Wie behebe ich Probleme mit meiner lokalen Active Directory-Anmeldung bei meiner RDS-for-SQL-Server-Instance?

Letzte Aktualisierung: 21.10.2022

Ich kann nicht auf meinen Amazon Relational Database Service (Amazon RDS) für Microsoft SQL Server zugreifen, wenn ich meine lokale Active Directory-Anmeldung verwende. Wie kann ich dieses Problem beheben?

Kurzbeschreibung

Beim Einrichten der Windows-Authentifizierung mit Amazon RDS muss eine Gesamtstruktur-Vertrauensstellung erstellt werden. Diese wird mit dem AWS Directory Service für Microsoft Active Directory (AWS Managed Microsoft AD) erstellt. Eine Gesamtstruktur-Vertrauensstellung wird eingerichtet, unabhängig davon, ob Sie ein lokales oder selbst gehostetes AWS Managed Microsoft AD verwenden. Bei der Verwendung einer lokalen Anmeldung nach der Konfiguration der Vertrauensstellung kann der folgende Anmeldefehler aus mehreren Gründen auftreten:

„Die Anmeldung ist fehlgeschlagen. Die Anmeldung stammt von einer nicht vertrauenswürdigen Domäne und kann nicht mit der Windows-Authentifizierung verwendet werden“

Auflösung

Überprüfen Sie Folgendes, um Active-Directory-Anmeldefehler zu beheben:

Amazon-RDS-Domänestatus

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird die Instance Mitglied der Domäne. Die RDS-Konsole zeigt den Status der Domänenmitgliedschaft für die DB-Instance an. Weitere Informationen zum Status der DB-Instance finden Sie unter Grundlegendes zur Domain-Mitgliedschaft. Wenn beim Hinzufügen einer DB-Instance zu einem Domänen- oder Verzeichnisstatus auf der RDS-Konsole die Fehlermeldung „Fehlgeschlagen“ angezeigt wird, finden Sie weitere Informationen unter Wiederverbinden mit einer DB-Instance.

Wenn Sie einen AWS-Identity-and-Access-Management-Fehler (IAM) erhalten, liegt dies möglicherweise daran, dass die standardmäßige IAM-Rolle rds-directoryservice-access-role nicht verwendet wird. Wenn Sie eine benutzerdefinierte IAM-Rolle verwenden, fügen Sie die Standardrichtlinie AmazonRDSDirectoryServiceAccess an, um den Fehler zu beheben.

Vertrauensverhältnis

Sie können ein- und bidirektionale externe und Gesamtstruktur-Vertrauensbeziehungen zwischen Ihrem AWS Managed Microsoft AD und selbstverwalteten (lokalen) Verzeichnissen konfigurieren. Sie können auch ein- und bidirektionale externe und Gesamtstruktur-Vertrauensbeziehungen zwischen mehreren von AWS Managed Microsoft ADs in der AWS-Cloud konfigurieren. AWS Managed Microsoft AD unterstützt alle drei Richtungen der Vertrauensbeziehung: eingehende, ausgehende und bidirektionale Verbindungen. Um über eine lokale Anmeldung auf die RDS-Konsole zuzugreifen, stellen Sie sicher, dass sich der Vertrauensstatus im Status „Verifiziert“ befindet. Weitere Informationen zum Überprüfen von Vertrauensbeziehungen finden Sie unter Erstellen, Überprüfen oder Löschen einer Vertrauensbeziehung.

Waldweite und selektive Authentifizierungen

Beim Erstellen einer Gesamtstrukturvertrauensstellung mithilfe der AWS Directory Service-Konsole haben Sie die Möglichkeit, die „selektive Authentifizierung“ zu aktivieren. Wenn diese Option nicht aktiviert ist, wird die Authentifizierung als „Gesamtstruktur-weite Authentifizierung“ behandelt.

Gesamtstrukturweite Authentifizierung

Wenn die Authentifizierung auf Gesamtstrukturebene aktiviert ist, authentifizieren die Domänencontroller der Gesamtstruktur alle Zugriffsanforderungen, die von Benutzern der vertrauenswürdigen Gesamtstruktur gestellt werden. Nach erfolgreicher Authentifizierung wird der Zugriff auf die Ressource basierend auf der Zugriffskontrollliste (ACL) der Ressource gewährt oder abgelehnt.

