Menggunakan Directory Active yang Dikelola Sendiri dengan instans DB Amazon RDS for SQL Server - Layanan Basis Data Relasional Amazon
Wilayah dan ketersediaan versiPersyaratanBatasanGambaran umum pengaturan Directory Active yang Dikelola SendiriMenyiapkan Directory Active yang Dikelola SendiriMengelola instans DB dalam Domain Directory Active yang dikelola sendiriMemahami keanggotaan Domain Directory Active yang dikelola sendiriPemecahan masalah Directory Active yang dikelola sendiriMemulihkan instans DB dan menambahkannya ke domain Directory Active yang dikelola sendiri

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Directory Active yang Dikelola Sendiri dengan instans DB Amazon RDS for SQL Server

Anda dapat bergabung dengan instans RDS untuk SQL Server DB langsung ke domain Active Directory (AD) yang dikelola sendiri, di mana pun iklan Anda di-host: di pusat data perusahaan, di AWS EC2, atau dengan penyedia cloud lainnya. Dengan AD yang dikelola sendiri, Anda menggunakan autentikasi NTLM untuk mengontrol autentikasi pengguna dan layanan secara langsung di instans DB RDS for SQL Server Anda tanpa menggunakan domain perantara dan forest trust. Saat pengguna mengautentikasi dengan instans DB RDS for SQL Server yang digabungkan ke domain AD yang dikelola sendiri, permintaan autentikasi diteruskan ke domain AD yang dikelola sendiri yang Anda tentukan.

Ketersediaan wilayah dan versi

Amazon RDS mendukung AD yang Dikelola Sendiri untuk SQL Server menggunakan NTLM di semua Wilayah AWS.

Persyaratan

Pastikan Anda telah memenuhi persyaratan berikut sebelum menggabungkan instans DB RDS for SQL Server ke domain AD yang dikelola sendiri.

Konfigurasikan AD on-premise Anda

Pastikan bahwa Anda memiliki Microsoft AD on-premise atau yang dikelola sendiri lainnya tempat Anda dapat menggabungkan instans Amazon RDS for SQL Server. AD on-premise Anda harus memiliki konfigurasi berikut:

  • Jika Anda telah menentukan situs Directory Active, pastikan subnet di VPC yang terkait dengan instans DB RDS for SQL Server Anda ditentukan di situs Directory Active Anda. Konfirmasikan bahwa tidak ada konflik antara subnet di VPC Anda dan subnet di situs AD Anda yang lain.

  • Pengontrol domain AD Anda memiliki tingkat fungsional domain Windows Server 2008 R2 atau lebih tinggi.

  • Nama domain AD Anda tidak dapat menggunakan format Domain Label Tunggal (SLD). RDS for SQL Server tidak mendukung domain SLD.

  • Nama domain yang memenuhi syarat penuh (FQDN) untuk iklan Anda tidak dapat melebihi 64 karakter.

Konfigurasikan konektivitas jaringan Anda

Pastikan bahwa Anda telah memenuhi konfigurasi jaringan berikut:

  • Konektivitas yang dikonfigurasi antara Amazon VPC tempat Anda ingin membuat instans DB RDS for SQL Server dan Directory Active yang dikelola sendiri. Anda dapat mengatur konektivitas menggunakan AWS Direct Connect, AWS VPN, VPC peering, atau Transit Gateway AWS .

  • Untuk grup keamanan VPC, grup keamanan default untuk Amazon VPC default Anda sudah ditambahkan ke instans DB RDS for SQL Server Anda di konsol. Pastikan bahwa grup keamanan dan ACL jaringan VPC untuk subnet tempat Anda membuat instans DB RDS for SQL Server Anda mengizinkan lalu lintas pada port dan dengan arah yang ditunjukkan dalam diagram berikut.

    Aturan port konfigurasi jaringan Directory Active yang Dikelola Sendiri.

    Tabel berikut mengidentifikasi peran masing-masing port.

