Travailler avec AWS Active Directory géré avec RDS pour SQL serveur

Vous pouvez utiliser … AWS Managed Microsoft AD pour authentifier les utilisateurs à l'aide de l'authentification Windows lorsqu'ils se connectent à votre instance de base de données RDS for SQL Server. L'instance de base de données fonctionne avec AWS Directory Service for Microsoft Active Directory, également appelé AWS Managed Microsoft AD, pour activer l'authentification Windows. Lorsque les utilisateurs s'authentifient auprès d'une instance de base de données de SQL serveur jointe au domaine de confiance, les demandes d'authentification sont transmises au répertoire de domaines que vous créez avec AWS Directory Service.

Disponibilité des régions et des versions

Amazon RDS prend uniquement en charge l'utilisation AWS Managed Microsoft AD pour l'authentification Windows. RDSne prend pas en charge l'utilisation d'AD Connector. Pour plus d’informations, consultez les ressources suivantes :

• Politique de compatibilité des applications pour AWS Managed Microsoft AD

• Politique de compatibilité des applications pour AD Connector

Pour plus d'informations sur la disponibilité des versions et des régions, voir Authentification Kerberos avec RDS for SQL Server.

Présentation de la configuration de l'authentification Windows

Amazon RDS utilise le mode mixte pour l'authentification Windows. Cette approche signifie que l'utilisateur principal (le nom et le mot de passe utilisés pour créer votre instance de base de données de SQL serveur) utilise SQL l'authentification. Étant donné que le compte utilisateur principal comporte des informations d'identification privilégiées, vous devez limiter l'accès à ce compte.

Pour obtenir l'authentification Windows à l'aide d'un compte Microsoft Active Directory sur site ou auto-géré, créez une approbation de forêt. L'approbation peut être unidirectionnelle ou bidirectionnelle. Pour plus d'informations sur la mise en place de fiducies forestières à l'aide de AWS Directory Service, voir Quand créer une relation de confiance dans le AWS Directory Service Guide d'administration.

Pour configurer l'authentification Windows pour une instance de base de données de SQL serveur, suivez les étapes suivantes, expliquées plus en détail dans Configuration de l'authentification Windows pour les instances de base SQL de données du serveur :

1. Utiliser AWS Managed Microsoft AD, soit depuis le AWS Management Console or AWS Directory Service API, pour créer un AWS Managed Microsoft AD annuaire.

2. Si vous utilisez le plugin AWS CLI ou Amazon RDS API pour créer votre instance de base de données de SQL serveur, créez un AWS Identity and Access Management (IAM) rôle. Ce rôle utilise la IAM politique gérée AmazonRDSDirectoryServiceAccess et permet RDS à Amazon de passer des appels vers votre annuaire. Si vous utilisez la console pour créer votre instance de base de données de SQL serveur, AWS crée le IAM rôle pour vous.

   Pour que le rôle autorise l'accès, le AWS Security Token Service (AWS STS) le point de terminaison doit être activé dans le AWS Une région pour votre AWS . AWS STS les points de terminaison sont actifs par défaut dans tous AWS Régions, et vous pouvez les utiliser sans autre action. Pour plus d'informations, voir Gestion AWS STS dans un Région AWS dans le guide de l'utilisateur IAM.

3. Créez et configurez des utilisateurs et des groupes dans le AWS Managed Microsoft AD répertoire à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs et de groupes dans votre Active Directory, voir Gérer les utilisateurs et les groupes dans AWS Managed Microsoft AD dans le .AWS Directory Service Guide d'administration.

4. Si vous prévoyez de placer le répertoire et l'instance de base de données différemmentVPCs, activez le VPC trafic croisé.

5. Utilisez Amazon RDS pour créer une nouvelle instance de base de données de SQL serveur soit à partir de la console, AWS CLI, ou Amazon RDSAPI. Dans la demande de création, vous indiquez l'identifiant du domaine (identifiant « d-* ») généré lors de la création de votre annuaire, ainsi que le nom du rôle que vous avez créé. Vous pouvez également modifier une instance de base de données de SQL serveur existante pour utiliser l'authentification Windows en définissant les paramètres de domaine et de IAM rôle pour l'instance de base de données.

