Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan Active Directory dengan RDS for SQL Server
Anda dapat menggabungkan instans DB RDS for SQL Server ke domain Microsoft Active Directory (AD). Domain AD Anda dapat di-host pada iklan AWS terkelola di dalam AWS, atau pada iklan yang dikelola sendiri di lokasi pilihan Anda, termasuk pusat data perusahaan Anda, di AWS EC2, atau dengan penyedia cloud lainnya.
Anda dapat mengautentikasi pengguna domain menggunakan otentikasi NTLM dan otentikasi Kerberos dengan Active Directory yang dikelola sendiri dan. AWS Managed Microsoft AD
Di bagian berikut, Anda dapat menemukan informasi tentang bekerja dengan Direktori Aktif yang dikelola sendiri dan Direktori Aktif AWS Terkelola untuk Microsoft SQL Server di Amazon RDS.
**Topics**
+ [Bekerja dengan Active Directory yang dikelola sendiri dengan instans Amazon RDS for SQL Server DB](USER_SQLServer_SelfManagedActiveDirectory.md)
+ [Bekerja dengan Direktori Aktif AWS Terkelola dengan RDS untuk SQL Server](USER_SQLServerWinAuth.md)
# Bekerja dengan Active Directory yang dikelola sendiri dengan instans Amazon RDS for SQL Server DB
Amazon RDS for SQL Server terintegrasi dengan mulus dengan domain Active Directory (AD) yang dikelola sendiri, di mana pun iklan Anda di-host - baik di pusat data, di Amazon EC2, atau dengan penyedia cloud lainnya. Integrasi ini memungkinkan otentikasi pengguna langsung melalui protokol NTLM atau Kerberos, menghilangkan kebutuhan akan domain perantara yang kompleks atau perwalian hutan. Saat Anda terhubung ke instans RDS SQL Server DB, permintaan autentikasi diteruskan dengan aman ke domain AD yang Anda tentukan, mempertahankan struktur manajemen identitas yang ada sambil memanfaatkan kemampuan database terkelola Amazon RDS.
**Topics**
+ [Ketersediaan wilayah dan versi](#USER_SQLServer_SelfManagedActiveDirectory.RegionVersionAvailability)
+ [Persyaratan](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md)
+ [Pertimbangan-pertimbangan](#USER_SQLServer_SelfManagedActiveDirectory.Limitations)
+ [Menyiapkan Direktori Aktif yang dikelola sendiri](USER_SQLServer_SelfManagedActiveDirectory.SettingUp.md)
+ [Bergabung dengan instans DB Anda ke Active Directory yang dikelola sendiri](USER_SQLServer_SelfManagedActiveDirectory.Joining.md)
+ [Mengelola instans DB dalam Domain Directory Active yang dikelola sendiri](USER_SQLServer_SelfManagedActiveDirectory.Managing.md)
+ [Memahami keanggotaan Domain Directory Active yang dikelola sendiri](#USER_SQLServer_SelfManagedActiveDirectory.Understanding)
+ [Pemecahan masalah Directory Active yang dikelola sendiri](USER_SQLServer_SelfManagedActiveDirectory.TroubleshootingSelfManagedActiveDirectory.md)
+ [Memulihkan instans DB SQL Server lalu menambahkannya ke domain Directory Active yang dikelola sendiri](#USER_SQLServer_SelfManagedActiveDirectory.Restore)
## Ketersediaan wilayah dan versi
Amazon RDS mendukung AD yang dikelola sendiri untuk SQL Server menggunakan NTLM dan Kerberos di semua komersial dan. Wilayah AWS AWS GovCloud (US) Regions
# Persyaratan
Pastikan Anda telah memenuhi persyaratan berikut sebelum menggabungkan instans DB RDS for SQL Server ke domain AD yang dikelola sendiri.
**Topics**
+ [Konfigurasikan AD on-premise Anda](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.OnPremConfig)
+ [Konfigurasikan konektivitas jaringan Anda](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig)
+ [Konfigurasikan akun layanan domain AD Anda](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig)
+ [Mengkonfigurasi komunikasi aman melalui LDAPS](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.LDAPS)
## Konfigurasikan AD on-premise Anda
Pastikan bahwa Anda memiliki Microsoft AD on-premise atau yang dikelola sendiri lainnya tempat Anda dapat menggabungkan instans Amazon RDS for SQL Server. AD on-premise Anda harus memiliki konfigurasi berikut:
+ Jika Anda memiliki situs AD yang ditentukan, pastikan subnet di VPC yang terkait dengan instans RDS untuk SQL Server DB ditentukan di situs AD Anda. Konfirmasikan bahwa tidak ada konflik antara subnet di VPC Anda dan subnet di situs AD Anda yang lain.
+ Pengontrol domain AD Anda memiliki tingkat fungsional domain Windows Server 2008 R2 atau lebih tinggi.
+ Nama domain AD Anda tidak dapat menggunakan format Domain Label Tunggal (SLD). RDS for SQL Server tidak mendukung domain SLD.
+ Nama domain yang memenuhi syarat penuh (FQDN) untuk iklan Anda tidak boleh melebihi 47 karakter.
## Konfigurasikan konektivitas jaringan Anda
Pastikan bahwa Anda telah memenuhi konfigurasi jaringan berikut:
+ Konfigurasikan konektivitas antara VPC Amazon tempat Anda ingin membuat instans RDS untuk SQL Server DB dan AD yang dikelola sendiri. Anda dapat mengatur konektivitas menggunakan AWS Direct Connect, AWS VPN, VPC peering, atau Transit Gateway AWS .
+ Untuk grup keamanan VPC, grup keamanan default untuk Amazon VPC default Anda sudah ditambahkan ke instans DB RDS for SQL Server Anda di konsol. Pastikan bahwa grup keamanan dan jaringan VPC ACLs untuk subnet tempat Anda membuat instans RDS untuk SQL Server DB memungkinkan lalu lintas pada port dan arah yang ditunjukkan pada diagram berikut.
![\[Aturan port konfigurasi jaringan AD yang dikelola sendiri.\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/SQLServer_SelfManagedActiveDirectory_Requirements_NetworkConfig.png)
Tabel berikut mengidentifikasi peran masing-masing port.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/USER_SQLServer_SelfManagedActiveDirectory.Requirements.html)
+ Umumnya, server DNS domain terletak di pengontrol domain AD. Anda tidak perlu mengonfigurasi opsi DHCP VPC yang diatur untuk menggunakan fitur ini. Untuk informasi selengkapnya, lihat [Set opsi DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dalam *Panduan Pengguna Amazon VPC*.
**penting**
Jika Anda menggunakan jaringan VPC ACLs, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari RDS Anda untuk instans SQL Server DB. Pastikan bahwa aturan lalu lintas ini juga dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain AD, server DNS, dan instans DB RDS for SQL Server.
Sementara grup keamanan VPC memerlukan port untuk dibuka hanya ke arah lalu lintas jaringan dimulai, sebagian besar firewall Windows dan ACLs jaringan VPC memerlukan port untuk dibuka di kedua arah.
## Konfigurasikan akun layanan domain AD Anda
Pastikan bahwa Anda telah memenuhi persyaratan berikut untuk akun layanan domain AD:
+ Pastikan Anda memiliki akun layanan domain di domain AD yang dikelola sendiri dengan izin yang didelegasikan untuk bergabung dengan komputer ke domain tersebut. Akun layanan domain adalah akun pengguna di AD yang dikelola sendiri yang telah mendapatkan delegasi izin untuk melakukan tugas tertentu.
+ Akun layanan domain perlu mendapatkan delegasi izin berikut di Unit Organisasi (OU) tempat Anda menggabungkan instans DB RDS for SQL Server Anda:
+ Kemampuan tervalidasi untuk menulis ke nama host DNS
+ Kemampuan tervalidasi untuk menulis ke nama prinsipal layanan
+ Membuat dan menghapus objek komputer
Ini mewakili set minimum izin yang diperlukan untuk menggabungkan objek komputer ke AD yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Errors when attempting to join computers to a domain](https://learn.microsoft.com/en-US/troubleshoot/windows-server/identity/access-denied-when-joining-computers) dalam dokumentasi Microsoft Windows Server.
+ Untuk menggunakan autentikasi Kerberos, Anda perlu memberikan Nama Utama Layanan (SPNs) dan izin DNS ke akun layanan domain AD Anda:
+ **Tulis SPN**: Delegasikan izin **Write SPN** ke akun layanan domain AD di OU di mana Anda harus bergabung dengan RDS untuk SQL Server DB instance. Izin ini berbeda dari SPN tulis yang divalidasi.
