# Uso de Active Directory con RDS para SQL Server
<a name="User.SQLServer.ActiveDirectoryWindowsAuth"></a>

Puede unir una instancia de base de datos de RDS para SQL Server a un dominio de Microsoft Active Directory (AD). El dominio de AD se puede alojar en un AD administrado de AWS dentro de AWS o en un AD autoadministrado en la ubicación que elija, incluidos los centros de datos corporativos, en AWS EC2 o con otros proveedores de nube.

Puede autenticar a los usuarios del dominio mediante la autenticación NTLM y Kerberos con Active Directory autoadministrado y AWS Managed Microsoft AD.

En las siguientes secciones, puede encontrar información sobre cómo trabajar con Active Directory autoadministrado y Active Directory administrado por AWS para Microsoft SQL Server en Amazon RDS.

**Topics**
+ [Uso de Active Directory autoadministrado con una instancia de base de datos de Amazon RDS para SQL Server](USER_SQLServer_SelfManagedActiveDirectory.md)
+ [Uso de AWS Managed Active Directory con RDS para SQL Server](USER_SQLServerWinAuth.md)

# Uso de Active Directory autoadministrado con una instancia de base de datos de Amazon RDS para SQL Server
<a name="USER_SQLServer_SelfManagedActiveDirectory"></a>

Amazon RDS para SQL Server se integra perfectamente con el dominio autoadministrado de Active Directory (AD), independientemente de dónde esté alojado el AD, ya sea en el centro de datos, en Amazon EC2 o con otros proveedores de nube. Esta integración permite la autenticación directa de los usuarios mediante los protocolos NTLM o Kerberos, lo que elimina la necesidad de dominios intermediarios complejos o de confianza entre bosques. Cuando se conecta a la instancia de base de datos de RDS SQL Server, las solicitudes de autenticación se reenvían de forma segura al dominio de AD designado, lo que mantiene la estructura de administración de identidades existente y, al mismo tiempo, aprovecha las capacidades de base de datos administrada de Amazon RDS.

**Topics**
+ [Disponibilidad en regiones y versiones](#USER_SQLServer_SelfManagedActiveDirectory.RegionVersionAvailability)
+ [Requisitos](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md)
+ [Consideraciones](#USER_SQLServer_SelfManagedActiveDirectory.Limitations)
+ [Configuración de Active Directory autoadministrado](USER_SQLServer_SelfManagedActiveDirectory.SettingUp.md)
+ [Unión de la instancia de base de datos a un Active Directory autoadministrado](USER_SQLServer_SelfManagedActiveDirectory.Joining.md)
+ [Administración de una instancia de base de datos en un dominio de Active Directory autoadministrado](USER_SQLServer_SelfManagedActiveDirectory.Managing.md)
+ [Descripción de la suscripción a un dominio de Active Directory autoadministrado](#USER_SQLServer_SelfManagedActiveDirectory.Understanding)
+ [Solución de problemas de Active Directory autoadministrado](USER_SQLServer_SelfManagedActiveDirectory.TroubleshootingSelfManagedActiveDirectory.md)
+ [Restauración de una instancia de base de datos de SQL Server y adición de esta a un dominio de  Active Directory autoadministrado](#USER_SQLServer_SelfManagedActiveDirectory.Restore)

## Disponibilidad en regiones y versiones
<a name="USER_SQLServer_SelfManagedActiveDirectory.RegionVersionAvailability"></a>

Amazon RDS admite AD autoadministrado para SQL Server mediante NTLM y Kerberos en todas las Regiones de AWS y AWS GovCloud (US) Regions comerciales.

# Requisitos
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements"></a>

Asegúrese de cumplir los siguientes requisitos antes de unir una instancia de base de datos de RDS para SQL Server a su dominio de AD autoadministrado.

**Topics**
+ [Configure su AD en las instalaciones](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.OnPremConfig)
+ [Configure la conectividad de red](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig)
+ [Configure su cuenta de servicio de dominio de AD](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig)
+ [Configuración de la comunicación segura a través de LDAPS](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.LDAPS)

## Configure su AD en las instalaciones
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.OnPremConfig"></a>

Asegúrese de tener un Microsoft AD en las instalaciones o de otro tipo autoadministrado al que pueda unirse a la instancia de Amazon RDS para SQL Server. Su AD en las instalaciones debe tener la siguiente configuración:
+ Si tiene sitios de AD definidos, asegúrese de que las subredes de la VPC asociadas a la instancia de base de datos de RDS para SQL Server estén definidas en el sitio de AD. Confirme que no haya ningún conflicto entre las subredes de la VPC y las subredes de sus otros sitios de AD.
+ El controlador de dominio de AD tiene un nivel funcional de dominio de Windows Server 2008 R2 o superior.
+ El nombre de dominio de AD no puede estar en formato de dominio de etiqueta única (SLD). RDS para SQL Server no admite dominios de SLD.
+ El nombre de dominio completo (FQDN) y su AD no pueden superar los 47 caracteres.

## Configure la conectividad de red
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig"></a>

Asegúrese de cumplir las siguientes configuraciones de red:
+ Configure la conectividad entre Amazon VPC donde desea crear la instancia de base de datos de RDS para SQL Server y el AD autoadministrado. Puede configurar la conectividad mediante AWS Direct Connect, AWS VPN, emparejamiento de VPC o AWS Transit Gateway.
+ En el caso de los grupos de seguridad de VPC, el grupo de seguridad predeterminado de la Amazon VPC predeterminada ya está agregado a la instancia de base de datos de RDS para SQL Server en la consola. Asegúrese de que el grupo de seguridad y las ACL de red de VPC de las subredes en las que va a crear su instancia de base de datos de RDS para SQL Server permitan el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.  
![\[Reglas de puerto de configuración de red de AD autoadministrado.\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/SQLServer_SelfManagedActiveDirectory_Requirements_NetworkConfig.png)

  En la siguiente tabla se identifica la función de cada puerto.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/USER_SQLServer_SelfManagedActiveDirectory.Requirements.html)
+ Por lo general, los servidores DNS de dominio se encuentran en los controladores de dominio de AD. No es necesario configurar el conjunto de opciones de DHCP de VPC para utilizar esta característica. Para obtener más información, consulte [Conjuntos de opciones de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) en la *Guía del usuario de Amazon VPC*.

**importante**  
Si utiliza ACL de red de VPC, también debe permitir el tráfico saliente en los puertos dinámicos (49152-65535) desde su instancia de base de datos de RDS para SQL Server. Asegúrese de que estas reglas de tráfico también se reflejen en los firewalls que se aplican a cada uno de los controladores de dominio de AD, los servidores DNS y las instancias de base de datos de RDS para SQL Server.  
Si bien los grupos de seguridad de VPC requieren que los puertos se abran solo en la dirección en la que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las ACL de red de VPC requieren que los puertos estén abiertos en ambas direcciones.

## Configure su cuenta de servicio de dominio de AD
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig"></a>

Asegúrese de cumplir los siguientes requisitos para la cuenta de servicio de dominio de AD:
+ Asegúrese de tener una cuenta de servicio de dominio de AD autoadministrado con permisos delegados para unir equipos al dominio. Una cuenta de servicio de dominio es una cuenta de usuario de su AD autoadministrado a la que se le ha delegado permiso para realizar determinadas tareas.
+ Los siguientes permisos se deben delegar en la cuenta de servicio de dominio en la unidad organizativa (OU) a la que va a unir su instancia de base de datos de RDS para SQL Server:
  + Capacidad validada para escribir en el nombre de host DNS
  + Capacidad validada para escribir en el nombre de entidad principal del servicio
  + Crear y eliminar objetos de equipo

  Estos representan el conjunto mínimo de permisos que se requieren para unir objetos del equipo al AD autoadministrado. Para obtener más información, consulte [Errors when attempting to join computers to a domain](https://learn.microsoft.com/en-US/troubleshoot/windows-server/identity/access-denied-when-joining-computers) en la documentación de Microsoft Windows Server.
+ Para usar la autenticación Kerberos, debe proporcionar nombres de entidades principales de servicio (SPN) y permisos de DNS a la cuenta de servicio de dominio de AD:
  + **Escribir SPN**: delegue el permiso **Escribir SPN** en la cuenta de servicio de dominio de AD en la unidad organizativa donde necesita unirse a la instancia de base de datos de RDS para SQL Server. Este permiso es diferente del SPN de escritura validado.
  + **Permisos de DNS**: proporcione los siguientes permisos a la cuenta de servicio de dominio de AD en el mánager de DNS por servidor del controlador de dominio:
    + Contenido de la lista
    + Lectura de todas las propiedades
    + Permisos de lectura

**importante**  
No mueva los objetos de equipo que RDS para SQL Server cree en la unidad organizativa después de crear la instancia de base de datos. Si mueve los objetos asociados, la instancia de base de datos de RDS para SQL Server se configurará mal. Si necesita mover los objetos de equipo creados por Amazon RDS, utilice la operación de API de RDS [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) para modificar los parámetros del dominio con la ubicación deseada de los objetos del equipo.