6. Utilisez les informations d'identification de l'utilisateur RDS principal Amazon pour vous connecter à l'instance de base de données SQL du serveur comme vous le feriez pour toute autre instance de base de données. Étant donné que l'instance de base de données est jointe au AWS Managed Microsoft AD domaine, vous pouvez configurer des connexions au SQL serveur et des utilisateurs à partir des utilisateurs et groupes Active Directory de leur domaine. (Ces connexions sont connues sous le nom de connexions « Windows » au SQL serveur.) Les autorisations de base de données sont gérées par le biais d'autorisations de SQL serveur standard accordées et révoquées à ces connexions Windows.

Création d'un point de terminaison pour l'authentification Kerberos

L'authentification basée sur Kerberos nécessite que le point de terminaison soit le nom d'hôte spécifié par le client, un point, puis le nom de domaine complet (). FQDN Par exemple, l'exemple suivant illustre un point de terminaison à utiliser avec l'authentification basée sur Kerberos. Dans cet exemple, le nom d'hôte de l'instance de base de données du SQL serveur est ad-test et le nom de domaine estcorp-ad.company.com.

ad-test.corp-ad.company.com

Pour vérifier que votre connexion utilise Kerberos, exécutez la requête suivante :

SELECT net_transport, auth_scheme 
  FROM sys.dm_exec_connections 
 WHERE session_id = @@SPID;

Configuration de l'authentification Windows pour les instances de base SQL de données du serveur

Vous utilisez AWS Directory Service for Microsoft Active Directory, également appelé AWS Managed Microsoft AD, pour configurer l'authentification Windows pour une instance de base de données de SQL serveur. Pour configurer l'authentification Windows, procédez comme suit.

Étape 1 : créer un répertoire à l'aide du AWS Directory Service for Microsoft Active Directory

AWS Directory Service crée un répertoire Microsoft Active Directory entièrement géré dans AWS Nuage. Lorsque vous créez un AWS Managed Microsoft AD annuaire, AWS Directory Service crée deux contrôleurs de domaine et deux serveurs Domain Name Service (DNS) en votre nom. Les serveurs d'annuaire sont créés dans deux sous-réseaux situés dans deux zones de disponibilité différentes au sein d'unVPC. Cette redondance permet de s'assurer que votre répertoire reste accessible y compris en cas de défaillance.

Lorsque vous créez un AWS Managed Microsoft AD annuaire, AWS Directory Service exécute les tâches suivantes en votre nom :

• Configure un Microsoft Active Directory dans leVPC.

• Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et le mot de passe spécifié. Ce compte est utilisé pour gérer votre annuaire.

• Création d'un groupe de sécurité pour les contrôleurs de l'annuaire.

Lorsque vous lancez un AWS Directory Service for Microsoft Active Directory, AWS crée une unité organisationnelle (UO) qui contient tous les objets de votre répertoire. Cette unité d'organisation, qui porte le BIOS nom réseau que vous avez saisi lors de la création de votre répertoire, se trouve dans la racine du domaine. La racine du domaine est détenue et gérée par AWS.

Le compte administrateur créé avec votre AWS Managed Microsoft AD le répertoire dispose d'autorisations pour les activités administratives les plus courantes de votre unité d'organisation :

• Créer, mettre à jour ou supprimer des utilisateurs, des groupes et des ordinateurs

• Ajouter des ressources à votre domaine, comme des serveurs de fichiers ou d'impression, puis attribuer des autorisations pour ces ressources aux utilisateurs et groupes dans votre unité d'organisation.

• Créez OUs des conteneurs supplémentaires.

• Déléguer des autorités.

• Créer et associer des stratégies de groupes.

• Restaurer des objets supprimés de la corbeille Active Directory.

• Exécutez les PowerShell modules AD et DNS Windows sur le service Web Active Directory.

Le compte admin dispose également de droits pour exécuter les activités suivantes au niveau du domaine :

• Gérez les DNS configurations (ajoutez, supprimez ou mettez à jour des enregistrements, des zones et des redirecteurs).

• Afficher les journaux d'DNSévénements.

• Afficher les journaux d'événements de sécurité.

Pour créer un répertoire avec AWS Managed Microsoft AD

1. Dans AWS Directory Service dans le volet de navigation de la console, choisissez Répertoires, puis Configurer le répertoire.