    Protokol Port Peran
    TCP/UDP 53 Sistem Nama Domain (DNS)
    TCP/UDP 88 Autentikasi Kerberos
    TCP/UDP 464 Ubah/Atur kata sandi
    TCP/UDP 389 Protokol Akses Direktori Ringan (LDAP)
    TCP 135 Lingkungan Komputasi Terdistribusi/Pemeta Titik Akhir (DCE/EPMAP)
    TCP 445 Pembagian file SMB Layanan Direktori
    TCP 636 Protokol Akses Direktori Ringan melalui TLS/SSL (LDAPS)
    TCP 49152 - 65535 Port efemeral untuk RPC

  • Umumnya, server DNS domain terletak di pengontrol domain AD. Anda tidak perlu mengonfigurasi opsi DHCP VPC yang diatur untuk menggunakan fitur ini. Untuk informasi selengkapnya, lihat Set opsi DHCP dalam Panduan Pengguna Amazon VPC.

penting

Jika Anda menggunakan ACL jaringan VPC, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari instans DB RDS for SQL Server Anda. Pastikan bahwa aturan lalu lintas ini juga dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain AD, server DNS, dan instans DB RDS for SQL Server.

Meskipun grup keamanan Amazon VPC mengharuskan port terbuka hanya pada arah ketika lalu lintas jaringan diinisiasi, sebagian besar firewall Windows dan ACL jaringan VPC mengharuskan port terbuka pada kedua arah.

Konfigurasikan akun layanan domain AD Anda

Pastikan bahwa Anda telah memenuhi persyaratan berikut untuk akun layanan domain AD:

  • Pastikan bahwa Anda memiliki akun layanan di domain AD yang dikelola sendiri dengan izin delegasi untuk menggabungkan komputer ke domain. Akun layanan domain adalah akun pengguna di AD yang dikelola sendiri yang telah mendapatkan delegasi izin untuk melakukan tugas tertentu.

  • Akun layanan domain perlu mendapatkan delegasi izin berikut di Unit Organisasi (OU) tempat Anda menggabungkan instans DB RDS for SQL Server Anda:

    • Kemampuan tervalidasi untuk menulis ke nama host DNS

    • Kemampuan tervalidasi untuk menulis ke nama prinsipal layanan

    • Membuat dan menghapus objek komputer

    Hal ini merepresentasikan serangkaian izin minimum yang diperlukan untuk menggabungkan objek komputer ke Directory Active yang dikelola sendiri milik Anda. Untuk informasi selengkapnya, lihat Errors when attempting to join computers to a domain dalam dokumentasi Microsoft Windows Server.

penting

Jangan memindahkan objek komputer yang dibuat RDS for SQL Server di Unit Organisasi setelah instans DB Anda dibuat. Memindahkan objek terkait akan menyebabkan instans DB RDS for SQL Server Anda salah konfigurasi. Jika Anda perlu memindahkan objek komputer yang dibuat oleh Amazon RDS, gunakan operasi ModifyDBInstance API RDS untuk memodifikasi parameter domain dengan lokasi objek komputer yang diinginkan.

Batasan

Batasan berikut berlaku untuk AD yang Dikelola Sendiri untuk SQL Server.

  • NTLM adalah satu-satunya jenis autentikasi yang didukung. Autentikasi Kerberos tidak didukung. Jika Anda perlu menggunakan autentikasi kerberos, Anda dapat menggunakan AWS Managed AD, bukan AD yang dikelola sendiri.

  • Layanan Microsoft Distributed Transaction Coordinator (MSDTC) tidak didukung karena memerlukan autentikasi Kerberos.

  • Instans DB RDS for SQL Server Anda tidak menggunakan server Protokol Waktu Jaringan (NTP) dari domain AD yang dikelola sendiri. Mereka menggunakan layanan AWS NTP sebagai gantinya.

  • Server tertaut SQL Server harus menggunakan autentikasi SQL untuk terhubung ke RDS lain untuk instans DB SQL Server yang digabungkan ke domain AD yang dikelola sendiri.

  • Pengaturan Objek Kebijakan Grup (GPO) Microsoft dari domain AD yang dikelola sendiri tidak diterapkan ke instans DB RDS for SQL Server.

