トラブルシューティング

ユーザー権限がありません

ユーザーには、管理者によってポリシー・ステートメントを介したセキュリティ・アクセス権が付与されている必要があります。コンソール、REST APIとSDK、またはCLIのどちらを使用しているかにかかわらず、認可が必要です。権限がないか、または認可されていないというメッセージが表示された場合は、OCIテナンシ管理者に連絡して、アクセス権のタイプおよび作業するコンパートメントを確認してください。

データベース・ツール接続マネージャのポリシーの例:

allow group <group_name> to use virtual-network-family in compartment <compartment_name>
allow group <group_name> to read database-family in compartment <compartment_name>
allow group <group_name> to read autonomous-database-family in compartment <compartment_name>
allow group <group_name> to use vaults in compartment <compartment_name>
allow group <group_name> to use keys in compartment <compartment_name>
allow group <group_name> to manage secret-family in compartment <compartment_name>
allow group <group_name> to use database-tools-family in compartment <compartment_name>
allow group <group_name> to manage database-tools-connections in compartment <compartment_name>
allow group <group_name> to use database-tools-connections in compartment <compartment_name> 
where target.resource.id != <dbtools-connection-ocid>

関連項目:

• Oracle Database接続のIAMポリシー
• MySQL Database接続のIAMポリシー

指定されたコンパートメントが間違っています

コンソール内で、操作するデータベース・ツール接続またはプライベート・エンドポイントを含むコンパートメントを選択していることを確認します。また、管理者がそのコンパートメントのデータベース・ツール・リソースへのアクセス権を付与していることも確認してください。接続を作成したコンパートメントは、ターゲットのAutonomous Database、Oracleベース・データベースまたはMySQL DBシステムを含むコンパートメントと異なる場合があります。

新しいデータベース・ツール接続の問題の一般的な原因を確認します。

ユーザー入力またはデータベース・ユーザーの状態が正しくありません

新規接続を作成するには、作成プロセス中にユーザーからの入力または選択が必要です。次の詳細が接続に対して正しく選択または入力されていることを確認します。

• 接続文字列、ホストおよびTCPポート
• データベース・ユーザー名
• ボールト・サービスに格納されたデータベース・パスワード
• ボールト・サービスに格納されたWalletファイル

データベース・ユーザーは有効な状態である必要があります。この接続について次のことを確認します。

• データベース・ユーザーには、必要なすべてのデータベース権限または付与があります。
• データベース・ユーザー・パスワードの有効期限が切れていません
• データベース・ユーザー・アカウントがロックされていないか、無効になっています

可能な場合は、データベース・ユーザーが要塞を介してクラウド・シェル、SQLclまたはmysqlshなどの他のツールを使用して、同じ接続文字列および認証詳細を使用してデータベースにアクセスできるかどうかを確認します。

接続の表示または管理の詳細は、Oracle Cloud Infrastructure Consoleの使用を参照してください。

不正なネットワーキング構成

データベース・ツール・サービスでは、Oracle Cloud Infrastructure仮想クラウド・ネットワーク(VCN)を介してネットワーク・トラフィックを安全にルーティングすることで、テナンシ内のデータベースに接続できます。VCN、サブネット、適用可能なゲートウェイ、ルート表およびセキュリティ・リストまたはネットワーク・セキュリティ・グループを構成したら、データベースに接続するようにデータベース・ツール接続を構成できます。

