Uso de Active Directory autoadministado con una instancia de base de datos de Amazon RDS para SQL Server

Puede unir sus instancias de base de datos de RDS para SQL Server directamente a su dominio autoadministrado de Active Directory (AD), independientemente de dónde esté alojado su AD: en centros de datos corporativos, en AWS EC2 o con otros proveedores de nube. Con AD autoadministrado, utiliza la autenticación NTLM para controlar directamente la autenticación de los usuarios y los servicios en sus instancias de base de datos de RDS para SQL Server sin utilizar dominios intermediarios ni relaciones de confianza entre bosques. Cuando los usuarios se autentican con una instancia de base de datos de RDS para SQL Server unida a su dominio de AD autoadministrado, las solicitudes de autenticación se reenvían al dominio de AD autoadministrado que usted especifique.

Disponibilidad en regiones y versiones

Amazon RDS admite AD autoadministrado para SQL Server mediante NTLM en todas las Regiones de AWS.

Requisitos

Asegúrese de cumplir los siguientes requisitos antes de unir una instancia de base de datos de RDS para SQL Server a su dominio de AD autoadministrado.

Temas

• Configure su AD en las instalaciones
• Configure la conectividad de red
• Configure su cuenta de servicio de dominio de AD

Configure su AD en las instalaciones

Asegúrese de tener un Microsoft AD en las instalaciones o de otro tipo autoadministrado al que pueda unirse a la instancia de Amazon RDS para SQL Server. Su AD en las instalaciones debe tener la siguiente configuración:

• Si tiene sitios definidos de Active Directory, asegúrese de que las subredes de la VPC asociadas a su instancia de base de datos de RDS para SQL Server estén definidas en su sitio de Active Directory. Confirme que no haya ningún conflicto entre las subredes de la VPC y las subredes de sus otros sitios de AD.

• El controlador de dominio de AD tiene un nivel funcional de dominio de Windows Server 2008 R2 o superior.

• El nombre de dominio de AD no puede estar en formato de dominio de etiqueta única (SLD). RDS para SQL Server no admite dominios de SLD.

• El nombre de dominio completo (FQDN) y su AD no pueden superar los 64 caracteres.

Configure la conectividad de red

Asegúrese de cumplir las siguientes configuraciones de red:

• Conectividad configurada entre la Amazon VPC donde desea crear la instancia de base de datos de RDS para SQL Server y su Active Directory autoadministrado. Puede configurar la conectividad mediante AWS Direct Connect, AWS VPN, emparejamiento de VPC o AWS Transit Gateway.

• En el caso de los grupos de seguridad de VPC, el grupo de seguridad predeterminado de la Amazon VPC predeterminada ya está agregado a la instancia de base de datos de RDS para SQL Server en la consola. Asegúrese de que el grupo de seguridad y las ACL de red de VPC de las subredes en las que va a crear su instancia de base de datos de RDS para SQL Server permitan el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.

  

  En la siguiente tabla se identifica la función de cada puerto.

  Protocolo	Puertos	Rol
  TCP/UDP	53	Sistema de nombres de dominio (DNS)
  TCP/UDP	88	Autenticación de Kerberos
  TCP/UDP	464	Cambiar/establecer contraseña
  TCP/UDP	389	Protocolo ligero de acceso a directorios (LDAP)
  TCP	135	Entorno de computación distribuido/asignador de puntos de conexión (DCE/EPMAP)
  TCP	445	Uso compartido de archivos SMB de Directory Services
  TCP	636	Protocolo ligero de acceso a directorios sobre TLS/SSL (LDAP)
  TCP	49152 - 65535	Puertos efímeros para RPC

• Por lo general, los servidores DNS de dominio se encuentran en los controladores de dominio de AD. No es necesario configurar el conjunto de opciones de DHCP de VPC para utilizar esta característica. Para obtener más información, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.

importante

Si utiliza ACL de red de VPC, también debe permitir el tráfico saliente en los puertos dinámicos (49152-65535) desde su instancia de base de datos de RDS para SQL Server. Asegúrese de que estas reglas de tráfico también se reflejen en los firewalls que se aplican a cada uno de los controladores de dominio de AD, los servidores DNS y las instancias de base de datos de RDS para SQL Server.

