在使用 WorkSpaces 客户端时,为什么我无法通过 WorkSpace 的身份验证?
当尝试通过 Amazon WorkSpaces 客户端登录时,我看到与下列类似的错误消息: “Authentication Failed: Please check your username and password to make sure you typed them correctly.”(身份验证失败:请检查您的用户名和密码以确保输入正确。) “Directory Unavailable: Your directory could not be reached at this time.Please contact your Administrator for more details.”(目录不可用:此时无法访问您的目录。有关更多详细信息,请联系您的管理员。) 我确定自己输入了正确的密码,并且目录可用。为什么依然收到这些错误消息?
解决方法
身份验证失败错误
在使用正确凭证时发生 Authentication Failed(身份验证失败)错误通常与 Active Directory 内的配置问题有关。
要解决此错误,请执行以下步骤:
确认 WorkSpaces 客户端中的目录注册码与该 WorkSpace 的相关值一致
1. 打开 WorkSpaces 客户端。在登录窗口中,依次选择 Settings(设置)、Manage Login Information(管理登录信息)。记下注册码。
注意:如果您有多个注册码,请关闭弹出窗口,然后选择 Change Registration Code(更改注册码)。
2. 确认注册码与 WorkSpaces 控制台或欢迎电子邮件中该 WorkSpace 的相关值一致。
注意:要通过控制台查找注册码,请打开 WorkSpaces 控制台以查看所选 AWS 区域中的 WorkSpaces 列表。选中 WorkSpace ID 旁边的箭头以显示 WorkSpace 详细信息,然后记下 Registration Code(注册码)。
检查错误是由于凭证不正确还是由于 WorkSpaces 中的错误所致
1. 使用远程桌面协议(RDP)客户端连接到 WorkSpace 或使用 SSH 连接到 WorkSpace。
2. 输入您的凭证。当您收到 Authentication Failed(身份验证失败)错误时,您可以查看该错误是否由以下原因引起:
- 凭证不正确。
- WorkSpace 有问题。
- 与 Active Directory 的信任关系中断。
- Active Directory 用户账户存在另一个问题。
根据您收到的错误,继续对 WorkSpace 的 RDP/SSH 会话中观察到的错误进行问题排查。
注意:如果由于安全或合规性原因而无法在 WorkSpaces 中使用 RDP/SSH,请尝试使用您的 WorkSpace 用户凭证登录任何已加入域的 Amazon Elastic Compute Cloud(Amazon EC2)实例进行验证。
验证该用户的 Active Directory 用户对象满足先决条件
1. 确保 Kerberos 预身份验证已开启。
2. 清除 User must change password on next logon(用户下次登录时必须更改密码)复选框。
3. 运行以下命令以确认用户的密码未过期,将 username 替换为您的值:
net user username /domain
4. 如果您使用 Simple AD 或 AWS Directory Service for Microsoft Active Directory,则选择 WorkSpaces 客户端上的 Forgot Password?(忘记密码?)以重置密码。
确认用户对象的 sAMAccountName 属性未被修改。
WorkSpaces 不支持修改 Active Directory 用户的用户名属性。若 WorkSpaces 和 Active Directory 中的用户名属性不一致,则身份验证将会失败。
如果您更改了 sAMAccountName,则可以将其更改回来。WorkSpace 将恢复正常工作。
如果您必须对用户进行重命名,请按照以下步骤进行操作:
警告:删除 WorkSpace 是一项永久性操作。WorkSpace 用户的数据将不再保留,并且会被销毁。
1. 将用户卷中的文件备份到外部位置,如 Amazon WorkDocs 或 Amazon FSx。
2. 删除 WorkSpace。
3. 修改用户名属性。
4. 为用户启动新的 WorkSpace。
验证用户名属性不包含无效字符
Amazon Web Services(AWS)应用程序(包括 WorkSpaces)存在用户名属性字符限制。请参阅了解 AWS 应用程序的用户名限制,以确认您的用户名属性仅使用有效字符。
如果您的 WorkSpaces 用户名属性包含无效字符,请执行以下步骤:
警告:删除 WorkSpace 是一项永久性操作。WorkSpace 用户的数据将不再保留,并且会被销毁。
1. 将用户卷中的文件备份到外部位置,如 WorkDocs 或 Amazon FSx。
2. 删除 WorkSpace。
3. 使用有效字符重命名域中的用户名属性。
使用 Active Directory 用户和计算机工具查找用户。
打开该用户的上下文(右键单击)菜单,然后选择 Properties(属性)。
在 Account(账户)选项卡中,同时重命名 User logon name(用户登录名)和 User logon name (pre-Windows 2000)(用户登录名(Windows 2000 以前))。
4. 使用新的用户名属性启动新的 WorkSpace。
验证所有参与方之间的时间差不超过 5 分钟
身份验证对所有参与方之间的时间差很敏感。域中的所有域控制器、远程身份验证拨入用户服务(RADIUS)服务器(如果使用)、WorkSpace 实例和服务本身必须相互同步。
1. 如果您使用多重身份验证(MFA),请验证所有 RADIUS 服务器上的时钟是否与可靠的时间源同步。(例如 pool.ntp.org。)
2. 如果目录是客户管理的(如 AD Connector),则验证每个域控制器是否与可靠的时间源同步。
3. 如果您怀疑 WorkSpace 上的时间不准确,请重启 WorkSpace。重新启动会使 WorkSpace 与原子钟重新同步。几分钟后,WorkSpace 还会与域控制器重新同步。
4. 运行以下命令以根据可靠的时间源验证时间:
Linux:
ntpdate -q -u pool.ntp.org
Windows:
w32tm.exe /stripchart /computer:pool.ntp.org
目录不可用错误
当目录可用时出现的 Directory Unavailable(目录不可用)错误通常与 MFA 配置问题有关。
要解决此错误,请执行以下步骤:
确认您的 RADIUS 服务器正在运行并查看日志以确认身份验证流量正在审核中
如果您配置的 RADIUS 服务器未运行,或者网络修改阻止 RADIUS 服务器与 WorkSpaces 使用的域控制器通信,则可能会出现 Directory Unavailable(目录不可用)错误。
如果您使用的是 AD Connector,则 AD Connector 的网络配置必须允许对域控制器和 RADIUS 服务器进行出站访问。您可以使用 VPC 流日志来确认所有需要的流量都被发送至其目的地。
您可以暂时关闭注册目录上的 MFA,并确认您是否能够在未开启 MFA 的情况下登录。如果您能够在关闭 MFA 后登录,则确认存在与 RADIUS 服务器相关的配置问题。
相关信息
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