2. Choisissez AWS Managed Microsoft AD. Il s'agit de la seule option actuellement prise en charge pour une utilisation avec AmazonRDS.

3. Choisissez Suivant.

4. Sur la page Enter directory information (Saisir les détails du répertoire), renseignez les informations suivantes :

   Edition

   Choisissez l'édition qui correspond à vos besoins.

   DNSNom du répertoire

   Nom complet de l'annuaire, par exemple corp.example.com. Les noms de plus de 47 caractères ne sont pas pris en charge par le SQL serveur.

   BIOSNom du réseau du répertoire

   Nom court facultatif pour l'annuaire, par exemple CORP.

   Description de l'annuaire

   Description facultative de l'annuaire.

   Mot de passe administrateur

   Mot de passe de l'administrateur de l'annuaire. Le processus de création d'un annuaire crée un compte d'administrateur avec le nom d'utilisateur Admin et ce mot de passe.

   Le mot de passe de l'administrateur de l'annuaire ne peut pas inclure le terme admin. Le mot de passe est sensible à la casse et doit comporter entre 8 et 64 caractères. Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :

   • Lettres minuscules (a-z)

   • Lettres majuscules (A-Z)

   • Chiffres (0-9)

   • Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

   Confirmer le mot de passe

   Saisissez à nouveau le mot de passe de l'administrateur.

5. Choisissez Suivant.

6. Sur la page Choisir VPC et sous-réseaux, fournissez les informations suivantes :

   VPC

   Choisissez le VPC pour le répertoire.

   Note

   Vous pouvez localiser le répertoire et l'instance de base de données différemmentVPCs, mais si c'est le cas, assurez-vous d'activer le VPC trafic croisé. Pour de plus amples informations, veuillez consulter Étape 4 : activer le VPC trafic croisé entre l'annuaire et l'instance de base de données.

   Sous-réseaux

   Choisissez les sous-réseaux pour les serveurs d'annuaires. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.

7. Choisissez Suivant.

8. Vérifiez les informations de l'annuaire. Si vous devez apporter des modifications, choisissez Previous (Précédent). Lorsque les informations sont correctes, choisissez Create directory (Créer l'annuaire).

   

La création de l'annuaire prend plusieurs minutes. Lorsqu'il est créé, la valeur du champ Statut devient Actif.

Pour consulter les informations relatives à votre annuaire, choisissez l'ID de l'annuaire dans la liste. Notez la valeur de ID de l'annuaire. Vous avez besoin de cette valeur lorsque vous créez ou modifiez votre instance de base de données de SQL serveur.

Étape 2 : créer le IAM rôle à utiliser par Amazon RDS

Si vous utilisez la console pour créer votre instance de base de données de SQL serveur, vous pouvez ignorer cette étape. Si vous utilisez le CLI ou RDS API pour créer votre instance de base de données de SQL serveur, vous devez créer un IAM rôle qui utilise la IAM politique AmazonRDSDirectoryServiceAccess gérée. Ce rôle permet RDS à Amazon de passer des appels vers AWS Directory Service pour toi.

Si vous utilisez une politique personnalisée pour rejoindre un domaine, plutôt que d'utiliser AWSAmazonRDSDirectoryServiceAccess-politique gérée, assurez-vous d'autoriser l'ds:GetAuthorizedApplicationDetailsaction. Cette exigence entre en vigueur à partir de juillet 2019, en raison d'une modification du AWS Directory Service API.

La IAM politique suivante donne accès à AmazonRDSDirectoryServiceAccess AWS Directory Service.

Exemple IAMpolitique de fourniture d'accès à AWS Directory Service

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
            "ds:DescribeDirectories", 
            "ds:AuthorizeApplication", 
            "ds:UnauthorizeApplication",
            "ds:GetAuthorizedApplicationDetails"
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans des relations d'approbation basées sur les ressources pour limiter les autorisations du service à une ressource spécifique. C'est le moyen le plus efficace de se protéger contre le problème du député confus.

Vous pouvez utiliser les deux clés de contexte de condition globale et faire en sorte que la valeur aws:SourceArn contienne l'ID de compte. Dans ce cas, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction.

• Utilisez aws:SourceArn si vous souhaitez un accès interservices pour une seule ressource.

