RDP를 사용하여 WorkSpaces에 연결할 때 NLA 오류가 발생하는 이유는 무엇입니까?

5분 분량
0

Amazon WorkSpaces에 연결하려고 하면 "연결할 수 없음" 오류 메시지가 나타납니다. 원격 데스크톱 프로토콜(RDP)을 사용하여 문제를 해결하면 네트워크 수준 인증(NLA) 오류가 발생합니다.

해결 방법

RDP를 사용하여 WorkSpace에 로그인하면 다음 오류 중 하나가 나타날 수 있습니다.

  • "인증 오류가 발생했습니다. 현지 보안 기관에 연락할 수 없습니다."
  • "연결하려는 원격 컴퓨터에 NLA(네트워크 수준 인증)가 필요하지만 NLA를 수행하기 위해 Windows 도메인 컨트롤러에 연결할 수 없습니다. 원격 컴퓨터의 관리자인 경우 시스템 속성 대화 상자의 원격 탭에 있는 옵션을 사용하여 NLA를 비활성화할 수 있습니다."

이러한 오류를 해결하려면 다음 작업을 수행하십시오.

도메인 컨트롤러에 대한 연결 확인

WorkSpaces가 도메인 컨트롤러와 통신할 수 없는 경우 RDP를 사용하여 WorkSpace에 로그인하지 못할 수 있습니다. 연결 문제를 해결하려면 다음 단계를 완료하십시오.

  1. _workspacesMembers 보안 그룹이 도메인 컨트롤러로의 아웃바운드 트래픽을 허용하는지 확인합니다. 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용합니다.
  2. WorkSpaces에서 Active Directory 포트의 도메인 컨트롤러로의 아웃바운드 트래픽을 허용하도록 네트워크 ACL 규칙을 구성합니다. 또한 임시 포트에서 도메인 컨트롤러에서 WorkSpaces로의 인바운드 트래픽을 허용해야 합니다.
  3. 방화벽을 사용하는 경우 WorkSpace와 도메인 컨트롤러 간의 통신을 허용하도록 방화벽 규칙을 조정합니다.

NLA 비활성화

WorkSpaces에 대해 NLA가 활성화되어 있으면 RDP 로그인 오류가 발생할 수 있습니다. NLA를 비활성화하려면 네트워크 레지스트리, 레지스트리 값 또는 Microsoft 원격 프로시저 호출(RPC)을 사용할 수 있습니다. NLA를 비활성화한 후 ]( WorkSpace를 재부팅[합니다.

참고: AWS Systems Manager를 사용하여 WorkSpaces를 관리하는 경우 Systems Manager Session Manager를 사용하여 NLA를 비활성화할 수 있습니다. 자세한 내용은 RDP를 사용하여 EC2 Windows 인스턴스에 연결할 때 인증 오류를 해결하려면 어떻게 해야 합니까?를 참조하십시오.

사전 요구 사항:

  • PowerShell 원격 기능을 통해 활성화하고 인증해야 합니다. PowerShell 원격 기능은 Windows Server 플랫폼에서 기본적으로 활성화됩니다. 자세한 내용은 Microsoft 웹사이트의 8장 - PowerShell 원격 기능을 참조하십시오.
  • WorkSpaces 보안 그룹에서 다음 포트의 인바운드 트래픽을 허용해야 합니다. TCP 포트 445(원격 레지스트리를 수정하는 데 필요한 SMB 트래픽), TCP 135(RPC) 및 TCP 5985(원격 PowerShell/WinRM).
  • RemoteRegistry 서비스가 소스 Workspace 또는 조인된 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 원격 Workspace에서 실행되고 있어야 합니다.

영향을 받는 WorkSpaces의 WorkSpace 컴퓨터 이름을 찾으려면 다음 단계를 완료하십시오.

  1. Workspace 콘솔을 엽니다.
  2. 영향을 받는 WorkSpace 선택
  3. 컴퓨터 이름의 값을 이후 단계에서 사용할 수 있도록 텍스트 파일에 복사합니다. 예를 들어 WSAMZN-ABCDE입니다.

PowerShell에 로그인하려면 다음 단계를 완료하십시오.

  1. WorkSpace에 로그인합니다. 또는 관리자 AWS 계정과 동일한 서브넷의 도메인에 조인된 EC2 인스턴스에 로그인합니다. 사용자는 원격 WorkSpace에 대한 로컬 관리자 권한이 있어야 합니다. 기본적으로 도메인 관리자에게는 로컬 관리자 권한이 있습니다.
  2. 관리자 권한으로 PowerShell을 엽니다.

네트워크 레지스트리를 사용하여 NLA 비활성화

다음 단계를 완료하십시오.

  1. 소스 WorkSpaces나 EC2 인스턴스에서 RemoteRegistry 서비스 상태를 확인하려면 다음 명령을 실행합니다.

     Get-Service -Name RemoteRegistry | Start-Service
    
     #Validate the service status
    
     Get-Service -Name RemoteRegistry
    
     #Output should be as below
    
     Status   Name               DisplayName
    ------   ----               -----------
    Running  RemoteRegistry     Remote Registry
  2. 영향을 받는 Workspace가 있는 PowerShell 원격 세션에 연결하려면 다음 명령을 실행합니다.