+ **Izin DNS**: Berikan izin berikut ke akun layanan domain AD di pengelola DNS di tingkat server untuk pengontrol domain Anda:
+ Daftar isi
+ Baca semua properti
+ Baca izin
**penting**
Jangan memindahkan objek komputer yang dibuat RDS for SQL Server di Unit Organisasi setelah instans DB Anda dibuat. Memindahkan objek terkait akan menyebabkan instans DB RDS for SQL Server Anda salah konfigurasi. Jika Anda perlu memindahkan objek komputer yang dibuat oleh Amazon RDS, gunakan operasi [Modify DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) RDS API untuk memodifikasi parameter domain dengan lokasi objek komputer yang diinginkan.
## Mengkonfigurasi komunikasi aman melalui LDAPS
Komunikasi melalui LDAPS direkomendasikan untuk RDS untuk query dan mengakses objek komputer serta SPNs dalam kontroler domain. Untuk menggunakan LDAP aman, gunakan sertifikat SSL yang valid pada pengontrol domain Anda yang memenuhi persyaratan untuk LDAPS aman. Jika sertifikat SSL yang valid tidak ada pada pengontrol domain, instans RDS untuk SQL Server DB default menggunakan LDAP. Untuk informasi selengkapnya tentang validitas sertifikat, lihat [Persyaratan untuk sertifikat LDAPS](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/enable-ldap-over-ssl-3rd-certification-authority#requirements-for-an-ldaps-certificate).
## Pertimbangan-pertimbangan
Saat menambahkan instans RDS untuk SQL Server DB ke AD yang dikelola sendiri, pertimbangkan hal berikut:
+ Instans DB Anda disinkronkan dengan AWS layanan NTP dan bukan server waktu domain AD. Untuk koneksi database antara instance SQL Server tertaut dalam domain AD Anda, Anda hanya dapat otentikasi SQL dan bukan otentikasi Windows.
+ Kebijakan Grup Setelan objek dari domain AD yang dikelola sendiri tidak disebarkan ke RDS untuk instans SQL Server Anda.
# Menyiapkan Direktori Aktif yang dikelola sendiri
Untuk menyiapkan iklan yang dikelola sendiri, lakukan langkah-langkah berikut.
**Topics**
+ [Langkah 1: Buat Unit Organisasi di AD Anda](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU)
+ [Langkah 2: Buat akun layanan domain AD di AD Anda](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser)
+ [Langkah 3: Delegasikan kontrol ke akun layanan domain AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl)
+ [Langkah 4: Buat AWS KMS kunci](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey)
+ [Langkah 5: Buat AWS rahasia](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret)
## Langkah 1: Buat Unit Organisasi di AD Anda
**penting**
Sebaiknya buat kredensi OU dan layanan khusus yang dicakup oleh OU tersebut untuk AWS akun apa pun yang memiliki instans RDS untuk SQL Server DB yang bergabung dengan domain AD yang dikelola sendiri. Dengan mengkhususkan kredensial OU dan layanan, Anda dapat menghindari izin yang bertentangan dan mengikuti prinsip hak akses paling rendah.
**Untuk membuat OU di AD Anda**
1. Hubungkan ke domain AD Anda sebagai administrator domain.
1. Buka **Active Directory Users and Computers** dan pilih domain tempat Anda ingin membuat OU Anda.
1. Klik kanan domain dan pilih **New**, lalu **Organizational Unit**.
1. Masukkan nama untuk OU.
1. Biarkan kotak tetap dicentang untuk **Protect container from accidental deletion**.
1. Klik **OK**. OU baru Anda akan muncul di bawah domain Anda.
## Langkah 2: Buat akun layanan domain AD di AD Anda
Kredensyal akun layanan domain akan digunakan untuk AWS rahasia di Secrets Manager.
**Untuk membuat akun layanan domain AD di AD**
1. Buka **Active Directory Users and Computers** dan pilih domain dan OU tempat Anda ingin membuat pengguna Anda.
1. Klik kanan objek **Users** dan pilih **New**, lalu **User**.
1. Masukkan nama depan, nama belakang, dan nama login untuk pengguna. Klik **Next**.
1. Masukkan kata sandi untuk pengguna. Jangan pilih **"User must change password at next login"**. Jangan pilih **"Account is disabled"**. Klik **Next**.
1. Klik **OK**. Pengguna baru Anda akan muncul di bawah domain Anda.
## Langkah 3: Delegasikan kontrol ke akun layanan domain AD
**Untuk mendelegasikan kontrol ke akun layanan domain AD di domain Anda**
1. Buka snap-in MMC **Active Directory Users and Computers** dan pilih domain tempat Anda ingin membuat pengguna Anda.
1. Klik kanan OU yang Anda buat sebelumnya dan pilih **Delegate Control**.
1. Pada bagian **Delegation of Control Wizard**, klik **Next**.
1. Pada bagian **Users or Groups**, klik **Add**.
1. Pada bagian **Pilih Pengguna, Komputer, atau Grup**, masukkan akun layanan domain AD yang Anda buat dan klik **Periksa Nama**. Jika pemeriksaan akun layanan domain AD Anda berhasil, klik **OK**.
1. Pada bagian **Pengguna atau Grup**, konfirmasikan akun layanan domain AD Anda telah ditambahkan dan klik **Berikutnya**.
1. Pada bagian **Tasks to Delegate**, pilih **Create a custom task to delegate** lalu klik **Next**.
1. Pada bagian **Active Directory Object Type**:
1. Pilih **Only the following objects in the folder**.
1. Pilih **Computer Objects**.
1. Pilih **Create selected objects in this folder**.
1. Pilih **Delete selected objects in this folder** lalu klik **Next**.
1. Pada bagian **Permissions**:
1. Tetap pilih **General**.
1. Pilih **Validated write to DNS host name**.
1. Pilih **Validated write to service principal name** lalu klik **Next**.
1. **Untuk mengaktifkan otentikasi Kerberos, tetap pilih **Property-specific** dan pilih Write dari daftar. servicePrincipalName**
1. Untuk **Completing the Delegation of Control Wizard**, tinjau dan konfirmasikan pengaturan Anda lalu klik **Finish**.
1. **Untuk otentikasi Kerberos, buka DNS Manager dan buka properti Server.**
1. Di kotak dialog Windows, ketik`dnsmgmt.msc`.
1. Tambahkan akun layanan domain AD di bawah tab **Keamanan**.
1. Pilih izin **Baca** dan terapkan perubahan Anda.
## Langkah 4: Buat AWS KMS kunci
Kunci KMS digunakan untuk mengenkripsi rahasia AndaAWS.
**Untuk membuat AWS KMS kunci**
**catatan**
Untuk **Kunci Enkripsi**, jangan gunakan kunci KMS AWS default. Pastikan untuk membuat AWS KMS kunci di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.
1. Di AWS KMS konsol, pilih **tombol Buat**.
1. Untuk **Tipe Kunci**, pilih **Simetris**.
1. Untuk **Penggunaan Kunci**, pilih **Enkripsi dan dekripsi**.
1. Untuk **Opsi lanjutan**:
1. Untuk **Asal materi kunci**, pilih **KMS**.
1. Untuk **Regionalitas**, pilih **Kunci Wilayah Tunggal** lalu klik **Berikutnya**.
1. Untuk **Alias**, berikan nama untuk kunci KMS.
1. (Opsional) Untuk **Deskripsi**, berikan deskripsi kunci KMS.
1. (Opsional) Untuk **Tag**, berikan tag kunci KMS lalu klik **Berikutnya**.
1. Untuk **Administrator kunci**, berikan nama pengguna IAM dan pilih nama pengguna tersebut.
1. Untuk **Penghapusan kunci**, biarkan kotak dipilih untuk **Izinkan administrator kunci untuk menghapus kunci ini** lalu klik **Berikutnya**.
1. Untuk **Pengguna kunci**, berikan pengguna IAM yang sama dari langkah sebelumnya dan pilih nama pengguna tersebut. Klik **Berikutnya**.
1. Tinjau konfigurasi tersebut.
1. Untuk **Kebijakan kunci**, sertakan yang berikut pada **Pernyataan** kebijakan:
```
{
"Sid": "Allow use of the KMS key on behalf of RDS",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com"
]
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
1. Klik **Selesai**.
## Langkah 5: Buat AWS rahasia
**Untuk membuat rahasia**
**catatan**
Pastikan untuk membuat rahasia di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.
