このページでは、Bastionhost での SSH、RDP、およびデータベースの運用保守操作中に発生する一般的なエラーと、その解決手順について説明します。
SSH 運用保守のエラー
無効なホストフィンガープリント
Invalid host fingerprintBastionhost V3.2 は、ホストごとに一意のフィンガープリントを記録します。フィンガープリントが変更されると、認証は失敗します。
解決策:ホスト情報の設定でホストフィンガープリントをクリアしてから、再度ログインを試みてください。詳細については、「ホストフィンガープリントのクリア」をご参照ください。
フィンガープリントは、次のシナリオで変更されます:
| シナリオ | 原因 |
|---|---|
| OS の再インストール | SSH サービスがリセットされ、新しいフィンガープリントが生成されます。 |
| SSH キーペアの置き換え | サーバーの SSH キーペアを置き換えると、フィンガープリントが変更されます。 |
| 暗号化アルゴリズムまたは鍵交換方式の変更 | SSH サーバーの設定を変更して、異なるアルゴリズムや方式を使用すると、フィンガープリントに影響します。 |
| SSH サービス設定の変更 | SSH サーバー設定のキーと認証設定を変更すると、フィンガープリントに影響する可能性があります。 |
| サーバーのクローン作成または移行 | 新しいインスタンスで新しい SSH キーが生成される場合があります。 |
| 仮想マシンのスナップショット復元 | SSH キーがスナップショット作成時の状態に復元されます。 |
| SSH サーバーソフトウェアの更新 | 一部の更新ではキー設定が変更され、フィンガープリントに影響します。 |
| 証明書の無効化または失効 | 証明書ベースの SSH キーの場合、証明書の有効期限が切れたり更新されたりすると、フィンガープリントが変更されます。 |
Connection refused (111)
connect to [Default Network] xx.xx.xx.xx:xx failed, Connection refused(111)Bastionhost がターゲットホストに到達できません。以下を確認してください:
| 考えられる原因 | 操作 |
|---|---|
| 不正なポート設定 | Bastionhost で設定されているホストプロトコルポートが正しいことを確認してください。詳細については、「Bastionhost の設定」をご参照ください。 |
| セキュリティグループまたはファイアウォールによるアクセスのブロック | Bastionhost インスタンスで Cloud Firewall が有効になっているか、また、指定されたポートへのアクセスをブロックするセキュリティポリシーがないかを確認してください。詳細については、「Cloud Firewall を Bastionhost と共にデプロイする場合のアクセスポリシーのベストプラクティス」をご参照ください。 |
SSH ハンドシェイクエラー
SSH protocol handshake error, Socket error: Connection reset by peerファイアウォールまたは設定ポリシーが接続をブロックしています。
解決策:
ターゲットサーバーの
/etc/hosts.allowに Bastionhost の IP アドレスが含まれているか確認します。含まれていない場合は追加します。/etc/hosts.denyに Bastionhost の IP アドレスが含まれているか確認します。含まれている場合は削除します。Bastionhost とサーバーの間のネットワークデバイスが接続をブロックしていないか確認します。
詳細については、「Bastionhost のサーバーへの接続に関する問題」をご参照ください。
Permission denied
Permission denied, please try again以下の原因を確認してください:
| 考えられる原因 | 操作 |
|---|---|
| アカウントまたはパスワードが正しくない | Bastionhost でホストに設定されているログイン認証情報を確認してください。 |
| root ログインが無効になっている | root としてログインする場合は、ssh_config ファイルで PermitRootLogin=yes が設定されていることを確認してください。 |
| 追加のログイン制限 | /var/log/secure と /var/log/messages を確認し、二要素認証の要件などのログイン制限がないか調べてください。 |
SSH connect target failed
ssh connect target xx failed (ssh: rejected: administratively prohibited (open failed))このエラーは通常、プロキシサーバーのパスワードの有効期限切れなど、プロキシサーバーの接続問題が原因で発生します。プロキシサーバーの認証情報を確認し、必要に応じて更新してください。
RDP 運用保守のエラー
リモートデスクトップサービスの CAL リクエストの失敗
remote desktop service CALs request failed以下を確認してください:
| 考えられる原因 | 対処法 |
|---|---|
| リモートデスクトップライセンスの有効期限切れ | 別の Windows コンピューターからサーバーに直接接続して、リモートデスクトップライセンスの有効期限が切れていないか確認してください。 |