• Utilisez aws:SourceAccount si vous souhaitez autoriser une ressource de ce compte à être associée à l'utilisation interservices.

Dans la relation de confiance, veillez à utiliser la clé de contexte de condition aws:SourceArn globale avec le nom complet de la ressource Amazon (ARN) des ressources accédant au rôle. Pour l'authentification Windows, veillez à inclure les instances de base de données, comme illustré dans l'exemple suivant.

Exemple relation d'approbation avec la clé de contexte de condition globale pour l'authentification Windows

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rds.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": [
                        "arn:aws:rds:Region:my_account_ID:db:db_instance_identifier"
                    ]
                }
            }
        }
    ]
}

Créez un IAM rôle en utilisant cette IAM politique et cette relation de confiance. Pour plus d'informations sur la création de IAM rôles, consultez la section Création de politiques gérées par le client dans le Guide de IAM l'utilisateur.

Étape 3 : Créer et configurer des utilisateurs et des groupes

Vous pouvez créer des utilisateurs et des groupes avec l'outil Utilisateurs et ordinateurs Active Directory. Cet outil fait partie des outils Services AD DS (Active Directory Domain Services) et Services AD LDS (Active Directory Lightweight Directory Services). Les utilisateurs représentent des individus ou des entités individuelles qui ont accès à votre annuaire. Les groupes sont très utiles pour octroyer ou refuser des privilèges à des groupes d'utilisateurs, plutôt que d'appliquer ces privilèges à chaque utilisateur.

Pour créer des utilisateurs et des groupes dans un AWS Directory Service répertoire, vous devez être connecté à une EC2 instance Windows membre du AWS Directory Service annuaire. Vous devez également être connecté en tant qu'utilisateur disposant de privilèges pour créer des utilisateurs et des groupes. Pour plus d'informations, voir Ajouter des utilisateurs et des groupes (Simple AD et AWS Managed Microsoft AD) dans le AWS Directory Service Guide d'administration.

Étape 4 : activer le VPC trafic croisé entre l'annuaire et l'instance de base de données

Si vous prévoyez de localiser le répertoire et l'instance de base de données dans le même répertoireVPC, ignorez cette étape et passez àÉtape 5 : créer ou modifier une instance de base de données de SQL serveur.

Si vous prévoyez de placer le répertoire et l'instance de base de données différemmentVPCs, configurez le VPC trafic croisé à l'aide du VPC peering ou AWS Transit Gateway.

La procédure suivante active le trafic entre les utilisateurs VPCs du VPC peering. Suivez les instructions de la section Qu'est-ce que le VPC peering ? dans le guide de peering Amazon Virtual Private Cloud.

Pour activer le VPC trafic croisé à l'aide du VPC peering

1. Définissez des règles de VPC routage appropriées pour garantir que le trafic réseau peut circuler dans les deux sens.

2. Assurez-vous que le groupe de sécurité de l'instance de base de données puisse recevoir le trafic entrant depuis le groupe de sécurité de cet annuaire.

3. Assurez-vous qu'aucune règle de liste de contrôle d'accès au réseau (ACL) ne bloque le trafic.

Si un autre AWS le compte possède le répertoire, vous devez partager le répertoire.

Pour partager le répertoire entre AWS comptes

1. Commencez à partager le répertoire avec le AWS compte dans lequel l'instance de base de données sera créée en suivant les instructions du didacticiel : Partage de votre AWS Managed Microsoft AD répertoire pour une jonction de EC2 domaine fluide dans le AWS Directory Service Guide d'administration.

2. Connectez-vous au AWS Directory Service console utilisant le compte de l'instance de base de données, et assurez-vous que le domaine possède le SHARED statut requis avant de continuer.

3. Lorsque vous êtes connecté au AWS Directory Service console utilisant le compte de l'instance de base de données, notez la valeur de l'ID du répertoire. Vous utilisez cet ID pour joindre l'instance de base de données au domaine.

Étape 5 : créer ou modifier une instance de base de données de SQL serveur

Créez ou modifiez une instance de base de données de SQL serveur à utiliser avec votre annuaire. Vous pouvez utiliser la console ou associer une instance RDS API de base de données à un répertoire. CLI Vous pouvez effectuer cette opération de différentes manières :

• Créez une nouvelle instance de base de données de SQL serveur à l'aide de la console, de la create-db-instanceCLIcommande ou de l'reateDBInstanceRDSAPIopération C.

