WorkSpaces Personal クライアントを使用して、WorkSpace への認証ができない理由を知りたいです。

所要時間2分
0

Amazon WorkSpaces Personal クライアントを使用して WorkSpace にログインしようとすると、「認証に失敗しました」などのエラーが表示されます。

解決策

ディレクトリを使用できません」というエラーが発生した場合は、「WorkSpaces で発生する「ディレクトリを使用できません」というエラーを解決する方法を教えてください」を参照してください。

SAML 2.0 認証に問題がある場合は、「WorkSpaces での SAML 2.0 認証の問題をトラブルシューティングする方法を教えてください」を参照してください。

WorkSpace への認証ができない場合、「認証に失敗しました: ユーザー名とパスワードが正しく入力されているか確認してください。」というエラーが発生する場合があります。 AWS Directory Service for Microsoft Active Directory または Simple AD の設定に問題があると、正しい認証情報を使用していても、認証に失敗したことを示すエラーが発生することがあります。このエラーを解決するには、次の操作を行います。

WorkSpaces Personal クライアントのディレクトリ登録コードが WorkSpace に関連付けられている値と一致することを確認します。

次の手順を実行します。

  1. WorkSpaces クライアントを開きます。
  2. [設定] を選択し、[ログイン情報の管理] を選択します。
  3. 登録コードを書き留めておきます。
    注: 登録コードが複数ある場合は、[登録コードを変更] を選択して、最後に使用した登録コードを見つけます。
  4. WorkSpaces コンソールを開きます。
  5. WorkSpace を選択し、[詳細を表示] を選択します。
  6. [概要] で、[登録コード] の値が書き留めたコードと一致することを確認します。

認証情報を確認する

Windows WorkSpaces の場合は、リモートデスクトッププロトコル (RDP) を使用して WorkSpace に接続します。Linux WorkSpaces の場合は、SSH を使用してWorkSpaces に接続します。認証情報を入力し、エラーコードの詳細を確認します。

正しいユーザー名とパスワードを入力していることを確認してください」または「アカウントがロックアウトされていないことを確認してください」というエラーが表示された場合は、認証情報が正しくありません。パスワードをリセットするか、Microsoft Active Directory のアカウントをロック解除してください。Microsoft Active Directory アカウントのロックを解除する方法については、Microsoft のウェブサイトで「Unlock-ADAccount」を参照してください。

このワークステーションとプライマリドメイン間の信頼関係を確立できませんでした」というエラーが表示された場合は、ドメイン参加に関する問題のトラブルシューティングを行います。Active Directory との信頼関係が失われている場合は、WorkSpace を復元してから再構築する必要があります。

Windows Workspace を使用していて、ネットワークレベル認証 (NLA) エラーが発生した場合は、「RDP を使用して WorkSpaces に接続するときに NLA エラーが発生する理由を知りたいです」を参照してください。

Active Directory ユーザーアカウントの設定を確認する

次の手順を実行します。

  1. Kerberos 事前認証が有効になっていることを確認します。
  2. WorkSpaces 管理者に、Active Directory ユーザーとコンピューターのユーザープロパティで [ユーザーは次回ログオン時にパスワードを変更する必要がある] をクリアするように依頼してください。
  3. パスワードの有効期限が切れていないことを確認するには、ドメインに参加している管理マシンを使用して次のコマンドを実行します。
    net user username/domain
    注: username は、実際のユーザー名に置き換えてください。
  4. パスワードをリセットするには、WorkSpaces クライアントを開き、[パスワードを忘れた場合] を選択します。
    注: [パスワードを忘れた場合] は、Simple AD または AWS マネージド Microsoft AD を使用している場合のみ使用可能です。

ユーザーアカウントの sAMAccountName 属性が変更されていないことを確認する

Active Directory ユーザーのユーザー名を変更した場合は、WorkSpaces と Active Directory のユーザー名が一致しないため、認証が失敗します。sAMAccountName の値を変更した場合は、元のユーザー名に戻してください。

