내용으로 건너뛰기
AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post
re:Post 소개

AWS Managed Microsoft AD와 관련된 Amazon RDS for SQL Server Windows 인증 문제를 해결하려면 어떻게 해야 합니까?

5분 분량
0

AWS 계정에 AWS Directory Service for Microsoft Active Directory를 구성했습니다. Amazon Relational Database Service(Amazon RDS) for Microsoft SQL Server DB 인스턴스를 생성할 때 문제가 발생합니다.

간략한 설명

Amazon RDS for SQL Server DB 인스턴스를 생성할 때 다음과 같은 문제 중 하나가 발생할 수 있습니다.

  • Microsoft Managed AD를 사용할 수 없습니다.
  • Failed to join a host to a domain 오류 메시지가 표시되거나 Amazon RDS 콘솔의 디렉터리 상태가 실패로 표시됩니다.
  • Windows 인증을 사용하여 DB 인스턴스에 로그인할 수 없습니다.

여러 AWS 계정과 Amazon Virtual Private Cloud(Amazon VPC)에서 Amazon RDS for SQL Server DB 인스턴스에 대한 Windows 인증을 사용할 수 있습니다. 또한 여러 계정 및 VPC에서 AWS Managed Microsoft AD 디렉터리를 공유하여 디렉터리 인식 데이터베이스 워크로드를 관리할 수 있습니다. 그러나 RDS for SQL Server DB 인스턴스는 AWS Managed Microsoft AD 디렉터리와 동일한 AWS 리전에 있어야 합니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

DB 인스턴스를 생성할 때 AWS Managed Microsoft AD가 목록에 없거나 사용할 수 없음

중요: Amazon RDS 콘솔에 AWS Managed Microsoft AD를 나열하려면 관리형 도메인 유형이 AWS 관리형 활성 디렉터리여야 합니다.

AWS Managed Microsoft AD가 DB 인스턴스와 다른 리전에 있는 경우 DB 인스턴스를 생성하거나 수정할 때 해당 디렉터리가 나열되지 않습니다. 이 문제를 해결하려면 DB 인스턴스가 Directory Service와 동일한 리전에 있어야 합니다.

다음 단계를 완료하십시오.

  1. Amazon RDS 콘솔을 엽니다.
  2. 탐색 창에서 데이터베이스를 선택합니다.
  3. DB 인스턴스를 선택합니다.
  4. 요약 섹션에서 DB 인스턴스가 있는 리전을 기록해 둡니다.
  5. AWS Directory Service 콘솔을 사용하여 디렉터리 서비스가 DB 인스턴스와 동일한 리전에 있는지 확인합니다.

AWS Managed Microsoft AD가 DB 인스턴스와 다른 계정에 있는 경우 Microsoft Managed AD를 AWS 계정과 공유하십시오. 그런 다음, DB 인스턴스를 생성하거나 수정할 때 해당 디렉터리 서비스를 나열합니다.

다음 단계를 완료하십시오.

  1. DB 인스턴스를 생성할 AWS 계정과 디렉터리를 공유합니다. AWS Directory Service 관리 가이드원활한 EC2 도메인 조인을 위한 AWS Managed Microsoft AD 디렉터리 공유에 나와 있는 단계를 따르십시오.
  2. DB 인스턴스의 계정을 사용하여 AWS Directory Service 콘솔을 엽니다.
  3. 도메인이 SHARED 상태인지 확인합니다.
  4. 디렉터리 ID 값을 사용하여 DB 인스턴스를 도메인에 조인합니다.

DB 인스턴스를 도메인에 조인할 때 오류가 발생하거나 디렉터리 상태가 ‘실패’로 표시됨

DB 인스턴스를 도메인에 조인할 때 다음과 같은 오류 메시지가 표시될 수 있습니다. "Failed to join a host to a domain. Domain membership status for instance XXXXXXX has been set to Failed." 또는 디렉터리 상태가 실패로 표시될 수 있습니다.

도메인 조인 실패 문제를 해결하려면 다음 단계를 완료하십시오.