1. Di AWS Secrets Manager, pilih **Simpan rahasia baru**.
1. Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
1. Untuk **Pasangan kunci/nilai**, tambahkan dua kunci Anda:
1. Untuk kunci pertama, masukkan `SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Untuk nilai kunci pertama, masukkan hanya nama pengguna (tanpa awalan domain) dari pengguna AD. Jangan sertakan nama domain karena ini menyebabkan pembuatan instance gagal.
1. Untuk kunci kedua, masukkan `SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.
1. Untuk **Kunci enkripsi**, masukkan kunci KMS yang Anda buat pada langkah sebelumnya lalu klik **Berikutnya**.
1. Untuk **Nama rahasia**, masukkan nama deskriptif yang akan membantu Anda menemukan rahasia Anda nanti.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk nama rahasia.
1. Untuk **Izin sumber daya**, klik **Edit**.
1. Tambahkan kebijakan berikut ke kebijakan izin:
**catatan**
Kami menyarankan Anda menggunakan kondisi `aws:sourceAccount` dan `aws:sourceArn` dalam kebijakan untuk menghindari masalah *confused deputy*. Gunakan Akun AWS untuk `aws:sourceAccount` dan RDS untuk SQL Server DB instance ARN untuk. `aws:sourceArn` Untuk informasi selengkapnya, lihat [Pencegahan masalah confused deputy lintas layanan](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "rds.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition":
{
"StringEquals":
{
"aws:sourceAccount": "123456789012"
},
"ArnLike":
{
"aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
}
}
}
]
}
```
------
1. Klik **Simpan** lalu klik **Berikutnya**.
1. Untuk **Konfigurasikan pengaturan rotasi**, pertahankan nilai default dan pilih **Berikutnya**.
1. Tinjau pengaturan untuk rahasia lalu klik **Simpan**.
1. Pilih rahasia yang Anda buat dan salin nilai **ARN Rahasia**. Nilai ini akan digunakan pada langkah berikutnya untuk mengatur Directory Active yang dikelola sendiri.
# Bergabung dengan instans DB Anda ke Active Directory yang dikelola sendiri
Untuk menggabungkan instans RDS for SQL Server DB ke AD yang dikelola sendiri, ikuti langkah-langkah berikut:
## Langkah 1: Membuat atau memodifikasi instance SQL Server DB
Anda dapat menggunakan konsol, CLI, atau API RDS untuk SQL Server dengan domain AD yang dikelola sendiri. Anda dapat melakukannya dengan salah satu cara berikut:
+ Buat instance SQL Server DB baru menggunakan konsol, perintah [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)CLI, atau operasi DBInstance Create [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) API.
Untuk petunjuk, lihat [Membuat instans DB Amazon RDS](USER_CreateDBInstance.md).
+ Ubah instance SQL Server DB yang ada menggunakan konsol, perintah [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI, atau operasi DBInstance Modify [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) API.
Untuk petunjuk, lihat [Memodifikasi instans DB Amazon RDS](Overview.DBInstance.Modifying.md).
+ [Kembalikan instans SQL Server DB dari snapshot DB menggunakan konsol, perintah CLI [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html), atau operasi Restore From RDS API. DBInstance DBSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html)
Untuk petunjuk, lihat [Memulihkan ke instans DB](USER_RestoreFromSnapshot.md).
+ Kembalikan instance SQL Server DB ke point-in-time menggunakan konsol, perintah [restore-db-instance-to- point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) CLI, atau operasi DBInstance ToPointInTime Restore [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) API.
Untuk petunjuk, lihat [Memulihkan instans DB ke waktu yang ditentukan untuk Amazon RDS](USER_PIT.md).
Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan domain AD yang dikelola sendiri yang Anda buat:
+ Untuk `--domain-fqdn` parameternya, gunakan nama domain yang memenuhi syarat penuh (FQDN) dari AD yang dikelola sendiri.
+ Untuk parameter `--domain-ou`, gunakan OU yang Anda buat di AD yang dikelola sendiri.
+ Untuk parameter `--domain-auth-secret-arn`, gunakan nilai **ARN Rahasia** yang Anda buat pada langkah sebelumnya.
+ Untuk `--domain-dns-ips` parameter, gunakan IPv4 alamat primer dan sekunder server DNS untuk AD yang dikelola sendiri. Jika Anda tidak memiliki alamat IP server DNS sekunder, masukkan alamat IP primer dua kali.
Contoh perintah CLI berikut menunjukkan cara membuat, memodifikasi, dan menghapus instans DB RDS for SQL Server dengan domain AD yang dikelola sendiri.
**penting**
Jika Anda memodifikasi instans DB untuk menggabungkannya ke atau menghapusnya dari domain AD yang dikelola sendiri, boot ulang instans DB tersebut diperlukan agar modifikasi diterapkan. Anda dapat memilih untuk segera menerapkan perubahan atau menunggu hingga periode pemeliharaan berikutnya. Memilih opsi **Terapkan Segera** akan menyebabkan waktu henti untuk instans DB AZ Tunggal. Instans DB Multi-AZ akan melakukan failover sebelum menyelesaikan boot ulang. Untuk informasi selengkapnya, lihat [Menggunakan pengaturan modifikasi jadwal](USER_ModifyInstance.ApplyImmediately.md).
Perintah CLI berikut membuat RDS baru untuk instans DB SQL Server dan menggabungkannya ke domain AD yang dikelola sendiri.
Untuk Linux, macOS, atau Unix:
```
aws rds create-db-instance \
--db-instance-identifier my-DB-instance \
--db-instance-class db.m5.xlarge \
--allocated-storage 50 \
--engine sqlserver-se \
--engine-version 15.00.4043.16.v1 \
--license-model license-included \
--master-username my-master-username \
--master-user-password my-master-password \
--domain-fqdn my_AD_domain.my_AD.my_domain \
--domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
--domain-dns-ips "10.11.12.13" "10.11.12.14"
```
Untuk Windows:
```
aws rds create-db-instance ^
--db-instance-identifier my-DB-instance ^
--db-instance-class db.m5.xlarge ^
--allocated-storage 50 ^
--engine sqlserver-se ^
--engine-version 15.00.4043.16.v1 ^
--license-model license-included ^
--master-username my-master-username ^
--master-user-password my-master-password ^
--domain-fqdn my-AD-test.my-AD.mydomain ^
--domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
--domain-dns-ips "10.11.12.13" "10.11.12.14"
```
Perintah CLI berikut memodifikasi RDS yang ada untuk instans SQL Server DB untuk menggunakan domain AD yang dikelola sendiri.
Untuk Linux, macOS, atau Unix:
```
aws rds modify-db-instance \
--db-instance-identifier my-DB-instance \
--domain-fqdn my_AD_domain.my_AD.my_domain \
--domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
--domain-dns-ips "10.11.12.13" "10.11.12.14"
```
Untuk Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier my-DBinstance ^
--domain-fqdn my_AD_domain.my_AD.my_domain ^
--domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^
--domain-dns-ips "10.11.12.13" "10.11.12.14"
```
Perintah CLI berikut menghapus instance RDS untuk SQL Server DB dari domain AD yang dikelola sendiri.
Untuk Linux, macOS, atau Unix:
```
aws rds modify-db-instance \
--db-instance-identifier my-DB-instance \
--disable-domain
```
Untuk Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier my-DB-instance ^
--disable-domain
```
## Langkah 2: Menggunakan Kerberos atau Otentikasi NTLM
### Otentikasi NTLM
Setiap instans Amazon RDS DB memiliki titik akhir dan setiap titik akhir memiliki nama DNS dan nomor port untuk instans DB. Untuk menghubungkan instans basis Anda menggunakan aplikasi klien SQL, Anda memerlukan nama dan nomor port DNS untuk instans tersebut. Untuk mengautentikasi menggunakan otentikasi NTLM, Anda harus terhubung ke titik akhir RDS atau titik akhir pendengar jika Anda menggunakan penerapan Multi-AZ.
Selama pemeliharaan database yang direncanakan atau gangguan layanan yang tidak direncanakan, Amazon RDS secara otomatis gagal ke database up-to-date sekunder sehingga operasi dapat dilanjutkan dengan cepat tanpa intervensi manual. Contoh primer dan sekunder menggunakan titik akhir yang sama, yang alamat jaringan fisiknya bertransisi ke sekunder sebagai bagian dari proses failover. Anda tidak perlu mengonfigurasi ulang aplikasi Anda saat terjadi failover.
