RDP를 사용하여 EC2 Windows 인스턴스에 연결 시 발생하는 인증 오류를 해결하려면 어떻게 해야 하나요?

해결 방법

RDP를 사용하여 Amazon EC2 Windows 인스턴스에 로그인할 때 다음과 같은 인증 오류가 발생할 수 있습니다.

• "인증 오류가 발생했습니다. 현지 보안 기관에 연락할 수 없습니다."
• "연결하려는 원격 컴퓨터에 NLA(네트워크 수준 인증)가 필요하지만 NLA를 수행하기 위해 Windows 도메인 컨트롤러에 연결할 수 없습니다. 원격 컴퓨터의 관리자인 경우 시스템 속성 대화 상자의 원격 탭에 있는 옵션을 사용하여 NLA를 비활성화할 수 있습니다."

이러한 오류는 다음 시나리오에서 발생할 수 있습니다.

• 서버에 대해 NLA(네트워크 계층 인증)가 켜져 있습니다.
• RDP가 로그인 시, 사용자 도메인과 이 도메인에 연결된 EC2 인스턴스 간의 신뢰 관계가 실패합니다.

서버의 NLA가 켜져 있음

도메인 자격 증명이 인증되지 않아 인스턴스와 도메인 컨트롤러 연결이 끊어지면 NLA 오류가 발생합니다. 이 문제를 해결하려면 AWS Systems Manager AWSSupport-TroubleshootRDP 자동화 문제 해결 문서를 사용하여 인스턴스 설정을 수정하거나 인스턴스에서 NLA를 비활성화하세요.

AWSSupport-TroubleshootRDP 자동화 문서를 사용하면 RDP 연결에 영향을 줄 수 있는 인스턴스의 일반 설정을 수정할 수 있습니다.

연결할 수 없는 인스턴스에서 NLA를 비활성화하려면 다음 방법 중 하나를 사용하세요.

• AWS Systems Manager Session Manager를 구성합니다.
• AWS-RunPowerShellScript 명령 문서를 실행합니다.
• 레지스트리를 오프라인으로 수동으로 변경합니다.

참고: NLA를 변경하는 경우 레지스트리를 변경해야 합니다. 시작하기 전에 인스턴스에서 Amazon Machine Image(AMI)를 생성하세요. 이렇게 하면 레지스트리를 변경하기 전에 백업이 생성됩니다.

Systems Manager Session Manager를 사용하여 NLA 비활성화하기

Session Manager를 사용하여 NLA를 비활성화하려면 다음 단계를 완료하여 레지스트리 키를 추가합니다.

중요: 인스턴스에는 Systems Manager Agent(SSM Agent)가 설치되어 있고 인스턴스가 온라인 상태여야 합니다. 또한 인스턴스에는 에게 권한을 부여하는 AWS Identity and Access Management(IAM) 역할이 있어야 합니다. 자세한 내용을 보려면 Session Manager사전 요구 사항을 참조하세요.

1. Systems Manager 콘솔을 엽니다.
2. 탐색 창에서 Fleet Manager를 선택합니다.
3. 연결하려는 관리형 인스턴스를 선택합니다.
4. 노드 작업 메뉴에서 터미널 세션 시작, 연결을 선택합니다. Session Manager를 사용하여 인스턴스에 연결되었습니다.
5. 터미널 세션에서 다음 명령을 실행합니다.

   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f

AWS-RunPowerShellScript 명령 문서를 사용하여 NLA 비활성화하기

AWS:RunPowerShellScript 명령 문서를 사용하여 NLA를 비 활성화하려면 다음 단계를 완료하여 레지스트리 키를 추가하세요.

**중요:**인스턴스에는 SSM Agent가 설치되어 있고 온라인 상태여야 합니다. 또한 인스턴스에는 Session Manager에 대한 권한을 부여하는 IAM 역할이 있어야 합니다. 자세한 내용을 보려면 Session Manager사전 요구 사항을 참조하세요.

1. Systems Manager 콘솔을 엽니다.

2. 탐색 창에서 명령 실행을 선택한 다음에 명령 실행을 선택합니다.

3. 명령 문서에 AWS-RunPowerShellScript를 선택하세요.

4. 명령 파라미터에 다음을 입력하세요.

   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD /d 0 /f

5. 대상 선택에 수동으로 인스턴스 선택을 선택한 다음, 해당 인스턴스를 선택합니다.

6. 실행을 선택하세요.

7. 전체 상태가 성공으로 변경될 때까지 기다립니다. 2분 후에 페이지를 새로 고칩니다.

8. 인스턴스를 시작합니다.

9. RDP를 사용하여 인스턴스에 로그인합니다.

오프라인으로 레지스트리 수동 변경

1. 연결할 수 없는 인스턴스를 중지하고 루트 볼륨을 분리합니다.

2. 중지한 연결할 수 없는 인스턴스와 동일한 가용 영역에서 새 인스턴스를 시작합니다. 새 인스턴스가 복구 인스턴스가 됩니다.

