本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对许可证管理器进行故障排除
以下信息可以帮助您解决使用 Amazon License Manager时的问题。在开始之前,请确认您的 License Manager 设置满足 License Manager 中的设置中所述的要求。
跨账户发现错误
在设置跨账户发现时,您可能会在库存搜索页面上看到以下错误消息:
Athena 异常:Athena 查询失败,因为权限不足,无法执行该查询。请迁移您的目录以允许访问此数据库。
如果您的 Athena 服务使用 Athena 托管数据目录而不是 Amazon Glue Data Catalog,则会出现此情况。有关升级说明,请参阅升级到 Amazon Glue 数据目录 Step-by-Step。
管理账户无法解除资源与自行管理许可证的关联
如果组织的成员账户删除其账户中的 AWSServiceRoleForAWSLicenseManagerMemberAccountRole 服务相关角色 (SLR),并且存在与自管理许可证关联的成员拥有的资源,则将阻止管理账户取消许可证与这些成员账户资源的关联。这意味着成员账户资源将继续使用管理账户池中的许可证。要允许管理账户取消资源的关联,请还原 SLR。
当客户不希望管理账户执行一些影响成员账户资源的操作时,此行为可以解释这种情况。
Systems Manager 清单过期
Systems Manager 将数据存储为清单数据 30 天。在此期间,License Manager 会将托管实例计为活动实例,即使无法对该实例进行 Ping 操作也是如此。在从 Systems Manager 中清除清单数据后,License Manager 会将实例标记为非活动状态并更新本地清单数据。为了确保托管实例计数准确,我们建议在 Systems Manager 中手动取消注册实例,以便 License Manager 能够运行清理操作。
已取消注册的 AMI 的明显持久性
License Manager 每隔几个小时就会清除一次资源和自管理许可证之间的过时关联。如果通过亚马逊注销与自我管理许可证关联的 AMI EC2,则该 AMI 可能会在被清除之前短暂地继续出现在许可证管理器资源清单中。
新子账户实例在资源清单中缓慢出现
在启用跨账户支持时,默认情况下,License Manager 每天下午 1 点更新一次客户账户。当天晚些时候添加的实例会在第二天显示在管理账户资源清单中。您可以通过在 Amazon Glue 控制台LicenseManagerResourceSynDataProcessJobTrigger中编辑管理账户更新脚本来更改更新脚本的运行频率。
在启用跨账户模式后,子账户实例会缓慢出现
在 License Manager 中启用跨账户模式后,子账户中的实例可能需要几分钟到几小时才能显示在资源清单中。时间取决于子账户的数量和每个子账户中的实例数。
无法禁用跨账户发现
在为跨账户发现配置账户后,无法还原为单账户发现。
子账户用户无法将共享自管理许可证与实例关联
如果发生此情况并且已启用跨账户发现,请检查:
-
已从组织中删除子账户。
-
已从在管理账户中创建的资源共享中删除子账户。
-
已从资源共享中删除自管理许可证。
关联 Amazon Organizations 账户失败
如果 Settings (设置) 页面报告此错误,则意味着账户不是组织的成员,原因如下:
-
已从组织中删除子账户。
-
客户已禁止从管理账户的组织控制台访问 License Manager。
用户订阅产品配置失败
您的产品配置可能由于出站网络访问问题而失败。要解决这个问题,请确保默认安全组允许出站流量流向每个域控制器的网络接口和 SSM IPv4 的地址。
-
验证默认安全组设置是否便于向域控制器网络接口 IPv4 地址发送出站流量。
-
License Manager 会创建两个网络接口,它们使用配置您 Amazon Managed Microsoft AD 的 VPC 的默认安全组。此类接口用于实现目录所需的服务功能。确保您的默认安全组允许流向每个域控制器的网络接口 IPv4 地址或域控制器使用的安全组的出站流量。有关更多信息,请参阅《 Amazon Directory Service 管理指南》中创建基于用户的订阅的先决条件和创建的内容。
-
-
配置来自提供基于用户的订阅或 VPC 终端节点的实例的出站互联网访问。
-
必须配置来自提供基于用户的订阅的实例或 VPC 终端节点的出站 Internet 访问权限,您的实例才能与 SSM 通信。有关更多信息,请参阅《 Amazon Systems Manager 用户指南》中的为 EC2 实例设置 Systems Manager。
-
预置过程完成后,您可以将不同的安全组关联到 License Manager 创建的接口。您选择的安全组还必须允许所需的流量流向每个域控制器的网络接口 IPv4 地址或安全组。有关更多信息,请参阅 Amazon Vir tual Private Cloud 用户指南中的使用安全组。
用户订阅实例无法启动
您的实例启动可能由于多种原因而失败。以下是实例启动可能失败的一些常见问题:
-
确保已设置 Route53 出站解析器端点规则。有关更多信息,请参阅博客文章将目录服务的 DNS 解析与 Amazon Route 53 解析器集成
。 -
如果从用户订阅之上自定义 AMIs 创建的实例启动实例 AMIs,请务必执行 Sysprep,并在通过自定义创建和启动实例时确保计算机名称是唯一的。 AMIs
