Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bekerja dengan Microsoft Active Directory dengan RDS Custom for SQL Server
RDSKustom untuk SQL Server memungkinkan untuk menggabungkan instans Anda ke Direktori Aktif yang Dikelola Sendiri (AD) atau. AWS Managed Microsoft AD Hal ini terjadi di mana pun iklan Anda di-host, seperti pusat data lokal, Amazon, EC2 atau penyedia layanan cloud lainnya.
Untuk otentikasi pengguna dan layanan, Anda dapat menggunakan NTLM atau otentikasi Kerberos pada instans RDS Custom for SQL Server DB Anda tanpa menggunakan domain perantara dan trust hutan. Saat pengguna mencoba mengautentikasi instans RDS Custom for SQL Server DB Anda dengan Active Directory yang bergabung sendiri, permintaan autentikasi diteruskan ke AD yang dikelola sendiri atau yang Anda tentukan. AWS Managed Microsoft AD
Di bagian berikut, Anda dapat menemukan informasi tentang bekerja dengan Self Managed Active Directory dan AWS Managed Active Directory for RDS Custom for SQL Server.
**Topics**
+ [
## Wilayah dan ketersediaan versi
](#custom-sqlserver-WinAuth.Regions)
+ [
# Konfigurasikan AD yang Dikelola Sendiri atau On-premise
](custom-sqlserver-WinAuth.config-Self-Managed.md)
+ [
# Konfigurasikan Microsoft Active Directory menggunakan Directory Service
](custom-sqlserver-WinAuth.config-ADS.md)
+ [
# Aturan port konfigurasi jaringan
](custom-sqlserver-WinAuth.NWConfigPorts.md)
+ [
# Validasi Jaringan
](custom-sqlserver-WinAuth.NWValidation.md)
+ [
# Menyiapkan Otentikasi Windows untuk RDS Kustom untuk instance SQL Server
](custom-sqlserver-WinAuth.settingUp.md)
+ [
# Mengelola instans DB di Domain
](custom-sqlserver-WinAuth.ManagingDBI.md)
+ [
# Memahami keanggotaan Domain
](custom-sqlserver-WinAuth.Understanding.md)
+ [
# Pemecahan Masalah Active Directory
](custom-sqlserver-WinAuth.Troubleshoot.md)
## Wilayah dan ketersediaan versi
RDSKustom untuk SQL Server mendukung Self Managed AD dan AWS Managed Microsoft AD menggunakan NTLM atau Kerberos di semua Wilayah di mana RDS Kustom untuk SQL Server didukung. Untuk informasi selengkapnya, lihat [Daerah yang Didukung dan mesin DB untuk RDS Custom](Concepts.RDS_Fea_Regions_DB-eng.Feature.RDSCustom.md).
# Konfigurasikan AD yang Dikelola Sendiri atau On-premise
Untuk menggabungkan Microsoft AD lokal atau yang dikelola sendiri ke instans RDS Custom for SQL Server DB, Domain Aktif Anda harus dikonfigurasi sebagai berikut:
+ Tentukan subnet di VPC yang terkait dengan instans RDS Custom for SQL Server DB Anda di AD yang dikelola sendiri atau lokal. Konfirmasikan tidak ada konflik antara subnet di VPC Anda dan subnet di situs iklan Anda.
+ Pengontrol domain AD Anda memiliki tingkat fungsional domain Windows Server 2008 R2 atau lebih tinggi.
+ Nama domain AD Anda tidak dapat dalam format Single Lable Domain (SLD). RDS Kustom untuk SQL Server tidak mendukung domain SLD.
+ Nama domain yang memenuhi syarat penuh (FQDN) untuk iklan Anda tidak boleh melebihi 47 karakter.
## Konfigurasikan konektivitas jaringan Anda
Konfigurasikan konektivitas jaringan AD yang dikelola sendiri atau di lokasi Anda dengan cara berikut:
+ Siapkan konektivitas antara Amazon VPC tempat instans RDS Custom for SQL Server berjalan, dan AD Anda. Gunakan Direct Connect,, Site-to-Site VPN AWS Transit Gateway, dan VPC Peering.
+ Izinkan lalu lintas di port RDS Kustom untuk grup keamanan SQL Server dan jaringan Anda ACLs ke AD yang dikelola sendiri atau di lokasi Anda. Untuk informasi selengkapnya, lihat [Aturan port konfigurasi jaringan](custom-sqlserver-WinAuth.NWConfigPorts.md).
![\[Direktori Autentikasi Windows Microsoft SQL Server\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/custom-sqs-SM-NC.png)
## Konfigurasikan resolusi DNS
Siapkan persyaratan berikut untuk mengonfigurasi resolusi DNS dengan AD yang dikelola sendiri atau lokal:
+ Konfigurasikan resolusi DNS di dalam VPC Anda untuk menyelesaikan nama domain (FQDN) Active Directory yang dihosting sendiri. Contoh dari FQDN adalah. `corp.example.local` Untuk mengonfigurasi resolusi DNS, konfigurasikan resolver DNS VPC untuk meneruskan kueri untuk domain tertentu dengan aturan titik akhir dan resolver keluar Amazon Route 53. Untuk informasi selengkapnya, lihat [Mengonfigurasi titik akhir keluar Route 53 Resolver untuk](https://repost.aws/knowledge-center/route53-resolve-with-outbound-endpoint) menyelesaikan catatan DNS.
+ Untuk beban kerja yang memanfaatkan sumber daya lokal VPCs dan sumber daya lokal, Anda harus menyelesaikan catatan DNS yang dihosting di lokasi. Sumber daya di lokasi mungkin perlu menyelesaikan nama yang dihosting. AWS
Untuk membuat penyiapan cloud hybrid, gunakan titik akhir resolver dan rel penerusan bersyarat untuk menyelesaikan kueri DNS antara sumber daya lokal Anda dan VPC kustom. Untuk informasi selengkapnya, lihat [Menyelesaikan kueri DNS antara VPCs dan jaringan Anda di Panduan Pengembang](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) *Amazon Route 53*.