### Autentikasi Kerberos
Otentikasi berbasis Kerberos untuk RDS untuk SQL Server memerlukan koneksi dibuat ke Service Principal Name (SPN) tertentu. Namun, setelah peristiwa failover, aplikasi mungkin tidak mengetahui SPN baru. Untuk mengatasi hal ini, RDS untuk SQL Server menawarkan endpoint berbasis Kerberos.
Titik akhir berbasis Kerberos mengikuti format tertentu. Jika titik akhir RDS Anda`rds-instance-name.account-region-hash.aws-region.rds.amazonaws.com`, titik akhir berbasis Kerberos yang sesuai adalah. `rds-instance-name.account-region-hash.aws-region.awsrds.fully qualified domain name (FQDN)`
Misalnya, jika titik akhir RDS adalah `ad-test.cocv6zwtircu.us-east-1.rds.amazonaws.com` dan nama domainnya`corp-ad.company.com`, titik akhir berbasis Kerberos akan menjadi. `ad-test.cocv6zwtircu.us-east-1.awsrds.corp-ad.company.com`
Titik akhir berbasis Kerberos ini dapat digunakan untuk mengautentikasi dengan instance SQL Server menggunakan Kerberos, bahkan setelah peristiwa failover, karena titik akhir diperbarui secara otomatis untuk menunjuk ke SPN baru dari instance SQL Server utama.
### Menemukan CNAME Anda
Untuk menemukan CNAME Anda, sambungkan ke pengontrol domain Anda dan buka **DNS Manager**. Arahkan ke **Zona Pencarian Maju** dan FQDN Anda.
**Arahkan melalui **awsrds,** aws-region, dan **hash spesifik akun dan wilayah**.**
![\[Modifikasi jumlah penyimpanan untuk instans DB\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/kerb-endpoint-selfManagedAD-RDSMS.png)
Jika setelah menghubungkan CNAME dari klien jarak jauh, koneksi NTLM dikembalikan, periksa apakah port yang diperlukan diizinkan.
Untuk memeriksa apakah koneksi Anda menggunakan Kerberos, jalankan kueri berikut:
```
SELECT net_transport, auth_scheme
FROM sys.dm_exec_connections
WHERE session_id = @@SSPID;
```
Jika instans Anda mengembalikan koneksi NTLM saat Anda terhubung ke titik akhir Kerberos, verifikasi konfigurasi jaringan dan konfigurasi pengguna Anda. Lihat [Konfigurasikan konektivitas jaringan Anda](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig).
## Langkah 3: Buat login SQL Server Otentikasi Windows
Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans basis data SQL Server sebagaimana Anda lakukan dengan instans DB lain. Karena instans DB digabungkan ke domain AD yang dikelola sendiri, Anda dapat menyediakan login dan pengguna SQL Server. Anda melakukannya dari utilitas pengguna dan grup AD di domain AD yang dikelola sendiri. Izin basis data dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.
Agar akun layanan domain AD yang dikelola sendiri dapat diautentikasi dengan SQL Server, login SQL Server Windows harus ada untuk akun layanan domain AD yang dikelola sendiri atau grup AD yang dikelola sendiri yang menjadi anggotanya. Kontrol akses fine-grained akan ditangani melalui pemberian dan pencabutan izin pada login SQL Server ini. Akun layanan domain AD yang dikelola sendiri yang tidak memiliki login SQL Server atau milik grup AD yang dikelola sendiri dengan login seperti itu tidak dapat mengakses instans SQL Server DB.
Izin ALTER ANY LOGIN diperlukan untuk membuat login SQL Server AD yang dikelola sendiri. Jika Anda belum membuat login apa pun dengan izin ini, hubungkan sebagai pengguna master instans DB menggunakan Autentikasi SQL Server dan buat login SQL Server AD yang dikelola sendiri dalam konteks pengguna master.
Anda dapat menjalankan perintah bahasa definisi data (DDL) seperti berikut ini untuk membuat login SQL Server untuk akun atau grup layanan domain AD yang dikelola sendiri.
**catatan**
Tentukan pengguna dan grup yang menggunakan nama login pra-Windows 2000 dalam format `my_AD_domain\my_AD_domain_user`. Anda tidak dapat menggunakan nama prinsipal pengguna (UPN) dalam format *`my_AD_domain_user`*`@`*`my_AD_domain`*.
```
USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO
```
Untuk informasi selengkapnya, lihat [CREATE LOGIN (Transact-SQL)](https://msdn.microsoft.com/en-us/library/ms189751.aspx) dalam dokumentasi Microsoft Developer Network.
Pengguna (baik manusia maupun aplikasi) dari domain Anda kini dapat terhubung ke instans RDS for SQL Server dari mesin klien yang tergabung dengan domain AD yang dikelola sendiri menggunakan autentikasi Windows.
# Mengelola instans DB dalam Domain Directory Active yang dikelola sendiri
Anda dapat menggunakan konsol AWS CLI, atau Amazon RDS API untuk mengelola instans DB dan hubungannya dengan domain AD yang dikelola sendiri. Misalnya, Anda dapat memindahkan instans DB ke dalam, ke luar dari, atau antar-domain.
Misalnya, menggunakan API Amazon RDS, Anda dapat melakukan hal berikut:
+ Untuk mencoba kembali gabungan domain yang dikelola sendiri untuk keanggotaan yang gagal, gunakan operasi [Modify DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) API dan tentukan set parameter yang sama:
+ `--domain-fqdn`
+ `--domain-dns-ips`
+ `--domain-ou`
+ `--domain-auth-secret-arn`
+ Untuk menghapus instans DB dari domain yang dikelola sendiri, gunakan operasi API `ModifyDBInstance` dan tentukan `--disable-domain` untuk parameter domain.
+ Untuk memindahkan instans DB dari satu domain yang dikelola sendiri ke yang lain, gunakan operasi API `ModifyDBInstance` dan tentukan parameter domain untuk domain baru:
+ `--domain-fqdn`
+ `--domain-dns-ips`
+ `--domain-ou`
+ `--domain-auth-secret-arn`
+ Untuk mencantumkan keanggotaan domain AD yang dikelola sendiri untuk setiap instans DB, gunakan operasi [Deskripsikan DBInstances](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/DescribeDBInstances.html) API.
## Memahami keanggotaan Domain Directory Active yang dikelola sendiri
Setelah Anda membuat atau memodifikasi instans DB sambil menentukan detail AD, instans akan menjadi anggota domain AD yang dikelola sendiri. AWS Konsol menunjukkan status keanggotaan domain Active Directory yang dikelola sendiri untuk instans DB. Status instans DB dapat berupa salah satu dari daftar berikut:
+ **joined** – Instans adalah anggota domain AD.
+ **joining** – Instans sedang dalam proses untuk menjadi anggota domain.
+ **pending-join** – Keanggotaan instans tertunda.
+ **pending-maintenance-join**— AWS akan mencoba menjadikan instance sebagai anggota domain AD selama jendela pemeliharaan terjadwal berikutnya.
+ **pending-removal** – Penghapusan instans dari domain tertunda.
+ **pending-maintenance-removal**— AWS akan mencoba menghapus instance dari domain AD selama jendela pemeliharaan terjadwal berikutnya.
+ **failed** – Masalah konfigurasi telah mencegah instans bergabung dengan domain AD. Periksa dan perbaiki konfigurasi Anda sebelum menerbitkan ulang perintah modifikasi instans.
+ **removing** – Instans sedang dalam proses untuk dihapus dari domain AD.
**penting**
Permintaan untuk menjadi anggota domain AD yang dikelola sendiri dapat gagal karena masalah konektivitas jaringan. Misalnya, Anda dapat membuat instans DB atau memodifikasi instans yang sudah ada dan mengalami kegagalan saat mencoba menjadikan instans DB sebagai anggota suatu domain AD yang dikelola sendiri. Dalam hal ini, terbitkan ulang perintah untuk membuat atau memodifikasi instans DB atau modifikasi instans yang baru dibuat untuk digabungkan ke domain AD yang dikelola sendiri.
# Pemecahan masalah Directory Active yang dikelola sendiri
Berikut ini adalah masalah yang mungkin Anda hadapi saat menyiapkan atau memodifikasi AD yang dikelola sendiri.