使用用户订阅产品的 EC2 实例无缝加入域名不起作用
License Manager 需要使用 SSM 对这些实例执行域加入,以便仅允许订阅该产品的用户进行授权访问。因此,无缝域名加入功能已停用。
无法删除活动目录
在配置期间,License Manager 会在 Directory Service 中注册为授权应用程序,从而保护活动目录在配置后不被删除。作为标准程序的一部分,客户需要先删除所有实例、实例关联和用户订阅。之后,他们可以继续从 License Manager 中删除活动目录,然后删除该目录本身。
VPC 终端节点已在我的账户中创建
License Manager 会创建您的资源连接到激活服务器所需的 VPC 端点,并在您配置 VPC 时保持合规性。
移除由 License Manager 创建的所有 VPC 端点资源
要删除 VPC 终端节点资源,必须执行以下操作:
无法删除 AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService 服务关联角色 (SLR)
License Manager 需要 AWSService RoleFor AWSLicense ManagerUserSubscriptionsService “” 服务相关角色来管理将提供基于用户的订阅的 Amazon 资源。与服务相关的角色可以更轻松地设置 License Manager,因为您不必手动添加必要的权限。License Manager 定义其服务相关角色的权限,除非另外定义,否则只有 License Manager 可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关更多信息,请参阅和 L icense Manager — 基于用户的订阅角色和服务相关角色。
RDS SAL 产品@@ 不存在订阅错误
您的账户必须订阅 Windows 服务器远程桌面服务订阅用户访问许可证 (RDS SAL)。与提供基于用户的订阅产品的实例关联的所有用户,除了他们想要使用的任何其他产品外,还必须具有该许可证的单个有效订阅。当您的用户订阅基于用户的订阅产品时,将代表他们订阅 RDS SAL。
但是,如果由于其他合规原因而取消订阅或删除,则可能需要重新订阅。如果您已经订阅,可以尝试取消订阅和重新订阅,这不会影响您的 License Manager 用户订阅。
信任故障排除
根据我们与许多客户合作的经验,绝大多数信任配置问题要么是 DNS 解析问题,要么是网络连接错误。以下是一些疑难解答步骤,可帮助您解决常见问题:
-
检查您是否允许上网的出站网络流量 Amazon Managed Microsoft AD。
-
如果 DNS 服务器或本地域的网络使用公共(非 RFC 1918)IP 地址空间,请按照以下步骤操作:
-
在 Amazon Directory Service 控制台中,转到您的目录的 IP 路由部分,选择操作,然后选择添加路由。
-
使用 CIDR 格式输入 DNS 服务器或本地网络的 IP 地址块,例如 203.0.113.0/24。
-
如果您的 DNS 服务器和本地网络都使用 RFC 1918 私有 IP 地址空间,则无需执行此步骤。
-
-
验证安全组并检查是否需要任何适用的路由后,启动 Windows Server 实例并将其加入该 Amazon Managed Microsoft AD 目录。实例启动后:
-
运行以下 PowerShell 命令测试 DNS 连接:
Resolve-DnsName -Name 'example.local' -DnsOnly
-
您还应该仔细阅读 Amazon Directory Service 文档中 “信任创建状态原因” 指南中的消息解释。
用户订阅的账单问题
Amazon 将根据与许可证关联的用户数量(包括 Microsoft Office 或 Visual Studio 实例),通过按月订阅向您收费。这些每位用户的费用按日历月计费,计费从您订阅产品时开始。如果您在现有月份内删除了某位用户的访问权限,则在该月剩余时间内,您将需要为该用户付费。您将在下个月停止向该用户收取费用。
此外:
-
在用户订阅中,按每位用户计费。只有订阅了产品的用户才会产生费用,而不是活动目录中的所有用户才会产生费用。
-
计费按月周期进行,从每个日历月的第一天开始。无论订阅激活的具体日期如何,均按整个月收取费用。
-
您需要为每位需要访问您的 Office/VS 实例的用户提供 RDS SAL。
-
要停止因基于用户的订阅而产生的费用,您必须解除该用户与其关联的所有实例的关联。从 Active Directory 中删除用户并不会取消该用户与实例的关联。有关更多信息,请参阅 。
-
一个用户只被计算一次。无论用户连接的 EC2 实例数量多少,你都需要为每位用户付费 Microsoft Office 和 Visual Studio。无论用户是否使用多个实例,都只需支付一次订阅费用。
用户订阅产品显示 Marketplace 订阅状态为 “非活动”
在使用所需产品配置目录后,您需要订阅所需的产品。商城订阅状态为非活跃的产品要求您先订阅,然后才能将用户关联到实例并使用它们。
更改托管活动目录上的用户名
更改用户名不会影响他们将 RDP 转换为关联实例的能力。关联用户应该能够使用他们更新的登录详细信息将 RDP 设置为用户订阅实例。
解除用户与已终止实例的关联
每当用户订阅实例终止时,与该实例关联的所有用户都将取消关联。您不必手动取消与用户的关联。
