RDP를 사용하여 WorkSpaces에 연결할 때 NLA 오류가 발생하는 이유는 무엇입니까?
Amazon WorkSpaces에 연결하려고 하면 "연결할 수 없음" 오류 메시지가 나타납니다. 원격 데스크톱 프로토콜(RDP)을 사용하여 문제를 해결하면 네트워크 수준 인증(NLA) 오류가 발생합니다.
해결 방법
RDP를 사용하여 WorkSpace에 로그인하면 다음 오류 중 하나가 나타날 수 있습니다.
- "인증 오류가 발생했습니다. 현지 보안 기관에 연락할 수 없습니다."
- "연결하려는 원격 컴퓨터에 NLA(네트워크 수준 인증)가 필요하지만 NLA를 수행하기 위해 Windows 도메인 컨트롤러에 연결할 수 없습니다. 원격 컴퓨터의 관리자인 경우 시스템 속성 대화 상자의 원격 탭에 있는 옵션을 사용하여 NLA를 비활성화할 수 있습니다."
이러한 오류를 해결하려면 다음 작업을 수행하십시오.
도메인 컨트롤러에 대한 연결 확인
WorkSpaces가 도메인 컨트롤러와 통신할 수 없는 경우 RDP를 사용하여 WorkSpace에 로그인하지 못할 수 있습니다. 연결 문제를 해결하려면 다음 단계를 완료하십시오.
- _workspacesMembers 보안 그룹이 도메인 컨트롤러로의 아웃바운드 트래픽을 허용하는지 확인합니다. 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용합니다.
- WorkSpaces에서 Active Directory 포트의 도메인 컨트롤러로의 아웃바운드 트래픽을 허용하도록 네트워크 ACL 규칙을 구성합니다. 또한 임시 포트에서 도메인 컨트롤러에서 WorkSpaces로의 인바운드 트래픽을 허용해야 합니다.
- 방화벽을 사용하는 경우 WorkSpace와 도메인 컨트롤러 간의 통신을 허용하도록 방화벽 규칙을 조정합니다.
NLA 비활성화
WorkSpaces에 대해 NLA가 활성화되어 있으면 RDP 로그인 오류가 발생할 수 있습니다. NLA를 비활성화하려면 네트워크 레지스트리, 레지스트리 값 또는 Microsoft 원격 프로시저 호출(RPC)을 사용할 수 있습니다. NLA를 비활성화한 후 ]( WorkSpace를 재부팅[합니다.
참고: AWS Systems Manager를 사용하여 WorkSpaces를 관리하는 경우 Systems Manager Session Manager를 사용하여 NLA를 비활성화할 수 있습니다. 자세한 내용은 RDP를 사용하여 EC2 Windows 인스턴스에 연결할 때 인증 오류를 해결하려면 어떻게 해야 합니까?를 참조하십시오.
사전 요구 사항:
- PowerShell 원격 기능을 통해 활성화하고 인증해야 합니다. PowerShell 원격 기능은 Windows Server 플랫폼에서 기본적으로 활성화됩니다. 자세한 내용은 Microsoft 웹사이트의 8장 - PowerShell 원격 기능을 참조하십시오.
- WorkSpaces 보안 그룹에서 다음 포트의 인바운드 트래픽을 허용해야 합니다. TCP 포트 445(원격 레지스트리를 수정하는 데 필요한 SMB 트래픽), TCP 135(RPC) 및 TCP 5985(원격 PowerShell/WinRM).
- RemoteRegistry 서비스가 소스 Workspace 또는 조인된 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 원격 Workspace에서 실행되고 있어야 합니다.
영향을 받는 WorkSpaces의 WorkSpace 컴퓨터 이름을 찾으려면 다음 단계를 완료하십시오.
- Workspace 콘솔을 엽니다.
- 영향을 받는 WorkSpace 선택
- 컴퓨터 이름의 값을 이후 단계에서 사용할 수 있도록 텍스트 파일에 복사합니다. 예를 들어 WSAMZN-ABCDE입니다.
PowerShell에 로그인하려면 다음 단계를 완료하십시오.
- WorkSpace에 로그인합니다. 또는 관리자 AWS 계정과 동일한 서브넷의 도메인에 조인된 EC2 인스턴스에 로그인합니다. 사용자는 원격 WorkSpace에 대한 로컬 관리자 권한이 있어야 합니다. 기본적으로 도메인 관리자에게는 로컬 관리자 권한이 있습니다.
- 관리자 권한으로 PowerShell을 엽니다.
네트워크 레지스트리를 사용하여 NLA 비활성화
다음 단계를 완료하십시오.
-
소스 WorkSpaces나 EC2 인스턴스에서 RemoteRegistry 서비스 상태를 확인하려면 다음 명령을 실행합니다.
Get-Service -Name RemoteRegistry | Start-Service #Validate the service status Get-Service -Name RemoteRegistry #Output should be as below Status Name DisplayName ------ ---- ----------- Running RemoteRegistry Remote Registry
-
영향을 받는 Workspace가 있는 PowerShell 원격 세션에 연결하려면 다음 명령을 실행합니다.
