RDP를 사용하여 EC2 Windows 인스턴스에 연결할 때 발생하는 인증 오류를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 6월 29일

RDP(Remote Desktop Protocol)를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) Windows 인스턴스에 로그인할 수 없습니다. 다음 인증 오류 메시지 중 하나가 수신됩니다.

  • "An authentication error has occurred. The Local Security Authority cannot be contacted."
  • "The remote computer that you are trying to connect to requires Network Level Authentication (NLA), but your Windows domain controller cannot be contacted to perform NLA. If you are an administrator on the remote computer, you can disable NLA by using the options on the Remote tab of the System Properties dialog box."

간략한 설명

위의 오류는 다음 두 가지 시나리오에서 발생할 수 있습니다.

  • 서버에서 NLA(네트워크 계층 인증)가 활성화되었습니다.
  • RDP 로그인 중에 도메인과 이 도메인에 가입된 EC2 인스턴스 간의 신뢰 관계가 실패합니다.

해결 방법

서버에서 NLA가 활성화되었음

도메인 자격 증명이 인증되지 않아 인스턴스에서 도메인 컨트롤러에 대한 연결이 끊어진 경우 NLA 오류가 종종 발생합니다. 이 문제를 해결하려면 AWS Systems Manager AWSSupport-TroubleshootRDP 자동화 문서를 사용할 수 있습니다. 또는 인스턴스에서 NLA를 비활성화할 수 있습니다.

AWSSupport-TroubleshootRDP 자동화 문서

AWSSupport-TroubleshootRDP 자동화 문서를 사용하면 RDP 연결에 영향을 미칠 수 있는 Amazon EC2 Windows 인스턴스의 일반 설정(예: RDP 포트, NLA(네트워크 계층 인증), Windows 방화벽 프로파일)을 수정할 수 있습니다. AWSSupport-TroubleshootRDP 문서를 사용하여 문제를 해결하는 방법은 AWSSupport-TroubleshootRDP를 참조하세요.

인스턴스에서 NLA 비활성화

다음 방법 중 하나를 사용하여 연결할 수 없는 인스턴스에서 NLA를 비활성화할 수 있습니다.

  • Systems Manager AWS-RunPowerShellScript 문서를 사용하여 NLA를 비활성화합니다.
  • 오프라인에서 레지스트리를 수동으로 변경합니다.

참고: NLA를 비활성화하려면 레지스트리를 변경해야 합니다. 시작하기 전에 인스턴스에서 Amazon Machine Image(AMI)를 생성합니다. 이렇게 하면 레지스트리를 변경하기 전에 백업이 생성됩니다.

Systems Manager AWS-RunPowerShellScript 문서를 사용하여 NLA 비활성화

AWS Systems Manager AWS-RunPowerShellScript Run Command를 사용하여 레지스트리 키를 추가하려면 다음 단계를 따르세요.

중요: 인스턴스에 AWS Systems Manager SSM 에이전트가 설치되어 있어야 합니다. 인스턴스에는 System Manager에 대한 권한이 포함된 AWS Identity and Access Management(IAM) 역할(AmazonEC2RoleforSSM)도 있어야 하며 Systems Manager 대시보드에서 ‘온라인’으로 보고해야 합니다. 자세한 내용은 Systems Manager 사전 요구 사항을 참조하세요.

1.    AWS Systems Manager 콘솔을 엽니다.

2.    탐색 창의 [Instances & Nodes] 섹션에서 [Run Command]를 선택합니다.

3.    Command document에서 AWS-RunPowerShellScript를 선택합니다.

4.    Command parameters에 다음 명령을 입력합니다.

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
reg add
"HKLM\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp" /v fAllowSecProtocolNegotiation /t REG_DWORD
/d 0 /f

5.    Targets에서 Choose instances manually를 선택합니다.

6.    인스턴스를 선택합니다.

7.    Run을 선택합니다.

8.    Overall statusSuccess로 변경될 때까지 기다립니다. 2분 후 페이지를 새로 고칩니다.

9.    인스턴스를 다시 시작합니다.

