Uso de Active Directory autoadministado con una instancia de base de datos de Amazon RDS para SQL Server - Amazon Relational Database Service
Disponibilidad en regiones y versionesLimitacionesDescripción general de la configuración de Active Directory autoadministradoDescripción de la suscripción a un dominio de Active Directory autoadministradoRestauración de una instancia de base de datos y adición de esta a un dominio de  Active Directory autoadministrado

Uso de Active Directory autoadministado con una instancia de base de datos de Amazon RDS para SQL Server

Puede unir sus instancias de base de datos de RDS para SQL Server directamente a su dominio autoadministrado de Active Directory (AD), independientemente de dónde esté alojado su AD: en centros de datos corporativos, en AWS EC2 o con otros proveedores de nube. Con AD autoadministrado, utiliza la autenticación NTLM para controlar directamente la autenticación de los usuarios y los servicios en sus instancias de base de datos de RDS para SQL Server sin utilizar dominios intermediarios ni relaciones de confianza entre bosques. Cuando los usuarios se autentican con una instancia de base de datos de RDS para SQL Server unida a su dominio de AD autoadministrado, las solicitudes de autenticación se reenvían al dominio de AD autoadministrado que usted especifique.

Temas

Disponibilidad en regiones y versiones

Amazon RDS admite AD autoadministrado para SQL Server mediante NTLM en todas las Regiones de AWS.

Limitaciones

Se aplican las siguientes limitaciones al AD autoadministrado para SQL Server.

  • NTLM es el único tipo de autenticación admitido. No se admite la autenticación Kerberos. Si necesita usar la autenticación Kerberos, puede usar AWS Managed AD en lugar de AD autoadministrado.

  • No se admite el servicio Coordinador de transacciones distribuidas (MSDTC) de Microsoft, ya que requiere la autenticación Kerberos.

  • Sus instancias de base de datos de RDS para SQL Server no utilizan el servidor de Network Time Protocol (NTP) de su dominio de AD autoadministrado. En cambio, utilizan un servicio NTP de AWS.

  • Los servidores enlazados de SQL Server deben usar la autenticación SQL para conectarse a otras instancias de base de datos de RDS para SQL Server unidas a su dominio de AD autoadministrado.

  • La configuración del objeto de política de grupo (GPO) de Microsoft de su dominio de AD autoadministrado no se aplica a las instancias de base de datos de RDS de SQL Server.

Descripción general de la configuración de Active Directory autoadministrado

Para configurar AD autoadministrado para una instancia de base de datos de RDS para SQL Server, siga los siguientes pasos, que se explican con más detalle en Configuración de Active Directory autoadministrado:

En el dominio de AD:

  • Cree una unidad organizativa (OU).

  • Crear un usuario de dominio de AD.

  • Delegue el control al usuario del dominio de AD.

Desde la AWS Management Console o la API:

  • Crea una clave de AWS KMS.

  • Cree un secreto con AWS Secrets Manager.

  • Cree o modifique una instancia de base de datos de RDS para SQL Server y únala a su dominio de AD autoadministrado.

Descripción de la suscripción a un dominio de Active Directory autoadministrado

Una vez que haya creado o modificado una instancia de base de datos, esta se convierte en miembro del dominio de AD autoadministrado. La consola de AWS indica el estado de la suscripción del dominio de Active Directory autoadministrado para la instancia de base de datos. El estado de la instancia de base de datos puede ser uno de los siguientes:

  • joined: la instancia es miembro del dominio de AD.

  • joining: la instancia está en el proceso de convertirse en miembro del dominio de AD.

  • pending-join: la suscripción de la instancia está pendiente.

  • pending-maintenance-join: AWS intentará convertir la instancia en miembro del dominio de AD durante el próximo período de mantenimiento programado.

  • pending-removal: la eliminación de la instancia del dominio de AD está pendiente.

  • pending-maintenance-removal: AWS intentará eliminar la instancia del dominio de AD durante el próximo período de mantenimiento programado.

  • error: un problema de configuración ha impedido que la instancia se una al dominio de AD. Compruebe y corrija la configuración antes de volver a ejecutar el comando para modificar la instancia.

  • removing: la instancia se está eliminando del dominio de AD autoadministrado.

Una solicitud para convertirse en miembro de un dominio de AD autoadministrado puede generar un error a causa de un problema de conectividad de la red. Por ejemplo, puede crear una instancia de base de datos o modificar una instancia existente y que se produzca un error al intentar que la instancia de base de datos se convierta en miembro de un dominio de AD autoadministrado. En este caso, vuelva a emitir el comando para crear o modificar la instancia de base de datos o modificar la instancia recién creada para unirse al dominio de AD autoadministrado.

Restauración de una instancia de base de datos de SQL Server y adición de esta a un dominio de  Active Directory autoadministrado

Puede restaurar una instantánea de base de datos o realizar una recuperación en un momento dado (PITR) para una instancia de base de datos de SQL Server y, a continuación, añadirla a un dominio de Active Directory autoadministrado. Una vez que la instancia de base de datos se haya restaurado, modifíquela con el proceso que se explica en Paso 6: Crear o modificar una instancia de base de datos de SQL Server para agregar la instancia de base de datos a un dominio de AD autoadministrado.