Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Persyaratan
Pastikan Anda telah memenuhi persyaratan berikut sebelum bergabung dengan instans RDS for SQL Server DB ke domain AD yang dikelola sendiri.
Topik
Konfigurasikan AD on-premise Anda
Pastikan Anda memiliki iklan Microsoft lokal atau yang dikelola sendiri lainnya yang dapat Anda gunakan untuk bergabung dengan instans Amazon RDS for SQL Server. AD on-premise Anda harus memiliki konfigurasi berikut:
-
Jika Anda memiliki situs Active Directory yang ditentukan, pastikan subnet yang VPC terkait dengan instans DB SQL Server Anda RDS ditentukan di situs Active Directory Anda. Konfirmasikan tidak ada konflik antara subnet di Anda VPC dan subnet di situs iklan Anda yang lain.
-
Pengontrol domain AD Anda memiliki tingkat fungsional domain Windows Server 2008 R2 atau lebih tinggi.
-
Nama domain AD Anda tidak dapat dalam format Domain Label Tunggal (SLD). RDSuntuk SQL Server tidak mendukung SLD domain.
-
Nama domain yang memenuhi syarat (FQDN) untuk iklan Anda tidak boleh melebihi 47 karakter.
Konfigurasikan konektivitas jaringan Anda
Pastikan bahwa Anda telah memenuhi konfigurasi jaringan berikut:
-
Konektivitas dikonfigurasi antara Amazon VPC tempat Anda ingin membuat instans RDS untuk SQL Server DB dan Active Directory yang dikelola sendiri. Anda dapat mengatur konektivitas menggunakan AWS Direct Connect AWS VPN, VPC peering, atau AWS Transit Gateway.
-
Untuk grup VPC keamanan, grup keamanan default untuk Amazon default Anda VPC sudah ditambahkan ke instans DB SQL Server Anda RDS di konsol. Pastikan bahwa grup keamanan dan VPC jaringan ACLs untuk subnet tempat Anda RDS membuat instance DB SQL Server memungkinkan lalu lintas pada port dan arah yang ditunjukkan pada diagram berikut.
Tabel berikut mengidentifikasi peran masing-masing port.
Protokol Port Peran TCP/UDP 53 Sistem Nama Domain (DNS) TCP/UDP 88 Autentikasi Kerberos TCP/UDP 464 Ubah/Atur kata sandi TCP/UDP 389 Protokol Akses Direktori Ringan (LDAP) TCP 135 Lingkungan Komputasi Terdistribusi/End Point Mapper (DCE/EPMAP) TCP 445 Berbagi SMB file Directory Services TCP 636 Protokol Akses Direktori Ringan di atasTLS/SSL(LDAPS) TCP 49152 - 65535 Port fana untuk RPC Umumnya, DNS server domain terletak di pengontrol domain AD. Anda tidak perlu mengonfigurasi VPC DHCP opsi yang ditetapkan untuk menggunakan fitur ini. Untuk informasi selengkapnya, lihat set DHCP opsi di Panduan VPC Pengguna Amazon.
penting
Jika Anda menggunakan VPC jaringanACLs, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari instans DB Server Anda. RDS SQL Pastikan bahwa aturan lalu lintas ini juga dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain AD, DNS server, dan RDS untuk SQL instans Server DB.
Sementara kelompok VPC keamanan memerlukan port untuk dibuka hanya ke arah lalu lintas jaringan dimulai, sebagian besar firewall Windows dan VPC jaringan ACLs memerlukan port untuk dibuka di kedua arah.
Konfigurasikan akun layanan domain AD Anda
Pastikan bahwa Anda telah memenuhi persyaratan berikut untuk akun layanan domain AD:
-
Pastikan bahwa Anda memiliki akun layanan di domain AD yang dikelola sendiri dengan izin delegasi untuk menggabungkan komputer ke domain. Akun layanan domain adalah akun pengguna di AD yang dikelola sendiri yang telah mendapatkan delegasi izin untuk melakukan tugas tertentu.
-
Akun layanan domain harus didelegasikan izin berikut di Unit Organisasi (OU) tempat Anda bergabung dengan instans DB SQL Server RDS untuk:
Kemampuan yang divalidasi untuk menulis ke nama DNS host
Kemampuan tervalidasi untuk menulis ke nama prinsipal layanan
Membuat dan menghapus objek komputer
Hal ini merepresentasikan serangkaian izin minimum yang diperlukan untuk menggabungkan objek komputer ke Directory Active yang dikelola sendiri milik Anda. Untuk informasi selengkapnya, lihat Errors when attempting to join computers to a domain
dalam dokumentasi Microsoft Windows Server.
penting
Jangan memindahkan objek komputer yang RDS dibuat oleh SQL Server di Unit Organisasi setelah instans DB Anda dibuat. Memindahkan objek terkait akan menyebabkan instans SQL Server DB Anda RDS salah dikonfigurasi. Jika Anda perlu memindahkan objek komputer yang dibuat oleh AmazonRDS, gunakan odifyDBInstance RDS API operasi M untuk memodifikasi parameter domain dengan lokasi objek komputer yang diinginkan.
