AWS Managed Microsoft Active Directory を使用する際の Amazon RDS for SQL Server Windows 認証のトラブルシューティング方法を教えてください。

最終更新日: 2019 年 6 月 18 日

AWS アカウント用に設定された Microsoft Active Directory 用の AWS Directory Service を利用しています。しかし、SQL Server を実行する Amazon Relational Database Service (Amazon RDS) インスタンスを作成しようとすると、次のいずれかの問題が発生します。

  • Active Directory を利用できない
  • 「ホストをドメインに結合できませんでした」というエラーが表示される
  • Windows 認証を使用して DB インスタンスにログインできない

AWS Managed Microsoft AD でこれらの問題をトラブルシューティングするにはどうすれば良いですか?

簡単な説明

SQL Server を実行する Amazon RDS インスタンスの Windows 認証は、Amazon Virtual Private Cloud (Amazon VPC) でのみサポートされています。このため、DB インスタンスと同じ AWS リージョンおよび同じ VPC にディレクトリが存在する必要があります。異なる AWS リージョン内の 2 つの VPC 間に VPC ピアリングがある場合でも、Amazon RDS コンソールにディレクトリが表示されません。

解決方法

DB インスタンスを作成するときに Active Directory がリストに表示されない、または Active Directory を使用できない

重要: 管理型ドメインの種類は、その Active Directory の Active Directory が管理対象の Active Directory であることが Amazon RDS コンソールに一覧表示されている必要があります。

VPC とディレクトリが DB インスタンスとは異なる AWS リージョンにある場合は、DB インスタンスを作成または変更したときにディレクトリが一覧表示されません。この問題を解決するには、DB インスタンスがディレクトリと同じ AWS リージョンおよび同じ VPC にあることを確認してください。

1.    Amazon RDS コンソールを開き、ナビゲーションペインから [データベース] を選択します。

2.    ディレクトリに接続したいインスタンスを選択します。

3.    接続性とセキュリティタブで、DB インスタンスに関連付けられている VPC を確認します。

4.    DB インスタンスとディレクトリが同じ AWS リージョンおよび同じ VPC にあることを確認してください。

5.    ディレクトリサービスコンソールを開きます。

6.    ナビゲーションペインから [ディレクトリ] を選択し、作成したディレクトリを選択します。

7.    ディレクトリの詳細タブから、VPC 情報を確認します。情報が DB インスタンスと一致することを確認してください。

その後、DB インスタンスを作成すると、そのディレクトリが Microsoft SQL Server Windows 認証のリストに表示されます。

ディレクトリが DB インスタンスと同じ AWS リージョンおよび VPC にあるにも関わらず、ディレクトリを追加するオプションが表示されない場合、お使いのインスタンスがサポートされているリージョンの範囲外にある可能性があります。詳細については、Microsoft SQL Server DB インスタンスでの Windows 認証の使用を参照してください。

DB インスタンスをドメインに結合するときに受信したエラー

インスタンスをドメインに結合すると、次のエラーメッセージが表示されることがあります。

「ホストをドメインに結合できませんでした。インスタンス XXXXXXX のドメインメンバーシップのステータスが失敗に設定されています」

このエラーを解決するには、セキュリティグループのインバウンドルールとアウトバウンドルールで、DB インスタンスが Active Directory と通信できるように設定されていることを確認します。次に、以下の手順に従って、DB インスタンスをドメインに再度結合します。

1.    Amazon RDS コンソールを開き、ナビゲーションペインから [データベース] を選択します。

2.    ドメインとの結合に失敗した DB インスタンスを選択してから、[変更] を選択します。

3.    Microsoft SQL Server Windows 認証セクションのディレクトリで、[なし] を選択します。

4.    [すぐに適用する] を選択します。変更が完了すると、DB インスタンスが自動的に再起動されます。

5.    ディレクトリに再度結合するには、ナビゲーションペインから [データベース] を選択してください。。

6.    DB インスタンスを選択し、[変更] を選択します。

7.    Microsoft SQL Server Windows 認証セクションのディレクトリで、リストから [ディレクトリ] を選択します。

8.    [すぐに適用する] を選択します。変更が完了すると、DB インスタンスがまた再起動されます。

Windows 認証を使用して DB インスタンスにログインできない

Windows 認証を使用してログインするには、RDS DB インスタンスのマスターユーザー資格情報を使用して、Active Directory ユーザーまたはグループの DB インスタンスに SQL ログインを作成する必要があります。オンプレミスの Active Directory でグループまたはユーザーを使用している場合は、信頼関係を作成する必要があります。

1.    SQL Server Management Studio (SSMS) で、マスターユーザーを使用して Amazon RDS SQL Server DB インスタンスにログインします。

2.    T-SQL を使用して Windows 認証ログインを作成します。

CREATE LOGIN [<Domain Name>\<user or group>] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

注意: RDS SQL Server での Windows 認証ログインの作成は、T-SQL のみを使用してサポートされています。SQL Server Management studio などでグラフィカルインターフェイスを使用するログインの作成はサポートされていません。

3.    Windows 認証を使用して DB インスタンスに接続します。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合