$credential = Get-Credential -Credential domain\username Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential
참고: domain을 Active Directory 도메인 이름으로, username을 원격 Workspace에 대한 로컬 관리자 권한을 가진 WorkSpaces 사용자로 바꾸십시오. 또한 WorkSpace 컴퓨터 이름을 WorkSpace 컴퓨터 이름으로 바꾸십시오.
-
원격 WorkSpaces에서 RemoteRegistry 서비스 상태를 확인하려면 다음 명령을 실행합니다.
Get-Service -Name RemoteRegistry | Start-Service #Validate the service status Get-Service -Name RemoteRegistry #Output should be as below Status Name DisplayName ------ ---- ----------- Running RemoteRegistry Remote Registry
-
TCP 포트 445를 통한 트래픽을 허용하도록 Windows 방화벽을 설정하려면 다음 명령을 실행합니다.
netsh advfirewall firewall add rule name= "RemoteRegistryAccess" dir=in action=allow protocol=TCP localport=445
-
레지스트리 편집기를 열려면 명령 프롬프트에 regedit.exe를 입력한 다음 Enter 키를 누릅니다.
-
파일 옵션의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 연 다음 네트워크 레지스트리 연결을 선택합니다.
-
WorkSpace 컴퓨터 이름에 WorkSpace 컴퓨터 이름을 입력합니다.
-
이름 확인을 선택합니다.
-
선택할 객체 이름 입력에 다음 레지스트리 경로를 입력합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. 그런 다음 확인을 선택합니다.
-
키: SecurityLayer에 0을 입력하고 키: UserAuthentication에 0을 입력합니다.
레지스트리 값을 편집하여 NLA 비활성화
다음 단계를 완료하십시오.
- PowerShell 원격 세션에 연결하려면 다음 명령을 실행합니다.
참고: domain을 Active Directory 도메인 이름으로, username을 원격 Workspace에 대한 로컬 관리자 권한을 가진 WorkSpaces 사용자로 바꾸십시오. 또한 WorkSpace 컴퓨터 이름을 WorkSpace 컴퓨터 이름으로 바꾸십시오.$credential = Get-Credential -Credential domain\username Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential
- NLA를 비활성화하려면 다음 명령을 실행합니다.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\terminal server\winstations\rdp-tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
Microsoft RPC를 사용하여 NLA 비활성화
레지스트리 키를 업데이트하려면 다음 명령을 실행합니다.
(Get-WmiObject -class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -ComputerName WorkSpace Computer Name -Filter "TerminalName='RDP-tcp'").SetUserAuthenticationRequired(0)
참고: WorkSpace 컴퓨터 이름을 WorkSpace 컴퓨터 이름으로 바꾸십시오.
WorkSpaces 컴퓨터 객체가 삭제되었는지 확인
Active Directory에서 WorkSpaces 컴퓨터 객체가 삭제되면 NLA 오류가 발생합니다. 이 문제를 해결하려면 WorkSpace 컴퓨터를 복원하십시오.
- Active Directory에서 WorkSpaces 컴퓨터 객체를 복원합니다. 자세한 내용은 Microsoft 웹사이트에서 Restore-ADObject을 참조하십시오.
- 영향을 받는 WorkSpace를 재부팅합니다.
DNS 서버 IP 주소 확인
연결된 WorkSpace를 업데이트하기 전에 AD 커넥터에서 DNS 서버 IP 주소를 업데이트하면 NLA 오류가 발생합니다. 이 문제를 해결하려면 다음 단계를 완료하십시오.
-
소스 WorkSpace 또는 조인된 EC2 인스턴스를 엽니다.
-
원격 WorkSpace의 PowerShell 원격 세션에 연결하려면 다음 명령을 실행합니다.
$credential = Get-Credential -Credential domain\username Enter-PSSession -ComputerName WorkSpace Computer Name -Credential $credential
참고: domain을 Active Directory 도메인 이름으로, username을 원격 Workspace에 대한 로컬 관리자 권한을 가진 WorkSpaces 사용자로 바꾸십시오. 또한 WorkSpace 컴퓨터 이름을 WorkSpace 컴퓨터 이름으로 바꾸십시오.
-
새 IP 주소로 DNS 서버를 업데이트하려면 다음 명령을 실행합니다.
Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "10.0.0.0,10.0.0.00"
참고: 10.0.0.0과 10.0.0.00을 새 DNS 서버 IP 주소로 바꾸십시오.
-
SkyLightWorkspaceConfig 서비스를 다시 시작하려면 다음 명령을 실행합니다.
Get-Service SkyLightWorkspaceConfigService | Restart-Service
-
여전히 RDP를 사용하여 WorkSpaces에 연결할 수 없는 경우 해당 WorkSpace를 재부팅합니다.
해결 단계를 완료했는데도 여전히 NLA 오류 또는 RDP 연결 문제를 해결할 수 없는 경우 WorkSpace를 다시 빌드해야 합니다.
관련 정보
WorkSpaces Personal용 DNS 서버 업데이트
Microsoft 웹사이트의 RDP를 사용하여 Azure VM에 연결할 때 발생하는 인증 오류 문제 해결
관련 콘텐츠
- 질문됨 2년 전lg...
- 질문됨 9달 전lg...
- AWS 공식업데이트됨 한 달 전
- AWS 공식업데이트됨 3달 전
- AWS 공식업데이트됨 3달 전
- AWS 공식업데이트됨 일 년 전