Trabalhar com um Active Directory autogerenciado com uma instância de banco de dados do Amazon RDS para SQL Server

Você pode unir suas instâncias de banco de dados do RDS para SQL Server diretamente ao seu domínio autogerenciado do Active Directory (AD), independentemente de onde seu AD esteja hospedado: em datacenters corporativos, no AWS EC2 ou em outros provedores de nuvem. Com um AD autogerenciado, você usa a autenticação NTLM para controlar diretamente a autenticação de usuários e serviços em suas instâncias de banco de dados do RDS para SQL Server sem usar domínios intermediários e relações de confiança de floresta. Quando os usuários se autenticam em uma instância de banco de dados do RDS para SQL Server associada ao seu domínio de AD autogerenciado, as solicitações de autenticação são encaminhadas para um domínio de AD autogerenciado especificado por você.

Disponibilidade de região e versão

O Amazon RDS oferece suporte a AD autogerenciado para SQL Server usando NTLM em todas as Regiões da AWS.

Requisitos

Verifique se você atendeu aos seguintes requisitos antes de unir uma instância de banco de dados do RDS para SQL Server ao seu domínio de AD autogerenciado.

Tópicos

• Configurar um AD on-premises
• Configurar sua conectividade de rede
• Configurar uma conta de serviço do domínio de AD

Configurar um AD on-premises

Você precisa ter um Microsoft AD on-premises ou autogerenciado ao qual possa associar a instância do Amazon RDS para SQL Server. O AD on-premises deve ter a seguinte configuração:

• Se você tiver sites do Active Directory definidos, verifique se as sub-redes na VPC associada à sua instância de banco de dados do RDS para SQL Server estão definidas em seu site do Active Directory. Confirme se não há nenhum conflito entre as sub-redes em sua VPC e as sub-redes em seus outros sites do AD.

• Seu controlador de domínios de AD tem um nível funcional de domínio do Windows Server 2008 R2 ou posterior.

• Seu nome de domínio de AD não pode estar no formato de domínio de rótulo único (SLD). O RDS para SQL Server não oferece suporte a domínios SLD.

• O nome de domínio totalmente qualificado (FQDN) do AD não pode exceder 64 caracteres.

Configurar sua conectividade de rede

Você precisa atender às seguintes configurações de rede:

• Conectividade configurada entre a Amazon VPC na qual deseja criar a instância de banco de dados do RDS para SQL Server e o Active Directory autogerenciado. Você pode configurar a conectividade usando o AWS Direct Connect, o AWS VPN, o emparelhamento de VPC ou o AWS Transit Gateway.

• Para grupos de segurança de VPC, o grupo de segurança padrão para sua Amazon VPC padrão já está adicionado à sua instância de banco de dados do RDS para SQL Server no console. Verifique se o grupo de segurança e as ACLs de rede da VPC para as sub-redes em que você vai criar a instância de banco de dados do RDS para SQL Server permitem tráfego nas portas e nas direções mostradas no diagrama a seguir.

  

  A tabela a seguir identifica o perfil de cada porta.

  Protocolo	Portas	Função
  TCP/UDP	53	Domain Name System (DNS)
  TCP/UDP	88	Autenticação de Kerberos
  TCP/UDP	464	Alterar/definir senha
  TCP/UDP	389	Lightweight Directory Access Protocol (LDAP)
  TCP	135	Distributed Computing Environment/End Point Mapper (DCE/EPMAP)
  TCP	445	Compartilhamento de arquivos de SMB para serviços de diretório
  TCP	636	Lightweight Directory Access Protocol over TLS/SSL (LDAPS)
  TCP	49152 – 65535	Portas efêmeras para RPC

• Em geral, os servidores DNS do domínio estão localizados nos controladores do domínio de AD. Você não precisa configurar o conjunto de opções DHCP da VCP para usar esse atributo. Para obter mais informações, consulte Conjuntos de opções DHCP no Guia do usuário do Amazon VPC.

