Utilisation d'Active Directory autogéré avec une instance de base de données Amazon RDS for SQL Server - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'Active Directory autogéré avec une instance de base de données Amazon RDS for SQL Server

Vous pouvez associer vos instances de base de données RDS pour SQL Server directement à votre domaine Active Directory (AD) autogéré, quel que soit l'endroit où votre AD est hébergé : dans les centres de données d'entreprise, sur AWS EC2 ou auprès d'autres fournisseurs de cloud. Avec AD autogéré, vous utilisez l'authentification NTLM pour contrôler directement l'authentification des utilisateurs et des services sur vos instances de base de données RDS for SQL Server sans recourir à des domaines intermédiaires ni à des approbations de forêts. Lorsque les utilisateurs s'authentifient auprès d'une instance de base de données RDS for SQL Server jointe à votre domaine AD autogéré, les demandes d'authentification sont transférées vers un domaine AD autogéré que vous spécifiez.

Disponibilité des régions et des versions

Amazon RDS prend en charge AD autogéré pour SQL Server en utilisant NTLM dans toutes les Régions AWS.

Prérequis

Assurez-vous de respecter les exigences suivantes avant de joindre une instance de base de données RDS for SQL Server à votre domaine AD autogéré.

Configuration de votre annuaire AD sur site

Assurez-vous de disposer d'un annuaire Microsoft AD sur site ou autogéré auquel vous pouvez joindre l'instance Amazon RDS for SQL Server. Votre annuaire AD sur site doit avoir la configuration suivante :

  • Si vous avez défini des sites Active Directory, assurez-vous que les sous-réseaux du VPC associé à votre instance de base de données RDS for SQL Server sont définis dans votre site Active Directory. Vérifiez qu'il n'existe aucun conflit entre les sous-réseaux de votre VPC et les sous-réseaux de vos autres sites AD.

  • Votre contrôleur de domaine AD a un niveau fonctionnel de domaine correspondant à Windows Server 2008 R2 ou supérieur.

  • Votre nom de domaine AD ne peut pas être au format SLD (Single Label Domain). RDS for SQL Server ne prend pas en charge les domaines SLD.

  • Le nom de domaine complet (FQDN) de votre AD ne peut pas dépasser 47 caractères.

Configuration de votre connectivité réseau

Assurez-vous de respecter les configurations réseau suivantes :

  • Connectivité configurée entre le VPC Amazon sur lequel vous souhaitez créer l'instance de base de données RDS for SQL Server et votre annuaire Active Directory autogéré. Vous pouvez configurer la connectivité à l'aide de AWS Direct Connect, d' AWS un VPN, d'un peering VPC ou de Transit Gateway AWS .

  • Pour les groupes de sécurité VPC, le groupe de sécurité par défaut de votre VPC Amazon par défaut est déjà ajouté à votre instance de base de données RDS for SQL Server dans la console. Assurez-vous que le groupe de sécurité et les listes ACL réseau de VPC pour le ou les sous-réseaux dans lesquels vous créez votre instance de base de données RDS for SQL Server autorisent le trafic sur les ports et dans les directions indiquées dans le schéma suivant.

    Règles des ports de configuration réseau d'Active Directory autogéré.

    Le tableau suivant identifie le rôle de chaque port.

    Protocole Ports Rôle
    TCP/UDP 53 Système de nom de domaine (DNS)
    TCP/UDP 88 Authentification Kerberos
    TCP/UDP 464 Changement/définition de mot de passe
    TCP/UDP 389 Protocole LDAP (Lightweight Directory Access Protocol)
    TCP 135 Distributed Computing Environment / End Point Mapper (DCE / EPMAP)
    TCP 445 Partage de fichiers SMB avec les services d'annuaire
    TCP 636 Protocole LDAP (Lightweight Directory Access Protocol) via TLS/SSL (LDAPS)
    TCP 49152 - 65535 Ports éphémères pour RPC
  • En général, les serveurs DNS du domaine se trouvent dans les contrôleurs de domaine AD. Vous n'avez pas besoin de configurer l'option DHCP du VPC pour utiliser cette fonctionnalité. Pour plus d'informations, consultez Jeux d'options DHCP dans le Guide de l'utilisateur Amazon VPC.

