Pourquoi est-ce que j'obtiens une erreur NLA lorsque j'utilise RDP pour me connecter à WorkSpaces ?
Lorsque j'essaie de me connecter à Amazon WorkSpaces, le message d'erreur « Unable to connect » s'affiche. Lorsque j'utilise le protocole RDP (Remote Desktop Protocol) pour résoudre le problème, j’obtiens une erreur Network Level Authentication (NLA).
Résolution
Si vous utilisez le protocole RDP pour vous connecter à une instance WorkSpace, l'une des erreurs suivantes peut s'afficher :
- « Une erreur d’authentification s’est produite. L’autorité de sécurité locale ne peut pas être contactée. »
- « L’ordinateur distant auquel vous essayez de vous connecter nécessite une authentification au niveau du réseau (NLA), mais votre contrôleur de domaine Windows ne peut pas être contacté pour effectuer la NLA. Si vous êtes un administrateur sur l’ordinateur distant, vous pouvez désactiver NLA à l’aide des options de l’onglet Distant de la boîte de dialogue Propriétés système. »
Pour résoudre ces erreurs, procédez comme suit :
Vérifier la connectivité au contrôleur de domaine
Si l’instance WorkSpace ne parvient pas à communiquer avec les contrôleurs de domaine, il est possible que vous ne puissiez pas utiliser le protocole RDP pour vous connecter à l’instance WorkSpace. Pour résoudre les problèmes de connexion, procédez comme suit :
- Assurez-vous que le groupe de sécurité _workspacesMembers autorise le trafic sortant vers les contrôleurs de domaine. Par défaut, le groupe de sécurité autorise tout le trafic sortant.
- Configurez les règles ACL réseau pour autoriser le trafic sortant des instances WorkSpace vers les contrôleurs de domaine sur les ports Active Directory. Vous devez également autoriser le trafic entrant des contrôleurs de domaine vers les instances WorkSpace sur des ports éphémères.
- Si vous utilisez un pare-feu, ajustez les règles de pare-feu pour autoriser la communication entre l’instance WorkSpace et le contrôleur de domaine.
Désactiver l’authentification NLA
Des erreurs de connexion RDP peuvent se produire si NLA est activé pour votre instance WorkSpace. Pour désactiver l’authentification NLA, vous pouvez utiliser le registre réseau, les valeurs de registre ou l’Appel de procédure à distance (RPC) Microsoft. Après avoir désactivé NLA, redémarrez l’instance WorkSpace depuis la console.
Remarque : Si vous utilisez AWS Systems Manager pour gérer des instances WorkSpace, vous pouvez désactiver NLA à l'aide de Systems Manager Session Manager. Pour plus d’informations, consultez la section Comment puis-je résoudre les erreurs d'authentification lorsque j'utilise le protocole RDP pour me connecter à une instance Windows EC2 ?
Prérequis :
- Vous devez activer et vous authentifier via la communication à distance PowerShell. La communication à distance PowerShell est activée par défaut sur les plateformes Windows Server. Pour plus d'informations, consultez la page Chapitre 8 - Communication à distance de PowerShell sur le site Web de Microsoft.
- Dans le groupe de sécurité WorkSpaces, vous devez autoriser le trafic entrant sur les ports suivants : Port TCP 445 (trafic SMB requis pour modifier le registre distant), TCP 135 (RPC) et TCP 5985 (PowerShell/WinRM à distance).
- Le service RemoteRegistry doit s’exécuter sur l’instance WorkSpace source ou sur l'instance Amazon Elastic Compute Cloud (Amazon EC2) jointe, ainsi que sur l’instance WorkSpace distante.
Pour trouver le nom de l'ordinateur WorkSpace de l’instance WorkSpace concernée, procédez comme suit :
- Ouvrez la console WorkSpaces.
- Choisissez l’instance WorkSpace concernée
- Copiez la valeur de Nom de l’ordinateur dans un fichier texte en vue de son utilisation aux étapes ultérieures. Par exemple, WSAMZN-ABCDE.
Pour vous connecter à PowerShell, procédez comme suit :
- Connectez-vous à une instance WorkSpace fonctionnelle. Vous pouvez également vous connecter à une instance EC2 jointe au domaine dans le même sous-réseau que le compte AWS de l'administrateur. L'utilisateur doit disposer des droits d'administrateur local sur l’instance WorkSpace distante. Par défaut, les administrateurs de domaine disposent d'autorisations d'administrateur local.
- Exécutez PowerShell en tant qu'administrateur.
Utiliser le registre réseau pour désactiver NLA
Procédez comme suit :
-
Pour vérifier le statut du service RemoteRegistry sur l'instance WorkSpace ou EC2 source, exécutez la commande suivante :
Get-Service -Name RemoteRegistry | Start-Service #Validate the service status Get-Service -Name RemoteRegistry #Output should be as below Status Name DisplayName ------ ---- ----------- Running RemoteRegistry Remote Registry
-
Pour vous connecter à la session à distance PowerShell avec l'instance WorkSpace concernée, exécutez la commande suivante :
$credential = Get-Credential -Credential domain\username Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential
Remarque : Remplacez le domaine par votre nom de domaine Active Directory et votre nom d'utilisateur par l'utilisateur WorkSpaces qui dispose des droits d'administrateur local dans l'instance WorkSpace distante. Remplacez également le nom de l'ordinateur WorkSpace par le nom de votre ordinateur WorkSpace.
