Verwenden der Windows-Authentifizierung mit einer Amazon RDS für SQL Server-DB-Instance - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der Windows-Authentifizierung mit einer Amazon RDS für SQL Server-DB-Instance

Sie können die Microsoft Windows-Authentifizierung verwenden, um Benutzer zu authentifizieren, wenn diese sich mit Ihrer Amazon RDS for Microsoft SQL Server-DB-Instance verbinden. Die DB-Instance arbeitet mit AWS Directory Service for Microsoft Active Directory, auch als AWS Managed Microsoft AD bezeichnet, um die Windows-Authentifizierung zu aktivieren. Wenn Benutzer sich mit einer SQL Server-DB-Instance authentifizieren, die mit einer vertrauenswürdigen Domäne verbunden ist, werden die Authentifizierungsanfragen an das Domänenverzeichnis weitergeleitet, das Sie mit AWS Directory Service erstellt haben.

Amazon RDS unterstützt die Windows-Authentifizierung für SQL Server in allen AWS-Regionen.

Amazon RDS verwendet einen gemischten Modus für die Windows-Authentifizierung. Mit dieser Vorgehensweise verwendet der Hauptbenutzer (zum Erstellen der SQL Server-DB-Instance verwendeter Name und verwendetes Passwort ) die SQL-Authentifizierung. Da das Masterbenutzerkonto Anmeldedaten mit besonderen Berechtigungen enthält, sollte der Zugriff auf dieses Konto beschränkt sein.

Um mithilfe eines lokalen oder selbst gehosteten Microsoft Active Directory Windows-Authentifizierung abzurufen, erstellen Sie eine Gesamtstruktur-Vertrauensstellung. Die Vertrauensstellung kann uni- oder bidirektional sein. Weitere Informationen zum Erstellen von gesamtstrukturbasierten Vertrauensstellungen mithilfe von AWS Directory Service finden Sie unter Zeitpunkt zum Erstellen einer Vertrauensstellung im AWS Directory Service Administration Guide.

Führen Sie die folgenden Schritte aus, um eine Windows-Authentifizierung für eine SQL Server-DB-Instance einzurichten. Diese Schritt werden unter Einrichten einer Windows-Authentifizierung für SQL Server-DB-Instances noch genauer erklärt:

  1. Verwenden Sie AWS Managed Microsoft AD, entweder über die AWS Management Console oder AWS Directory Service-API, um ein AWS Managed Microsoft AD-Verzeichnis zu erstellen.

  2. Wenn Sie die AWS CLI oder Amazon RDS-API verwenden, um Ihre SQL Server-DB-Instance zu erstellen, erstellen Sie eine AWS Identity and Access Management (IAM)-Rolle. Diese Rolle verwendet die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess und ermöglicht es Amazon RDS, Aufrufe an Ihr Verzeichnis durchzuführen. Wenn Sie die Konsole zum Erstellen der SQL Server-DB-Instance verwenden, erstellt AWS die IAM-Rolle für Sie.

    Um mit der Rolle Zugriff zu gewähren, muss der AWS Security Token Service (AWS STS)-Endpunkt in der AWS-Region für Ihr AWS-Konto aktiviert sein. AWS STS-Endpunkte sind standardmäßig in allen AWS-Regionen aktiv und Sie können sie ohne weitere Maßnahmen nutzen. Weitere Informationen finden Sie unter Verwalten von AWS STS in einer AWS-Region im IAM-Benutzerhandbuch.

  3. Erstellen und konfigurieren Sie Benutzer und Gruppen im Verzeichnis AWS Managed Microsoft AD mithilfe der Tools aus dem Microsoft Active Directory. Weitere Informationen zum Erstellen von Benutzern und Gruppen in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD im AWS Directory Service Administration Guide.

  4. Wenn Sie das Verzeichnis und die DB-Instance in verschiedenen VPCs platzieren möchten, aktivieren Sie den VPC-übergreifenden Datenverkehr.

  5. Verwenden Sie Amazon RDS zum Erstellen einer neuen SQL Server-DB-Instance über die Konsole, AWS CLI oder die Amazon RDS-API. In der Anforderung zum Erstellen geben Sie den Domänenbezeichner an ("d-*"-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde, sowie den Namen der von Ihnen erstellten Rolle. Sie können auch eine vorhandene SQL Server-DB-Instance für die Verwendung der Windows-Authentifizierung ändern, indem Sie die Domänen- und IAM-Rollenparameter für die DB-Instance festlegen.

  6. Verwenden Sie die Anmeldeinformationen für den Amazon RDS-Hauptbenutzer, um eine Verbindung zur SQL Server-DB-Instance herzustellen, wie Sie es bei jeder anderen DB-Instance tun würden. Da die DB-Instance mit der AWS Managed Microsoft AD-Domäne verbunden ist, können Sie SQL Server-Anmeldungen und -Benutzer von den Active Directory-Benutzern und -Gruppen in deren Domäne bereitstellen. (Diese werden als SQL Server "Windows"-Anmeldungen bezeichnet.) Datenbankberechtigungen werden über die Standard-SQL-Server-Berechtigungen verwaltet, die für die Windows-Anmeldungen gewährt und widerrufen werden.

Erstellen des Endpunkts für die Kerberos-Authentifizierung

Eine Kerberos-basierte Authentifizierung erfordert, dass der Endpunkt ein kundendefinierter Hostname, ein Zeitraum und dann der vollständig qualifizierte Domänenname (FQDN) ist. Im Folgenden sehen Sie ein Beispiel für einen Endpunkt, den Sie mit Kerberos-basierter Authentifizierung verwenden können. In diesem Beispiel lautet der Hostname der SQL Server-DB-Instance ad-test und der Domänenname corp-ad.company.com.

ad-test.corp-ad.company.com

Wenn Sie überprüfen möchten, ob Ihre Verbindung Kerberos verwendet, führen Sie die folgende Abfrage aus:

SELECT net_transport, auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@SPID;

Einrichten einer Windows-Authentifizierung für SQL Server-DB-Instances

Sie verwenden AWS Directory Service for Microsoft Active Directory, auch AWS Managed Microsoft AD genannt, um die Windows-Authentifizierung für eine SQL Server-DB-Instance einzurichten. Um die Windows-Authentifizierung einzurichten, führen Sie folgende Schritte aus.

Schritt 1: Erstellen eines Verzeichnisses unter Verwendung der AWS Directory Service for Microsoft Active Directory

AWS Directory Service erstellt ein vollständig verwaltetes Microsoft Active Directory in der AWS Cloud. Wenn Sie ein AWS Managed Microsoft AD-Verzeichnis erstellen, erstellt AWS Directory Service zwei Domänencontroller und DNS-Server (Domain Name Service) in Ihrem Namen. Die Verzeichnis-Server werden in zwei Subnetzen in zwei verschiedenen Availability Zones in einer VPC erstellt. Diese Redundanz hilft sicherzustellen, dass Ihr Verzeichnis verfügbar bleibt, auch wenn ein Fehler auftritt.

Wenn Sie ein AWS Managed Microsoft AD-Verzeichnis erstellen, führt der AWS Directory Service folgende Aufgaben in Ihrem Namen aus:

  • Richtet ein Microsoft Active Directory in der VPC ein.

  • Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

    Anmerkung

    Es wird dringend empfohlen, dieses Passwort zu speichern. AWS Directory Service speichert dieses Passwort nicht und Sie können es weder abrufen noch zurücksetzen.

  • Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.

Wenn Sie ein AWS Directory Service for Microsoft Active Directory-Verzeichnis starten, richtet AWS eine Organisationseinheit (Organizational Unit – OU) ein, die alle Objekte des Verzeichnisses enthält. Diese OU erhält den NetBIOS-Namen, den Sie beim Erstellen des Verzeichnisses eingegeben haben, und befindet sich im Domänenstamm. Der Domänenstamm ist im Besitz von AWS und wird auch von AWS verwaltet.

Das Admin-Konto, das zusammen mit dem Verzeichnis AWS Managed Microsoft AD erstellt wurde, verfügt über die Berechtigungen für die häufigsten administrativen Aufgaben in Bezug auf Ihre OU:

  • Erstellen, Aktualisieren oder Löschen von Benutzern, Gruppen und Computern

  • Hinzufügen von Ressourcen zu Ihrer Domäne, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer und Gruppen in der OU.

  • Erstellen weiterer OUs und Container.

  • Delegieren von Befugnissen.

  • Erstellen und Verknüpfen von Gruppenrichtlinien.

  • Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb.

  • Ausführen von AD- und DNS-Modulen von Windows PowerShell im Active Directory Web Service.

Das Admin-Konto verfügt zudem über die Rechte zum Ausführen der folgenden domänenübergreifenden Aktivitäten:

  • Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonen und Weiterleitungen).

  • Aufrufen von DNS-Ereignisprotokollen.

  • Anzeigen von Sicherheitsereignisprotokollen.

So erstellen Sie ein Verzeichnisses mit AWS Managed Microsoft AD

  1. Wählen Sie im Navigationsbereich der AWS Directory Service-Konsole die Option Directories (Verzeichnisse) und dann Set up directory (Verzeichnis einrichten) aus.

  2. Wählen Sie AWS Managed Microsoft AD aus. Dies ist zurzeit die einzige für Amazon RDS unterstützte Option.

  3. Wählen Sie Next.

  4. Geben Sie auf der Seite Enter directory information (Verzeichnisinformationen eingeben) die folgenden Informationen ein:

    Edition

    Wählen Sie die Edition aus, die Ihre Anforderungen erfüllt.

    DNS-Name des Verzeichnisses

    Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com. Namen, die länger als 47 Zeichen sind, werden von SQL Server nicht unterstützt.

    NetBIOS-Name des Verzeichnisses

    Ein optionaler Kurzname für das Verzeichnis, z. B. CORP.

    Verzeichnisbeschreibung

    Eine optionale Beschreibung des Verzeichnisses.

    Administratorpasswort

    Das Passwort für den Verzeichnisadministrator. Während des Verzeichniserstellungsprozesses wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt.

    Das Passwort für den Verzeichnisadministrator darf nicht das Wort „admin“ enthalten. Beachten Sie beim Passwort die Groß- und Kleinschreibung und es muss 8 bis 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

    • Kleinbuchstaben (a – z)

    • Großbuchstaben (A – Z)

    • Zahlen (0 – 9)

    • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Passwort bestätigen

    Geben Sie das Administratorpasswort erneut ein.

  5. Wählen Sie Next.

  6. Geben Sie auf der Seite Choose VPC and subnets (VPC und Subnetze wählen) die folgenden Informationen an.

    VPC

    Wählen Sie die VPC für das Verzeichnis aus.

    Anmerkung

    Sie können das Verzeichnis und die DB-Instance in verschiedenen VPCs suchen. Stellen Sie in diesem Fall jedoch sicher, dass Sie VPC-übergreifenden Datenverkehr aktivieren. Weitere Informationen finden Sie unter Schritt 4: Aktivieren des VPC-übergreifenden Datenverkehrs zwischen dem Verzeichnis und der DB-Instance.

    Subnetze

    Wählen Sie Subnetze für die Verzeichnis-Server aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  7. Wählen Sie Next.

  8. Überprüfen Sie die Verzeichnisinformationen. Falls Sie noch Änderungen vornehmen möchten, klicken Sie auf Previous (Zurück). Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen).

    
							Seite Überprüfen und Erstellen

Es dauert einige Minuten, bis das Verzeichnis erstellt wurde. Wenn es erfolgreich erstellt wurde, ändert sich der Wert Status in Active (Aktiv).

Um Informationen über das Verzeichnis anzuzeigen, wählen Sie die Verzeichnis-ID in der Verzeichnisauflistung aus. Notieren Sie sich den Wert Directory ID (Verzeichnis-ID). Sie benötigen diesen Wert, wenn Sie die SQL Server-DB-Instance erstellen oder modifizieren.


					Seite „Directory details (Verzeichnisdetails)“

Schritt 2: Erstellen der IAM-Rolle für die Verwendung durch Amazon RDS

Wenn Sie die Konsole zum Erstellen der SQL Server-DB-Instance verwenden, können Sie diesen Schritt überspringen. Wenn Sie zum Erstellen der SQL Server-DB-Instance die CLI oder RDS-API verwenden, müssen Sie eine IAM-Rolle erstellen, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet. Diese Rolle erlaubt Amazon RDS, Aufrufe für Sie an AWS Directory Service zu schicken.

Wenn Sie eine benutzerdefinierte Richtlinie für den Beitritt zu einer Domäne anstelle der von AWS verwalteten AmazonRDSDirectoryServiceAccess-Richtlinie verwenden, stellen Sie sicher, dass Sie die ds:GetAuthorizedApplicationDetails-Aktion zulassen. Diese Anforderung gilt seit Juli 2019 aufgrund einer Änderung der AWS Directory Service-API.

Die folgende IAM-Richtlinie (AmazonRDSDirectoryServiceAccess) ermöglicht den Zugriff auf AWS Directory Service.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] }

Erstellen Sie eine IAM-Rolle mit dieser Richtlinie. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen von kundenverwalteten Richtlinien im IAM-Benutzerhandbuch.

Schritt 3: Erstellen und Konfigurieren von Benutzern und Gruppen

Sie können Benutzer und Gruppen mit dem Tool "Active Directory-Benutzer und -Computer" erstellen. Dieses Tool ist eines der "Active Directory Domain Services"- und "Active Directory Lightweight Directory Services"-Tools. „Benutzer“ sind Einzelpersonen oder Entitäten, die Zugriff auf Ihr Verzeichnis haben. Gruppen sind sehr nützlich, um Berechtigungen zu erteilen oder zu verweigern, anstatt diese Berechtigungen für jeden einzelnen Benutzer erstellen zu müssen.

Um Benutzer und Gruppen in einem AWS Directory Service-Verzeichnis zu erstellen, müssen Sie mit einer Windows EC2-Instance verbunden sein, die Mitglied des AWS Directory Service-Verzeichnisses ist. Außerdem müssen Sie als Benutzer angemeldet sein, der über Rechte zum Erstellen von Benutzern und Gruppen verfügt. Weitere Informationen finden Sie unter Hinzufügen von Benutzern und Gruppen (Simple AD und AWS Managed Microsoft AD) im AWS Directory Service Administration Guide.

Schritt 4: Aktivieren des VPC-übergreifenden Datenverkehrs zwischen dem Verzeichnis und der DB-Instance

Wenn Sie beabsichtigen, das Verzeichnis und die DB-Instance in derselben VPC zu platzieren, überspringen Sie diesen Schritt und fahren Sie mit Schritt 5: Erstellen oder Modifizieren einer SQL Server-DB-Instance fort.

Wenn Sie das Verzeichnis und die DB-Instance in verschiedenen VPCs platzieren möchten, konfigurieren Sie den VPC-übergreifenden Datenverkehr mithilfe von VPC Peering oder AWS Transit Gateway.

Das folgende Verfahren ermöglicht den Datenverkehr zwischen VPCs mit VPC Peering. Folgen Sie den Anweisungen unter Was ist VPC Peering? im Handbuch zu Amazon Virtual Private Cloud-Peering.

Aktivieren des VPC-übergreifenden Datenverkehrs mit VPC Peering

  1. Richten Sie geeignete VPC-Routing-Regeln ein, um sicherzustellen, dass Netzwerk-Datenverkehr in beide Richtungen fließen kann.

  2. Stellen Sie sicher, dass die Sicherheitsgruppe der DB-Instance eingehenden Datenverkehr von der Sicherheitsgruppe des Verzeichnisses empfangen kann.

  3. Stellen Sie sicher, dass keine ACL-Regel (Network Access Control List) zum Blockieren des Datenverkehrs vorhanden ist.

Wenn ein anderes AWS-Konto Eigentümer des Verzeichnisses ist, müssen Sie das Verzeichnis freigeben.

Freigeben des Verzeichnisses zwischen AWS-Konten

  1. Initiieren Sie die Freigabe des Verzeichnisses mit dem AWS-Konto, in dem die DB-Instance erstellt wird, indem Sie die Anweisungen unter Tutorial: Freigeben Ihres AWS Managed Microsoft AD-Verzeichnisses für eine nahtlose EC2-Domäneneinbindung im AWS Directory Service-Administratorhandbuch befolgen.

  2. Melden Sie sich mit dem Konto für die DB-Instance bei der AWS Directory Service-Konsole an und stellen Sie sicher, dass die Domäne den Status SHARED aufweist, bevor Sie fortfahren.

  3. Notieren Sie sich, während Sie mit dem Konto für die DB-Instance bei der AWS Directory Service-Konsole angemeldet sind, den Wert für Directory ID (Verzeichnis-ID). Sie verwenden diese Verzeichnis-ID, um die DB-Instance mit der Domäne zu verbinden.

Schritt 5: Erstellen oder Modifizieren einer SQL Server-DB-Instance

Erstellen oder ändern Sie eine SQL Server-DB-Instance für die Verwendung mit Ihrem Verzeichnis. Sie können die Konsole, CLI oder RDS-API verwenden, um eine DB-Instance einem Verzeichnis zuzuordnen. Sie können dafür eine der folgenden Möglichkeiten auswählen:

Die Windows-Authentifizierung wird nur für SQL Server-DB-Instances in einer VPC unterstützt.

Damit die DB-Instance das von Ihnen erstellte Domänenverzeichnis verwenden kann, ist Folgendes erforderlich:

  • Für Directory (Verzeichnis) müssen Sie den Domänenbezeichner (d-ID) auswählen, der beim Erstellen des Verzeichnisses generiert wurde.

  • Stellen Sie sicher, dass die VPC-Sicherheitsgruppe über eine ausgehende Regel verfügt, mit der die DB-Instance mit dem Verzeichnis kommunizieren kann.


					Microsoft SQL Server-Windows-Authentifizierungsverzeichnis

Wenn Sie die AWS CLI verwenden, sind die folgenden Parameter für die DB-Instance erforderlich, damit sie das erstellte Verzeichnis verwenden kann:

  • Für den --domain-Parameter verwenden Sie den Domänenbezeichner (d-ID), der beim Erstellen des Verzeichnisses generiert wurde.

  • Verwenden Sie für den --domain-iam-role-name-Parameter die von Ihnen erstellte Rolle, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet.

Beispielsweise ändert der folgende CLI-Befehl eine DB-Instance zur Verwendung eines Verzeichnisses.

Für Linux, macOS oder Unix:

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name

Für Windows:

aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name
Wichtig

Wenn Sie eine DB-Instance zur Aktivierung der Kerberos-Authentifizierung ändern, starten Sie die DB-Instance neu, nachdem Sie die Änderung vorgenommen haben.

Schritt 6: Erstellen von SQL Server-Anmeldungen für die Windows-Authentifizierung

Verwenden Sie die Anmeldeinformationen für den Amazon RDS-Hauptbenutzer, um eine Verbindung zur SQL Server-DB-Instance herzustellen, wie Sie es bei jeder anderen DB-Instance tun würden. Da die DB-Instance mit der AWS Managed Microsoft AD-Domäne verbunden ist, können Sie SQL Server-Anmeldungen und -Benutzer bereitstellen. Sie tun dies über die Active Directory-Benutzer und -Gruppen in Ihrer Domäne. Datenbankberechtigungen werden über die Standard-SQL-Server-Berechtigungen verwaltet, die für die Windows-Anmeldungen gewährt und widerrufen werden.

Damit ein Active Directory-Benutzer sich mit SQL Server authentifizieren kann, muss eine SQL Server-Windows-Anmeldung für den Benutzer oder für eine Gruppe, der der Benutzer angehört, vorliegen. Eine differenzierte Zugriffskontrolle wird durch das Gewähren und Widerrufen von Berechtigungen für diese SQL Server-Anmeldungen gewährleistet. Ein Benutzer, der keine SQL Server-Anmeldung hat oder zu keiner Gruppe mit einer solchen Anmeldung gehört, kann nicht auf die SQL Server-DB-Instance zugreifen.

Die Berechtigung ALTER ANY LOGIN ist erforderlich, um eine SQL Server-Anmeldung für das Active-Directory zu erstellen. Wenn Sie mit dieser Berechtigung noch keine Anmeldungen erstellt haben, verbinden Sie sich mithilfe der SQL Server-Authentifizierung als Masterbenutzer der DB-Instance.

Führen Sie den folgenden Data Definition Language (DDL)-Befehl aus, um eine SQL Server-Anmeldung für einen Active-Directory-Benutzer oder eine entsprechende Gruppe zu erstellen.

Anmerkung

Geben Sie Benutzer und Gruppen unter Verwendung des Anmeldenamens von Windows 2000 im Format domainName\login_name an. Sie können keinen User Principle Name (UPN) im Format login_name@DomainName verwenden.

USE [master] GO CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english]; GO

Weitere Informationen finden Sie unter CREATE LOGIN (ANMELDENAME ERSTELLEN) (Transact-SQL) in der Microsoft Developer Network-Dokumentation.

Benutzer (sowohl menschliche Benutzer als auch Anwendungen) von Ihrer Domäne können sich nun von einem über eine Domäne verbundenen Client-Computer mithilfe der Windows-Authentifizierung an der RDS SQL Server-Instance anmelden.