Gambaran umum pengaturan Directory Active yang Dikelola Sendiri

Untuk mengatur AD yang dikelola sendiri untuk instans DB RDS for SQL Server, lakukan langkah-langkah berikut, yang dijelaskan secara lebih terperinci dalam Menyiapkan Directory Active yang Dikelola Sendiri:

Di domain AD Anda:

  • Buat Unit Organisasi (OU).

  • Buat pengguna domain AD.

  • Delegasikan kontrol ke pengguna domain AD.

Dari AWS Management Console atau API:

  • Buat AWS KMS kunci.

  • Buat rahasia menggunakan AWS Secrets Manager.

  • Buat atau modifikasi instans DB RDS for SQL Server dan gabungkan ke domain AD yang dikelola sendiri.

Menyiapkan Directory Active yang Dikelola Sendiri

Untuk mengatur AD yang Dikelola Sendiri, lakukan langkah-langkah berikut.

Langkah 1: Buat Unit Organisasi di AD Anda

penting

Sebaiknya buat kredensi OU dan layanan khusus yang tercakup pada OU tersebut untuk AWS akun apa pun yang memiliki instans RDS untuk SQL Server DB yang bergabung dengan domain AD yang dikelola sendiri. Dengan mengkhususkan kredensial OU dan layanan, Anda dapat menghindari izin yang bertentangan dan mengikuti prinsip hak akses paling rendah.

Untuk membuat OU di AD Anda

  1. Hubungkan ke domain AD Anda sebagai administrator domain.

  2. Buka Active Directory Users and Computers dan pilih domain tempat Anda ingin membuat OU Anda.

  3. Klik kanan domain dan pilih New, lalu Organizational Unit.

  4. Masukkan nama untuk OU.

  5. Biarkan kotak tetap dicentang untuk Protect container from accidental deletion.

  6. Klik OK. OU baru Anda akan muncul di bawah domain Anda.

Langkah 2: Buat pengguna domain AD di AD Anda

Kredensyal pengguna domain akan digunakan untuk AWS rahasia di Secrets Manager.

Untuk membuat pengguna domain AD di AD Anda

  1. Buka Active Directory Users and Computers dan pilih domain dan OU tempat Anda ingin membuat pengguna Anda.

  2. Klik kanan objek Users dan pilih New, lalu User.

  3. Masukkan nama depan, nama belakang, dan nama login untuk pengguna. Klik Next.

  4. Masukkan kata sandi untuk pengguna. Jangan pilih "User must change password at next login". Jangan pilih "Account is disabled". Klik Next.

  5. Klik OK. Pengguna baru Anda akan muncul di bawah domain Anda.

Langkah 3: Delegasikan kontrol ke pengguna AD

Untuk mendelegasikan kontrol ke pengguna domain AD di domain Anda

  1. Buka snap-in MMC Active Directory Users and Computers dan pilih domain tempat Anda ingin membuat pengguna Anda.

  2. Klik kanan OU yang Anda buat sebelumnya dan pilih Delegate Control.

  3. Pada bagian Delegation of Control Wizard, klik Next.

  4. Pada bagian Users or Groups, klik Add.

  5. Pada bagian Select Users, Computers, or Groups, masukkan pengguna AD yang Anda buat lalu klik Check Names. Jika pemeriksaan pengguna AD Anda berhasil, klik OK.

  6. Pada bagian Users or Groups, konfirmasikan bahwa pengguna AD Anda telah ditambahkan lalu klik Next.

  7. Pada bagian Tasks to Delegate, pilih Create a custom task to delegate lalu klik Next.

  8. Pada bagian Active Directory Object Type:

    1. Pilih Only the following objects in the folder.

    2. Pilih Computer Objects.

    3. Pilih Create selected objects in this folder.

    4. Pilih Delete selected objects in this folder lalu klik Next.

  9. Pada bagian Permissions:

    1. Tetap pilih General.

    2. Pilih Validated write to DNS host name.

    3. Pilih Validated write to service principal name lalu klik Next.

  10. Untuk Completing the Delegation of Control Wizard, tinjau dan konfirmasikan pengaturan Anda lalu klik Finish.

Langkah 4: Buat AWS KMS kunci

Kunci KMS digunakan untuk mengenkripsi rahasia Anda AWS .