## Configuración de la comunicación segura a través de LDAPS
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.LDAPS"></a>

Se recomienda la comunicación a través de LDAPS para que RDS consulte y acceda a los objetos del equipo, así como a los SPN del controlador de dominio. Para utilizar un LDAP seguro, utilice un certificado SSL válido en el controlador de dominio que cumpla con los requisitos de un LDAPS seguro. Si no existe un certificado SSL válido en el controlador de dominio, la instancia de base de datos de RDS para SQL Server utilizará LDAP de forma predeterminada. Para obtener más información sobre la validez del certificado, consulte [Requisitos para un certificado de LDAPS](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/enable-ldap-over-ssl-3rd-certification-authority#requirements-for-an-ldaps-certificate).

## Consideraciones
<a name="USER_SQLServer_SelfManagedActiveDirectory.Limitations"></a>

Al agregar una instancia de base de datos de RDS para SQL Server a un AD autoadministrado, tenga en cuenta lo siguiente:
+ Las instancias de base de datos se sincronizan con el servicio NTP de AWS y no con el servidor de tiempo del dominio de AD. Para las conexiones de bases de datos entre instancias de SQL Server vinculadas dentro del dominio de AD, solo puede realizar la autenticación de SQL y no la autenticación de Windows.
+ La configuración del objeto de política de grupo del dominio de AD autoadministrado no se propaga a las instancias de RDS para SQL Server.

# Configuración de Active Directory autoadministrado
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp"></a>

Para configurar un AD autoadministrado, siga estos pasos.

**Topics**
+ [Paso 1: Crear una unidad organizativa en el AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU)
+ [Paso 2: creación de una cuenta de servicio de dominio de AD en el AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser)
+ [Paso 3: delegación del control a la cuenta de servicio de dominio de AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl)
+ [Paso 4: Crear una clave de AWS KMS](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey)
+ [Paso 5: Crear un secreto de AWS](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret)

## Paso 1: Crear una unidad organizativa en el AD
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU"></a>

**importante**  
 Se recomienda crear una credencial de servicio y una OU dedicadas a esa unidad organizativa para todas las cuentas de AWS que posean una instancia de base de datos de RDS para SQL Server que se haya unido a su dominio de AD autoadministrado. Al crear credenciales de servicio u OU dedicadas, puede evitar conflictos de permisos y seguir el principio de privilegio mínimo. 

**Para crear una OU en su AD**

1. Conéctese a su dominio de AD como administrador de dominio.

1. Abra **Usuarios y equipos de Active Directory** y seleccione el dominio en el que desea crear la OU.

1. Haga clic con el botón derecho en el dominio y seleccione **Nuevo** y, a continuación, **Unidad organizativa**.

1. Escriba un nombre para la OU.

1. Mantenga la casilla seleccionada para **Proteger el contenedor contra la eliminación accidental**.

1. Haga clic en **OK (Aceptar)**. La nueva OU aparecerá en su dominio.

## Paso 2: creación de una cuenta de servicio de dominio de AD en el AD
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser"></a>

Las credenciales de la cuenta de servicio de dominio se utilizarán para el secreto en AWS Secrets Manager.

**Creación de una cuenta de servicio de dominio de AD en el AD**

1. Abra **Usuarios y equipos de Active Directory** y seleccione el dominio y la OU  en los que desea crear el usuario.

1. Haga clic con el botón derecho en el objeto **Usuarios** y seleccione **Nuevo** y, a continuación, **Usuario**.

1. Introduzca el nombre, los apellidos y el nombre de inicio de sesión del usuario. Haga clic en **Next (Siguiente)**.

1. Introduzca una contraseña para el usuario. No seleccione **El usuario debe cambiar la contraseña en el próximo inicio de sesión**. No seleccione **La cuenta está deshabilitada**. Haga clic en **Next (Siguiente)**.

1. Haga clic en **OK (Aceptar)**. El nuevo usuario aparecerá en su dominio.

## Paso 3: delegación del control a la cuenta de servicio de dominio de AD
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl"></a>

**Delegación del control a la cuenta de servicio de dominio de AD en el dominio**

1. Abra el complemento MMC **Usuarios y equipos de Active Directory** y seleccione el dominio en el que desea crear el usuario.

1. Haga clic con el botón derecho en la OU que creó anteriormente y seleccione **Delegar control**.

1. En **Asistente para delegación de control**, haga clic en **Siguiente**.

1. En la sección **Usuarios o grupos**, haga clic en **Agregar**.

1. En la sección **Seleccionar usuarios, equipos o grupos**, ingrese la cuenta de servicio de dominio de AD que creó y haga clic en **Verificar nombres**. Si la comprobación de la cuenta de servicio de dominio de AD se ha realizado correctamente, haga clic en **Aceptar**.

1. En la sección **Usuarios o grupos**, confirme que se ha agregado la cuenta de servicio de dominio de AD y haga clic en **Siguiente**.

1. En la página **Tareas que se delegarán**, seleccione **Crear una tarea personalizada para delegar** y haga clic en **Siguiente**.

1. En la sección **Tipo de objeto de Active Directory**:

   1. Elija **Solo los siguientes objetos de la carpeta**.

   1. Seleccione **Objetos computacionales**.

   1. Seleccione **Crear objetos seleccionados en esta carpeta**.

   1. Seleccione **Eliminar los objetos seleccionados en esta carpeta** y haga clic en **Siguiente**.

1. En la sección **Permisos**:

   1. Mantenga seleccionada la opción **General**.

   1. Seleccione **Escritura validada en el nombre de host DNS**.

   1. Seleccione **Escritura validada en el nombre de la entidad de servicio** y haga clic en **Siguiente**.

   1. Para habilitar la autenticación Kerberos, mantenga seleccionado **Property-specific** y seleccione **Escribir servicePrincipalName** de la lista.

1. Para **Completar el asistente para delegación de control**, revise y confirme la configuración y haga clic en **Finalizar**.

1. Para la autenticación Kerberos, abra el Administrador de DNS y abra las propiedades del **Servidor**.

   1. En el cuadro de diálogo de Windows, escriba `dnsmgmt.msc`.

   1. Agregue la cuenta de servicio de dominio de AD en la pestaña **Seguridad**.

   1. Seleccione el permiso de **lectura** y aplique los cambios.

## Paso 4: Crear una clave de AWS KMS
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey"></a>

La clave de KMS se utiliza para cifrar el secreto de AWS.

**Para crear una clave de AWS KMS**
**nota**  
 En **Clave de cifrado**, no utilice la clave de KMS predeterminada de AWS. Asegúrese de crear la clave de AWS KMS en la misma cuenta de AWS que contiene la instancia de base de datos de RDS para SQL Server que desea unir a su AD autoadministrado. 

1. En la consola de AWS KMS, elija **Crear API**.

1. En **Tipo de clave**, elija **Simétrica**.

1. Para **Uso de claves**, elija **Cifrar y descifrar**.

1. Para **Advanced options (Opciones avanzadas)**:

   1. En **Origen del material de claves**, elija **Externo**.

   1. Para **Regionalidad**, elija **Clave de región única** y haga clic en **Siguiente**.

1. Para **Alias**, proporcione un nombre para la clave de KMS.

1. (Opcional) En **Description**, proporcione una descripción de la clave de KMS.

1. (Opcional) En **etiquetas**, introduzca una etiqueta para la clave KMS, y haga clic en **Siguiente**.

1. En **Administradores de claves**, proporcione el nombre de un usuario de IAM y selecciónelo.

1. En **Eliminación de la clave**, mantenga seleccionada la casilla **Permitir que los administradores de claves eliminen esta clave** y haga clic en **Siguiente**.

1. En **Usuarios de clave**, proporcione el mismo usuario de IAM del paso anterior y selecciónelo. Haga clic en **Next (Siguiente)**.