ユーザーの名前を変更する必要がある場合は、次の手順を実行してください。

  1. ファイルを、ユーザーボリュームから Amazon FSx などの外部の場所にバックアップします。
  2. WorkSpace を削除します
    重要: WorkSpace の削除をロールバックすることはできません。WorkSpace を削除すると、そのユーザーのデータは使用できなくなります。
  3. ユーザー名属性を変更します。
  4. そのユーザー用の、新しい WorkSpace を作成します。

Active Directory ユーザーを削除し、同じ sAMAccountName で新しいユーザーを作成した場合は、そのユーザー用に新しい WorkSpace を作成する必要があります。

ユーザー名に有効な文字のみが含まれていることを確認する

ユーザー名で、有効な文字のみを使用していることを確認します。

WorkSpaces ユーザー名に無効な文字が含まれている場合は、次の手順を実行してください。

  1. ファイルを、ユーザーボリュームから Amazon FSx などの外部の場所にバックアップします。
  2. WorkSpace を削除します
    重要: WorkSpace の削除をロールバックすることはできません。WorkSpace を削除すると、そのユーザーのデータは使用できなくなります。
  3. Active Directory ユーザーとコンピューターツールを使用してユーザーを検索します。
  4. そのユーザーのコンテキスト (右クリック) メニューを開き、[プロパティ] を選択します。
  5. [アカウント] タブで、[ユーザー ログオン名] および [ユーザー ログオン名 (Windows 2000 より前)] の名前を変更します。
  6. 新しいユーザー名で新しい WorkSpace を作成します。

パスワードに有効な文字のみが含まれていることを確認する

パスワードは大文字と小文字を区別します。また、文字数は 8 ~ 64 文字である必要があります。パスワードには、次のカテゴリの文字をそれぞれ 1 文字以上含める必要があります。

  • 小文字 (a ~ z)
  • 大文字 (A ~ Z)
  • 数字 (0 ~ 9)
  • 英数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

ホワイトスペース、キャリッジリターンタブ、改行、ヌル文字など、印刷できない Unicode 文字は含めないでください。

リソース間で 5 分以上の時差がないことを確認する

認証は、WorkSpaces で使用するリソースの時差の影響を受けます。ドメイン内のドメインコントローラー、RADIUS サーバー、WorkSpace インスタンス、サービスは、同期している必要があります。

すべてのリソースを同期させるには、次の操作を行います。

  • カスタマーマネージド Active Directory の場合は、各ドメインコントローラーを信頼できるタイムソースと同期します。詳しくは、Microsoft の ウェブサイトで「推奨事項 - 信頼できるタイムソースを使用してルート PDC を構成し、広範囲にわたるタイムスキューを回避する」を参照してください。
  • ドメインコントローラー間に時間のずれがないことを確認してください。タイムスキューについて詳しくは、Microsoft の ウェブサイトで「Windows タイム サービスのツールと設定」を参照してください。
  • ドメインコントローラー間のレプリケーションが期待どおりに動作していることを確認してください。詳細については、Microsoft の ウェブサイトで「Active Directory のレプリケーションに関する問題のトラブルシューティング」を参照してください。
  • 多要素認証 (MFA) を使用する場合は、すべての RADIUS サーバーの時計が信頼できる時刻ソースと同期していることを確認します。NTP Pool プロジェクトのウェブサイトにある、NTP ツールを使用できます。
  • WorkSpace の時刻が不正確な場合は、WorkSpace を再起動して原子時計と同期させます。数分後、WorkSpace もドメインコントローラーと同期します。
  • 時刻を信頼できる時刻ソースと照合してください。
    Linux WorkSpace の場合は、次のコマンドを実行します。
    ntpdate -q -u pool.ntp.org
    Windows WorkSpace の場合は、次のコマンドを実行します。
    w32tm.exe /stripchart /computer:pool.ntp.org

関連情報

WorkSpaces Personal でユーザーを管理する

AD Connector のトラブルシューティング

Active Directory のレプリケーションエラーを診断する