  Pour obtenir des instructions, consultez Création d'une instance de base de données Amazon RDS.

• Modifiez une instance de base de données SQL Server existante à l'aide de la console, de la modify-db-instanceCLIcommande ou de l'odifyDBInstanceRDSAPIopération M.

  Pour obtenir des instructions, consultez Modification d'une instance de base de données Amazon RDS.

• Restaurez une instance de base de données de SQL serveur à partir d'un instantané de base de données à l'aide de la console, de la CLI commande restore-db-instance-from-db-snapshot ou de l'opération R F. estoreDBInstance romDBSnapshot RDS API

  Pour obtenir des instructions, consultez Restauration vers une instance de base de données.

• Restaurez une instance de base de données de SQL serveur à l' point-in-time aide de la console, de la point-in-time CLI commande restore-db-instance-to- ou de l'estoreDBInstanceToPointInTimeRDSAPIopération R.

  Pour obtenir des instructions, consultez Restauration d'une instance de base de données à une date spécifiée.

L'authentification Windows n'est prise en charge que pour les instances de base de données de SQL serveur dans unVPC.

Pour que l'instance de base de données puisse utiliser l'annuaire de domaine que vous avez créé, les éléments suivants sont nécessaires :

• Pour Annuaire, vous devez choisir l'identifiant du domaine (d-ID) généré lors de la création de l'annuaire.

• Assurez-vous que le groupe de VPC sécurité dispose d'une règle sortante qui permet à l'instance de base de données de communiquer avec l'annuaire.

Lorsque vous utilisez le AWS CLI, les paramètres suivants sont requis pour que l'instance de base de données puisse utiliser le répertoire que vous avez créé :

• Pour le paramètre --domain, vous devez indiquer l'identifiant du domaine (d-ID) généré lors de la création de l'annuaire.

• Pour le --domain-iam-role-name paramètre, utilisez le rôle que vous avez créé qui utilise la IAM politique géréeAmazonRDSDirectoryServiceAccess.

Par exemple, la CLI commande suivante modifie une instance de base de données pour utiliser un répertoire.

Dans Linux, macOS, ou Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name 
            

Dans Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name 		
            

Important

Si vous modifiez une instance de base de données de façon à activer l'authentification Kerberos, redémarrez l'instance de base de données après avoir effectué la modification.

Étape 6 : créer des connexions au SQL serveur d'authentification Windows

Utilisez les informations d'identification de l'utilisateur RDS principal Amazon pour vous connecter à l'instance de base de données SQL du serveur comme vous le feriez pour toute autre instance de base de données. Étant donné que l'instance de base de données est jointe au AWS Managed Microsoft AD domaine, vous pouvez configurer les connexions et les utilisateurs SQL du serveur. Vous effectuez cette opération à partir des utilisateurs et groupes Active Directory de votre domaine. Les autorisations de base de données sont gérées par le biais d'autorisations de SQL serveur standard accordées et révoquées à ces connexions Windows.

Pour qu'un utilisateur Active Directory puisse s'authentifier auprès de SQL SQL Server, un identifiant Windows Server doit exister pour l'utilisateur ou un groupe dont il est membre. Le contrôle d'accès précis est géré par l'octroi et la révocation d'autorisations sur ces SQL connexions au serveur. Un utilisateur qui n'a pas de connexion au SQL serveur ou qui appartient à un groupe avec un tel identifiant ne peut pas accéder à l'instance de base de données SQL du serveur.

L'ALTERANYLOGINautorisation est requise pour créer une connexion au SQL serveur Active Directory. Si vous n'avez créé aucune connexion avec cette autorisation, connectez-vous en tant qu'utilisateur principal de l'instance de base de données à l'aide de l'authentification SQL du serveur.

Exécutez une commande data definition language (DDL) telle que l'exemple suivant pour créer une connexion au SQL serveur pour un utilisateur ou un groupe Active Directory.

Note

Spécifiez les utilisateurs et les groupes à l'aide du nom de connexion antérieur à Windows 2000 au format domainName\login_name. Vous ne pouvez pas utiliser un nom d'utilisateur principal (UPN) dans le format nom_connexion@DomainName.

