Amazon RDS for SQL Server DB 인스턴스를 사용하여 자체 관리형 Active Directory 작업 - Amazon Relational Database Service
리전 및 버전 사용 가능 여부제한 사항자체 관리형 Active Directory 설정 개요자체 관리형 Active Directory 도메인 멤버십에 대한 이해DB 인스턴스를 복원한 후 자체 관리형 Active Directory 도메인에 추가

Amazon RDS for SQL Server DB 인스턴스를 사용하여 자체 관리형 Active Directory 작업

AD가 호스팅되는 위치(기업 데이터 센터, AWS EC2 또는 기타 클라우드 공급자)에 관계없이 RDS for SQL Server DB 인스턴스를 자체 관리형 Active Directory(AD) 도메인에 직접 가입시킬 수 있습니다. 자체 관리형 AD를 사용하면 중간 도메인 및 포리스트 신뢰를 사용하지 않고도 NTLM 인증을 사용하여 RDS for SQL Server DB 인스턴스의 사용자 및 서비스 인증을 직접 제어할 수 있습니다. 사용자가 자체 관리형 AD 도메인에 가입된 RDS for SQL Server DB 인스턴스를 사용하여 인증하면 인증 요청이 지정한 자체 관리형 AD 도메인으로 전달됩니다.

주제

리전 및 버전 사용 가능 여부

Amazon RDS는 모든 AWS 리전에서 NTLM을 사용하는 SQL Server용 자체 관리형 AD를 지원합니다.

제한 사항

SQL Server용 자체 관리형 AD에는 다음과 같은 제한 사항이 적용됩니다.

  • NTLM이 지원되는 유일한 인증 유형입니다. Kerberos 인증은 지원되지 않습니다. Kerberos 인증을 사용해야 하는 경우 자체 관리형 AD 대신 AWS 관리형 AD를 사용할 수 있습니다.

  • Microsoft Distributed Transaction Coordinator(MSDTC) 서비스는 Kerberos 인증이 필요하므로 지원되지 않습니다.

  • RDS for SQL Server DB 인스턴스에서는 자체 관리형 AD 도메인의 Network Time Protocol(NTP) 서버를 사용하지 않습니다. 대신 AWS NTP 서비스를 사용합니다.

  • SQL Server 연결 서버는 자체 관리형 AD 도메인에 가입된 다른 RDS for SQL Server DB 인스턴스에 연결하는 데 SQL 인증을 사용해야 합니다.

  • 자체 관리형 AD 도메인의 Microsoft Group Policy Object(GPO) 설정은 RDS for SQL Server DB 인스턴스에 적용되지 않습니다.

자체 관리형 Active Directory 설정 개요

RDS for SQL Server DB 인스턴스용 자체 관리형 AD를 설정하려면 다음 단계를 수행하세요. 자세한 내용은 자체 관리형 Active Directory 설정에서 설명합니다.

AD 도메인에서:

  • 조직 단위(OU)를 생성합니다.

  • AD 도메인 사용자를 생성합니다.

  • AD 도메인 사용자에게 제어를 위임합니다.

AWS Management Console 또는 API에서:

  • AWS KMS 키를 생성합니다.

  • AWS Secrets Manager를 사용하여 보안 암호를 생성합니다.

  • RDS for SQL Server DB 인스턴스를 만들거나 수정하여 자체 관리형 AD 도메인에 가입시킵니다.

자체 관리형 Active Directory 도메인 멤버십에 대한 이해

DB 인스턴스를 생성하거나 수정한 경우 해당 인스턴스는 자체 관리형 AD 도메인의 구성원이 됩니다. AWS 콘솔은 DB 인스턴스에 대한 자체 관리형 Active Directory 도메인 멤버십의 상태를 나타냅니다. DB 인스턴스의 상태는 다음 중 한 가지가 될 수 있습니다.

  • joined – 인스턴스가 AD 도메인의 구성원입니다.

  • joining – 인스턴스가 AD 도메인 구성원이 되기 위한 과정을 진행하고 있습니다.

  • pending-join – 인스턴스 멤버십이 보류 중입니다.

  • pending-maintenance-join - AWS에서 다음 예약된 유지 관리 기간 동안 인스턴스를 AD 도메인의 구성원으로 만들려고 시도합니다.

  • pending-removal – AD 도메인에서 인스턴스 제거 작업이 보류 중입니다.

  • pending-maintenance-removal - AWS에서 다음 예약된 유지 관리 기간 동안 AD 도메인에서 인스턴스를 제거하려고 시도합니다.

  • failed – 구성 문제가 발생하여 인스턴스가 AD 도메인에 가입되지 않았습니다. 인스턴스 수정 명령을 다시 실행하기 전에 구성을 확인하고 수정합니다.

  • removing – 인스턴스를 자체 관리형 AD 도메인에서 제거하고 있습니다.

네트워크 연결 문제로 인해 자체 관리형 AD 도메인 구성원 되기 요청이 실패할 수 있습니다. 예를 들어 DB 인스턴스를 생성하거나 기존 인스턴스를 수정하여 DB 인스턴스가 자체 관리형 AD 도메인의 구성원이 되려는 시도를 못하게 할 수 있습니다. 이 경우 명령을 다시 실행하여 DB 인스턴스를 생성 또는 수정하거나 새로 생성된 인스턴스를 수정하여 자체 관리형 AD 도메인에 가입할 수 있습니다.

SQL Server DB 인스턴스를 복원한 후 자체 관리형 Active Directory 도메인에 추가

DB 스냅샷을 복원하거나 SQL Server DB 인스턴스에 대한 특정 시점 복구(PITR)를 수행한 후 자체 관리형 Active Directory 도메인에 추가할 수 있습니다. DB 인스턴스가 복원된 후 6단계: SQL Server DB 인스턴스 생성 또는 수정에 설명된 프로세스를 사용하여 DB 인스턴스를 자체 관리형 AD 도메인에 추가하도록 인스턴스를 수정합니다.