オンプレミスの Active Directory ログインを使用しているときに、Amazon Relational Database Service (Amazon RDS) for Microsoft SQL Server にアクセスできません。これをトラブルシューティングするにはどうすればよいですか?
簡単な説明
Amazon RDS を使用して Windows 認証を設定する場合、フォレストの信頼を作成する必要があります。これは AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) を使用して作成されています。フォレストの信頼は、オンプレミスまたはセルフホストの AWS Managed Microsoft AD のいずれを使用しているかにかかわらず設定されます。信頼関係の設定後にオンプレミスのログインを使用すると、さまざまな理由で次のログインエラーが表示されることがあります。
「Login Failed.The Login is From an Untrusted Domain and Cannot be Used with Windows Authentication」(ログインに失敗しました。ログインは信頼できないドメインからのもので、Windows 認証では使用できません)
解決方法
Active Directory ログインエラーをトラブルシューティングするには、次を確認してください。
Amazon RDS ドメインステータス
DB インスタンスを作成または変更すると、インスタンスはドメインのメンバーになります。RDS コンソールには、DB インスタンスのドメインメンバーシップのステータスが表示されます。DB インスタンスのステータスの詳細については、「
ドメインのメンバーシップを理解する」を参照してください。RDS コンソールで DB インスタンスをドメインまたはディレクトリステータスに参加させたときに [Failed] (失敗) エラーが表示される場合は、「
DB インスタンスを再参加させる」を参照してください。
AWS Identity and Access Management (IAM) エラーが表示される場合は、デフォルトの IAM ロール rds-directoryservice-access-role を使用していないことが原因である可能性があります。カスタム IAM ロールを使用している場合は、デフォルトポリシーである AmazonRDSDirectoryServiceAccess をアタッチしてエラーを解決します。
信頼関係
AWS Managed Microsoft AD とセルフマネージド (オンプレミス) ディレクトリとの間には、一方向または双方向の外部およびフォレストの信頼関係を設定できます。また、AWS クラウド内の複数の AWS Managed Microsoft AD 間で、一方向または双方向の外部およびフォレストの信頼関係を設定することもできます。AWS Managed Microsoft AD は、着信、発信、双方向の 3 つの信頼関係の方向すべてをサポートします。オンプレミスのログインを使用して RDS コンソールにアクセスするには、信頼ステータスが [verified] (検証済み) 状態であることを確認してください。信頼関係の検証の詳細については、「信頼関係の作成、検証、削除」を参照してください。
フォレスト全体の認証および選択的認証
AWS Directory Service コンソールを使用してフォレストの信頼を作成するときに、[selective authentication] (選択的認証) をオンにするオプションがあります。このオプションがオンになっていない場合、認証は [forest-wide authentication] (フォレスト全体の認証) として扱われます。
フォレスト全体の認証
フォレストレベルの認証をオンにすると、フォレストのドメインコントローラーは、信頼されたフォレストのユーザーによるすべてのアクセスリクエストを認証します。認証が成功すると、リソースに対するアクセスはリソースのアクセスコントロールリスト (ACL) に基づいて許可または拒否されます。
このアプローチにはリスクがあります。(信頼されたフォレストの) 外部ユーザーが正常に認証されると、そのユーザーは [Authenticated User] (認証済みユーザー) グループのメンバーになります。このグループには常任メンバーがいないため、メンバーシップは認証に基づいて動的に計算されます。アカウントが [Authenticated User] (認証済みユーザー) グループのメンバーになると、そのアカウントは [Authenticated User] (認証済みユーザー) グループがアクセスできるすべてのリソースにアクセスできます。
選択的認証
認証をコントロールするために、選択的認証レベルを選択できます。このレベルでは、デフォルトですべてのユーザーがドメインコントローラーによって認証されるわけではありません。代わりに、認証リクエストが信頼できるフォレストから送信されていることをドメインコントローラーが検出すると、ドメインコントローラーはユーザーアカウントを検証します。ドメインコントローラーは、オブジェクトを保持しているリソースに対する排他的許可がユーザーアカウントに付与されていることを検証します。
選択的認証がオンになっている場合は、オンプレミスの Active Directory のそれぞれのユーザーとグループを追加する必要があります。ユーザーとグループは、AWS Managed AD の [AWS Delegated Allowed to Authenticate Objects] (オブジェクトの認証を許可された AWS 委任) グループに追加する必要があります。[AWS Delegated Allowed to Authenticate Objects] (オブジェクトの認証を許可された AWS 委任) には、[Allowed to Authenticate] (認証を許可) 許可が割り当てられます。このグループに属するすべてのユーザーが RDS インスタンスにアクセスできます。このグループに属していないユーザーは、Amazon RDS SQL Server にアクセスできません。
注: [AWS Delegated Allowed to Authenticate Objects] (オブジェクトの認証を許可された AWS 委任) グループは、AWS Managed AD の設定後にデフォルトで作成されます。このグループのメンバーは、AWS 予約組織単位 (OU) 内のコンピュータリソースに対して認証できるようになります。これは、選択的認証の信頼を持つオンプレミスのオブジェクトにのみ必要です。
ログインとパスワードのステータス
オンプレミスの Active Directory ログインのパスワードとステータスを期限切れにしたり、ロックしたりすることはできません。その場合は、次のコマンドを使用してログインステータスを確認します。
net user username/domain
必要なのは、ステータスを確認したいユーザーにユーザー名を変更することだけです。ドメインはそのままにしておきます。
重複したサービスプリンシパル名 (SPN)
デフォルトでは、Amazon RDS は必要に応じて SPN を作成します。他の用途向けにオンプレミスの Active Directory ログイン用に追加の SPN を作成すると、ログインが失敗する可能性があります。詳細については、「Identify, remove, and verify an SPN」(SPN の識別、削除、および検証) を参照してください。
セキュリティパッチ
オンプレミスの Active Directory ログインエラーが発生し、信頼関係を検証した場合は、最新のセキュリティパッチを確認します。分散制御システム (DCS) サーバーまたはドメインネームシステム (DNS) サーバーに Windows Update (KB) に関する既知の問題がないかどうかを確認します。セキュリティパッチや KB が原因で問題が発生した場合は、更新をロールバックする必要がある場合があります。更新をロールバックしても問題が解決しない場合は、Microsoft が提供している修正プログラムを適用してみてください (可能な場合)。
関連情報
Everything you wanted to know about trusts with AWS Managed Microsoft AD (AWS Managed Microsoft AD の信頼について知っておきたいこと)