Zenn

EC2 WindowsでNLAエラーが出た

2025/02/13に公開
AWS
EC2
Windows
nla
tech

事象

EC2(Windows)のリストア後、以下のエラーが出て対象のインスタンスにリモートデスクトップ接続することができませんでした。

「接続しようとしているリモートコンピューターには、ネットワークレベル認証(NLA)が必要ですが、お使いのWindowsのドメインコントローラーに接続してNLAを実行することができません。」

背景

  1. AWS環境内でADにてドメイン管理をしている
  2. リストア試験にてドメインに紐づいたEC2インスタンスの1つをリストア
  3. リストア後のEC2インスタンス削除し、リストア元のEC2インスタンスにリモートデスクトップしようとしたらエラーが発生

原因

認証整合性ができなかったことでした。

というのも、ADサーバと他のサーバは、1週間スパンで通信がされておりそこで認証情報が最新化されるようでした。
そのため、認証情報が最新化されていないEC2インスタンスへ接続しようとしたことによるエラーであったと考えられます。

※リストア後のEC2インスタンスへの接続では問題なし

今回の構成

今回の構成として、AWS環境内に作成してあります。
そのため、直接問題のサーバを起動するなどすることはできません。

通常のログイン経路としては、社内保守端末から踏み台サーバにリモートデスクトップし、踏み台を経由して対象のサーバにリモートデスクトップ接続することになっています。

ただ、今回の事象にあるようにリモートデスクトップ接続は不可能なので、SSM機能を使用して外側から実行する必要があります。

対処方法

  1. NLAエラーが出ているEC2インスタンスに一時的なIAMロールを付与する。
    IAMロールには、以下ポリシーをアタッチする。
    ポリシー#1:SSMManagedInstanceCore
    ポリシー#2:ssm:*

  2. RDPトラブルシュート用のRunbookを実行し、NLAを一時的に無効にする

https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP

URLリンククリックしてもらい、NLASettingActionを「Diable」にすることでNLAが無効になります。

  1. リモートデスクトップ接続をし、ドメイン再参加をする
      NLA有効化が必要であれば、このタイミングで実施

Discussion