**penting**
Memodifikasi pengaturan penyelesai DNS dari antarmuka jaringan pada Kustom RDS untuk SQL Server menyebabkan titik akhir VPC berkemampuan DNS tidak lagi berfungsi dengan benar. Titik akhir VPC berkemampuan DNS diperlukan untuk instance dalam subnet pribadi tanpa akses internet.
# Konfigurasikan Microsoft Active Directory menggunakan Directory Service
AWS Managed Microsoft AD membuat Microsoft Active Directory yang dikelola sepenuhnya AWS yang didukung oleh Windows Server 2019 dan beroperasi pada tingkat fungsional Hutan dan Domain R2 2012. Directory Service membuat pengontrol domain di subnet yang berbeda di VPC Amazon, membuat direktori Anda sangat tersedia bahkan jika terjadi kegagalan.
Untuk membuat direktori dengan AWS Managed Microsoft AD, lihat [Memulai dengan AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html) di *Panduan AWS Directory Service Administrasi*.
## Konfigurasikan konektivitas jaringan Anda
### Aktifkan lalu lintas VPC menyilang antara direktori dan DB instance
Untuk menemukan direktori dan instans DB di VPC yang sama, lewati langkah ini dan lanjutkan ke langkah berikutnya. [Aturan port konfigurasi jaringan](custom-sqlserver-WinAuth.NWConfigPorts.md)
Untuk menemukan direktori dan instans DB yang berbeda VPCs, konfigurasikan lalu lintas lintas VPC menggunakan VPC peering atau. AWS Transit Gateway Untuk informasi selengkapnya tentang penggunaan VPC peering, lihat [Apa itu VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) peering? [di *Panduan Peering VPC Amazon* dan Apa itu? AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) di Gerbang *Transit VPC Amazon*.
**Aktifkan lalu lintas lintas VPC menggunakan pengintip VPC**
1. Siapkan aturan perutean VPC yang sesuai untuk memastikan lalu lintas jaringan dapat berjalan dua arah.
1. Izinkan grup keamanan instans DB untuk menerima lalu lintas masuk dari grup keamanan direktori. Untuk informasi selengkapnya, lihat [Aturan port konfigurasi jaringan](custom-sqlserver-WinAuth.NWConfigPorts.md).
1. Network Access Control List (ACL) tidak boleh memblokir lalu lintas.
Jika yang berbeda Akun AWS memiliki direktori, Anda harus berbagi direktori. *Untuk berbagi Akun AWS direktori dengan di mana RDS Custom for SQL Server instance adalah dengan mengikuti [Tutorial: Berbagi domain EC2 AWS Managed Microsoft AD mulus-join Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html) dalam Panduan Administrasi.AWS Directory Service *
**Berbagi direktori antara Akun AWS**
1. Masuk ke Directory Service konsol menggunakan akun untuk instans DB dan periksa apakah domain memiliki `SHARED` status sebelum melanjutkan.
1. Setelah masuk ke Directory Service konsol menggunakan akun untuk instans DB, perhatikan nilai **ID Direktori**. Anda menggunakan ID ini untuk menggabungkan instans DB ke domain.
## Konfigurasikan resolusi DNS
Saat Anda membuat direktori dengan AWS Managed Microsoft AD, Directory Service buat dua pengontrol domain dan tambahkan layanan DNS atas nama Anda.
[Jika Anda memiliki AWS Managed Microsoft AD atau berencana untuk meluncurkan satu di VPC selain instans RDS Custom for SQL Server DB, konfigurasikan resolver DNS VPC untuk meneruskan kueri untuk domain tertentu dengan aturan keluar dan resolver Route 53, lihat Mengkonfigurasi titik akhir keluar Route 53 Resolver untuk menyelesaikan catatan DNS.](https://repost.aws/knowledge-center/route53-resolve-with-outbound-endpoint)
# Aturan port konfigurasi jaringan
Pastikan bahwa Anda telah memenuhi konfigurasi jaringan berikut:
+ Konektivitas dikonfigurasi antara Amazon VPC tempat Anda ingin membuat instans RDS Custom for SQL Server DB ke Active Directory yang dikelola sendiri atau AWS Managed Microsoft AD. Untuk Active Directory yang dikelola sendiri, atur konektivitas menggunakan AWS Direct Connect, VPC peering AWS VPN, atau AWS Transit Gateway. Untuk AWS Managed Microsoft AD, atur konektivitas menggunakan VPC peering.
+ Pastikan bahwa grup keamanan dan VPC jaringan ACLs untuk subnet tempat Anda membuat instance RDS Custom for SQL Server DB memungkinkan lalu lintas pada port dan arah yang ditunjukkan pada diagram berikut.
![\[Aturan port konfigurasi jaringan Microsoft Active Directory.\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/custom_sqlserver_ActiveDirectory_Requirements_NetworkConfig.png)
Tabel berikut mengidentifikasi peran masing-masing port.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/custom-sqlserver-WinAuth.NWConfigPorts.html)
+ Umumnya, DNS server domain terletak di pengontrol domain AD. Anda tidak perlu mengonfigurasi VPC DHCP opsi yang ditetapkan untuk menggunakan fitur ini. Untuk informasi selengkapnya, lihat [set DHCP opsi](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) di *Panduan VPC Pengguna Amazon*.
**penting**
Jika Anda menggunakan VPC jaringanACLs, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari instans Custom for Server DB AndaRDS. SQL Pastikan bahwa aturan lalu lintas ini juga dicerminkan pada firewall yang berlaku untuk setiap pengontrol domain AD, DNS server, dan instans RDS Custom for SQL Server DB.
Sementara kelompok VPC keamanan memerlukan port untuk dibuka hanya ke arah lalu lintas jaringan dimulai, sebagian besar firewall Windows dan VPC jaringan ACLs memerlukan port untuk dibuka di kedua arah.