Si bien los grupos de seguridad de VPC requieren que los puertos se abran solo en la dirección en la que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las ACL de red de VPC requieren que los puertos estén abiertos en ambas direcciones.

Configure su cuenta de servicio de dominio de AD

Asegúrese de cumplir los siguientes requisitos para la cuenta de servicio de dominio de AD:

• Asegúrese de tener una cuenta de servicio en su dominio de AD autoadministrado con permisos delegados para unir equipos al dominio. Una cuenta de servicio de dominio es una cuenta de usuario de su AD autoadministrado a la que se le ha delegado permiso para realizar determinadas tareas.

• Los siguientes permisos se deben delegar en la cuenta de servicio de dominio en la unidad organizativa (OU) a la que va a unir su instancia de base de datos de RDS para SQL Server:

  • Capacidad validada para escribir en el nombre de host DNS

  • Capacidad validada para escribir en el nombre de entidad principal del servicio

  • Crear y eliminar objetos de equipo

  Estos representan el conjunto mínimo de permisos necesarios para unir objetos de equipo a su Active Directory autoadministrado. Para obtener más información, consulte Errors when attempting to join computers to a domain en la documentación de Microsoft Windows Server.

importante

No mueva los objetos de equipo que RDS para SQL Server cree en la unidad organizativa después de crear la instancia de base de datos. Si mueve los objetos asociados, la instancia de base de datos de RDS para SQL Server se configurará mal. Si necesita mover los objetos de equipo creados por Amazon RDS, utilice la operación de API de RDS ModifyDBInstance para modificar los parámetros del dominio con la ubicación deseada de los objetos del equipo.

Limitaciones

Se aplican las siguientes limitaciones al AD autoadministrado para SQL Server.

• NTLM es el único tipo de autenticación admitido. No se admite la autenticación Kerberos. Si necesita usar la autenticación Kerberos, puede usar AWS Managed AD en lugar de AD autoadministrado.

• No se admite el servicio Coordinador de transacciones distribuidas (MSDTC) de Microsoft, ya que requiere la autenticación Kerberos.

• Sus instancias de base de datos de RDS para SQL Server no utilizan el servidor de Network Time Protocol (NTP) de su dominio de AD autoadministrado. En cambio, utilizan un servicio NTP de AWS.

• Los servidores enlazados de SQL Server deben usar la autenticación SQL para conectarse a otras instancias de base de datos de RDS para SQL Server unidas a su dominio de AD autoadministrado.

• La configuración del objeto de política de grupo (GPO) de Microsoft de su dominio de AD autoadministrado no se aplica a las instancias de base de datos de RDS de SQL Server.

Descripción general de la configuración de Active Directory autoadministrado

Para configurar AD autoadministrado para una instancia de base de datos de RDS para SQL Server, siga los siguientes pasos, que se explican con más detalle en Configuración de Active Directory autoadministrado:

En el dominio de AD:

• Cree una unidad organizativa (OU).

• Crear un usuario de dominio de AD.

• Delegue el control al usuario del dominio de AD.

Desde la AWS Management Console o la API:

• Crea una clave de AWS KMS.

• Cree un secreto con AWS Secrets Manager.

• Cree o modifique una instancia de base de datos de RDS para SQL Server y únala a su dominio de AD autoadministrado.

Configuración de Active Directory autoadministrado

Para configurar un AD autoadministrado, siga estos pasos.

Temas

• Paso 1: Crear una unidad organizativa en el AD
• Paso 2: Crear un usuario de dominio de AD en su AD
• Paso 3: Delegar el control al usuario de AD
• Paso 4: Crear una clave de AWS KMS
• Paso 5: Crear un secreto de AWS
• Paso 6: Crear o modificar una instancia de base de datos de SQL Server
• Paso 7: Crear inicios de sesión de SQL Server de autenticación de Windows

Paso 1: Crear una unidad organizativa en el AD

importante

Se recomienda crear una credencial de servicio y una OU dedicadas a esa unidad organizativa para todas las cuentas de AWS que posean una instancia de base de datos de RDS para SQL Server que se haya unido a su dominio de AD autoadministrado. Al crear credenciales de servicio u OU dedicadas, puede evitar conflictos de permisos y seguir el principio de privilegio mínimo.