Important

Si vous utilisez des listes ACL réseau de VPC, vous devez également autoriser le trafic sortant sur les ports dynamiques (49152-65535) à partir de votre instance de base de données RDS for SQL Server. Assurez-vous que ces règles de trafic sont également mises en miroir sur les pare-feu qui s'appliquent à chacun des contrôleurs de domaine AD, aux serveurs DNS et aux instances de base de données RDS for SQL Server.

Alors que les groupes de sécurité VPC exigent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feu Windows et des listes ACL réseau de VPC exigent que les ports soient ouverts dans les deux sens.

Configuration de votre compte de service de domaine AD

Assurez-vous de respecter les exigences suivantes pour un compte de service de domaine AD :

  • Assurez-vous de disposer d'un compte de service dans votre domaine AD autogéré avec des autorisations déléguées pour joindre des ordinateurs au domaine. Un compte de service de domaine est un compte utilisateur de votre annuaire AD autogéré auquel l'autorisation d'effectuer certaines tâches a été déléguée.

  • Les autorisations suivantes doivent être déléguées au compte de service de domaine dans l'unité d'organisation (OU) à laquelle vous joignez votre instance de base de données RDS for SQL Server :

    • Capacité validée d'écrire sur le nom d'hôte DNS

    • Capacité validée d'écrire dans le nom du principal de service

    • Création et suppression d'objets informatiques

    Il s'agit de l'ensemble minimal d'autorisations requises pour joindre des objets informatiques à votre annuaire Active Directory autogéré. Pour plus d'informations, consultez Erreurs lors d'une tentative visant à joindre des ordinateurs à un domaine dans la documentation de Microsoft Windows Server.

Important

Ne déplacez pas les objets informatiques créés par RDS for SQL Server dans l'unité d'organisation après la création de votre instance de base de données. Le déplacement des objets associés entraînera une mauvaise configuration de votre instance de base de données RDS for SQL Server. Si vous devez déplacer les objets informatiques créés par Amazon RDS, utilisez l'opération d'API RDS ModifyDBInstance pour modifier les paramètres du domaine en fonction de l'emplacement souhaité des objets informatiques.

Limites

Les limitations suivantes s'appliquent à AD autogéré pour SQL Server.

  • NTLM est le seul type d'authentification pris en charge. L'authentification Kerberos n'est pas prise en charge. Si vous devez utiliser l'authentification Kerberos, vous pouvez utiliser AWS Managed AD au lieu d'AD autogéré.

  • Le service Microsoft Distributed Transaction Coordinator (MSDTC) n'est pas pris en charge car il nécessite une authentification Kerberos.

  • Vos instances de base de données RDS for SQL Server n'utilisent pas le serveur NTP (Network Time Protocol) de votre domaine AD autogéré. Ils utilisent plutôt un service AWS NTP.

  • Les serveurs liés à SQL Server doivent utiliser l'authentification SQL pour se connecter à d'autres instances de base de données RDS for SQL Server jointes à votre domaine AD autogéré.

  • Les paramètres d'objet de stratégie de groupe (GPO) de Microsoft issus de votre domaine AD autogéré ne sont pas appliqués aux instances de base de données RDS for SQL Server.

Vue d'ensemble de la configuration d'Active Directory autogéré

Pour configurer AD autogéré pour une instance de base de données RDS for SQL Server, réalisez les actions suivantes, expliquées plus en détail dans Configuration d'Active Directory autogéré :

Dans votre domaine AD :

  • Créez une unité d'organisation (OU).

  • Créez un utilisateur de domaine AD.

  • Déléguez le contrôle à l'utilisateur du domaine AD.

Depuis l'API AWS Management Console or :

  • Créez une AWS KMS clé.

  • Créez un secret à l'aide de AWS Secrets Manager.

  • Créez ou modifiez une instance de base de données RDS for SQL Server et joignez-la à votre domaine AD autogéré.

Configuration d'Active Directory autogéré

Pour configurer AD autogéré, procédez comme suit.

Étape 1 : Créer une unité d'organisation dans votre annuaire AD

Important

Nous vous recommandons de créer une unité d'organisation dédiée et des informations d'identification de service étendues à cette unité d'organisation pour tout AWS compte propriétaire d'une instance de base de données RDS pour SQL Server jointe à votre domaine AD autogéré. En dédiant une unité d'organisation et des informations d'identification de service, vous pouvez éviter les conflits d'autorisations et suivre le principe de moindre privilège.

Pour créer une unité d'organisation dans votre annuaire AD
  1. Connectez-vous à votre domaine AD en tant qu'administrateur de domaine.

