WorkSpaces 클라이언트를 사용하여 WorkSpace를 인증할 수 없는 이유는 무엇입니까?

최종 업데이트 날짜: 2022년 9월 20일

Amazon WorkSpaces 클라이언트를 사용하여 로그인하려고 하면 다음과 비슷한 오류 메시지가 표시됩니다.

"Authentication Failed: Please check your username and password to make sure you typed them correctly."

"Directory Unavailable: Your directory could not be reached at this time. Please contact your Administrator for more details."

암호가 올바르게 입력되었고 디렉터리를 사용할 수 있음을 확인했습니다. 그래도 이 오류 메시지가 표시되는 이유는 무엇입니까?

해결 방법

인증 실패 오류

올바른 보안 인증을 사용할 때 발생하는 인증 실패 오류는 일반적으로 Active Directory의 구성 문제와 관련이 있습니다.

이 오류를 해결하려면 다음 단계를 수행합니다.

WorkSpace 클라이언트의 디렉터리 등록 코드가 WorkSpace와 연결된 값과 일치하는지 확인

1.    WorkSpaces 클라이언트를 엽니다. 로그인 창에서 설정, 로그인 정보 관리를 선택합니다. 등록 코드를 기록해 둡니다.

참고: 등록 코드가 여러 개인 경우 팝업 창을 닫은 다음 등록 코드 변경을 선택합니다.

2.    등록 코드가 WorkSpaces 콘솔 또는 환영 이메일의 WorkSpace에 연결된 값과 일치하는지 확인합니다.

참고: 콘솔에서 등록 코드를 찾으려면 WorkSpaces 콘솔을 열어 선택한 AWS 리전의 WorkSpaces 목록을 확인하십시오. WorkSpace ID 옆에 있는 화살표를 선택하여 WorkSpace 세부 정보가 표시되게 한 다음 등록 코드를 기록해 둡니다.

오류가 잘못된 보안 인증 정보 때문인지 또는 WorkSpace의 오류로 인한 것인지 확인

1.    RDP (원격 데스크톱 프로토콜) 클라이언트를 사용하여 WorkSpace에 연결하거나 SSH를 사용하여 WorkSpace에 연결합니다.

2.    보안 인증 정보를 입력합니다. 인증 실패 오류가 발생하면 다음과 같은 이유로 오류가 발생했는지 여부를 확인할 수 있습니다.

  • 보안 인증 정보가 잘못되었습니다.
  • WorkSpace에 문제가 있습니다.
  • Active Directory와의 신뢰 관계가 깨졌습니다.
  • Active Directory 사용자 계정과 관련된 또 다른 문제입니다.

발생한 오류에 따라 WorkSpace의 RDP/SSH 세션에서 관찰된 오류의 문제 해결을 진행합니다.

참고: 보안 또는 규정 준수상의 이유로 WorkSpaces에서 RDP/SSH를 사용할 수 없는 경우, WorkSpace의 사용자 보안 인증을 사용하여 도메인에 가입된 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 로그인하여 검증해 보십시오.

사용자의 Active Directory 사용자 객체가 사전 요구 사항을 충족하는지 확인합니다.

1.    Kerberos 사전 인증이 켜져 있는지 확인하십시오.

2.    다음 로그온 시 사용자가 암호를 변경해야 함 확인란을 비워둡니다.

3.    다음 명령을 실행하여 사용자 암호가 만료되지 않았는지 확인하고 사용자 이름을 값으로 바꿉니다.

net user username /domain

4.    Simple AD 또는 AWS Directory Service for Microsoft Active Directory를 사용하는 경우, WorkSpaces 클라이언트에서 암호를 잊으셨습니까?를 선택하여 암호를 재설정합니다.

사용자 객체의 sAMAccountName 속성이 수정되지 않았는지 확인합니다.

WorkSpaces는 Active Directory 사용자의 사용자 이름 속성 수정을 지원하지 않습니다. WorkSpaces와 Active Directory의 사용자 이름 속성이 일치하지 않으면 인증에 실패합니다.

sAMAccountName을 변경한 경우 다시 변경할 수 있습니다. WorkSpace가 다시 정상적으로 작동합니다.

사용자의 이름을 변경해야 하는 경우 다음 단계를 따르십시오.

경고: WorkSpace 제거는 영구적인 작업입니다. WorkSpace 사용자의 데이터는 유지되지 않고 폐기됩니다.

