Amazon RDS for SQL Server DB インスタンスによるセルフマネージド Active Directory の操作 - Amazon Relational Database Service
リージョンとバージョンの可用性要件制限事項セルフマネージド Active Directory の設定の概要セルフマネージド Active Directory の設定セルフマネージド Active Directory ドメイン内の DB インスタンスの管理セルフマネージド Active Directory ドメインメンバーシップについてセルフマネージド Active Directory のトラブルシューティングDB インスタンスを復元してからセルフマネージド Active Directory ドメインに追加する

Amazon RDS for SQL Server DB インスタンスによるセルフマネージド Active Directory の操作

AD が企業のデータセンター、AWS EC2、またはその他のクラウドプロバイダーでホストされているかどうかに関係なく、RDS for SQL Server DB インスタンスをセルフマネージド Active Directory (AD) ドメインに直接参加させることができます。セルフマネージド AD では、中間ドメインやフォレストトラストを使用せずに、NTLM 認証を使用して、RDS for SQL Server DB インスタンス上のユーザーとサービスの認証を直接制御します。セルフマネージド AD ドメインに結合された RDS for SQL Server DB インスタンスでユーザーが認証するとき、認証リクエストは指定したセルフマネージド AD ドメインに転送されます。

リージョンとバージョンの可用性

Amazon RDS は、すべての AWS リージョン で NTLM を使用するセルフマネージド AD for SQL Server をサポートしています。

要件

RDS for SQL Server DB インスタンスをセルフマネージド AD ドメインに参加させる前に、次の要件を満たしていることを確認してください。

オンプレミス AD の設定

Amazon RDS for SQL Server インスタンスを参加させることができるオンプレミスまたはその他のセルフマネージド Microsoft AD があることを確認してください。オンプレミス AD には以下の設定が必要です。

  • Active Directory サイトが定義されている場合、RDS for SQL Server DB インスタンスに関連付けられている VPC 内のサブネットが Active Directory サイトで定義されていることを確認してください。VPC 内のサブネットと他の AD サイトのサブネットの間に競合がないことを確認します。

  • AD ドメインコントローラーは、Windows Server 2008 R2 以降のドメイン機能レベルを持ちます。

  • AD ドメイン名をシングルラベルドメイン (SLD) 形式にすることはできません。RDS for SQL Server は、SLD ドメインをサポートしていません。

  • AD の完全修飾ドメイン名 (FQDN) は 47 文字以内で指定します。

ネットワーク接続の設定

次のネットワーク設定を満たしていることを確認します。

  • RDS for SQL Server DB インスタンスを作成する Amazon VPC とセルフマネージド Active Directory の間に接続が設定されている。接続は、AWS 直接接続、AWS VPN、VPC ピアリング、または AWS トランジットゲートウェイを使用して設定できます。

  • VPC セキュリティグループ については、デフォルトの Amazon VPC のデフォルトセキュリティグループが、コンソールの RDS for SQL Server DB インスタンスに既に追加されています。RDS for SQL Server DB インスタンスを作成するサブネットのセキュリティグループと VPC ネットワーク ACL が、次の図に示す方向でのポート上のトラフィックを許可していることを確認します。

    セルフマネージド Active Directory ネットワーク設定ポートルール。

    以下の表に、各ポートのロールを示します。

    プロトコル ポート ロール
    TCP / UDP 53 ドメインネームシステム (DNS)
    TCP / UDP 88 Kerberos 認証
    TCP / UDP 464 パスワードを変更 / 設定する
    TCP / UDP 389 Lightweight Directory Access プロトコル (LDAP)
    TCP 135 Distributed Computing Environment / End Point Mapper (DCE / EPMAP)
    TCP 445 Directory Services SMB ファイル共有
    TCP 636 TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)
    TCP 49152 - 65535 RPC 用のエフェメラルポート

  • 通常、ドメイン DNS サーバーは AD ドメインコントローラーにあります。この機能を使用するために VPC DHCP オプションセットを設定する必要はありません。詳細については、「Amazon VPC ユーザーガイド」の「DHCP オプションセット」を参照してください。

重要

VPC ネットワーク ACL を使用している場合は、RDS for SQL Server DB インスタンスからのダイナミックポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。これらのトラフィックルールが、各 ADドメインコントローラー、DNS サーバー、および RDS for SQL Server DB インスタンスにもミラーリングされていることを確認します。

VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。

AD ドメインサービスアカウントの設定

AD ドメインサービスアカウントが次の要件を満たしていることを確認してください。

  • コンピュータをドメインに参加させる委任アクセス許可のあるサービスアカウントがセルフマネージド AD ドメインにあることを確認してください。ドメインサービスアカウントは、特定のタスクを実行するアクセス許可を委任されたセルフマネージド AD のユーザーアカウントです。

  • ドメインサービスアカウントには、RDS for SQL Server DB インスタンスを参加させる組織単位 (OU) の以下のアクセス許可を委任する必要があります。

    • DNS ホスト名への書き込みを検証する機能

    • サービスプリンシパル名への書き込みを検証する機能

    • コンピュータオブジェクトを作成および削除する

    これらは、コンピュータオブジェクトをセルフマネージド Active Directory に参加させるために必要な最小限のアクセス許可セットを表します。詳細については、Microsoft Windows Server ドキュメントの「コンピューターをドメインに参加させようとするとエラーが発生する」を参照してください。

重要

DB インスタンスの作成後に RDS for SQL Server が組織単位に作成したコンピュータオブジェクトを移動しないでください。関連するオブジェクトを移動すると、RDS for SQL Server DB インスタンスが誤って設定される原因となります。Amazon RDS によって作成されたコンピュータオブジェクトを移動する必要がある場合は、ModifyDbInstance RDS API オペレーションを使用して、コンピュータオブジェクトの目的の場所にドメインパラメータを変更します。

制限事項

SQL Server 用セルフマネージド AD には、以下の制限が適用されます。

  • NTLM は、サポートされている唯一の認証タイプです。Kerberos 認証はサポートされていません。Kerberos 認証を使用する必要がある場合は、セルフマネージド AD の代わりに AWS マネージド AD を使用できます。

  • Microsoft 分散トランザクションコーディネーター (MSDTC) サービスは Kerberos 認証を必要とするため、サポートされていません。

  • RDS for SQL Server DB インスタンスは、セルフマネージド AD ドメインのネットワークタイムプロトコル (NTP) サーバーを使用しません。代わりに AWS NTP サービスを使用します。

  • SQL Server にリンクされたサーバーは、セルフマネージド AD ドメインに参加している他の RDS for SQL Server DB インスタンスに接続するには、SQL 認証を使用する必要があります。

  • セルフマネージド AD ドメインの Microsoft グループポリシーオブジェクト (GPO) 設定は RDS for SQL Server DB インスタンスには適用されません。

セルフマネージド Active Directory の設定の概要

RDS for SQL Server DB インスタンスにセルフマネージド AD を設定するには、次の手順を実行します。詳細については、「セルフマネージド Active Directory の設定」を参照してください。

お使いの AD ドメインで、

  • 組織単位(OU)を作成します。

  • AD ドメインユーザーを作成します。

  • AD ドメインユーザーに制御を委任します。

AWS Management Console または API から:

  • AWS KMS キーを作成します。

  • AWS Secrets Manager を使用して、シークレットを作成します。

  • RDS for SQL Server DB インスタンスを作成または変更し、セルフマネージド AD ドメインに参加させます。

セルフマネージド Active Directory の設定

セルフマネージド AD を設定するには、次の手順を実行してください。

ステップ 1: AD に組織単位を作成する

重要

セルフマネージド AD ドメインに参加した RDS for SQL Server DB インスタンスを所有する AWS アカウントに、専用の OU とその OU を対象とするサービス認証情報を作成することをお勧めします。OU とサービス認証情報を専用にすることで、アクセス許可の競合を回避し、最小特権の原則に従うことができます。

AD に OU を作成するには

  1. ドメイン管理者として AD ドメインに接続します。

  2. [Active Directory ユーザーとコンピューター] を開き、OU を作成するドメインを選択します。

  3. ドメインを右クリックして、[新規] を選択し、次に [組織単位] を選択します。

  4. OU の名前を入力します。

  5. [コンテナを誤って削除しないように保護する] ボックスはオンのままにしてください。

  6. [OK] をクリックします。新しい OU がドメインの下に表示されます。

ステップ 2: AD に AD ドメインユーザーを作成する

ドメインユーザーの認証情報は AWS Secrets Manager のシークレットに使用されます。

AD に AD ドメインユーザーを作成するには

  1. [Active Directory ユーザーとコンピューター] を開き、ユーザーを作成するドメインと OU を選択します。

  2. [ユーザー] オブジェクトを右クリックして、[新規] を選択し、[ユーザー] を選択します。

  3. ユーザーの名、姓、およびログオン名を入力します。[次へ] をクリックします。

  4. ユーザーのパスワードを入力します。[ユーザーは次回のログイン時にパスワードを変更する必要がある] を選択しないでください。[アカウントは無効です] を選択しないでください。[次へ] をクリックします。