  2. Ouvrez Utilisateurs et ordinateurs Active Directory et sélectionnez le domaine où vous souhaitez créer votre unité d'organisation.

  3. Cliquez avec le bouton droit sur le domaine et choisissez Nouveau, puis Unité d'organisation.

  4. Saisissez un nom pour l'unité d'organisation.

  5. Laissez la case cochée pour Protéger le conteneur contre la suppression accidentelle.

  6. Cliquez sur OK. Votre nouvelle unité d'organisation apparaîtra sous votre domaine.

Étape 2 : Créer un utilisateur de domaine AD dans votre annuaire AD

Les informations d'identification de l'utilisateur du domaine seront utilisées pour le secret dans AWS Secrets Manager.

Pour créer un utilisateur de domaine AD dans votre annuaire AD
  1. Ouvrez Utilisateurs et ordinateurs Active Directory et sélectionnez le domaine et l'unité d'organisation où vous souhaitez créer votre utilisateur.

  2. Cliquez avec le bouton droit sur l'objet Utilisateurs et choisissez Nouveau, puis Utilisateur.

  3. Saisissez le prénom, le nom de famille et le nom de connexion de l'utilisateur. Cliquez sur Next (Suivant).

  4. Saisissez un mot de passe pour l'utilisateur. Ne sélectionnez pas « L'utilisateur doit modifier le mot de passe lors de sa prochaine connexion ». Ne sélectionnez pas « Le compte est désactivé ». Cliquez sur Next (Suivant).

  5. Cliquez sur OK. Votre nouvel utilisateur apparaîtra sous votre domaine.

Étape 3 : Déléguer le contrôle à l'utilisateur AD

Pour déléguer le contrôle à l'utilisateur du domaine AD dans votre domaine
  1. Ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory et sélectionnez le domaine où vous souhaitez créer votre utilisateur.

  2. Cliquez avec le bouton droit sur l'unité d'organisation que vous avez créée précédemment et choisissez Déléguer le contrôle.

  3. Sur la page Assistant Délégation de contrôle, cliquez sur Suivant.

  4. Dans la section Utilisateurs ou groupes, cliquez sur Ajouter.

  5. Dans la section Sélectionner les utilisateurs, les ordinateurs ou les groupes, entrez l'utilisateur AD que vous avez créé et cliquez sur Vérifier les noms. Si votre vérification de l'utilisateur AD aboutit, cliquez sur OK.

  6. Dans la section Utilisateurs ou groupes, confirmez que votre utilisateur AD a été ajouté et cliquez sur Suivant.

  7. Dans la section Tâches à déléguer, choisissez Créer une tâche personnalisée à déléguer et cliquez sur Suivant.

  8. Dans la section Type d'objet Active Directory :

    1. Choisissez Seulement les objets suivants dans le dossier.

    2. Sélectionnez Objets informatiques.

    3. Sélectionnez Créer les objets sélectionnés dans ce dossier.

    4. Sélectionnez Supprimer les objets sélectionnés dans ce dossier et cliquez sur Suivant.

  9. Dans la section Autorisations :

    1. Gardez l'option Général sélectionnée.

    2. Sélectionnez Écriture validée sur le nom d'hôte DNS.

    3. Sélectionnez Écriture validée sur le nom du principal de service et cliquez sur Suivant.

  10. Pour Fin de l'Assistant Délégation de contrôle, passez en revue et confirmez vos paramètres, puis cliquez sur Terminer.

Étape 4 : Création d'une AWS KMS clé

La clé KMS est utilisée pour chiffrer votre AWS secret.

Pour créer une AWS KMS clé
Note

Pour la clé de chiffrement, n'utilisez pas la clé KMS AWS par défaut. Assurez-vous de créer la AWS KMS clé dans le même AWS compte qui contient l'instance de base de données RDS pour SQL Server que vous souhaitez joindre à votre AD autogéré.

  1. Dans la AWS KMS console, choisissez Create key.

  2. Pour Type de clé, choisissez Symétrique.

  3. Pour Utilisation de la clé, choisissez Chiffrer et déchiffrer.

  4. Pour Options avancées :

    1. Pour Origine des clés, choisissez KMS.

    2. Pour Régionalité, choisissez Clé à région unique et cliquez sur Suivant.

  5. Pour Alias, attribuez un nom à la clé KMS.

  6. (Facultatif) Pour Description, fournissez une description de la clé KMS.

