Como solucionar problemas usando meu login local do Active Directory na minha instância do RDS para SQL Server?

Breve descrição

Ao configurar a Autenticação do Windows com o Amazon RDS, uma confiança de floresta deve ser criada. Isso é criado com o AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD). Uma confiança de floresta é configurada independentemente de você usar um AWS Managed Microsoft AD on-premises ou auto-hospedado. Ao usar um login on-premises após configurar a relação de confiança, o seguinte erro de login pode aparecer por vários motivos:

“O login falhou. O login é proveniente de um domínio não confiável e não pode ser usado com a Autenticação do Windows”

Resolução

Para solucionar erros de login do Active Directory, verifique o seguinte:

Status do domínio Amazon RDS

Depois de criar ou modificar sua instância de banco de dados, a instância se torna membro do domínio. O console do RDS indica o status da associação ao domínio para a instância de banco de dados. Para obter mais informações sobre o “status da instância de banco de dados”, consulte Compreender a associação a domínios. Se você receber um erro de “Falha” ao ingressar uma instância de banco de dados em um domínio ou um status de diretório no console do RDS, consulte Reingressar em uma instância de banco de dados. Se você receber um erro do AWS Identity and Access Management (IAM), isso pode ocorrer devido à não utilização do perfil padrão do IAM rds-directoryservice-access-role. Se você estiver usando um perfil do IAM personalizado, anexe a política padrão AmazonRDSDirectoryServiceAccess para resolver esse erro.

Relação de confiança

Você pode configurar relações de confiança externas e de floresta unidirecionais e bidirecionais entre seus diretórios do AWS Managed Microsoft AD e diretórios autogerenciados (on-premises). Também pode configurar relacionamentos de confiança externas e de floresta unidirecionais e bidirecionais entre vários AWS Managed Microsoft ADs na Nuvem AWS. O AWS Managed Microsoft AD oferece suporte a todas as três direções de relacionamento de confiança: entrada, saída e bidirecional. Para acessar o console do RDS usando um login on-premises, certifique-se de que o status de confiança esteja no estado “verificado”. Para obter mais informações sobre como verificar relações de confiança, consulte Criar, verificar ou excluir uma relação de confiança.

Autenticações seletivas e em toda a floresta

Ao criar uma confiança de floresta usando o console do AWS Directory Service, você tem a opção de ativar a “autenticação seletiva”. Se essa opção não estiver ativada, a autenticação será tratada como “autenticação em toda a floresta”.

Autenticação em toda floresta

Quando a autenticação em nível de floresta está ativada, os controladores de domínio da floresta autenticam todas as solicitações de acesso feitas pelos usuários da floresta confiável. Depois que a autenticação for bem-sucedida, o acesso ao recurso será concedido ou rejeitado com base na Lista de controle de acesso (ACL) do recurso.

Existe um risco nessa abordagem. Depois que o usuário externo (da floresta confiável) é autenticado com sucesso, ele se torna membro do grupo “Usuário autenticado”. Esse grupo não tem membros permanentes, e a associação é calculada dinamicamente com base na autenticação. Depois que uma conta se torna membro do grupo “Usuário autenticado”, ela pode acessar todos os recursos aos quais o grupo “Usuário autenticado” tem acesso.

Autenticação seletiva

Para ter controle da autenticação, você pode optar pelo nível de autenticação seletiva. Nesse nível, nem todos os usuários são autenticados por controladores de domínio por padrão. Em vez disso, quando um controlador de domínio detecta que uma solicitação de autenticação vem de uma floresta confiável, o controlador de domínio valida a conta do usuário. O controlador de domínio valida que a conta do usuário recebeu permissão exclusiva no recurso que está mantendo o objeto.

Quando a autenticação seletiva está ativada, você deve adicionar os respectivos usuários e grupos do Active Directory on-premises. Usuários e grupos devem ser adicionados ao grupo “Delegado da AWS com permissão para autenticar objetos” do AWS Managed AD. O “Delegado da AWS com permissão para autenticar objetos” recebe a permissão “Pode autenticar”. Todos os usuários que fazem parte desse grupo podem acessar a instância do RDS. Os usuários que não fazem parte desse grupo não podem acessar o Amazon RDS SQL Server.

Observação: o grupo “Delegado da AWS com permissão para autenticar objetos” é criado por padrão após a configuração do AWS Managed AD. Os membros desse grupo têm a capacidade de se autenticar nos recursos do computador nas unidades organizacionais (UOs) reservadas da AWS. Isso é necessário somente para objetos on-premises com relações de confiança de autenticação seletiva.

Status de login e senha

As senhas e os status de login do Active Directory on-premises não podem ser expirados ou bloqueados. Em caso afirmativo, verifique o status do login usando o seguinte comando:

net user username/domain

Você apenas precisa alterar o nome de usuário para o usuário do qual deseja verificar o status. Deixe o domínio como está.

Nomes de entidades principais de serviço (SPN) duplicados

Por padrão, o Amazon RDS cria um SPN conforme necessário. A criação de SPNs adicionais para o login on-premises do Active Directory para outros usos pode causar uma falha de login. Para obter mais informações, consulte Identificar, remover e verificar um SPN.

Patches de segurança

Se você estiver vendo um erro de login no Active Directory on-premises e tiver verificado a relação de confiança, verifique os patches de segurança mais recentes. Verifique os servidores do Sistema de Controle Distribuído (DCS) ou do Sistema de Nomes de Domínio (DNS) para ver se há problemas conhecidos com as atualizações do Windows (KB). Se houver algum problema devido a patches de segurança ou KBs, talvez seja necessário reverter as atualizações. Se a reversão das atualizações não resolver o problema, tente aplicar a correção da Microsoft, se disponível.

---

Informações relacionadas

Tudo o que você queria saber sobre relações de confiança com o AWS Managed Microsoft AD