Elastic Compute Service:Windowsインスタンスに接続できない場合はどうすればよいですか?

手順1: Alibaba Cloud Workbenchを使用したインスタンスへの接続

Workbenchを使用してインスタンスに接続します。 Workbenchを使用してインスタンスに接続できない場合、Workbenchはエラーメッセージと対応するソリューションを報告します。 次の操作を実行します。

1. ECS コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[インスタンスと画像]> [インスタンス] を選択します。

3. 上部ナビゲーションバーの左上でリージョンを選択します。

4. [インスタンス] ページで、接続するインスタンスを見つけ、[操作] 列の [接続] をクリックします。

5. [リモート] [接続] ダイアログボックスで、[ワークベンチ] セクションの [今すぐサインイン] をクリックします。

6. [インスタンスログイン] ダイアログボックスで、インスタンスに関する基本情報がWorkbenchによって自動的に入力されます。 基本情報が正しいことを確認し、インスタンスのユーザー名と認証情報を入力します。 次に、次の結果に基づいて操作を実行します。

   • Workbenchを使用してインスタンスに接続することはできず、Workbenchはエラーメッセージと対応するソリューションを報告します。 指示に従って問題を解決できます。 問題を解決したら、Workbenchを使用してインスタンスに再接続します。 一般的なワークベンチ接続の問題については、「VNCまたはWorkbenchを使用してインスタンスに接続するときに発生する問題」トピックの「Workbenchを使用してWindowsインスタンスに接続する」セクション。

   • Workbenchを使用してインスタンスに接続できますが、オンプレミスサーバーからインスタンスに接続することはできません。 これは、インスタンスの接続ポートとサービスが期待どおりに機能することを示します。 問題のトラブルシューティングに進みます。

手順2: インスタンスのブラックホールフィルタリング通知を受け取ったかどうかを確認する

インスタンスのブラックホールフィルタリング通知を受け取ったかどうかを確認します。 ブラックホールフィルタリング中、インスタンスにはインターネット接続がありません。 詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。

手順3: インスタンスのポートとセキュリティグループの確認

インスタンスのセキュリティグループが適切に設定されているかどうかを確認します。 次の操作を実行します。

1. ECS コンソールにログインします。

2. 上部ナビゲーションバーの左上でリージョンを選択します。

3. [インスタンス] ページで、管理するインスタンスのIDをクリックします。

4. [インスタンスの詳細] ページで、[セキュリティグループ] タブをクリックします。 セキュリティグループリストで、ルールを管理するセキュリティグループを見つけ、をクリックします。[操作] 列の [ルールの管理] をします。

5. セキュリティグループルールを適用する方向を選択します。

6. [セキュリティグループの詳細] ページで、次のいずれかの方法を使用してセキュリティグループルールを追加できます。 詳細については、「セキュリティグループルールの追加」をご参照ください。

   • 方法1: クイック追加機能を使用してセキュリティグループルールを追加する

     • アクション: 許可

     • ポート範囲: RDP (3389)

     • 権限付与オブジェクト: 0.0.0.0/0。すべてのIPアドレスを示します。

   • 方法2: セキュリティグループルールを手動で追加する

     • アクション: 許可します。

     • Priority: 1で、最も高い優先度を示します。 数字が小さいほど、優先度が高くなります。

     • プロトコルタイプ: カスタムTCP。

     • ポート範囲: カスタム接続ポートが33899の場合は、33899に設定します。

     • 権限付与オブジェクト: 0.0.0.0/0。すべてのIPアドレスを示します。

7. 次の図に示すように、リモートデスクトップを使用してインスタンスに接続するには、IPアドレスとポートを <IP address: port> 形式で指定します。

   

8. 次のコマンドを実行して、ポートが期待どおりに機能するかどうかを確認します。

   telnet <IP> <ポート>

   説明

   • <IP> 変数をWindowsインスタンスのIPアドレスに置き換えます。

   • <Port> 変数をWindowsインスタンスのリモートデスクトッププロトコル (RDP) ポート番号に置き換えます。

   たとえば、telnet 192.168.0.1 4389コマンドを実行すると、次のコマンド出力が返されます。

   Trying 192.168.0.1...
   192.168.0.1 4389に接続。
   エスケープ文字は '^]' 