1. Revise la configuración.

1. Para **Política de claves**, incluya lo siguiente en la política **Instrucción**:

   ```
   {
       "Sid": "Allow use of the KMS key on behalf of RDS",
       "Effect": "Allow",
       "Principal": {
           "Service": [
               "rds.amazonaws.com"
           ]
       },
       "Action": "kms:Decrypt",
       "Resource": "*"
   }
   ```

1. Haga clic en **Finish (Finalizar)**.

## Paso 5: Crear un secreto de AWS
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret"></a>

**Creación de un secreto**
**nota**  
 Asegúrese de crear la clave de en la misma cuenta de AWS que contiene la instancia de base de datos de RDS para SQL Server que desea unir a su AD autoadministrado. 

1. En AWS Secrets Manager, elija **Almacenar un nuevo secreto**.

1. En **Secret type** (Tipo de secreto), elija **Other type of secret** (Otro tipo de secreto).

1. En los **pares clave/valor**, añada sus dos claves:

   1. Para la primera clave, introduzca  `SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME`.

   1. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD. No incluya el nombre de dominio, ya que esto provocará un error en la creación de la instancia.

   1. Para la segunda clave, introduzca  `SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.

   1. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.

1. Para la **Clave de cifrado**, introduzca la clave de KMS que creó en el paso anterior y haga clic en **Siguiente**.

1. En **Nombre de secreto**, introduzca un nombre descriptivo que le ayude a buscar el secreto más adelante.

1. (Opcional) En **Descripción**, escriba una descripción del nombre del secreto.

1. En **Permisos de recursos**, haga clic en **Editar**.

1. Añada la siguiente política a la política de permisos:
**nota**  
Le recomendamos que utilice la `aws:sourceAccount` y las condiciones `aws:sourceArn` de la política para evitar el problema del *suplente confuso*. Utilice su Cuenta de AWS para `aws:sourceAccount` y el ARN de la instancia de base de datos de RDS para SQL Server para `aws:sourceArn`. Para obtener más información, consulte [Prevención de los problemas del suplente confuso entre servicios](cross-service-confused-deputy-prevention.md).

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement":
       [
           {
               "Effect": "Allow",
               "Principal":
               {
                   "Service": "rds.amazonaws.com"
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*",
               "Condition":
               {
                   "StringEquals":
                   {
                       "aws:sourceAccount": "123456789012"
                   },
                   "ArnLike":
                   {
                       "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                   }
               }
           }
       ]
   }
   ```

------

1. Haz clic en **Guardar** y, a continuación, en **Siguiente**.

1. En **Configurar los ajustes de rotación**, mantenga los valores predeterminados y seleccione **Siguiente**.

1. Revise la configuración del secreto y haga clic en **Guardar**.

1. Elija el secreto que creó y copie el valor del **ARN del secreto**. Esto se utilizará en el siguiente paso para configurar Active Directory autoadministrado.

# Unión de la instancia de base de datos a un Active Directory autoadministrado
<a name="USER_SQLServer_SelfManagedActiveDirectory.Joining"></a>

Para unir la instancia de base de datos de RDS para SQL Server al AD autoadministrado, siga estos pasos:

## Paso 1: crear o modificar una instancia de base de datos de SQL Server
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateModify"></a>

Puede utilizar la consola, la CLI o la API de RDS para asociar una instancia de base de datos de RDS para SQL Server a un dominio de AD autoadministrado. Puedes hacerlo de una de las siguientes formas:
+ Cree una nueva instancia de base de datos de SQL Server mediante la consola, el comando de la CLI [ create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) o la operación [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) de la API de RDS.

  Para obtener instrucciones, consulte [Creación de una instancia de base de datos de Amazon RDS](USER_CreateDBInstance.md).
+ Modifique una instancia de base de datos de SQL Server existente mediante la consola, el comando de la CLI [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) o la operación [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) de la API de RDS.

  Para obtener instrucciones, consulte [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md).
+ Restaure una instancia de base de datos de SQL Server a partir de una instantánea de base de datos mediante la consola, el comando de la CLI [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html) o la operación [RestoreDBInstanceFromDBSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html) de la API de RDS.

  Para obtener instrucciones, consulte [Restauración a una instancia de base de datos](USER_RestoreFromSnapshot.md).
+ Restaure una instancia de base de datos de SQL Server a un punto en el tiempo mediante la consola, el comando de la CLI [restore-db-instance-to-point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) o la operación [RestoreDBInstanceToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) de la API de RDS.

  Para obtener instrucciones, consulte [Restauración de una instancia de base de datos a un momento especificado para Amazon RDS](USER_PIT.md).

Si utiliza la AWS CLI, necesitará los siguientes parámetros para que la instancia de base de datos pueda usar el dominio de AD autoadministrado que ha creado:
+ Para el parámetro `--domain-fqdn`, utilice el nombre de dominio completo (FQDN) del AD autoadministrado.
+ Para el parámetro `--domain-ou`, utilice la OU que creó en su AD autoadministrado.
+ Para el parámetro `--domain-auth-secret-arn`, utilice el valor del **ARN del secreto** que creó en un paso anterior.
+ Para el parámetro `--domain-dns-ips`, utilice las direcciones IPv4 principal y secundaria de los servidores DNS de su AD autoadministrado. Si no tiene una dirección IP de servidor DNS secundaria, introduzca la dirección IP principal dos veces.

Los siguientes comandos de CLI de ejemplo muestran cómo crear, modificar y eliminar una instancia de base de datos de RDS para SQL Server con un dominio de AD autoadministrado.

**importante**  
Si modifica una instancia de base de datos para unirla a un dominio de AD autoadministrado o eliminarla de él, es necesario reiniciar la instancia de base de datos para que la modificación surta efecto. Puede optar por aplicar los cambios inmediatamente o esperar hasta el próximo período de mantenimiento. Si opta por **Aplicar inmediatamente**, provocará un tiempo de inactividad para las instancias de base de datos Single-AZ. Las instancias de base de datos Multi-AZ realizarán una conmutación por error antes de completar el reinicio. Para obtener más información, consulte [Uso de la configuración de la programación de modificaciones](USER_ModifyInstance.ApplyImmediately.md). 

El siguiente comando de CLI crea una nueva instancia de base de datos de RDS para SQL Server y la une a un dominio de AD autoadministrado.

Para Linux, macOS o Unix:

```
aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"
```

Para Windows:

```
aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"
```

El siguiente comando de la CLI modifica una instancia de base de datos de RDS para SQL Server existente para que utilice un dominio de AD autoadministrado.

Para Linux, macOS o Unix:

```
aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"
```

Para Windows:

```
aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"
```

El siguiente comando de la CLI elimina una instancia de base de datos de RDS para SQL Server de un dominio de AD autoadministrado.

Para Linux, macOS o Unix:

```
aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain
```

Para Windows:

```
aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain
```

## Paso 2: Uso de la autenticación Kerberos o NTLM
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.KerbNTLM"></a>

### Autenticación de NTLM
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.KerbNTLM.NTLM"></a>

Cada instancia de base de datos de Amazon RDS contiene un punto de conexión y cada punto de conexión contiene el nombre DNS y el número de puerto para la instancia de base de datos. Para conectarse a su instancia de base de datos mediante una aplicación cliente SQL, necesita el nombre DNS y el número de puerto para la instancia de base de datos. Para autenticarse mediante la autenticación de NTLM, debe conectarse al punto de conexión de RDS o al punto de conexión de oyente si utiliza una implementación multi-AZ.

Durante una interrupción del servicio no planificada o un mantenimiento planificado de la base de datos, Amazon RDS conmuta automáticamente a la base de datos secundaria actualizada para que las operaciones puedan reanudarse rápidamente sin intervención manual. Las instancias principal y secundaria usan el mismo punto de conexión, cuya dirección de red física cambia a la secundaria como parte del proceso de conmutación por error. No tiene que volver a configurar su aplicación cuando se produzca una conmutación por error.

### Autenticación de Kerberos
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.Kerb"></a>

La autenticación basada en Kerberos para RDS para SQL Server requiere que las conexiones se realicen a un nombre de entidad principal de servicio (SPN) específico. Sin embargo, tras un evento de conmutación por error, es posible que la aplicación no conozca el nuevo SPN. Para solucionar este problema, RDS para SQL Server ofrece un punto de conexión basado en Kerberos.

El punto de conexión basado en Kerberos sigue un formato específico. Si su punto de conexión de RDS es `rds-instance-name.account-region-hash.aws-region.rds.amazonaws.com`, el punto de conexión correspondiente basado en Kerberos sería `rds-instance-name.account-region-hash.aws-region.awsrds.fully qualified domain name (FQDN)`.

Por ejemplo, si el punto de conexión de RDS es `ad-test.cocv6zwtircu.us-east-1.rds.amazonaws.com` y el nombre de dominio es `corp-ad.company.com`, el punto de conexión basado en Kerberos sería `ad-test.cocv6zwtircu.us-east-1.awsrds.corp-ad.company.com`.

Este punto de conexión basado en Kerberos se puede usar para autenticarse con la instancia de SQL Server mediante Kerberos, incluso después de un evento de conmutación por error, ya que el punto de conexión se actualiza automáticamente para que apunte al nuevo SPN de la instancia principal de SQL Server.

### Cómo encontrar su CNAME
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CNAME"></a>

Para encontrar su CNAME, conéctese al controlador de dominio y abra **Administrador de DNS**. Navegue hasta **Zonas de búsqueda avanzada** y su FQDN.

Navegue por **awsrds**, **aws-region** y **hash específicos de la cuenta y la región.**

![\[Modificación de la cantidad de almacenamiento de una instancia de base de datos\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/kerb-endpoint-selfManagedAD-RDSMS.png)


Si después de conectar CNAME desde un cliente remoto, se devuelve una conexión NTLM, compruebe si los puertos necesarios están en la lista de permitidos.

Para comprobar si su conexión usa Kerberos, ejecute la siguiente consulta:

```
SELECT net_transport, auth_scheme
    FROM sys.dm_exec_connections
    WHERE session_id = @@SSPID;
```

Si la instancia devuelve una conexión de NTLM al conectarse a un punto de conexión de Kerberos, compruebe la configuración de la red y de los usuarios. Consulte [Configure la conectividad de red](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig).

## Paso 3: crear inicios de sesión de SQL Server de autenticación de Windows
<a name="USER_SQLServer_SelfManagedActiveDirectory.CreateLogins"></a>

Use las credenciales del usuario maestro de Amazon RDS para conectarse a la instancia de base de datos de SQL Server como lo haría con cualquier otra instancia de base de datos. Como la instancia de base de datos está unida al dominio de AD autoadministrado, puede aprovisionar inicios de sesión y usuarios de SQL Server. Para ello, utilice la utilidad de usuarios y grupos de AD de su dominio de AD autoadministrado. Los permisos de bases de datos se administran a través de los permisos de SQL Server estándar otorgados y revocados para estos inicios de sesión de Windows.

Para que una cuenta de servicio de dominio de AD autoadministrada se autentique con SQL Server, debe existir un inicio de sesión de Windows de SQL Server para la cuenta de servicio de dominio de AD autoadministrada o un grupo de AD autoadministrado del que el usuario sea miembro. El control detallado del acceso se gestiona mediante la concesión y la revocación de permisos en estos inicios de sesión de SQL Server. Una cuenta de servicio de dominio de AD autoadministrada que no tenga un inicio de sesión de SQL Server o no pertenezca a un grupo de AD autoadministrado con dicho inicio de sesión no puede tener acceso a la instancia de base de datos de SQL Server.

El permiso ALTER ANY LOGIN es necesario para crear un inicio de sesión de SQL Server de AD autoadministrado. Si todavía no ha creado ningún inicio de sesión con este permiso, conéctese como usuario maestro de la instancia de base de datos usando la autenticación de SQL Server y cree sus inicios de sesión de SQL Server de AD autoadministrado bajo el contexto del usuario maestro.

Puede ejecutar un comando de lenguaje de definición de datos (DDL), como el siguiente, para crear un inicio de sesión de SQL Server para una cuenta de servicio de dominio de AD autoadministrada o grupo.

**nota**  
Especifique usuarios y grupos con el nombre de inicio de sesión anterior a Windows 2000 en el formato `my_AD_domain\my_AD_domain_user`. No puede usar un nombre principal del usuario (UPN) en el formato *`my_AD_domain_user`*`@`*`my_AD_domain`*.

```
USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO
```

Para obtener más información, consulte [CREATE LOGIN (Transact-SQL)](https://msdn.microsoft.com/en-us/library/ms189751.aspx) (Crear inicio de sesión [Transact-SQL]) en la documentación de Microsoft Developer Network.

Los usuarios (tanto humanos como aplicaciones) del dominio pueden conectarse ahora a la instancia de RDS para SQL Server desde un equipo cliente unido al dominio de AD autoadministrado utilizando la autenticación de Windows.

# Administración de una instancia de base de datos en un dominio de Active Directory autoadministrado
<a name="USER_SQLServer_SelfManagedActiveDirectory.Managing"></a>

 Puede usar la consola, la AWS CLI o la API de Amazon RDS para administrar la instancia de base de datos y la relación con su dominio de AD autoadministrado. Por ejemplo, puede mover la instancia de base de datos dentro, fuera o entre dominios. 

 Por ejemplo, con la API de Amazon RDS puede hacer lo siguiente: 
+ Para volver a intentar una unión de dominio autoadministrado por una suscripción fallida, utilice la operación de API [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) y especifique el mismo conjunto de parámetros:
  + `--domain-fqdn`
  + `--domain-dns-ips`
  + `--domain-ou`
  + `--domain-auth-secret-arn`
+ Para eliminar una instancia de base de datos de un dominio autoadministrado, use la operación `ModifyDBInstance` de la API y especifique `--disable-domain` como parámetro del dominio.
+ Para mover una instancia de base de datos de un dominio autoadministrado a otro, use la operación `ModifyDBInstance` de la API y especifique los parámetros para el nuevo dominio.
  + `--domain-fqdn`
  + `--domain-dns-ips`
  + `--domain-ou`
  + `--domain-auth-secret-arn`
+ Para ver la suscripción de dominio de AD autoadministrado para cada instancia de base de datos, use la operación [DescribeDBInstances](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/DescribeDBInstances.html) de la API.

## Descripción de la suscripción a un dominio de Active Directory autoadministrado
<a name="USER_SQLServer_SelfManagedActiveDirectory.Understanding"></a>

Una vez que haya creado o modificado la instancia de base de datos al especificar detalles de AD, esta se convierte en miembro del dominio de AD autoadministrado. La consola de AWS indica el estado de la suscripción del dominio de Active Directory autoadministrado para la instancia de base de datos. El estado de la instancia de base de datos puede ser uno de los siguientes: 
+  **joined**: la instancia es miembro del dominio de AD.
+  **joining**: la instancia está en el proceso de convertirse en miembro del dominio de AD.
+  **pending-join**: la suscripción de la instancia está pendiente.
+  **pending-maintenance-join**: AWS intentará convertir la instancia en miembro del dominio de AD durante el próximo período de mantenimiento programado.
+  **pending-removal**: la eliminación de la instancia del dominio de AD está pendiente.
+  **pending-maintenance-removal**: AWS intentará eliminar la instancia del dominio de AD durante el próximo período de mantenimiento programado.
+  **error**: un problema de configuración ha impedido que la instancia se una al dominio de AD. Compruebe y corrija la configuración antes de volver a ejecutar el comando para modificar la instancia.
+  **removing**: la instancia se está eliminando del dominio de AD autoadministrado.

**importante**  
Una solicitud para convertirse en miembro de un dominio de AD autoadministrado puede generar un error a causa de un problema de conectividad de la red. Por ejemplo, puede crear una instancia de base de datos o modificar una instancia existente y que se produzca un error al intentar que la instancia de base de datos se convierta en miembro de un dominio de AD autoadministrado. En este caso, vuelva a emitir el comando para crear o modificar la instancia de base de datos o modificar la instancia recién creada para unirse al dominio de AD autoadministrado.

# Solución de problemas de Active Directory autoadministrado
<a name="USER_SQLServer_SelfManagedActiveDirectory.TroubleshootingSelfManagedActiveDirectory"></a>

Los siguientes son los problemas que pueden surgir al configurar o modificar el AD autoadministrado.


****  

| Código de error | Descripción | Causas habituales | Sugerencias para la solución de problemas | 
| --- | --- | --- | --- | 
| Error 2 / 0x2 | El sistema no puede encontrar el archivo especificado. | El formato o la ubicación de la unidad organizativa (OU) especificados con el parámetro `—domain-ou` no es válido. La cuenta de servicio de dominio especificada mediante AWS Secrets Manager carece de los permisos necesarios para unirse a la OU. | Revise el parámetro `—domain-ou`. Asegúrese de que la cuenta de servicio de dominio tenga los permisos correctos para la OU. Para obtener más información, consulte [Configure su cuenta de servicio de dominio de AD](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md#USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig).  | 
| Error 5 / 0x5 | Se deniega el acceso. | Los permisos de la cuenta de servicio del dominio están mal configurados o la cuenta del equipo ya existe en el dominio. | Revise los permisos de la cuenta de servicio del dominio y compruebe que la cuenta del equipo de RDS no esté duplicada en el dominio. Para comprobar el nombre de la cuenta del equipo de RDS, ejecute `SELECT @@SERVERNAME` en su instancia de base de datos de RDS para SQL Server. Si utiliza Multi-AZ, intente reiniciar con conmutación por error y, a continuación, compruebe de nuevo la cuenta del equipo de RDS. Para obtener más información, consulte [Reinicio de una instancia de base de datos ](USER_RebootInstance.md). | 
| Error 87 / 0x57 | El parámetro es incorrecto. | La cuenta de servicio de dominio especificada mediante AWS Secrets Manager no tiene los permisos correctos. El perfil de usuario también podría estar dañado. | Revise los requisitos de la cuenta de servicio de dominio. Para obtener más información, consulte [Configure su cuenta de servicio de dominio de AD](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md#USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig).  | 
| Error 234 / 0xEA | La unidad organizativa (OU) especificada no existe. | La unidad organizativa especificada con el parámetro `—domain-ou` no existe en su AD autoadministrado. | Revise el parámetro `—domain-ou` y asegúrese de que la unidad organizativa especificada exista en su AD autoadministrado. | 
| Error 1326 / 0x52E | El nombre de usuario o la contraseña es incorrecto. | Las credenciales de la cuenta de servicio de dominio proporcionadas en AWS Secrets Manager contienen un nombre de usuario desconocido o una contraseña incorrecta. La cuenta de dominio también podría estar deshabilitada en su AD autoadministrado. | Asegúrese de que las credenciales proporcionadas en AWS Secrets Manager sean correctas y de que la cuenta de dominio esté habilitada en el AD autoadministrado. | 
| Error 1355 / 0x54B | El dominio especificado no existe o no se pudo contactar con él. | El dominio está inactivo, no se puede acceder al conjunto especificado de IP de DNS o no se puede acceder al FQDN especificado. | Revise los parámetros `—domain-dns-ips` y `—domain-fqdn`  para asegurarse de que son correctos. Revise la configuración de red de su instancia de base de datos de RDS para SQL Server y asegúrese de que sea posible acceder a su AD autoadministrado. Para obtener más información, consulte [Configure la conectividad de red](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig).  | 
| Error 1772/0x6BA | El servidor RPC no está disponible. | Se ha producido un problema al acceder al servicio de RPC de su dominio de AD. Puede deberse a un problema de red o de servicio. | Valide que el servicio de RPC se esté ejecutando en sus controladores de dominio y que se pueda acceder a los puertos de TCP `135` y `49152-65535` en su dominio desde su instancia de base de datos de RDS para SQL Server. | 
|  Error 1727/0x6BF  |  La llamada al procedimiento remoto produjo un error y no se ejecutó.  |  Un problema de conectividad de red o una restricción del firewall bloquean la comunicación del RPC con el controlador de dominio.  |  Si utiliza la unión de dominios entre VPC, compruebe que la comunicación entre VPC esté configurada correctamente con el emparejamiento de VPC o con Transit Gateway. Asegúrese de que se pueda acceder a los puertos altos `49152-65535` de TCP en el dominio desde la instancia de base de datos de RDS para SQL Server, incluidas las posibles restricciones de firewall.  | 
| Error 2224 / 0x8B0 | La cuenta de usuario ya existe. | La cuenta de equipo que se intenta añadir al AD autoadministrado ya existe. | Para identificar la cuenta del equipo, ejecute `SELECT @@SERVERNAME` en su instancia de base de datos de RDS para SQL Server y, a continuación, elimínela cuidadosamente de su AD autoadministrado. | 
| Error 2242 / 0x8c2 | La contraseña de este usuario ha caducado. | La contraseña de la cuenta de servicio de dominio especificada a través de AWS Secrets Manager ha caducado. | Actualice la contraseña de la cuenta de servicio de dominio utilizada para unir su instancia de base de datos de RDS para SQL Server a su AD autoadministrado. | 

Tras unir la instancia de base de datos a un dominio de Active Directory autoadministrado, es posible que reciba eventos de RDS relacionados con el estado del dominio.