Untuk membuat AWS KMS kunci
catatan

Untuk Kunci Enkripsi, jangan gunakan kunci KMS AWS default. Pastikan untuk membuat AWS KMS kunci di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.

  1. Di AWS KMS konsol, pilih tombol Buat.

  2. Untuk Tipe Kunci, pilih Simetris.

  3. Untuk Penggunaan Kunci, pilih Enkripsi dan dekripsi.

  4. Untuk Opsi lanjutan:

    1. Untuk Asal materi kunci, pilih KMS.

    2. Untuk Regionalitas, pilih Kunci Wilayah Tunggal lalu klik Berikutnya.

  5. Untuk Alias, berikan nama untuk kunci KMS.

  6. (Opsional) Untuk Deskripsi, berikan deskripsi kunci KMS.

  7. (Opsional) Untuk Tag, berikan tag kunci KMS lalu klik Berikutnya.

  8. Untuk Administrator kunci, berikan nama pengguna IAM dan pilih nama pengguna tersebut.

  9. Untuk Penghapusan kunci, biarkan kotak dipilih untuk Izinkan administrator kunci untuk menghapus kunci ini lalu klik Berikutnya.

  10. Untuk Pengguna kunci, berikan pengguna IAM yang sama dari langkah sebelumnya dan pilih nama pengguna tersebut. Klik Berikutnya.

  11. Tinjau konfigurasi tersebut.

  12. Untuk Kebijakan kunci, sertakan yang berikut pada Pernyataan kebijakan:

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. Klik Selesai.

Langkah 5: Buat AWS rahasia

Untuk membuat rahasia
catatan

Pastikan untuk membuat rahasia di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.

  1. Di AWS Secrets Manager, pilih Simpan rahasia baru.

  2. Untuk Tipe rahasia, pilih Tipe rahasia lainnya.

  3. Untuk Pasangan kunci/nilai, tambahkan dua kunci Anda:

    1. Untuk kunci pertama, masukkan CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Untuk nilai kunci pertama, masukkan nama pengguna AD yang Anda buat di domain Anda pada langkah sebelumnya.

    3. Untuk kunci kedua, masukkan CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.

  4. Untuk Kunci enkripsi, masukkan kunci KMS yang Anda buat pada langkah sebelumnya lalu klik Berikutnya.

  5. Untuk Nama rahasia, masukkan nama deskriptif yang akan membantu Anda menemukan rahasia Anda nanti.

  6. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk nama rahasia.

  7. Untuk Izin sumber daya, klik Edit.

  8. Tambahkan kebijakan berikut ke kebijakan izin:

    catatan

    Kami menyarankan Anda menggunakan kondisi aws:sourceAccount dan aws:sourceArn dalam kebijakan untuk menghindari masalah confused deputy. Gunakan Akun AWS untuk aws:sourceAccount dan RDS untuk SQL Server DB instance ARN untuk. aws:sourceArn Untuk informasi selengkapnya, lihat Pencegahan masalah confused deputy lintas layanan.

    {
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. Klik Simpan lalu klik Berikutnya.

  10. Untuk Konfigurasikan pengaturan rotasi, pertahankan nilai default dan pilih Berikutnya.

  11. Tinjau pengaturan untuk rahasia lalu klik Simpan.

  12. Pilih rahasia yang Anda buat dan salin nilai ARN Rahasia. Nilai ini akan digunakan pada langkah berikutnya untuk mengatur Directory Active yang dikelola sendiri.

Langkah 6: Buat atau ubah instans DB SQL Server

Anda dapat menggunakan konsol, CLI, atau API RDS untuk SQL Server dengan domain AD yang dikelola sendiri. Anda dapat melakukannya dengan salah satu cara berikut:

Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan domain Active Directory yang dikelola sendiri yang Anda buat:

  • Untuk parameter --domain-fqdn, gunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari Directory Active Anda yang dikelola sendiri.

  • Untuk parameter --domain-ou, gunakan OU yang Anda buat di AD yang dikelola sendiri.