Importante

Se você estiver usando ACLs de rede de VPC, também deverá permitir tráfego de saída em portas dinâmicas (49152-65535) da sua instância de banco de dados do RDS para SQL Server. Confira se essas regras de tráfego também são refletidas nos firewalls que se aplicam a cada um dos controladores do domínio de AD, servidores DNS e instâncias de banco de dados do RDS para SQL Server.

Embora os grupos de segurança de VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs da rede de VPC exigem que as portas sejam abertas nas duas direções.

Configurar uma conta de serviço do domínio de AD

Verifique se você atendeu aos seguintes requisitos para uma conta de serviço do domínio de AD:

• Confira se você tem uma conta de serviço em seu domínio de AD autogerenciado com permissões delegadas para associar computadores ao domínio. Uma conta de serviço de domínio é uma conta de usuário em seu AD autogerenciado à qual foi delegada permissão para realizar determinadas tarefas.

• É necessário delegar à conta de serviço de domínio as seguintes permissões na unidade organizacional (OU) à qual você está associando a instância de banco de dados do RDS para SQL Server:

  • Capacidade validada para gravar no nome do host DNS

  • Capacidade validada para gravar no nome da entidade principal de serviço

  • Criar e excluir objetos de computador

  Essas permissões representam o conjunto mínimo de permissões necessárias para associar objetos de computador a um Active Directory autogerenciado. Para obter mais informações, consulte Erros ao tentar associar computadores a um domínio na documentação do Microsoft Windows Server.

Importante

Não mova objetos de computador criados pelo RDS para SQL Server na unidade organizacional depois da criação da instância de banco de dados. Mover os objetos associados fará com que sua instância de banco de dados do RDS para SQL Server fique malconfigurada. Se você precisar mover os objetos de computador criados pelo Amazon RDS, use a operação de API ModifyDBInstance do RDS para modificar os parâmetros do domínio com a localização desejada dos objetos de computador.

Limitações

As seguintes limitações se aplicam a um AD autogerenciado para SQL Server.

• NTLM é o único tipo de autenticação compatível. A autenticação Kerberos não é compatível. Se você precisar usar a autenticação Kerberos, poderá usar o AWS Managed AD em vez de um AD autogerenciado.

• O serviço Coordenador de Transações Distribuídas da Microsoft (MSDTC) não é compatível, pois requer autenticação Kerberos.

• Suas instâncias de banco de dados do RDS para SQL Server não usam o servidor de protocolo NTP (Network Time Protocol) do seu domínio de AD autogerenciado. Em vez disso, usam um serviço de NTP da AWS.

• Os servidores vinculados ao SQL Server devem usar a autenticação SQL para se conectar a outras instâncias de banco de dados do RDS para SQL Server associadas ao seu domínio de AD autogerenciado.

• As configurações de Objeto de Política de Grupo (GPO) da Microsoft do seu domínio de AD autogerenciado não são aplicadas a instâncias de banco de dados do RDS para SQL Server.

Visão geral da configuração de um Active Directory autogerenciado

Para configurar um AD autogerenciado para uma instância de banco de dados RDS para SQL Server, siga as etapas a seguir, explicadas com mais detalhes em Configurar um Active Directory autogerenciado:

Em seu domínio de AD:

• Crie uma unidade organizacional (OU).

• Crie um usuário do domínio de AD.

• Delegue controle ao usuário do domínio de AD.

Usando o AWS Management Console ou a API:

• Crie uma chave do AWS KMS.

• Crie um segredo usando o AWS Secrets Manager.

• Crie ou modifique uma instância de banco de dados do RDS para SQL Server e associe-a ao domínio de AD autogerenciado.

Configurar um Active Directory autogerenciado

Para configurar um AD autogerenciado, siga as etapas a seguir.

Tópicos

• Etapa 1: Criar uma unidade organizacional no AD
• Etapa 2: Criar um usuário de domínio em seu AD
• Etapa 3: Delegar controle ao usuário de AD
• Etapa 4: Criar uma chave do AWS KMS
• Etapa 5: Criar um segredo da AWS
• Etapa 6: Criar ou modificar a instância de banco de dados do SQL Server
• Etapa 7: Criar logins do SQL Server de Autenticação do Windows

Etapa 1: Criar uma unidade organizacional no AD

Importante

Recomendamos criar uma OU e uma credencial de serviço dedicadas com escopo para essa OU para todas as contas da AWS que tenham uma instância de banco de dados do RDS para SQL Server associada ao seu domínio de AD autogerenciado. Ao dedicar uma OU e uma credencial de serviço, você pode evitar permissões conflitantes e seguir o princípio de privilégio mínimo.

Como criar uma OU no AD

1. Conecte-se ao seu domínio de AD como administrador do domínio.

2. Abra Usuários e computadores do Active Directory e selecione o domínio em que deseja criar a OU.

3. Clique com o botão direito do mouse no domínio, escolha Novo e selecione Unidade organizacional.

4. Insira um nome para a OU.

5. Mantenha a caixa Proteger o contêiner contra exclusão acidental selecionada.

6. Clique em OK. A nova OU será exibida em seu domínio.

Etapa 2: Criar um usuário de domínio em seu AD

As credenciais do usuário de domínio serão usadas para o segredo no AWS Secrets Manager.

Como criar um usuário de domínio em seu AD

1. Abra Usuários e computadores do Active Directory e selecione o domínio e a OU em que deseja criar o usuário.

2. Clique com o botão direito do mouse no objeto Usuários, escolha Novo e selecione Usuário.

3. Insira um nome, sobrenome e nome de login para o usuário. Clique em Next.

4. Insira uma senha para o usuário. Não selecione a opção “O usuário deve alterar a senha no próximo login”. Não selecione a opção “A conta está desabilitada”. Clique em Next.

5. Clique em OK. O novo usuário será exibido em seu domínio.

Etapa 3: Delegar controle ao usuário de AD

Como delegar controle ao usuário do domínio de AD

1. Abra o snap-in do MMC Usuários e computadores do Active Directory e selecione o domínio em que deseja criar o usuário.

2. Clique com o botão direito do mouse na OU criada anteriormente e escolha Delegar controle.

3. No Assistente de delegação de controle, clique em Próximo.

4. Na seção Usuários ou grupos, clique em Adicionar.

5. Na seção Selecionar usuários, computadores ou grupos, insira o usuário do AD que você criou e clique em Verificar nomes. Se a verificação de usuário do AD for bem-sucedida, clique em OK.

6. Na seção Usuários ou grupos, confirme se seu usuário do AD foi adicionado e clique em Próximo.

7. Na página Tarefas para delegar, selecione Criar uma tarefa personalizada para delegar e escolha Próximo.

8. Na seção Tipo de objeto do Active Directory:

   1. Selecione Somente os objetos a seguir na pasta.

   2. Selecione Objetos do computador.

   3. Selecione Criar objetos selecionados nesta pasta.

   4. Selecione Excluir objetos selecionados nesta pasta e clique em Próximo.

9. Na seção Permissões:

   1. Mantenha a opção Geral selecionada.

   2. Selecione Gravação validada no nome do host DNS.

   3. Selecione Gravação validada no nome da entidade principal de serviço e clique em Próximo.

10. Em Concluir o assistente de delegação de controle, revise e confirme as configurações e clique em Concluir.

Etapa 4: Criar uma chave do AWS KMS

A chave do KMS é usada para criptografar o segredo da AWS.

Para criar uma chave do AWS KMS

nota

Em Chave de criptografia, não use a chave do KMS padrão da AWS. Crie a chave do AWS KMS na mesma conta da AWS que contém a instância de banco de dados do RDS para SQL Server que você deseja associar ao AD autogerenciado.

1. No console do AWS KMS, escolha Criar chave.

2. Em Tipo de chave, escolha Simétrica.

3. Em Uso da chave, escolha Criptografar e descriptografar.

4. Em Advanced options (Opções avançadas):

   1. Em Origem do material de chaves, escolha Externa.

   2. Em Regionalidade, escolha Chave de região única e clique em Próximo.

5. Em Alias, forneça um nome para a chave do KMS.

6. (Opcional) Em Descrição, forneça uma descrição da chave do KMS.

7. (Opcional) Em Etiquetas, forneça uma etiqueta da chave do KMS e clique em Próximo.

8. Em Administradores de chaves, forneça o nome de um usuário do IAM e selecione-o.

9. Em Exclusão de chaves, mantenha a caixa Permitir que administradores de chaves excluam esta chave selecionada e clique em Próximo.

10. Em Usuários de chaves, informe o mesmo usuário do IAM da etapa anterior e selecione-o. Clique em Next.

11. Revise a configuração.

12. Em Política de chave, inclua o seguinte na Instrução da política:

    {
        "Sid": "Allow use of the KMS key on behalf of RDS",
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "rds.amazonaws.com"
            ]
        },
        "Action": "kms:Decrypt",
        "Resource": "*"
    }

13. Clique em Finish (Concluir).

Etapa 5: Criar um segredo da AWS

Para criar um segredo

nota

Crie o segredo na mesma conta da AWS que contém a instância de banco de dados do RDS para SQL Server que você deseja associar ao AD autogerenciado.

1. No AWS Secrets Manager, escolha Armazenar um novo segredo.

2. Em Secret type (Tipo de segredo), escolha Other type of secret (Outro tipo de segredo).

3. Em Pares de chave/valor, adicione suas duas chaves:

   1. Para a primeira chave, insira CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

   2. Para o valor da primeira chave, insira o nome do usuário do AD que você criou no domínio em uma etapa anterior.

   3. Para a segunda chave, insira CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

   4. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.

4. Em Chave de criptografia, insira a chave do KMS que você criou em uma etapa anterior e clique em Próximo.

5. Em Nome do secreto, insira um nome descritivo que ajude você a encontrar o segredo posteriormente.

6. (Opcional) Em Descrição, insira uma descrição para o nome do segredo.

7. Em Permissão de recurso, clique em Editar.

8. Adicione a política a seguir à política de permissões:

   nota

   Recomendamos que você use as condições aws:sourceAccount e aws:sourceArn na política para evitar o problema de representante confuso. Use sua Conta da AWS em aws:sourceAccount e o ARN da instância de banco de dados do RDS para SQL Server em aws:sourceArn. Para ter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.

   {
       "Version": "2012-10-17",
       "Statement":
       [
           {
               "Effect": "Allow",
               "Principal":
               {
                   "Service": "rds.amazonaws.com"
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*",
               "Condition":
               {
                   "StringEquals":
                   {
                       "aws:sourceAccount": "123456789012"
                   },
                   "ArnLike":
                   {
                       "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                   }
               }
           }
       ]
   }

9. Clique em Salvar, depois em Próximo.

10. Em Definir configurações de rotação, mantenha os valores padrão e escolha Próximo.

11. Revise as configurações do segredo e clique em Armazenar.

12. Escolha o segredo que você criou e copie o valor do ARN do segredo. Isso será usado na próxima etapa para configurar o Active Directory autogerenciado.

Etapa 6: Criar ou modificar a instância de banco de dados do SQL Server

Você pode usar o console, a CLI ou a API do RDS para associar uma instância de banco de dados do RDS para SQL Server a um domínio de AD autogerenciado. Você pode fazer isso por meio de uma das seguintes maneiras:

• Crie uma instância de banco de dados do SQL Server usando o console, o comando create-db-instance da CLI ou a operação da API CreateDBInstance do RDS.

  Para obter instruções, consulte Criar uma instância de banco de dados do Amazon RDS.

• Modifique uma instância de banco de dados existente do SQL Server usando o console, o comando modify-db-instance da CLI ou a operação da API ModifyDBInstance do RDS.

  Para obter instruções, consulte Modificar uma instância de banco de dados do Amazon RDS.

• Restaure uma instância de banco de dados do SQL Server de um snapshot de banco de dados usando o console, o comando restore-db-instance-from-db-snapshot da CLI ou a operação da API RestoreDBInstanceFromDBSnapshot do RDS.