```
Unhealthy domain state detected while attempt to verify or 
configure your Kerberos endpoint in your domain on 
node node_n. message
```

En el caso de las instancias multi-AZ, es posible que observe el error que aparece en el node1 y en el node2, lo que indica que la configuración de Kerberos de la instancia no está preparada para la conmutación por error. En caso de que se produzca una conmutación por error, es posible que tenga dificultades de autenticación con Kerberos. Resuelva los problemas de configuración para garantizar que la configuración de Kerberos sea válida y esté actualizada. En el caso de las instancias multi-AZ, no es necesario realizar ninguna acción para utilizar la autenticación Kerberos en el nuevo host principal, ya que todas las configuraciones de red y permisos están implementadas.

En las instancias single-AZ, el node1 es el nodo principal. Si la autenticación de Kerberos no funciona según lo esperado, compruebe los eventos de la instancia y resuelva los problemas de configuración para asegurarse de que la configuración de Kerberos es válida y está actualizada.

## Restauración de una instancia de base de datos de SQL Server y adición de esta a un dominio de  Active Directory autoadministrado
<a name="USER_SQLServer_SelfManagedActiveDirectory.Restore"></a>

Puede restaurar una instantánea de base de datos o realizar una recuperación en un momento dado (PITR) para una instancia de base de datos de SQL Server y, a continuación, añadirla a un dominio de Active Directory autoadministrado. Una vez que la instancia de base de datos se haya restaurado, modifíquela con el proceso que se explica en [Paso 1: crear o modificar una instancia de base de datos de SQL Server](USER_SQLServer_SelfManagedActiveDirectory.Joining.md#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateModify) para agregar la instancia de base de datos a un dominio de AD autoadministrado.

# Uso de AWS Managed Active Directory con RDS para SQL Server
<a name="USER_SQLServerWinAuth"></a>

Puede usar AWS Managed Microsoft AD para autenticar a los usuarios con autenticación de Windows cuando se conecten a su instancia de base de datos de RDS para SQL Server. La instancia de base de datos funciona con AWS Directory Service for Microsoft Active Directory, también denominado AWS Managed Microsoft AD, para habilitar la autenticación de Windows. Cuando los usuarios se autentican con una instancia de base de datos de SQL Server unida al dominio de confianza, las solicitudes de autenticación se reenvían al directorio de dominio que se ha creado con Directory Service. 

## Disponibilidad en regiones y versiones
<a name="USER_SQLServerWinAuth.RegionVersionAvailability"></a>

Amazon RDS solo admite el uso de AWS Managed Microsoft AD para la autenticación de Windows. RDS no admite el uso de AD Connector. Para obtener más información, consulte los siguientes temas:
+ [Política de compatibilidad de las aplicaciones para AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_app_compatibility.html)
+ [Política de compatibilidad de las aplicaciones para AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_app_compatibility.html)

Para obtener información sobre la disponibilidad en versiones y regiones, consulte [Autenticación Kerberos con RDS para SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RDS_Fea_Regions_DB-eng.Feature.KerberosAuthentication.html#Concepts.RDS_Fea_Regions_DB-eng.Feature.KerberosAuthentication.sq).

## Información sobre la configuración de la autenticación de Windows
<a name="USER_SQLServerWinAuth.overview"></a>

Amazon RDS usa el modo mixto para la autenticación de Windows. Este método significa que el *usuario principal *(el nombre y la contraseña que se han utilizado para crear la instancia de base de datos de SQL Server) usa la autenticación de SQL. Dado que la cuenta de usuario maestro es una credencial privilegiada, debe restringir el acceso a esta cuenta.

Para realizar la autenticación de Windows con un Microsoft Active Directory en las instalaciones o autoalojado, cree una relación de confianza entre bosques. La confianza puede ser unidireccional o bidireccional. Para obtener más información acerca de la configuración de relaciones de confianza entre bosques con Directory Service, consulte [Cuándo crear una relación de confianza](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) en la *Guía de administración de AWS Directory Service*.

Para configurar la autenticación de Windows para una instancia de base de datos de SQL Server, lleve a cabo los siguientes pasos, que se explican con más detalle e [Configuración de la autenticación de Windows para las instancias de base de datos de SQL Server](USER_SQLServerWinAuth.SettingUp.md):

1. Use AWS Managed Microsoft AD, desde la Consola de administración de AWS o la API de Directory Service, para crear un directorio AWS Managed Microsoft AD. 

1. Si usa la AWS CLI o la API de Amazon RDS para crear la instancia de base de datos de SQL Server, cree un rol de AWS Identity and Access Management (IAM). Este rol utiliza la política de IAM administrada `AmazonRDSDirectoryServiceAccess` y permite a Amazon RDS realizar llamadas a su directorio. Si usa la consola para crear la instancia de base de datos de SQL Server, AWS crea el rol de IAM automáticamente. 

   Para que el rol permita el acceso, el punto de enlace AWS Security Token Service (AWS STS) debe activarse en la región AWS para su cuenta AWS. Los puntos de enlace de AWS STS están activos de forma predeterminada en todas las regiones AWS y puede usarlos sin ninguna acción posterior. Para obtener más información, consulte [Administración de AWS STS en una Región de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html) en la *guía del usuario de IAM*.

1. Cree y configure usuarios y grupos en el directorio de AWS Managed Microsoft AD usando las herramientas de Microsoft Active Directory. Para obtener más información sobre la creación de usuarios en su Active Directory, consulte [Administrar usuarios y grupos en AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html) en la *guía de administración de AWS Directory Service*.

1. Si tiene previsto ubicar el directorio y la instancia de base de datos en diferentes VPC, habilite el tráfico entre VPC.

1. Utilice Amazon RDS para crear una nueva instancia de base de datos de SQL Server desde la consola, la AWS CLI o la API de Amazon RDS. En la solicitud de creación, proporcione el identificador de dominio (identificador «`d-*`») que se generó cuando creó el directorio y el nombre del rol. También puede modificar una instancia de base de datos de SQL Server existente para usar la autenticación de Windows mediante la configuración de los parámetros dominio y rol de IAM para la instancia de base de datos.

1. Use las credenciales del usuario maestro de Amazon RDS para conectarse a la instancia de base de datos de SQL Server como lo haría con cualquier otra instancia de base de datos. Como la instancia de base de datos está unida al dominio AWS Managed Microsoft AD, puede aprovisionar inicios de sesión y usuarios de SQL Server desde los usuarios y grupos de Active Directory de su dominio. (Estos se conocen como inicios de sesión de SQL Server «Windows»). Los permisos de bases de datos se administran a través de los permisos de SQL Server estándar otorgados y revocados para estos inicios de sesión de Windows. 

Al crear una instancia de base de datos de RDS para SQL Server conectada a un dominio mediante la consola de Amazon RDS, AWS crea automáticamente el rol de IAM `rds-directoryservice-access-role`. Este rol es esencial para administrar las instancias conectadas a un dominio y es necesario para las siguientes operaciones:
+ Realización de cambios de configuración en las instancias de SQL Server conectadas a un dominio
+ Administración de la configuración de la integración de Active Directory
+ Realización de operaciones de mantenimiento en instancias unidas a un dominio

**importante**  
Si elimina el rol de IAM `rds-directoryservice-access-role`, no puede realizar cambios en la instancia de SQL Server conectada al dominio a través de la consola o la API de Amazon RDS. Al intentar modificar la instancia, aparece un mensaje de error que indica: No tiene permiso para iam:CreateRole. Para solicitar acceso, copie el siguiente texto y envíelo al administrador de AWS.  
Este error se produce porque Amazon RDS necesita volver a crear el rol para administrar la conexión del dominio, pero carece de los permisos necesarios. Además, este error no se registra en CloudTrail, lo que puede dificultar la solución de problemas.

Si elimina accidentalmente `rds-directoryservice-access-role`, debe tener permisos `iam:CreateRole` para volver a crearlo antes de poder realizar cambios en la instancia de SQL Server conectada al dominio. Para volver a crear el rol manualmente, asegúrese de que tenga la política administrada `AmazonRDSDirectoryServiceAccess` asociada y la relación de confianza adecuada que permita que el servicio de RDS asuma el rol.

# Creación del punto de enlace para la autenticación Kerberos
<a name="USER_SQLServerWinAuth.KerberosEndpoint"></a>

La autenticación basada en Kerberos requiere que el punto de enlace sea el nombre de host especificado por el cliente, un punto y, a continuación, el nombre de dominio completo (FQDN). Por ejemplo, el siguiente ejemplo muestra un punto de enlace que se podría usarse con la autenticación basada en Kerberos. En este ejemplo, el nombre de host de la instancia de base de datos de SQL Server es `ad-test` y el nombre de dominio es `corp-ad.company.com`. 