  5. [OK] をクリックします。新しいユーザーがドメインの下に表示されます。

ステップ 3: AD ユーザーに制御を委任する

ドメイン内の AD ドメインユーザーに制御を委任するには

  1. [Active Directory ユーザーとコンピューター] MMC スナップインを開き、ユーザーを作成するドメインを選択します。

  2. 前に作成した OU を右クリックして、[制御を委任] を選択します。

  3. [コントロールウィザードの委任] で、[次へ] を選択します。

  4. [ユーザーまたはグループ] セクションで、[追加] をクリックします。

  5. [ユーザー、コンピューター、またはグループの選択] セクションで、作成した AD ユーザーを入力し、[ 名前の確認] をクリックします。AD ユーザーのチェックが成功したら、[OK] をクリックします。

  6. [ユーザーまたはグループ] セクションで、AD ユーザーが追加されたことを確認し、[次へ] をクリックします。

  7. [委任するタスク] セクションで、[委任するカスタムタスクを作成] を選択し、[次へ] をクリックします。

  8. [Active Directory オブジェクトタイプ] セクションで:

    1. [フォルダ内の次のオブジェクトのみ] を選択します。

    2. [コンピュータオブジェクト] を選択します。

    3. [このフォルダに選択したオブジェクトを作成] を選択します。

    4. [このフォルダ内の選択したオブジェクトを削除] を選択し、[次へ] をクリックします。

  9. [アクセス許可] セクションで:

    1. [全般] を選択したままにします。

    2. [DNS ホスト名への検証済み書き込み] を選択します。

    3. [サービスプリンシパル名への検証済み書き込み] を選択し、[次へ] をクリックします。

  10. [コントロールウィザードの委任の完了] で設定を確認し、[完了] をクリックします。

ステップ 4: AWS KMS キーを作成する

KMS キーは、AWS シークレットの暗号化に使用されます。

AWS KMS キーを作成するには
注記

[暗号化キー] として、AWS デフォルトの KMS キーを使用しないでください。AWS KMS キーは、セルフマネージド AD に参加させる RDS for SQL Server DB インスタンスを含んでいるのと同じ AWS アカウントに作成してください。

  1. AWS KMS コンソールで、[キーの作成] を選択します。

  2. [キーの種類] として、[対称] を選択します。

  3. [キーの使用方法] として、[暗号化と復号化] を選択します。

  4. [Advanced options (詳細オプション)] の場合:

    1. [キーマテリアルのオリジン] として、[KMS] を選択します。

    2. [リージョナリティ] として、[単一リージョンキー] を選択し、[次へ] をクリックします。

  5. [エイリアス] に、KMS キーの名前を指定します。

  6. (オプション) [説明] に、KMS キーの説明を入力します。

  7. (オプション) [タグ] に、KMS キーのタグを指定し、[次へ] をクリックします。

  8. [キー管理者] として、IAM ユーザーの名前を入力して選択します。

  9. [キーの削除] で、[キー管理者にこのキーの削除を許可する] のボックスをオンのままにして、[次へ] をクリックします。

  10. [キーユーザー] として、前のステップと同じ IAM ユーザーを指定して選択します。[次へ] をクリックします。

  11. 設定を確認します。

  12. [キーポリシー] で、以下をポリシー [ステートメント] に含めます。

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. [Finish] をクリックします。

ステップ 5: AWS シークレットを作成する

シークレットを作成する
注記

シークレットは、セルフマネージド AD に参加させる RDS for SQL Server DB インスタンスを含んでいるのと同じ AWS アカウントに作成してください。

