本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用具有 Amazon RDS for SQL Server 資料庫執行個體的自我管理 Active Directory
無論您的 AD 託管於何處:企業資料中心、 或其他雲端供應商 AWS EC2,您都可以將 RDS的 for SQL Server 資料庫執行個體直接加入自我管理的 Active Directory (AD) 網域。使用自我管理 AD 時,您可以使用NTLM身分驗證來直接控制 RDS的 for SQL Server 資料庫執行個體上的使用者和服務身分驗證,而無需使用中間網域和樹系信任。當使用者使用加入自我管理 AD 網域RDS的 for SQL Server 資料庫執行個體進行身分驗證時,身分驗證請求會轉送至您指定的自我管理 AD 網域。
主題
區域和版本可用性
Amazon 在所有 NTLM中使用 RDS支援 Self Managed AD for SQL Server AWS 區域。
限制
下列限制適用於 Self Managed AD for SQL Server。
-
NTLM 是唯一支援的身分驗證類型。不支援 Kerberos 身分驗證。如果您需要使用 kerberos 身分驗證,您可以使用 AWS Managed AD 而非自我管理 AD。
-
不支援 Microsoft 分散式交易協調器 (MSDTC) 服務,因為它需要 Kerberos 身分驗證。
-
您的 RDS for SQL Server 資料庫執行個體不使用自我管理 AD 網域的網路時間通訊協定 (NTP) 伺服器。他們改用 AWS NTP服務。
-
SQL 伺服器連結的伺服器必須使用SQL身分驗證來連線至加入自我管理 AD 網域RDS的其他SQL伺服器資料庫執行個體。
-
來自自我管理 AD 網域RDS的 Microsoft 群組政策物件 (GPO) 設定不會套用至SQL伺服器資料庫執行個體。
設定自我管理 Active Directory 的概觀
若要設定RDS適用於SQL伺服器資料庫執行個體的自我管理 AD,請採取下列步驟,在 中更詳細地解釋設定自我管理 Active Directory:
在您的 AD 網域中:
-
建立組織單位 (OU)。
-
建立 AD 網域使用者。
-
將控制權委派給 AD 網域使用者。
從 AWS Management Console 或 API:
-
建立 AWS KMS 金鑰。
-
使用 Secrets Manager 建立 AWS 秘密。
-
建立或修改 RDS for SQL Server 資料庫執行個體,並將其加入自我管理的 AD 網域。
了解自我管理 Active Directory 網域成員資格
在您建立或修改資料庫執行個體之後,該執行個體會成為自我管理 AD 網域的成員。 AWS 主控台會指出資料庫執行個體自我管理 Active Directory 網域成員資格的狀態。資料庫執行個體的狀態可以是下列其中一個:
-
已加入 – 執行個體是 AD 網域的成員。
-
加入中 – 執行個體正處於成為 AD 網域成員的過程中。
-
加入待定 – 執行個體成員資格待定。
-
pending-maintenance-join – AWS 將嘗試在下一個排定的維護時段將執行個體設為 AD 網域的成員。
-
移除待定 – 從 AD 網域移除執行個體待定。
-
pending-maintenance-removal – AWS 將在下一個排定的維護時段嘗試從 AD 網域移除執行個體。
-
失敗 – 組態問題讓執行個體無法加入 AD 網域。請在重新發出執行個體修改命令之前檢查並修正您的組態。
-
移除中 – 正在從自我管理 AD 網域移除執行個體。
因為網路連線問題,所以成為自我管理 AD 網域成員的請求可能失敗。例如,您可以建立一個資料庫執行個體或修改現有執行個體,並嘗試讓資料庫執行個體失敗,以便成為自我管理 AD 網域的成員。在此情況下,請重新發出命令以建立或修改資料庫執行個體,或修改新建立的執行個體以加入自我管理 AD 網域。
還原SQL伺服器資料庫執行個體,然後將其新增至自我管理的 Active Directory 網域
您可以還原資料庫快照或為SQL伺服器資料庫執行個體執行 point-in-time復原 (PITR),然後將其新增至自我管理的 Active Directory 網域。一旦還原了資料庫執行個體,請使用步驟 6:建立或修改SQL伺服器資料庫執行個體中說明的程序來修改執行個體,以將資料庫執行個體新增至自我管理 AD 網域。
