WorkSpaces クライアントを使用して WorkSpace を認証できない理由を教えてください。

正しい認証情報が使用されたときに発生する「認証失敗」エラーは通常、Active Directory の構成の問題に関連しています。

このエラーをトラブルシューティングするには、以下を試してください。

クライアントのディレクトリ登録コードが WorkSpace に関連付けられた値と一致することを確認する

1. Amazon WorkSpaces クライアントを開きます。ログインウィンドウから、[設定]、[ログイン情報の管理] の順に選択します。
2. 登録コードが、Amazon WorkSpaces コンソールまたは招待メールの WorkSpace に関連付けられている値と一致することを確認します。

ユーザーの Active Directory ユーザーオブジェクトが前提条件を満たしていることを確認する

• Kerberos 事前認証を有効にする必要があります。
  
• [User must change password on next logon] をオフにし、ユーザーのパスワードの有効期限が切れていないことを確認します。
  注: Simple AD または AWS Directory Service for Microsoft Active Directory を使用している場合は、Amazon WorkSpaces クライアントから [Forgot Password?] を選択してパスワードをリセットします。

ユーザーオブジェクトの sAMAccountName 属性が変更されていないことを確認する

Amazon WorkSpaces では、Active Directory ユーザーのユーザー名属性の変更はサポートされていません。Amazon WorkSpaces と Active Directory のユーザー名属性が一致しない場合、認証は失敗します。

sAMAccountName を変更している場合、元に戻すだけで、WorkSpace は正常な動作を再開します。

ユーザーの名前を変更する必要がある場合は、以下の手順を実行します。

1. ユーザーボリュームから Amazon WorkDocs や Amazon FSx などの外部の場所にファイルをバックアップします。
   注: Amazon WorkSpaces には、WorkSpaces ユーザーあたり 50 GB の WorkDocs ストレージが含まれています。詳細については、Amazon WorkDocs の料金を参照してください。
   
2. WorkSpace を削除します。
   
3. 属性を変更します。
   
4. ユーザーの新しい WorkSpace を作成します。

Multi-factor Authentication (MFA) を有効にしている場合は、RADIUS サーバーのログをチェックして、認証トラフィックが受信され、承認されていることを確認します。

• このエラーは、ネットワーク変更によって RADIUS ソリューションが WorkSpace のサブネットまたはドメインコントローラーと通信できない場合に発生することがあります。
  
• AD Connector を使用している場合、コネクタエンドポイントには、ドメインコントローラーと RADIUS サーバーの両方へのアウトバウンドアクセスが必要です。VPC フローログを使用して、必要なトラフィックがすべて送信先に送信されることを確認できます。

ユーザー名に無効な文字が含まれていないことを確認する

Amazon WorkSpaces を含むアマゾン ウェブ サービス (AWS) アプリケーションには、ユーザー名の文字制限があります。ユーザー名で有効な文字のみが使用されていることを確認するには、「AWS アプリケーションのユーザー名制限を理解する」を参照してください。

Amazon WorkSpaces のユーザー名に無効な文字が含まれている場合は、以下の手順を実行します。

警告:WorkSpace の削除は永続的な操作です。WorkSpace ユーザーのデータは保持されず、破棄されます。

1. AWS アカウント から WorkSpace を削除します。
2. 有効な文字を使用して、ドメインのユーザー名を変更します。
   
3. 新しいユーザー名で新しい WorkSpace を起動します。