Arbeiten mit selbstverwaltetem Active Directory mit einer Amazon-RDS-für-SQL-Server-DB-Instance

Sie können Ihre RDS for SQL Server-DB-Instances direkt mit Ihrer selbstverwalteten Active Directory (AD) -Domäne verbinden, unabhängig davon, wo Ihr AD gehostet wird: in Unternehmensrechenzentren, auf AWS EC2 oder bei anderen Cloud-Anbietern. Bei selbstverwaltetem AD verwenden Sie die NTLM-Authentifizierung zur direkten Steuerung der Authentifizierung von Benutzern und Services in Ihren RDS-für-SQL Server-DB-Instances, ohne zwischengeschaltete Domains und Gesamtstruktur-Vertrauensstellungen verwenden zu müssen. Wenn sich Benutzer mit einer RDS-für-SQL-Server-DB-Instance authentifizieren, die Ihrer selbstverwalteten AD-Domain hinzugefügt ist, werden Authentifizierungsanfragen an eine von Ihnen angegebene selbstverwaltete AD-Domain weitergeleitet.

Verfügbarkeit von Regionen und Versionen

Amazon RDS unterstützt selbstverwaltetes AD für SQL Server mit NTLM in allen  AWS-Regionen.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie eine RDS-für-SQL-Server-DB-Instance Ihrer selbstverwalteten AD-Domain hinzufügen.

Themen

• Konfigurieren Ihres On-Premises-AD
• Konfigurieren Ihrer Netzwerkkonnektivität
• Konfigurieren Ihres AD-Domain-Servicekontos

Konfigurieren Ihres On-Premises-AD

Stellen Sie sicher, dass Sie über ein On-Premises-AD oder ein anderes selbstverwaltetes Microsoft-AD verfügen, der Sie die Amazon-RDS-für-SQL- Server-Instance hinzufügen können. Ihr On-Premises-AD sollte folgende Konfiguration aufweisen:

• Wenn Sie Active-Directory-Standorte definiert haben, stellen Sie sicher, dass die Subnetze in der VPC, die Ihrer RDS-für-SQL-Server-DB-Instance zugeordnet sind, an Ihrem Active-Directory-Standort definiert sind. Vergewissern Sie sich, dass keine Konflikte zwischen den Subnetzen in Ihrer VPC und den Subnetzen an Ihren anderen AD-Standorten bestehen.

• Ihr AD-Domain-Controller weist die Domain-Funktionsebene Windows Server 2008 R2 oder höher auf.

• Ihr AD-Domain-Name darf nicht im SLD-Format (Single Label Domain) vorliegen. RDS für SQL Server unterstützt keine SLD-Domains.

• Der vollqualifizierte Domainname (FQDN) für Ihr AD darf 47 Zeichen nicht überschreiten.

Konfigurieren Ihrer Netzwerkkonnektivität

Stellen Sie sicher, dass die folgenden Netzwerkkonfigurationsanforderungen erfüllt sind:

• Die Konnektivität zwischen der Amazon VPC, in der Sie die RDS-für-SQL-Server-DB-Instance erstellen möchten, und Ihrem selbstverwalteten Active Directory wurde konfiguriert. Sie können Konnektivität über AWS Direct Connect, AWS VPN, VPC-Peering oder AWS Transit Gateway einrichten.

• Für VPC-Sicherheitsgruppen wurde die Standardsicherheitsgruppe für Ihre standardmäßige Amazon VPC bereits in der Konsole zu Ihrer RDS-für-SQL-Server-DB-Instance hinzugefügt. Stellen Sie sicher, dass die Sicherheitsgruppe und die VPC-Netzwerk-ACLs für das/die Subnetz(e), in dem/denen Sie Ihre RDS-für-SQL-Server-DB-Instance erstellen, Datenverkehr an den Ports und in den Richtungen zulassen, die in der folgenden Abbildung dargestellt sind.

  

  In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.

  Protokoll	Ports	Rolle
  TCP/UDP	53	Domain Name System (DNS)
  TCP/UDP	88	Kerberos-Authentifizierung
  TCP/UDP	464	Passwort ändern/festlegen
  TCP/UDP	389	Lightweight Directory Access Protocol (LDAP)
  TCP	135	Distributed Computing Environment / End Point Mapper (DCE / EPMAP)
  TCP	445	Directory-Services-SMB-Dateifreigabe
  TCP	636	Lightweight Directory Access Protocol über TLS/SSL (LDAPS)
  TCP	49152–65535	Flüchtige Ports für RPC

• Im Allgemeinen befinden sich die Domain-DNS-Server in den AD-Domain-Controllern. Zur Verwendung dieser Funktion müssen Sie den VPC-DHCP-Optionssatz nicht konfigurieren. Weitere Informationen finden Sie unter DHCP-Optionssätze im Amazon-VPC-Benutzerhandbuch.

