Pourquoi ne puis-je pas m'authentifier dans mon WorkSpace à l'aide du client WorkSpaces ?

Solution

Erreurs d'échec d'authentification

Les erreurs affichant le message « Authentication Failed » (Échec de l'authentification) qui se produisent lorsque les informations d'identification correctes sont utilisées sont généralement liées à un problème de configuration dans Active Directory.

Afin de résoudre ce problème, procédez comme suit :

Vérifiez que le code d'enregistrement du répertoire dans le client WorkSpaces correspond à la valeur associée au WorkSpace

1.    Télécharger le client WorkSpaces. Dans la fenêtre de connexion, choisissez Settings (Paramètres), Manage Login Information (Gérer les informations de connexion). Notez le code d'enregistrement.

Remarque : si vous disposez de plusieurs codes d'enregistrement, fermez la fenêtre contextuelle, puis choisissez Change Registration Code (Modifier le code d'enregistrement).

2.    Vérifiez que le code d'enregistrement correspond à la valeur associée au WorkSpace dans la console WorkSpaces ou envoyez un e-mail de bienvenue.

Remarque : pour trouver le code d'enregistrement dans la console, ouvrez la console WorkSpaces pour afficher la liste des WorkSpaces dans la AWS Region sélectionnée. Cliquez sur la flèche en regard de l'ID WorkSpace pour afficher les détails du WorkSpace, puis notez le code d'enregistrement.

Vérifiez si l'erreur est due à des informations d'identification non valides ou à une erreur dans WorkSpaces

1.    Connectez-vous à l'espace de travail à l'aide d'un client RDP (Remote Desktop Protocol) ou connectez-vous à l'espace de travail via SSH.

2.    Saisissez vos informations d'identification. Lorsque vous recevez un message Échec de l'authentification, vous pouvez voir si l'erreur est causée par :

• Des informations d'identification incorrects.
• Un problème avec le WorkSpace.
• Une relation de confiance rompue avec Active Directory.
• Un autre problème lié à un compte utilisateur Active Directory.

Procédez au dépannage de l'erreur observée dans la session RDP/SSH de l'espace de travail en fonction de l'erreur que vous avez reçue.

Remarque : Si vous ne pouvez pas utiliser RDP/SSH dans WorkSpaces pour des raisons de sécurité ou de conformité, essayez de vous connecter à n'importe quelle instance Amazon Elastic Compute Cloud (Amazon EC2) associée au domaine à l'aide de vos identifiants utilisateur WorkSpace à des fins de validation.

Vérifiez que l'objet utilisateur Active Directory de l'utilisateur répond aux prérequis.

1.    Assurez-vous que la pré-authentification Kerberos est activée.

2.    Décochez la case L'utilisateur doit changer de mot de passe lors de la prochaine connexion.

3.    Exécutez la commande suivante pour vérifier que le mot de passe de l'utilisateur n'a pas expiré, en remplaçant username par votre nom d'utilisateur :

net user username /domain

4.    Si vous utilisez Simple AD ou AWS Directory Service for Microsoft Active Directory, choisissez Forgot Password? (Mot de passe oublié ?) dans le client WorkSpaces pour réinitialiser le mot de passe.

Vérifiez que l'attribut sAMAccountName de l'objet utilisateur n'a pas été modifié.

WorkSpaces ne prend pas en charge les modifications de l'attribut de nom d'utilisateur d'un utilisateur Active Directory. L'authentification échoue si les attributs de nom d'utilisateur dans WorkSpaces et Active Directory ne correspondent pas.

Si vous avez modifié le sAMAccountName, vous pouvez le modifier à nouveau. Le WorkSpace recommence à fonctionner correctement.

Si vous devez renommer un utilisateur, procédez comme suit :

Avertissement : la suppression d'un WorkSpace est définitive. Les données de l'utilisateur WorkSpace sont détruites.

