Windows EC2 インスタンスのネットワークレベル認証(NLA)を手動でレジストリの変更をオフラインで行うことで無効化する方法
こんにちは。情シス@アノテーションの飯島です。
「接続しようとしているリモート コンピューターには ネットワーク レベル認証 (NLA) が必要ですが、お使いの Windows のドメイン コントローラーに接続して NLA を実行することができません。」
EC2のWindowsインスタンスにRemote Desktopで接続しようとした場合に、上記のエラーが出た場合の対処方法について、AWSの以下ページに具体的なトラブルシューティング方法が2パターン記載されております。
- システムマネージャ AWS-runPowerShellScript ドキュメントを使用して NLA を無効にする方法
- 手動でレジストリの変更をオフラインで行う方法
今回、手動でのレジストリ変更による無効化を実施する機会があったので、その手順をご紹介いたします。
Windows EC2 インスタンスのネットワークレベル認証(NLA)を SSM オートメーションドキュメント AWSSupport-TroubleshootRDP で無効化してみた
手動でのレジストリ変更手順
(1)rootボリュームのデタッチ
Remote Desktopで接続できない(NLAの実行エラーが出力した)EC2インスタンスが起動している場合は停止し、rootボリュームをデタッチします。
(2)新しいインスタンス(レスキューインスタンス)の作成
レスキュー用のEC2を準備します。
注意事項として、この時選択するWindowsのバージョンを、先ほど停止した対象インスタンスとは別のものにします。
最小限の構成とRDP接続できるだけのセキュリティグループで作成しました。
(3)レスキューインスタンスにアタッチ
デタッチしたボリュームを「ボリュームのアタッチ」でレスキューインスタンスに紐づけします。
(4)レスキューインスタンスへのRDP接続
(5)ハイブの読み込み(他のPCのレジストリを編集)
・タスク バーの検索ボックスに 「regedit」と入力し、レジストリエディタを開きます。
(6)レジストリ編集
※ レジストリの編集は慎重に行ってください。
・[badsys]配下の以下階層から[SecurityLayer]をダブルクリックし、値を0に設定
・同じ階層にある[UserAuthentication]を選択し値を0に設定
(7)ハイブのアンロード
(8)対象インスタンスの起動と接続確認
・レスキューインスタンスのディスクマネージャを開き、ディスクをオフラインに変更する
・レスキューインスタンスからボリュームをデタッチし、ルートボリュームとして接続できないインスタンスにアタッチ
・対象のインスタンスを起動し、Remote Desktopで接続できることを確認
おわりに
いかがでしたでしょうか。システムマネージャーのマネージドインスタンスであれば、最初にご紹介したリンク先の手順のほうが簡単ですが、マネージドインスタンスでない時にはご参考ください。(※最初にご紹介したリンクの先でも触れられていますが、マネージドインスタンスでなくてもシステムマネージャー経由での無効化も可能です。)
アノテーション株式会社について
アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。