Amazon RDS for SQL Server DB インスタンスによるセルフマネージド Active Directory の操作 - Amazon Relational Database Service
リージョンとバージョンの可用性制約事項セルフマネージド Active Directory の設定の概要セルフマネージド Active Directory ドメインメンバーシップについてDB インスタンスを復元してからセルフマネージド Active Directory ドメインに追加する

Amazon RDS for SQL Server DB インスタンスによるセルフマネージド Active Directory の操作

AD が企業のデータセンター、AWS EC2、またはその他のクラウドプロバイダーでホストされているかどうかに関係なく、RDS for SQL Server DB インスタンスをセルフマネージド Active Directory (AD) ドメインに直接参加させることができます。セルフマネージド AD では、中間ドメインやフォレストトラストを使用せずに、NTLM 認証を使用して、RDS for SQL Server DB インスタンス上のユーザーとサービスの認証を直接制御します。セルフマネージド AD ドメインに結合された RDS for SQL Server DB インスタンスでユーザーが認証するとき、認証リクエストは指定したセルフマネージド AD ドメインに転送されます。

トピック

利用可能なリージョンとバージョン

Amazon RDS は、すべての AWS リージョン で NTLM を使用するセルフマネージド AD for SQL Server をサポートしています。

制約事項

SQL Server 用セルフマネージド AD には、以下の制限が適用されます。

  • NTLM は、サポートされている唯一の認証タイプです。Kerberos 認証はサポートされていません。Kerberos 認証を使用する必要がある場合は、セルフマネージド AD の代わりに AWS マネージド AD を使用できます。

  • Microsoft 分散トランザクションコーディネーター (MSDTC) サービスは Kerberos 認証を必要とするため、サポートされていません。

  • RDS for SQL Server DB インスタンスは、セルフマネージド AD ドメインのネットワークタイムプロトコル (NTP) サーバーを使用しません。代わりに AWS NTP サービスを使用します。

  • SQL Server にリンクされたサーバーは、セルフマネージド AD ドメインに参加している他の RDS for SQL Server DB インスタンスに接続するには、SQL 認証を使用する必要があります。

  • セルフマネージド AD ドメインの Microsoft グループポリシーオブジェクト (GPO) 設定は RDS for SQL Server DB インスタンスには適用されません。

セルフマネージド Active Directory の設定の概要

RDS for SQL Server DB インスタンスにセルフマネージド AD を設定するには、次の手順を実行します。詳細については、「セルフマネージド Active Directory の設定」を参照してください。

お使いの AD ドメインで、

  • 組織単位(OU) を作成します。

  • AD ドメインユーザーを作成します。

  • AD ドメインユーザーに制御を委任します。

AWS Management Console または API から:

  • AWS KMS キーを作成します。

  • AWS Secrets Manager を使用して、シークレットを作成します。

  • RDS for SQL Server DB インスタンスを作成または変更し、セルフマネージド AD ドメインに参加させます。

セルフマネージド Active Directory ドメインメンバーシップについて

DB インスタンスを作成または変更した後、そのインスタンスはセルフマネージド AD ドメインのメンバーになります。AWS コンソールは、DB インスタンスについて、セルフマネージド Active Directory ドメインメンバーシップのステータスを示します。DB インスタンスのステータスは、以下のいずれかです。

  • joined – インスタンスは AD ドメインのメンバーです。

  • Joining – インスタンスは、AD ドメインのメンバーになる途中です。

  • pending-join (参加保留中) – インスタンスのメンバーシップは保留中です。

  • pending-maintenance-join – AWS は、次に予定されているメンテナンスウィンドウ中に、インスタンスを AD ドメインのメンバーにできるよう試みます。

  • pending-removal – AD ドメインからのインスタンスの削除は保留中です。

  • pending-maintenance-removal – AWS は、次に予定されているメンテナンスウィンドウ中に、AD ドメインからのインスタンスの削除を試みます。

  • failed – 設定の問題により、インスタンスは AD ドメインに参加できませんでした。インスタンスの変更コマンドを再発行する前に、設定を確認して修正してください。

  • removing – インスタンスをセルフマネージド AD ドメインから削除しています。

セルフマネージド AD ドメインのメンバーになるリクエストは、ネットワーク接続の問題が原因で失敗する場合があります。例えば、DB インスタンスを作成したか、既存のインスタンスを変更したが、DB インスタンスをセルフマネージド AD ドメインのメンバーにする試みが失敗することがあります。この場合、コマンドを再発行して DB インスタンスを作成または変更するか、新しく作成されたインスタンスを変更して、セルフマネージド AD ドメインに参加させます。

SQL Server DB インスタンスを復元してからセルフマネージド Active Directory ドメインに追加する

SQL Server DB インスタンスの DB スナップショットまたはポイントインタイムリカバリ (PITR) を復元して、セルフマネージド Active Directory ドメインに追加できます。DB インスタンスが復元されたら、「ステップ 6: SQL Server DB インスタンスを作成または変更する」で説明している手順に従ってインスタンスを変更し、DB インスタンスをセルフマネージド AD ドメインに追加します。