こんにちは、久保田です。
AD Connectorで接続しているオンプレミスAD側で、サービスアカウントのパスワードを変更する場合の対応についてまとめました。
Amazon WorkSpaces、 Amazon WorkDocs、 Amazon WorkMail、 Client VPNなどに接続するためにAD Connectorを利用している環境が対象です。
結論(急ぎの方はここだけでOK)
オンプレミスAD側でのパスワード変更を実施した場合は、AWS側(AD Connector)でも設定変更作業が必要です。
AD Connectorは、設定されたサービスアカウントの情報を使用してオンプレミスADと通信を行っています。
オンプレミス側でパスワードを変更したもののAD Connectorで認証情報を変更していなかった場合、認証が失敗し、接続に失敗する可能性があります。
そのため、オンプレミス側での変更後は速やかにAWS側でも認証情報の更新を行う必要があります。
実際の実施手順もこのブログ後半で説明しております。
AWSの公式見解
AD Connectorのベストプラクティスのドキュメントには、下記の記載があります。
AD Connector サービスアカウントの管理者パスワードは定期的に変更し、パスワードが既存の Active Directory パスワードポリシーに準拠していることを確認します。 サービスアカウントのパスワードを変更する手順については、「AWS マネジメントコンソール の AD Connector サービスアカウントの認証情報を更新する」を参照してください。
ということで、定期的なサービスアカウントのパスワード変更を推奨しており、かつAD Connectorのパスワード変更手順が記載されていました。
AD Connector側でパスワードを更新していなかった場合の挙動
ADサーバー上でサービスアカウントのパスワードを変更後、わざとAD Connector側のパスワードを変更せずにWorkSpaces Personalの各挙動を確認しました。
既存WorkSpaces Personalへの接続
既存WorkSpaces Personalにクライアントアプリ経由で接続すると、既存のWorkSpaces Personalには接続できました。
既存WorkSpaces Personalの変更
既存WorkSpaces Personalに対してアプリケーションのデプロイを実施しましたが、問題なく成功しました。
既存WorkSpaces Personalのリストア(復元)
既存WorkSpaces Personalに対してリストア(復元)を実施しましたが、成功しました。
既存WorkSpaces Personalのリビルド(再構築)
既存WorkSpaces Personalに対してリビルド(再構築)を実施すると、下記のエラーが表示され実施できませんでした。
WorkSpaces Personalの新規作成
新規でWorkSpaces Personalを立ち上げようとすると、下記のエラーが表示され実施できませんでした。
ディレクトリ認証エラー
ディレクトリの認証情報を更新する必要があります。AD Connector アカウントの更新 に続いてディレクトリの認証情報を更新してください。
結論
パスワードの更新が漏れていた場合でも既存環境へのアクセスなどにはすぐに影響は出ないようですが、リビルドや新規インスタンス作成などに失敗します。
やはり急ぎパスワードは更新しましょう。
AD Connector側の作業
やってみた
今回はマネジメントコンソールから実施しましたが、数分もかからずに実施できました。
- AWS Directory Service コンソールのナビゲーションペインから[ディレクトリ] を選択し、対象のディレクトリ ID を選択
- [ディレクトリの詳細] ページで [サービスアカウント認証情報] セクションまでスクロールし、[更新]を選択
- [サービスアカウント認証情報の更新] ダイアログボックスにてサービスアカウントの更新後のパスワードを入力し、[更新] を選択
補足
私の場合はWorkSpaces Personalで確認していたのですが、WorkSpacesのディレクトリにも「AD Connector アカウント」という項目があります。
こちらはAD Connector側で変更された際に自動で変わるようなので、特に操作は不要でした。便利ですね!
まとめ
オンプレミスAD側でサービスアカウントのパスワード変更をした際には、AWS側(AD Connector)の更新作業も忘れずに実施するようにしましょう。
この記事が誰かのお役に立てれば幸いです!