  1. AWS Secrets Manager で、[新しいシークレットを保存する] を選択します。

  2. [Secret type] (シークレットタイプ) で、[Other type of secret] (他の種類のシークレット) を選択します。

  3. [キーと値のペア] として、次の 2 つのキーを追加します。

    1. 最初のキーには、CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME と入力します。

    2. 最初のキーの値には、前のステップでドメインに作成した AD ユーザーの名前を入力します。

    3. 2 番目のキーとして、CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD と入力します。

    4. 2 番目のキーの値には、ドメインの AD ユーザー用に作成したパスワードを入力します。

  4. [暗号化キー] として、前のステップで作成した KMS キーを入力し、[次へ] をクリックします。

  5. [シークレット名] として、後でシークレットを見つけやすい、わかりやすい名前を入力します。

  6. (オプション) [説明] として、シークレット名の説明を入力します。

  7. [リソースアクセス許可] として、[編集] をクリックします。

  8. 以下のポリシーをアクセス許可ポリシーに追加します。

    注記

    Confused Deputy Problem (混乱した代理の問題) を回避するために、ポリシーの aws:sourceAccount および aws:sourceArn 条件を使用することをお勧めします。aws:sourceAccount の AWS アカウント と aws:sourceArn の RDS for SQL Server DB インスタンス ARN を使用します。詳細については、「サービス間での混乱した代理問題の防止」を参照してください。

    {
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. [保存] をクリックし、[次へ] をクリックします。

  10. [ローテーションの設定] は、デフォルト値のままにして、[次へ] を選択します。

  11. シークレットの設定を確認し、[保存] をクリックします。

  12. 作成したシークレットを選択し、[シークレット ARN] の値をコピーします。これを次のステップで使用して、セルフマネージド Active Directory をセットアップします。

ステップ 6: SQL Server DB インスタンスを作成または変更する

コンソール、CLI、または RDS API を使用して、RDS for SQL Server DB インスタンスをセルフマネージド AD ドメインに関連付けることができます。これには以下の 2 つの方法があります。

AWS CLI を使用する場合は、DB インスタンスが、作成したセルフマネージド Active Directory ドメインを使用できるように、以下のパラメータが必要です。

  • --domain-fqdn パラメータには、セルフマネージド Active Directory の完全修飾ドメイン名 (FQDN) を使用してください。

  • --domain-ou パラメータには、セルフマネージド AD で作成した OU を使用します。

  • --domain-auth-secret-arn パラメータには、前のステップで作成した[シークレット ARN] の値を使用します。

  • --domain-dns-ips パラメータには、セルフマネージド AD の DNS サーバーのプライマリ IPv4 アドレスとセカンダリ IPv4 アドレスを使用します。セカンダリ DNS サーバーの IP アドレスがない場合は、プライマリ IP アドレスを 2 回入力します。

次の CLI コマンドの例は、セルフマネージド AD ドメインを使用して RDS for SQL Server DB インスタンスを作成、変更、削除する方法を示しています。

重要

DB インスタンスを変更してセルフマネージド AD ドメインに参加させたり、削除したりする場合、変更を有効にするには DB インスタンスを再起動する必要があります。変更をすぐに適用するか、次のメンテナンスウィンドウまで待つかを選択できます。[すぐに適用] オプションを選択すると、シングル AZ DB インスタンスのダウンタイムが発生します。マルチ AZ DB インスタンスは、再起動を完了する前にフェイルオーバーを実行します。詳細については、「変更のスケジュール設定」を参照してください。

次の CLI コマンドは、新しい RDS for SQL Server DB インスタンスを作成し、それをセルフマネージド AD ドメインに参加させます。

Linux、macOS、Unix の場合:

aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Windows の場合:

aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

次の CLI コマンドは、セルフマネージド Active Directory ドメインを使用するように既存の RDS for SQL Server DB インスタンスを変更します。

Linux、macOS、Unix の場合:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Windows の場合:

aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

次の CLI コマンドは、セルフマネージド Active Directory ドメインから RDS for SQL Server DB インスタンスを削除します。

Linux、macOS、Unix の場合:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain

Windows の場合:

aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain

ステップ 7: Windows 認証 SQL Server ログインを作成する

Amazon RDS マスターユーザーの認証情報を使用して、他の DB インスタンスと同じように SQL Server DB インスタンスに接続します。DB インスタンスはセルフマネージド AD ドメインに参加しているため、SQL Server のログインとユーザーをプロビジョニングできます。これは、セルフマネージド AD ドメインの AD ユーザーとグループユーティリティから行います。データベースへのアクセス許可は、これらの Windows ログインに付与され無効化されている標準の SQL サーバーのアクセス許可によって管理されています。