  7. (Facultatif) Pour Balises, spécifiez une balise pour la clé KMS et cliquez sur Suivant.

  8. Pour Administrateurs de clé, spécifiez le nom d'un utilisateur IAM et sélectionnez-le.

  9. Pour Suppression de clé, laissez la case cochée pour Autoriser les administrateurs de clé à supprimer cette clé et cliquez sur Suivant.

  10. Pour Utilisateurs de clé, spécifiez le même utilisateur IAM que celui de l'étape précédente et sélectionnez-le. Cliquez sur Next (Suivant).

  11. Passez en revue la configuration.

  12. Pour Stratégie de clé, ajoutez ce qui suit à la déclaration de stratégie :

    { "Sid": "Allow use of the KMS key on behalf of RDS", "Effect": "Allow", "Principal": { "Service": [ "rds.amazonaws.com" ] }, "Action": "kms:Decrypt", "Resource": "*" }
  13. Cliquez sur Finish.

Étape 5 : Créez un AWS secret

Pour créer un secret
Note

Assurez-vous de créer le secret dans le même AWS compte qui contient l'instance de base de données RDS pour SQL Server que vous souhaitez joindre à votre AD autogéré.

  1. Dans AWS Secrets Manager, choisissez Enregistrer un nouveau secret.

  2. Pour Secret type (Type de secret), choisissez Other type of secret (Autre type de secret).

  3. Pour Paires clé/valeur, ajoutez vos deux clés :

    1. Pour la première clé, entrez CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Pour la valeur de la première clé, saisissez le nom de l'utilisateur AD que vous avez créé sur votre domaine lors d'une étape précédente.

    3. Pour la deuxième clé, entrez CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.

  4. Pour Clé de chiffrement, saisissez la clé KMS que vous avez créée à une étape précédente et cliquez sur Suivant.

  5. Dans Nom du secret, saisissez un nom descriptif qui vous aidera à rechercher votre secret ultérieurement.

  6. (Facultatif) Pour Description, saisissez une description du nom du secret.

  7. Pour Autorisation des ressources, cliquez sur Modifier.

  8. Ajoutez la politique suivante à la politique d'autorisation :

    Note

    Nous vous recommandons d'utiliser les conditions aws:sourceAccount et aws:sourceArn dans la politique pour éviter le problème de l’adjoint confus. Utilisez votre Compte AWS for aws:sourceAccount et l'ARN de votre instance de base de données RDS pour SQL Server pouraws:sourceArn. Pour plus d’informations, consultez Prévention des problèmes d'adjoint confus entre services.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:sourceAccount": "123456789012" }, "ArnLike": { "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*" } } } ] }
  9. Cliquez sur Enregistrer, puis sur Suivant.

  10. Pour Configurer les paramètres de rotation, conservez les valeurs par défaut et choisissez Suivant.

  11. Passez en revue les paramètres du secret et cliquez sur Stocker.

  12. Choisissez le secret que vous avez créé et copiez la valeur de l'ARN du secret. Il sera utilisé à l'étape suivante pour configurer Active Directory autogéré.

Étape 6 : Créer ou modifier une instance de base de données SQL Server

Vous pouvez utiliser la console, l'interface de ligne de commande ou l'API RDS pour associer une instance de base de données RDS for SQL Server à un domaine AD autogéré. Vous pouvez effectuer cette opération de différentes manières :

Lorsque vous utilisez le AWS CLI, les paramètres suivants sont requis pour que l'instance de base de données puisse utiliser le domaine Active Directory autogéré que vous avez créé :

  • Pour le paramètre --domain-fqdn, utilisez le nom de domaine complet (FQDN) de votre annuaire Active Directory autogéré.

  • Pour le paramètre --domain-ou, utilisez l'unité d'organisation que vous avez créée dans votre annuaire AD autogéré.

  • Pour le paramètre --domain-auth-secret-arn, utilisez la valeur de l'ARN du secret que vous avez créé dans une étape précédente.

  • Pour le paramètre --domain-dns-ips, utilisez les adresses IPv4 principale et secondaire des serveurs DNS pour votre annuaire AD autogéré. Si vous ne possédez pas d'adresse IP de serveur DNS secondaire, entrez deux fois l'adresse IP principale.

Les exemples de commandes CLI suivants montrent comment créer, modifier et supprimer une instance de base de données RDS for SQL Server avec un domaine AD autogéré.