Para crear una OU en su AD

1. Conéctese a su dominio de AD como administrador de dominio.

2. Abra Usuarios y equipos de Active Directory y seleccione el dominio en el que desea crear la OU.

3. Haga clic con el botón derecho en el dominio y seleccione Nuevo y, a continuación, Unidad organizativa.

4. Escriba un nombre para la OU.

5. Mantenga la casilla seleccionada para Proteger el contenedor contra la eliminación accidental.

6. Haga clic en OK (Aceptar). La nueva OU aparecerá en su dominio.

Paso 2: Crear un usuario de dominio de AD en su AD

Las credenciales de usuario del dominio se utilizarán para el secreto en AWS Secrets Manager.

Para crear un usuario de dominio de AD en su AD

1. Abra Usuarios y equipos de Active Directory y seleccione el dominio y la OU  en los que desea crear el usuario.

2. Haga clic con el botón derecho en el objeto Usuarios y seleccione Nuevo y, a continuación, Usuario.

3. Introduzca el nombre, los apellidos y el nombre de inicio de sesión del usuario. Haga clic en Next (Siguiente).

4. Introduzca una contraseña para el usuario. No seleccione El usuario debe cambiar la contraseña en el próximo inicio de sesión. No seleccione La cuenta está deshabilitada. Haga clic en Next (Siguiente).

5. Haga clic en OK (Aceptar). El nuevo usuario aparecerá en su dominio.

Paso 3: Delegar el control al usuario de AD

Para delegar el control al usuario del dominio AD de su dominio

1. Abra el complemento MMC Usuarios y equipos de Active Directory y seleccione el dominio en el que desea crear el usuario.

2. Haga clic con el botón derecho en la OU que creó anteriormente y seleccione Delegar control.

3. En Asistente para delegación de control, haga clic en Siguiente.

4. En la sección Usuarios o grupos, haga clic en Agregar.

5. En la sección Seleccionar usuarios, equipos o grupos, introduzca el usuario de AD que creó y haga clic en Verificar nombres. Si la comprobación de usuario de AD se ha realizado correctamente, haga clic en Aceptar.

6. En la sección Usuarios o grupos, confirme que ha añadido el usuario de AD y haga clic en Siguiente.

7. En la página Tareas que se delegarán, seleccione Crear una tarea personalizada para delegar y haga clic en Siguiente.

8. En la sección Tipo de objeto de Active Directory:

   1. Elija Solo los siguientes objetos de la carpeta.

   2. Seleccione Objetos computacionales.

   3. Seleccione Crear objetos seleccionados en esta carpeta.

   4. Seleccione Eliminar los objetos seleccionados en esta carpeta y haga clic en Siguiente.

9. En la sección Permisos:

   1. Mantenga seleccionada la opción General.

   2. Seleccione Escritura validada en el nombre de host DNS.

   3. Seleccione Escritura validada en el nombre de la entidad de servicio y haga clic en Siguiente.

10. Para Completar el asistente para delegación de control, revise y confirme la configuración y haga clic en Finalizar.

Paso 4: Crear una clave de AWS KMS

La clave de KMS se utiliza para cifrar el secreto de AWS.

Para crear una clave de AWS KMS

nota

En Clave de cifrado, no utilice la clave de KMS predeterminada de AWS. Asegúrese de crear la clave de AWS KMS en la misma cuenta de AWS que contiene la instancia de base de datos de RDS para SQL Server que desea unir a su AD autoadministrado.

1. En la consola de AWS KMS, elija Crear API.

2. En Tipo de clave, elija Simétrica.

3. Para Uso de claves, elija Cifrar y descifrar.

4. Para Advanced options (Opciones avanzadas):

   1. En Origen del material de claves, elija Externo.

   2. Para Regionalidad, elija Clave de región única y haga clic en Siguiente.

5. Para Alias, proporcione un nombre para la clave de KMS.

6. (Opcional) En Description, proporcione una descripción de la clave de KMS.

7. (Opcional) En etiquetas, introduzca una etiqueta para la clave KMS, y haga clic en Siguiente.

