AWS Systems Manager Session Manager でドメインコントローラーに接続できない原因と対処法
2025.02.03困っていること
ドメインコントローラーに昇格した Windows Server に AWS Systems Manager Session Manager を利用した接続を行ったところ以下のエラーが発生しました。原因と対処法を教えてください。
接続エラー
セッションが次の理由で終了されました。 ----------ERROR------- Unable to start shell: Failed to create user ssm-user: Instance is running active directory domain controller service. Disable the service to continue to use session manager.
どう対応すればいいの?
該当ドメインに Domain Administrator のアクセス許可を付与した "ssm-user" アカウントを作成してください。
通常 Session Manager を使用すると、ssm-user アカウントが自動的に作成されます。(パスワード管理も AWS が自動的に行います)
しかしながら、Windows Server ドメインコントローラーの場合 "ssm-user" アカウントは自動作成されません。
そのため、アカウントが存在しない場合は "ssm-user" アカウントを作成し Domain Administrator のアクセス許可を割り当てる必要がございます。
Windows Server ドメインコントローラーの ssm-user
SSM Agent の バージョン 2.3.612.0 以降、ssm-user アカウントは Windows Server のドメインコントローラーとして使用されているマネージドノードに自動的に作成されません。ドメインコントローラーとして使用されている Windows Server マシンで Session Manager を使用するには、 アカウントが存在しない場合は手動で ssm-user アカウントを作成し、ユーザーに Domain Administrator のアクセス許可を割り当てる必要があります。Windows Server で、SSM Agent はセッションが開始されるたびに ssm-user アカウントの新しいパスワードを設定するので、アカウントを作成するときにパスワードを指定する必要はありません。
補足
Microsoft 社 提供 Active Directory の仕様として、ドメインコントローラーとなっている Windows サーバーに対して RDP 接続する際は、Domain Admins グループのメンバーのみが接続可能です。
そのため、RDP を利用したドメインコントローラー接続には、対象ユーザーに Domain Administrator 権限付与は必要条件であるとご認識ください。
Domain Admins
Each domain in a forest has its own Domain Admins (DA) group, which is a member of that domain's built-in Administrators (BA) group in addition to a member of the local Administrators group on every computer that is joined to the domain. The only default member of the DA group for a domain is the Built-in Administrator account for that domain.
Is the remote computer a domain controller? Only members of the Domain Admins group can use RDP to connect to a domain controller.