# Validasi Jaringan
Sebelum menggabungkan instans Kustom RDS Anda ke instans yang dikelola sendiri atau AWS Managed Microsoft AD, periksa hal berikut dari EC2 instance di VPC yang sama dengan tempat Anda berencana meluncurkan instance RDS Custom for SQL Server.
+ Periksa apakah Anda dapat menyelesaikan nama domain yang sepenuhnya memenuhi syarat (FQDN) ke pengontrol domain. IPs
```
nslookup corp.example.com
```
Perintah harus mengembalikan output yang serupa:
```
Server: ip-10-0-0-2.us-west-2.compute.internal
Address: 25.0.0.2
Non-authoritative answer:
Name: corp.example.com
Addresses: 40.0.9.25 (DC1 IP)
40.0.50.123 (DC2 IP)
```
+ Selesaikan AWS layanan dari EC2 instans di VPC tempat Anda meluncurkan instans Kustom RDS Anda:
```
$region='input-your-aws-region'
$domainFQDN='input-your-domainFQDN'
function Test-DomainPorts {
param (
[string]$Domain,
[array]$Ports
)
foreach ($portInfo in $Ports) {
try {
$conn = New-Object System.Net.Sockets.TcpClient
$connectionResult = $conn.BeginConnect($Domain, $portInfo.Port, $null, $null)
$success = $connectionResult.AsyncWaitHandle.WaitOne(1000) # 1 second timeout
if ($success) {
$conn.EndConnect($connectionResult)
$result = $true
} else {
$result = $false
}
}
catch {
$result = $false
}
finally {
if ($null -ne $conn) {
$conn.Close()
}
}
Write-Host "$($portInfo.Description) port open: $result"
}
}
# Check if ports can be reached
$ports = @(
@{Port = 53; Description = "DNS"},
@{Port = 88; Description = "Kerberos"},
@{Port = 389; Description = "LDAP"},
@{Port = 445; Description = "SMB"},
@{Port = 5985; Description = "WinRM"},
@{Port = 636; Description = "LDAPS"},
@{Port = 3268; Description = "Global Catalog"},
@{Port = 3269; Description = "Global Catalog over SSL"},
@{Port = 9389; Description = "AD DS"}
)
function Test-DomainReachability {
param (
[string]$DomainName
)
try {
$dnsResults = Resolve-DnsName -Name $DomainName -ErrorAction Stop
Write-Host "Domain $DomainName is successfully resolving to following IP addresses: $($dnsResults.IpAddress)"
Write-Host ""
return $true
}
catch {
Write-Host ""
Write-Host "Error Message: $($_.Exception.Message)"
Write-Host "Domain $DomainName reachability check failed, please Configure DNS resolution"
return $false
}
}
$domain = (Get-WmiObject Win32_ComputerSystem).Domain
if ($domain -eq 'WORKGROUP') {
Write-Host ""
Write-Host "Host $env:computername is still part of WORKGROUP and not part of any domain"
}
else {
Write-Host ""
Write-Host "Host $env:computername is joined to $domain domain"
Write-Host ""
}
$isReachable = Test-DomainReachability -DomainName $domainFQDN
if ($isReachable) {
write-Host "Checking if domain $domainFQDN is reachable on required ports "
Test-DomainPorts -Domain $domainFQDN -Ports $ports
}
else {
Write-Host "Port check skipped. Domain not reachable"
}
# Get network adapter configuration
$networkConfig = Get-WmiObject Win32_NetworkAdapterConfiguration |
Where-Object { $_.IPEnabled -eq $true } |
Select-Object -First 1
# Check DNS server settings
$dnsServers = $networkConfig.DNSServerSearchOrder
if ($dnsServers) {
Write-Host "`nDNS Server settings:"
foreach ($server in $dnsServers) {
Write-Host " - $server"
}
} else {
Write-Host "`nNo DNS servers configured or unable to retrieve DNS server information."
}
write-host ""
# Checks reachability to dependent services
$services = "s3", "ec2", "secretsmanager", "logs", "events", "monitoring", "ssm", "ec2messages", "ssmmessages"
function Get-TcpConnectionAsync {
param (
$ServicePrefix,
$region
)
$endpoint = "${ServicePrefix}.${region}.amazonaws.com"
$tcp = New-Object Net.Sockets.TcpClient
$result = $false
try {
$connectTask = $tcp.ConnectAsync($endpoint, 443)
$timedOut = $connectTask.Wait(3000)
$result = $tcp.Connected
}
catch {
$result = $false
}
return $result
}
foreach ($service in $services) {
$validationResult = Get-TcpConnectionAsync -ServicePrefix $service -Region $region
Write-Host "Reachability to $service is $validationResult"
}
```
`TcpTestSucceeded`Nilai harus kembali `True` untuk`s3`,, `ec2``secretsmanager`,`logs`,`events`,`monitoring`,`ssm`,`ec2messages`, dan`ssmmessages`.
# Menyiapkan Otentikasi Windows untuk RDS Kustom untuk instance SQL Server
Sebaiknya buat kredensyal OU dan layanan khusus yang tercakup pada OU tersebut untuk siapa pun Akun AWS yang memiliki instans RDS Custom for SQL Server DB yang bergabung dengan domain AD Anda. Dengan mendedikasikan kredensi OU dan layanan, Anda menghindari izin yang bertentangan dan mengikuti prinsip hak istimewa paling sedikit.
Kebijakan grup tingkat direktori aktif mungkin bertentangan dengan AWS otomatisasi dan izin. Sebaiknya pilih GPO yang hanya berlaku untuk OU yang Anda buat untuk RDS Custom for SQL Server.
+ Untuk membuat pengguna domain OU dan AD di AD yang dikelola sendiri atau di lokasi, Anda dapat menghubungkan pengontrol domain sebagai administrator domain.
+ Untuk membuat pengguna dan grup dalam Directory Service direktori, Anda harus terhubung ke instance manajemen dan Anda juga harus masuk sebagai pengguna dengan hak istimewa untuk membuat pengguna dan grup. Untuk informasi selengkapnya, lihat [Manajemen pengguna dan grup di AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html) dalam *Panduan AWS Directory Service Administrasi*.
