このトピックでは、リモートデスクトップ経由でWindows Elastic Compute Service (ECS) インスタンスに接続する際の次のエラーを解決する方法について説明します。
問題の説明
リモートデスクトップ経由でWindows ECSインスタンスに接続すると、「セキュリティ対策として、ログイン試行またはパスワード変更試行が多すぎたためにユーザーアカウントがロックされました」というエラーが表示されます。 詳細なエラーメッセージを以下に示します。
原因
Windows ECSインスタンスで、ユーザーロックアウトポリシーがシステムグループポリシーで設定されている場合、間違ったパスワードを入力するとアカウントロックがトリガーされます。 この場合、リモートデスクトップを介してインスタンスにログインできなくなります。
解決策
ステップ1: インスタンスパスワードをリセットする必要があるかどうかを確認する
正しいパスワードを忘れた場合は、インスタンスパスワードをリセットします。 詳細については、「インスタンスのログインパスワードのリセット」をご参照ください。
ステップ2: インスタンスへのログインを続行するか、自動的にロック解除されるのを待つ
インスタンスの即時ログインまたはロック解除が不要な場合は、Windowsインスタンスに再接続する前に、自動ロック解除 (デフォルトロックは10分間) を待つことができます。
すぐにインスタンスにログインする必要がある場合、またはロックアウトポリシーを変更する場合は、以下の手順に従います。 この例では、Windows Server 2016が使用されます。 他のオペレーティングシステムにも同様の手順を適用できます。
VNCを使用してWindowsインスタンスにアクセスします。
詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。
説明管理者アカウントのみがロックアウトポリシーを変更する権限を持っていることに注意してください。 Windowsインスタンスにアクセスするときは、管理者としてログオンしていることを確認してください。
今後のロックアウトプロンプトを防ぐには、ロックアウトポリシーの次の調整を参照してください。
[開始] を右クリックし、[実行 (R)] を選択します。 [実行] ダイアログで、
gpedit.mscと入力し、[OK] をクリックして [ローカルグループポリシーエディター] を開きます。
ローカルグループポリシーエディタで、[コンピューターの構成]> [Windowsの設定]> [セキュリティ設定]> [アカウントポリシー]> [アカウントロックアウトポリシー] を選択します。
アカウントロックアウトポリシーを無効にするには、次のいずれかの方法を試してください。
方法1: 管理者アカウントと他のユーザーアカウントの両方のロックを解除するには、[アカウントロックアウトしきい値] をダブルクリックし、[アカウントロックアウトしきい値] を0に設定し、[OK] を選択します。
方法2: 管理者アカウントのみのロックを解除するには、[管理者アカウントのロックアウトを許可] をダブルクリックし、[無効] を選択し、[OK] をクリックします。
リモートデスクトップを使用してWindowsインスタンスに再接続し、インスタンスにログインできることを確認します。
ステップ3: (オプション) ネットワークセキュリティを強化する
アカウントのロックアウトは、不正なブルートフォースの試みからも発生する可能性があります。 リモートログオンポートアクセス (通常はポート3389) を、パブリックIPアドレスやインスタンスアクセスを必要とする組織内のIPアドレスなど、信頼できるIPアドレスに制限することを推奨します。 詳細については、「セキュリティグループルールの追加」をご参照ください。