ネットワークまたは接続タイムアウト関連のエラーまたはアクセスできないデータベース・ホストが発生した場合は、次の内容を確認する必要があります。

• 必要に応じて、プライベート・サブネット内のデータベースにアクセスするようにプライベート・エンドポイントが構成されていることを確認します。
• VCN構成で、データベース・ツール・サービス・トラフィックが、指定されたIPアドレスおよびTCPポートでターゲット・サブネットのデータベースに到達することを許可されていることを確認します。
• アクセス制御リスト(ACL)を持つパブリックIPアドレスを使用して共有されるADBの場合、許可されたアドレスまたは許可されたCIDRブロックのACLルールが正しく構成されていることを確認してください。
• 顧客管理型のOracleまたはMySQLデータベースの場合、ホスト・オペレーティング・システムで実行されるファイアウォールには、通常、ネットワーク・トラフィックがデータベース固有のTCPポートに到達できるようにするルールが必要です。
• セキュリティ属性およびZero Trust Packet Routing (ZPR)ポリシーが構成されている場合は、必要な属性がデータベース・ツールのプライベート・エンドポイントやVCNsなどの関連リソースに正しく割り当てられていることを確認します。また、ZPRポリシーがリソースを正しく参照していることも確認します。値が欠落しているか正しく構成されていない場合、検証は一般的なタイムアウト・エラーで失敗します。詳細は、Zero Trust Packet Routing Policyを参照してください。

プライベート・エンドポイントの使用の詳細は、データベース・ツールでのプライベート・エンドポイントの使用を参照してください。仮想クラウド・ネットワークの構成の詳細は、VCNsおよびサブネットの概要を参照してください。

データベースの状態/構成が正しくありません

データベース・ツール・サービスは、データベース・サービスまたはデータベース構成を管理しません。データベース管理者に問い合せて、ターゲット・データベースを確認します。

• 正しく構成され、起動されます。
• 新しい接続を受け入れています。

プロキシ・ユーザーがプロキシ・クライアントとして接続する権限がありません

データベース・ツール・サービスは、Oracle Database接続のプロキシ・セッション・サポートを提供します。つまり、プロキシ・ユーザーを使用してパスワードを知ることなく、他のデータベース・ユーザーに接続します。

プロキシ・ユーザー関連のエラーが発生した場合は、次の内容を確認する必要があります。

• プロキシ・ユーザー・アカウントを正しく構成し、ユーザーによる接続を認可します。Oracle Databasesのプロキシ・ユーザー認証および接続方法のドキュメントを参照してください。
• プロキシ認証を有効にし、プロキシ・クライアント・データベースのユーザー名とパスワードを構成します。
• プロキシ・クライアント・データベースのユーザー名とパスワードが正しいことを確認してください。

ユーザー権限の取消しまたは変更

接続の作成後に、IAMポリシー、グループ・メンバーシップまたはデータベース・ユーザー権限が変更される可能性があります。テナンシ管理者およびデータベース管理者に確認して、次を確認します:

• グループ・メンバーシップの変更、IAMポリシーの変更またはコンパートメントの変更により、OCIユーザーはアクセスを失いませんでした。
• ロールまたは権限が変更されたため、データベース・ユーザーはアクセスを失いませんでした。

ネットワーク構成が変更されました

データベース・ツール接続が以前データベースと通信できていたが、突然ネットワーク関連の問題がレポートされた場合、データベースの状態または後続のVCN構成の変更が原因である可能性があります。

• データベース・サービスが実行され、TCP接続が受け入れられていることを確認します。
• ターゲット・サブネットまたはVCN構成で変更が行われたかどうかを確認します。
• VCN構成で、データベース・ツールのサービス・トラフィックが、指定されたIPアドレスおよびTCPポートでターゲット・サブネット内のデータベースに到達することを許可していることを確認します。
• アクセス制御リスト(ACL)を持つパブリックIPアドレスを使用して共有されるADBの場合、許可されたアドレスのACLルールが正しく構成されていることを確認してください。
• 顧客管理OracleまたはMySQLデータベースの場合は、ホスト・オペレーティング・システムで実行されているファイアウォール(該当する場合)で、データベース固有のTCPポートへのアクセスが許可されていることを確認します。

• セキュリティ属性およびZPRポリシーが構成されている場合は、属性値が変更されておらず、ポリシー・ルールと一致していることを確認します。値が一致しないため、作業中の接続が失敗することがあります。詳細は、Zero Trust Packet Routing Policyを参照してください。

