Pourquoi ne puis-je pas m'authentifier dans mon WorkSpace à l'aide du client WorkSpaces ?

Dernière mise à jour : 11/07/2022

Lorsque j'essaie de me connecter à l'aide du client Amazon WorkSpaces, un message d'erreur similaire à celui-ci s'affiche :

« Authentication Failed: Please check your username and password to make sure you typed them correctly. » (Échec de l'authentification : vérifiez que vous avez correctement saisi votre nom d'utilisateur et votre mot de passe)

J'ai vérifié que le mot de passe a été correctement entré. Pourquoi ce message d'erreur apparaît-il encore ?

Solution

Les erreurs « Authentication Failed » (Échec de l'authentification) qui se produisent lorsque les informations d'identification correctes sont utilisées sont généralement liées à un problème de configuration dans Active Directory.

Pour éliminer cette erreur, essayez ce qui suit :

Vérifiez que le code d'enregistrement du répertoire dans le client WorkSpace correspond à la valeur associée à l'instance WorkSpace

  1. Ouvrez le client Amazon WorkSpaces. Dans la fenêtre de connexion, choisissez Settings (Paramètres), Manage Login Information (Gérer les informations de connexion). Notez le code d'enregistrement.
    Remarque : si vous disposez de plusieurs codes d'enregistrement, fermez la fenêtre contextuelle, puis choisissez Change Registration Code (Modifier le code d'enregistrement).
  2. Vérifiez que le code d'enregistrement correspond à la valeur associée au WorkSpace dans la console Amazon WorkSpaces ou envoyez un e-mail de bienvenue.
    Remarque : pour trouver le code d'enregistrement dans la console, ouvrez la console Amazon WorkSpaces pour afficher la liste des WorkSpaces dans la région sélectionnée. Cliquez sur la flèche en regard de l'ID WorkSpace pour afficher les détails du WorkSpace, puis notez le code d'enregistrement.

Vérifiez si l'erreur est due à des informations d'identification non valides ou à une erreur dans WorkSpace

  1. Connectez-vous à WorkSpace à l'aide d'un client RDP (Remote Desktop Protocol).
  2. Saisissez vos informations d'identification. Lorsque vous recevez l'erreur, vous pouvez voir immédiatement si l'erreur est due à des informations d'identification incorrectes, à un problème avec WorkSpace ou du point de vue d'Active Directory (c'est-à-dire que la relation d'approbation est rompue ou qu'il existe un autre problème avec le compte d'utilisateur AD). Procédez au dépannage de l'erreur observée dans la session RDP de l'espace de travail en fonction de l'erreur que vous avez reçue.
    Remarque : si vous ne pouvez pas activer le protocole RDP dans WorkSpace pour des raisons de sécurité ou de conformité, vous pouvez essayer de vous connecter à n'importe quelle instance EC2 appartenant à un domaine à l'aide des informations d'identification de l'utilisateur Workspace et les valider.

Vérifier que l'objet utilisateur Active Directory de l'utilisateur répond aux prérequis

  • Vous devez utiliser la pré-authentification Kerberos.
  • Désélectionnez User must change password on next logon (L'utilisateur doit modifier son mot de passe lors de la prochaine connexion).
  • Exécutez la commande suivante pour vérifier que le mot de passe de l'utilisateur n'a pas expiré, en remplaçant username par votre nom d'utilisateur :
net user username /domain

Si vous utilisez Simple AD ou AWS Directory Service for Microsoft Active Directory, choisissez Forgot Password? (Mot de passe oublié ?) dans le client Amazon WorkSpaces pour réinitialiser le mot de passe.

Vérifier que l'attribut sAMAccountName de l'objet utilisateur n'a pas été modifié

Amazon WorkSpaces ne prend pas en charge les modifications de l'attribut de nom d'utilisateur d'un utilisateur Active Directory. L'authentification échoue si les attributs de nom d'utilisateur dans Amazon WorkSpaces et Active Directory ne correspondent pas.