Bei diesem Ansatz besteht ein Risiko. Nachdem der ausländische Benutzer (aus einer vertrauenswürdigen Gesamtstruktur) erfolgreich authentifiziert wurde, wird er Mitglied der Gruppe „Authentifizierter Benutzer“. Diese Gruppe hat keine ständigen Mitglieder und die Mitgliedschaft wird dynamisch basierend auf der Authentifizierung berechnet. Nachdem ein Konto Mitglied der Gruppe „Authentifizierter Benutzer“ ist, kann dieses Konto auf alle Ressourcen zugreifen, auf die die Gruppe „Authentifizierter Benutzer“ Zugriff hat.

Selektive Authentifizierung

Um die Kontrolle über die Authentifizierung zu haben, können Sie sich für die selektive Authentifizierungsebene entscheiden. In dieser Stufe werden nicht alle Benutzer standardmäßig von Domänencontrollern authentifiziert. Wenn ein Domänencontroller erkennt, dass eine Authentifizierungsanforderung aus einer vertrauenswürdigen Gesamtstruktur stammt, validiert der Domänencontroller stattdessen das Benutzerkonto. Der Domänencontroller überprüft, ob dem Benutzerkonto die exklusive Berechtigung für die Ressource erteilt wurde, die das Objekt enthält.

Wenn die selektive Authentifizierung aktiviert ist, müssen Sie die entsprechenden Benutzer und Gruppen des lokalen Active Directory hinzufügen. Benutzer und Gruppen müssen der Gruppe „AWS Delegated Allowed to Authenticate Objects“ von AWS Managed AD hinzugefügt werden. Der Berechtigung „AWS Delegated Allowed to Authenticate Objects“ wird die Berechtigung „Zulässig zur Authentifizierung“ zugewiesen. Alle Benutzer, die Teil dieser Gruppe sind, können auf die RDS-Instance zugreifen. Benutzer, die nicht Teil dieser Gruppe sind, können nicht auf den Amazon RDS SQL Server zugreifen.

Hinweis: Die Gruppe „AWS Delegated Allowed to Authenticate Objects“ wird standardmäßig nach der Konfiguration von AWS Managed AD erstellt. Mitglieder dieser Gruppe erhalten die Möglichkeit, sich bei Computerressourcen in den reservierten Organisationseinheiten (OU) von AWS zu authentifizieren. Dies ist nur für lokale Objekte mit selektiven Authentifizierungsvertrauensstellungen erforderlich.

Login und Passwortstatus

Lokale Active Directory-Anmeldekennwörter und -status können nicht abgelaufen oder gesperrt sein. Wenn ja, überprüfen Sie den Login-Status mit dem folgenden Befehl:

net user username/domain

Sie müssen nur den Benutzernamen in den Benutzer ändern, dessen Status Sie überprüfen möchten. Lassen Sie die Domain so wie sie ist.

Doppelte Dienstprinzipalnamen (SPN)

Standardmäßig erstellt Amazon RDS nach Bedarf einen SPN. Das Erstellen zusätzlicher SPNs für die lokale Active Directory-Anmeldung für andere Zwecke kann zu einem Anmeldefehler führen. Weitere Informationen finden Sie unter Identifizieren, Entfernen und Überprüfen eines SPN.

Sicherheits-Patches

Wenn Sie einen lokalen Active Directory-Anmeldefehler sehen und die Vertrauensstellung überprüft haben, überprüfen Sie die neuesten Sicherheitspatches. Überprüfen Sie die Server des Distributed Control System (DCS) oder Domain Name System (DNS) auf bekannte Probleme mit Windows-Updates (KB). Wenn es Probleme aufgrund von Sicherheitspatches oder KBs gibt, müssen Sie die Updates möglicherweise zurücksetzen. Wenn das Problem durch das Rollback der Updates nicht behoben wird, versuchen Sie, das Update von Microsoft anzuwenden, falls verfügbar.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?