   ポートチェックが失敗した場合は、を参照して問題のトラブルシューティングを行います。ECSインスタンスのパブリックIPアドレスをpingできない場合はどうすればよいですか。

手順4: インスタンスへの接続元であるオンプレミスサーバーのパブリックIPアドレスがSecurity Centerによってブロックされているかどうかを確認する

オンプレミスサーバーからインスタンスに接続するときに無効なパスワードを複数回入力すると、オンプレミスサーバーのIPアドレスからのリクエストが拒否される場合があります。 Security Centerコンソールの [設定] ページに移動し、オンプレミスサーバーのIPアドレスをインスタンスのアクセスホワイトリストに追加できます。 これにより、オンプレミスサーバーのIPアドレスがインスタンスにアクセスできます。

1. Security Centerコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[システム構成]> [機能設定] を選択します。

3. [設定] タブで、[その他の設定] タブをクリックします。 [セキュリティコントロール] セクションで、[設定] をクリックして [セキュリティコントロール] コンソールに移動します。

4. 左側のナビゲーションウィンドウで、[ホワイトリスト]> [ホワイトリストにアクセス] を選択します。

5. [アクセスホワイトリスト] ページで、[追加] をクリックします。

   詳細については、「その他の設定タブで機能を有効にする」トピックのセキュリティ制御セクションを参照してください。

手順6: インスタンスに対してRDSが有効かどうかを確認する

インスタンスに対してリモートデスクトップサービス (RDS) が有効になっているかどうかを確認します。 次の操作を実行します。

1. VNCを使用してインスタンスに接続します。

   詳細については、「パスワードを使用したWindowsインスタンスへの接続」をご参照ください。

2. タスクバーの左下隅にある [開始] をクリックし、[コントロールパネル] をクリックします。 [コントロールパネル] ウィンドウで、[システムとセキュリティ] をクリックし、[システム] をクリックします。

3. [システム] ウィンドウの左側のナビゲーションウィンドウで、[リモート設定] をクリックします。

   

4. [システムのプロパティ] ウィンドウの [リモート] タブで、[リモート接続を許可] を選択し、[この] [コンピューター] をクリックし、[OK] をクリックします。

   

5. RDSを有効にします。

   タスクバーの左下隅にある [開始] をクリックし、[コントロールパネル] をクリックします。 [コントロールパネル] ウィンドウで、[管理ツール] をクリックします。 表示されたウィンドウで、コンポーネントサービスをダブルクリックします。 表示されるウィンドウで、[サービス (ローカル)] を選択します。 下にスクロールして、リモートデスクトップサービスを見つけます。 次に、RDSが有効かどうかを確認します。 RDSが無効になっている場合は、有効にします。

   

6. RDSに必要なドライバーとサービスをロードします。

   RDSが必要とする特定の重要なサービスは、システムセキュリティを向上させるために誤って無効になります。 この場合、RDSは期待どおりに機能しない可能性があります。 次の操作を実行して、必要なドライバーとサービスが期待どおりに機能するかどうかを確認します。

   1. タスクバーの左下隅にある [開始] をクリックし、[実行] をクリックします。 [実行] ウィンドウで、msconfigと入力し、[OK] をクリックします。

      

   2. [システム設定] ウィンドウで、[全般] タブをクリックします。 [通常] [起動] を選択し、[OK] をクリックします。

      

   3. インスタンスを再起動します。

      詳細は、「インスタンスの再起動」 をご参照ください。

ステップ7: リモート端末サービスが正しく設定されているかどうかを確認する

Windowsインスタンスに接続できない場合、リモートターミナルサービスの次の無効な設定が原因である可能性があります。

ステップ8: ネットワーク接続の確認

Windowsインスタンスに接続できない場合は、インスタンスのネットワーク接続を確認します。

1. 異なるCIDRブロックまたは異なるキャリアのサーバーを使用して、他のネットワーク経由でインスタンスに接続し、オンプレミスネットワークまたはサーバー側で問題が発生したかどうかを判断します。