Wichtig

Wenn Sie VPC-Netzwerk-ACLs verwenden, müssen Sie auch ausgehenden Datenverkehr über dynamische Ports (49152–65535) von Ihrer RDS-für-SQL-Server-DB-Instance zulassen. Stellen Sie sicher, dass sich diese Datenverkehrsregeln auch auf den Firewalls widerspiegeln, die für die einzelnen AD-Domain-Controller, DNS-Server und RDS-für-SQL-Server-DB-Instances gelten.

Während VPC-Sicherheitsgruppen eine Öffnung der Ports nur in der Richtung verlangen, in der der Netzwerkverkehr initiiert wird, erfordern die meisten Windows-Firewalls und VPC-Netzwerk-ACLs eine Öffnung der Ports in beide Richtungen.

Konfigurieren Ihres AD-Domain-Servicekontos

Stellen Sie sicher, dass die folgenden Anforderungen für ein AD-Domain-Servicekonto erfüllt sind:

• Stellen Sie sicher, dass Sie in Ihrer selbstverwalteten AD-Domain über ein Servicekonto mit delegierten Berechtigungen zum Hinzufügen von Computern zu der Domain verfügen. Ein Domain-Servicekonto ist ein Benutzerkonto in Ihrem selbstverwalteten AD, an das die Berechtigung zur Ausführung bestimmter Aufgaben delegiert wurde.

• An das Domain-Servicekonto müssen in der Organisationseinheit, der Sie Ihre RDS-für-SQL-Server-DB-Instance hinzufügen, die folgenden Berechtigungen delegiert werden:

  • Überprüfte Fähigkeit zum Schreiben in den DNS-Hostnamen

  • Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service

  • Erstellen und Löschen von Computerobjekten

  Dies sind die erforderlichen Mindestberechtigungen, um Computerobjekte zu Ihrem selbstverwalteten Active Directory hinzuzufügen. Weitere Informationen finden Sie unter Fehler beim Versuch, Computer einer Domain hinzuzufügen in der Dokumentation zu Microsoft Windows Server.

Wichtig

Verschieben Sie keine Computerobjekte, die RDS für SQL Server in der Organisationseinheit erstellt, nachdem Ihre DB-Instance erstellt wurde. Wenn Sie die zugehörigen Objekte verschieben, wird Ihre RDS-für-SQL-Server-DB-Instance falsch konfiguriert. Wenn Sie die von Amazon RDS erstellten Computerobjekte verschieben müssen, verwenden Sie die RDS-API-Operation ModifyDBInstance, um die Domain-Parameter mit dem gewünschten Speicherort der Computerobjekte zu ändern.

Einschränkungen

Für selbstverwaltetes AD für SQL Server gelten die folgenden Einschränkungen.

• NTLM ist der einzige unterstützte Authentifizierungstyp. Die Kerberos-Authentifizierung wird nicht unterstützt. Wenn Sie die Kerberos-Authentifizierung verwenden müssen, können Sie AWS Managed AD anstelle von selbstverwaltetem AD verwenden.

• Der Microsoft Distributed Transaction Coordinator (MSDTC)-Service wird nicht unterstützt, da er eine Kerberos-Authentifizierung erfordert.

• Ihre RDS-für-SQL-Server-DB-Instances verwenden nicht den Network Time Protocol (NTP)-Server Ihrer selbstverwalteten AD-Domain. Sie verwenden stattdessen einen AWS NTP-Dienst.

• SQL-Server-Verbindungsserver müssen die SQL-Authentifizierung verwenden, um eine Verbindung zu anderen RDS-für-SQL-Server-DB-Instances herzustellen, die Ihrer selbstverwalteten AD-Domain hinzugefügt wurden.

• Die Microsoft Group Policy Object (GPO)-Einstellungen aus Ihrer selbstverwalteten AD-Domain werden nicht auf RDS-für-SQL-Server-DB-Instances angewendet.

Übersicht über die Einrichtung eines selbstverwalteten Active Directory

Führen Sie zum Einrichten eines selbstverwalteten AD für eine RDS-für-SQL-Server-DB-Instance die folgenden Schritte aus, die unter Einrichten eines selbstverwalteten Active Directory ausführlicher erläutert werden:

In Ihrer AD-Domain:

• Erstellen Sie eine Organisationseinheit.

• Erstellen Sie einen AD-Domain-Benutzer.

• Delegieren Sie die Kontrolle an den AD-Domain-Benutzer.

Von der AWS Management Console oder API:

• Erstellen Sie einen AWS KMS Schlüssel.

• Erstellen Sie mit AWS Secrets Manager ein Geheimnis.

• Erstellen oder ändern Sie eine RDS-für-SQL-Server-DB-Instance und fügen Sie sie Ihrer selbstverwalteten AD-Domain hinzu.

Einrichten eines selbstverwalteten Active Directory

Gehen Sie wie folgt vor, um ein selbstverwaltetes AD einzurichten.

Themen

• Schritt 1: Erstellen einer Organisationseinheit in Ihrem AD
• Schritt 2: Erstellen eines AD-Domain-Benutzers in Ihrem AD
• Schritt 3: Delegieren der Kontrolle an den AD-Benutzer
• Schritt 4: Erstellen Sie einen AWS KMS Schlüssel
• Schritt 5: Erstellen Sie ein AWS Geheimnis
• Schritt 6: Erstellen oder Ändern einer SQL-Server-DB-Instance
• Schritt 7: Erstellen von SQL-Server-Anmeldungen für die Windows-Authentifizierung

Schritt 1: Erstellen einer Organisationseinheit in Ihrem AD

Wichtig

Wir empfehlen, für jedes AWS Konto, das eine RDS for SQL Server-DB-Instance besitzt, die Ihrer selbstverwalteten AD-Domäne hinzugefügt wurde, eine eigene Organisationseinheit und Dienstanmeldedaten zu erstellen, die auf diese Organisationseinheit beschränkt sind. Durch die Zuordnung einer Organisationseinheit und von Service-Anmeldeinformationen können Sie widersprüchliche Berechtigungen vermeiden und dem Prinzip der geringsten Berechtigung folgen.

So erstellen Sie eine Organisationseinheit in Ihrem AD

1. Stellen Sie als Domain-Administrator eine Verbindung zu Ihrer AD-Domain her.

2. Öffnen Sie Active Directory-Benutzer und -Computer und wählen Sie die Domain aus, in der Sie Ihre Organisationseinheit erstellen möchten.

3. Klicken Sie mit der rechten Maustaste auf die Domain und wählen Sie Neu und dann Organisationseinheit aus.

4. Geben Sie einen Namen für die Organisationseinheit ein.

5. Lassen Sie das Kontrollkästchen für Container vor versehentlichem Löschen schützen aktiviert.

6. Klicken Sie auf OK. Ihre neue Organisationseinheit wird unter Ihrer Domain angezeigt.

Schritt 2: Erstellen eines AD-Domain-Benutzers in Ihrem AD

Die Anmeldeinformationen des Domänenbenutzers werden für das Geheimnis in AWS Secrets Manager verwendet.

So erstellen Sie einen AD-Domain-Benutzer in Ihrem AD

1. Öffnen Sie Active-Directory-Benutzer und -Computer und wählen Sie die Domain und die Organisationseinheit aus, in der Sie Ihren Benutzer erstellen möchten.

2. Klicken Sie mit der rechten Maustaste auf das Objekt Benutzer und wählen Sie Neu und dann Benutzer aus.

3. Geben Sie einen Vornamen, Nachnamen und Anmeldenamen für den Benutzer ein. Klicken Sie auf Weiter.

4. Geben Sie ein Passwort für den Benutzer ein. Wählen Sie nicht Benutzer muss das Passwort bei der nächsten Anmeldung ändern aus. Wählen Sie nicht Konto ist deaktiviert aus. Klicken Sie auf Weiter.

5. Klicken Sie auf OK. Ihr neuer Benutzer wird unter Ihrer Domain angezeigt.

Schritt 3: Delegieren der Kontrolle an den AD-Benutzer

So delegieren Sie die Kontrolle an den AD-Domain-Benutzer in Ihrer Domain

1. Öffnen Sie das MMC-Snap-In Active-Directory-Benutzer und -Computer und wählen Sie die Domain aus, in der Sie Ihren Benutzer erstellen möchten.

2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die Sie zuvor erstellt haben, und wählen Sie Kontrolle delegieren aus.

3. Klicken Sie im Assistenten für die Delegation der Kontrolle auf Weiter.

4. Klicken Sie im Abschnitt Benutzer oder Gruppen auf Hinzufügen.

5. Geben Sie im Abschnitt Benutzer, Computer oder Gruppen auswählen den von Ihnen erstellten AD-Benutzer ein und klicken Sie auf Namen überprüfen. Wenn Ihre AD-Benutzerprüfung erfolgreich ist, klicken Sie auf OK.

6. Bestätigen Sie im Abschnitt Benutzer oder Gruppen, dass Ihr AD-Benutzer hinzugefügt wurde, und klicken Sie auf Weiter.

7. Wählen Sie im Abschnitt Zu delegierende Aufgaben die Option Eine zu delegierende benutzerdefinierte Aufgabe erstellen aus und klicken Sie auf Weiter.

8. Gehen Sie im Abschnitt Active-Directory-Objekttyp wie folgt vor:

   1. Wählen Sie Nur die folgenden Objekte in dem Ordner aus.

   2. Wählen Sie Computerobjekte aus.

   3. Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen aus.

   4. Wählen Sie Ausgewählte Objekte in diesem Ordner löschen aus und klicken Sie auf Weiter.

9. Gehen Sie im Abschnitt Berechtigungen wie folgt vor:

   1. Behalten Sie die Auswahl von Allgemein bei.

   2. Wählen Sie Überprüfter Schreibvorgang in den DNS-Hostnamen aus.

   3. Wählen Sie Überprüfter Schreibvorgang in den Service-Prinzipalnamen aus und klicken Sie auf Weiter.

10. Überprüfen und bestätigen Sie Ihre Einstellungen unter Den Assistenten für die Delegation der Kontrolle abschließen und klicken Sie auf Fertig stellen.

Schritt 4: Erstellen Sie einen AWS KMS Schlüssel

Der KMS-Schlüssel wird verwendet, um Ihr AWS Geheimnis zu verschlüsseln.

Um einen Schlüssel zu erstellen AWS KMS

Anmerkung

Verwenden Sie für den Verschlüsselungsschlüssel nicht den AWS Standard-KMS-Schlüssel. Stellen Sie sicher, dass Sie den AWS KMS Schlüssel in demselben AWS Konto erstellen, das die RDS for SQL Server-DB-Instance enthält, die Sie Ihrem selbstverwalteten AD hinzufügen möchten.

1. Wählen Sie in der AWS KMS Konsole Create Key aus.

2. Wählen Sie für Schlüsseltyp Symmetrisch aus.

3. Wählen Sie für Schlüsselnutzung die Option Verschlüsseln und Entschlüsseln aus.

4. Für Advanced options (Erweiterte Optionen):

   1. Wählen Sie unter Schlüsselmaterialursprung KMS aus.

   2. Wählen Sie für Regionalität Single-Region-Schlüssel aus und klicken Sie auf Weiter.

5. Geben Sie für Alias einen Namen für den KMS-Schlüssel an.

6. (Optional) Geben Sie unter Beschreibung eine Beschreibung des KMS-Schlüssels an.

7. (Optional) Geben Sie für Tags ein Tag für den KMS-Schlüssel an und klicken Sie auf Weiter.

8. Geben Sie für Schlüsseladministratoren den Namen eines IAM-Benutzers an und wählen Sie ihn aus.

9. Lassen Sie für Schlüssellöschung das Kontrollkästchen für Ermöglicht Schlüsseladministratoren das Löschen dieses Schlüssels aktiviert und klicken Sie auf Weiter.

10. Geben Sie für Schlüsselbenutzer den IAM-Benutzer aus dem vorherigen Schritt an und wählen Sie ihn aus. Klicken Sie auf Weiter.

11. Prüfen Sie die Konfiguration.

12. Fügen Sie für Schlüsselrichtlinie Folgendes zur Richtlinien-Anweisung hinzu:

    {
        "Sid": "Allow use of the KMS key on behalf of RDS",
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "rds.amazonaws.com"
            ]
        },
        "Action": "kms:Decrypt",
        "Resource": "*"
    }

13. Klicken Sie auf Beenden.

Schritt 5: Erstellen Sie ein AWS Geheimnis

So erstellen Sie ein Secret

Anmerkung

Stellen Sie sicher, dass Sie das Geheimnis in demselben AWS Konto erstellen, das die RDS for SQL Server-DB-Instance enthält, die Sie Ihrem selbstverwalteten AD hinzufügen möchten.

1. Wählen Sie im AWS Secrets Manager die Option Neues Geheimnis speichern aus.

2. Als Secret-Typ wählen Sie Anderer Secret-Typ aus.

3. Fügen Sie für Schlüssel/Wert-Paare Ihre beiden Schlüssel hinzu:

   1. Geben Sie als ersten Schlüssel CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME ein.

   2. Geben Sie als Wert des ersten Schlüssels den Namen des AD-Benutzers ein, den Sie in einem vorherigen Schritt für Ihre Domain erstellt haben.

   3. Geben Sie als zweiten Schlüssel CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD ein.

   4. Geben Sie als Wert des zweiten Schlüssels das Passwort ein, das Sie für den AD-Benutzer in Ihrer Domain erstellt haben.