Important

Si vous modifiez une instance de base de données pour la joindre à un domaine AD autogéré ou pour l'en supprimer, un redémarrage de l'instance de base de données est requis pour que la modification prenne effet. Vous pouvez choisir d'appliquer les modifications immédiatement ou d'attendre la prochaine fenêtre de maintenance. Le choix de l'option Appliquer immédiatement entraînera un temps d'arrêt pour l'instance de base de données mono-AZ. Une instance de base de données multi-AZ effectuera un basculement avant de terminer le redémarrage. Pour plus d’informations, consultez Paramètre des modifications du calendrier.

La commande CLI suivante crée une nouvelle instance de base de données RDS for SQL Server et la joint à un domaine AD autogéré.

Pour LinuxmacOS, ou Unix :

aws rds create-db-instance \ --db-instance-identifier my-DB-instance \ --db-instance-class db.m5.xlarge \ --allocated-storage 50 \ --engine sqlserver-se \ --engine-version 15.00.4043.16.v1 \ --license-model license-included \ --master-username my-master-username \ --master-user-password my-master-password \ --domain-fqdn my_AD_domain.my_AD.my_domain \ --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \ --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ --domain-dns-ips "10.11.12.13" "10.11.12.14"

Dans Windows :

aws rds create-db-instance ^ --db-instance-identifier my-DB-instance ^ --db-instance-class db.m5.xlarge ^ --allocated-storage 50 ^ --engine sqlserver-se ^ --engine-version 15.00.4043.16.v1 ^ --license-model license-included ^ --master-username my-master-username ^ --master-user-password my-master-password ^ --domain-fqdn my-AD-test.my-AD.mydomain ^ --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^ --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^ --domain-dns-ips "10.11.12.13" "10.11.12.14"

La commande CLI suivante modifie une instance de base de données RDS for SQL Server existante afin d'utiliser un domaine Active Directory autogéré.

Pour LinuxmacOS, ou Unix :

aws rds modify-db-instance \ --db-instance-identifier my-DB-instance \ --domain-fqdn my_AD_domain.my_AD.my_domain \ --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \ --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ --domain-dns-ips "10.11.12.13" "10.11.12.14"

Dans Windows :

aws rds modify-db-instance ^ --db-instance-identifier my-DBinstance ^ --domain-fqdn my_AD_domain.my_AD.my_domain ^ --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^ --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ --domain-dns-ips "10.11.12.13" "10.11.12.14"

La commande CLI suivante supprime une instance de base de données RDS for SQL Server d'un domaine Active Directory autogéré.

Pour LinuxmacOS, ou Unix :

aws rds modify-db-instance \ --db-instance-identifier my-DB-instance \ --disable-domain

Dans Windows :

aws rds modify-db-instance ^ --db-instance-identifier my-DB-instance ^ --disable-domain

Étape 7 : Créer des connexions SQL Server pour l'authentification Windows

Utilisez les informations d'identification de l'utilisateur principal Amazon RDS pour vous connecter à l'instance de base de données SQL Server de la même manière qu'à n'importe quelle instance de base de données. Étant donné que l'instance de base de données est jointe au domaine AD autogéré, vous pouvez provisionner des connexions et des utilisateurs SQL Server. Pour ce faire, utilisez l'utilitaire Utilisateurs et groupes AD de votre domaine AD autogéré. Les autorisations pour la base de données sont gérées via des autorisations SQL Server standard accordées et révoquées en fonction des connexions Windows.

Pour qu'un utilisateur AD autogéré puisse s'authentifier à SQL Server, une connexion Windows SQL Server doit exister pour l'utilisateur AD autogéré ou un groupe Active Directory autogéré dont l'utilisateur est membre. Un contrôle précis des accès est géré par l'attribution ou la révocation d'autorisations pour ces connexions SQL Server. Un utilisateur AD autogéré qui n'a pas de connexion SQL Server ou qui n'appartient pas à un groupe AD autogéré avec une telle connexion ne peut pas accéder à l'instance de base de données SQL Server.

L'autorisation ALTER ANY LOGIN est requise pour créer une connexion SQL Server à AD autogéré. Si vous n'avez pas créé de connexion avec cette autorisation, connectez vous en tant qu'utilisateur principal de l'instance de base de données à l'aide de l'authentification SQL Server et créez vos connexions SQL Server à AD autogéré dans le contexte de l'utilisateur principal.