  • Untuk parameter --domain-auth-secret-arn, gunakan nilai ARN Rahasia yang Anda buat pada langkah sebelumnya.

  • Untuk parameter --domain-dns-ips, gunakan alamat IPv4 primer dan sekunder dari server DNS untuk AD yang dikelola sendiri. Jika Anda tidak memiliki alamat IP server DNS sekunder, masukkan alamat IP primer dua kali.

Contoh perintah CLI berikut menunjukkan cara membuat, memodifikasi, dan menghapus instans DB RDS for SQL Server dengan domain AD yang dikelola sendiri.

penting

Jika Anda memodifikasi instans DB untuk menggabungkannya ke atau menghapusnya dari domain AD yang dikelola sendiri, boot ulang instans DB tersebut diperlukan agar modifikasi diterapkan. Anda dapat memilih untuk segera menerapkan perubahan atau menunggu hingga periode pemeliharaan berikutnya. Memilih opsi Terapkan Segera akan menyebabkan waktu henti untuk instans DB AZ Tunggal. Instans DB Multi-AZ akan melakukan failover sebelum menyelesaikan boot ulang. Untuk informasi selengkapnya, lihat Pengaturan modifikasi jadwal.

Perintah CLI berikut membuat RDS baru untuk instans DB SQL Server dan menggabungkannya ke domain AD yang dikelola sendiri.

Untuk Linux, macOS, atau Unix:

aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Untuk Windows:

aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Perintah CLI berikut memodifikasi RDS yang ada untuk instans DB SQL Server untuk menggunakan domain Active Directory yang dikelola sendiri.

Untuk Linux, macOS, atau Unix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Untuk Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Perintah CLI berikut menghapus DB RDS for SQL Server instans dari domain Active Directory yang dikelola sendiri.

Untuk Linux, macOS, atau Unix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain

Untuk Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain

Langkah 7: Buat login SQL Server Autentikasi Windows

Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans basis data SQL Server sebagaimana Anda lakukan dengan instans DB lain. Karena instans DB digabungkan ke domain AD yang dikelola sendiri, Anda dapat menyediakan login dan pengguna SQL Server. Anda melakukannya dari utilitas pengguna dan grup AD di domain AD yang dikelola sendiri. Izin basis data dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.

Agar pengguna AD yang dikelola sendiri dapat mengautentikasi dengan SQL Server, login Windows SQL Server harus ada untuk pengguna AD yang dikelola sendiri tersebut atau grup Directory Active yang dikelola sendiri tempat pengguna tersebut menjadi anggota. Kontrol akses fine-grained akan ditangani melalui pemberian dan pencabutan izin pada login SQL Server ini. Pengguna AD yang dikelola sendiri yang tidak memiliki login SQL Server atau yang tidak termasuk dalam grup AD yang dikelola sendiri dengan login tersebut tidak akan dapat mengakses instans DB SQL Server.

Izin ALTER ANY LOGIN diperlukan untuk membuat login SQL Server AD yang dikelola sendiri. Jika Anda belum membuat login apa pun dengan izin ini, hubungkan sebagai pengguna master instans DB menggunakan Autentikasi SQL Server dan buat login SQL Server AD yang dikelola sendiri dalam konteks pengguna master.

Anda dapat menjalankan perintah bahasa definisi data (DDL) berikut untuk membuat login SQL Server untuk pengguna atau grup AD yang dikelola sendiri.

catatan

Tentukan pengguna dan grup yang menggunakan nama login pra-Windows 2000 dalam format my_AD_domain\my_AD_domain_user. Anda tidak dapat menggunakan nama prinsipal pengguna (UPN) dalam format my_AD_domain_user@my_AD_domain.

USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Untuk informasi selengkapnya, lihat CREATE LOGIN (Transact-SQL) dalam dokumentasi Microsoft Developer Network.

Pengguna (baik manusia maupun aplikasi) dari domain Anda kini dapat terhubung ke instans RDS for SQL Server dari mesin klien yang tergabung dengan domain AD yang dikelola sendiri menggunakan autentikasi Windows.

