Windows EC2 インスタンスのネットワークレベル認証(NLA)を手動でレジストリの変更をオフラインで行うことで無効化する方法

Windows EC2 インスタンスのネットワークレベル認証(NLA)を手動でレジストリの変更をオフラインで行うことで無効化する方法

Clock Icon2022.08.16

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。情シス@アノテーションの飯島です。

「接続しようとしているリモート コンピューターには ネットワーク レベル認証 (NLA) が必要ですが、お使いの Windows のドメイン コントローラーに接続して NLA を実行することができません。」

EC2のWindowsインスタンスにRemote Desktopで接続しようとした場合に、上記のエラーが出た場合の対処方法について、AWSの以下ページに具体的なトラブルシューティング方法が2パターン記載されております。

  1. システムマネージャ AWS-runPowerShellScript ドキュメントを使用して NLA を無効にする方法
  2. 手動でレジストリの変更をオフラインで行う方法

今回、手動でのレジストリ変更による無効化を実施する機会があったので、その手順をご紹介いたします。

システムマネージャ経由で無効化する場合は以下の記事をご参照ください。

Windows EC2 インスタンスのネットワークレベル認証(NLA)を SSM オートメーションドキュメント AWSSupport-TroubleshootRDP で無効化してみた

手動でのレジストリ変更手順

以下がRemote Desktopで接続できないEC2ボリュームのレジストリ変更手順になります。
(1)rootボリュームのデタッチ

Remote Desktopで接続できない(NLAの実行エラーが出力した)EC2インスタンスが起動している場合は停止し、rootボリュームをデタッチします。

   

(2)新しいインスタンス(レスキューインスタンス)の作成

レスキュー用のEC2を準備します。

注意事項として、この時選択するWindowsのバージョンを、先ほど停止した対象インスタンスとは別のものにします。

最小限の構成とRDP接続できるだけのセキュリティグループで作成しました。

(3)レスキューインスタンスにアタッチ

デタッチしたボリュームを「ボリュームのアタッチ」でレスキューインスタンスに紐づけします。

(4)レスキューインスタンスへのRDP接続
レスキューインスタンスへRemote Desktopで接続します。
(5)ハイブの読み込み(他のPCのレジストリを編集)

・タスク バーの検索ボックスに 「regedit」と入力し、レジストリエディタを開きます。

・「HKEY_LOCAL_MACHINE」を選択
・メニューの「ファイル」から「ハイブの読み込み」を選択する
(先に「HKEY_LOCAL_MACHINE」の選択をしないとグレーアウトした状態になります。)
・(デフォルトでは)以下のフォルダにある「SYSTEM」ファイルを選択し「開く」
D:\Windows\System32\config.
・キー名に「badsys」と入力して「OK」を選択します。
※仮の名前なので任意で問題ありません。入力した名前がレジストリエディタに表示されるようになります。
(6)レジストリ編集

※ レジストリの編集は慎重に行ってください。

・[badsys]配下の以下階層から[SecurityLayer]をダブルクリックし、値を0に設定

  ControlSet001 > Control > Terminal Server > WinStations > RDP-Tcp

・同じ階層にある[UserAuthentication]を選択し値を0に設定

(7)ハイブのアンロード
「badsys」を選んだ状態で、「ファイル」を選択し、 「ハイブのアンロード」を選択

(8)対象インスタンスの起動と接続確認

・レスキューインスタンスのディスクマネージャを開き、ディスクをオフラインに変更する

・レスキューインスタンスからボリュームをデタッチし、ルートボリュームとして接続できないインスタンスにアタッチ

・対象のインスタンスを起動し、Remote Desktopで接続できることを確認

 

以上が、EC2のWindowsのネットワークレベル認証(NLA)を手動でレジストリの変更を行うことで無効化する手順になります。

おわりに

いかがでしたでしょうか。システムマネージャーのマネージドインスタンスであれば、最初にご紹介したリンク先の手順のほうが簡単ですが、マネージドインスタンスでない時にはご参考ください。(※最初にご紹介したリンクの先でも触れられていますが、マネージドインスタンスでなくてもシステムマネージャー経由での無効化も可能です。)

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.