Utilizzo di Self Managed Active Directory con un'istanza DB di Amazon RDS for SQL Server - Amazon Relational Database Service
Disponibilità di regioni e versioniLimitazioniPanoramica della configurazione di Active Directory gestito dal clienteInformazioni sull'iscrizione al dominio Active Directory gestito dal clienteRipristino e aggiunta di un'istanza database a un dominio a un dominio Active Directory gestito dal cliente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di Self Managed Active Directory con un'istanza DB di Amazon RDS for SQL Server

Puoi aggiungere le tue istanze DB di RDS for SQL Server direttamente al tuo dominio Active Directory (AD) autogestito, indipendentemente da dove è ospitato il tuo AD: nei data center aziendali AWS EC2, su o con altri provider cloud. Con AD autogestito, utilizzi NTLM l'autenticazione per controllare direttamente l'autenticazione di utenti e servizi sulle istanze di For SQL Server DB senza utilizzare domini intermedi e trust forestali. RDS Quando gli utenti si autenticano con un'istanza RDS for SQL Server DB aggiunta al tuo dominio AD autogestito, le richieste di autenticazione vengono inoltrate a un dominio AD autogestito specificato dall'utente.

Argomenti

Disponibilità di regioni e versioni

Amazon RDS supporta l'utilizzo NTLM completo di Self Managed AD for SQL Server Regioni AWS.

Limitazioni

Le seguenti limitazioni si applicano a Self Managed AD for SQL Server.

  • NTLMè l'unico tipo di autenticazione supportato. L'autenticazione Kerberos non è supportata. Se è necessario utilizzare l'autenticazione Kerberos, è possibile utilizzare AWS Managed AD anziché AD autogestito.

  • Il servizio Microsoft Distributed Transaction Coordinator (MSDTC) non è supportato, in quanto richiede l'autenticazione Kerberos.

  • Le istanze DB di RDS for SQL Server non utilizzano il server Network Time Protocol (NTP) del dominio AD autogestito. Utilizzano invece un AWS NTP servizio.

  • SQLI server collegati al server devono utilizzare SQL l'autenticazione per connettersi ad altre RDS istanze di For SQL Server DB unite al tuo dominio AD autogestito.

  • Le impostazioni di Microsoft Group Policy Object (GPO) del dominio AD autogestito non vengono applicate alle RDS istanze di SQL Server DB.

Panoramica della configurazione di Active Directory gestito dal cliente

Per configurare AD autogestito per un'istanza di RDS for SQL Server DB, procedi nel seguente modo, spiegato più dettagliatamente in: Configurazione di Active Directory gestito dal cliente

Nel dominio AD:

  • Crea un'unità organizzativa (UO).

  • Crea un utente di dominio AD.

  • Delega il controllo all'utente di dominio AD.

Da AWS Management Console oAPI:

  • Crea una AWS KMS chiave.

  • Crea un segreto usando AWS Secrets Manager.

  • Crea o modifica un'istanza di RDS for SQL Server DB e aggiungila al tuo dominio AD autogestito.

Informazioni sull'iscrizione al dominio Active Directory gestito dal cliente

Quando l'istanza database viene creata o modificata, diventa membro del dominio AD gestito dal cliente. La AWS console indica lo stato dell'appartenenza al dominio Active Directory autogestita per l'istanza DB. Lo stato dell'istanza di database può essere uno dei seguenti:

  • Collegato: l'istanza è un membro del dominio AD.

  • Collegamento in corso: l'istanza sta diventando un membro del dominio.

  • pending-join (associazione in sospeso) – L'associazione dell'istanza è in sospeso.

  • pending-maintenance-join— AWS tenterà di rendere l'istanza un membro del dominio AD durante la successiva finestra di manutenzione programmata.

  • In attesa di rimozione: la rimozione dell'istanza dal dominio AD è in sospeso.

  • pending-maintenance-removal— AWS tenterà di rimuovere l'istanza dal dominio AD durante la successiva finestra di manutenzione programmata.

  • Non riuscito: un problema di configurazione ha impedito il collegamento dell'istanza al dominio AD. Verifica e correggi la configurazione prima di eseguire nuovamente il comando di modifica dell'istanza.

  • Rimozione in corso: è in corso la rimozione dell'istanza dal dominio AD gestito dal cliente.

Una richiesta di collegamento a un dominio AD gestito dal cliente potrebbe non riuscire a causa di un problema di connettività di rete. Ad esempio, è possibile che venga creata un'istanza database o modificata un'istanza esistente senza però che questa diventi un membro di un dominio AD gestito dal cliente. In questo caso, devi emettere nuovamente il comando per creare o modificare l'istanza database o modificare l'istanza appena creata per aggiungerla al dominio AD gestito dal cliente.

Ripristino di un'istanza SQL Server DB e successiva aggiunta a un dominio Active Directory autogestito

È possibile ripristinare un'istantanea DB o eseguire point-in-time recovery (PITR) per un'istanza di SQL Server DB e quindi aggiungerla a un dominio Active Directory autogestito. Dopo aver ripristinato l'istanza database, modificala utilizzando il processo illustrato in Passaggio 6: creare o modificare un'istanza di SQL Server DB per aggiungere l'istanza a un dominio Active Directory gestito dal cliente.