セルフマネージド AD ユーザーが SQL Server に認証するには、セルフマネージド AD ユーザー、またはそのユーザーが属するセルフマネージド Active Directory グループに、SQL Server Windows ログインが存在する必要があります。これらの SQL Server ログインでアクセスを許可したり取り消したりして、細分化されたアクセスコントロールを処理します。SQL Server ログインを持たないか、またはそのようなログインを持つセルフマネージド AD グループに属していないセルフマネージド AD ユーザーは、SQL Server DB インスタンスにアクセスできません。

セルフマネージド AD SQL Server ログインを作成するには、ALTER ANY LOGIN アクセス許可が必要です。このアクセス許可を持つログインをまだ作成していない場合は、SQL Server 認証を使用して DB インスタンスのマスターユーザーとして接続し、マスターユーザーのコンテキストでセルフマネージド AD SQL Server ログインを作成してください。

次の例のようなデータ定義言語 (DDL) コマンドを実行して、セルフマネージド AD ユーザーまたはグループへの SQL Server ログインを作成できます。

注記

my_AD_domain\my_AD_domain_user の形式で Windows 2000 以前のログイン名を使用して、ユーザーまたはグループを指定します。ユーザープリンシパル名 (UPN) を my_AD_domain_user @ my_AD_domain の形式で使用することはできません。

USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

詳細については、Microsoft Developer Network ドキュメントの「ログインの作成 (Transact-SQL)」を参照してください。

ドメインのユーザー (人およびアプリケーション) は、Windows 認証を使用して、セルフマネージド AD ドメインに参加したクライアントマシンから RDS for SQL Server インスタンスに接続できるようになりました。

セルフマネージド Active Directory ドメイン内の DB インスタンスの管理

コンソール、AWS CLI、または Amazon RDS API を使用して、DB インスタンスおよびセルフマネージド AD ドメインとの関係を管理できます。例えば、DB インスタンスをドメイン内、ドメイン外、またはドメイン間で移動させることができます。

例えば、Amazon RDS API を使用して次を実行できます。

  • メンバーシップが失敗したためにセルフマネージドドメインへの参加を再試行するには、ModifyDBInstance API オペレーションを使用して、同じパラメータセットを指定します。

    • --domain-fqdn

    • --domain-dns-ips

    • --domain-ou

    • --domain-auth-secret-arn

  • セルフマネージドドメインから DB インスタンスを削除するには、ModifyDBInstance API オペレーションを使用し、ドメインパラメータとして --disable-domain を指定します。

  • DB インスタンスを別のセルフマネージドドメインに移動するには、ModifyDBInstance API オペレーションを使用し、新しいドメインのドメインパラメータを指定します。

    • --domain-fqdn

    • --domain-dns-ips

    • --domain-ou

    • --domain-auth-secret-arn

  • 各 DB インスタンスのセルフマネージド AD ドメインメンバーシップを一覧表示するには、DescribeDBInstances API オペレーションを使用します。

セルフマネージド Active Directory ドメインメンバーシップについて

DB インスタンスを作成または変更した後、そのインスタンスはセルフマネージド AD ドメインのメンバーになります。AWS コンソールは、DB インスタンスについて、セルフマネージド Active Directory ドメインメンバーシップのステータスを示します。DB インスタンスのステータスは、以下のいずれかです。

  • joined – インスタンスは AD ドメインのメンバーです。

  • Joining – インスタンスは、AD ドメインのメンバーになる途中です。

  • pending-join (参加保留中) – インスタンスのメンバーシップは保留中です。

  • pending-maintenance-join – AWS は、次に予定されているメンテナンスウィンドウ中に、インスタンスを AD ドメインのメンバーにできるよう試みます。

  • pending-removal – AD ドメインからのインスタンスの削除は保留中です。

  • pending-maintenance-removal – AWS は、次に予定されているメンテナンスウィンドウ中に、AD ドメインからのインスタンスの削除を試みます。

  • failed – 設定の問題により、インスタンスは AD ドメインに参加できませんでした。インスタンスの変更コマンドを再発行する前に、設定を確認して修正してください。

  • removing – インスタンスをセルフマネージド AD ドメインから削除しています。

セルフマネージド AD ドメインのメンバーになるリクエストは、ネットワーク接続の問題が原因で失敗する場合があります。例えば、DB インスタンスを作成したか、既存のインスタンスを変更したが、DB インスタンスをセルフマネージド AD ドメインのメンバーにする試みが失敗することがあります。この場合、コマンドを再発行して DB インスタンスを作成または変更するか、新しく作成されたインスタンスを変更して、セルフマネージド AD ドメインに参加させます。