  1. 다음과 같은 아웃바운드 트래픽을 허용하도록 RDS for SQL Server 인스턴스 보안 그룹을 구성했는지 확인합니다.
    TCP 및 UDP 포트 53
    TCP 및 UDP 포트 88
    TCP 및 UDP 포트 135
    TCP 및 UDP 포트 389
    TCP 및 UDP 포트 445
    TCP 및 UDP 포트 464
    TCP 포트 636
    TCP 포트 3268
    TCP 포트 3269
    TCP 포트 9389
    TCP 포트 49152-65535
    UDP 포트 123
    UDP 포트 138
  2. AWS Managed Microsoft AD 보안 그룹이 올바른 인바운드 트래픽을 허용하도록 구성되어 있는지 확인합니다.
    참고: AWS Directory Service는 AWS Managed Microsoft AD를 만들 때 보안 그룹을 생성합니다. 보안 그룹에 추가되는 인바운드 및 아웃바운드 규칙 목록은 AWS Managed Microsoft AD로 생성되는 항목을 참조하십시오.
  3. DB 인스턴스와 AWS Managed Microsoft AD가 서로 다른 VPC 또는 계정에 있는지 확인합니다.
    참고: 그럴 경우 DB 인스턴스를 AWS Managed Microsoft AD에 연결할 수 있는 올바른 경로가 있는지 확인하십시오. 또한 Microsoft Managed AD가 DB 인스턴스에 도달할 수 있는 올바른 경로가 있는지 확인하십시오. 자세한 내용은 교차 계정 및 교차 VPC 도메인 조인을 위한 RDS 지원을 참조하십시오.

도메인 조인 실패의 잠재적 원인을 파악하여 해결한 후 다음 단계를 완료하여 도메인을 DB 인스턴스에 다시 조인하십시오.

  1. Amazon RDS 콘솔을 엽니다.
  2. 탐색 창에서 데이터베이스를 선택합니다.
  3. 도메인 조인에 실패한 DB 인스턴스를 선택한 다음, 수정을 선택합니다.
  4. Microsoft SQL Server Windows 인증 섹션에서 디렉터리에 대해 없음을 선택합니다.
  5. 즉시 적용을 선택합니다.
    참고: 수정이 완료되면 DB 인스턴스가 자동으로 재부팅됩니다.
  6. 탐색 창에서 데이터베이스를 선택합니다.
  7. DB 인스턴스를 선택한 다음, 수정을 선택합니다.
  8. Microsoft SQL Server Windows 인증 섹션에서 디렉터리에 대해 해당 디렉터리를 선택합니다.
  9. 즉시 적용을 선택합니다.
    참고: 수정이 완료되면 DB 인스턴스가 다시 재부팅됩니다.

ModifyDBInstance 작업을 호출할 때 InvalidParameterCombination 오류 발생

오류 메시지 "IAM role provided is not valid, check that the role exists and has the correct policies"가 표시되면 다음 작업을 수행하십시오.

  • AWS CLI를 사용하여 디렉터리 서비스를 DB 인스턴스에 연결할 경우 기본 rds-directoryservice-access-role AWS Identity and Access Management(IAM) 역할을 사용합니다.
  • 사용자 지정 역할을 사용하는 경우 AmazonRDSDirectoryServiceAccess 기본 정책을 사용자 지정 역할에 연결합니다.

Windows 인증을 사용하여 DB 인스턴스에 로그인할 수 없음

Windows 인증을 사용하려면 AWS Managed Microsoft AD 사용자 또는 그룹의 인스턴스에 대한 SQL 로그인이 필요합니다. SQL 로그인은 DB 인스턴스의 기본 사용자 자격 증명을 사용합니다. 온프레미스 Microsoft Active Directory에서 그룹 또는 사용자를 사용하는 경우 신뢰 관계를 생성해야 합니다.

신뢰 관계를 생성하려면 다음 단계를 완료하십시오.

  1. SQL Server Management Studio(SSMS)를 사용하여 DB 인스턴스에 기본 사용자로 로그인합니다.
  2. T-SQL을 사용하여 Windows 인증 로그인을 생성합니다. 
    CREATE LOGIN [Domain Name\user or group] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
    참고: RDS for SQL Server 인스턴스에 Windows 인증 로그인을 생성할 때는 T-SQL을 사용해야 합니다. GUI를 사용하면 SQL SSMS에서 로그인을 생성할 수 없습니다.
  3. Windows 인증을 사용하여 DB 인스턴스에 연결합니다.

관련 정보

RDS for SQL Server를 통한 AWS Managed Active Directory 사용

보안 그룹으로 액세스 제어

Amazon RDS DB 인스턴스에 연결할 수 없음

계정 전체에서 Amazon RDS DB 인스턴스를 단일 공유 도메인에 조인

Microsoft SQL Server 데이터베이스를 AWS 클라우드로 마이그레이션

주제
AnalyticsMigration & ModernizationDatabase
태그
Microsoft SQL ServerAmazon Relational Database Service
언어
한국어
AWS 공식업데이트됨 6달 전
댓글 없음

관련 콘텐츠