Configuration de votre annuaire AD sur site Configuration de votre connectivité réseau Configuration de votre compte de service de domaine AD LDAPS

Prérequis

Assurez-vous de respecter les exigences suivantes avant de joindre une instance de base de données RDS for SQL Server à votre domaine AD autogéré.

Rubriques

Configuration de votre annuaire AD sur site
Configuration de votre connectivité réseau
Configuration de votre compte de service de domaine AD
Configuration d’une communication sécurisée via LDAPS

Configuration de votre annuaire AD sur site

Assurez-vous de disposer d'un annuaire Microsoft AD sur site ou autogéré auquel vous pouvez joindre l'instance Amazon RDS for SQL Server. Votre annuaire AD sur site doit avoir la configuration suivante :

Si vous avez défini des sites AD, assurez-vous que les sous-réseaux du VPC associé à votre instance de base de données RDS for SQL Server sont définis dans votre site AD. Vérifiez qu'il n'existe aucun conflit entre les sous-réseaux de votre VPC et les sous-réseaux de vos autres sites AD.
Votre contrôleur de domaine AD a un niveau fonctionnel de domaine correspondant à Windows Server 2008 R2 ou supérieur.
Votre nom de domaine AD ne peut pas être au format SLD (Single Label Domain). RDS for SQL Server ne prend pas en charge les domaines SLD.
Le nom de domaine complet (FQDN) de votre annuaire AD ne peut pas dépasser 47 caractères.

Configuration de votre connectivité réseau

Assurez-vous de respecter les configurations réseau suivantes :

Configurez la connectivité entre le VPC Amazon sur lequel vous souhaitez créer l’instance de base de données RDS for SQL Server et votre AD autogéré. Vous pouvez configurer la connectivité à l'aide de AWS Direct Connect, d' AWS un VPN, d'un peering VPC ou de Transit Gateway AWS .

Pour les groupes de sécurité VPC, le groupe de sécurité par défaut de votre VPC Amazon par défaut est déjà ajouté à votre instance de base de données RDS for SQL Server dans la console. Assurez-vous que le groupe de sécurité et le réseau VPC du ou ACLs des sous-réseaux sur lesquels vous créez votre instance de base de données RDS pour SQL Server autorisent le trafic sur les ports et dans les directions indiquées dans le schéma suivant.

Règles des ports de configuration réseau d’AD autogéré.

Le tableau suivant identifie le rôle de chaque port.

Protocole	Ports	Role
TCP/UDP	53	Système de nom de domaine (DNS)
TCP/UDP	88	Authentification Kerberos
TCP/UDP	464	Changement/définition de mot de passe
TCP/UDP	389	Protocole LDAP (Lightweight Directory Access Protocol)
TCP	135	Distributed Computing Environment / End Point Mapper (DCE / EPMAP)
TCP	445	Partage de fichiers SMB avec les services d'annuaire
TCP	636	Protocole LDAPS TLS/SSL (Lightweight Directory Access Protocol over)
TCP	49152 - 65535	Ports éphémères pour RPC

En général, les serveurs DNS du domaine se trouvent dans les contrôleurs de domaine AD. Vous n'avez pas besoin de configurer l'option DHCP du VPC pour utiliser cette fonctionnalité. Pour plus d’informations, consultez Jeux d’options DHCP dans le Guide de l’utilisateur Amazon VPC.

Important

Si vous utilisez un réseau VPC ACLs, vous devez également autoriser le trafic sortant sur les ports dynamiques (49152-65535) depuis votre instance de base de données RDS pour SQL Server. Assurez-vous que ces règles de trafic sont également mises en miroir sur les pare-feu qui s'appliquent à chacun des contrôleurs de domaine AD, aux serveurs DNS et aux instances de base de données RDS for SQL Server.

Alors que les groupes de sécurité VPC nécessitent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux Windows et des réseaux VPC ACLs nécessitent que les ports soient ouverts dans les deux sens.

Configuration de votre compte de service de domaine AD

Assurez-vous de respecter les exigences suivantes pour un compte de service de domaine AD :

Assurez-vous de disposer d’un compte de service dans votre domaine AD autogéré avec des autorisations déléguées pour joindre des ordinateurs au domaine. Un compte de service de domaine est un compte utilisateur de votre annuaire AD autogéré auquel l'autorisation d'effectuer certaines tâches a été déléguée.
Les autorisations suivantes doivent être déléguées au compte de service de domaine dans l’unité organisationnelle (UO) à laquelle vous joignez votre instance de base de données RDS for SQL Server :
- Capacité validée d'écrire sur le nom d'hôte DNS
- Capacité validée d'écrire dans le nom du principal de service
- Création et suppression d’objets informatiques
Il s’agit de l’ensemble minimal d’autorisations requises pour joindre des objets informatiques à votre AD autogéré. