本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
要求
在將 RDS for SQL Server 資料庫執行個體加入自我管理 AD 網域之前,請確定您符合下列需求。
設定內部部署 AD
請確定您擁有可加入 Amazon RDS for SQL Server 執行個體的內部部署或其他自我管理 Microsoft AD。您的內部部署 AD 應該具有下列組態:
-
如果您已定義 Active Directory 網站,請確定 Active Directory 網站中已定義與 RDS的 for SQL Server 資料庫執行個體VPC相關聯的子網路。確認 中的子網路VPC與其他 AD 站台中的子網路之間沒有任何衝突。
-
您的 AD 網域控制器具有 Windows Server 2008 R2 或更新版本的網域功能層級。
-
您的 AD 網域名稱不能是單一標籤網域 (SLD) 格式。RDS for SQL Server 不支援SLD網域。
-
AD 的完整網域名稱 (FQDN) 不得超過 47 個字元。
設定您的網路連線能力
請確定您已符合下列網路組態:
-
Amazon 之間設定的連線,您要VPC在其中建立RDS適用於SQL伺服器資料庫的 執行個體,以及自我管理的 Active Directory。您可以使用 AWS Direct Connect、對 AWS VPNVPC等或 AWS Transit Gateway 設定連線。
-
對於VPC安全群組,預設 Amazon 的預設安全群組VPC已新增至主控台中的 RDS的 for SQL Server 資料庫執行個體。請確定您建立 RDS for SQL Server 資料庫執行個體ACLs之子網路的安全群組和VPC網路允許連接埠上的流量,並依照下圖所示的指示進行。
下表識別每個連接埠的角色。
通訊協定 連接埠 角色 TCP/UDP 53 網域名稱系統 (DNS) TCP/UDP 88 Kerberos 身分驗證 TCP/UDP 464 變更/設定密碼 TCP/UDP 389 輕量型目錄存取通訊協定 (LDAP) TCP 135 分散式運算環境 / End Point Mapper (DCE / EPMAP) TCP 445 Directory Services SMB 檔案共用 TCP 636 透過 TLS/SSL (LDAPS) 的輕量型目錄存取通訊協定 TCP 49152 - 65535 的偶像連接埠 RPC 一般而言,網域DNS伺服器位於 AD 網域控制器中。您不需要設定VPCDHCP選項集即可使用此功能。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的DHCP選項集。
重要
如果您使用的是VPC網路 ACLs,也必須允許來自 RDS的 適用於SQL伺服器資料庫執行個體的動態連接埠 (49152-65535) 上的傳出流量。確保這些流量規則也鏡像在適用於每個 AD 網域控制器、DNS伺服器和SQL伺服器資料庫執行個體RDS的防火牆上。
雖然VPC安全群組要求僅以啟動網路流量的方向開啟連接埠,但大多數 Windows 防火牆和VPC網路都ACLs要求雙向開啟連接埠。
設定您的 AD 網域服務帳戶
請確定您已符合 AD 網域服務帳戶的下列需求:
-
確定您在自我管理 AD 網域中具有一個服務帳戶,其具有將電腦加入網域的委派許可。網域服務帳戶是自我管理 AD 中的使用者帳戶,其已獲委派執行特定任務的許可。
-
網域服務帳戶需要在您加入 RDS for SQL Server 資料庫執行個體的組織單位 (OU) 中委派下列許可給:
驗證寫入DNS主機名稱的能力
已驗證能夠寫入服務主體名稱
建立和刪除電腦物件
這些代表將電腦物件加入自我管理 Active Directory 所需的最低許可集。如需詳細資訊,請參閱 Microsoft Windows Server 文件中的嘗試將電腦加入網域時發生錯誤
。
重要
建立資料庫執行個體後,請勿移動RDSSQL伺服器在 Organizational Unit 中建立的電腦物件。移動相關聯的物件會導致您的 RDS for SQL Server 資料庫執行個體設定錯誤。如果您需要移動 Amazon 建立的電腦物件RDS,請使用 ModifyDBInstance RDSAPI操作來修改具有電腦物件所需位置的網域參數。
