Voraussetzungen - Amazon Relational Database Service
Konfigurieren Ihres On-Premises-ADKonfigurieren Ihrer NetzwerkkonnektivitätKonfigurieren Ihres AD-Domain-ServicekontosLAPS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie eine RDS-für-SQL-Server-DB-Instance Ihrer selbstverwalteten AD-Domain hinzufügen.

Konfigurieren Ihres On-Premises-AD

Stellen Sie sicher, dass Sie über ein On-Premises-AD oder ein anderes selbstverwaltetes Microsoft-AD verfügen, der Sie die Amazon-RDS-für-SQL- Server-Instance hinzufügen können. Ihr On-Premises-AD sollte folgende Konfiguration aufweisen:

  • Wenn Sie AD-Standorte definiert haben, stellen Sie sicher, dass die Subnetze in der VPC, die Ihrer DB-Instance von RDS für SQL Server zugeordnet sind, an Ihrem AD-Standort definiert sind. Vergewissern Sie sich, dass keine Konflikte zwischen den Subnetzen in Ihrer VPC und den Subnetzen an Ihren anderen AD-Standorten bestehen.

  • Ihr AD-Domain-Controller weist die Domain-Funktionsebene Windows Server 2008 R2 oder höher auf.

  • Ihr AD-Domain-Name darf nicht im SLD-Format (Single Label Domain) vorliegen. RDS für SQL Server unterstützt keine SLD-Domains.

  • Der vollständig qualifizierte Domain-Name (Fully Qualified Domain Name, FQDN) für Ihr AD darf 47 Zeichen nicht überschreiten.

Konfigurieren Ihrer Netzwerkkonnektivität

Stellen Sie sicher, dass die folgenden Netzwerkkonfigurationsanforderungen erfüllt sind:

  • Die Konnektivität zwischen der Amazon VPC, in der Sie die DB-Instance von RDS für SQL Server erstellen möchten, und Ihrem selbstverwalteten AD wurde konfiguriert. Sie können Konnektivität über AWS Direct Connect, AWS VPN, VPC-Peering oder AWS Transit Gateway einrichten.

  • Für VPC-Sicherheitsgruppen wurde die Standardsicherheitsgruppe für Ihre standardmäßige Amazon VPC bereits in der Konsole zu Ihrer RDS-für-SQL-Server-DB-Instance hinzugefügt. Stellen Sie sicher, dass die Sicherheitsgruppe und das VPC-Netzwerk ACLs für die Subnetze, in denen Sie Ihre RDS for SQL Server-DB-Instance erstellen, Datenverkehr auf den Ports und in den Anweisungen zulassen, die in der folgenden Abbildung dargestellt sind.

    Selbstverwaltetes AD – Netzwerkkonfiguration – Portregeln.

    In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.

    Protocol (Protokoll) Ports Rolle
    TCP/UDP 53 Domain Name System (DNS)
    TCP/UDP 88 Kerberos-Authentifizierung
    TCP/UDP 464 Passwort ändern/festlegen
    TCP/UDP 389 Lightweight Directory Access Protocol (LDAP)
    TCP 135 Distributed Computing Environment / End Point Mapper (DCE / EPMAP)
    TCP 445 Directory-Services-SMB-Dateifreigabe
    TCP 636 Lightweight Directory Access Protocol Over TLS/SSL (LDAPS)
    TCP 49152–65535 Flüchtige Ports für RPC

  • Im Allgemeinen befinden sich die Domain-DNS-Server in den AD-Domain-Controllern. Zur Verwendung dieser Funktion müssen Sie den VPC-DHCP-Optionssatz nicht konfigurieren. Weitere Informationen finden Sie unter DHCP-Optionssätze im Amazon-VPC-Benutzerhandbuch.