+ Untuk mengelola Active Directory dari instans Amazon EC2 Windows Server, Anda perlu menginstal layanan domain Active Directory dan alat layanan Active Directory Lightweight Directory pada EC2 instance. Untuk informasi selengkapnya, lihat [Menginstal Alat Administrasi Direktori Aktif untuk AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html) di *Panduan AWS Directory Service Administrasi*.
+ Kami menyarankan Anda menginstal alat ini pada EC2 instans terpisah untuk administrasi, dan bukan pada instans RDS Custom for SQL Server DB Anda untuk kemudahan administrasi.
Berikut ini adalah persyaratan untuk akun layanan domain AD:
+ Anda harus memiliki akun layanan di domain AD Anda dengan izin yang didelegasikan untuk bergabung dengan komputer ke domain. Akun layanan domain adalah akun pengguna di AD Anda yang telah mendelegasikan izin untuk melakukan tugas tertentu.
+ Delegasikan izin berikut ke akun layanan domain Anda di Unit Organisasi tempat Anda bergabung dengan instans RDS Custom for SQL Server:
+ Kemampuan tervalidasi untuk menulis ke nama host DNS
+ Kemampuan tervalidasi untuk menulis ke nama prinsipal layanan
+ Membuat dan menghapus objek komputer
+ Untuk AD yang dikelola sendiri dan lokal, akun layanan domain harus menjadi anggota grup "Administrator Sistem Nama Domain AWS Delegasi”.
+ Untuk AWS Managed Microsoft AD, akun layanan domain harus menjadi anggota grup DnsAdmins "”.
Ini adalah set minimum izin yang diperlukan untuk menggabungkan objek komputer ke AD yang dikelola sendiri dan. AWS Managed Microsoft AD Untuk informasi selengkapnya, lihat [Kesalahan: Akses ditolak ketika pengguna non-administrator yang telah didelegasikan kontrol mencoba menggabungkan komputer ke pengontrol domain](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/access-denied-when-joining-computers) dalam dokumentasi Microsoft Windows Server.
**penting**
Jangan memindahkan objek komputer yang dibuat RDS Custom for SQL Server di Unit Organisasi (OU) setelah instans DB Anda dibuat. Memindahkan objek terkait dapat menyebabkan instans RDS Custom for SQL Server DB Anda menjadi salah konfigurasi. Jika Anda perlu memindahkan objek komputer yang dibuat oleh Amazon RDS, gunakan DBInstance tindakan [Ubah](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) untuk memodifikasi parameter domain dengan lokasi objek komputer yang diinginkan.
**Topics**
+ [
## Langkah 1: Buat unit organisasi (OU) di AD Anda
](#custom-sqlserver-WinAuth.settingUp.CreateOU)
+ [
## Langkah 2: Buat pengguna domain AD
](#custom-sqlserver-WinAuth.settingUp.ADuser)
+ [
## Langkah 3: Delegasikan kontrol ke pengguna AD dalam pengelolaan mandiri atau AWS Managed Microsoft AD
](#custom-sqlserver-WinAuth.settingUp.Delegate)
+ [
## Langkah 4: Buat rahasia
](#custom-sqlserver-WinAuth.settingUp.ASM)
+ [
## Langkah 5: Membuat atau memodifikasi RDS Custom untuk SQL Server DB instance
](#custom-sqlserver-WinAuth.settingUp.CreateDBInstance)
+ [
## Langkah 6: Buat Windows Authentication SQL Server Login
](#custom-sqlserver-WinAuth.settingUp.CreateLogins)
+ [
## Langkah 7: Menggunakan Kerberos atau Otentikasi NTLM
](#custom-sqlserver-WinAuth.settingUp.KerbNTLM)
## Langkah 1: Buat unit organisasi (OU) di AD Anda
Gunakan langkah-langkah berikut untuk membuat unit organisasi di AD Anda:
**Buat OU di AD Anda**
1. Connect ke AD domain Anda sebagai administrator domain.
1. Buka **Active Directory Users and Computers** dan pilih domain tempat Anda ingin membuat OU Anda.
1. Klik kanan domain dan pilih **Baru**, lalu **Unit Organisasi**.
1. Masukkan nama untuk OU.
Aktifkan **Lindungi wadah dari penghapusan yang tidak disengaja**.
1. Pilih **OK**. OU baru Anda muncul di bawah domain Anda.
Untuk AWS Managed Microsoft AD, nama OU ini didasarkan dari nama NetBIOS yang Anda ketik ketika Anda membuat direktori Anda. OU ini dimiliki oleh AWS dan berisi semua objek direktori AWS terkait Anda, yang Anda diberikan kendali penuh atas. Secara default, dua anak OUs ada di bawah OU ini, yaitu **Komputer dan Pengguna**. Baru OUs yang dibuat RDS Custom adalah anak dari OU yang didasarkan dari NetBIOS.
## Langkah 2: Buat pengguna domain AD
Kredensyal pengguna domain digunakan untuk rahasia di Secrets Manager.
**Membuat pengguna domain AD di AD**
1. Buka **Pengguna dan Komputer Direktori Aktif** dan pilih domain dan OU tempat Anda ingin membuat pengguna.
1. Klik kanan objek **Users** dan pilih **New**, lalu **User**.
1. Masukkan nama depan, nama belakang, dan nama login untuk pengguna. Klik **Next**.
1. Masukkan kata sandi untuk pengguna. Jangan pilih **Pengguna harus mengubah kata sandi saat login berikutnya** atau **Akun dinonaktifkan.** . Klik **Next**.