****
| Kode Kesalahan | Deskripsi | Penyebab umum | Saran pemecahan masalah |
| --- | --- | --- | --- |
| Error 2 / 0x2 | Sistem tidak dapat menemukan file yang ditentukan. | Format atau lokasi untuk Unit Organisasi (OU) yang ditentukan dengan parameter `—domain-ou` tidak valid. Akun layanan domain yang ditentukan melalui AWS Secrets Manager tidak memiliki izin yang diperlukan untuk bergabung dengan OU. | Tinjau parameter `—domain-ou`. Pastikan akun layanan domain memiliki izin yang benar ke OU. Untuk informasi selengkapnya, lihat [Konfigurasikan akun layanan domain AD Anda](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md#USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig). |
| Error 5 / 0x5 | Akses ditolak. | Izin yang salah dikonfigurasi untuk akun layanan domain, atau akun komputer sudah ada di domain. | Tinjau izin akun layanan domain di domain, dan verifikasi bahwa akun komputer RDS tidak diduplikasi dalam domain. Anda dapat memverifikasi nama akun komputer RDS dengan menjalankan `SELECT @@SERVERNAME` di instans DB RDS for SQL Server Anda. Jika Anda menggunakan Multi-AZ, coba boot ulang dengan failover lalu verifikasi akun komputer RDS tersebut lagi. Untuk informasi selengkapnya, lihat [Mem-boot ulang instans DB DB](USER_RebootInstance.md). |
| Error 87 / 0x57 | Parameter salah. | Akun layanan domain yang ditentukan melalui AWS Secrets Manager tidak memiliki izin yang benar. Profil pengguna juga mungkin rusak. | Tinjau persyaratan untuk akun layanan domain. Untuk informasi selengkapnya, lihat [Konfigurasikan akun layanan domain AD Anda](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md#USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig). |
| Error 234 / 0xEA | Unit Organisasi (OU) yang ditentukan tidak ada. | OU yang ditentukan dengan parameter `—domain-ou` tidak ada di AD yang dikelola sendiri. | Tinjau parameter `—domain-ou` dan pastikan OU yang ditentukan ada di AD yang dikelola sendiri. |
| Error 1326 / 0x52E | Nama pengguna atau kata sandi salah. | Kredensyal akun layanan domain yang disediakan di AWS Secrets Manager berisi nama pengguna yang tidak dikenal atau kata sandi yang buruk. Akun domain mungkin juga dinonaktifkan di AD yang dikelola sendiri. | Pastikan kredensyal yang disediakan di AWS Secrets Manager sudah benar dan akun domain diaktifkan di AD yang dikelola sendiri. |
| Error 1355 / 0x54B | Domain yang ditentukan tidak ada atau tidak dapat dihubungi. | Domain sedang down, set DNS yang ditentukan tidak dapat IPs dijangkau, atau FQDN yang ditentukan tidak dapat dijangkau. | Tinjau parameter `—domain-dns-ips` dan `—domain-fqdn` untuk memastikannya sudah benar. Tinjau konfigurasi jaringan instans DB RDS for SQL Server Anda dan pastikan AD yang dikelola sendiri dapat dijangkau. Untuk informasi selengkapnya, lihat [Konfigurasikan konektivitas jaringan Anda](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig). |
| Kesalahan 1722/0x6BA | Server RPC tidak tersedia. | Ada masalah saat menjangkau layanan RPC domain AD Anda. Hal ini mungkin merupakan masalah layanan atau jaringan. | Validasikan bahwa layanan RPC berjalan pada pengontrol domain Anda dan port TCP `135` dan `49152-65535` dapat dijangkau di domain Anda dari instans DB RDS for SQL Server Anda. |
| Kesalahan 1727/0x6BF | Panggilan prosedur jarak jauh gagal dan tidak dijalankan. | Masalah konektivitas jaringan atau pembatasan firewall yang memblokir komunikasi RPC ke pengontrol domain. | Jika menggunakan gabungan domain Cross VPC, validasi komunikasi Cross VPC diatur dengan benar dengan peering VPC atau Transit Gateway. Pastikan port tinggi TCP dapat `49152-65535` dijangkau di domain Anda dari RDS untuk instans SQL Server DB, termasuk kemungkinan pembatasan firewall. |
| Error 2224 / 0x8B0 | Akun pengguna sudah ada. | Akun komputer yang mencoba agar ditambahkan ke AD yang dikelola sendiri sudah ada. | Identifikasi akun komputer dengan menjalankan `SELECT @@SERVERNAME` di instans DB SQL RDS for Server Anda lalu hapus dengan hati-hati dari AD yang dikelola sendiri. |
| Error 2242 / 0x8c2 | Kata sandi pengguna ini telah kedaluwarsa. | Kata sandi untuk akun layanan domain yang ditentukan melalui AWS Secrets Manager telah kedaluwarsa. | Perbarui kata sandi untuk akun layanan domain yang digunakan untuk menggabungkan instans DB RDS for SQL Server Anda ke AD yang dikelola sendiri. |
Setelah menggabungkan instans DB Anda ke domain Direktori Aktif yang dikelola sendiri, Anda mungkin menerima peristiwa RDS yang terkait dengan kesehatan domain Anda.
```
Unhealthy domain state detected while attempt to verify or
configure your Kerberos endpoint in your domain on
node node_n. message
```
Untuk instance multi-AZ, Anda mungkin melihat pelaporan kesalahan untuk node1 dan node2, yang menunjukkan konfigurasi Kerberos instans Anda belum siap untuk failover. Jika terjadi failover, Anda mungkin mengalami kesulitan otentikasi menggunakan Kerberos. Selesaikan masalah konfigurasi untuk memastikan pengaturan Kerberos valid dan mutakhir. Untuk instance Multi-AZ, tidak ada tindakan yang diperlukan untuk menggunakan otentikasi Kerberos pada host utama baru mengingat semua konfigurasi jaringan dan izin sudah ada.
Untuk instance Single-AZ, node1 adalah simpul utama. Jika otentikasi Kerberos Anda tidak berfungsi seperti yang diharapkan, periksa kejadian instance dan selesaikan masalah konfigurasi untuk memastikan penyiapan Kerberos valid dan mutakhir.
## Memulihkan instans DB SQL Server lalu menambahkannya ke domain Directory Active yang dikelola sendiri
Anda dapat memulihkan snapshot DB atau melakukan point-in-time pemulihan (PITR) untuk instans SQL Server DB dan kemudian menambahkannya ke domain Active Directory yang dikelola sendiri. Setelah instans DB dipulihkan, modifikasi instans ini menggunakan proses yang dijelaskan dalam [Langkah 1: Membuat atau memodifikasi instance SQL Server DB](USER_SQLServer_SelfManagedActiveDirectory.Joining.md#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateModify) untuk menambahkan instans DB ke domain AD yang dikelola sendiri.
# Bekerja dengan Direktori Aktif AWS Terkelola dengan RDS untuk SQL Server
Anda dapat menggunakan AWS Managed Microsoft AD untuk mengautentikasi pengguna dengan Windows Authentication ketika mereka terhubung ke RDS Anda untuk instans SQL Server DB. Instans DB bekerja dengan AWS Directory Service for Microsoft Active Directory, juga disebut AWS Managed Microsoft AD, untuk mengaktifkan Windows Authentication. Ketika pengguna mengautentikasi dengan instans DB SQL Server yang tergabung ke domain tepercaya, permintaan autentikasi diteruskan ke direktori domain yang Anda buat dengan Directory Service.
## Ketersediaan wilayah dan versi
Amazon RDS mendukung penggunaan hanya AWS Managed Microsoft AD untuk Windows Authentication. RDS tidak mendukung penggunaan AD Connector. Untuk informasi lebih lanjut, lihat hal berikut:
+ [Kebijakan kompatibilitas aplikasi untuk AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_app_compatibility.html)
+ [Kebijakan kompatibilitas aplikasi untuk AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_app_compatibility.html)
Untuk informasi tentang ketersediaan versi dan Wilayah, lihat [Autentikasi Kerberos dengan RDS for SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RDS_Fea_Regions_DB-eng.Feature.KerberosAuthentication.html#Concepts.RDS_Fea_Regions_DB-eng.Feature.KerberosAuthentication.sq).
## Gambaran umum pengaturan autentikasi Windows
Amazon RDS menggunakan mode campuran untuk Autentikasi Windows. Pendekatan ini berarti *pengguna master* (nama dan kata sandi yang digunakan untuk membuat instans DB SQL Server) akan menggunakan Autentikasi SQL. Karena akun pengguna master adalah kredensial istimewa, Anda harus membatasi akses ke akun ini.