8. En Administradores de claves, proporcione el nombre de un usuario de IAM y selecciónelo.

9. En Eliminación de la clave, mantenga seleccionada la casilla Permitir que los administradores de claves eliminen esta clave y haga clic en Siguiente.

10. En Usuarios de clave, proporcione el mismo usuario de IAM del paso anterior y selecciónelo. Haga clic en Next (Siguiente).

11. Revise la configuración.

12. Para Política de claves, incluya lo siguiente en la política Instrucción:

    {
        "Sid": "Allow use of the KMS key on behalf of RDS",
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "rds.amazonaws.com"
            ]
        },
        "Action": "kms:Decrypt",
        "Resource": "*"
    }

13. Haga clic en Finish (Finalizar).

Paso 5: Crear un secreto de AWS

Para crear un secreto

nota

Asegúrese de crear la clave de en la misma cuenta de AWS que contiene la instancia de base de datos de RDS para SQL Server que desea unir a su AD autoadministrado.

1. En AWS Secrets Manager, elija Almacenar un nuevo secreto.

2. En Secret type (Tipo de secreto), elija Other type of secret (Otro tipo de secreto).

3. En los pares clave/valor, añada sus dos claves:

   1. Para la primera clave, introduzca CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

   2. Para el valor de la primera clave, introduzca el nombre del usuario de AD que creó en su dominio en el paso anterior.

   3. Para la segunda clave, introduzca CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

   4. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.

4. Para la Clave de cifrado, introduzca la clave de KMS que creó en el paso anterior y haga clic en Siguiente.

5. En Nombre de secreto, introduzca un nombre descriptivo que le ayude a buscar el secreto más adelante.

6. (Opcional) En Descripción, escriba una descripción del nombre del secreto.

7. En Permisos de recursos, haga clic en Editar.

8. Añada la siguiente política a la política de permisos:

   nota

   Le recomendamos que utilice la aws:sourceAccount y las condiciones aws:sourceArn de la política para evitar el problema del suplente confuso. Utilice su Cuenta de AWS para aws:sourceAccount y el ARN de la instancia de base de datos de RDS para SQL Server para aws:sourceArn. Para obtener más información, consulte Prevención de los problemas del suplente confuso entre servicios.

   {
       "Version": "2012-10-17",
       "Statement":
       [
           {
               "Effect": "Allow",
               "Principal":
               {
                   "Service": "rds.amazonaws.com"
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*",
               "Condition":
               {
                   "StringEquals":
                   {
                       "aws:sourceAccount": "123456789012"
                   },
                   "ArnLike":
                   {
                       "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                   }
               }
           }
       ]
   }

9. Haz clic en Guardar y, a continuación, en Siguiente.

10. En Configurar los ajustes de rotación, mantenga los valores predeterminados y seleccione Siguiente.

11. Revise la configuración del secreto y haga clic en Guardar.

12. Elija el secreto que creó y copie el valor del ARN del secreto. Esto se utilizará en el siguiente paso para configurar Active Directory autoadministrado.

Paso 6: Crear o modificar una instancia de base de datos de SQL Server

Puede utilizar la consola, la CLI o la API de RDS para asociar una instancia de base de datos de RDS para SQL Server a un dominio de AD autoadministrado. Puede hacerlo de una de las siguientes formas:

• Cree una nueva instancia de base de datos de SQL Server mediante la consola, el comando de la CLI create-db-instance o la operación CreateDBInstance de la API de RDS.

  Para obtener instrucciones, consulte Creación de una instancia de base de datos de Amazon RDS.

• Modifique una instancia de base de datos de SQL Server existente mediante la consola, el comando de la CLI modify-db-instance o la operación ModifyDBInstance de la API de RDS.

  Para obtener instrucciones, consulte Modificación de una instancia de base de datos de Amazon RDS.

• Restaure una instancia de base de datos de SQL Server a partir de una instantánea de base de datos mediante la consola, el comando de la CLI restore-db-instance-from-db-snapshot o la operación RestoreDBInstanceFromDBSnapshot de la API de RDS.

  Para obtener instrucciones, consulte Restauración desde una instantánea de un de base de datos.