セルフマネージド Active Directory のトラブルシューティング

セルフマネージド AD をセットアップまたは変更する際に発生する可能性のある問題は次のとおりです。

エラーコード 説明 一般的な原因 トラブルシューティングの推奨事項

エラー 2 / 0x2

指定されたファイルがシステムで見つかりません。

—domain-ou パラメータで指定された組織単位 (OU) の形式または場所が無効です。AWS Secrets Manager で指定されたドメインサービスアカウントには、OU への参加に必要なアクセス許可がありません。

—domain-ou パラメータを確認してください。ドメインサービスアカウントに OU に対する適切なアクセス許可があることを確認してください。詳細については、「AD ドメインサービスアカウントの設定」を参照してください。

エラー 5 / 0x5

アクセスが拒否されました。

ドメインサービスアカウントのアクセス許可が正しく設定されていないか、コンピュータアカウントがドメインに既に存在しています。

ドメイン内のドメインサービスアカウントのアクセス許可を確認し、RDS コンピュータアカウントがドメイン内で重複していないことを確認します。RDS コンピュータアカウントの名前は、RDS for SQL Server DB インスタンスで SELECT @@SERVERNAME を実行することで確認できます。マルチ AZ を使用している場合は、フェイルオーバーを使用して再起動し、RDS コンピュータアカウントを再度確認してください。詳細については、「 DB インスタンスの再起動」を参照してください。

エラー 87 / 0x57

パラメータが間違っています。

AWS Secrets Manager で指定されたドメインサービスアカウントには、適切なアクセス許可がありません。ユーザープロファイルが壊れている可能性もあります。

ドメインサービスアカウントの要件を確認します。詳細については、「AD ドメインサービスアカウントの設定」を参照してください。

エラー 234 / 0xEA

指定された組織単位 (OU) は存在しません。

—domain-ou パラメータで指定された OU は、セルフマネージド AD に存在しません。

—domain-ou パラメータを確認して、指定した OU がセルフマネージド AD に存在することを確認します。

エラー 1326 / 0x52E

ユーザー名またはパスワードが正しくありません。

AWS Secrets Manager で指定されたドメインサービスアカウントの認証情報に、不明なユーザー名または不正なパスワードが含まれています。セルフマネージド AD でドメインアカウントが無効になっている場合もあります。

AWS Secrets Manager で指定した認証情報が正しく、ドメインアカウントがセルフマネージド Active Directory で有効になっていることを確認します。

エラー 1355 / 0x54B

指定されたドメインが存在しないか、接続できませんでした。

ドメインがダウンしているか、指定された DNS IP セットにアクセスできないか、指定された FQDN にアクセスできません。

—domain-dns-ips および —domain-fqdn パラメータが正しいことを確認します。RDS for SQL Server DB インスタンスのネットワーク構成を確認し、セルフマネージド AD にアクセスできることを確認します。詳細については、「ネットワーク接続の設定」を参照してください。

エラー 1772 / 0x6BA

RPC サーバーは使用できません。

AD ドメインの RPC サービスへのアクセスに問題がありました。これはサービスまたはネットワークの問題かもしれません。

RPC サービスがドメインコントローラーで実行されていることと、RDS for SQL Server DB インスタンスから TCP ポート 135 および 49152-65535 にアクセスできることを確認します。

エラー 2224 / 0x8B0

ユーザーアカウントは既に存在しています。

セルフマネージド AD に追加しようとしているコンピュータアカウントはすでに存在しています。

RDS for SQL Server DB インスタンスで SELECT @@SERVERNAME を実行してコンピュータアカウントを特定し、セルフマネージド AD から慎重に削除します。

エラー 2242 / 0x8c2

このユーザーのパスワードは有効期限が切れています。

AWS Secrets Manager で指定されたドメインサービスアカウントのパスワードは有効期限が切れています。

RDS for SQL Server DB インスタンスをセルフマネージド AD に参加させるために使用するドメインサービスアカウントのパスワードを更新します。

SQL Server DB インスタンスを復元してからセルフマネージド Active Directory ドメインに追加する

SQL Server DB インスタンスの DB スナップショットまたはポイントインタイムリカバリ (PITR) を復元して、セルフマネージド Active Directory ドメインに追加できます。DB インスタンスが復元されたら、「ステップ 6: SQL Server DB インスタンスを作成または変更する」で説明している手順に従ってインスタンスを変更し、DB インスタンスをセルフマネージド AD ドメインに追加します。