1.    사용자 볼륨에서 Amazon WorkDocs 또는 Amazon FSx와 같은 외부 위치로 파일을 백업합니다.

2.    WorkSpace를 제거합니다.

3.    사용자 이름 속성을 수정합니다.

4.    해당 사용자에 대한 새 WorkSpace를 시작합니다.

사용자 이름 속성에 유효하지 않은 문자가 포함되어 있지 않은지 확인

WorkSpaces를 포함한 Amazon Web Services(AWS) 애플리케이션에는 사용자 이름 속성 문자 제한이 있습니다. 사용자 이름 속성에 올바른 문자만 사용되었는지 확인하려면 AWS 애플리케이션의 사용자 이름 제한 이해를 참조하십시오.

WorkSpaces 사용자 이름 속성에 유효하지 않은 문자가 포함되어 있는 경우 다음 단계를 따르십시오.

경고: WorkSpace 제거는 영구적인 작업입니다. WorkSpace 사용자의 데이터는 유지되지 않고 폐기됩니다.

1.    사용자 볼륨에서 WorkDocs 또는 Amazon FSx와 같은 외부 위치로 파일을 백업합니다.

2.    WorkSpace를 제거합니다.

3.    올바른 문자를 사용하여 도메인에서 사용자 이름 속성을 변경합니다.
Active Directory 사용자 및 컴퓨터 도구를 사용하여 사용자를 찾습니다.
사용자의 컨텍스트(오른쪽 클릭) 메뉴를 열고 속성을 선택합니다.
계정 탭에서 사용자 로그온 이름사용자 로그온 이름(Windows 2000 이전 버전)을 모두 바꿔야 합니다.

4.    새 사용자 이름 속성으로 새 WorkSpace를 실행합니다.

관련된 당사자 간에 5분 이상의 시간 차이가 없는지 확인

인증은 관련된 모든 당사자와의 시간 차이에 민감합니다. 도메인의 모든 도메인 컨트롤러, 원격 인증 전화 사용자 서비스 위치(RADIUS) 서버(사용된 경우), WorkSpace 인스턴스 및 서비스 자체가 서로 동기화되어 있어야 합니다.

1.    다중 인증(MFA)을 사용하는 경우 모든 RADIUS 서버의 시계가 신뢰할 수 있는 시간 소스와 동기화되어 있는지 확인합니다. (예: pool.ntp.org.)

2.    디렉터리가 고객 관리형(예: AD Connector)인 경우 모든 도메인 컨트롤러가 신뢰할 수 있는 시간 소스와 동기화되어 있는지 확인합니다.

3.    WorkSpace의 시간이 정확하지 않다고 생각되면 WorkSpace를 재부팅하십시오. 재부팅하면 WorkSpace가 원자 시계와 다시 동기화됩니다. 몇 분 후에 WorkSpace가 도메인 컨트롤러와도 다시 동기화됩니다.

4.    다음 명령을 실행하여 신뢰할 수 있는 시간 소스와 비교하여 시간을 확인합니다.

Linux:

ntpdate -q -u pool.ntp.org

Windows:

w32tm.exe /stripchart /computer:pool.ntp.org

디렉터리 사용 불가능 오류

디렉터리를 사용할 수 있을 때 발생하는 디렉터리 사용 불가능 오류는 일반적으로 MFA 구성 문제와 관련이 있습니다.

이 오류를 해결하려면 다음 단계를 수행합니다.

RADIUS 서버가 실행 중인지 확인하고, 로그를 검토하여 인증 트래픽이 승인되고 있는지 확인

구성된 RADIUS 서버가 실행되고 있지 않거나 네트워크 수정으로 인해 RADIUS 서버가 WorkSpaces에서 사용하는 도메인 컨트롤러와 통신할 수 없는 경우 디렉터리 사용 불가능 오류가 발생할 수 있습니다.

AD Connector를 사용하는 경우 AD 커넥터의 네트워킹 구성은 도메인 컨트롤러와 RADIUS 서버에 대한 아웃바운드 액세스 권한을 허용해야 합니다. VPC 흐름 로그를 사용하여 필요한 모든 트래픽이 대상으로 전송되는지 확인할 수 있습니다.

등록된 디렉터리에서 MFA를 일시적으로 끄고, MFA를 켜지 않고도 로그인할 수 있는지 확인할 수 있습니다. MFA를 끈 후에도 로그인할 수 있으면 RADIUS 서버와 관련된 구성 문제가 확인된 것입니다.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?