4. Geben Sie als Verschlüsselungsschlüssel den KMS-Schlüssel ein, den Sie in einem vorherigen Schritt erstellt haben, und klicken Sie auf Weiter.

5. Geben Sie als Secret-Name einen aussagekräftigen Namen ein, anhand dessen Sie das Secret später leichter finden können.

6. (Optional) Geben Sie im Feld Beschreibung eine Beschreibung für den Secret-Namen ein.

7. Klicken Sie unter Ressourcenberechtigung auf Bearbeiten.

8. Fügen Sie der Berechtigungsrichtlinie folgende Richtlinie hinzu:

   Anmerkung

   Wir empfehlen Ihnen, die aws:sourceAccount und aws:sourceArn Bedingungen in der Police zu verwenden, um das Problem des verwirrten Vertreters zu vermeiden. Verwenden Sie Ihre AWS-Konto für aws:sourceAccount und die RDS for SQL Server-DB-Instance ARN füraws:sourceArn. Weitere Informationen finden Sie unter Vermeidung des dienstübergreifenden Confused-Deputy-Problems.

   {
       "Version": "2012-10-17",
       "Statement":
       [
           {
               "Effect": "Allow",
               "Principal":
               {
                   "Service": "rds.amazonaws.com"
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*",
               "Condition":
               {
                   "StringEquals":
                   {
                       "aws:sourceAccount": "123456789012"
                   },
                   "ArnLike":
                   {
                       "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                   }
               }
           }
       ]
   }

9. Klicken Sie auf Speichern und dann auf Weiter.

10. Behalten Sie für Rotationseinstellungen konfigurieren die Standardwerte bei und wählen Sie Weiter aus.

11. Überprüfen Sie die Einstellungen für das Secret und klicken Sie auf Speichern.

12. Wählen Sie das von Ihnen erstellte Secret aus und kopieren Sie den Wert für den Secret-ARN. Dieser wird im nächsten Schritt bei der Einrichtung des selbstverwalteten Active Directory verwendet.

Schritt 6: Erstellen oder Ändern einer SQL-Server-DB-Instance

Sie können die Konsole, die CLI oder die RDS-API verwenden, um eine RDS-für- SQL-Server-DB-Instance mit einer selbstverwalteten AD-Domain zu verknüpfen. Sie können dafür eine der folgenden Möglichkeiten auswählen:

• Erstellen Sie eine neue SQL Server-DB-Instance mithilfe der Konsole, des create-db-instanceCLI-Befehls oder des RDS-API-Vorgangs CreateDBInstance.

  Anweisungen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.

• Ändern Sie eine vorhandene SQL Server-DB-Instance mithilfe der Konsole, des modify-db-instanceCLI-Befehls oder des RDS-API-Vorgangs ModifyDBInstance.

  Anweisungen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

• Stellen Sie mithilfe der Konsole, des CLI-Befehls -db-snapshot oder des RDS-API-Vorgangs RestoreDB restore-db-instance-fromDBSnapshot eine SQL Server-DB-Instance aus einem DB-Snapshot wieder her. InstanceFrom

  Anweisungen finden Sie unter Wiederherstellung auf einer DB-Instance.

• Stellen Sie eine SQL Server-DB-Instance point-in-time mithilfe der Konsole, des restore-db-instance-topoint-in-timeCLI-Befehls oder des InstanceToPointInTime RDS-API-Vorgangs RestoreDB in einer wieder her.

  Anweisungen finden Sie unter Wiederherstellen einer DB-Instance zu einer bestimmten Zeit.

Wenn Sie den verwenden AWS CLI, sind die folgenden Parameter erforderlich, damit die DB-Instance die von Ihnen erstellte selbstverwaltete Active Directory-Domäne verwenden kann:

• Verwenden Sie für den Parameter --domain-fqdn den vollständig qualifizierten Domain-Namen (FQDN) Ihres selbstverwalteten Active Directory.

• Verwenden Sie für den Parameter --domain-ou die Organisationseinheit, die Sie in Ihrem selbstverwalteten AD erstellt haben.

• Verwenden Sie für den Parameter --domain-auth-secret-arn den Wert des Secret-ARN, den Sie in einem vorherigen Schritt erstellt haben.

• Verwenden Sie für den Parameter --domain-dns-ips die primären und sekundären IPv4-Adressen der DNS-Server für Ihr selbstverwaltetes AD. Wenn Sie keine sekundäre DNS-Server-IP-Adresse haben, geben Sie die primäre IP-Adresse zweimal ein.

Die folgenden CLI-Beispielbefehle zeigen, wie Sie eine RDS-für-SQL-Server-DB-Instance mit einer selbstverwalteten AD-Domain erstellen, ändern und entfernen.