Untuk mendapatkan Autentikasi Windows menggunakan Microsoft Active Directory on-premise atau yang di-host sendiri, buat sebuah forest trust. Trust dapat bersifat satu atau dua arah. Untuk informasi selengkapnya tentang menyiapkan trust hutan Directory Service, lihat [Kapan membuat hubungan kepercayaan](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) dalam *Panduan AWS Directory Service Administrasi*.
Untuk mengatur autentikasi Windows untuk instans DB SQL Server, lakukan langkah-langkah berikut, yang dijelaskan secara lebih terperinci dalam [Mengatur Autentikasi Windows untuk instans DB SQL Server](USER_SQLServerWinAuth.SettingUp.md):
1. Gunakan AWS Managed Microsoft AD, baik dari Konsol Manajemen AWS atau Directory Service API, untuk membuat AWS Managed Microsoft AD direktori.
1. Jika Anda menggunakan AWS CLI atau Amazon RDS API untuk membuat instans SQL Server DB, buat peran AWS Identity and Access Management (IAM). Peran ini menggunakan kebijakan IAM terkelola `AmazonRDSDirectoryServiceAccess` dan memungkinkan Amazon RDS melakukan panggilan ke direktori Anda. Jika Anda menggunakan konsol untuk membuat instans DB SQL Server, AWS akan membuat peran IAM untuk Anda.
Agar peran mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di AWS Wilayah untuk AWS akun Anda. AWS STS endpoint aktif secara default di semua AWS Wilayah, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Untuk informasi selengkapnya, lihat [Mengelola AWS STS di Wilayah AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html) dalam *Panduan Pengguna IAM*.
1. Buat dan konfigurasikan pengguna dan grup di AWS Managed Microsoft AD direktori menggunakan alat Microsoft Active Directory. Untuk informasi selengkapnya tentang membuat pengguna dan grup di Active Directory Anda, lihat [Kelola pengguna dan grup di AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html) dalam *Panduan Administrasi AWS Directory Service *.
1. Jika Anda berencana untuk menemukan direktori dan instans DB yang berbeda VPCs, aktifkan lalu lintas lintas VPC.
1. Gunakan Amazon RDS untuk membuat instans SQL Server DB baru baik dari konsol AWS CLI, atau Amazon RDS API. Dalam permintaan pembuatan, Anda perlu menyediakan pengidentifikasi domain (pengidentifikasi "`d-*`") yang dihasilkan saat Anda membuat direktori dan nama peran yang Anda buat. Anda juga dapat memodifikasi instans DB SQL Server yang sudah ada untuk menggunakan Autentikasi Windows dengan mengatur domain dan parameter peran IAM untuk instans DB.
1. Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke SQL Server DB instance saat Anda melakukan DB instance lainnya. Karena instans DB bergabung ke AWS Managed Microsoft AD domain, Anda dapat menyediakan login SQL Server dan pengguna dari pengguna dan grup Active Directory di domain mereka. (Hal ini dikenal sebagai login “Windows” SQL Server.) Izin basis data dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.
Saat Anda membuat RDS yang terhubung dengan domain untuk instans SQL Server DB menggunakan konsol Amazon RDS, AWS secara otomatis membuat peran IAM. `rds-directoryservice-access-role` Peran ini penting untuk mengelola instans yang terhubung dengan domain dan diperlukan untuk operasi berikut:
+ Membuat perubahan konfigurasi pada instance SQL Server yang terhubung dengan domain
+ Mengelola pengaturan integrasi Direktori Aktif
+ Melakukan operasi pemeliharaan pada instans yang bergabung dengan domain
**penting**
Jika Anda menghapus peran `rds-directoryservice-access-role` IAM, Anda tidak dapat membuat perubahan pada instance SQL Server yang terhubung dengan domain melalui konsol Amazon RDS atau API. Mencoba memodifikasi instance menghasilkan pesan kesalahan yang menyatakan: Anda tidak memiliki izin untuk iam:. CreateRole Untuk meminta akses, salin teks berikut dan kirimkan ke AWS administrator Anda.
Kesalahan ini terjadi karena Amazon RDS perlu membuat ulang peran untuk mengelola koneksi domain, tetapi tidak memiliki izin yang diperlukan. Selain itu, kesalahan ini tidak masuk CloudTrail, yang dapat membuat pemecahan masalah menjadi lebih sulit.
Jika Anda secara tidak sengaja menghapus`rds-directoryservice-access-role`, Anda harus memiliki `iam:CreateRole` izin untuk membuatnya kembali sebelum Anda dapat membuat perubahan apa pun pada instance SQL Server yang terhubung dengan domain Anda. Untuk membuat ulang peran secara manual, pastikan itu memiliki kebijakan `AmazonRDSDirectoryServiceAccess` terkelola yang dilampirkan dan hubungan kepercayaan yang sesuai yang memungkinkan layanan RDS untuk mengambil peran tersebut.
# Membuat titik akhir untuk autentikasi Kerberos
Autentikasi berbasis Kerberos mengharuskan bahwa titik akhir terdiri dari nama host yang ditentukan pelanggan, titik, lalu nama domain yang sepenuhnya memenuhi syarat (FQDN). Misalnya, berikut ini adalah contoh titik akhir yang mungkin Anda gunakan dengan autentikasi berbasis Kerberos. Dalam contoh ini, nama host instans DB SQL Server adalah `ad-test` dan nama domainnya adalah `corp-ad.company.com`.
```
ad-test.corp-ad.company.com
```
Jika Anda ingin memastikan koneksi Anda menggunakan Kerberos, jalankan kueri berikut:
```
1. SELECT net_transport, auth_scheme
2. FROM sys.dm_exec_connections
3. WHERE session_id = @@SPID;
```
# Mengatur Autentikasi Windows untuk instans DB SQL Server
Anda menggunakan AWS Directory Service for Microsoft Active Directory, juga disebut AWS Managed Microsoft AD, untuk mengatur Otentikasi Windows untuk instans SQL Server DB. Untuk mengatur Autentikasi Windows, lakukan langkah-langkah berikut.
## Langkah 1: Buat direktori menggunakan AWS Directory Service for Microsoft Active Directory
Directory Service membuat Microsoft Active Directory yang dikelola sepenuhnya di AWS Cloud. Saat Anda membuat AWS Managed Microsoft AD direktori, Directory Service buat dua pengontrol domain dan server Domain Name Service (DNS) atas nama Anda. Server direktori dibuat dalam dua subnet di dua Zona Ketersediaan yang berbeda dalam sebuah VPC. Redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses bahkan jika terjadi kegagalan.
Saat Anda membuat AWS Managed Microsoft AD direktori, Directory Service lakukan tugas-tugas berikut atas nama Anda:
+ Mengatur Microsoft Active Directory dengan VPC.
+ Membuat akun administrator direktori dengan Admin nama pengguna dan kata sandi yang ditentukan. Anda menggunakan akun ini untuk mengelola direktori Anda.
+ Membuat grup keamanan untuk pengontrol direktori.
Saat Anda meluncurkan AWS Directory Service for Microsoft Active Directory, AWS buat Unit Organisasi (OU) yang berisi semua objek direktori Anda. OU ini, yang memiliki nama NetBIOS yang Anda ketik saat membuat direktori Anda, terletak di root domain. Root domain dimiliki dan dikelola oleh AWS.
Akun *admin* yang dibuat dengan direktori AWS Managed Microsoft AD Anda memiliki izin untuk aktivitas administratif paling umum untuk OU Anda:
+ Membuat, memperbarui, atau menghapus pengguna, grup, dan komputer.
+ Menambahkan sumber daya ke domain Anda seperti server file atau cetak, lalu memberikan izin untuk sumber daya tersebut ke pengguna dan grup di OU Anda.
+ Buat tambahan OUs dan wadah.
+ Delegasikan otoritas.
+ Membuat dan menautkan kebijakan grup.
+ Memulihkan objek yang dihapus dari Keranjang Sampah Directory Active.
+ Jalankan PowerShell modul AD dan DNS Windows pada Layanan Web Direktori Aktif.
Akun admin juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut:
+ Mengelola konfigurasi DNS (menambahkan, menghapus, atau memperbarui catatan, zona, dan penerus).
+ Lihat log peristiwa DNS.
+ Lihat log peristiwa keamanan.
**Untuk membuat direktori dengan AWS Managed Microsoft AD**
1. Di panel navigasi [konsol Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**, lalu pilih **Siapkan direktori**.
1. Pilih **AWS Managed Microsoft AD**. Ini adalah satu-satunya opsi yang saat ini didukung untuk digunakan dengan Amazon RDS.