```
ad-test.corp-ad.company.com
```

Si desea asegurarse de que su conexión use Kerberos, ejecute la siguiente consulta: 

```
1. SELECT net_transport, auth_scheme 
2.   FROM sys.dm_exec_connections 
3.  WHERE session_id = @@SPID;
```

# Configuración de la autenticación de Windows para las instancias de base de datos de SQL Server
<a name="USER_SQLServerWinAuth.SettingUp"></a>

Debe usar AWS Directory Service for Microsoft Active Directory, también llamado AWS Managed Microsoft AD, para configurar la autenticación de Windows para una instancia de base de datos de SQL Server. Para configurar la autenticación de Windows, lleve a cabo los siguientes pasos. 

## Paso 1: crear un directorio con AWS Directory Service for Microsoft Active Directory
<a name="USER_SQLServerWinAuth.SettingUp.CreateDirectory"></a>

Directory Service crea un directorio de Microsoft Active Directory totalmente gestionado en la nube de AWS. Cuando crea un directorio AWS Managed Microsoft AD, Directory Service crea dos controladores de dominio y servidores del Servicio de nombres de dominio (DNS) en su nombre. Los servidores de directorio se crean en dos subredes en dos zonas de disponibilidad diferentes dentro de una VPC. Esta redundancia ayuda a garantizar que su directorio permanezca accesible incluso si ocurre un fallo.

 Cuando crea un directorio de AWS Managed Microsoft AD, Directory Service realiza en su nombre las siguientes tareas: 
+ Configura un Microsoft Active Directory dentro de la VPC. 
+ Crea una cuenta de administrador para el directorio con el nombre de usuario Admin y la contraseña especificada. Esta cuenta le permite administrar el directorio.
+ Crea un grupo de seguridad para los controladores del directorio.

Al lanzar AWS Directory Service for Microsoft Active Directory, AWS crea una unidad organizativa (OU) que contiene todos los objetos del directorio. Esta unidad organizativa, que tiene el nombre de NetBIOS que escribió al crear el directorio, se encuentra en la raíz del dominio. La raíz del dominio es propiedad de , que también se encarga de su administració AWS. 

 La cuenta *admin* que se creó con el directorio de AWS Managed Microsoft AD dispone de permisos para realizar las actividades administrativas más habituales para la unidad organizativa: 
+ Cree, actualice o elimine usuarios, grupos y equipos. 
+ Añadir recursos a su dominio, como servidores de archivos o de impresión y, a continuación, asignar permisos para esos recursos a usuarios y grupos dentro de la unidad organizativa. 
+ Crear unidades organizativas y contenedores adicionales.
+ Delegar autoridad. 
+ Crear y enlazar políticas de grupo. 
+ Restaurar objetos eliminados de la papelera de reciclaje de Active Directory. 
+ Ejecutar módulos de AD y DNS de Windows PowerShell en el servicio web de Active Directory. 

La cuenta admin también tiene derechos para realizar las siguientes actividades en todo el dominio: 
+ Administrar configuraciones DNS (agregar, quitar o actualizar registros, zonas y programas de envío). 
+ Ver logs de eventos DNS. 
+ Ver logs de eventos de seguridad. 

**Para crear un directorio con AWS Managed Microsoft AD**

1. En el panel de navegación de la [consola de Directory Service](https://console.aws.amazon.com/directoryservicev2/), elija **Directories (Directorios)** y, a continuación, elija **Set up Directory (Configurar directorio)**.

1. Elija **AWS Managed Microsoft AD**. Es la única opción que se admite actualmente para el uso con Amazon RDS.

1. Elija **Next (Siguiente)**.

1. En la página **Enter directory information (Especifique la información del directorio)**, facilite la siguiente información:   
**Edición**  
 Elija la edición que se adapte a sus necesidades.  
**Nombre de DNS del directorio**  
El nombre completo del directorio, como por ejemplo `corp.example.com`. SQL Server no admite nombres de más de 47 caracteres.  
**Nombre NetBIOS del directorio**  
Un nombre abreviado del directorio opcional, como COR `CORP`.   
**Descripción del directorio**  
Descripción opcional del directorio.   
**Contraseña de administrador**  
Contraseña del administrador del directorio. El proceso de creación de directorios crea una cuenta de administrador con el nombre de usuario Admin y esta contraseña.   
La contraseña del administrador del directorio no puede contener la palabra `admin`. La contraseña distingue entre mayúsculas y minúsculas y debe tener un mínimo de 864 caracteres y un máximo de 64. También debe contener al menos un carácter de tres de las siguientes categorías:   
   + Letras minúsculas (a-z)
   + Letras mayúsculas (A-Z)
   + Números (0-9)
   + Caracteres no alfanuméricos (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)   
**Confirm password**  
Vuelva a escribir la contraseña de administrador. 

1. Elija **Next (Siguiente)**.

1. En la página **Choose VPC and subnets (Elegir la VPC y las subredes)**, proporcione la información siguiente:  
**VPC**  
Elija la VPC del directorio.  
Puede ubicar el directorio y la instancia de base de datos en diferentes VPC pero, si lo hace así, habilite el tráfico entre VPC. Para obtener más información, consulte [Paso 4: habilitar el tráfico entre VPC entre el directorio y la instancia de base de datos](#USER_SQLServerWinAuth.SettingUp.VPC-Peering).  
**Subredes**  
Elija las subredes de los servidores del directorio. Las dos subredes deben estar en diferentes zonas de disponibilidad.

1. Elija **Next (Siguiente)**.

1. Revise la información del directorio. Si es necesario realizar algún cambio, seleccione **Privous (Anterior)**. Cuando la información sea correcta, seleccione **Create directory (Crear directorio)**.   
![\[Página Review and create (Revisión y creación)\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/WinAuth2.png)

La creación del directorio tarda varios minutos. Cuando se haya creado correctamente, el valor de **Status (Estado)** cambiará a **Active (Activo)**.

Para ver información acerca de su directorio, seleccione el ID del directorio en la lista de directorios. Anote el valor de **Directory ID (ID de directorio)**. Necesitará este valor cuando cree o modifique la instancia de base de datos de SQL Server.

![\[Detalles del directorio\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/WinAuth3.png)


## Paso 2: crear el rol de IAM que usará Amazon RDS
<a name="USER_SQLServerWinAuth.SettingUp.CreateIAMRole"></a>

Si usa la consola para crear la instancia de base de datos de SQL Server, puede omitir este paso. Si usa la CLI o la API de RDS para crear su propia instancia de base de datos de SQL Server, debe crear un rol de IAM que use la política de IAM administrada `AmazonRDSDirectoryServiceAccess`. Este rol permite a Amazon RDS realizar llamadas a Directory Service en su nombre. 