Wichtig

Wenn Sie eine DB-Instance ändern, um sie einer selbstverwalteten AD-Domain hinzuzufügen oder aus dieser zu entfernen, ist ein Neustart der DB-Instance erforderlich, damit die Änderung wirksam wird. Sie können wählen, ob Sie die Änderungen sofort übernehmen oder bis zum nächsten Wartungsfenster warten möchten. Wenn Sie die Option Sofort anwenden auswählen, führt dies bei einer Single-AZ-DB-Instance zu Ausfallzeiten. Eine Multi-AZ-DB-Instance führt ein Failover durch, bevor ein Neustart ausgeführt wird. Weitere Informationen finden Sie unter Einstellung „Änderungen planen“.

Mit dem folgenden CLI-Befehl wird eine neue RDS-für-SQL-Server-DB-Instance erstellt und einer selbstverwalteten AD-Domain hinzugefügt.

Für LinuxmacOS, oderUnix:

aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Windows:

aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Mit dem folgenden CLI-Befehl wird eine vorhandene RDS-für-SQL-Server-DB-Instance, so geändert, dass sie eine selbstverwaltete Active-Directory-Domain verwendet.

Für LinuxmacOS, oderUnix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Mit dem folgenden CLI-Befehl wird eine RDS-für-SQL-Server-DB-Instance aus einer selbstverwalteten Active-Directory-Domain entfernt.

Für LinuxmacOS, oderUnix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain

Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain

Schritt 7: Erstellen von SQL-Server-Anmeldungen für die Windows-Authentifizierung

Verwenden Sie die Anmeldeinformationen für den Amazon-RDS-Masterbenutzer, um eine Verbindung zur SQL-Server-DB-Instance herzustellen, wie Sie es bei jeder anderen DB-Instance tun würden. Da die DB-Instance der selbstverwalteten AD-Domain hinzugefügt wurde, können Sie SQL-Server-Anmeldungen und -Benutzer bereitstellen. Sie tun dies über das AD-Dienstprogramm für Benutzer und Gruppen in Ihrer selbstverwalteten AD-Domain. Datenbankberechtigungen werden über die Standard-SQL-Server-Berechtigungen verwaltet, die für die Windows-Anmeldungen gewährt und widerrufen werden.

Damit sich ein Benutzer des selbstverwalteten Active Directory mit SQL Server authentifizieren kann, muss eine SQL-Server-Windows-Anmeldung für den Benutzer des selbstverwalteten AD oder für eine Gruppe des selbstverwalteten AD, der der Benutzer angehört, vorliegen. Eine differenzierte Zugriffskontrolle wird durch das Gewähren und Widerrufen von Berechtigungen für diese SQL Server-Anmeldungen gewährleistet. Ein Benutzer des selbstverwalteten AD, der über keine SQL-Server-Anmeldung verfügt oder zu keiner Gruppe des selbstverwalteten AD mit einer solchen Anmeldung gehört, kann nicht auf die SQL-Server-DB-Instance zugreifen.

Die Berechtigung ALTER ANY LOGIN ist erforderlich, um eine SQL-Server-Anmeldung für das selbstverwaltete AD zu erstellen. Wenn Sie mit dieser Berechtigung noch keine Anmeldungen erstellt haben, verbinden Sie sich mithilfe der SQL-Server-Authentifizierung als Masterbenutzer der DB-Instance und erstellen Sie Ihre SQL-Server-Anmeldungen für das selbstverwaltete AD im Kontext des Masterbenutzers.

Sie können einen Data Definition Language (DDL)-Befehl wie im Folgenden dargestellt ausführen, um eine SQL-Server-Anmeldung für einen Benutzer des selbstverwalteten Active Directory oder eine entsprechende Gruppe zu erstellen.

Anmerkung

Geben Sie Benutzer und Gruppen unter Verwendung des Anmeldenamens von Windows 2000 im Format a my_AD_domain\my_AD_domain_user. Sie können keinen User Principle Name (UPN) im Format verwenden my_AD_domain_user@my_AD_domain.

USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Weitere Informationen finden Sie unter ANMELDENAME ERSTELLEN (Transact-SQL) in der Microsoft Developer Network-Dokumentation.

Benutzer (sowohl menschliche Benutzer als auch Anwendungen) aus Ihrer Domain können sich nun von einem einer selbstverwalteten AD-Domain hinzugefügten Client-Computer mithilfe der Windows-Authentifizierung mit der RDS-für-SQL-Server-Instance verbinden.