  Para obter instruções, consulte Restaurar a partir de um snapshot do de banco de dados.

• Restaure uma instância de banco de dados SQL Server em um determinado momento usando o console, o comando restore-db-instance-to-point-in-time da CLI ou a operação da API RestoreDBInstanceToPointInTime do RDS.

  Para obter instruções, consulte Restauração de uma instância de banco de dados para um tempo especificado.

Quando você usa a AWS CLI, são necessários os seguintes parâmetros para que a instância de banco de dados possa usar o domínio de Active Directory autogerenciado que você criou:

• Para o parâmetro --domain-fqdn, use o nome de domínio totalmente qualificado (FQDN) do seu Active Directory autogerenciado.

• Para o parâmetro --domain-ou, use a OU criada em seu AD autogerenciado.

• Para o parâmetro --domain-auth-secret-arn, use o valor do ARN do segredo criado em uma etapa anterior.

• Para o parâmetro --domain-dns-ips, use os endereços IPv4 primário e secundário dos servidores DNS para seu AD autogerenciado. Se você não tiver um endereço IP de servidor DNS secundário, insira o endereço IP principal duas vezes.

O exemplo a seguir de comandos da CLI mostra como criar, modificar e remover uma instância de banco de dados do RDS para SQL Server com um domínio de AD autogerenciado.

Importante

Se você modificar uma instância de banco de dados para associá-la ou removê-la de um domínio de AD autogerenciado, será necessária uma reinicialização da instância de banco de dados para que a modificação entre em vigor. Você pode optar por aplicar as alterações imediatamente ou esperar até a próxima janela de manutenção. Escolher a opção Aplicar imediatamente causará tempo de inatividade para uma instância de banco de dados single-AZ. Uma instância de banco de dados multi-AZ realizará um failover antes de concluir a reinicialização. Para ter mais informações, consulte Configuração de agendamento de modificações.

O comando da CLI a seguir cria uma instância de banco de dados do RDS para SQL Server e a associa a um domínio de AD autogerenciado.

Para Linux, macOS ou Unix:

aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Para Windows:

aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

O comando da CLI a seguir modifica uma instância de banco de dados do RDS para SQL Server existente para usar um domínio de Active Directory autogerenciado.

Para Linux, macOS ou Unix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Para Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

O comando da CLI a seguir remove uma instância de banco de dados do RDS para SQL Server de um domínio de Active Directory autogerenciado.

Para Linux, macOS ou Unix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain

Para Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain

Etapa 7: Criar logins do SQL Server de Autenticação do Windows

Use as credenciais de usuário mestre do Amazon RDS para se conectar à instância de banco de dados do SQL Server como você faria para qualquer outra instância de banco de dados. Como a instância de banco de dados é associada ao domínio de AD autogerenciado, você pode provisionar logins e usuários do SQL Server. Você faz isso usando o utilitário de usuários e grupos de AD em seu domínio de AD autogerenciado. As permissões de banco de dados são gerenciadas por meio de permissões padrão do SQL Server concedidas e revogadas a esses logins do Windows.

Para que um usuário de AD autogerenciado se autentique com o SQL Server, deve existir um login do Windows SQL Server para o usuário de AD autogerenciado ou um grupo de Active Directory autogerenciado do qual o usuário é membro. O controle de acesso refinado é gerenciado por meio da concessão e revogação de permissões nesses logins do SQL Server. Um usuário de AD autogerenciado que não tem um login do SQL Server ou que pertence a um grupo de AD autogerenciado ao qual um login não consegue obter acesso à instância de banco de dados do SQL Server.

A permissão ALTER ANY LOGIN é necessária para criar um login de AD autogerenciado do SQL Server. Se você ainda não criou logins com essa permissão, conecte-se como o usuário mestre da instância de banco de dados usando a autenticação do SQL Server e crie logins de AD autogerenciado do SQL Server no contexto do usuário principal.