• Restaure una instancia de base de datos de SQL Server a un punto en el tiempo mediante la consola, el comando de la CLI restore-db-instance-to-point-in-time o la operación RestoreDBInstanceToPointInTime de la API de RDS.

  Para obtener instrucciones, consulte Restauración de una instancia de base de datos a un momento especificado.

Si utiliza la AWS CLI, necesitará los siguientes parámetros para que la instancia de base de datos pueda usar el dominio de Active Directory autoadministrado que ha creado:

• Para el parámetro --domain-fqdn, utilice el nombre de dominio completo (FQDN) de su Active Directory autoadministrado.

• Para el parámetro --domain-ou, utilice la OU que creó en su AD autoadministrado.

• Para el parámetro --domain-auth-secret-arn, utilice el valor del ARN del secreto que creó en un paso anterior.

• Para el parámetro --domain-dns-ips, utilice las direcciones IPv4 principal y secundaria de los servidores DNS de su AD autoadministrado. Si no tiene una dirección IP de servidor DNS secundaria, introduzca la dirección IP principal dos veces.

Los siguientes comandos de CLI de ejemplo muestran cómo crear, modificar y eliminar una instancia de base de datos de RDS para SQL Server con un dominio de AD autoadministrado.

importante

Si modifica una instancia de base de datos para unirla a un dominio de AD autoadministrado o eliminarla de él, es necesario reiniciar la instancia de base de datos para que la modificación surta efecto. Puede optar por aplicar los cambios inmediatamente o esperar hasta el próximo período de mantenimiento. Si opta por Aplicar inmediatamente, provocará un tiempo de inactividad para las instancias de base de datos Single-AZ. Las instancias de base de datos Multi-AZ realizarán una conmutación por error antes de completar el reinicio. Para obtener más información, consulte Configuración de programación de modificaciones.

El siguiente comando de CLI crea una nueva instancia de base de datos de RDS para SQL Server y la une a un dominio de AD autoadministrado.

Para Linux, macOS o Unix:

aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

En Windows:

aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

El siguiente comando de CLI modifica una instancia de base de datos de RDS para SQL Server existente para que utilice un dominio de Active Directory autoadministrado.

Para Linux, macOS o Unix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

En Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

El siguiente comando de CLI elimina una instancia de base de datos de RDS para SQL Server de un dominio de Active Directory autoadministrado.

Para Linux, macOS o Unix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain

En Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain

Paso 7: Crear inicios de sesión de SQL Server de autenticación de Windows

Use las credenciales del usuario maestro de Amazon RDS para conectarse a la instancia de base de datos de SQL Server como lo haría con cualquier otra instancia de base de datos. Como la instancia de base de datos está unida al dominio de AD autoadministrado, puede aprovisionar inicios de sesión y usuarios de SQL Server. Para ello, utilice la utilidad de usuarios y grupos de AD de su dominio de AD autoadministrado. Los permisos de bases de datos se administran a través de los permisos de SQL Server estándar otorgados y revocados para estos inicios de sesión de Windows.

Para que un usuario de AD autoadministrado se autentique con SQL Server, debe existir un inicio de sesión de Windows de SQL Server para el usuario de AD autoadministrado o para un grupo de Active Directory autoadministrado del que el usuario sea miembro. El control detallado del acceso se gestiona mediante la concesión y la revocación de permisos en estos inicios de sesión de SQL Server. Un usuario de AD autoadministrado que no tenga un inicio de sesión de SQL Server o no pertenezca a un grupo de AD autoadministrado con dicho inicio de sesión no puede tener acceso a la instancia de base de datos de SQL Server.

El permiso ALTER ANY LOGIN es necesario para crear un inicio de sesión de SQL Server de AD autoadministrado. Si todavía no ha creado ningún inicio de sesión con este permiso, conéctese como usuario maestro de la instancia de base de datos usando la autenticación de SQL Server y cree sus inicios de sesión de SQL Server de AD autoadministrado bajo el contexto del usuario maestro.

