Come posso risolvere i problemi utilizzando il mio accesso Active Directory on-premise alla mia istanza RDS per SQL Server?

Breve descrizione

Quando si configura l'autenticazione di Windows con Amazon RDS, è necessario creare un trust tra foreste. Il trust viene creato con il servizio di directory AWS per Microsoft Active Directory (Microsoft AD gestito da AWS). Un trust tra foreste viene configurato indipendentemente dal fatto che utilizzi un Microsoft AD gestito da AWS on-premise o ospitato autonomamente. Durante l'utilizzo di un accesso on-premise, dopo aver configurato la relazione di attendibilità, potrebbe essere visualizzato per diversi motivi il seguente errore di accesso:

"Accesso non riuscito. L'accesso proviene da un dominio non attendibile e non può essere utilizzato con l'autenticazione di Windows"

Risoluzione

Per risolvere gli errori di accesso ad Active Directory, controlla quanto segue:

Stato del dominio di Amazon RDS

Dopo aver creato o modificato l'istanza DB, quest'ultima diventa membro del dominio. La console RDS indica lo stato dell'appartenenza al dominio per l'istanza DB. Per ulteriori informazioni sullo stato dell'istanza DB, consulta la sezione su come comprendere l'appartenenza al dominio. Se ricevi l'errore "Non riuscito" quando aggiungi un'istanza DB a un dominio o allo stato di directory sulla console RDS, vedi la sezione ricollegare un'istanza DB. Se ricevi un errore di AWS Identity and Access Management (IAM), l'errore potrebbe essere dovuto al mancato utilizzo del ruolo IAM predefinito rds-directoryservice-access-role. Se utilizzi un ruolo IAM personalizzato, allega la policy predefinita AmazonRDSDirectoryServiceAccess per risolvere l'errore.

Relazione di attendibilità

Puoi configurare relazioni di attendibilità esterne e tra foreste a una o due vie tra il tuo Microsoft AD gestito da AWS e le directory autogestite (on-premise). Puoi anche configurare relazioni di attendibilità esterne e tra foreste a una o due vie tra più Microsoft AD gestiti da AWS nel cloud AWS. Microsoft AD gestito da AWS supporta tutte e tre le direzioni delle relazioni di attendibilità: in entrata, in uscita e bidirezionale. Per accedere alla console RDS utilizzando un accesso on-premise, assicurati che lo stato di attendibilità sia in "verificato". Per ulteriori informazioni sulla verifica delle relazioni di attendibilità, consulta la sezione creare, verificare o eliminare una relazione di attendibilità.

Autenticazioni selettive e a livello di foresta

Durante la creazione di un trust tra foreste, utilizzando la console di Servizio di directory AWS, è possibile attivare l'opzione "autenticazione selettiva". Se questa opzione non è attivata, l'autenticazione viene considerata come "autenticazione a livello di foresta".

Autenticazione a livello di foresta

Quando l'autenticazione a livello di foresta è attivata, i controller di dominio della foresta autenticano tutte le richieste di accesso effettuate dagli utenti della foresta attendibile. Una volta completata l'autenticazione, l'accesso alla risorsa viene concesso o rifiutato in base alla lista di controllo degli accessi (ACL) della risorsa.

Questo approccio comporta un rischio. Dopo che l'utente esterno (proveniente da una foresta attendibile) è stato autenticato correttamente, diventa membro del gruppo "Utente autenticato". Questo gruppo non ha membri permanenti e l'appartenenza viene calcolata dinamicamente in base all'autenticazione. Una volta diventato membro del gruppo "Utente autenticato", un account può accedere a tutte le risorse a cui il gruppo ha accesso.

Autenticazione selettiva

Per avere il controllo dell'autenticazione, puoi optare per il livello di autenticazione selettiva. In questo livello, non tutti gli utenti sono autenticati dai controller di dominio per impostazione predefinita. Invece, quando un controller di dominio rileva che una richiesta di autenticazione proviene da una foresta attendibile, il controller di dominio convalida l'account utente. Il controller di dominio conferma che all'account utente è stata concessa l'autorizzazione esclusiva per la risorsa che contiene l'oggetto.

Quando l'autenticazione selettiva è attivata, è necessario aggiungere i rispettivi utenti e gruppi dell'Active Directory on-premise. Gli utenti e i gruppi devono essere aggiunti al gruppo "Autorizzazione delegata di AWS per l'autenticazione degli oggetti" di AD gestito da AWS. Al gruppo "Autorizzazione delegata di AWS per l'autenticazione degli oggetti" viene assegnata l'autorizzazione "Autorizzazione all'autenticazione". Tutti gli utenti che fanno parte di questo gruppo possono accedere all'istanza RDS. Gli utenti che non fanno parte di questo gruppo non possono accedere ad Amazon RDS per SQL Server.

Nota: il gruppo "Autorizzazione delegata di AWS per l'autenticazione degli oggetti" viene creato per impostazione predefinita dopo la configurazione di AD gestito da AWS. Ai membri di questo gruppo viene fornita la possibilità di eseguire l'autenticazione su risorse informatiche nelle unità organizzative (OU) riservate di AWS. L'autenticazione è necessaria solo per gli oggetti on-premise con trust di autenticazione selettiva.

Stato di accesso e password

Le password e gli stati di accesso ad Active Directory locali non possono essere scaduti o bloccati. In tal caso, controlla lo stato di accesso usando il seguente comando:

net user username/domain

Devi solo cambiare il nome utente con l'utente di cui desideri controllare lo stato. Lascia il dominio invariato.

Nomi dei principali di servizio (SPN) duplicati

Per impostazione predefinita, Amazon RDS crea un SPN come richiesto. La creazione di SPN aggiuntivi per l'accesso on-premise ad Active Directory per altri usi potrebbe causare un errore di accesso. Per ulteriori informazioni, consulta la sezione identificare, rimuovere e verificare un SPN.

Patch di sicurezza

Se riscontri un errore di accesso ad Active Directory on-premise e hai verificato la relazione di attendibilità, controlla le patch di sicurezza più recenti. Controlla i server DCS (Distributed Control System) o DNS (Domain Name System) per i problemi noti relativi agli aggiornamenti di Windows (KB). In caso di problemi dovuti a patch di sicurezza o KB, potrebbe essere necessario ripristinare gli aggiornamenti. Se il ripristino degli aggiornamenti non risolve il problema, prova ad applicare la correzione fornita da Microsoft, se disponibile.

---

Informazioni correlate

Tutto quello che avresti voluto sapere sui trust con Microsoft AD gestito da AWS