Mengelola instans DB dalam Domain Directory Active yang dikelola sendiri

Anda dapat menggunakan konsol AWS CLI, atau Amazon RDS API untuk mengelola instans DB dan hubungannya dengan domain AD yang dikelola sendiri. Misalnya, Anda dapat memindahkan instans DB ke dalam, ke luar dari, atau antar-domain.

Misalnya, menggunakan API Amazon RDS, Anda dapat melakukan hal berikut:

  • Untuk mencoba kembali bergabung dengan domain yang dikelola sendiri untuk keanggotaan yang gagal, gunakan operasi API ModifyDBInstance dan tentukan serangkaian parameter yang sama:

    • --domain-fqdn

    • --domain-dns-ips

    • --domain-ou

    • --domain-auth-secret-arn

  • Untuk menghapus instans DB dari domain yang dikelola sendiri, gunakan operasi API ModifyDBInstance dan tentukan --disable-domain untuk parameter domain.

  • Untuk memindahkan instans DB dari satu domain yang dikelola sendiri ke yang lain, gunakan operasi API ModifyDBInstance dan tentukan parameter domain untuk domain baru:

    • --domain-fqdn

    • --domain-dns-ips

    • --domain-ou

    • --domain-auth-secret-arn

  • Untuk menampilkan daftar keanggotaan domain AD yang dikelola sendiri untuk setiap instans DB, gunakan operasi API DescribeDBInstances.

Memahami keanggotaan Domain Directory Active yang dikelola sendiri

Setelah Anda membuat atau memodifikasi instans DB, instans ini akan menjadi anggota domain AD yang dikelola sendiri. AWS Konsol menunjukkan status keanggotaan domain Active Directory yang dikelola sendiri untuk instans DB. Status instans DB dapat berupa salah satu dari daftar berikut:

  • joined – Instans adalah anggota domain AD.

  • joining – Instans sedang dalam proses untuk menjadi anggota domain.

  • pending-join – Keanggotaan instans tertunda.

  • pending-maintenance-join— AWS akan mencoba menjadikan instance sebagai anggota domain AD selama jendela pemeliharaan terjadwal berikutnya.

  • pending-removal – Penghapusan instans dari domain tertunda.

  • pending-maintenance-removal— AWS akan mencoba menghapus instance dari domain AD selama jendela pemeliharaan terjadwal berikutnya.

  • failed – Masalah konfigurasi telah mencegah instans bergabung dengan domain AD. Periksa dan perbaiki konfigurasi Anda sebelum menerbitkan ulang perintah modifikasi instans.

  • removing – Instans sedang dalam proses untuk dihapus dari domain AD.

Permintaan untuk menjadi anggota domain AD yang dikelola sendiri dapat gagal karena masalah konektivitas jaringan. Misalnya, Anda dapat membuat instans DB atau memodifikasi instans yang sudah ada dan mengalami kegagalan saat mencoba menjadikan instans DB sebagai anggota suatu domain AD yang dikelola sendiri. Dalam hal ini, terbitkan ulang perintah untuk membuat atau memodifikasi instans DB atau modifikasi instans yang baru dibuat untuk digabungkan ke domain AD yang dikelola sendiri.

Pemecahan masalah Directory Active yang dikelola sendiri

Berikut ini adalah masalah yang mungkin Anda hadapi saat menyiapkan atau memodifikasi AD yang dikelola sendiri.

Kode Kesalahan Deskripsi Penyebab umum Saran pemecahan masalah

Error 2 / 0x2

Sistem tidak dapat menemukan file yang ditentukan.

Format atau lokasi untuk Unit Organisasi (OU) yang ditentukan dengan parameter —domain-ou tidak valid. Akun layanan domain yang ditentukan melalui AWS Secrets Manager tidak memiliki izin yang diperlukan untuk bergabung dengan OU.

Tinjau parameter —domain-ou. Pastikan akun layanan domain memiliki izin yang benar ke OU. Untuk informasi selengkapnya, lihat Konfigurasikan akun layanan domain AD Anda.

Error 5 / 0x5

Akses ditolak.