Verwalten einer DB-Instance in einer Domäne

Sie können die Konsole, AWS CLI oder die Amazon RDS-API verwenden, um Ihre DB-Instance und ihre Beziehung zu Ihrer Domäne zu verwalten. Beispielsweise können Sie die DB-Instance in Domänen, aus Domänen oder zwischen Domänen verschieben.

Sie können z. B. mithilfe der Amazon RDS-API Folgendes tun:

  • Um erneut eine Domänenverbindung herzustellen, die aufgrund einer fehlerhaften Mitgliedschaft fehlgeschlagen ist, verwenden Sie die API-Operation ModifyDBInstance und geben Sie die aktuelle Verzeichnis-ID der Mitgliedschaft an.

  • Um den IAM-Rollennamen für die Mitgliedschaft zu aktualisieren, verwenden Sie die ModifyDBInstance-API-Operation und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft und die neue IAM-Rolle an.

  • Um eine DB-Instance aus einer Domäne zu entfernen, verwenden Sie die ModifyDBInstance-API-Operation und geben Sie none als Domänenparameter an.

  • Um eine DB-Instance von einer Domäne in eine andere zu verschieben, verwenden Sie die ModifyDBInstance API-Operation. Geben Sie die Domänen-ID der neuen Domäne als Domänenparameter an.

  • Um die Mitgliedschaft für jede DB-Instance aufzulisten, führen Sie die API-Operation DescribeDBInstances aus.

Grundlegendes zur Domänenmitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder modifiziert haben, wird die Instance ein Mitglied der Domäne. Die AWS-Konsole gibt den Status der Domänenmitgliedschaft für die DB-Instance an. Der Status der DB-Instance kann einer der folgenden sein:

  • joined – Die Instance ist Mitglied der Domäne.

  • joining – Die Instance ist gerade im Prozess, Mitglied einer Domäne zu werden.

  • pending-join – Die Mitgliedschaft der Instance steht noch aus.

  • pending-maintenance-join – AWS versucht, die Instance im nächsten vorgesehenen Wartungsfenster zu einem Mitglieder der Domäne zu machen.

  • pending-removal – Das Entfernen der Instance von der Domäne steht noch aus.

  • pending-maintenance-removal – AWS versucht, die Instance im nächsten vorgesehenen Wartungsfenster von der Domäne zu entfernen.

  • failed – Ein Konfigurationsproblem hat verhindert, dass die Instance mit der Domäne verbunden werden konnte. Überprüfen und korrigieren Sie Ihre Konfiguration, bevor Sie den Befehl zu Änderung der Instance erneut ausführen.

  • removing – Die Instance wird gerade von der Domäne entfernt.

Eine Anfrage, Mitglied einer Domäne zu werden, kann wegen eines Netzwerkverbindungsproblems oder einer falschen IAM-Rolle fehlschlagen. Beispielsweise können Sie eine DB-Instance erstellen oder eine vorhandene Instance ändern und der Versuch, dass die DB-Instance Mitglied einer Domäne wird, wird fehlschlagen. Geben Sie in diesem Fall entweder den Befehl, um die DB-Instance zu erstellen oder zu ändern, neu aus oder ändern Sie die neu erstellte Instance, um der Domäne beizutreten.

Herstellen einer Verbindung zu SQL Server mithilfe der Windows-Authentifizierung

Um sich mithilfe der Windows-Authentifizierung mit dem SQL Server zu verbinden, müssen Sie als Domänenbenutzer an einem Computer angemeldet sein, der mit einer Domäne verbunden ist. Nach dem Starten des SQL Server Management Studios wählen Sie Windows-Authentifizierung als Authentifizierungsart, wie im Folgenden dargestellt.


				Herstellen einer Verbindung mit SQL Server 2012

Wiederherstellen einer SQL Server DB-Instance und Hinzufügen zu einer Domäne

Sie können einen DB-Snapshot wiederherstellen oder eine zeitpunktbezogene Wiederherstellung (PITR) für eine SQL Server-DB-Instance vornehmen und diese dann einer Domäne hinzufügen. Wenn die DB-Instance wiederhergestellt wurde, modifizieren Sie die Instance, indem Sie den unter Schritt 5: Erstellen oder Modifizieren einer SQL Server-DB-Instance beschriebenen Prozess anwenden, um die DB-Instance einer Domäne hinzuzufügen.