AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

WorkSpaces クライアントを使用して自分の WorkSpace に対して認証できないのはなぜですか?

所要時間2分
0

Amazon WorkSpaces クライアントを使用してログインしようとすると、次のようなエラーメッセージが表示されます。 「Authentication Failed: Please check your username and password to make sure you typed them correctly.」(認証に失敗しました: ユーザー名とパスワードが正しく入力されていることを確認してください。) 「Directory Unavailable: Your directory could not be reached at this time.Please contact your Administrator for more details.」(ディレクトリが使用不可: 現在、ディレクトリに到達できませんでした。詳細については、管理者にお問い合わせください。) パスワードが正しく入力されており、かつ、ディレクトリが使用可能であることを確認しました。これらのエラーメッセージがまだ表示されるのはなぜですか ?

解決方法

「Authentication Failed」(認証失敗) エラー

正しい認証情報が使用されたときに発生する「Authentication Failed」(認証失敗) エラーは通常、Active Directory の設定の問題に関連しています。

このエラーをトラブルシューティングするには、次のステップに従います。

WorkSpace クライアントのディレクトリ登録コードが WorkSpace に関連付けられた値と一致することを確認する

1.    WorkSpaces クライアントを開きます。ログインウィンドウから、[Settings] (設定)、[Manage Login Information] (ログイン情報の管理) の順に選択します。登録コードを書き留めます。

: 複数の登録コードがある場合は、ポップアップウィンドウを閉じて、[Change Registration Code] (登録コードを変更) を選択します。

2.    登録コードが、WorkSpaces コンソールまたは招待メールの WorkSpace に関連付けられている値と一致することを確認します。

注: コンソールから登録コードを見つけるには、WorkSpaces コンソールを開き、選択した AWS リージョンの WorkSpaces のリストを表示します。WorkSpace ID の横にある矢印を選択して WorkSpace の詳細を表示し、[Registration Code] (登録コード) を書き留めます。

エラーの原因が誤った認証情報と WorkSpaces のエラーのいずれであるのかを確認する

1.    Remote Desktop Protocol (RDP) クライアントを使用して WorkSpace に接続するか、SSH を使用して WorkSpace に接続します。

2.    認証情報を入力します。「Authentication Failed」(認証失敗) エラーが表示された場合、エラーの原因が次によって生じたものかどうかがわかります。

  • 認証情報が誤っている。
  • WorkSpace に問題がある。
  • Active Directory との信頼関係が壊れている。
  • Active Directory のユーザーアカウントに別の問題がある。

表示されたエラーに従って、WorkSpace の RDP/SSH セッションで観察されたエラーのトラブルシューティングに進みます。

: セキュリティまたはコンプライアンス上の理由によって WorkSpaces で RDP/SSH を使用できない場合は、検証のために WorkSpace のユーザー認証情報を使用して、ドメインに参加している Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにログインしてみてください。

ユーザーの Active Directory ユーザーオブジェクトが前提条件を満たしていることを確認する

1.    必ず Kerberos 事前認証がオンになっているようにします。

2.    [User must change password on next logon] (ユーザーは次回ログオン時にパスワードを変更する必要があります) のチェックボックスをオフにします。

3.    次のコマンドを実行して、ユーザーのパスワードが失効していないことを確認し、username を自分の値に置き換えます。

net user username /domain

4.    Simple AD または AWS Directory Service for Microsoft Active Directory を使用している場合は、WorkSpaces クライアントから [Forgot Password?] (パスワードを忘れた場合) を選択してパスワードをリセットします。

ユーザーオブジェクトの sAMAccountName 属性が変更されていないことを確認する

WorkSpaces では、Active Directory ユーザーのユーザー名属性の変更はサポートされていません。WorkSpaces と Active Directory のユーザー名属性が一致しない場合、認証は失敗します。

sAMAccountName を変更した場合は、元に戻すことができます。WorkSpace は正常に動作を再開します。

ユーザーの名前を変更する必要がある場合は、次のステップを実行します。

警告: WorkSpace の削除は永続的なアクションです。WorkSpace ユーザーのデータは保持されず、破棄されます。

1.    ユーザーボリュームから Amazon WorkDocsAmazon FSx などの外部の場所にファイルをバックアップします。

2.    WorkSpace を削除します

3.    ユーザー名属性を変更します。

4.    ユーザーのために新しい WorkSpace を起動します

ユーザー名属性に無効な文字が含まれていないことを確認する

WorkSpaces を含むアマゾン ウェブ サービス (AWS) アプリケーションでは、ユーザー名属性の文字制限があります。ユーザー名属性で有効な文字のみが使用されていることを確認するには、「AWS アプリケーションのユーザーネームの制限を理解する」を参照してください。