Izin yang salah dikonfigurasi untuk akun layanan domain, atau akun komputer sudah ada di domain.

Tinjau izin akun layanan domain di domain, dan verifikasi bahwa akun komputer RDS tidak diduplikasi dalam domain. Anda dapat memverifikasi nama akun komputer RDS dengan menjalankan SELECT @@SERVERNAME di instans DB RDS for SQL Server Anda. Jika Anda menggunakan Multi-AZ, coba boot ulang dengan failover lalu verifikasi akun komputer RDS tersebut lagi. Untuk informasi selengkapnya, lihat Mem-boot ulang instans DB.

Error 87 / 0x57

Parameter salah.

Akun layanan domain yang ditentukan melalui AWS Secrets Manager tidak memiliki izin yang benar. Profil pengguna juga mungkin rusak.

Tinjau persyaratan untuk akun layanan domain. Untuk informasi selengkapnya, lihat Konfigurasikan akun layanan domain AD Anda.

Error 234 / 0xEA

Unit Organisasi (OU) yang ditentukan tidak ada.

OU yang ditentukan dengan parameter —domain-ou tidak ada di AD yang dikelola sendiri.

Tinjau parameter —domain-ou dan pastikan OU yang ditentukan ada di AD yang dikelola sendiri.

Error 1326 / 0x52E

Nama pengguna atau kata sandi salah.

Kredensyal akun layanan domain yang disediakan di AWS Secrets Manager berisi nama pengguna yang tidak dikenal atau kata sandi yang buruk. Akun domain mungkin juga dinonaktifkan di AD yang dikelola sendiri.

Pastikan kredensyal yang disediakan di AWS Secrets Manager sudah benar dan akun domain diaktifkan di Active Directory yang dikelola sendiri.

Error 1355 / 0x54B

Domain yang ditentukan tidak ada atau tidak dapat dihubungi.

Domain sedang nonaktif, set IP DNS yang ditentukan tidak dapat dijangkau, atau FQDN yang ditentukan tidak dapat dijangkau.

Tinjau parameter —domain-dns-ips dan —domain-fqdn untuk memastikannya sudah benar. Tinjau konfigurasi jaringan instans DB RDS for SQL Server Anda dan pastikan AD yang dikelola sendiri dapat dijangkau. Untuk informasi selengkapnya, lihat Konfigurasikan konektivitas jaringan Anda.

Kesalahan 1722/0x6BA

Server RPC tidak tersedia.

Ada masalah saat menjangkau layanan RPC domain AD Anda. Hal ini mungkin merupakan masalah layanan atau jaringan.

Validasikan bahwa layanan RPC berjalan pada pengontrol domain Anda dan port TCP 135 dan 49152-65535 dapat dijangkau di domain Anda dari instans DB RDS for SQL Server Anda.

Error 2224 / 0x8B0

Akun pengguna sudah ada.

Akun komputer yang mencoba agar ditambahkan ke AD yang dikelola sendiri sudah ada.

Identifikasi akun komputer dengan menjalankan SELECT @@SERVERNAME di instans DB SQL RDS for Server Anda lalu hapus dengan hati-hati dari AD yang dikelola sendiri.

Error 2242 / 0x8c2

Kata sandi pengguna ini telah kedaluwarsa.

Kata sandi untuk akun layanan domain yang ditentukan melalui AWS Secrets Manager telah kedaluwarsa.

Perbarui kata sandi untuk akun layanan domain yang digunakan untuk menggabungkan instans DB RDS for SQL Server Anda ke AD yang dikelola sendiri.

Memulihkan instans DB SQL Server lalu menambahkannya ke domain Directory Active yang dikelola sendiri

Anda dapat memulihkan snapshot DB atau melakukan point-in-time pemulihan (PITR) untuk instance SQL Server DB dan kemudian menambahkannya ke domain Active Directory yang dikelola sendiri. Setelah instans DB dipulihkan, modifikasi instans ini menggunakan proses yang dijelaskan dalam Langkah 6: Buat atau ubah instans DB SQL Server untuk menambahkan instans DB ke domain AD yang dikelola sendiri.