   • 問題がオンプレミスのネットワークまたは通信事業者に関連している場合は、オンプレミスのIT担当者またはオペレーターに連絡してください。

   • ネットワークインターフェイス (NIC) ドライバで例外が発生した場合は、ドライバを再インストールしてください。 問題がオンプレミスネットワークによって引き起こされていない場合は、次の手順に進みます。

2. オンプレミスクライアントでpingコマンドを実行して、インスタンスのネットワーク接続をテストします。

   • ネットワーク例外が発生した場合は、パケットをキャプチャして例外の原因を特定します。 詳細については、「ネットワーク例外発生時のパケットのキャプチャ」をご参照ください。

   • pingパケットがドロップされた場合、またはインスタンスをpingできない場合は、tracertまたはMTRツールを使用してネットワークパスをテストし、問題の原因を特定します。

   • 断続的なパケット損失が発生した場合、インスタンスのネットワーク接続は不安定なままです。 問題のトラブルシューティング方法については、「pingコマンドを使用してECSインスタンスのIPアドレスの断続的なパケット損失をテストする」をご参照ください。

3. オンプレミスクライアントでpingコマンドを実行してインスタンスのネットワーク接続をテストしたときに「一般的な障害」というエラーメッセージが表示された場合は、「Windowsインスタンスのインターネットアドレスにpingを実行すると、システムが「一般的な障害」」トピックを参照してください。

ステップ9: インスタンスのCPU負荷、帯域幅使用量、およびメモリ使用量の確認

Windowsインスタンスに接続できない場合、考えられる原因は、インスタンスのCPU負荷が高いか、インスタンスの帯域幅またはメモリが低いことです。

1. インスタンスのCPU負荷を確認し、確認結果に基づいて操作を実行します。

   • CPU負荷が高くない場合は、ステップ2に進みます。

   • CPU負荷が高い場合は、次の操作を実行します。

     • インスタンスの [インスタンスの詳細] ページで [接続] をクリックし、Windows Updateがバックグラウンドで実行されているかどうかを確認します。 Windows Updateがバックグラウンドで実行中にかなりのCPUリソースを消費するのは正常です。 Windows Updateがプロセスを完了するまで待ちます。

     • インスタンス上でホストされているアプリケーションが多数のディスク読み取り /書き込み操作を実行したり、多数のネットワークリクエストを開始したり、計算負荷の高いワークロードを生成したりする場合、インスタンスのCPU負荷は通常高くなります。 この場合、リソースのボトルネックの問題を解決するためにインスタンスタイプをアップグレードすることを推奨します。 詳細については、「インスタンス設定の変更の概要」をご参照ください。

       説明

       高いCPU負荷を解決する方法については、Windows ECSインスタンスでCPU使用率が高い場合はどうすればよいですか。

2. インスタンスのパブリック帯域幅が十分かどうかを確認します。

   Windowsインスタンスに接続できない場合、考えられる原因は、インスタンスのパブリック帯域幅が不足していることです。 問題をトラブルシューティングするには、次の操作を実行します。

   1. ECS コンソールにログインします。

   2. 上部ナビゲーションバーの左上でリージョンを選択します。

   3. [インスタンス] ページで、接続するインスタンスのIDをクリックし、[設定情報] セクションで [インターネット帯域幅] の値を確認します。

      値が0 Mbpsの場合、インスタンスにはパブリック帯域幅がありません。 パブリック帯域幅をインスタンスに割り当てるには、パブリック帯域幅設定をアップグレードします。 詳細については、「インスタンス設定の変更の概要」トピックの「最大パブリック帯域幅の変更」セクションをご参照ください。