プライベート・エンドポイントの使用の詳細は、データベース・ツールでのプライベート・エンドポイントの使用を参照してください。仮想クラウド・ネットワークの構成の詳細は、VCNsおよびサブネットの概要を参照してください。

データベース構成が変更されました

接続の作成後にデータベース構成が変更された可能性があります。データベース構成またはユーザー認証の詳細への変更は、データベース・ツール・サービスによって管理されず、接続で更新する必要がある場合があります。

次のいずれかが発生したかどうかを確認し、データベース、データベース・ユーザーまたはデータベース・ツールの接続を適宜更新します。

• データベース・ユーザーは削除されたか、権限が取り消されましたか。
• データベース・ユーザー・アカウントはロックされていますか、それともパスワードが期限切れですか。
• ADB共有データベースの場合、インスタンスまたはリージョナル・ウォレットはローテーションされましたか。(この場合、ボールト・シークレットで更新する必要があります)
• PDBは削除されましたか。
• データベース・インスタンスは、非アクティブなために停止または一時停止されていますか。

接続の更新の詳細は、Oracle Cloud Infrastructure Consoleの使用を参照してください。

ORA-20000: データベース・プロパティSSL_WALLETが見つかりません

ORA-20000: Database property SSL_WALLET not foundエラー・メッセージは、Oracle Databaseシステムの基本インストールでアイデンティティ検証操作が失敗すると表示されます。これは、必要な証明書またはウォレットを設定していないことを示します。証明書を使用したSSL Walletの作成を参照してください。

アイデンティティがOCIサービスにアクセスできません

アイデンティティ・リソースがOCIサービスにアクセスできるように、必要な動的グループおよびポリシーが設定されていることを確認します。動的グループおよびポリシーを参照してください。

ポリシーを更新した後、データベース・ツールのアイデンティティをリフレッシュする必要があります。アイデンティティのリフレッシュを参照してください。

アイデンティティのライフサイクル状態は、FAILEDまたはNEEDS_ATTENTIONです

作業リクエストを確認し、失敗に関連するエラー・メッセージを特定します。

• アイデンティティがFAILED状態の場合は、データベース・ツール接続に関連する問題の根本的な原因を特定し、解決してからアイデンティティを再作成します。
• アイデンティティがNEEDS_ATTENTION状態の場合、アイデンティティは自動的にリフレッシュされなくなります。問題の根本的な原因を特定し、解決してからアイデンティティをリフレッシュして、トークン・リフレッシュを開始します。

Oracleでは、アイデンティティ・リフレッシュでの障害を検出するための通知を作成することをお薦めします。アイデンティティ・リフレッシュの監視を参照してください。

TCPSのみのポートに対するTCP (TCPSではない)の使用

TCPはリセットされ、必要なSSLハンドシェイクを実行できません。

トークン認証にはTLSが必要であるため、接続ではTCPSを使用する必要があります。protocol=tcpsを使用するようにJDBC URLを更新し、必要なウォレットまたはSSL設定を構成します。

JDBC URLのssl_server_cert_dnが無効です

JDBC URLのssl_server_cert_dnで、間違った証明書識別名が指定されています(たとえば、リージョン、ホスト名、サービスが正しくありません)。

トークン・ベース認証では、識別名(DN)照合を有効にする必要があります。

トークン・スコープ文字列が無効です

IAMデータベース・トークン・スコープが無効であるため、ドライバは有効なデータベース・トークンをアタッチできません。

database-connectionsのIAMポリシー・ステートメントを確認するか、iam.db.token.scope拡張プロパティに有効なスコープを指定してください。

DN一致は無効です(ssl_server_dn_match=no)

DN一致はトークン・ベース認証に必要であり、有効にする必要があります。

IAMデータベース・トークン・スコープがありません(null)

データベース・トークンを生成するにはスコープが必要です。スコープがnullの場合、トークンの生成は失敗します。

database-connectionsのIAMポリシー・ステートメントを確認するか、iam.db.token.scope拡張プロパティに有効なスコープを指定してください。