1. Klik **OK**. Pengguna baru Anda muncul di bawah domain Anda.
## Langkah 3: Delegasikan kontrol ke pengguna AD dalam pengelolaan mandiri atau AWS Managed Microsoft AD
**Untuk mendelegasikan kontrol ke pengguna domain AD di domain Anda**
1. Buka **Active Directory Users and Computers** MMC snap-in dan pilih domain Anda.
1. Klik kanan pada OU yang Anda buat sebelumnya dan pilih **Delegate Control.**
1. Di **Wizard Kontrol Delegasi**, klik **Berikutnya**.
1. Di bagian **Pengguna atau Grup**, klik **Tambah**.
1. Di **Pilih Pengguna, Komputer, atau Grup**, masukkan pengguna AD yang Anda buat dan klik **Periksa Nama**. Jika pemeriksaan pengguna AD Anda berhasil, klik **OK**.
1. Di bagian **Pengguna atau Grup**, konfirmasikan pengguna iklan Anda telah ditambahkan dan klik **Berikutnya**.
1. **Di bagian **Tugas untuk Mendelegasikan**, pilih **Buat tugas khusus untuk didelegasikan** dan klik Berikutnya.**
1. Di bagian **Active Directory Object Type**:
Pilih **ONly objek berikut di folder**.
Pilih **Objek Komputer**
Pilih **Buat objek yang dipilih di folder ini**
Pilih **Delete selected objects in this folder** lalu klik **Next**.
1. Di bagian **Izin**:
Tetap pilih **General**.
Pilih **Validated write to DNS host name**.
Pilih **Validated write to service principal name** lalu klik **Next**.
1. Dalam **Menyelesaikan Delegasi Control Wizard**, konfirmasikan pengaturan Anda dan klik **Selesai**.
## Langkah 4: Buat rahasia
Buat rahasia di daerah yang sama Akun AWS dan yang berisi contoh RDS Custom for SQL Server DB yang ingin Anda sertakan dalam direktori aktif Anda. Simpan kredensyal pengguna domain AD yang dibuat di. [Langkah 2: Buat pengguna domain AD](#custom-sqlserver-WinAuth.settingUp.ADuser)
------
#### [ Console ]
+ Di AWS Secrets Manager, pilih **Simpan rahasia baru**.
+ Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
+ Untuk **pasangan kunci/nilai**, tambahkan dua kunci:
+ Kunci pertama, `SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME` dan masukkan nama pengguna AD Anda (tanpa awalan domain) untuk nilainya.
+ Untuk kunci kedua, masukkan `SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD` dan masukkan kata sandi untuk pengguna AD Anda di domain Anda.
+ Untuk **kunci Enkripsi**, masukkan AWS KMS kunci yang sama yang Anda gunakan untuk membuat contoh RDS Custom for SQL Server.
+ Untuk **nama Rahasia**, pilih nama rahasia yang dimulai dengan `do-not-delete-rds-custom-` untuk memungkinkan profil instans Anda mengakses rahasia ini. JIKA Anda ingin memilih nama yang berbeda untuk rahasia, perbarui `RDSCustomInstanceProfile` untuk mengakses **nama Rahasia**.
+ (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk nama rahasia.
+ Tambahkan tag `Key="AWSRDSCustom",Value="custom-sqlserver"`
+ Klik **Simpan**, lalu **Berikutnya**.
+ Untuk **Konfigurasikan pengaturan rotasi**, pertahankan nilai default dan pilih **Berikutnya**.
+ Tinjau pengaturan untuk rahasia lalu klik **Simpan**.
+ Pilih rahasia baru dan salin nilai untuk **Rahasia ARN**. Kami menggunakan ini di langkah berikutnya untuk mengatur Direktori Aktif Anda.
------
#### [ CLI ]
Jalankan perintah berikut di CLI Anda untuk membuat rahasia:
```
# Linux based
aws secretsmanager create-secret \
--name do-not-delete-rds-custom-DomainUserCredentails \
--description "Active directory user credentials for managing RDS Custom" \
--secret-string "{\"SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"tester\",\"SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"xxxxxxxx\"}" \
--kms-key-id \
--tags Key="AWSRDSCustom",Value="custom-sqlserver"
# Windows based
aws secretsmanager create-secret ^
--name do-not-delete-rds-custom-DomainUserCredentails ^
--description "Active directory user credentials for managing RDS Custom" ^
--secret-string "{\"SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"tester\",\"SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"xxxxxxxx\"}" ^
--kms-key-id ^
--tags Key="AWSRDSCustom",Value="custom-sqlserver"
```
------
## Langkah 5: Membuat atau memodifikasi RDS Custom untuk SQL Server DB instance
Membuat atau memodifikasi contoh RDS Custom untuk SQL Server DB untuk digunakan dengan direktori Anda. Anda dapat menggunakan konsol, CLI, atau RDS API untuk mengaitkan suatu instans DB dengan direktori. Anda dapat menyesuaikan waktu ini dengan cara berikut:
+ Buat instance SQL Server DB baru menggunakan konsol, perintah [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)CLI, atau operasi DBInstance Create [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) API.
Untuk petunjuk, lihat [Membuat instans DB Amazon RDS](USER_CreateDBInstance.md).
+ Ubah instance SQL Server DB yang ada menggunakan konsol, perintah [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI, atau operasi DBInstance Modify [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) API.
Untuk petunjuk, lihat [Memodifikasi instans DB Amazon RDS](Overview.DBInstance.Modifying.md).
+ [Kembalikan instans SQL Server DB dari snapshot DB menggunakan konsol, perintah CLI [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html), atau operasi Restore From RDS API. DBInstance DBSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html)
Untuk petunjuk, lihat [Memulihkan ke instans DB](USER_RestoreFromSnapshot.md).
+ Kembalikan instance SQL Server DB ke point-in-time menggunakan konsol, perintah [restore-db-instance-to- point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) CLI, atau operasi DBInstance ToPointInTime Restore [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) API.
Untuk petunjuk, lihat [Memulihkan instans DB ke waktu yang ditentukan untuk Amazon RDS](USER_PIT.md).
