WorkSpaces クライアントを使用して自分の WorkSpace に対して認証できないのはなぜですか?

最終更新日: 2022 年 7 月 11 日

Amazon WorkSpaces クライアントを使用してログインしようとすると、次のようなエラーメッセージが表示されます。

「認証に失敗しました: ユーザー名とパスワードを確認して、正しく入力したことを確認してください。」

パスワードが正しく入力されていることを確認しました。このエラーメッセージがまだ表示されるのはなぜですか ?

解決方法

正しい認証情報が使用されたときに発生する「認証失敗」エラーは通常、Active Directory の構成の問題に関連しています。

このエラーをトラブルシューティングするには、次を試してください。

Workspace クライアントのディレクトリ登録コードが WorkSpace に関連付けられた値と一致することを確認する

  1. Amazon WorkSpaces クライアントを開きます。ログインウィンドウから、[Settings] (設定)、[Manage Login Information] (ログイン情報の管理) の順に選択します。登録コードを書き留めます。
    : 複数の登録コードがある場合は、ポップアップウィンドウを閉じて、[Change Registration Code] (登録コードを変更) を選択します。
  2. 登録コードが、Amazon WorkSpaces コンソールまたは招待メールの WorkSpace に関連付けられている値と一致することを確認します。
    注: コンソールから登録コードを見つけるには、Amazon WorkSpaces コンソールを開き、選択したリージョンの WorkSpaces のリストを表示します。WorkSpace ID の横にある矢印を選択して WorkSpace の詳細を表示し、[Registration Code] (登録コード) を書き留めます。

エラーの原因が無効な認証情報と WorkSpace のエラーのいずれであるのかを確認する

  1. Remote Desktop Protocol (RDP) クライアントを使用して WorkSpace に接続します。
  2. 認証情報を入力します。エラーが表示された場合、誤った認証情報、WorkSpace の問題、または Active Directory の観点からの問題 (すなわち、信頼関係が壊れている、もしくは AD ユーザーアカウントに他の問題がある) によってエラーが引き起こされているのかどうかをすぐに確認できます。表示されたエラーに従って、ワークスペースの RDP セッションで観察されたエラーのトラブルシューティングに進みます。
    : セキュリティまたはコンプライアンスの理由により WorkSpace で RDP を有効にできない場合は、WorkSpace のユーザー認証情報を使用してドメインに参加している任意の EC2 インスタンスにログインし、それらの検証を試みることができます。

ユーザーの Active Directory ユーザーオブジェクトが前提条件を満たしていることを確認する

  • Kerberos 事前認証を使用する必要があります。
  • [User must change password on next logon] (ユーザーは次回のログオン時にパスワードの変更が必要) の選択をクリアします。
  • 次のコマンドを実行して、ユーザーのパスワードが失効していないことを確認し、username を自分の値に置き換えます。
net user username /domain

Simple AD または AWS Directory Service for Microsoft Active Directory を使用している場合は、Amazon WorkSpaces クライアントから [Forgot Password?] (パスワードを忘れた場合) を選択してパスワードをリセットします。

ユーザーオブジェクトの sAMAccountName 属性が変更されていないことを確認する

Amazon WorkSpaces では、Active Directory ユーザーのユーザー名属性の変更はサポートされていません。Amazon WorkSpaces と Active Directory のユーザー名属性が一致しない場合、認証は失敗します。

sAMAccountName を変更している場合、元に戻すだけで、WorkSpace は正常な動作を再開します。

ユーザーの名前を変更する必要がある場合は、次の手順を実行します。

警告: WorkSpace の削除は永続的なアクションです。WorkSpace ユーザーのデータは保持されず、破棄されます。

  1. ユーザーボリュームから Amazon WorkDocsAmazon FSx などの外部の場所にファイルをバックアップします。
  2. WorkSpace を削除します
  3. 属性を変更します。
  4. ユーザーのために新しい WorkSpace を起動します

ユーザーネーム属性に無効な文字が含まれていないことを確認する

Amazon WorkSpaces を含む Amazon Web Services (AWS) アプリケーション用に、ユーザーネーム属性の文字制限があります。ユーザーネーム属性で有効な文字のみが使用されていることを確認するには、「AWS アプリケーションのユーザーネームの制限を理解する」を参照してください。

Amazon WorkSpaces ユーザー名の属性に無効な文字が含まれている場合は、次の手順に従います。

警告: WorkSpace の削除は永続的なアクションです。WorkSpace ユーザーのデータは保持されず、破棄されます。

  1. ユーザーボリュームから Amazon WorkDocsAmazon FSx などの外部の場所にファイルをバックアップします。
  2. AWS アカウント から WorkSpace を削除します
  3. 有効な文字を使用して、ドメインのユーザーネーム属性の名前を変更します。Active Directory ユーザーとコンピュータツールを使用して、ユーザーを検索します。ユーザーのコンテキスト (右クリック) メニューを開き、[Properties] (プロパティ) を選択します。[Account] (アカウント) タブで、[User logon name] (ユーザーログオン名) と [User logon name (pre-Windows 2000)] (ユーザーログオン名 (Windows 2000 以前)) の両方の名前を必ず変更します。
  4. 新しいユーザーネーム属性で新しい WorkSpace を起動します。

多要素認証 (MFA) を使用している場合は、RADIUS サーバーのログをチェックして、認証トラフィックが受信および承認されていることを確認します。

  • このエラーは、ネットワークの変更によって RADIUS ソリューションが Amazon WorkSpaces のドメインコントローラーと通信できない場合に発生する可能性があります。
  • AD Connector を使用している場合、コネクタエンドポイントには、ドメインコントローラーと RADIUS サーバーへのアウトバウンドアクセスが必要です。VPC フローログを使用して、必要なトラフィックがすべて送信先に送信されることを確認できます。

関係者間で 5 分を超える時差がないことを確認する

認証では、全関係者との時差が極めて大きな影響をもたらします。ドメイン内のすべてのドメインコントローラー、RADIUS サーバー (使用される場合)、WorkSpace インスタンス、およびサービス自体は、互いに同期している必要があります。

  • MFA を使用している場合は、すべての RADIUS サーバーの時計が信頼できるタイムソース (pool.ntp.org など) と同期していることを確認します。
  • ディレクトリがカスタマーマネージド (AD Connector) の場合は、すべてのドメインコントローラーが信頼できるタイムソースと同期していることを確認します。
  • WorkSpace の時刻が不正確であると思われる場合は、WorkSpace を再起動します。再起動すると、WorkSpace と原子時計が再同期されます。数分後、WorkSpace はドメインコントローラーとも再同期します。
  • 次のコマンドを実行して、信頼できるタイムソースに対して時刻を検証します。

Linux の場合:

ntpdate -q -u pool.ntp.org

Windows の場合:

w32tm.exe /stripchart /computer:pool.ntp.org

この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?