Puede ejecutar un comando de lenguaje de definición de datos (DDL), como el siguiente, para crear un inicio de sesión de SQL Server para un usuario o grupo de AD autoadministrado.

nota

Especifique usuarios y grupos con el nombre de inicio de sesión anterior a Windows 2000 en el formato my_AD_domain\my_AD_domain_user. No puede usar un nombre principal del usuario (UPN) en el formato my_AD_domain_user@my_AD_domain.

USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Para obtener más información, consulte CREATE LOGIN (Transact-SQL) (Crear inicio de sesión [Transact-SQL]) en la documentación de Microsoft Developer Network.

Los usuarios (tanto humanos como aplicaciones) del dominio pueden conectarse ahora a la instancia de RDS para SQL Server desde un equipo cliente unido al dominio de AD autoadministrado utilizando la autenticación de Windows.

Administración de una instancia de base de datos en un dominio de Active Directory autoadministrado

Puede usar la consola, la AWS CLI o la API de Amazon RDS para administrar la instancia de base de datos y la relación con su dominio de AD autoadministrado. Por ejemplo, puede mover la instancia de base de datos dentro, fuera o entre dominios.

Por ejemplo, con la API de Amazon RDS puede hacer lo siguiente:

• Para volver a intentar una unión de dominio autoadministrado por una suscripción fallida, utilice la operación de API ModifyDBInstance y especifique el mismo conjunto de parámetros:

  • --domain-fqdn

  • --domain-dns-ips

  • --domain-ou

  • --domain-auth-secret-arn

• Para eliminar una instancia de base de datos de un dominio autoadministrado, use la operación ModifyDBInstance de la API y especifique --disable-domain como parámetro del dominio.

• Para mover una instancia de base de datos de un dominio autoadministrado a otro, use la operación ModifyDBInstance de la API y especifique los parámetros para el nuevo dominio.

  • --domain-fqdn

  • --domain-dns-ips

  • --domain-ou

  • --domain-auth-secret-arn

• Para ver la suscripción de dominio de AD autoadministrado para cada instancia de base de datos, use la operación DescribeDBInstances de la API.

Descripción de la suscripción a un dominio de Active Directory autoadministrado

Una vez que haya creado o modificado una instancia de base de datos, esta se convierte en miembro del dominio de AD autoadministrado. La consola de AWS indica el estado de la suscripción del dominio de Active Directory autoadministrado para la instancia de base de datos. El estado de la instancia de base de datos puede ser uno de los siguientes:

• joined: la instancia es miembro del dominio de AD.

• joining: la instancia está en el proceso de convertirse en miembro del dominio de AD.

• pending-join: la suscripción de la instancia está pendiente.

• pending-maintenance-join: AWS intentará convertir la instancia en miembro del dominio de AD durante el próximo período de mantenimiento programado.

• pending-removal: la eliminación de la instancia del dominio de AD está pendiente.

• pending-maintenance-removal: AWS intentará eliminar la instancia del dominio de AD durante el próximo período de mantenimiento programado.

• error: un problema de configuración ha impedido que la instancia se una al dominio de AD. Compruebe y corrija la configuración antes de volver a ejecutar el comando para modificar la instancia.

• removing: la instancia se está eliminando del dominio de AD autoadministrado.

Una solicitud para convertirse en miembro de un dominio de AD autoadministrado puede generar un error a causa de un problema de conectividad de la red. Por ejemplo, puede crear una instancia de base de datos o modificar una instancia existente y que se produzca un error al intentar que la instancia de base de datos se convierta en miembro de un dominio de AD autoadministrado. En este caso, vuelva a emitir el comando para crear o modificar la instancia de base de datos o modificar la instancia recién creada para unirse al dominio de AD autoadministrado.

Solución de problemas de Active Directory autoadministrado

Los siguientes son los problemas que pueden surgir al configurar o modificar el AD autoadministrado.