IAMデータベース・トークン・スコープがポリシーまたはテナンシと一致しません

スコープが予期されたデータベース・テナンシまたはポリシーと一致しないため、トークンは拒否されます。

database-connectionsのIAMポリシー・ステートメントを確認するか、iam.db.token.scope拡張プロパティに有効なスコープを指定してください。

データベースでIAM認証が無効になっています/ IAMポリシーがないか、不十分です/プリンシパルがグローバル・データベース・ユーザーにマップされていません

データベースはIAMベースのログインを拒否しました。次の場合に発生します。

• IAM認証がデータベースで有効になっていません。
• IAMポリシーでは、プリンシパルに十分な権限が付与されていません。
• IAMプリンシパルがグローバル・データベース・ユーザーにマップされていません。

表示されるエラーに基づいて、次のことを確認します。

• IAM外部認証の有効化がOCI_IAMに設定されています。
• IAMプリンシパルにグローバル・スキーマ・マッピングが存在することを確認します。グローバル・データベース・ユーザーの作成を参照してください

• use database-connectionsのIAMポリシー・ステートメントが、データベース・トークンのリクエストに使用される iam.db.token.scope拡張プロパティと一致していることを確認します。

TLSウォレット・パスが正しくないか、ウォレットがありません

ウォレット・ディレクトリが存在しないか、読取り可能ではありません。

データベース・バージョンはトークン認証をサポートしていません

古いデータベース・バージョンでは、必要なトークン認証機能がサポートされていない可能性があります。

認証の失敗(401未認可)

OAuthまたは個人アクセス・トークンが無効または期限切れです。

• 新しいトークンを再認証および取得します。
• トークンの有効期限設定を確認します。
• 認証ヘッダー形式が正しいことを確認してください(Bearer <token>)

認可エラー(403禁止)

MCP_User、MCP_Operatorなどの必須アプリケーション・ロールがありません。

• 適切なIAMアプリケーション・ロールが割り当てられていることを確認します。
• アイデンティティ・ドメインのロール・マッピングを確認します。

MCPサーバーにアクセスできません

ネットワークまたは構成の問題。

• MCPサーバーURLが正しいことを確認します。
• クライアント環境がHTTPS経由でMCPサーバーおよびOAuthエンドポイントに到達できることを確認します。

MCPクライアント接続の問題

クライアントの登録または構成が正しくありません。

• クライアントが同じアイデンティティ・ドメインに正しく登録されていることを確認します。
• クライアント・タイプ(パブリック、機密または信頼できる)を確認します。
• リダイレクトURIおよび許可されるスコープを確認します。

ネットワークACLを使用したADB-Sへの接続は、Free Tierアカウントではサポートされていません

Free Tierアカウントを使用しており、Oracle Services NetworkでOCIサービスへのアクセス権を付与するネットワーク・アクセス・ルールを使用して、Autonomous Database–Shared (ADB-S)への接続を作成しようとしています。

原因: ADB-Sのネットワーク・アクセス制御リスト(ACL)機能では、Oracle Services NetworkでOCIサービスへのアクセス権を付与するネットワーク・アクセス・ルールがサポートされていません。回避策として、プライベート・エンドポイントを使用して接続を作成し、アクセス制御ルールをADB-Sインスタンスに追加して、プライベート・エンドポイントの逆接続ソースIPからのトラフィックを許可します。リバース接続ソースIPはプライベートIPアドレスであるため、ADB-SのパブリックIPに接続するには、サービス・ゲートウェイまたはNAT Gatewayを使用する必要があります。Free Tierアカウントは、VCNs内にサービス・ゲートウェイまたはNAT Gatewayを作成することは許可されておらず、ネットワークACLを使用してADB-Sインスタンスにアクセスすることはできません。

データベース・ツールのIAM認証済接続では、Instance Principalはサポートされていません。