    $credential = Get-Credential -Credential domain\username
    
    Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential

    참고: domain을 Active Directory 도메인 이름으로, username을 원격 Workspace에 대한 로컬 관리자 권한을 가진 WorkSpaces 사용자로 바꾸십시오. 또한 WorkSpace 컴퓨터 이름을 WorkSpace 컴퓨터 이름으로 바꾸십시오.

  3. 원격 WorkSpaces에서 RemoteRegistry 서비스 상태를 확인하려면 다음 명령을 실행합니다.

     Get-Service -Name RemoteRegistry | Start-Service
    
     #Validate the service status
    
     Get-Service -Name RemoteRegistry
    
     #Output should be as below
    
     Status   Name               DisplayName
    ------   ----               -----------
    Running  RemoteRegistry     Remote Registry
  4. TCP 포트 445를 통한 트래픽을 허용하도록 Windows 방화벽을 설정하려면 다음 명령을 실행합니다.

    netsh advfirewall firewall add rule name= "RemoteRegistryAccess" dir=in action=allow protocol=TCP localport=445
  5. 레지스트리 편집기를 열려면 명령 프롬프트에 regedit.exe를 입력한 다음 Enter 키를 누릅니다.

  6. 파일 옵션의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 연 다음 네트워크 레지스트리 연결을 선택합니다.

  7. WorkSpace 컴퓨터 이름에 WorkSpace 컴퓨터 이름을 입력합니다.

  8. 이름 확인을 선택합니다.

  9. 선택할 객체 이름 입력에 다음 레지스트리 경로를 입력합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. 그런 다음 확인을 선택합니다.

  10. 키: SecurityLayer0을 입력하고 키: UserAuthentication0을 입력합니다.

레지스트리 값을 편집하여 NLA 비활성화

다음 단계를 완료하십시오.

  1. PowerShell 원격 세션에 연결하려면 다음 명령을 실행합니다.
    $credential = Get-Credential -Credential domain\username
    
    Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential
    참고: domain을 Active Directory 도메인 이름으로, username을 원격 Workspace에 대한 로컬 관리자 권한을 가진 WorkSpaces 사용자로 바꾸십시오. 또한 WorkSpace 컴퓨터 이름을 WorkSpace 컴퓨터 이름으로 바꾸십시오.
  2. NLA를 비활성화하려면 다음 명령을 실행합니다.
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\terminal server\winstations\rdp-tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

Microsoft RPC를 사용하여 NLA 비활성화

레지스트리 키를 업데이트하려면 다음 명령을 실행합니다.

(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -ComputerName WorkSpace Computer Name -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)

참고: WorkSpace 컴퓨터 이름을 WorkSpace 컴퓨터 이름으로 바꾸십시오.

WorkSpaces 컴퓨터 객체가 삭제되었는지 확인

Active Directory에서 WorkSpaces 컴퓨터 객체가 삭제되면 NLA 오류가 발생합니다. 이 문제를 해결하려면 WorkSpace 컴퓨터를 복원하십시오.

  1. Active Directory에서 WorkSpaces 컴퓨터 객체를 복원합니다. 자세한 내용은 Microsoft 웹사이트에서 Restore-ADObject을 참조하십시오.
  2. 영향을 받는 WorkSpace를 재부팅합니다.

DNS 서버 IP 주소 확인

연결된 WorkSpace를 업데이트하기 전에 AD 커넥터에서 DNS 서버 IP 주소를 업데이트하면 NLA 오류가 발생합니다. 이 문제를 해결하려면 다음 단계를 완료하십시오.

  1. 소스 WorkSpace 또는 조인된 EC2 인스턴스를 엽니다.

  2. 원격 WorkSpace의 PowerShell 원격 세션에 연결하려면 다음 명령을 실행합니다.

    $credential = Get-Credential -Credential domain\username
    
    Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential

    참고: domain을 Active Directory 도메인 이름으로, username을 원격 Workspace에 대한 로컬 관리자 권한을 가진 WorkSpaces 사용자로 바꾸십시오. 또한 WorkSpace 컴퓨터 이름을 WorkSpace 컴퓨터 이름으로 바꾸십시오.

  3. 새 IP 주소로 DNS 서버를 업데이트하려면 다음 명령을 실행합니다.

    Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "10.0.0.0,10.0.0.00"

    참고: 10.0.0.010.0.0.00을 새 DNS 서버 IP 주소로 바꾸십시오.

  4. SkyLightWorkspaceConfig 서비스를 다시 시작하려면 다음 명령을 실행합니다.

     Get-Service SkyLightWorkspaceConfigService | Restart-Service
  5. 여전히 RDP를 사용하여 WorkSpaces에 연결할 수 없는 경우 해당 WorkSpace를 재부팅합니다.

해결 단계를 완료했는데도 여전히 NLA 오류 또는 RDP 연결 문제를 해결할 수 없는 경우 WorkSpace를 다시 빌드해야 합니다.

관련 정보

WorkSpaces Personal용 DNS 서버 업데이트

Microsoft 웹사이트의 RDP를 사용하여 Azure VM에 연결할 때 발생하는 인증 오류 문제 해결

AWS 공식
AWS 공식업데이트됨 4달 전
댓글 없음