Verwalten einer DB-Instance in einer selbstverwalteten Active-Directory-Domain

Sie können die Konsole oder die Amazon RDS-API verwenden AWS CLI, um Ihre DB-Instance und ihre Beziehung zu Ihrer selbstverwalteten AD-Domain zu verwalten. Beispielsweise können Sie die DB-Instance in Domänen, aus Domänen oder zwischen Domänen verschieben.

Sie können z. B. mithilfe der Amazon RDS-API Folgendes tun:

• Um bei einer fehlgeschlagenen Mitgliedschaft erneut einen Beitritt zu einer selbstverwalteten Domain zu versuchen, verwenden Sie die API-Operation ModifyDBInstance und geben Sie dieselben Parameter an:

  • --domain-fqdn

  • --domain-dns-ips

  • --domain-ou

  • --domain-auth-secret-arn

• Um eine DB-Instance aus einer selbstverwalteten Domain zu entfernen, verwenden Sie die API-Operation ModifyDBInstance und geben Sie --disable-domain als Domain-Parameter an.

• Um eine DB-Instance von einer selbstverwalteten Domain in eine andere zu verschieben, verwenden Sie die API-Operation ModifyDBInstance und geben Sie die Domain-Parameter für die neue Domain an:

  • --domain-fqdn

  • --domain-dns-ips

  • --domain-ou

  • --domain-auth-secret-arn

• Um die Mitgliedschaft in einer selbstverwalteten AD-Domain für jede DB-Instance aufzulisten, verwenden Sie die API-Operation DescribeDBInstances.

Grundlegendes zur Mitgliedschaft in einer selbstverwalteten Active-Directory-Domain

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird die Instance ein Mitglied der selbstverwalteten AD-Domain. Die AWS Konsole zeigt den Status der selbstverwalteten Active Directory-Domänenmitgliedschaft für die DB-Instance an. Der Status der DB-Instance kann einer der folgenden sein:

• joined – Die Instance ist Mitglied der AD-Domain.

• joining – Die Instance ist gerade dabei, Mitglied der AD-Domain zu werden.

• pending-join – Die Mitgliedschaft der Instance steht noch aus.

• pending-maintenance-join— versucht, AWS die Instance während des nächsten geplanten Wartungsfensters zu einem Mitglied der AD-Domäne zu machen.

• pending-removal – Das Entfernen der Instance von der AD-Domain steht noch aus.

• pending-maintenance-removal— versucht, AWS die Instanz während des nächsten geplanten Wartungsfensters aus der AD-Domäne zu entfernen.

• failed – Ein Konfigurationsproblem hat verhindert, dass die Instance der Domain beitreten konnte. Überprüfen und korrigieren Sie Ihre Konfiguration, bevor Sie den Befehl zu Änderung der Instance erneut ausführen.

• removing – Die Instance wird gerade von der selbstverwalteten AD-Domain entfernt.

Eine Anfrage, Mitglied einer selbstverwalteten AD-Domain zu werden, kann wegen eines Netzwerkverbindungsproblems fehlschlagen. Es könnte beispielsweise sein, dass Sie eine DB-Instance erstellen oder eine vorhandene Instance ändern und der Versuch, die DB-Instance zu einem Mitglied einer selbstverwalteten AD-Domain zu machen, fehlschlägt. Geben Sie in diesem Fall entweder den Befehl zum Erstellen oder Ändern der DB-Instance neu aus oder ändern Sie die neu erstellte Instance, damit sie der selbstverwalteten AD-Domain beitreten kann.

Fehlerbehebung für selbstverwaltetes Active Directory

Die folgenden Probleme können auftreten, wenn Sie ein selbstverwaltetes AD einrichten oder ändern.