Vous ne pouvez créer une connexion d'authentification Windows sur une instance de SQL serveur RDS for qu'à l'aide SQL des instructions T-. Vous ne pouvez pas utiliser le studio SQL Server Management pour créer un identifiant d'authentification Windows.

USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Pour plus d'informations, consultez CREATELOGIN(Transact-SQL) dans la documentation de Microsoft Developer Network.

Les utilisateurs (humains et applications) de votre domaine peuvent désormais se connecter à l'instance RDS for SQL Server à partir d'un ordinateur client joint au domaine à l'aide de l'authentification Windows.

Gestion d'une instance de base de données dans un domaine

Vous pouvez utiliser la console, AWS CLI, ou Amazon RDS API pour gérer votre instance de base de données et sa relation avec votre domaine. Par exemple, vous pouvez déplacer l'instance de base de données dans, hors ou entre des domaines.

Par exemple, en utilisant Amazon RDSAPI, vous pouvez effectuer les opérations suivantes :

• Pour réessayer de joindre un domaine en raison d'un échec d'adhésion, utilisez l'odifyDBInstanceAPIopération M et spécifiez l'ID de répertoire de l'adhésion actuelle.

• Pour mettre à jour le nom du IAM rôle pour l'adhésion, utilisez l'ModifyDBInstanceAPIopération et spécifiez l'ID de répertoire du membre actuel et le nouveau IAM rôle.

• Pour supprimer une instance de base de données d'un domaine, utilisez l'ModifyDBInstanceAPIopération et none spécifiez-la comme paramètre de domaine.

• Pour déplacer une instance de base de données d'un domaine à un autre, utilisez l'ModifyDBInstanceAPIopération et spécifiez l'identifiant de domaine du nouveau domaine comme paramètre de domaine.

• Pour répertorier les membres de chaque instance de base de données, utilisez l'escribeDBInstancesAPIopération D.

Présentation de l'appartenance au domaine

Après la création ou la modification de votre instance de base de données, l'instance devient un membre du domaine. Le AWS la console indique le statut de l'appartenance au domaine pour l'instance de base de données. Le statut de l'instance de base de données peut avoir les valeurs suivantes :

• joined–L'instance est membre du domaine.

• joining–L'instance est en train de devenir membre du domaine.

• pending-join – L'appartenance de l'instance est en attente.

• pending-maintenance-join – AWS tentera de faire de l'instance un membre du domaine lors de la prochaine fenêtre de maintenance planifiée.

• pending-removal–La suppression de l'instance du domaine est en attente.

• pending-maintenance-removal – AWS tentera de supprimer l'instance du domaine lors de la prochaine fenêtre de maintenance planifiée.

• failed–Un problème de configuration a empêché l'instance d'effectuer la jonction du domaine. Vérifiez et corrigez votre configuration avant d'émettre à nouveau la commande de modification de l'instance.

• removing–La suppression de l'instance du domaine est en cours.

Une demande pour devenir membre d'un domaine peut échouer en raison d'un problème de connectivité réseau ou d'un IAM rôle incorrect. Par exemple, vous pouvez créer une instance de base de données ou modifier une instance existante et faire échouer la tentative pour que l'instance de base de données devienne membre d'un domaine. Dans ce cas, émettez à nouveau la commande pour créer ou modifier l'instance de base de données, ou modifiez l'instance nouvellement créée pour rejoindre le domaine.

Connexion au SQL serveur avec authentification Windows

Pour vous connecter au SQL serveur avec l'authentification Windows, vous devez être connecté à un ordinateur joint au domaine en tant qu'utilisateur du domaine. Après avoir lancé SQL Server Management Studio, choisissez Windows Authentication comme type d'authentification, comme indiqué ci-dessous.

Restaurer une instance de base de données de SQL serveur, puis l'ajouter à un domaine

Vous pouvez restaurer un instantané de base de données ou effectuer point-in-time recovery (PITR) pour une instance de base de données de SQL serveur, puis l'ajouter à un domaine. Une fois que l'instance de base de données est restaurée, modifiez l'instance à l'aide du processus expliqué dans Étape 5 : créer ou modifier une instance de base de données de SQL serveur afin d'ajouter l'instance de base de données à un domaine.