

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Exigences
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements"></a>

Assurez-vous de respecter les exigences suivantes avant de joindre une instance de base de données RDS for SQL Server à votre domaine AD autogéré.

**Topics**
+ [Configuration de votre annuaire AD sur site](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.OnPremConfig)
+ [Configuration de votre connectivité réseau](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig)
+ [Configuration de votre compte de service de domaine AD](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig)
+ [Configuration d’une communication sécurisée via LDAPS](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.LDAPS)

## Configuration de votre annuaire AD sur site
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.OnPremConfig"></a>

Assurez-vous de disposer d'un annuaire Microsoft AD sur site ou autogéré auquel vous pouvez joindre l'instance Amazon RDS for SQL Server. Votre annuaire AD sur site doit avoir la configuration suivante :
+ Si vous avez défini des sites AD, assurez-vous que les sous-réseaux du VPC associé à votre instance de base de données RDS for SQL Server sont définis dans votre site AD. Vérifiez qu'il n'existe aucun conflit entre les sous-réseaux de votre VPC et les sous-réseaux de vos autres sites AD.
+ Votre contrôleur de domaine AD a un niveau fonctionnel de domaine correspondant à Windows Server 2008 R2 ou supérieur.
+ Votre nom de domaine AD ne peut pas être au format SLD (Single Label Domain). RDS for SQL Server ne prend pas en charge les domaines SLD.
+ Le nom de domaine complet (FQDN) de votre annuaire AD ne peut pas dépasser 47 caractères.

## Configuration de votre connectivité réseau
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig"></a>

Assurez-vous de respecter les configurations réseau suivantes :
+ Configurez la connectivité entre le VPC Amazon sur lequel vous souhaitez créer l’instance de base de données RDS for SQL Server et votre AD autogéré. Vous pouvez configurer la connectivité à l'aide de AWS Direct Connect, d' AWS un VPN, d'un peering VPC ou de Transit Gateway AWS .
+ Pour les groupes de sécurité VPC, le groupe de sécurité par défaut de votre VPC Amazon par défaut est déjà ajouté à votre instance de base de données RDS for SQL Server dans la console. Assurez-vous que le groupe de sécurité et les listes ACL réseau de VPC pour le ou les sous-réseaux dans lesquels vous créez votre instance de base de données RDS for SQL Server autorisent le trafic sur les ports et dans les directions indiquées dans le schéma suivant.  
![Self-managed Règles relatives aux ports de configuration réseau AD.](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/UserGuide/images/SQLServer_SelfManagedActiveDirectory_Requirements_NetworkConfig.png)

  Le tableau suivant identifie le rôle de chaque port.    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/UserGuide/USER_SQLServer_SelfManagedActiveDirectory.Requirements.html)
+ En général, les serveurs DNS du domaine se trouvent dans les contrôleurs de domaine AD. Vous n'avez pas besoin de configurer l'option DHCP du VPC pour utiliser cette fonctionnalité. Pour plus d'informations, consultez [Jeux d'options DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dans le *Guide de l'utilisateur Amazon VPC*.

**Important**  
Si vous utilisez des listes ACL réseau de VPC, vous devez également autoriser le trafic sortant sur les ports dynamiques (49152-65535) à partir de votre instance de base de données RDS for SQL Server. Assurez-vous que ces règles de trafic sont également mises en miroir sur les pare-feu qui s'appliquent à chacun des contrôleurs de domaine AD, aux serveurs DNS et aux instances de base de données RDS for SQL Server.  
Alors que les groupes de sécurité VPC exigent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feu Windows et des listes ACL réseau de VPC exigent que les ports soient ouverts dans les deux sens.

## Configuration de votre compte de service de domaine AD
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig"></a>

Assurez-vous de respecter les exigences suivantes pour un compte de service de domaine AD :
+ Assurez-vous de disposer d’un compte de service dans votre domaine AD autogéré avec des autorisations déléguées pour joindre des ordinateurs au domaine. Un compte de service de domaine est un compte utilisateur de votre annuaire AD autogéré auquel l'autorisation d'effectuer certaines tâches a été déléguée.
+ Les autorisations suivantes doivent être déléguées au compte de service de domaine dans l’unité organisationnelle (UO) à laquelle vous joignez votre instance de base de données RDS for SQL Server :
  + Capacité validée d'écrire sur le nom d'hôte DNS
  + Capacité validée d'écrire dans le nom du principal de service
  + Création et suppression d’objets informatiques

  Il s’agit de l’ensemble minimal d’autorisations requises pour joindre des objets informatiques à votre AD autogéré. Pour plus d'informations, consultez [Erreurs lors d'une tentative visant à joindre des ordinateurs à un domaine](https://learn.microsoft.com/en-US/troubleshoot/windows-server/identity/access-denied-when-joining-computers) dans la documentation de Microsoft Windows Server.
+ Pour utiliser l’authentification Kerberos, vous devez fournir des noms principaux de service (SPN) et des autorisations DNS à votre compte de service de domaine AD :
  + **SPN validé en écriture** : déléguez l’autorisation de **SPN validé en écriture** au compte de service de domaine AD dans l’unité organisationnelle où vous devez rejoindre l’instance de base de données RDS for SQL Server. Ces autorisations sont différentes du SPN validé en écriture validé.
  + **Autorisations DNS** : accordez les autorisations suivantes au compte de service de domaine AD dans le Gestionnaire DNS au niveau du serveur pour votre contrôleur de domaine :
    + Contenu de la liste
    + Lire toutes les propriétés
    + Autorisations de lecture

**Important**  
Ne déplacez pas les objets informatiques créés par RDS for SQL Server dans l’unité organisationnelle après la création de votre instance de base de données. Le déplacement des objets associés entraînera une mauvaise configuration de votre instance de base de données RDS for SQL Server. Si vous devez déplacer les objets informatiques créés par Amazon RDS, utilisez l'opération d'API RDS [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) pour modifier les paramètres du domaine en fonction de l'emplacement souhaité des objets informatiques.

## Configuration d’une communication sécurisée via LDAPS
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.LDAPS"></a>

La communication via LDAPS est recommandée pour que RDS puisse interroger et accéder aux objets informatiques ainsi qu’aux SPN dans le contrôleur de domaine. Pour utiliser le protocole LDAP sécurisé, utilisez un certificat SSL valide sur votre contrôleur de domaine qui répond aux exigences du protocole LDAPS sécurisé. Si aucun certificat SSL valide n’existe sur le contrôleur de domaine, l’instance de base de données RDS for SQL Server utilise par défaut le protocole LDAP. Pour plus d’informations sur la validité des certificats, consultez [Exigences relatives à un certificat LDAPS](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/enable-ldap-over-ssl-3rd-certification-authority#requirements-for-an-ldaps-certificate).