Vous pouvez exécuter une commande DDL (Data Definition Language) telle que la suivante afin de créer une connexion SQL Server pour un utilisateur ou un groupe AD autogéré.

Note

Spécifiez les utilisateurs et les groupes à l'aide du nom de connexion antérieur à Windows 2000 au format my_AD_domain\my_AD_domain_user. Vous ne pouvez pas utiliser un nom d'utilisateur principal (UPN) au format my_AD_domain_user@my_AD_domain.

USE [master] GO CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english]; GO

Pour plus d'informations, consultez CREATE LOGIN (Transact-SQL) dans la documentation de Microsoft Developer Network.

Les utilisateurs (personnes et applications) de votre domaine peuvent désormais se connecter à l'instance RDS for SQL Server à partir d'un ordinateur client joint au domaine AD autogéré à l'aide de l'authentification Windows.

Gestion d'une instance de base de données dans un domaine Active Directory autogéré

Vous pouvez utiliser la console ou l'API Amazon RDS pour gérer votre instance de base de données et sa relation avec votre domaine AD autogéré. AWS CLI Par exemple, vous pouvez déplacer l'instance de base de données dans, hors ou entre des domaines.

Par exemple, l'API Amazon RDS vous permet d'effectuer les actions suivantes :

  • Pour tenter à nouveau une jointure à un domaine autogéré en cas d'échec d'appartenance, utilisez l'opération d'API ModifyDBInstance et spécifiez le même jeu de paramètres :

    • --domain-fqdn

    • --domain-dns-ips

    • --domain-ou

    • --domain-auth-secret-arn

  • Pour supprimer une instance de base de données d'un domaine autogéré, utilisez l'opération d'API ModifyDBInstance et spécifiez --disable-domain pour le paramètre de domaine.

  • Pour déplacer une instance de base de données d'un domaine autogéré à un autre, utilisez l'opération d'API ModifyDBInstance et spécifiez les paramètres de domaine pour le nouveau domaine :

    • --domain-fqdn

    • --domain-dns-ips

    • --domain-ou

    • --domain-auth-secret-arn

  • Pour répertorier l'appartenance au domaine AD autogéré pour chaque instance de base de données, utilisez l'opération d'API DescribeDBInstances.

Comprendre l'appartenance à un domaine Active Directory autogéré

Après la création ou la modification de votre instance de base de données, l'instance devient un membre du domaine AD autogéré. La AWS console indique l'état de l'appartenance au domaine Active Directory autogéré pour l'instance de base de données. Le statut de l'instance de base de données peut avoir les valeurs suivantes :

  • joined : l'instance est membre du domaine AD.

  • joining : l'instance est en train de devenir membre du domaine AD.

  • pending-join – L'appartenance de l'instance est en attente.

  • pending-maintenance-join— AWS tentera de faire de l'instance un membre du domaine AD lors de la prochaine fenêtre de maintenance planifiée.

  • pending-removal : la suppression de l'instance du domaine AD est en attente.

  • pending-maintenance-removal— AWS tentera de supprimer l'instance du domaine AD lors de la prochaine fenêtre de maintenance planifiée.

  • failed : un problème de configuration a empêché de joindre l'instance au domaine AD. Vérifiez et corrigez votre configuration avant d'émettre à nouveau la commande de modification de l'instance.

  • removing : la suppression de l'instance du domaine AD autogéré est en cours.

Une demande pour devenir membre d'un domaine AD autogéré peut échouer à cause d'un problème de connectivité réseau. Par exemple, vous pouvez créer une instance de base de données ou modifier une instance existante et faire échouer la tentative pour que l'instance de base de données devienne membre d'un domaine AD autogéré. Dans ce cas, émettez à nouveau la commande pour créer ou modifier l'instance de base de données, ou modifiez l'instance nouvellement créée pour la joindre au domaine AD autogéré.

Résolution des problèmes liés à Active Directory autogéré

Vous pouvez rencontrer les problèmes suivants lors de la configuration ou de la modification d'un annuaire AD autogéré.

Code d’erreur Description Causes courantes Suggestions de dépannage

Erreur 2 / 0x2

Le fichier spécifié est introuvable.

Le format ou l'emplacement de l'unité d'organisation (OU) spécifiée avec le paramètre —domain-ou est non valide. Le compte de service de domaine spécifié via AWS Secrets Manager ne dispose pas des autorisations requises pour rejoindre l'unité d'organisation.

Passez en revue le paramètre —domain-ou. Assurez-vous que le compte de service de domaine dispose des autorisations appropriées pour accéder à l'unité d'organisation. Pour plus d’informations, consultez Configuration de votre compte de service de domaine AD.

Erreur 5 / 0x5

Accès refusé.

Autorisations mal configurées pour le compte de service de domaine, ou le compte d'ordinateur existe déjà dans le domaine.

Passez en revue les autorisations du compte de service de domaine dans le domaine et vérifiez que le compte d'ordinateur RDS n'est pas dupliqué dans le domaine. Vous pouvez vérifier le nom du compte d'ordinateur RDS en exécutant SELECT @@SERVERNAME sur votre instance de base de données RDS for SQL Server. Si vous utilisez un déploiement multi-AZ, essayez un redémarrage avec basculement, puis vérifiez à nouveau que le compte d'ordinateur RDS est actif. Pour plus d’informations, consultez Redémarrage d'une instance de base de données.

Erreur 87 / 0x57

Le paramètre est incorrect.

Le compte de service de domaine spécifié via AWS Secrets Manager ne dispose pas des autorisations appropriées. Le profil utilisateur est peut-être également endommagé.

Passez en revue les exigences relatives au compte de service de domaine. Pour plus d’informations, consultez Configuration de votre compte de service de domaine AD.

Erreur 234 / 0xEA

L'unité d'organisation (OU) spécifiée n'existe pas.

L'unité d'organisation spécifiée avec le paramètre —domain-ou n'existe pas dans votre annuaire AD autogéré.

Vérifiez le paramètre —domain-ou et assurez-vous que l'unité d'organisation spécifiée existe dans votre annuaire AD autogéré.

Erreur 1326 / 0x52E

Le nom d'utilisateur ou le mot de passe est incorrect.

Les informations d'identification du compte de service de domaine fournies dans AWS Secrets Manager contiennent un nom d'utilisateur inconnu ou un mot de passe incorrect. Le compte de domaine peut également être désactivé dans votre annuaire AD autogéré.

Assurez-vous que les informations d'identification fournies dans AWS Secrets Manager sont correctes et que le compte de domaine est activé dans votre Active Directory autogéré.

Erreur 1355 / 0x54B

Le domaine spécifié n'existe pas ou n'a pas pu être contacté.

Le domaine est hors service, les adresses IP DNS spécifiées sont inaccessibles ou le nom FQDN spécifié est inaccessible.

Vérifiez les paramètres —domain-dns-ips et —domain-fqdn pour vous assurer qu'ils sont corrects. Passez en revue la configuration réseau de votre instance de base de données RDS for SQL Server et assurez-vous que votre annuaire AD autogéré est accessible. Pour plus d’informations, consultez Configuration de votre connectivité réseau.

Erreur 1722/0x6BA

Le serveur RPC n'est pas disponible.

Un problème est survenu lors de l'accès au service RPC de votre domaine AD. Il peut s'agir d'un problème de service ou de réseau.

Vérifiez que le service RPC s'exécute sur vos contrôleurs de domaine et que les ports TCP 135 et 49152-65535 sont accessibles dans votre domaine à partir de votre instance de base de données RDS for SQL Server.

Erreur 2224 / 0x8B0

Le compte d'utilisateur existe déjà.

Le compte d'ordinateur qui tente d'être ajouté à votre annuaire AD autogéré existe déjà.

Identifiez le compte d'ordinateur en exécutant SELECT @@SERVERNAME sur votre instance de base de données RDS for SQL Server, puis supprimez-le avec précaution de votre annuaire AD autogéré.

Erreur 2242 / 0x8c2

Le mot de passe de cet utilisateur a expiré.

Le mot de passe du compte de service de domaine spécifié via AWS Secrets Manager a expiré.

Mettez à jour le mot de passe du compte de service de domaine utilisé pour joindre votre instance de base de données RDS for SQL Server à votre annuaire AD autogéré.

Restauration d'une instance de base de données SQL Server, puis ajout de cette instance à un domaine Active Directory autogéré

Vous pouvez restaurer un instantané de base de données ou effectuer une point-in-time restauration (PITR) pour une instance de base de données SQL Server, puis l'ajouter à un domaine Active Directory autogéré. Une fois l'instance de base de données restaurée, modifiez cette instance à l'aide du processus expliqué dans Étape 6 : Créer ou modifier une instance de base de données SQL Server afin d'ajouter l'instance de base de données à un domaine AD autogéré.