WorkSpaces ユーザー名属性に無効な文字が含まれている場合は、次のステップに従います。

警告: WorkSpace の削除は永続的なアクションです。WorkSpace ユーザーのデータは保持されず、破棄されます。

1.    ユーザーボリュームから WorkDocsAmazon FSx などの外部の場所にファイルをバックアップします。

2.    WorkSpace を削除します

3.    有効な文字を使用して、ドメインのユーザー名属性の名前を変更します。
Active Directory ユーザーとコンピュータツールを使用して、ユーザーを検索します。
ユーザーのコンテキスト (右クリック) メニューを開き、[Properties] (プロパティ) を選択します。
[Account] (アカウント) タブで、[User logon name] (ユーザーログオン名) と [User logon name (pre-Windows 2000)] (ユーザーログオン名 (Windows 2000 よりも前)) の両方の名前を変更します。

4.    新しいユーザー名属性で新しい WorkSpace を起動します。

関係者間で 5 分を超える時差がないことを確認する

認証では、全関係者との時差が大きく影響します。ドメイン内のすべてのドメインコントローラー、Remote Authentication Dial-In User Service (RADIUS) サーバー (使用される場合)、WorkSpace インスタンス、およびサービス自体は、互いに同期している必要があります。

1.    多要素認証 (MFA) を使用している場合は、すべての RADIUS サーバーの時計が信頼できるタイムソースと同期していることを確認します。(例: pool.ntp.org)

2.    ディレクトリがカスタマーマネージド (AD Connector など) の場合は、すべてのドメインコントローラーが信頼できるタイムソースと同期していることを確認します。

3.    WorkSpace の時刻が不正確であると思われる場合は、WorkSpace を再起動します。再起動すると、WorkSpace と原子時計が再同期されます。数分後、WorkSpace はドメインコントローラーとも再同期します。

4.    次のコマンドを実行して、信頼できるタイムソースに対して時刻を検証します。

Linux の場合:

ntpdate -q -u pool.ntp.org

Windows の場合:

w32tm.exe /stripchart /computer:pool.ntp.org

「Directory Unavailable」(ディレクトリが使用不可) エラー

ディレクトリが使用可能なときに発生する「Directory Unavailable」(ディレクトリが使用不可) エラーは、通常、MFA 設定の問題に関連しています。

このエラーをトラブルシューティングするには、次のステップに従います。

RADIUS サーバーが稼働していることを確認し、認証トラフィックが承認されているかどうかをログで確認する

Directory Unavailable」(ディレクトリが使用不可) エラーは、設定した RADIUS サーバーが稼働していない場合や、ネットワークの変更により RADIUS サーバーが WorkSpaces によって使用されるドメインコントローラーと通信できない場合に発生する可能性があります。

AD Connector を使用している場合は、AD Connector のネットワーク設定で、ドメインコントローラーと RADIUS サーバーに対するアウトバウンドアクセスが許可されている必要があります。VPC フローログを使用して、必要なトラフィックがすべて送信先に送信されることを確認できます。

登録したディレクトリの MFA を一時的にオフにして、MFA をオンにしなくてもログインできるかどうかを確認できます。MFA をオフにした後にログインできる場合は、RADIUS サーバーに関連する設定上の問題があります。

関連情報

WorkSpace ユーザーの管理

トピック
エンドユーザーコンピューティング計算する
タグ
Amazon WorkSpacesWindowsLinux
言語
日本語

関連ビデオ

詳細について、Jack の動画をご覧ください (8:36)
詳細について、Jack の動画をご覧ください (8:36)
AWS公式
AWS公式更新しました 2年前
コメントはありません

関連するコンテンツ