1. Pilih **Berikutnya**.
1. Di halaman **Masukkan informasi direktori**, berikan informasi berikut:
**Edisi**
Pilih edisi sesuai kebutuhan Anda.
**Nama DNS direktori**
Nama yang sepenuhnya memenuhi syarat untuk direktori, seperti `corp.example.com`. Nama yang lebih panjang dari 47 karakter tidak didukung oleh SQL Server.
**Nama NetBIOS direktori**
Nama pendek opsional untuk direktori, seperti `CORP`.
**Deskripsi direktori**
Deskripsi opsional untuk direktori.
**Kata sandi admin**
Kata sandi untuk administrator direktori. Proses pembuatan direktori akan membuat akun administrator dengan nama pengguna Admin dan kata sandi ini.
Kata sandi administrator direktori tidak dapat menyertakan kata `admin`. Kata sandi peka huruf besar/kecil dan harus memiliki panjang 8–64 karakter. Kata sandi juga harus berisi minimal satu karakter dalam tiga dari empat kategori berikut:
+ Huruf kecil (a-z)
+ Huruf besar (A-Z)
+ Angka (0-9)
+ Karakter non-alfanumerik (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**Konfirmasi kata sandi**
Ketik ulang kata sandi administrator.
1. Pilih **Berikutnya**.
1. Di halaman **Pilih VPC dan subnet**, berikan informasi berikut:
**VPC**
Pilih VPC untuk direktori.
Anda dapat menemukan direktori dan instans DB secara berbeda VPCs, tetapi jika Anda melakukannya, pastikan untuk mengaktifkan lalu lintas lintas VPC. Untuk informasi selengkapnya, lihat [Langkah 4: Aktifkan lalu lintas antar-VPC antara direktori dan instans DB](#USER_SQLServerWinAuth.SettingUp.VPC-Peering).
**Subnet**
Pilih subnet untuk server direktori. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.
1. Pilih **Berikutnya**.
1. Tinjau informasi direktori. Jika perubahan diperlukan, pilih **Sebelumnya**. Jika informasi sudah benar, pilih **Buat direktori**.
![\[Periksa dan buat halaman\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/WinAuth2.png)
Pembuatan direktori memerlukan waktu beberapa menit. Setelah berhasil dibuat, nilai **Status** berubah menjadi **Aktif**.
Untuk melihat informasi tentang direktori Anda, pilih ID direktori di daftar direktori. Catat **ID Direktori**. Anda memerlukan nilai ini saat membuat atau memodifikasi instans DB SQL Server Anda.
![\[Halaman detail direktori\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/WinAuth3.png)
## Langkah 2: Buat peran IAM yang akan digunakan oleh Amazon RDS
Jika Anda menggunakan konsol untuk membuat instans DB SQL Server, Anda dapat melewati langkah ini. Jika Anda menggunakan CLI atau API RDS untuk membuat instans DB SQL Server Anda, Anda harus membuat peran IAM yang menggunakan kebijakan IAM terkelola `AmazonRDSDirectoryServiceAccess`. Peran ini memungkinkan Amazon RDS untuk melakukan panggilan ke Directory Service untuk Anda.
Jika Anda menggunakan kebijakan khusus untuk bergabung dengan domain, daripada menggunakan `AmazonRDSDirectoryServiceAccess` kebijakan AWS-managed, pastikan Anda mengizinkan `ds:GetAuthorizedApplicationDetails` tindakan tersebut. Persyaratan ini berlaku mulai Juli 2019, karena adanya perubahan pada Directory Service API.
Kebijakan IAM berikut, `AmazonRDSDirectoryServiceAccess`, menyediakan akses ke Directory Service.
**Example Kebijakan IAM untuk menyediakan akses ke Directory Service**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
Sebaiknya gunakan kunci konteks kondisi global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) dan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) dalam hubungan kepercayaan berbasis sumber daya untuk membatasi izin layanan ke sumber daya tertentu. Ini adalah cara yang paling efektif untuk melindungi dari [masalah confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Anda dapat menggunakan kedua kunci konteks kondisi global tersebut dan nilai `aws:SourceArn` berisi ID akun. Dalam hal ini, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan yang sama.
+ Gunakan `aws:SourceArn` jika Anda menginginkan akses lintas layanan untuk satu sumber daya.
+ Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Dalam relasi kepercayaan, pastikan untuk menggunakan kunci konteks kondisi global `aws:SourceArn` dengan Amazon Resource Name (ARN) dari sumber daya yang mengakses peran. Untuk Autentikasi Windows, pastikan untuk menyertakan instans DB, seperti yang ditunjukkan pada contoh berikut.
**Example relasi kepercayaan dengan kunci konteks kondisi global untuk Autentikasi Windows**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rds.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:rds:Region:my_account_ID:db:db_instance_identifier"
]
}
}
}
]
}
```
Buat peran IAM menggunakan kebijakan IAM ini dan relasi kepercayaan. Untuk informasi selengkapnya tentang pembuatan peran IAM, lihat [Membuat kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#create-managed-policy-console) dalam *Panduan Pengguna IAM*.
## Langkah 3: Buat dan konfigurasikan pengguna dan grup
Anda dapat membuat pengguna dan grup dengan alat Active Directory Users and Computers. Alat ini merupakan salah satu alat Active Directory Domain Services dan Active Directory Lightweight Directory Services. Pengguna merepresentasikan orang individu atau entitas yang memiliki akses ke direktori Anda. Grup sangat berguna untuk memberikan atau menolak hak akses ke grup pengguna, daripada harus menerapkan hak akses tersebut ke setiap pengguna.
Untuk membuat pengguna dan grup dalam Directory Service direktori, Anda harus terhubung ke instans Windows EC2 yang merupakan anggota Directory Service direktori. Anda juga harus masuk sebagai pengguna yang memiliki hak akses untuk membuat pengguna dan grup. Untuk informasi selengkapnya, lihat [Menambahkan pengguna dan grup (Simple AD dan AWS Managed Microsoft AD)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/creating_ad_users_and_groups.html) di *Panduan AWS Directory Service Administrasi*.
## Langkah 4: Aktifkan lalu lintas antar-VPC antara direktori dan instans DB
Jika Anda ingin menempatkan direktori dan instans DB dalam VPC yang sama, lewati langkah ini dan lanjutkan ke [Langkah 5: Buat atau ubah instans DB SQL Server](#USER_SQLServerWinAuth.SettingUp.CreateModify).
[Jika Anda berencana untuk menemukan direktori dan instans DB yang berbeda VPCs, konfigurasikan lalu lintas lintas VPC menggunakan pengintip VPC atau Transit Gateway.AWS](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
Prosedur berikut memungkinkan lalu lintas antara VPCs menggunakan VPC peering. Ikuti petunjuk di [Apa yang dimaksud dengan peering VPC?](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) dalam *Panduan Peering Amazon Virtual Private Cloud*.
**Untuk mengaktifkan lalu lintas VPC menggunakan peering VPC**
1. Siapkan aturan perutean VPC yang sesuai untuk memastikan lalu lintas jaringan dapat berjalan dua arah.
1. Pastikan grup keamanan instans DB dapat menerima lalu lintas masuk dari grup keamanan direktori.
1. Pastikan bahwa tidak ada aturan Access Control List (ACL) jaringan untuk memblokir lalu lintas.
Jika AWS akun lain memiliki direktori, Anda harus berbagi direktori.
**Untuk berbagi direktori antar AWS akun**
1. *Mulai berbagi direktori dengan AWS akun tempat instans DB akan dibuat dengan mengikuti petunjuk di [Tutorial: Berbagi AWS Managed Microsoft AD direktori Anda untuk domain EC2 yang mulus dalam Panduan Administrasi](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html).Directory Service *
1. Masuk ke Directory Service konsol menggunakan akun untuk instans DB, dan pastikan domain memiliki `SHARED` status sebelum melanjutkan.
1. Saat masuk ke Directory Service konsol menggunakan akun untuk instans DB, perhatikan nilai **ID Direktori**. Anda perlu menggunakan ID direktori ini untuk menggabungkan instans DB ke domain.
## Langkah 5: Buat atau ubah instans DB SQL Server
Buat atau ubah instans DB SQL Server untuk digunakan dengan direktori Anda. Anda dapat menggunakan konsol, CLI, atau API RDS untuk mengaitkan suatu instans DB dengan direktori. Anda dapat menyesuaikan waktu ini dengan cara berikut:
+ Buat instance SQL Server DB baru menggunakan konsol, perintah [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)CLI, atau operasi DBInstance Create [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) API.
