Arbeiten mit Self Managed Active Directory mit einer Amazon RDS for SQL Server-DB-Instance - Amazon Relational Database Service
Verfügbarkeit von Regionen und VersionenEinschränkungenÜbersicht über die Einrichtung eines selbstverwalteten Active DirectoryGrundlegendes zur Mitgliedschaft in einer selbstverwalteten Active-Directory-DomainWiederherstellen einer DB-Instance und Hinzufügen zu einer selbstverwalteten Active-Directory-Domain

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit Self Managed Active Directory mit einer Amazon RDS for SQL Server-DB-Instance

Sie können Ihre RDS vier SQL Server-DB-Instances direkt mit Ihrer selbstverwalteten Active Directory (AD) -Domäne verbinden, unabhängig davon, wo Ihr AD gehostet wird: in Unternehmensrechenzentren AWS EC2, auf oder bei anderen Cloud-Anbietern. Mit selbstverwaltetem AD verwenden Sie die NTLM Authentifizierung, um die Authentifizierung von Benutzern und Diensten auf Ihren RDS vier SQL Server-DB-Instances direkt zu steuern, ohne zwischengeschaltete Domänen und Forest Trusts zu verwenden. Wenn sich Benutzer mit einer RDS for SQL Server-DB-Instance authentifizieren, die zu Ihrer selbstverwalteten AD-Domäne gehört, werden Authentifizierungsanforderungen an eine von Ihnen angegebene selbstverwaltete AD-Domäne weitergeleitet.

Themen

Verfügbarkeit von Regionen und Versionen

Amazon RDS unterstützt insgesamt die Verwendung NTLM von Self Managed AD for SQL Server AWS-Regionen.

Einschränkungen

Die folgenden Einschränkungen gelten für Self Managed AD for SQL Server.

  • NTLMist der einzige unterstützte Authentifizierungstyp. Die Kerberos-Authentifizierung wird nicht unterstützt. Wenn Sie die Kerberos-Authentifizierung verwenden müssen, können Sie AWS Managed AD anstelle von selbstverwaltetem AD verwenden.

  • Der Dienst Microsoft Distributed Transaction Coordinator (MSDTC) wird nicht unterstützt, da er eine Kerberos-Authentifizierung erfordert.

  • Ihre RDS vier SQL Server-DB-Instances verwenden nicht den Network Time Protocol (NTP) -Server Ihrer selbstverwalteten AD-Domäne. Sie verwenden stattdessen einen AWS NTP Dienst.

  • SQLSerververknüpfte Server müssen die SQL Authentifizierung verwenden, um eine Verbindung zu anderen RDS SQL For-Server-DB-Instances herzustellen, die zu Ihrer selbstverwalteten AD-Domäne gehören.

  • Einstellungen für Microsoft Group Policy Object (GPO) aus Ihrer selbstverwalteten AD-Domäne werden nicht auf RDS SQL Server-DB-Instances angewendet.

Übersicht über die Einrichtung eines selbstverwalteten Active Directory

Um selbstverwaltetes AD RDS für eine SQL Server-DB-Instance einzurichten, führen Sie die folgenden Schritte aus, die unter ausführlicher beschrieben werden: Einrichten eines selbstverwalteten Active Directory

In Ihrer AD-Domain:

  • Erstellen Sie eine Organisationseinheit.

  • Erstellen Sie einen AD-Domain-Benutzer.

  • Delegieren Sie die Kontrolle an den AD-Domain-Benutzer.

Aus dem AWS Management Console oderAPI:

  • Erstellen Sie einen AWS KMS Schlüssel.

  • Erstellen Sie mit AWS Secrets Manager ein Geheimnis.

  • Erstellen oder ändern Sie eine RDS for SQL Server-DB-Instance und fügen Sie sie Ihrer selbstverwalteten AD-Domäne hinzu.

Grundlegendes zur Mitgliedschaft in einer selbstverwalteten Active-Directory-Domain

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird die Instance ein Mitglied der selbstverwalteten AD-Domain. Die AWS Konsole zeigt den Status der selbstverwalteten Active Directory-Domänenmitgliedschaft für die DB-Instance an. Der Status der DB-Instance kann einer der folgenden sein:

  • joined – Die Instance ist Mitglied der AD-Domain.

  • joining – Die Instance ist gerade dabei, Mitglied der AD-Domain zu werden.

  • pending-join – Die Mitgliedschaft der Instance steht noch aus.

  • pending-maintenance-join— versucht, AWS die Instance während des nächsten geplanten Wartungsfensters zu einem Mitglied der AD-Domäne zu machen.

  • pending-removal – Das Entfernen der Instance von der AD-Domain steht noch aus.

  • pending-maintenance-removal— versucht, AWS die Instanz während des nächsten geplanten Wartungsfensters aus der AD-Domäne zu entfernen.

  • failed – Ein Konfigurationsproblem hat verhindert, dass die Instance der Domain beitreten konnte. Überprüfen und korrigieren Sie Ihre Konfiguration, bevor Sie den Befehl zu Änderung der Instance erneut ausführen.

  • removing – Die Instance wird gerade von der selbstverwalteten AD-Domain entfernt.

Eine Anfrage, Mitglied einer selbstverwalteten AD-Domain zu werden, kann wegen eines Netzwerkverbindungsproblems fehlschlagen. Es könnte beispielsweise sein, dass Sie eine DB-Instance erstellen oder eine vorhandene Instance ändern und der Versuch, die DB-Instance zu einem Mitglied einer selbstverwalteten AD-Domain zu machen, fehlschlägt. Geben Sie in diesem Fall entweder den Befehl zum Erstellen oder Ändern der DB-Instance neu aus oder ändern Sie die neu erstellte Instance, damit sie der selbstverwalteten AD-Domain beitreten kann.

Wiederherstellung einer SQL Server-DB-Instance und anschließendes Hinzufügen zu einer selbstverwalteten Active Directory-Domäne

Sie können einen DB-Snapshot wiederherstellen oder point-in-time recovery (PITR) für eine SQL Server-DB-Instance durchführen und sie dann zu einer selbstverwalteten Active Directory-Domäne hinzufügen. Wenn die DB-Instance wiederhergestellt wurde, ändern Sie die Instance, indem Sie den unter Schritt 6: Erstellen oder ändern Sie eine SQL Server-DB-Instance beschriebenen Prozess anwenden, um die DB-Instance einer selbstverwalteten AD-Domain hinzuzufügen.