Você pode executar um comando de linguagem de definição de dados (DDL) como o seguinte para criar um login do SQL Server para um usuário ou grupo de AD autogerenciado.

nota

Especifique usuários e grupos que usam o nome de login anterior ao Windows 2000 no formato my_AD_domain\my_AD_domain_user. Não é possível usar um User Principal Name (UPN – Nome de usuário principal) no formato my_AD_domain_user@my_AD_domain.

USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Para obter mais informações, consulte CREATE LOGIN (Transact-SQL) na documentação da Microsoft Developer Network.

Os usuários (humanos e aplicações) do seu domínio agora podem se conectar à instância do RDS para SQL Server por meio de uma máquina cliente associada ao domínio de AD autogerenciado usando a autenticação do Windows.

Gerenciar uma instância de banco de dados em um domínio de Active Directory autogerenciado

É possível usar o console, a AWS CLI ou a API do Amazon RDS para gerenciar a instância de banco de dados e a respectiva relação com o domínio de AD autogerenciado. Por exemplo, é possível mover a instância de banco de dados para dentro, para fora, de e entre os domínios.

Por exemplo, usando a API do Amazon RDS, você pode fazer o seguinte:

• Para tentar novamente uma associação a um domínio de AD autogerenciado em caso de falha, use a operação de API ModifyDBInstance e especifique o mesmo conjunto de parâmetros:

  • --domain-fqdn

  • --domain-dns-ips

  • --domain-ou

  • --domain-auth-secret-arn

• Para remover uma instância de banco de dados de um domínio autogerenciado, use a operação de API ModifyDBInstance e especifique --disable-domain como parâmetro do domínio.

• Para mover uma instância de banco de dados de um domínio autogerenciado para outro, use a operação de API ModifyDBInstance e especifique os parâmetros do novo domínio:

  • --domain-fqdn

  • --domain-dns-ips

  • --domain-ou

  • --domain-auth-secret-arn

• Para listar a associação de cada instância de banco de dados ao domínio de AD autogerenciado, use a operação de API DescribeDBInstances.

Entender a associação a um domínio de Active Directory autogerenciado

Depois de criar ou modificar uma instância de banco de dados, a instância se tornará um membro do domínio de AD autogerenciado. O console da AWS indica o status da associação ao domínio de AD autogerenciado para a instância de banco de dados. O status da instância de banco de dados pode ser um dos seguintes:

• joined: a instância é membro do domínio de AD.

• joining: a instância está em processo de se tornar membro do domínio de AD.

• pending-join – a associação da instância está pendente.

• pending-maintenance-join: a AWS tentará tornar a instância um membro do domínio de AD durante a próxima janela de manutenção agendada.

• pending-removal: a remoção da instância do domínio de AD está pendente.

• pending-maintenance-removal: a AWS tentará remover a instância do domínio de AD durante a próxima janela de manutenção agendada.

• failed: um problema de configuração impediu que a instância se associasse ao domínio de AD. Verifique e corrija sua configuração antes de emitir novamente o comando de modificação da instância.

• removing: a instância está sendo removida do domínio de AD.

Uma solicitação para se tornar um membro de um domínio de AD autogerenciado pode falhar devido a um problema de conectividade de rede. Por exemplo, você pode conseguir criar uma instância de banco de dados ou modificar uma instância existente, mas não conseguir transformar a instância de banco de dados em um membro de um domínio de AD autogerenciado. Nesse caso, execute novamente o comando para criar ou modificar a instância de banco de dados ou modifique a instância recém-criada para associá-la ao domínio de AD autogerenciado.

Solução de problemas de Active Directory autogerenciado

Veja a seguir alguns problemas que você pode encontrar ao configurar ou modificar um AD autogerenciado.