注意
如果实例停止,则用户不会被解除关联。
每个实例的用户限制
每个用户最多只能有 25 个实例。如果您需要调整,请联系 Su Amazon pport。无论用户是否使用多个实例,都只需支付一次订阅费用。
在用户订阅实例上安装其他软件
您可以在您的实例上安装其他软件,此类软件不能作为基于用户的订阅提供。License Manager 不会跟踪其他软件的安装。这些安装必须使用默认在您的 Amazon Managed Microsoft AD 目录中创建的管理员帐户执行。有关更多信息,请参阅《 Amazon Directory Service 管理指南》中的管理员帐户。
要使用管理员账户安装其他软件,您必须:
-
使用管理员账户订阅实例提供的产品。
-
将管理员账户与实例关联。
-
使用管理员账户连接到实例以执行安装。
用户订阅实例上的日语语言包
用户订阅实例支持日语语言包安装。
用户订阅实例上的本地管理员用户
我们只允许用户管理的 Active Directory 域下的用户与用户订阅实例相关联,以防止未经授权访问这些 Microsoft 产品。当您在提供基于用户的订阅的实例上创建具有管理员权限的本地用户时,实例的运行状况会更改为不健康。
运行状况不佳的实例
提供基于用户的订阅的实例必须保持正常运行状态才能符合要求。标记为运行状况不佳的实例不再满足所需的先决条件。License Manager 会尝试将实例恢复到正常状态,但无法恢复到正常状态的实例会被终止。
可以对用户订阅实例进行 RDP 的用户数量
提供基于用户的订阅的实例一次最多支持两个活跃的用户会话,如对支持的软件产品使用 License Manager 基于用户的订阅中所述。默认情况下,在所有版本的 Windows 服务器中,Windows 最多允许 2 个远程桌面连接,包括任何给定时间的管理员连接。要使用超过 2 个并发用户,客户需要设置 RDS 许可服务器。
支持的 Windows 操作系统
支持的办公和视觉工作室版本
在较旧的 Windows 服务器版本中使用用户订阅
当你从支持 Office LTSC Professional Plus 或微软 Visual Studio 的 AMI 启动实例时,启动时默认为最新的 Windows 操作系统平台版本的 AMI(例如 Windows Server 2022)。要使用较早版本的操作系统平台启动,请按照以下步骤操作:
-
打开 Amazon Web Services Marketplace 控制台,网址为https://console.amazonaws.cn/marketplace
。 -
在导航窗格中,选择管理订阅。
-
为了简化订阅结果,您可以搜索全部或部分订阅名称。例如 Office LTSC Professional Plus 2021 或 Visual
-
从订阅面板中选择 “启动新实例”。这将打开启动配置页面。
-
要从基于早期版本的 Windows 操作系统平台的 AMI 启动实例,请选择软件版本下方的完整 Amazon Web Services Marketplace 网站链接。此操作带您进入配置页面,您可以从版本列表中进行选择。
-
该列表显示了支持的 Windows 操作系统平台的最新 AMI 版本。选择你要从中启动的 Windows 操作系统版本。
跨账户或地区使用 License Manager 用户订阅
不支持以下场景:
跨账户使用 License Manager 用户订阅
跨区域使用 License Manager 用户订阅
将 License Manager 用户订阅与共享活动目录一起使用
迁移到 RDS 期间的 CAL 令牌处理 SAL
如果您使用自己的 Microsoft RDS 许可证服务器,则已颁发的所有客户端访问许可 (CAL) 令牌在到期之前都将保持有效。在此期间,拥有有效 CAL 令牌的用户不会自动订阅 RDS SAL 产品。即使配置了 License Manager,新用户会话也不会自动订阅 RDS SAL。License Manager 不会覆盖您自己的许可证服务器颁发的现有 CAL 令牌。只有在现有 CAL 令牌到期后,服务管理的许可证服务器才开始发放令牌并处理新请求。当前发行的 CAL 令牌到达到期日期后,新的令牌请求将由服务托管许可证服务器处理,用户将根据需要自动订阅 RDS SAL 产品。
我的自管 AD 中使用用户订阅产品的用户
要关联自管目录中的用户,必须在自管目录和目录之间建立双向林信任。 Amazon Managed Microsoft AD 有关更多信息,请参阅《管理指南》中的教程:在您 Amazon Managed Microsoft AD 和您自行管理的 Active Directory 域之间创建信任关系。 Amazon Directory Service
联系 Su Amazon pport 的提示
-
联系 Amazon 支持人员时,请使用与已终止实例相同的设置创建一个实例,并启用实例终止保护,以便快速响应。
-
对于任何与 RDP 相关的问题,我们都需要与 RDP 相关的日志来帮助调试这些问题。对于可以访问互联网的环境,请使用 RescueForWindowsTool “AWSSupport-RunEC2”。有关更多信息,请参阅 Windows 服务器EC2救援。
-
通过将 Office 实例用作工作实例并挂载从原始实例卷快照中恢复的卷,即使在无法访问互联网的环境中也可以收集数据。
-
排除从备份启动实例 AMIs的问题:如果您从备份 AMI 启动实例,则必须终止原始实例。