3. インスタンスのメモリが十分かどうかを確認します。

   インスタンスのデスクトップが期待どおりに表示されず、インスタンスに接続した後にエラーメッセージなしでインスタンスが終了する場合、考えられる原因は、インスタンスのメモリが不足していることです。 この場合、インスタンスのメモリ使用量を確認してください。 次の操作を実行します。

   1. VNCを使用してインスタンスに接続します。

      詳細については、「パスワードを使用したWindowsインスタンスへの接続」をご参照ください。

   2. [開始]> [管理ツール]> [イベントビューアー] を選択します。 [イベント表示] 画面で, メモリ不足の警告ログがあるか確認します。 詳細については、「Windows低仮想メモリのトラブルシューティング」をご参照ください。

手順10: インスタンスのセキュリティポリシーが適切に設定されているかどうかを確認する

セキュリティポリシーがWindowsインスタンスのRDP接続を拒否するように構成されているかどうかを確認します。 次の操作を実行します。

1. VNCを使用してインスタンスに接続します。

   詳細については、「パスワードを使用したWindowsインスタンスへの接続」をご参照ください。

2. タスクバーの左下隅にある [開始] をクリックし、[コントロールパネル] をクリックします。 [コントロールパネル] ウィンドウで、[管理ツール] をクリックします。 次に、[ローカルセキュリティポリシー] をダブルクリックします。

   

3. [ローカルセキュリティポリシー] ウィンドウで、[ローカルコンピュータのIPセキュリティポリシー] をクリックします。 RDP接続を拒否するセキュリティポリシーが存在するかどうかを確認します。

   1. セキュリティポリシーが存在する場合は、セキュリティポリシーを変更または削除します。

      • セキュリティポリシーを削除するには、セキュリティポリシーを右クリックし、[削除] を選択します。 表示されるメッセージで、[はい] をクリックします。

      • セキュリティポリシーを変更するには、セキュリティポリシーをダブルクリックし、RDSを使用して接続を許可します。

   2. セキュリティポリシーが存在しない場合は、「ステップ10: インスタンスのセキュリティポリシーが正しく設定されていることを確認する」で説明した操作を再実行します。

手順11: インスタンスのレジストリが正しく設定されているかどうかを確認する

Windowsレジストリの設定が無効であると、RDP接続が拒否される場合があります。 問題を解決するには、次の操作を実行します。

1. VNCを使用してインスタンスに接続します。

   詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。

2. [実行] ウィンドウで、regeditと入力し、[OK] をクリックしてレジストリエディタを開きます。

   

3. [レジストリエディター] ウィンドウで、次のパラメーターの設定を変更します。

   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TcpレジストリキーのfEnableWinStationパラメーターを1に設定します。

   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal ServerレジストリキーのfDenyTSConnectionsパラメーターを0に設定します。

ステップ12: インスタンスのRDP接続の自己署名証明書の有効期限が切れているかどうかを確認する

WindowsインスタンスのRDP接続の自己署名証明書の有効期限が切れている場合、インスタンスに接続することはできません。 問題を解決するには、次の操作を実行します。

1. VNCを使用してインスタンスに接続します。

   詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。

2. 管理者としてWindows PowerShellを起動します。

3. Windows PowerShellウィンドウで、次のコマンドを実行して、現在の自己署名証明書の有効期限が切れているかどうかを確認します。

   Get-Item 'Cert:\LocalMachine \リモートデスクトップ \* '| Select-Object NotAfter

4. 自己署名証明書の有効期限が切れている場合は、次のコマンドを実行して証明書を削除し、TermServiceサービスを再起動します。

   Remove-Item -Path 'Cert:\LocalMachine \リモートデスクトップ \* ' -Force -ErrorAction SilentlyContinue
   再起動-サービスTermService -Force 

   TermServiceサービスが再起動されると、システムは自動的に新しい自己署名証明書を生成します。

5. 次のコマンドを実行して、新しい自己署名証明書の有効期間が更新されているかどうかを確認します。

   Get-Item 'Cert:\LocalMachine \リモートデスクトップ \* '| Select-Object NotAfter

   説明

   デフォルトでは、RDP接続の自己署名証明書の有効期間は6か月です。