**catatan**
Jika instance RDS Custom for SQL Server Anda sudah bergabung dengan AD secara manual, periksa pengaturannya [Aturan port konfigurasi jaringan](custom-sqlserver-WinAuth.NWConfigPorts.md)[Validasi Jaringan](custom-sqlserver-WinAuth.NWValidation.md), dan selesaikan langkah 1 melalui Langkah 4. Perbarui`--domain-fqdn`,`--domain-ou`, dan `--domain-auth-secret-arn` ke AD Anda, sehingga kredensi dan konfigurasi gabungan domain terdaftar di RDS Custom untuk memantau, mendaftarkan CNAME, dan mengambil tindakan pemulihan.
Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan direktori yang Anda buat:
+ Untuk `--domain-fqdn` parameternya, gunakan nama domain yang sepenuhnya memenuhi syarat dari AD yang dikelola sendiri.
+ Untuk parameter `--domain-ou`, gunakan OU yang Anda buat di AD yang dikelola sendiri.
+ Untuk `--domain-auth-secret-arn` parameter, gunakan nilai **ARN Rahasia** yang Anda buat.
**penting**
Jika Anda memodifikasi instans DB untuk bergabung atau menghapus dari domain AD yang dikelola sendiri atau AWS Managed Microsoft AD, reboot instans DB diperlukan agar modifikasi diterapkan. Anda dapat memilih untuk segera menerapkan perubahan atau menunggu hingga periode pemeliharaan berikutnya. Memilih opsi **Terapkan Segera** menyebabkan waktu henti untuk instans DB AZ tunggal. Cluster DB multi-AZ melakukan failover sebelum menyelesaikan reboot. Untuk informasi selengkapnya, lihat [Memodifikasi instans DB Amazon RDS](Overview.DBInstance.Modifying.md).
Perintah CLI berikut membuat RDS Custom baru untuk SQL Server DB instance dan bergabung dengan self-managed atau domain. AWS Managed Microsoft AD
Untuk Linux, macOS, atau Unix:
```
aws rds create-db-instance \
--engine custom-sqlserver-se \
--engine-version 15.00.4312.2.v1 \
--db-instance-identifier my-custom-instance \
--db-instance-class db.m5.large \
--allocated-storage 100 --storage-type io1 --iops 1000 \
--master-username my-master-username \
--master-user-password my-master-password \
--kms-key-id my-RDSCustom-key-id \
--custom-iam-instance-profile AWSRDSCustomInstanceProfileForRdsCustomInstance \
--domain-fqdn "corp.example.com" \
--domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" \
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" \
--db-subnet-group-name my-DB-subnet-grp \
--vpc-security-group-ids my-securitygroup-id \
--no-publicly-accessible \
--backup-retention-period 3 \
--port 8200 \
--region us-west-2 \
--no-multi-az
```
Untuk Windows:
```
aws rds create-db-instance ^
--engine custom-sqlserver-se ^
--engine-version 15.00.4312.2.v1 ^
--db-instance-identifier my-custom-instance ^
--db-instance-class db.m5.large ^
--allocated-storage 100 --storage-type io1 --iops 1000 ^
--master-usernamemy-master-username ^
--master-user-password my-master-password ^
--kms-key-id my-RDSCustom-key-id ^
--custom-iam-instance-profile AWSRDSCustomInstanceProfileForRdsCustomInstance ^
--domain-fqdn "corp.example.com" ^
--domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" ^
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" ^
--db-subnet-group-name my-DB-subnet-grp ^
--vpc-security-group-ids my-securitygroup-id ^
--no-publicly-accessible ^
--backup-retention-period 3 ^
--port 8200 ^
--region us-west-2 ^
--no-multi-az
```
**penting**
Jika NetBIOS Anda AWS Managed Microsoft AD adalah **corpexample**, maka itu muncul sebagai OU itu sendiri. Setiap OU baru yang dibuat sebelumnya akan muncul sebagai OU bersarang. Untuk AWS Managed Microsoft AD, atur `--domain-ou` ke`"OU=RDSCustomOU,OU=corpexample,DC=corp,DC=example,DC=com"`.
Perintah berikut memodifikasi RDS Custom yang ada untuk SQL Server DB instance untuk menggunakan domain Active Directory.
Untuk Linux, macOS, atau Unix:
```
aws rds modify-db-instance \
--db-instance-identifier my-custom-instance \
--domain-fqdn "corp.example.com" \
--domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" \
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" \
```
Untuk Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier my-custom-instance ^
--domain-fqdn "corp.example.com" ^
--domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" ^
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" ^
```
Perintah CLI berikut menghapus dan RDS Custom untuk SQL Server DB instance dari domain Active Directory.
Untuk Linux, macOS, atau Unix:
```
aws rds modify-db-instance \
--db-instance-identifier my-custom-instance \
--disable-domain
```
Untuk Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier my-custom-instance ^
--disable-domain
```
Saat menggunakan konsol untuk membuat atau memodifikasi instance Anda, klik **Aktifkan Microsoft SQL Server Windows Authentication** untuk melihat opsi berikut.
![\[Direktori Autentikasi Windows Microsoft SQL Server\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/custom-sqs-WinAuth.png)
Anda bertanggung jawab untuk memastikan FQDN domain Anda diselesaikan ke alamat IP pengontrol domain. Jika pengontrol domain IPs tidak menyelesaikan, operasi gabungan domain gagal tetapi RDS Custom untuk pembuatan instance SQL Server berhasil. Untuk informasi pemecahan masalah, lihat [Pemecahan Masalah Active Directory](custom-sqlserver-WinAuth.Troubleshoot.md).
## Langkah 6: Buat Windows Authentication SQL Server Login
Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans basis data SQL Server sebagaimana Anda lakukan dengan instans DB lain. Karena instans DB digabungkan ke domain AD, Anda dapat menyediakan login dan pengguna SQL Server. Anda melakukan ini dari utilitas pengguna dan grup AD di domain AD Anda. Izin basis data dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.
Untuk pengguna AD untuk mengautentikasi dengan SQL Server, login SQL Server Windows harus ada untuk pengguna AD atau grup Direktori Aktif yang pengguna adalah anggota. Kontrol akses fine-grained akan ditangani melalui pemberian dan pencabutan izin pada login SQL Server ini. Pengguna AD yang tidak memiliki login SQL Server atau termasuk dalam grup AD dengan login seperti itu tidak dapat mengakses instans SQL Server DB.
