AWS上で、WindowsのAD(Active Directory)に参加したサーバーを扱う時には、注意点がります。意外と気が付かずトラブルになってしまうケースがありますので、AWS上でAD参加サーバーは一律で今回の対策の作業を行ってしまった方が良いかと思います。
レジュメ
環境・前提条件
- AWS上でのみAD参加したサーバーで起こる問題
- Windows Server 2016でも、Windows Server 2019でも起きえます
例えば、AWS上でRDS(リモートデスクトップサービス)を構築していた時に、コレクションにドメインユーザー(ドメイングループ)を追加しようとした時に、以下のようなエラーが発生しました。
「セキュリティIDを解決出来ませんでした。選択したユーザーのドメインに双方向の信頼関係があることを確認してください。
例外:ネットワークパスが見つかりません」
今回のケースでは、ADの信頼関係は使用していませんでしたが、このエラーメッセージは一体なんなのでしょうか?
結論、サフィックスの問題。AWS上でAD参加(ドメイン参加)サーバーを扱う場合は注意
実は、AWSのデフォルトWindows OS設定(AWSによってカスタマイズされたOSの設定)に、(今回の問題がありました。将来的には、AWSの改善によって解消される可能性がありますね)。
AWS上のWindows OSには、「TCP/IP詳細設定」上で、DNSの「以下のDNSサフィックスを順番に追加する」が設定されています。Windows OSの通常構築時と異なり、AWS上でのWindows OSではサフィックスが固定されて設定が入っています。なので、AD参加してもADのドメインのサフィックスが追加されていないことによって今回の問題が発生しています。
注意!AWS上でADドメイン参加サーバーを扱う場合はサフィックスの設定をしておくこと
AWS上で、ADドメイン参加サーバーを構築する場合は、一律でDNSサフィックスの設定も行っておいた方が、構築時・運用時に問題が起きずらいと思います。
上記、画像の「TCP/IP詳細設定」「以下のDNSサフィックスを順番に追加する」の一番上に、参加したADドメインのサフィックスも追加しておくと良いでしょう。
エラーメッセージの正しい理解「例外:ネットワークパスが見つかりません」
今回のエラーメッセージは、あの意味不明な「ドメインに双方向の信頼関係があることを確認してください」は、正しくなく実は
「例外:ネットワークパスが見つかりません」
が正しいエラーメッセージです。ADサーバーと名前解決がうまく行っていないということだったんですね(なるほど確かに)。