使用 Systems Manager Patch Manager 扫描 Windows Server 2019 补丁时，如果 SSM Agent、网络和权限都正常，但 WindowsUpdate.log 里显示微软更新服务返回 503，根因可能在微软侧，而不是 AWS 侧。

使用自建 Active Directory 创建 FSx for Windows File Server 时，如果 Single-AZ 2 或 Multi-AZ 文件系统创建失败，并且报 Get-ADComputer: Unable to contact the server，要重点检查 FSx 子网到域控 TCP 9389 的连通性。

AWS 不提供 Graviton 架构的 Windows AMI，但这不代表 Graviton 跑不了 Windows。本文记录如何用开源项目 bin456789/reinstall 的一键 DD 脚本，把一台运行 Amazon Linux 2023 的 t4g 实例原地重装成 Windows 11 Pro ARM64。

Amazon EC2 High Availability for SQL Server 可以为符合条件的 SQL Server HA 备用节点减免许可费用。但这个减免有严格前提，尤其是备用节点不能承载活动工作负载，也不能作为可读辅助副本提供查询。

Windows Server 上不要把 “.NET Framework 4 Features” 当成普通应用卸载。它是很多管理组件的依赖，包括 Server Manager、PowerShell 模块、IIS/WCF 相关功能。误关后可能导致 Server Manager 和 Install-WindowsFeature 一起失效。

两台同 VPC 的 EC2 Windows 实例通过 SMB 访问共享失败，安全组和 NACL 都放行，Windows 防火墙也关闭，但 net use 报 1792，抓包看到 STATUS_NETLOGON_NOT_STARTED。最终根因不是 VPC 网络，而是安全软件拦截了 SMB 认证流程。

从 AWS 公有 Windows AMI 启动的 EC2 实例不能直接通过 VM Import/Export 导出为 VMDK，因为包含 AWS 授权软件。替代方案是停机后块级读取 EBS 根卷，用 qemu-img 转换，并离线启用 Windows 通用存储驱动，避免在 VMware 中蓝屏。

在内网 ALB 上配置 HTTPS 后，客户端访问域名时报 curl: (60) SSL certificate problem: unable to get local issuer certificate。这个错误不一定是网络问题，更常见的是 ALB 绑定的 ACM 证书链不完整，或者证书 SAN 没覆盖访问域名。

在 Windows Server 2019 上安装 .NET Framework 累积更新时，如果双击 .msu 或 wusa.exe 路径一直失败，并且 WindowsUpdate.log 出现 0xC8000402 PopulateDataStore failed，问题可能不是 CBS 安装失败，而是 WUA 扫描层已经坏了。

Windows Server 2016 安装累积更新后，如果重启阶段提示 “We couldn't complete the updates”，并反复回滚，根因不一定是磁盘空间或组件存储损坏，也可能是历史用户配置文件异常导致 per-user registry 阶段失败。