# Requisitos
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements"></a>

Verifique se você atendeu aos seguintes requisitos antes de unir uma instância de banco de dados do RDS para SQL Server ao seu domínio de AD autogerenciado.

**Topics**
+ [Configurar um AD on-premises](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.OnPremConfig)
+ [Configurar sua conectividade de rede](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig)
+ [Configurar uma conta de serviço do domínio de AD](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig)
+ [Configurar a comunicação segura via LDAPS](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.LDAPS)

## Configurar um AD on-premises
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.OnPremConfig"></a>

Você precisa ter um Microsoft AD on-premises ou autogerenciado ao qual possa associar a instância do Amazon RDS para SQL Server. O AD on-premises deve ter a seguinte configuração:
+ Se você tiver sites do AD definidos, verifique se as sub-redes na VPC associada à sua instância de banco de dados do RDS para SQL Server estão definidas em seu site do AD. Confirme se não há nenhum conflito entre as sub-redes em sua VPC e as sub-redes em seus outros sites do AD.
+ Seu controlador de domínios de AD tem um nível funcional de domínio do Windows Server 2008 R2 ou posterior.
+ Seu nome de domínio de AD não pode estar no formato de domínio de rótulo único (SLD). O RDS para SQL Server não oferece suporte a domínios SLD.
+ O nome de domínio totalmente qualificado (FQDN) do AD não pode exceder 47 caracteres.

## Configurar sua conectividade de rede
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig"></a>

Você precisa atender às seguintes configurações de rede:
+ Configure a conectividade entre a Amazon VPC na qual deseja criar a instância de banco de dados do RDS para SQL Server e o AD autogerenciado. Você pode configurar a conectividade usando o AWS Direct Connect, o AWS VPN, o emparelhamento de VPC ou o AWS Transit Gateway.
+ Para grupos de segurança de VPC, o grupo de segurança padrão para sua Amazon VPC padrão já está adicionado à sua instância de banco de dados do RDS para SQL Server no console. Verifique se o grupo de segurança e as ACLs de rede da VPC para as sub-redes em que você vai criar a instância de banco de dados do RDS para SQL Server permitem tráfego nas portas e nas direções mostradas no diagrama a seguir.  
![\[Regras de portas para configuração de rede de um AD autogerenciado.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/UserGuide/images/SQLServer_SelfManagedActiveDirectory_Requirements_NetworkConfig.png)

  A tabela a seguir identifica o perfil de cada porta.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/UserGuide/USER_SQLServer_SelfManagedActiveDirectory.Requirements.html)
+ Em geral, os servidores DNS do domínio estão localizados nos controladores do domínio de AD. Você não precisa configurar o conjunto de opções DHCP da VCP para usar esse atributo. Para obter mais informações, consulte [Conjuntos de opções DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) no *Guia do usuário do Amazon VPC*.

**Importante**  
Se você estiver usando ACLs de rede de VPC, também deverá permitir tráfego de saída em portas dinâmicas (49152-65535) da sua instância de banco de dados do RDS para SQL Server. Confira se essas regras de tráfego também são refletidas nos firewalls que se aplicam a cada um dos controladores do domínio de AD, servidores DNS e instâncias de banco de dados do RDS para SQL Server.  
Embora os grupos de segurança de VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs da rede de VPC exigem que as portas sejam abertas nas duas direções.

## Configurar uma conta de serviço do domínio de AD
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig"></a>

Verifique se você atendeu aos seguintes requisitos para uma conta de serviço do domínio de AD:
+ Confira se você tem uma conta de serviço em seu domínio AD autogerenciado com permissões delegadas para associar computadores ao domínio. Uma conta de serviço de domínio é uma conta de usuário em seu AD autogerenciado à qual foi delegada permissão para realizar determinadas tarefas.
+ É necessário delegar à conta de serviço de domínio as seguintes permissões na unidade organizacional (OU) à qual você está associando a instância de banco de dados do RDS para SQL Server:
  + Capacidade validada para gravar no nome do host DNS
  + Capacidade validada para gravar no nome da entidade principal de serviço
  + Criar e excluir objetos de computador

  Essas permissões representam o conjunto mínimo de permissões necessárias para associar objetos de computador ao AD autogerenciado. Para obter mais informações, consulte [Erros ao tentar associar computadores a um domínio](https://learn.microsoft.com/en-US/troubleshoot/windows-server/identity/access-denied-when-joining-computers) na documentação do Microsoft Windows Server.
+ Para usar a autenticação Kerberos, você precisa fornecer nomes de entidades principais de serviço (SPNs) e permissões de DNS à sua conta de serviço de domínio AD:
  + **Gravar SPN**: delegue a permissão **Gravar SPN** à conta de serviço de domínio AD na UO à qual você precisa associar a instância de banco de dados do RDS para SQL Server. Essas permissões são diferentes do SPN de gravação validado.
  + **Permissões de DNS**: forneça as seguintes permissões para a conta de serviço de domínio AD no gerenciador de DNS em nível de servidor para seu controlador de domínio:
    + Listar conteúdo
    + Ler todas as propriedades
    + Permissões de leitura

**Importante**  
Não mova objetos de computador criados pelo RDS para SQL Server na unidade organizacional depois da criação da instância de banco de dados. Mover os objetos associados fará com que sua instância de banco de dados do RDS para SQL Server fique malconfigurada. Se você precisar mover os objetos de computador criados pelo Amazon RDS, use a operação de API [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) do RDS para modificar os parâmetros do domínio com a localização desejada dos objetos de computador.

## Configurar a comunicação segura via LDAPS
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.LDAPS"></a>

A comunicação via LDAPS é recomendada para que o RDS consulte e acesse objetos de computador, bem como SPNs no controlador de domínio. Para usar o LDAP seguro, use um certificado SSL válido em seu controlador de domínio que atenda aos requisitos de LDAPS seguro. Se não existir um certificado SSL válido no controlador de domínio, a instância de banco de dados do RDS para SQL Server usará como padrão o LDAP. Para acessar mais informações sobre a validade do certificado, consulte [Requirements for an LDAPS certificate](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/enable-ldap-over-ssl-3rd-certification-authority#requirements-for-an-ldaps-certificate).