-
Pour vérifier le statut du service RemoteRegistry sur l'instance WorkSpace distante, exécutez la commande suivante :
Get-Service -Name RemoteRegistry | Start-Service #Validate the service status Get-Service -Name RemoteRegistry #Output should be as below Status Name DisplayName ------ ---- ----------- Running RemoteRegistry Remote Registry
-
Pour configurer le pare-feu Windows afin d'autoriser le trafic via le port TCP 445, exécutez la commande suivante :
netsh advfirewall firewall add rule name= "RemoteRegistryAccess" dir=in action=allow protocol=TCP localport=445
-
Pour ouvrir l’éditeur de registre, dans une invite de commande, saisissez regedit.exe, puis appuyez sur Entrée.
-
Ouvrez le menu contextuel (clic droit) pour l’option Fichier, puis sélectionnez Connecter le registre réseau.
-
Pour Nom de l'ordinateur WorkSpace, saisissez le nom de votre ordinateur WorkSpace.
-
Sélectionnez Vérifier les noms.
-
Pour Entrer le nom de l'objet à sélectionner, saisissez le chemin de registre suivant : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Puis, sélectionnez OK.
-
Pour Clé : SecurityLayer, saisissez 0, et pour Clé : UserAuthentication, saisissez 0.
Modifier les valeurs de registre pour désactiver NLA
Procédez comme suit :
- Pour vous connecter à la session à distance PowerShell, exécutez la commande suivante :
Remarque : Remplacez le domaine par votre nom de domaine Active Directory et votre nom d'utilisateur par l'utilisateur WorkSpaces qui dispose des droits d'administrateur local dans l'instance WorkSpace distante. Remplacez également le nom de l'ordinateur WorkSpace par le nom de votre ordinateur WorkSpace.$credential = Get-Credential -Credential domain\username Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential
- Pour désactiver NLA, exécutez la commande suivante :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\terminal server\winstations\rdp-tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
Utiliser Microsoft RPC pour désactiver NLA
Pour mettre à jour la clé de registre, exécutez la commande suivante :
(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -ComputerName WorkSpace Computer Name -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)
Remarque : Remplacez le nom de l'ordinateur WorkSpace par le nom de votre ordinateur WorkSpace.
Vérifier si l'objet Ordinateur WorkSpaces a été supprimé
Si l'objet Ordinateur WorkSpaces a été supprimé d'Active Directory, l'erreur NLA s'affiche. Pour résoudre ce problème, restaurez l'ordinateur WorkSpace :
- Restaurez l'objet Ordinateur WorkSpaces à partir d'Active Directory. Pour plus d'informations, consultez la page Restore-ADObject sur le site Web de Microsoft.
- Redémarrez l’instance WorkSpace concernée.
Vérifier les adresses IP du serveur DNS
Si vous mettez à jour les adresses IP du serveur DNS dans AD Connector avant de mettre à jour l’instance WorkSpace associée, l'erreur NLA s'affiche. Pour résoudre ce problème, procédez comme suit :
-
Ouvrez l’instance WorkSpace source ou l'instance EC2 jointe.
-
Pour vous connecter à la session à distance PowerShell pour l’instance WorkSpace distante, exécutez la commande suivante :
$credential = Get-Credential -Credential domain\username Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential
Remarque : Remplacez le domaine par votre nom de domaine Active Directory et votre nom d'utilisateur par l'utilisateur WorkSpaces qui dispose des droits d'administrateur local dans l'instance WorkSpace distante. Remplacez également le nom de l'ordinateur WorkSpace par le nom de votre ordinateur WorkSpace.
-
Pour mettre à jour le serveur DNS avec les nouvelles adresses IP, exécutez la commande suivante :
Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "10.0.0.0,10.0.0.00"
Remarque : Remplacez 10.0.0.0 et 10.0.0.00 par les nouvelles adresses IP du serveur DNS.
-
Pour redémarrer le service SkylightWorkspaceConfig, exécutez la commande suivante :
Get-Service SkyLightWorkspaceConfigService | Restart-Service
-
Si vous ne parvenez toujours pas à utiliser le protocole RDP pour vous connecter à l’instance WorkSpace, redémarrez l’instance WorkSpace concernée.
Si vous avez terminé les étapes de résolution et que vous ne parvenez toujours pas à résoudre l'erreur NLA ou le problème de connexion RDP, vous devez reconstruire l’instance WorkSpace.
Informations connexes
Mettre à jour les serveurs DNS pour les instances WorkSpaces personnelles
Résoudre les erreurs d'authentification lorsque vous utilisez le protocole RDP pour vous connecter à Azure VM sur le site Web de Microsoft
Contenus pertinents
- demandé il y a 14 jourslg...
- demandé il y a un anlg...
- demandé il y a un anlg...
- demandé il y a 9 moislg...
- demandé il y a 2 anslg...
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 2 mois
- AWS OFFICIELA mis à jour il y a 2 ans