Código de erro	Descrição	Causas comuns	Sugestões de solução de problemas
Erro 2 / 0x2	O sistema não conseguiu encontrar o arquivo especificado.	O formato ou a localização da unidade organizacional (OU) especificada com o parâmetro —domain-ou é inválido. A conta de serviço do domínio especificada por meio do AWS Secrets Manager não tem as permissões necessárias para se associar à OU.	Revise o parâmetro —domain-ou. Certifique-se de que a conta de serviço do domínio tenha as permissões corretas para a OU. Para ter mais informações, consulte Configurar uma conta de serviço do domínio de AD.
Erro 5 / 0x5	Acesso negado.	Permissões configuradas incorretamente para a conta de serviço do domínio, ou a conta de computador já existe no domínio.	Revise as permissões da conta de serviço no domínio e verifique se a conta de computador do RDS não está duplicada no domínio. Você pode verificar o nome da conta de computador do RDS executando SELECT @@SERVERNAME em sua instância de banco de dados do RDS para SQL Server. Se você estiver usando multi-AZ, tente reinicializar com failover, depois verifique a conta de computador do RDS novamente. Para ter mais informações, consulte Reinicializar uma instância de banco de dados .
Erro 87 / 0x57	O parâmetro está incorreto.	A conta de serviço do domínio especificada por meio do AWS Secrets Manager não tem as permissões corretas. O perfil do usuário também pode estar corrompido.	Revise os requisitos da conta de serviço do domínio. Para ter mais informações, consulte Configurar uma conta de serviço do domínio de AD.
Erro 234 / 0xEA	A unidade organizacional (OU) especificada não existe.	A OU especificada com o parâmetro —domain-ou não existe em seu AD autogerenciado.	Revise o parâmetro —domain-ou e verifique se a OU especificada existe em seu AD autogerenciado.
Erro 1326 / 0x52E	O nome de usuário ou a senha estão incorretos.	As credenciais da conta de serviço do domínio fornecidas no AWS Secrets Manager contêm um nome de usuário desconhecido ou uma senha incorreta. A conta de domínio também pode estar desabilitada em seu AD autogerenciado.	Verifique se as credenciais fornecidas no AWS Secrets Manager estão corretas e se a conta de domínio está habilitada no Active Directory autogerenciado.
Erro 1355 / 0x54B	O domínio especificado não existe ou não foi possível estabelecer conexão.	O domínio está inativo, o conjunto especificado de IPs DNS está inacessível ou o FQDN especificado está inacessível.	Revise os parâmetros —domain-dns-ips e —domain-fqdn para garantir que estejam corretos. Revise a configuração de rede da sua instância de banco de dados do RDS para SQL Server e garanta que seu AD autogerenciado esteja acessível. Para ter mais informações, consulte Configurar sua conectividade de rede.
Erro 1722 / 0x6BA	O servidor RPC não está disponível.	Houve um problema ao acessar o serviço RPC do domínio de AD. Isso pode ser devido a um problema de serviço ou rede.	Valide se o serviço RPC está sendo executado nos controladores de domínio e se as portas TCP 135 e 49152-65535 em seu domínio podem ser acessadas por sua instância de banco de dados do RDS para SQL Server.
Erro 2224 / 0x8B0	A conta de usuário já existe.	A conta de computador que está tentando ser adicionada ao AD autogerenciado já existe.	Identifique a conta de computador executando SELECT @@SERVERNAME em sua instância de banco de dados do RDS para SQL Server, depois remova-a cuidadosamente do AD autogerenciado.
Erro 2242 / 0x8c2	A senha deste usuário expirou.	A senha da conta de serviço do domínio especificada por meio do AWS Secrets Manager expirou.	Atualize a senha da conta de serviço do domínio usada para associar a instância de banco de dados do RDS para SQL Server ao seu AD autogerenciado.

Restaurar uma instância de banco de dados do SQL Server e adicioná-la a um domínio de Active Directory autogerenciado

Você pode restaurar um snapshot de banco de dados ou fazer uma recuperação para um ponto no tempo (PITR) de uma instância de banco de dados do SQL Server e adicioná-la a um domínio de Active Directory autogerenciado. Depois que a instância de banco de dados tiver sido restaurada, modifique-a usando o processo explicado em Etapa 6: Criar ou modificar a instância de banco de dados do SQL Server para adicioná-la a um domínio de AD autogerenciado.