Si vous avez modifié sAMAccountName, vous pouvez simplement le rétablir pour que le Workspace refonctionne correctement.

Si vous devez renommer un utilisateur, procédez comme suit :

Avertissement : la suppression d'un WorkSpace est définitive. Les données de l'utilisateur WorkSpace ne sont pas conservées et sont détruites.

  1. Sauvegardez les fichiers du volume utilisateur dans un emplacement externe tel qu'Amazon WorkDocs ou Amazon FSx.
  2. Supprimez le WorkSpace.
  3. Modifiez l'attribut.
  4. Lancez un nouvel WorkSpace pour l'utilisateur.

Vérifier que l'attribut de nom d'utilisateur ne contient pas de caractères non valides

Il existe certaines restrictions de caractères pour l'attribut de nom d'utilisateur pour les applications Amazon Web Services (AWS), notamment Amazon WorkSpaces. Consultez Comprendre les restrictions de nom d'utilisateur pour les applications AWS, afin de vérifier que votre attribut de nom d'utilisateur utilise uniquement des caractères valides.

Si votre attribut de nom d'utilisateur Amazon WorkSpaces contient des caractères non valides, procédez comme suit :

Avertissement : la suppression d'un WorkSpace est définitive. Les données de l'utilisateur WorkSpace ne sont pas conservées et sont détruites.

  1. Sauvegardez les fichiers du volume utilisateur dans un emplacement externe tel qu'Amazon WorkDocs ou Amazon FSx.
  2. Supprimez l'instance WorkSpace de votre compte AWS.
  3. Renommez l'attribut de nom d'utilisateur dans votre domaine en utilisant des caractères valides. Utilisez l'outil Utilisateurs et ordinateurs Active Directory pour trouver l'utilisateur. Ouvrez le menu contextuel (clic droit) de l'utilisateur, puis choisissez Properties (Propriétés). Dans l'onglet Account (Compte), veillez à renommer à la fois User logon name (Nom d'ouverture de session utilisateur) et User logon name (pre-Windows 2000) (Nom d'ouverture de session utilisateur (avant Windows 2000).
  4. Lancez une nouvelle instance WorkSpace avec le nouvel attribut de nom d'utilisateur.

Si vous utilisez l'authentification multi-facteur (MFA), vérifiez les journaux de vos serveurs RADIUS pour vérifier que le trafic d'authentification est reçu et approuvé.

  • Cette erreur peut se produire si des modifications du réseau empêchent la solution RADIUS de communiquer avec les contrôleurs de domaine d'Amazon WorkSpaces.
  • Si vous utilisez unAD Connector, les points de terminaison de votre connecteur doivent avoir un accès sortant à vos contrôleurs de domaine et à vos serveurs RADIUS. Vous pouvez utiliser VPC Flow Logs pour vérifier que tout le trafic nécessaire est envoyé à sa destination.

Vérifier qu'il n'existe pas de décalage de temps de plus de 5 minutes entre les parties concernées

L'authentification est très sensible aux différences de temps avec toutes les parties impliquées. Tous les contrôleurs de domaine du domaine, les serveurs RADIUS (s'ils sont utilisés), l'instance WorkSpace et le service lui-même doivent être synchronisés les uns avec les autres.

  • Si vous utilisez MFA, vérifiez que l'horloge de tous les serveurs RADIUS est synchronisée avec une source de temps fiable (par exemple, pool.ntp.org).
  • Si l'annuaire est géré par le client (AD Connector), vérifiez que chaque contrôleur de domaine est synchronisé avec une source de temps fiable.
  • Si vous pensez que l'heure sur le WorkSpace est inexacte, redémarrez le WorkSpace. Un redémarrage resynchronise le WorkSpace avec une horloge atomique. Après quelques minutes, le WorkSpace se resynchronise également avec un contrôleur de domaine.
  • Exécutez les commandes suivantes pour vérifier l'heure par rapport à une source de temps fiable :

Linux:

ntpdate -q -u pool.ntp.org

Windows :

w32tm.exe /stripchart /computer:pool.ntp.org

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?