10.    RDP를 사용하여 인스턴스에 로그인합니다.

오프라인에서 레지스트리를 수동으로 변경

  1. 연결할 수 없는 인스턴스를 중지하고 루트 볼륨을 분리합니다.
  2. 방금 중지한 원래 인스턴스와 동일한 가용 영역에서 새 인스턴스를 시작합니다. 이것이 여러분의 복구 인스턴스가 됩니다. 연결할 수 없는 인스턴스와 다른 Windows 버전을 시작하는 것이 가장 좋습니다. 이렇게 하면 디스크 서명 문제가 발생하지 않습니다.
  3. 분리된 볼륨을 복구 인스턴스에 /dev/xvdf로 연결합니다.
  4. RDP를 사용하여 복구 인스턴스에 연결한 다음 방금 연결한 볼륨을 디스크 관리자에서 온라인으로 가져옵니다.
  5. regedit.exe를 실행하여 레지스트리 편집기를 엽니다.
  6. HKEY_LOCAL_MACHINE을 선택한 다음 File, Load Hive를 선택합니다.
  7. 연결된 볼륨의 Windows 폴더로 이동한 다음 SYSTEM 파일을 선택합니다. 기본 경로는 D:\Windows\System32\config입니다.
  8. SYSTEM 파일의 이름을 지정합니다. 예: badsys.
  9. 이제 badsysHKEY_LOCAL_MACHINE 아래에 나타납니다. Badsys에서 ControlSet001, Control, Terminal Server, WinStations, RDP-Tcp로 이동합니다.
  10. SecurityLayer를 두 번 클릭하고 값 데이터를0으로 설정합니다. 그런 다음 UserAuthentication을 선택하고 값 데이터를 0으로 설정합니다.
  11. 위로 스크롤하여 badsys, File, Unload Hive를 선택합니다.
  12. 하이브가 언로드된 후 디스크 관리자를 열고 디스크를 오프라인 상태로 만듭니다.
  13. 복구 인스턴스에서 볼륨을 분리하고 연결할 수 없는 인스턴스에 루트 볼륨(/dev/sda1)으로 연결합니다.
  14. 인스턴스를 시작하고 RDP를 테스트합니다.

RDP 로그인 중에 도메인과 이 도메인에 가입된 EC2 인스턴스 간의 신뢰 관계가 실패함

캐시된 사용자 자격 증명을 사용하여, 연결할 수 없는 인스턴스에 로그인을 시도할 수 있습니다.

사전 요구 사항

  • EC2 인스턴스에 성공적으로 인증할 수 있는 로컬 계정입니다.
  • (옵션) 인스턴스가 도메인 컨트롤러와 성공적으로 통신할 수 있을 때 로그인된 도메인 계정이 하나 이상 있어야 합니다. 도메인 계정이 작동하려면 도메인 계정 자격 증명이 서버에 캐시되어야 합니다. 따라서 항상 로컬 계정을 사용하는 것이 좋습니다.
  • 대화형 로그온을 사용하려면 캐시할 이전 로그온 수를 설정하는 정책(도메인 컨트롤러를 사용할 수 없는 경우)이 1 이상으로 설정되어 있어야 합니다. 또는 정책을 기본값 10으로 설정할 수 있습니다. 기본적으로 이 정책은 GPO에서 정의되지 않으며 서버 로컬 정책이 사용됩니다.

캐시된 사용자 자격 증명을 사용하여 로그인하려면 다음 단계를 따르세요.

  1. Amazon EC2 콘솔을 열고 보안 그룹을 선택합니다.
  2. 보안 그룹 생성을 선택한 다음 이름과 설명을 추가합니다.
  3. 보안 그룹 규칙에서 인바운드 – 규칙 추가를 선택합니다.
  4. RDP를 입력합니다.
  5. 소스 필드에서 RDP로 연결할 IP 주소를 입력합니다.
  6. 아웃바운드 규칙에서 모든 아웃바운드 액세스를 제거한 다음 만들기를 선택합니다.
  7. 연결할 수 없는 인스턴스를 선택한 다음 작업, 네트워킹, 보안 그룹 변경을 선택합니다. 기존 보안 그룹을 모두 제거하고 방금 만든 보안 그룹만 할당합니다.
  8. 일반 도메인 계정을 사용하여 EC2 인스턴스에 RDP로 연결합니다. 모든 아웃바운드 액세스가 EC2에서 제거되므로 RDP는 서버 내부에 저장된 캐시된 자격 증명을 사용합니다.

참고: 처음에는 도메인 컨트롤러에 대해 인증이 시도됩니다. 그러나 EC2에서의 아웃바운드 액세스 권한이 없기 때문에 인증은 결국 서버 내에 캐시된 자격 증명을 확인합니다. 캐시된 자격 증명을 사용하여 인증 재시도 및 로그인이 성공합니다. 로그인한 후 보안 그룹 설정을 원래 상태로 되돌리고 도메인 관련 문제 해결을 계속할 수 있습니다.

추가 문제 해결


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?