   **중요:**디스크 서명 문제를 방지하려면 연결할 수 없는 인스턴스와 다른 Windows 인스턴스를 시작하는 것이 좋습니다.

3. 분리된 볼륨을 복구 인스턴스에 /dev/xvdf로 연결합니다.

4. RDP를 사용하여 복구 인스턴스에 연결한 다음, 방금 연결한 볼륨을 디스크 관리자에서 온라인으로 가져옵니다.

5. 명령 프롬프트에서 regedit.exe를 입력한 다음, Enter 키를 눌러 레지스트리 편집기를 엽니다.

6. HKEY_LOCAL_MACHINE을 선택한 다음, File, Load Hive를 선택합니다.

7. 연결된 볼륨의 Windows 폴더로 이동한 다음, SYSTEM 파일을 선택합니다. 기본 경로는 D:\Windows\System32\config입니다.

8. SYSTEM 파일 이름을 지정합니다. 예: ** badsys**

9. 이제 badsys 시스템 파일이 HKEY_LOCAL_MACHINE 아래에 나타납니다. badsys에서 ControlSet001, Control, Terminal Server, WinStations, RDP-Tcp로 이동합니다.

10. SecurityLayer를 두 번 클릭하고 값 데이터를 0으로 설정합니다. UserAuthentication을 선택하고 값 데이터를 0으로 설정합니다. 그런 다음 AllowSecProtocolNegotiation을 선택하고 값 데이터를 0으로 설정합니다.

11. 위로 스크롤하여 badsys, File, Unload Hive를 선택합니다.

12. 하이브가 언로드되면 Disk Manager를 열고 디스크를 오프라인 상태로 전환합니다.

13. 복구 인스턴스에서 볼륨을 분리하고 연결할 수 없는 인스턴스에 볼륨을 루트 볼륨(/dev/sda1)으로 연결합니다.

14. 인스턴스를 시작하고 RDP를 테스트합니다.

RDP 로그인 중에 사용자 도메인과 이 도메인에 연결된 EC2 인스턴스 간의 신뢰 관계가 실패합니다.

캐시된 사용자 자격 증명을 사용하여 연결할 수 없는 인스턴스에 로그인을 시도합니다.

사전 요구 사항

• EC2 인스턴스에 성공적으로 인증할 수 있는 로컬 계정.

• (선택 사항) 인스턴스가 도메인 컨트롤러와 통신할 때 로그인한 하나 이상의 도메인 계정. 도메인 계정이 작동하려면 도메인 계정 자격 증명을 서버에 캐시해야 합니다.

  참고: 로컬 계정을 사용하는 것이 가장 좋습니다.

• 도메인 컨트롤러를 사용할 수 없는 경우 캐시할 이전 로그인 수 설정이 1 이상으로 설정되어 있는지 확인합니다. 대화형 로그인을 사용하려면 이 작업을 수행해야 합니다. 정책은 기본값인 10으로 설정할 수 있습니다. 기본적으로 정책은 정의되지 않으며 서버의 로컬 정책을 사용할 수 있습니다.

캐시된 사용자 자격 증명을 사용하여 로그인하려면 다음 단계를 완료하세요.

1. EC2 콘솔**을 열고 보안 그룹**을 선택합니다.
2. 탐색 창에서 보안 그룹을 선택합니다.
3. 보안 그룹 생성을 선택합니다.
4. 보안 그룹 이름과 설명을 추가합니다.
5. 인바운드 규칙의 경우 규칙 추가를 선택합니다.
6. 유형에서 RDP를 선택합니다. 그런 다음 RDP를 사용하여 연결할 소스에 대한 정보를 제공합니다.
7. 아웃바운드 규칙에서 모든 아웃바운드 액세스를 제거합니다.
8. 보안 그룹 생성을 선택합니다.
9. 탐색 창에서 인스턴스를 선택하고, 연결할 수 없는 인스턴스를 선택합니다.
10. 작업, 보안, 보안 그룹 변경을 선택합니다. 기존 보안 그룹을 모두 제거한 다음 방금 만든 보안 그룹을 할당합니다.
11. 일반 도메인 계정을 사용하여 RDP를 사용하여 EC2 인스턴스에 연결합니다. Amazon EC2에서 모든 아웃바운드 액세스가 제거되므로 RDP는 서버에 저장된 캐시된 자격 증명을 사용합니다.

**참고:**인증은 처음에 도메인 컨트롤러에 대해 시도됩니다. 하지만 Amazon EC2로부터의 아웃바운드 액세스가 없기 때문에 인증은 결국 서버에 저장된 캐시된 자격 증명을 확인합니다. 캐시된 자격 증명을 사용하여 인증을 다시 시도하고 로그인에 성공합니다. 로그인한 후 보안 그룹 설정을 원래 상태로 다시 변경한 다음 도메인과 관련된 모든 문제를 계속 수정할 수 있습니다.

추가적인 문제 해결

여전히 인스턴스에 연결할 수 없는 경우, Amazon EC2 Windows 인스턴스에 원격 데스크톱 연결 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.

관련 정보

AWS Systems Manager 실행 명령

AWS Systems Manager Session Manager