`ALTER ANY LOGIN`Izin diperlukan untuk membuat login AD SQL Server. Jika Anda belum membuat login dengan izin ini, sambungkan sebagai pengguna utama instans DB menggunakan SQL Server Authentication dan buat login AD SQL Server Anda di bawah konteks pengguna utama.
Anda dapat menjalankan perintah bahasa definisi data (DDL) seperti berikut ini untuk membuat login SQL Server untuk pengguna atau grup AD.
```
USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO
```
Pengguna (baik manusia maupun aplikasi) dari domain Anda sekarang dapat terhubung ke instance RDS Custom for SQL Server dari mesin klien yang bergabung dengan domain menggunakan otentikasi Windows.
## Langkah 7: Menggunakan Kerberos atau Otentikasi NTLM
### Otentikasi NTLM menggunakan titik akhir RDS
Setiap instans Amazon RDS DB memiliki titik akhir dan setiap titik akhir memiliki nama DNS dan nomor port untuk instans DB. Untuk menghubungkan instans basis Anda menggunakan aplikasi klien SQL, Anda memerlukan nama dan nomor port DNS untuk instans tersebut. Untuk mengautentikasi menggunakan otentikasi NTLM, Anda harus terhubung ke titik akhir RDS.
Selama pemeliharaan database yang direncanakan atau gangguan layanan yang tidak direncanakan, Amazon RDS secara otomatis gagal ke database up-to-date sekunder sehingga operasi dapat dilanjutkan dengan cepat tanpa intervensi manual. Contoh primer dan sekunder menggunakan titik akhir yang sama, yang alamat jaringan fisiknya bertransisi ke sekunder sebagai bagian dari proses failover. Anda tidak perlu mengonfigurasi ulang aplikasi Anda saat terjadi failover.
### Autentikasi Kerberos
Otentikasi berbasis Kerberos untuk RDS Custom untuk SQL Server memerlukan koneksi dibuat ke Service Principal Name (SPN) tertentu. Namun, setelah peristiwa failover, aplikasi mungkin tidak mengetahui SPN baru. Untuk mengatasi hal ini, RDS Custom for SQL Server menawarkan endpoint berbasis Kerberos.
Titik akhir berbasis Kerberos mengikuti format tertentu. Jika titik akhir RDS Anda`rds-instance-name.account-region-hash.aws-region.rds.amazonaws.com`, titik akhir berbasis Kerberos yang sesuai adalah. `rds-instance-name.account-region-hash.aws-region.awsrds.fully qualified domain name (FQDN)`
Misalnya, jika titik akhir RDS adalah `ad-test.cocv6zwtircu.us-east-1.rds.amazonaws.com` dan nama domainnya`corp-ad.company.com`, titik akhir berbasis Kerberos akan menjadi. `ad-test.cocv6zwtircu.us-east-1.awsrds.corp-ad.company.com`
Titik akhir berbasis Kerberos ini dapat digunakan untuk mengautentikasi dengan instance SQL Server menggunakan Kerberos, bahkan setelah peristiwa failover, karena titik akhir diperbarui secara otomatis untuk menunjuk ke SPN baru dari instance SQL Server utama.
### Menemukan CNAME Anda
Untuk menemukan CNAME Anda, sambungkan ke pengontrol domain Anda dan buka **DNS Manager**. Arahkan ke **Zona Pencarian Maju** dan FQDN Anda.
**Arahkan melalui **awsrds,** aws-region, dan **hash spesifik akun dan wilayah**.**
Jika Anda menghubungkan EC2 instance RDS Custom dan mencoba terhubung ke database secara lokal menggunakan CNAME, koneksi Anda akan menggunakan otentikasi NTLM alih-alih Kerberos.
Jika setelah menghubungkan CNAME dari klien jarak jauh, koneksi NTLM dikembalikan, periksa apakah port yang diperlukan diizinkan.
Untuk memeriksa apakah koneksi Anda menggunakan Kerberos, jalankan kueri berikut:
```
SELECT net_transport, auth_scheme
FROM sys.dm_exec_connections
WHERE session_id = @@SSPID;
```
# Mengelola instans DB di Domain
Anda dapat menggunakan konsol, AWS CLI, atau Amazon RDS API untuk mengelola instans DB Anda dan hubungannya dengan domain Anda. Misalnya, Anda dapat memindahkan instans DB ke dalam, ke luar dari, atau antar-domain.
Misalnya, menggunakan Amazon RDSAPI, Anda dapat melakukan hal berikut:
+ Untuk mencoba kembali bergabung domain untuk keanggotaan yang gagal, gunakan odifyDBInstance API operasi [M](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) dan tentukan ID direktori keanggotaan saat ini.
+ Untuk memperbarui nama IAM peran untuk keanggotaan, gunakan `ModifyDBInstance` API operasi dan tentukan ID direktori keanggotaan saat ini dan IAM peran baru.
+ Untuk menghapus instance DB dari domain, gunakan `ModifyDBInstance` API operasi dan tentukan `none` sebagai parameter domain.
+ Untuk memindahkan instance DB dari satu domain ke domain lainnya, gunakan `ModifyDBInstance` API operasi dan tentukan pengidentifikasi domain domain baru sebagai parameter domain.
+ Untuk daftar keanggotaan untuk setiap instans DB, gunakan escribeDBInstances API operasi [D](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/DescribeDBInstances.html).
## Memulihkan instance RDS Custom for SQL Server DB dan menambahkannya ke domain Active Directory
Anda dapat memulihkan snapshot DB atau melakukan point-in-time recovery (PITR) untuk instance SQL Server DB dan kemudian menambahkannya ke domain Active Directory. Setelah instans DB dipulihkan, modifikasi instance menggunakan proses yang dijelaskan [Langkah 5: Membuat atau memodifikasi RDS Custom untuk SQL Server DB instance](custom-sqlserver-WinAuth.settingUp.md#custom-sqlserver-WinAuth.settingUp.CreateDBInstance) untuk menambahkan instans DB ke domain AD.
