すべてのプロダクト
Search

このプロダクト

    :RDP で Windows インスタンスに接続する際の「セキュリティ上の理由でアカウントがロックされています」エラーを解決する

    ドキュメントセンター

    :RDP で Windows インスタンスに接続する際の「セキュリティ上の理由でアカウントがロックされています」エラーを解決する

    最終更新日:Nov 08, 2025

    問題の説明

    リモートデスクトップ、Workbench、または Windows APP を使用して Windows インスタンスに接続すると、次のエラーメッセージが表示されます: ログオン試行またはパスワード変更試行が多すぎるため、ユーザーアカウントはロックされています

    リモートデスクトップ

    2023-02-15_10-26-20

    Workbench

    image

    Windows APP

    image

    原因

    このエラーは、Windows のセキュリティポリシーによってユーザーアカウントが自動的にロックされたことを示します。これは、次のいずれかの理由によってトリガーされる保護措置です:

    • ログイン試行の失敗回数が多すぎる: 誤ったパスワードの入力回数が、システムの「アカウントロックアウトのしきい値」を超えました。

    • ブルートフォース攻撃の疑い: インスタンスの RDP ポート (デフォルト: 3389) がパブリックインターネットに公開されている場合、ブルートフォース攻撃の標的になっている可能性が高く、アカウントのロックアウトがトリガーされることがあります。これはセキュリティリスクであり、直ちに調査が必要です。

    手順

    ステップ 1: インスタンスを分離し、RDP アクセスをブロックする

    アカウントのロックを解除する間、さらなる攻撃を防ぐために、すべての外部からのサインイン試行を直ちにブロックしてください。

    1. ECS コンソール - インスタンスに移動します。上部のナビゲーションバーで、対象のリージョンとリソースグループを選択します。

    2. 対象のインスタンスの ID をクリックして、詳細ページを開きます。

    3. [セキュリティグループ] > [セキュリティグループ] タブをクリックし、セキュリティグループ ID をクリックして詳細ページを開きます。

    4. セキュリティグループの RDP アクセスを許可するルールを無効にします。

      RDP ポート (デフォルトは 3389) へのアクセスを許可するすべてのインバウンドルールを削除するか、[許可][拒否] に変更します。

      重要

      変更を加える前に、後で復元できるように元のセキュリティグループの設定を記録しておいてください。

    ステップ 2: VNC 経由でログインしてアカウントのロックを解除する

    VNC 経由で一度サインインに成功すると、アカウントは自動的にロック解除されます。

    1. インスタンスの詳細ページで、[接続] > [他のログオン方法を表示] をクリックします。[VNC] セクションで、[今すぐサインイン] をクリックします。

    2. Windows システムにログインします。

      1. VNC ウィンドウで、左上隅にある [リモートコマンドを送信] > [CTRL+ALT+DELETE] をクリックしてシステムのロックを解除します。

      2. ユーザーアカウント (デフォルトでは Administrator) を選択し、インスタンスのパスワードを入力して、Windows システムにログインします。

      パスワードを設定していないか忘れた場合は、インスタンスの詳細ページで [すべてのアクション] > [インスタンスのパスワードをリセット] をクリックします。

    ステップ 3: RDP アクセスを復元する

    信頼できる IP アドレスのみが RDP を使用してインスタンスにアクセスできるように許可します。ローカルマシンが動的 IP アドレスを使用している場合は、Workbench ターミナルまたは Alibaba Cloud Client を使用して ECS インスタンスに接続します。これらのツールは、ワンクリックで必要なセキュリティグループルールを構成できるため、手動で変更する必要がありません。

    1. 許可する IP アドレスまたは CIDR ブロックを特定します。

      ブラウザで https://cip.cc にアクセスして、ローカルマシンのパブリック IP アドレスを取得します。この IP アドレスをセキュリティグループの構成に使用できます。

    2. セキュリティグループルールを手動で変更します。

      セキュリティグループの詳細ページの [インバウンド] タブで、[ルールの追加] をクリックします。特定のパブリック IP アドレスまたは CIDR ブロックのみが RDP を使用してインスタンスに接続できるようにルールを構成します。

      アクション

      優先度

      プロトコル

      宛先 (現在の インスタンス)

      ソース

      許可

      1

      カスタム TCP

      RDP (3389)

      デフォルトのポートは 3389 です。ポートを変更した場合は、この値を適宜更新してください。

      これを、計画しているパブリック IP アドレスまたは CIDR ブロックに設定します。

      重要

      ソースを 0.0.0.0/0 に設定しないでください。RDP ポートをパブリックインターネットに公開すると、インスタンスがブルートフォース攻撃に対して非常に脆弱になり、アカウントのロックアウトが繰り返し発生する可能性があります。

    ステップ 4: RDP 接続を確認する

    リモートデスクトップクライアントを使用してインスタンスに接続し、正常にログインできることを確認します。

    セキュリティに関する推奨事項