘要區段中,按一下授權伺服器

    2. 在開啟的右側選單中,新增已加入 License Manager 的使用者憑證

    3. 按一下「重新整理」

如果問題仍然存在,請遵循 Microsoft 文件中所述的其他疑難排解步驟:無法連線至 RDS - 無授權伺服器

這應該會解決 License Diagnoser 的大多數登入資料和許可相關問題。

對信任進行故障診斷

根據我們與許多客戶合作的經驗,絕大多數的信任組態問題是 DNS 解析或網路連線錯誤。以下是一些疑難排解步驟,可協助您解決常見問題:

  • 檢查您是否允許 上的傳出聯網流量 AWS Managed Microsoft AD。

  • 如果現場部署網域的 DNS 伺服器或網路使用公有 (非 RFC 1918) IP 地址空間,請遵循下列步驟:

    • 在 Directory Service 主控台中,前往目錄的 IP 路由區段,選擇動作,然後選擇新增路由

    • 使用 CIDR 格式輸入 DNS 伺服器或內部部署網路的 IP 地址區塊,例如 203.0.113.0/24。

    • 如果您的 DNS 伺服器和內部部署網路都使用 RFC 1918 私有 IP 地址空間,則不需要此步驟。

  • 驗證安全群組並檢查是否需要任何適用的路由後,請啟動 Windows Server 執行個體並將其加入 AWS Managed Microsoft AD 目錄。執行個體啟動後:

    • 執行此 PowerShell 命令來測試 DNS 連線:

      Resolve-DnsName -Name 'example.local' -DnsOnly

您也應該查看 文件信任建立狀態原因指南中的 Directory Service 訊息說明。

使用者訂閱的帳單問題疑難排解

AWS 會根據包含授權的 Microsoft Office 或 Visual Studio 執行個體相關聯的使用者數量,透過每月訂閱向您收費。這些每個使用者的費用會按每個日曆月計費,而帳單會從您訂閱產品時開始計算。如果您在現有的月份移除對使用者的存取權,則會在該月的剩餘時間內向使用者收費。您將在下個月停止對使用者產生費用。

此外:

  • 計費是以使用者訂閱內的每個使用者為基礎。只有訂閱產品的使用者才會產生費用,而不是作用中目錄中的所有使用者。

  • 帳單會以每月週期運作,從每個日曆月的第一天開始。無論訂閱啟用的特定日期為何,都會收取整個月的費用。

  • 每個需要存取 Office/VS 執行個體的使用者都需要 RDS SAL。

  • 若要停止產生以使用者為基礎的訂閱費用,您必須取消使用者與其關聯之所有執行個體的關聯。從 Active Directory 刪除使用者不會取消使用者與執行個體的關聯。如需詳細資訊,請參閱取消使用者與提供 License Manager 使用者型訂閱之執行個體的關聯

  • 使用者只會計算一次。無論使用者連線的 EC2 執行個體數量為何,都會向您收取每位 Microsoft Office 和 Visual Studio 的費用。無論使用者是否使用多個執行個體,都會收取一次訂閱費用。

故障診斷非作用中的市集訂閱狀態

使用必要產品設定目錄之後,您需要訂閱必要產品。處於非作用中 Marketplace 訂閱狀態的產品會要求您先訂閱,才能將使用者與執行個體建立關聯並加以利用。

對每個執行個體的使用者限制進行故障診斷

每位使用者限制 25 個執行個體。如果您需要調整,請聯絡 AWS Support。無論使用者是否使用多個執行個體,都會收取一次訂閱費用。

對遷移至 RDS SAL 後未提供的 CAL 字符進行故障診斷

如果您使用自己的 Microsoft RDS 授權伺服器,任何已發行的用戶端存取授權 (CAL) 權杖都會保持有效,直到過期為止。在此期間,具有有效 CAL 權杖的使用者不會自動訂閱 RDS SAL 產品。即使已設定 License Manager,新使用者工作階段也不會自動訂閱 RDS SAL。License Manager 不會覆寫您自己的授權伺服器發行的現有 CAL 權杖。服務受管授權伺服器只會在現有的 CAL 權杖過期後,才會開始發出權杖並處理新請求。一旦目前發行的 CAL 權杖達到過期日期,新的權杖請求將由服務受管授權伺服器處理,使用者會視需要自動訂閱 RDS SAL 產品。

無縫網域聯結不適用於具有使用者訂閱產品的 EC2 執行個體

License Manager 需要使用 SSM 在這些執行個體上執行網域聯結,僅允許訂閱產品的使用者獲得授權存取。因此,無縫網域聯結功能會停用。

已在我的帳戶中建立 VPC 端點

License Manager 會建立 資源所需的 VPC 端點,以連線至啟用伺服器,並在設定 VPC 時保持合規。

移除 License Manager 建立的所有 VPC 端點資源

若要刪除 VPC 端點資源,您必須執行下列動作:

在 Managed Active Directory 上變更使用者名稱

變更使用者名稱不會影響其將 RDP 轉換為相關聯執行個體的能力。相關聯的使用者應該能夠將 RDP 的更新登入詳細資訊用於使用者訂閱執行個體。

取消使用者與已終止執行個體的關聯

每當終止使用者訂閱執行個體時,與執行個體相關聯的所有使用者都會取消關聯。您不需要手動取消使用者關聯。

注意

如果執行個體停止,使用者不會取消關聯。

在使用者訂閱執行個體上安裝其他軟體

您可以在執行個體上安裝無法以使用者為基礎的訂閱的其他軟體。License Manager 不會追蹤其他軟體安裝。這些安裝必須使用 AWS Managed Microsoft AD 目錄中預設建立的管理員帳戶來執行。如需詳細資訊,請參閱《 管理指南》中的管理員帳戶。 Directory Service

若要使用 Admin 帳戶安裝其他軟體,您必須:

  • 將 Admin 帳戶訂閱執行個體提供的產品。

  • 將管理員帳戶與執行個體建立關聯。

  • 使用 Admin 帳戶連線至執行個體以執行安裝。

如需詳細資訊,請參閱License Manager 中的使用者型訂閱入門

使用者訂閱執行個體上的日文語言套件

使用者訂閱執行個體支援日文套件安裝。

使用者訂閱執行個體上的本機管理員使用者

我們僅允許使用者受管 Active Directory 網域下的使用者與使用者訂閱執行個體建立關聯,以防止未經授權存取這些 Microsoft 產品。當您在提供使用者型訂閱的執行個體上建立具有管理員權限的本機使用者時,執行個體的運作狀態會變更為運作狀態不佳。

可 RDP 至使用者訂閱執行個體的使用者數量

提供使用者型訂閱的執行個體一次最多支援兩個作用中的使用者工作階段,如針對支援的軟體產品使用 License Manager 使用者型訂閱中所述。根據預設,Windows 在所有版本的 Windows 伺服器中最多允許 2 個遠端桌面連線,包括任何指定時間的 Admin 連線。若要使用超過 2 個並行使用者,客戶需要設定 RDS 授權伺服器。

我的自我管理 AD for Office 和 Visual Studio 產品中的使用者

若要關聯自我管理目錄中的使用者,您必須在自我管理目錄和 AWS Managed Microsoft AD 目錄之間建立雙向樹系信任。如需詳細資訊,請參閱《 管理指南》中的 Directory Service 教學課程:在 AWS Managed Microsoft AD 與自我管理的 Active Directory 網域之間建立信任關係

支援的 Windows 作業系統

如需有關支援的 Windows 作業系統平台的資訊,請參閱 License Manager 中使用者型訂閱支援的軟體產品

支援的 Office 和 Visual Studio 版本

如需使用者型訂閱支援軟體的詳細資訊,請參閱 支援以使用者為基礎的訂閱軟體

搭配較舊的 Windows Server 版本使用使用者訂閱

當您從支援 Office LTSC Professional Plus 或 Microsoft Visual Studio 的 AMI 啟動執行個體時,啟動預設為 AMI 的最新 Windows 作業系統平台版本 (例如 Windows Server 2022)。若要使用舊版作業系統平台啟動,請遵循下列步驟:

  1. 在 開啟 AWS Marketplace 主控台https://console.aws.amazon.com/marketplace

  2. 從導覽窗格中選擇管理訂閱

  3. 若要簡化訂閱結果,您可以搜尋全部或部分訂閱名稱。例如,Office LTSC Professional Plus 或 Visual Studio Enterprise。

  4. 從訂閱面板選取啟動新執行個體。這會開啟啟動組態頁面。

  5. 若要從以舊版 Windows 作業系統平台為基礎的 AMI 啟動執行個體,請選取位於軟體版本下的完整 AWS Marketplace 網站連結。這會帶您前往組態頁面,您可以在其中從版本清單中選擇。

  6. 此清單顯示支援 Windows 作業系統平台的最新 AMI 版本。選取您要從中啟動的 Windows 作業系統版本。

跨帳戶或區域使用 License Manager 使用者訂閱

支援以下案例:

  • 跨帳戶使用 License Manager 使用者訂閱

  • 搭配共用 Active Directory 使用 License Manager 使用者訂閱

不支援這些案例:

  • 跨區域使用 License Manager 使用者訂閱

聯絡 AWS Support 的提示

  • 聯絡 AWS 支援時,請使用與已終止執行個體相同的設定建立執行個體,並啟用執行個體終止保護以快速回應。

  • 對於任何 RDP 相關問題,我們需要 RDP 相關日誌來協助偵錯這些問題。請針對具有網際網路存取的環境使用 'AWSSupport-RunEC2RescueForWindowsTool'。如需詳細資訊,請參閱 EC2Rescue for Windows Server

  • 透過使用 Office 執行個體做為工作執行個體,並掛載從原始執行個體磁碟區的快照還原的磁碟區,即使在沒有網際網路存取的環境中,也可以收集資料。

  • 從備份 AMIs 啟動執行個體的故障診斷:如果您從備份 AMI 啟動執行個體,則必須終止原始執行個體。