Código de error	Descripción	Causas habituales	Sugerencias para la solución de problemas
Error 2 / 0x2	El sistema no puede encontrar el archivo especificado.	El formato o la ubicación de la unidad organizativa (OU) especificados con el parámetro —domain-ou no es válido. La cuenta de servicio de dominio especificada mediante AWS Secrets Manager carece de los permisos necesarios para unirse a la OU.	Revise el parámetro —domain-ou. Asegúrese de que la cuenta de servicio de dominio tenga los permisos correctos para la OU. Para obtener más información, consulte Configure su cuenta de servicio de dominio de AD.
Error 5 / 0x5	Se deniega el acceso.	Los permisos de la cuenta de servicio del dominio están mal configurados o la cuenta del equipo ya existe en el dominio.	Revise los permisos de la cuenta de servicio del dominio y compruebe que la cuenta del equipo de RDS no esté duplicada en el dominio. Para comprobar el nombre de la cuenta del equipo de RDS, ejecute SELECT @@SERVERNAME en su instancia de base de datos de RDS para SQL Server. Si utiliza Multi-AZ, intente reiniciar con conmutación por error y, a continuación, compruebe de nuevo la cuenta del equipo de RDS. Para obtener más información, consulte Reinicio de una instancia de base de datos.
Error 87 / 0x57	El parámetro es incorrecto.	La cuenta de servicio de dominio especificada mediante AWS Secrets Manager no tiene los permisos correctos. El perfil de usuario también podría estar dañado.	Revise los requisitos de la cuenta de servicio de dominio. Para obtener más información, consulte Configure su cuenta de servicio de dominio de AD.
Error 234 / 0xEA	La unidad organizativa (OU) especificada no existe.	La unidad organizativa especificada con el parámetro —domain-ou no existe en su AD autoadministrado.	Revise el parámetro —domain-ou y asegúrese de que la unidad organizativa especificada exista en su AD autoadministrado.
Error 1326 / 0x52E	El nombre de usuario o la contraseña es incorrecto.	Las credenciales de la cuenta de servicio de dominio proporcionadas en AWS Secrets Manager contienen un nombre de usuario desconocido o una contraseña incorrecta. La cuenta de dominio también podría estar deshabilitada en su AD autoadministrado.	Asegúrese de que las credenciales proporcionadas en AWS Secrets Manager sean correctas y de que la cuenta de dominio esté habilitada en su Active Directory autoadministrado.
Error 1355 / 0x54B	El dominio especificado no existe o no se pudo contactar con él.	El dominio está inactivo, no se puede acceder al conjunto especificado de IP de DNS o no se puede acceder al FQDN especificado.	Revise los parámetros —domain-dns-ips y —domain-fqdn  para asegurarse de que son correctos. Revise la configuración de red de su instancia de base de datos de RDS para SQL Server y asegúrese de que sea posible acceder a su AD autoadministrado. Para obtener más información, consulte Configure la conectividad de red.
Error 1772/0x6BA	El servidor RPC no está disponible.	Se ha producido un problema al acceder al servicio de RPC de su dominio de AD. Puede deberse a un problema de red o de servicio.	Valide que el servicio de RPC se esté ejecutando en sus controladores de dominio y que se pueda acceder a los puertos de TCP 135 y 49152-65535 en su dominio desde su instancia de base de datos de RDS para SQL Server.
Error 2224 / 0x8B0	La cuenta de usuario ya existe.	La cuenta de equipo que se intenta añadir al AD autoadministrado ya existe.	Para identificar la cuenta del equipo, ejecute SELECT @@SERVERNAME en su instancia de base de datos de RDS para SQL Server y, a continuación, elimínela cuidadosamente de su AD autoadministrado.
Error 2242 / 0x8c2	La contraseña de este usuario ha caducado.	La contraseña de la cuenta de servicio de dominio especificada a través de AWS Secrets Manager ha caducado.	Actualice la contraseña de la cuenta de servicio de dominio utilizada para unir su instancia de base de datos de RDS para SQL Server a su AD autoadministrado.

Restauración de una instancia de base de datos de SQL Server y adición de esta a un dominio de  Active Directory autoadministrado

Puede restaurar una instantánea de base de datos o realizar una recuperación en un momento dado (PITR) para una instancia de base de datos de SQL Server y, a continuación, añadirla a un dominio de Active Directory autoadministrado. Una vez que la instancia de base de datos se haya restaurado, modifíquela con el proceso que se explica en Paso 6: Crear o modificar una instancia de base de datos de SQL Server para agregar la instancia de base de datos a un dominio de AD autoadministrado.