1.    Sauvegardez les fichiers du volume utilisateur dans un emplacement externe tel qu'Amazon WorkDocs ou Amazon FSx.

2.    Supprimez le WorkSpace.

3.    Modifiez l'attribut de nom d'utilisateur.

4.    Lancez un nouveau WorkSpace pour l'utilisateur.

Vérifier que l'attribut de nom d'utilisateur ne contient pas de caractères non valides

Il existe certaines restrictions de caractères pour l'attribut de nom d'utilisateur pour les applications Amazon Web Services (AWS), notamment Amazon WorkSpaces. Consultez Comprendre les restrictions de nom d'utilisateur pour les applications AWS, afin de vérifier que votre attribut de nom d'utilisateur utilise uniquement des caractères valides.

Si votre attribut de nom d'utilisateur Amazon WorkSpaces contient des caractères non valides, procédez comme suit :

Avertissement : la suppression d'un WorkSpace est définitive. Les données de l'utilisateur WorkSpace sont détruites.

1.    Sauvegardez les fichiers du volume utilisateur dans un emplacement externe tel qu'WorkDocs ou Amazon FSx.

2.    Supprimez le WorkSpace.

3.    Renommez l'attribut de nom d'utilisateur dans votre domaine en utilisant des caractères valides.
Utilisez l'outil Utilisateurs et ordinateurs Active Directory pour trouver l'utilisateur.
Ouvrez le menu contextuel (clic droit) de l'utilisateur, puis choisissez Properties (Propriétés).
Dans l'onglet Account (Compte), renommez à la fois User logon name (Nom d'ouverture de session utilisateur) et User logon name (pre-Windows 2000) (Nom d'ouverture de session utilisateur) (avant Windows 2000).

4.    Lancez une nouvelle instance WorkSpace avec le nouvel attribut de nom d'utilisateur.

Vérifier qu'il n'existe pas de décalage de temps de plus de 5 minutes entre les parties concernées

L'authentification est sensible aux différences de temps avec toutes les parties impliquées. Tous les contrôleurs du domaine, les serveurs RADIUS (All domain controllers in the domain) - s'ils sont utilisés - ,l'instance WorkSpace et le service lui-même doivent être synchronisés les uns avec les autres.

1.    Si vous utilisez l'authentification multifactorielle (MFA), vérifiez que l'horloge de tous les serveurs RADIUS est synchronisée avec une source de temps fiable. (Par exemple, pool.ntp.org.)

2.    Si l'annuaire est géré par le client (comme AD Connector), vérifiez que chaque contrôleur de domaine est synchronisé avec une source de temps fiable.

3.    Si vous pensez que l'heure sur le WorkSpace est inexacte, redémarrez le WorkSpace. Un redémarrage resynchronise le WorkSpace avec une horloge atomique. Après quelques minutes, le WorkSpace se resynchronise également avec un contrôleur de domaine.

4.    Exécutez les commandes suivantes pour vérifier l'heure par rapport à une source de temps fiable :

Linux:

ntpdate -q -u pool.ntp.org

Windows :

w32tm.exe /stripchart /computer:pool.ntp.org

Erreurs de répertoire non disponible

Les erreurs d'indisponibilité du répertoire qui se produisent lorsque le répertoire est disponible sont généralement liées à un problème de configuration MFA.

Afin de résoudre ce problème, procédez comme suit :

Vérifiez que votre serveur RADIUS est en cours d'exécution et consultez les journaux pour confirmer que le trafic d'authentification est approuvé

Une erreur d'indisponibilité du répertoire peut se produire si votre serveur RADIUS configuré ne fonctionne pas ou si des modifications du réseau empêchent le serveur RADIUS de communiquer avec vos contrôleurs de domaine utilisés par WorkSpaces.

Si vous utilisez un connecteur AD, la configuration réseau de celui-ci doit autoriser l'accès sortant à vos contrôleurs de domaine et à votre serveur RADIUS. Vous pouvez utiliser VPC Flow Logs pour vérifier que tout le trafic nécessaire est envoyé à sa destination.

Vous pouvez désactiver temporairement l'authentification multifactorielle dans le répertoire enregistré et confirmer si vous pouvez vous connecter sans que l'authentification MFA soit activée. Si vous parvenez à vous connecter après avoir désactivé le MFA, cela confirme un problème de configuration lié au serveur RADIUS.

---

Informations connexes

Administration des utilisateurs WorkSpace