AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

RDP を使用して WorkSpaces に接続するときに、NLA エラーが発生する理由を知りたいです。

所要時間3分
0

Amazon WorkSpaces に接続しようとすると、「接続できません」というエラーが表示されます。リモートデスクトッププロトコル (RDP) を使用して問題のトラブルシューティングを行うと、ネットワークレベル認証 (NLA) エラーが発生します。

解決策

RDP を使用して WorkSpace にログインすると、次のいずれかのエラーが発生することがあります。

  • 「An authentication error has occurred.The Local Security Authority cannot be contacted.」
  • 「The remote computer that you are trying to connect to requires Network Level Authentication (NLA), but your Windows domain controller cannot be contacted to perform NLA.If you are an administrator on the remote computer, you can disable NLA by using the options on the Remote tab of the System Properties dialog box.」

これらのエラーを解決するには、次の操作を行います。

ドメインコントローラーへの接続を確認する

WorkSpace がドメインコントローラーと通信できない場合、RDP を実行して WorkSpace にログインできない可能性があります。接続に関する問題をトラブルシューティングするには、次の手順を実行してください。

  1. _workspacesMembers セキュリティグループが、ドメインコントローラーへのアウトバウンドトラフィックを許可していることを確認してください。デフォルトでは、セキュリティグループはすべてのアウトバウンドトラフィックを許可します。
  2. WorkSpace から Active Directory ポート上のドメインコントローラーへのアウトバウンドトラフィックを許可するようにネットワーク ACL ルールを設定します。また、エフェメラルポートで、ドメインコントローラーから WorkSpace へのインバウンドトラフィックを許可する必要があります。
  3. ファイアウォールを使用する場合は、WorkSpace とドメインコントローラー間の通信を許可するようにファイアウォールルールを調整してください。

NLA を無効にする

WorkSpace で NLA が有効になっていると、RDP ログインエラーが発生する可能性があります。NLA を無効にするには、ネットワークレジストリ、レジストリ値、Microsoft Remote Procedure Call (RPC) のいずれかを使用します。NLA を無効にした後、コンソールから WorkSpace を再起動します。

注: AWS Systems Manager を使用して WorkSpace を管理する場合、Systems Manager の Session Manager で NLA を無効にできます。詳細については、「RDP を使用して EC2 Windows インスタンスに接続するときの認証エラーのトラブルシューティング方法を教えてください」を参照してください。

前提条件

  • PowerShell リモート処理を使用して有効化と認証を行う必要があります。Windows Server プラットフォームでは、PowerShell リモート処理がデフォルトで有効になっています。詳細については、Microsoft のウェブサイトで「チャプター 8 - PowerShell のリモート処理」を参照してください。
  • WorkSpace のセキュリティグループで、次のポートでインバウンドトラフィックを許可する必要があります。 TCP ポート 445 (リモートレジストリの変更には SMB トラフィックが必要)、TCP 135 (RPC)、TCP 5985 (リモート PowerShell/WinRM)。
  • ソース Workspace または参加した Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、およびリモート Workspaceで、RemoteRegistry サービスを実行している必要があります。

該当する WorkSpace の WorkSpace コンピュータ名を確認するには、次の手順を実行します。

  1. Workspace コンソールを開きます。
  2. 影響を受けている Workspace を選択する
  3. 後の手順で使用するために、[コンピュータ名] の値をテキストファイルにコピーしておきます。(WSAMZN-ABCDE など。)

PowerShell にログインするには、次の手順を実行します。

  1. 作業中の WorkSpace にログインします。または、管理者の AWS アカウントと同じサブネットのドメインに参加している EC2 インスタンスにログインします。ユーザーには、リモート WorkSpace のローカル管理者権限が必要です。デフォルトでは、ドメイン管理者にはローカル管理者権限があります。
  2. 管理者として PowerShell を開きます。

ネットワークレジストリを使用して NLA を無効にする

次の手順を実行します。

  1. ソース WorkSpace または EC2 インスタンスの RemoteRegistry サービスのステータスを確認するには、次のコマンドを実行します。

     Get-Service -Name RemoteRegistry | Start-Service
    
     #Validate the service status
    
     Get-Service -Name RemoteRegistry
    
     #Output should be as below
    
     Status   Name               DisplayName
    ------   ----               -----------
    Running  RemoteRegistry     Remote Registry
  2. 影響を受けている Workspace で PowerShell リモートセッションに接続するには、次のコマンドを実行します。