Si usa una política personalizada para unirse a un dominio en lugar de usar la política AWS administrada por `AmazonRDSDirectoryServiceAccess`, debe permitir la acción `ds:GetAuthorizedApplicationDetails`. Este requisito entrará en vigor a partir de julio de 2019, debido a un cambio en la API de Directory Service.

La siguiente política de IAM, `AmazonRDSDirectoryServiceAccess`, proporciona acceso a Directory Service.

**Example Política de IAM para proporcionar acceso a Directory Service**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
            "ds:DescribeDirectories", 
            "ds:AuthorizeApplication", 
            "ds:UnauthorizeApplication",
            "ds:GetAuthorizedApplicationDetails"
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

Le recomendamos que utilice las claves de contexto de condición globales de [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) en las relaciones de confianza basadas en recursos para limitar los permisos del servicio a un recurso específico. Esta es la forma más eficaz de protegerse contra el [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).

Puede utilizar claves de contexto de condición globales y hacer que el valor de `aws:SourceArn` contenga el ID de cuenta. En estos casos, el valor de `aws:SourceAccount` y la cuenta del valor de `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utilizan en la misma instrucción.
+ Use `aws:SourceArn` si quiere acceso entre servicios para un único recurso.
+ Use `aws:SourceAccount` si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.

En la relación de confianza, asegúrese de utilizar la clave de contexto de condición global `aws:SourceArn` con el nombre de recurso de Amazon (ARN) completo de los recursos que acceden al rol. Para la autenticación de Windows, asegúrese de incluir las instancias de base de datos, tal y como se muestra en el siguiente ejemplo.

**Example relación de confianza con la clave de contexto de condición global para la autenticación de Windows**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rds.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": [
                        "arn:aws:rds:Region:my_account_ID:db:db_instance_identifier"
                    ]
                }
            }
        }
    ]
}
```

Cree un rol de IAM con esta política de IAM y su relación de confianza. Para obtener más información acerca de la creación de roles de IAM, consulte [Creación de políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#create-managed-policy-console) en la *Guía del usuario de IAM*.

## Paso 3: crear y configurar usuarios y grupos
<a name="USER_SQLServerWinAuth.SettingUp.CreateUsers"></a>

Puede crear usuarios y grupos con la herramienta Usuarios y equipos de Active Directory. Esta herramienta es una de las herramientas Active Directory Domain Services y Active Directory Lightweight Directory Services. Los usuarios representan a las personas físicas o entidades que tienen acceso al directorio. Los grupos resultan muy útiles para conceder o denegar privilegios a un conjunto de usuarios en lugar de asignar esos privilegios a cada usuario por separado.

Para crear usuarios y grupos en un directorio de Directory Service, debe estar conectado a una instancia EC2 de Windows que sea miembro del directorio de Directory Service. También debe haber iniciado sesión como usuario con privilegios para crear usuarios. Para obtener más información, consulte la sección para [agregar usuarios y grupos (Simple AD yAWS Managed Microsoft AD)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/creating_ad_users_and_groups.html) en la *guía de administraciónde AWS Directory Service*.

## Paso 4: habilitar el tráfico entre VPC entre el directorio y la instancia de base de datos
<a name="USER_SQLServerWinAuth.SettingUp.VPC-Peering"></a>

Si tiene previsto ubicar el directorio y la instancia de base de datos en la misma VPC, omita este paso y continúe con [Paso 5: crear o modificar una instancia de base de datos de SQL Server](#USER_SQLServerWinAuth.SettingUp.CreateModify).

Si tiene previsto ubicar el directorio y la instancia de base de datos en diferentes VPC, configure el tráfico entre VPC mediante la interconexión de VPC o [AWSTransit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html).

El siguiente procedimiento permite el tráfico entre VPC mediante la interconexión de VPC. Siga las instrucciones de [¿Qué es una interconexión de VPC?](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) en la *Guía de interconexión de Amazon Virtual Private Cloud*.

**Para habilitar el tráfico entre VPC mediante la interconexión de VPC**

1. Configure las reglas de enrutamiento de VPC adecuadas para garantizar que el tráfico de red pueda fluir en ambos sentidos.

1. Asegúrese de que el grupo de seguridad de la instancia de base de datos pueda recibir tráfico de entrada del grupo de seguridad del directorio.

1. Asegúrese de que no haya una regla de lista de control de acceso (ACL) a la red para bloquear el tráfico.

Si una cuenta de AWS distinta es la propietaria del directorio, debe compartirlo.

**Para compartir el directorio entre cuentas de AWS**

1. Comience a compartir el directorio con la cuenta AWS en la que se creará la instancia de base de datos siguiendo las instrucciones de [Tutorial: Uso compartido del directorio de AWS Managed Microsoft AD para realizar la unión al dominio fluida de EC2](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html) en la *Directory ServiceGuía de administración*.

1. Inicie sesión en la consola de Directory Service utilizando la cuenta para la instancia de base de datos y asegúrese de que el dominio tiene el estado `SHARED` antes de continuar.

1. Una vez iniciada sesión en la consola de Directory Service utilizando la cuenta de la instancia de base de datos, anote el valor de **Directory ID (ID de directorio)**. Utilice este identificador de directorio para unir la instancia de base de datos al dominio.

## Paso 5: crear o modificar una instancia de base de datos de SQL Server
<a name="USER_SQLServerWinAuth.SettingUp.CreateModify"></a>

Cree o modifique una instancia de base de datos de SQL Server para usarla con su directorio. Puede utilizar la consola, CLI, o la API de RDS para asociar una instancia de base de datos con un directorio. Puede hacerlo de una de las siguientes formas:
+ Cree una nueva instancia de base de datos de SQL Server mediante la consola, el comando de la CLI [ create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) o la operación [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) de la API de RDS.

  Para obtener instrucciones, consulte [Creación de una instancia de base de datos de Amazon RDS](USER_CreateDBInstance.md).
+ Modifique una instancia de base de datos de SQL Server existente mediante la consola, el comando de la CLI [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) o la operación [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) de la API de RDS.