Fehlercode	Beschreibung	Häufige Ursachen	Vorschläge für die Fehlerbehebung
Fehler 2 / 0x2	Die angegebene Datei wurde nicht gefunden.	Das Format oder der Speicherort für die Organisationseinheit, das/der mit dem Parameter —domain-ou angegeben wurde, ist ungültig. Das über AWS Secrets Manager angegebene Domänendienstkonto verfügt nicht über die erforderlichen Berechtigungen, um der Organisationseinheit beizutreten.	Überprüfen Sie den Parameter —domain-ou. Stellen Sie sicher, dass das Domain-Servicekonto über die richtigen Berechtigungen für die Organisationseinheit verfügt. Weitere Informationen finden Sie unter Konfigurieren Ihres AD-Domain-Servicekontos.
Fehler 5 / 0x5	Zugriff verweigert.	Falsch konfigurierte Berechtigungen für das Domain-Servicekonto oder das Computerkonto ist bereits in der Domain vorhanden.	Überprüfen Sie die Berechtigungen des Domain-Servicekontos in der Domain und stellen Sie sicher, dass das RDS-Computerkonto nicht doppelt in der Domain vorhanden ist. Sie können den Namen des RDS-Computerkontos überprüfen, indem Sie SELECT @@SERVERNAME auf Ihrer RDS-für-SQL-Server-DB-Instance ausführen. Versuchen Sie bei Verwendung von Multi-AZ, einen Neustart mit Failover durchzuführen, und überprüfen Sie dann das RDS-Computerkonto erneut. Weitere Informationen finden Sie unter Neustarten einer DB-Instance.
Fehler 87 / 0x57	Der Parameter ist falsch.	Das über AWS Secrets Manager angegebene Domänendienstkonto verfügt nicht über die richtigen Berechtigungen. Auch das Benutzerprofil ist möglicherweise beschädigt.	Prüfen Sie die Anforderungen für das Domain-Servicekonto. Weitere Informationen finden Sie unter Konfigurieren Ihres AD-Domain-Servicekontos.
Fehler 234 / 0xEA	Die angegebene Organisationseinheit ist nicht vorhanden.	Die mit dem Parameter —domain-ou angegebene Organisationseinheit ist in Ihrem selbstverwalteten AD nicht vorhanden.	Überprüfen Sie den Parameter —domain-ou und stellen Sie sicher, dass die angegebene Organisationseinheit in Ihrem selbstverwalteten AD vorhanden ist.
Fehler 1326 / 0x52E	Der Benutzername oder das Passwort ist falsch.	Die in AWS Secrets Manager angegebenen Anmeldeinformationen für das Domänendienstkonto enthalten einen unbekannten Benutzernamen oder ein falsches Passwort. Möglicherweise ist das Domain-Konto auch in Ihrem selbstverwalteten AD deaktiviert.	Stellen Sie sicher, dass die in AWS Secrets Manager angegebenen Anmeldeinformationen korrekt sind und das Domänenkonto in Ihrem selbstverwalteten Active Directory aktiviert ist.
Fehler 1355 / 0x54B	Die angegebene Domain ist nicht vorhanden oder konnte nicht kontaktiert werden.	Die Domain ist ausgefallen, der angegebene Satz von DNS-IPs ist nicht erreichbar oder der angegebene FQDN ist nicht erreichbar.	Stellen Sie sicher, dass die Parameter —domain-dns-ips und —domain-fqdn korrekt sind. Überprüfen Sie die Netzwerkkonfiguration Ihrer RDS-für-SQL-Server-DB-Instance und stellen Sie sicher, dass Ihr selbstverwaltetes AD erreichbar ist. Weitere Informationen finden Sie unter Konfigurieren Ihrer Netzwerkkonnektivität.
Fehler 1722/0x6BA	Der RPC-Server ist nicht verfügbar.	Der RPC-Service Ihrer AD-Domain konnte nicht erreicht werden. Dies könnte auf einen Service- oder Netzwerkfehler zurückzuführen sein.	Stellen Sie sicher, dass der RPC-Service auf Ihren Domain-Controllern ausgeführt wird und dass die TCP-Ports 135 und 49152-65535 in Ihrer Domain von Ihrer RDS-für-SQL -Server-DB-Instance aus erreichbar sind.
Fehler 2224 / 0x8B0	Das Benutzerkonto besteht bereits.	Das Computerkonto, das zu Ihrem selbstverwalteten AD hinzugefügt werden soll, ist bereits vorhanden.	Ermitteln Sie das Computerkonto, indem Sie SELECT @@SERVERNAME auf Ihrer RDS-für-SQL-Server-DB-Instance ausführen, und entfernen Sie es dann vorsichtig aus Ihrem selbstverwalteten AD.
Fehler 2242 / 0x8c2	Das Passwort dieses Benutzers ist abgelaufen.	Das Passwort für das über AWS Secrets Manager angegebene Domänendienstkonto ist abgelaufen.	Aktualisieren Sie das Passwort für das Domain-Servicekonto, über das Sie Ihre RDS-für-SQL-Server-DB-Instance Ihrem selbstverwalteten AD hinzufügen.

Wiederherstellen einer SQL-Server-DB-Instance und Hinzufügen zu einer selbstverwalteten Active-Directory-Domain

Sie können einen DB-Snapshot wiederherstellen oder eine point-in-time Wiederherstellung (PITR) für eine SQL Server-DB-Instance durchführen und sie dann einer selbstverwalteten Active Directory-Domäne hinzufügen. Wenn die DB-Instance wiederhergestellt wurde, ändern Sie die Instance, indem Sie den unter Schritt 6: Erstellen oder Ändern einer SQL-Server-DB-Instance beschriebenen Prozess anwenden, um die DB-Instance einer selbstverwalteten AD-Domain hinzuzufügen.