| リモートデスクトップ権限が無効になっている | サーバーでリモートデスクトップ権限が有効になっていることを確認してください。 |
NLA または TLS のセキュリティネゴシエーションの失敗
NLA or TLS security negotiation failure, Please check the username and passwordまず、Microsoft Terminal Services Client (MSTSC) を使用して Bastionhost をバイパスし、サーバーに直接接続して、正常にログインできるか確認します。それでもログインできない場合は、次のシナリオを使用してトラブルシューティングを行ってください。
シナリオ 1:Network Level Authentication (NLA) が強制されている
Windows システムのリモート設定で [ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する] が選択されているかどうかを確認します。選択されている場合、次のいずれかの条件に該当すると、Bastionhost を介した自動ログインは失敗します:
Windows アカウントとパスワードが Bastionhost でホストされていない。
ホストアカウントが運用保守担当者に付与されていない。
アカウントまたはパスワードが正しくない。
シナリオ 2:Remote Desktop Session Host サービスの有効期限が切れている
ECS インスタンスに Remote Desktop Session Host ロールサービスがインストールされているか確認します。このサービスをインストールすると、2 つを超える同時ログインが可能になります。サービスのライセンスの有効期限が切れると、サーバー証明書がローカルにキャッシュされたままであっても、デフォルトで RDP は利用できなくなります。
これをテストするには、複数の環境から接続します。マルチユーザーログインを設定するには、「Windows ECS インスタンスにマルチユーザーログインを設定する」をご参照ください。
シナリオ 3:標準アカウントが接続できない
Administrator アカウントのみが正常に接続でき、標準アカウントが接続できない場合、標準アカウントにはリモートアクセス権限がありません。デフォルトでは、管理者のみがこの権限を持っています。権限を付与するには、Windows システム設定の [リモート デスクトップ] でアカウントを追加します。
データベース運用保守のエラー
SQL Server:TDS ストリームのプロトコルエラー
[SQL Server Native Client 11.0] Protocol error in TDS stream (0)データベースサーバーの接続を閉じるか、Navicat を終了してから、再度開いてリトライしてください。エラーが解決しない場合は、別のデータベース接続ツールに切り替えてください。
不正なハンドシェイク
bad handshake以下の原因を確認してください:
| 考えられる原因 | 対処法 |
|---|---|
| ドメイン名と IP アドレスの不一致 | Bastionhost に保存されているデータベースアドレスはドメイン名です。接続する際は、IP アドレスではなくドメイン名を使用してください。 |
| データベースアカウント名にスペースが含まれている | データベースアカウント名からスペースを削除してください。 |
| Bastionhost とデータベース間のネットワーク切断 | ホワイトリストの設定を確認してください。 |
詳細については、「Bastionhost のデータベースへの接続に関する問題」をご参照ください。
Navicat 11:MySQL サーバーへの接続が失われました
Lost connection to MySQL server at 'reading initial communication packet', system error: 0Navicat 11 は、Bastionhost のデータベース運用保守機能と互換性がありません。Navicat for MySQL 12 または Navicat for MySQL 15 に切り替えてください。サポートされているツールとバージョンの完全なリストについては、「クライアントリモート接続ツールとサポートされているバージョン」をご参照ください。
DBeaver:不明なシステム変数 'transaction_isolation'
Unknown system variable 'transaction_isolation'DBeaver は MySQL 5.6 と互換性がありません。次のいずれかのオプションを使用して問題を解決してください:
接続のデータベースプロトコルドライバーを MariaDB に変更する。
Navicat データベース接続ツールに切り替える。
DBeaver:利用可能な認証方式がありません
Exhausted available authentication methods運用保守トークンの有効期限が切れています。新しいトークンをリクエストして再接続してください。
DBeaver:配列コピーが境界外です
arraycopy: last source index 262244 out of bounds for byteこのエラーは、DBeaver のバージョンの非互換性が原因で発生します。サポートされている接続ツールに切り替えてください。推奨されるツールとバージョンについては、「クライアントリモート接続ツールとサポートされているバージョン」をご参照ください。