Untuk petunjuk, lihat [Membuat instans DB Amazon RDS](USER_CreateDBInstance.md).
+ Ubah instance SQL Server DB yang ada menggunakan konsol, perintah [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI, atau operasi DBInstance Modify [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) API.
Untuk petunjuk, lihat [Memodifikasi instans DB Amazon RDS](Overview.DBInstance.Modifying.md).
+ [Pulihkan instans SQL Server DB dari snapshot DB menggunakan konsol, perintah CLI [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html), atau operasi Restore From RDS API. DBInstance DBSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html)
Untuk petunjuk, lihat [Memulihkan ke instans DB](USER_RestoreFromSnapshot.md).
+ Kembalikan instance SQL Server DB ke point-in-time menggunakan konsol, perintah [restore-db-instance-to- point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) CLI, atau operasi DBInstance ToPointInTime Restore [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) API.
Untuk petunjuk, lihat [Memulihkan instans DB ke waktu yang ditentukan untuk Amazon RDS](USER_PIT.md).
Autentikasi Windows hanya mendukung instans DB SQL Server di VPC.
Agar instans DB dapat menggunakan direktori domain yang Anda buat, hal berikut diperlukan:
+ Untuk **Direktori**, Anda harus memilih pengidentifikasi domain (`d-ID`) yang dibuat saat Anda membuat direktori.
+ Pastikan bahwa grup keamanan VPC memiliki aturan keluar yang memungkinkan instans DB berkomunikasi dengan direktori.
![\[Direktori Autentikasi Windows Microsoft SQL Server\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/WinAuth1.png)
Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan direktori yang Anda buat:
+ Untuk parameter `--domain`, gunakan pengidentifikasi domain (`d-ID`) yang dihasilkan saat Anda membuat direktori.
+ Untuk parameter `--domain-iam-role-name`, gunakan peran yang Anda buat yang menggunakan kebijakan IAM terkelola `AmazonRDSDirectoryServiceAccess`.
Misalnya, perintah CLI berikut memodifikasi instans DB untuk menggunakan direktori.
Untuk Linux, macOS, atau Unix:
```
aws rds modify-db-instance \
--db-instance-identifier mydbinstance \
--domain d-ID \
--domain-iam-role-name role-name
```
Untuk Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier mydbinstance ^
--domain d-ID ^
--domain-iam-role-name role-name
```
**penting**
Jika Anda memodifikasi instans DB untuk mengaktifkan autentikasi Kerberos, boot ulang instans DB tersebut setelah membuat perubahan.
## Langkah 6: Buat login SQL Server Autentikasi Windows
Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans basis data SQL Server sebagaimana Anda lakukan dengan instans DB lain. Karena instans DB bergabung dengan AWS Managed Microsoft AD domain, Anda dapat menyediakan login dan pengguna SQL Server. Anda melakukannya dari pengguna dan grup Active Directory di domain Anda. Izin basis data dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.
Agar pengguna Active Directory dapat mengautentikasi dengan SQL Server, login Windows SQL Server harus ada untuk pengguna tersebut atau grup tempat pengguna tersebut menjadi anggota. Kontrol akses fine-grained akan ditangani melalui pemberian dan pencabutan izin pada login SQL Server ini. Pengguna yang tidak memiliki login SQL Server atau yang tidak termasuk dalam grup dengan login tersebut tidak akan dapat mengakses instans DB SQL Server.
Izin ALTER ANY LOGIN diperlukan untuk membuat login Active Directory SQL Server. Jika Anda belum membuat login apa pun dengan izin ini, hubungkan sebagai pengguna master instans DB menggunakan Autentikasi SQL Server.
Jalankan perintah bahasa definisi data (DDL) berikut untuk membuat login SQL Server untuk pengguna atau grup Directory Active.
**catatan**
Tentukan pengguna dan grup yang menggunakan nama login pra-Windows 2000 dalam format `domainName\login_name`. Anda tidak dapat menggunakan nama prinsipal pengguna (UPN) dalam format *`login_name`*`@`*`DomainName`*.
Anda hanya dapat membuat login Otentikasi Windows pada contoh RDS untuk SQL Server dengan menggunakan pernyataan T-SQL. Anda tidak dapat menggunakan studio Manajemen SQL Server untuk membuat login Otentikasi Windows.
```
USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO
```
Untuk informasi selengkapnya, lihat [CREATE LOGIN (Transact-SQL)](https://msdn.microsoft.com/en-us/library/ms189751.aspx) dalam dokumentasi Microsoft Developer Network.
Pengguna (baik manusia maupun aplikasi) dari domain Anda kini dapat terhubung ke instans RDS for SQL Server dari mesin klien yang tergabung dengan domain menggunakan autentikasi Windows.
# Mengelola DB instance di Domain
Anda dapat menggunakan konsol, AWS CLI, atau Amazon RDS API untuk mengelola instans DB dan hubungannya dengan domain Anda. Misalnya, Anda dapat memindahkan instans DB ke dalam, ke luar dari, atau antar-domain.
Misalnya, menggunakan API Amazon RDS, Anda dapat melakukan hal berikut:
+ Untuk mencoba kembali domain join untuk keanggotaan yang gagal, gunakan operasi [Modify DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) API dan tentukan ID direktori keanggotaan saat ini.
+ Untuk memperbarui nama peran IAM untuk keanggotaan, gunakan operasi API `ModifyDBInstance` dan tentukan ID direktori keanggotaan saat ini dan peran IAM baru.
+ Untuk menghapus instans DB dari domain, gunakan operasi API `ModifyDBInstance` dan tentukan `none` sebagai parameter domain.
+ Untuk memindahkan instans DB dari satu domain ke domain lain, gunakan operasi API `ModifyDBInstance` dan tentukan pengidentifikasi domain baru sebagai parameter domain.
+ Untuk mencantumkan keanggotaan setiap instans DB, gunakan operasi [DBInstancesDescribe](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/DescribeDBInstances.html) API.
## Memahami keanggotaan Domain
Setelah Anda membuat atau memodifikasi instans DB Anda, instans ini akan menjadi anggota domain. AWS Konsol menunjukkan status keanggotaan domain untuk instans DB. Status DB instance dapat menjadi salah satu dari yang berikut:
+ **joined** – Instans adalah anggota domain.
+ **joining** – Instans sedang dalam proses untuk menjadi anggota domain.
+ **pending-join** – Keanggotaan instans tertunda.
+ **pending-maintenance-join**— AWS akan mencoba menjadikan instance sebagai anggota domain selama jendela pemeliharaan terjadwal berikutnya.
+ **pending-removal** – Penghapusan instans dari domain tertunda.
+ **pending-maintenance-removal**— AWS akan mencoba untuk menghapus instance dari domain selama jendela pemeliharaan terjadwal berikutnya.
+ **failed** – Masalah konfigurasi telah mencegah instans bergabung dengan domain. Periksa dan perbaiki konfigurasi Anda sebelum menerbitkan ulang perintah modifikasi instans.
+ **removing** – Instans sedang dalam proses untuk dihapus dari domain.
Permintaan untuk menjadi anggota domain dapat gagal karena masalah konektivitas jaringan atau peran IAM yang salah. Misalnya, Anda dapat membuat instans DB atau memodifikasi instans yang sudah ada dan mengalami kegagalan saat mencoba menjadikan instans DB sebagai anggota suatu domain. Dalam hal ini, terbitkan ulang perintah untuk membuat atau memodifikasi instans DB atau modifikasi instans yang baru dibuat untuk digabungkan ke domain.
# Menghubungkan ke SQL Server dengan autentikasi Windows
Untuk terhubung ke SQL Server dengan Autentikasi Windows, Anda harus masuk ke komputer yang tergabung dengan domain sebagai pengguna domain. Setelah meluncurkan SQL Server Management Studio, pilih **Autentikasi Windows** sebagai jenis autentikasi, seperti yang ditunjukkan berikut ini.
![\[Terhubung ke SQL Server menggunakan Autentikasi Windows\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/WinAuth4.png)
## Memulihkan instans DB SQL Server lalu menambahkannya ke domain
Anda dapat mengembalikan snapshot DB atau melakukan point-in-time pemulihan (PITR) untuk instance SQL Server DB dan kemudian menambahkannya ke domain. Setelah instans DB dipulihkan, modifikasi instans ini menggunakan proses yang dijelaskan dalam [Langkah 5: Buat atau ubah instans DB SQL Server](USER_SQLServerWinAuth.SettingUp.md#USER_SQLServerWinAuth.SettingUp.CreateModify) untuk menambahkan instans DB ke domain.