# Memahami keanggotaan Domain
Setelah Anda membuat atau memodifikasi instans DB Anda, instans ini akan menjadi anggota domain. AWS Konsol menunjukkan status keanggotaan domain untuk instans DB. Status DB instance dapat menjadi salah satu dari yang berikut:
+ **joined** – Instans adalah anggota domain.
+ **joining** – Instans sedang dalam proses untuk menjadi anggota domain.
+ **pending-join** – Keanggotaan instans tertunda.
+ **pending-maintenance-join**— AWS akan mencoba menjadikan instance sebagai anggota domain selama jendela pemeliharaan terjadwal berikutnya.
+ **pending-removal** – Penghapusan instans dari domain tertunda.
+ **pending-maintenance-removal**— AWS akan mencoba untuk menghapus instance dari domain selama jendela pemeliharaan terjadwal berikutnya.
+ **failed** – Masalah konfigurasi telah mencegah instans bergabung dengan domain. Periksa dan perbaiki konfigurasi Anda sebelum menerbitkan ulang perintah modifikasi instans.
+ **removing** – Instans sedang dalam proses untuk dihapus dari domain.
Permintaan untuk menjadi anggota domain dapat gagal karena masalah konektivitas jaringan atau IAM peran yang salah. Misalnya, Anda dapat membuat instans DB atau memodifikasi instans yang sudah ada dan mengalami kegagalan saat mencoba menjadikan instans DB sebagai anggota suatu domain. Dalam hal ini, terbitkan ulang perintah untuk membuat atau memodifikasi instans DB atau modifikasi instans yang baru dibuat untuk digabungkan ke domain.
# Pemecahan Masalah Active Directory
Berikut ini adalah masalah yang mungkin Anda temui saat menyiapkan atau memodifikasi iklan.
| Kode Kesalahan | Deskripsi | Penyebab umum | Saran pemecahan masalah |
| --- | --- | --- | --- |
| Error 2 / 0x2 | Sistem tidak dapat menemukan file yang ditentukan. | Format atau lokasi untuk Unit Organisasi (OU) yang ditentukan dengan parameter `—domain-ou` tidak valid. Akun layanan domain yang ditentukan melalui AWS Secrets Manager tidak memiliki izin yang diperlukan untuk bergabung dengan OU. | Tinjau parameter `—domain-ou`. Pastikan akun layanan domain memiliki izin yang benar ke OU. |
| Error 5 / 0x5 | Akses ditolak. | Izin yang salah dikonfigurasi untuk akun layanan domain, atau akun komputer sudah ada di domain. | Tinjau izin akun layanan domain di domain, dan verifikasi bahwa akun RDS komputer tidak digandakan dalam domain. Anda dapat memverifikasi nama akun RDS komputer dengan menjalankan `SELECT @@SERVERNAME` instans RDS Custom for SQL Server DB Anda. Jika Anda menggunakan Multi-AZ, coba reboot dengan failover dan kemudian verifikasi bahwa akun komputer lagi. RDS Untuk informasi selengkapnya, lihat [Mem-boot ulang instans DB DB](USER_RebootInstance.md). |
| Error 87 / 0x57 | Parameter salah. | Akun layanan domain yang ditentukan melalui AWS Secrets Manager tidak memiliki izin yang benar. Profil pengguna juga mungkin rusak. | Tinjau persyaratan untuk akun layanan domain. |
| Error 234 / 0xEA | Unit Organisasi (OU) yang ditentukan tidak ada. | OU yang ditentukan dengan `—domain-ou` parameter tidak ada di AD Anda. | Tinjau `—domain-ou` parameter dan pastikan OU yang ditentukan ada di AD Anda. |
| Error 1326 / 0x52E | Nama pengguna atau kata sandi salah. | Kredensi akun layanan domain yang disediakan di AWS Secrets Manager berisi nama pengguna yang tidak dikenal atau kata sandi yang buruk. Akun domain juga dapat dinonaktifkan di iklan Anda. | Pastikan kredensi yang disediakan di AWS Secrets Manager sudah benar dan akun domain diaktifkan di Active Directory Anda. |
| Error 1355 / 0x54B | Domain yang ditentukan tidak ada atau tidak dapat dihubungi. | Domain sedang down, set yang ditentukan tidak dapat DNS IPs dijangkau, atau yang ditentukan FQDN tidak dapat dijangkau. | Tinjau parameter `—domain-dns-ips` dan `—domain-fqdn` untuk memastikannya sudah benar. Tinjau konfigurasi jaringan instans RDS Custom for SQL Server DB Anda dan pastikan AD Anda dapat dijangkau. |
| Kesalahan 1722/0x6BA | RPCServer tidak tersedia. | Ada masalah saat mencapai RPC layanan domain AD Anda. Hal ini mungkin merupakan masalah layanan atau jaringan. | Validasi bahwa RPC layanan berjalan pada pengontrol domain Anda dan bahwa TCP port `135` dan dapat `49152-65535` dijangkau di domain Anda dari instans RDS Custom for SQL Server DB Anda. |
| Error 2224 / 0x8B0 | Akun pengguna sudah ada. | Akun komputer yang mencoba ditambahkan ke AD Anda sudah ada. | Identifikasi akun komputer dengan menjalankan `SELECT @@SERVERNAME` instans RDS Custom for SQL Server DB Anda dan kemudian hapus dengan hati-hati dari AD Anda. |
| Error 2242 / 0x8c2 | Kata sandi pengguna ini telah kedaluwarsa. | Kata sandi untuk akun layanan domain yang ditentukan melalui AWS Secrets Manager telah kedaluwarsa. | Perbarui kata sandi untuk akun layanan domain yang digunakan untuk bergabung dengan instans RDS Custom for SQL Server DB Anda ke AD Anda. |