Wichtig

Wenn Sie ein VPC-Netzwerk verwenden ACLs, müssen Sie auch ausgehenden Datenverkehr auf dynamischen Ports (49152-65535) von Ihrer RDS for SQL Server-DB-Instance zulassen. Stellen Sie sicher, dass sich diese Datenverkehrsregeln auch auf den Firewalls widerspiegeln, die für die einzelnen AD-Domain-Controller, DNS-Server und RDS-für-SQL-Server-DB-Instances gelten.

Während für VPC-Sicherheitsgruppen Ports nur in der Richtung geöffnet werden müssen, in der der Netzwerkverkehr initiiert wird, ACLs erfordern die meisten Windows-Firewalls und VPC-Netzwerke, dass Ports in beide Richtungen geöffnet sind.

Konfigurieren Ihres AD-Domain-Servicekontos

Stellen Sie sicher, dass die folgenden Anforderungen für ein AD-Domain-Servicekonto erfüllt sind:

  • Stellen Sie sicher, dass Sie in Ihrer selbstverwalteten AD-Domain über ein Domain-Servicekonto mit delegierten Berechtigungen zum Hinzufügen von Computern zu der Domain verfügen. Ein Domain-Servicekonto ist ein Benutzerkonto in Ihrem selbstverwalteten AD, an das die Berechtigung zur Ausführung bestimmter Aufgaben delegiert wurde.

  • An das Domain-Servicekonto müssen in der Organisationseinheit, der Sie Ihre RDS-für-SQL-Server-DB-Instance hinzufügen, die folgenden Berechtigungen delegiert werden:

    • Überprüfte Fähigkeit zum Schreiben in den DNS-Hostnamen

    • Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service

    • Erstellen und Löschen von Computerobjekten

    Dies sind die erforderlichen Mindestberechtigungen, um Computerobjekte zu Ihrem selbstverwalteten AD hinzuzufügen. Weitere Informationen finden Sie unter Fehler beim Versuch, Computer einer Domain hinzuzufügen in der Dokumentation zu Microsoft Windows Server.

  • Um die Kerberos-Authentifizierung zu verwenden, müssen Sie Ihrem AD-Domänendienstkonto Service Principal Names (SPNs) und DNS-Berechtigungen zuweisen:

    • SPN schreiben: Delegieren Sie die Berechtigung SPN Schreiben an das AD-Domain-Servicekonto in der Organisationseinheit, in der Sie der DB-Instance von RDS für SQL Server beitreten müssen. Diese Berechtigungen unterscheiden sich von validierten SPN-Schreibvorgängen.

    • DNS-Berechtigungen: Geben Sie die folgenden Berechtigungen für das AD-Domain-Servicekonto im DNS-Manager auf Serverebene für Ihren Domain-Controller ein:

      • Inhalt auflisten

      • Alle Eigenschaften lesen

      • Berechtigungen lesen

Wichtig

Verschieben Sie keine Computerobjekte, die RDS für SQL Server in der Organisationseinheit erstellt, nachdem Ihre DB-Instance erstellt wurde. Wenn Sie die zugehörigen Objekte verschieben, wird Ihre RDS-für-SQL-Server-DB-Instance falsch konfiguriert. Wenn Sie die von Amazon RDS erstellten Computerobjekte verschieben müssen, verwenden Sie den Vorgang Modify DBInstance RDS API, um die Domänenparameter mit dem gewünschten Speicherort der Computerobjekte zu ändern.

Konfigurieren der sicheren Kommunikation über LDAPS

Die Kommunikation über LDAPS wird für RDS zur Abfrage und zum Zugriff auf Computerobjekte sowie SPNs im Domänencontroller empfohlen. Um sicheres LDAP zu nutzen, verwenden Sie ein gültiges SSL-Zertifikat auf Ihrem Domain-Controller, das die Anforderungen für sicheres LDAPS erfüllt. Wenn auf dem Domain-Controller kein gültiges SSL-Zertifikat vorhanden ist, verwendet die DB-Instance von RDS für SQL Server standardmäßig LDAP. Weitere Informationen zur Gültigkeit von Zertifikaten finden Sie unter Requirements for an LDAPS certificate.