Configurazione di AD on-premise Configurazione della connettività di rete Configurazione dell'account del servizio di dominio AD

Requisiti

Assicurati di aver soddisfatto i seguenti requisiti prima di aggiungere un'istanza di RDS for SQL Server DB al tuo dominio AD autogestito.

Argomenti

Configurazione di AD on-premise
Configurazione della connettività di rete
Configurazione dell'account del servizio di dominio AD

Configurazione di AD on-premise

Assicurati di disporre di un Microsoft AD locale o di un altro Microsoft AD autogestito a cui puoi aggiungere l'istanza Amazon RDS for SQL Server. Il tuo dominio AD on-premise deve avere la seguente configurazione:

Se hai definito dei siti Active Directory, assicurati che le sottoreti VPC associate all'istanza DB RDS for SQL Server siano definite nel tuo sito Active Directory. Verifica che non vi siano conflitti tra le sottoreti del tuo VPC e le sottoreti degli altri siti AD.
Il tuo controller di dominio AD ha un livello di funzionalità di dominio di Windows Server 2008 R2 o superiore.
Il tuo nome di dominio AD non può essere in formato Single Label Domain (). SLD RDSfor SQL Server non supporta i SLD domini.
Il nome di dominio completo (FQDN) per il tuo AD non può superare i 47 caratteri.

Configurazione della connettività di rete

Assicurati di soddisfare le seguenti configurazioni di rete:

Connettività configurata tra Amazon VPC in cui desideri creare l'istanza DB RDS for SQL Server e la tua Active Directory autogestita. È possibile configurare la connettività utilizzando AWS Direct Connect AWS VPN, VPC peering o AWS Transit Gateway.

Per i gruppi VPC di sicurezza, il gruppo di sicurezza predefinito per Amazon predefinito VPC è già stato aggiunto all'istanza di RDS for SQL Server DB nella console. Assicurati che il gruppo di sicurezza e la VPC rete ACLs per le sottoreti in cui stai creando l'istanza di RDS for SQL Server DB consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.

Regole per le porte per la configurazione di rete per Active Directory gestito dal cliente.

Nella tabella seguente è indicato il ruolo di ciascuna porta.

Protocollo	Porte	Ruolo
TCP/UDP	53	Sistema dei nomi di dominio () DNS
TCP/UDP	88	Autenticazione Kerberos
TCP/UDP	464	Modifica/reimpostazione della password
TCP/UDP	389	Lightweight Directory Access Protocol (LDAP)
TCP	135	Ambiente di calcolo distribuito/End Point Mapper (DCE/EPMAP)
TCP	445	Condivisione di SMB file con Directory Services
TCP	636	Lightweight Directory Access Protocol suTLS/SSL(LDAPS)
TCP	49152 - 65535	Porte effimere per RPC

In genere, i DNS server di dominio si trovano nei controller di dominio AD. Non è necessario configurare il set di VPC DHCP opzioni per utilizzare questa funzionalità. Per ulteriori informazioni, consulta i set di DHCP opzioni nella Amazon VPC User Guide.

Importante

Se utilizzi la VPC reteACLs, devi anche consentire il traffico in uscita su porte dinamiche (49152-65535) dall'istanza di for Server DB. RDS SQL Assicurati che queste regole del traffico siano rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio AD, DNS ai server e alle istanze di Server DB. RDS SQL

Sebbene i gruppi VPC di sicurezza richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall e della rete Windows ACLs richiede che le porte siano aperte in VPC entrambe le direzioni.

Configurazione dell'account del servizio di dominio AD

Assicurati di soddisfare i seguenti requisiti per un account del servizio di dominio AD:

Assicurati di disporre di un account del servizio nel tuo dominio AD gestito dal cliente con autorizzazioni delegate per aggiungere computer al dominio. Un account del servizio di dominio è un account utente nel tuo dominio AD gestito dal cliente a cui è stata delegata l'autorizzazione per eseguire determinate attività.
All'account del servizio di dominio devono essere delegate le seguenti autorizzazioni nell'unità organizzativa (OU) a cui stai unendo l'istanza database RDS for SQL Server a:
- Capacità convalidata di scrittura sul nome host DNS
- Capacità convalidata di scrivere sul nome principale del servizio
- Creazione ed eliminazione degli oggetti computer
Rappresentano il set minimo di autorizzazioni necessarie per aggiungere oggetti computer al dominio Active Directory gestito dal cliente. Per ulteriori informazioni, consulta l'argomento relativo agli errori durante il tentativo di aggiungere computer a un dominio nella documentazione di Microsoft Windows Server.

Importante

Non spostate gli oggetti informatici creati RDS da SQL For Server nell'unità organizzativa dopo la creazione dell'istanza DB. Lo spostamento degli oggetti associati causerà una configurazione errata dell'istanza di RDS for SQL Server DB. Se devi spostare gli oggetti informatici creati da AmazonRDS, usa l'odifyDBInstanceRDSAPIoperazione M per modificare i parametri del dominio con la posizione desiderata degli oggetti del computer.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di Self Managed Active Directory con un'istanza DB SQL Server

Configurazione di Active Directory gestito dal cliente