  Para obtener instrucciones, consulte [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md).
+ Restaure una instancia de base de datos de SQL Server a partir de una instantánea de base de datos mediante la consola, el comando de la CLI [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html) o la operación [RestoreDBInstanceFromDBSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html) de la API de RDS.

  Para obtener instrucciones, consulte [Restauración a una instancia de base de datos](USER_RestoreFromSnapshot.md).
+ Restaure una instancia de base de datos de SQL Server a un punto en el tiempo mediante la consola, el comando de la CLI [restore-db-instance-to-point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) o la operación [RestoreDBInstanceToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) de la API de RDS.

  Para obtener instrucciones, consulte [Restauración de una instancia de base de datos a un momento especificado para Amazon RDS](USER_PIT.md).

 La autenticación Windows solo es compatible con instancias de base de datos de SQL Server en una VPC. 

 Para que la instancia de base de datos pueda usar el directorio de dominio que ha creado, se precisa lo siguiente: 
+  Para **Directory (Directorio)**, elija el identificador de dominio (`d-ID`) que se generó cuando creó el directorio.
+  Asegúrese de que el grupo de seguridad de VPC tiene una regla de salida que permita a la instancia de base de datos comunicarse con el directorio.

![\[Directorio de autenticación de Windows de Microsoft SQL Server\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/WinAuth1.png)


Cuando utilice la AWS CLI, se necesitan los siguientes parámetros para que la instancia de base de datos pueda usar el directorio que ha creado:
+ Para el parámetro `--domain`, utilice el identificador de dominio (identificador «`d-ID`») que se generó cuando creó el directorio.
+ Para el parámetro `--domain-iam-role-name`, utilice el rol que creó que usa la política `AmazonRDSDirectoryServiceAccess` de IAM administrada.

Por ejemplo, el siguiente comando de CLI modifica una instancia de base de datos para usar un directorio.

Para Linux, macOS, o Unix:

```
aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name
```

Para Windows:

```
aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name
```

**importante**  
Si modifica una instancia de base de datos para habilitar la autenticación Kerberos, reinicie la instancia de base de datos después de realizar el cambio.

## Paso 6: crear inicios de sesión de SQL Server de autenticación de Windows
<a name="USER_SQLServerWinAuth.CreateLogins"></a>

Use las credenciales del usuario maestro de Amazon RDS para conectarse a la instancia de base de datos de SQL Server como lo haría con cualquier otra instancia de base de datos. Como la instancia de base de datos está unida al dominio AWS Managed Microsoft AD, puede aprovisionar inicios de sesión y usuarios de SQL Server. Esto se realiza desde los usuarios y grupos de Active Directory de su dominio. Los permisos de bases de datos se administran a través de los permisos de SQL Server estándar otorgados y revocados para estos inicios de sesión de Windows.

Para que un usuario de Active Directory se autentique con SQL Server, debe existir un inicio de sesión de Windows de SQL Server para el usuario o para un grupo del que el usuario sea miembro. El control detallado del acceso se gestiona mediante la concesión y la revocación de permisos en estos inicios de sesión de SQL Server. Un usuario que no tenga un inicio de sesión de SQL Server o no pertenezca a un grupo con dicho inicio de sesión no puede tener acceso a la instancia de base de datos de SQL Server.

El permiso ALTER ANY LOGIN es necesario para crear un inicio de sesión de SQL Server de Active Directory. Si todavía no ha creado ningún inicio de sesión con este permiso, conéctese como usuario maestro de la instancia de base de datos usando la autenticación de SQL Server.

Ejecute el comando de lenguaje de definición de datos (DDL), como en el siguiente ejemplo, para crear un inicio de sesión de SQL Server para el usuario o el grupo de Active Directory.

**nota**  
Especifique usuarios y grupos con el nombre de inicio de sesión anterior a Windows 2000 en el formato `domainName\login_name`. No puede usar un nombre principal del usuario (UPN) en el formato *`login_name`*`@`*`DomainName`*.  
Solo puede crear un inicio de sesión de autenticación de Windows en una instancia de RDS para SQL Server mediante instrucciones T-SQL. No puede usar SQL Server Management Studio para crear un inicio de sesión de autenticación de Windows.

```
USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO
```

Para obtener más información, consulte [CREATE LOGIN (Transact-SQL)](https://msdn.microsoft.com/en-us/library/ms189751.aspx) (Crear inicio de sesión [Transact-SQL]) en la documentación de Microsoft Developer Network.

Los usuarios (tanto humanos como aplicaciones) del dominio pueden conectarse ahora a la instancia de RDS for SQL Server desde un equipo cliente unido al dominio utilizando la autenticación de Windows.

# Administración de una instancia de base de datos en un dominio
<a name="USER_SQLServerWinAuth.Managing"></a>

 Puede usar la consola, la AWS CLI o la API de Amazon RDS para administrar la instancia de base de datos y la relación con su dominio. Por ejemplo, puede mover la instancia de base de datos dentro, fuera o entre dominios. 

 Por ejemplo, con la API de Amazon RDS puede hacer lo siguiente: 
+  Para volver a intentar una unión de dominio para una suscripción que haya generado un error, use la operación [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) de la API y especifique el ID del directorio de suscripción actual. 
+  Para actualizar el nombre del rol de IAM para la suscripción, use la operación `ModifyDBInstance` de la API y especifique el ID del directorio de la suscripción actual y el nuevo rol de IAM. 
+  Para eliminar una instancia de base de datos de un dominio, use la operación `ModifyDBInstance` de la API y especifique `none` como parámetro del dominio. 
+  Para mover una instancia de base de datos de un dominio a otro, use la operación `ModifyDBInstance` de la API y especifique el identificador del nuevo dominio como parámetro del dominio. 
+  Para ver la suscripción de cada instancia de base de datos, use la operación [DescribeDBInstances](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/DescribeDBInstances.html) de la API. 

## Descripción de la pertenencia a los dominios
<a name="USER_SQLServerWinAuth.Understanding"></a>

 Una vez que haya creado o modificado una instancia de base de datos, esta se convierte en miembro del dominio. La consola AWS indica el estado de la pertenencia del dominio para la instancia de base de datos. El estado de la instancia de base de datos puede ser uno de los siguientes: 
+  **joined**: la instancia es miembro del dominio.
+  **joining**: la instancia está en el proceso de convertirse en miembro del dominio.
+  **pending-join**: la suscripción de la instancia está pendiente.
+  **pending-maintenance-join**: AWS intentará convertir la instancia en miembro del dominio durante el próximo periodo de mantenimiento programado.
+  **pending-removal**: la eliminación de la instancia del dominio está pendiente.
+  **pending-maintenance-removal**: AWS intentará eliminar la instancia del dominio durante el próximo periodo de mantenimiento programado.
+  **error**: un problema de configuración ha impedido que la instancia se una al dominio. Compruebe y corrija la configuración antes de volver a ejecutar el comando para modificar la instancia.
+  **removing**: la instancia se está eliminando del dominio.

Una solicitud para convertirse en miembro de un dominio puede generar un error a causa de un problema de conectividad de la red o de un rol de IAM incorrecto. Por ejemplo, puede crear una instancia de base de datos o modificar una instancia existente y que se produzca un error al intentar que la instancia de base de datos se convierta en miembro de un dominio. En este caso, vuelva a emitir el comando para crear o modificar la instancia de base de datos o modificar la instancia recién creada para unirse al dominio.

# Conexión a SQL Server con la autenticación de Windows
<a name="USER_SQLServerWinAuth.Connecting"></a>

Para conectarse a SQL Server con la autenticación de Windows, debe haber iniciado sesión en un equipo unido al dominio como usuario del dominio. Después de lanzar SQL Server Management Studio, elija **Windows Authentication** como tipo de autenticación, como se puede ver a continuación.

![\[Conéctese a SQL Server con la autenticación de Windows\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/WinAuth4.png)


## Restauración de una instancia de base de datos de SQL Server y adición de esta a un dominio
<a name="USER_SQLServerWinAuth.Restore"></a>

Puede restaurar una instantánea de base de datos o realizar una restauración a un momento dado (PITR) para una instancia de base de datos de SQL Server y, a continuación, añadirla a un dominio. Una vez que la instancia de base de datos se haya restaurado, modifíquela usando el proceso que se explica en la sección [Paso 5: crear o modificar una instancia de base de datos de SQL Server](USER_SQLServerWinAuth.SettingUp.md#USER_SQLServerWinAuth.SettingUp.CreateModify) para agregar la instancia de base de datos a un dominio.