    $credential = Get-Credential -Credential domain\username
    
    Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential

    注: domain をお使いの Active Directory のドメイン名に、username をリモート Workspace に対するローカル管理者権限を持つ WorkSpace ユーザーに置き換えます。WorkSpace Computer Name も、お使いの WorkSpace コンピュータ名に置き換えてください。

  3. リモート WorkSpace での RemoteRegistry サービスの状態を確認するには、次のコマンドを実行します。

     Get-Service -Name RemoteRegistry | Start-Service
    
     #Validate the service status
    
     Get-Service -Name RemoteRegistry
    
     #Output should be as below
    
     Status   Name               DisplayName
    ------   ----               -----------
    Running  RemoteRegistry     Remote Registry
  4. TCP ポート 445 経由のトラフィックを許可するように Windows ファイアウォールを設定するには、次のコマンドを実行します。

    netsh advfirewall firewall add rule name= "RemoteRegistryAccess" dir=in action=allow protocol=TCP localport=445
  5. コマンドプロンプトで regedit.exe と入力し、Enter キーを押すと、レジストリ エディターが開きます。

  6. [ファイル オプション] のコンテキスト (右クリック) メニューを開き、[ネットワーク レジストリへの接続] を選択します。

  7. [WorkSpace コンピュータ名] に、WorkSpace コンピュータ名を入力します。

  8. [名前の確認] を選択します。

  9. [選択するオブジェクト名を入力してください] に、次のレジストリパスを入力します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp次に、[OK] を選択します。

  10. [Key: SecurityLayer]0 を入力し、 Key: UserAuthentication0 を入力します。

レジストリ値を編集して NLA を無効にする

次の手順を実行します。

  1. PowerShell リモートセッションに接続するには、次のコマンドを実行します。
    $credential = Get-Credential -Credential domain\username
    
    Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential
    注: domain をお使いの Active Directory のドメイン名に、username をリモート Workspace に対するローカル管理者権限を持つ WorkSpace ユーザーに置き換えます。WorkSpace Computer Name も、お使いの WorkSpace コンピュータ名に置き換えてください。
  2. NLA を無効にするには、次のコマンドを実行します。
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\terminal server\winstations\rdp-tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

Microsoft RPC を使用して NLA を無効にする

レジストリキーを更新するには、次のコマンドを実行します。

(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -ComputerName WorkSpace Computer Name -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)

注: WorkSpace Computer Name は、お使いの WorkSpace コンピュータ名に置き換えてください。

WorkSpaces コンピュータオブジェクトが削除されているかどうかを確認する

WorkSpaces コンピュータオブジェクトが Active Directory から削除済みである場合、NLA エラーが発生します。この問題を解決するには、WorkSpace コンピュータを復元します。

  1. Active Directory から WorkSpaces コンピュータオブジェクトを復元します。詳細については、Microsoft のウェブサイトで「Restore-ADObject」を参照してください。
  2. 影響を受けた WorkSpace を再起動します

DNS サーバーの IP アドレスを確認する

関連する WorkSpace を更新する前に、AD Connector で DNS サーバーの IP アドレスを更新すると、NLA エラーが発生します。この問題を解決するには、次のステップを実行してください。

  1. ソース WorkSpace または参加した EC2 インスタンスを開きます。

  2. リモート Workspace の PowerShell リモートセッションに接続するには、次のコマンドを実行します。

    $credential = Get-Credential -Credential domain\username
    
    Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential

    注: domain をお使いの Active Directory のドメイン名に、username をリモート Workspace に対するローカル管理者権限を持つ WorkSpace ユーザーに置き換えます。WorkSpace Computer Name も、お使いの WorkSpace コンピュータ名に置き換えてください。

  3. DNS サーバーを新しい IP アドレスで更新するには、次のコマンドを実行します。

    Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "10.0.0.0,10.0.0.00"

    注: 10.0.0.010.0.0.00 は、新しい DNS サーバーの IP アドレスに置き換えます。

  4. SkyLightWorkspaceConfig サービスを再起動するには、次のコマンドを実行します。

     Get-Service SkyLightWorkspaceConfigService | Restart-Service
  5. それでも RDP を使用して WorkSpace に接続できない場合は、影響を受けた WorkSpace を再起動してください。

解決策の手順を完了しても NLA エラーまたは RDP 接続の問題を解決できない場合は、WorkSpace を再構築する必要があります。

関連情報

WorkSpaces Personal 用の DNS サーバーを更新する

RDP を使用して Azure VM に接続するときの認証エラーをトラブルシューティングする」(Microsoft のウェブサイト)

AWS公式
AWS公式更新しました 2ヶ月前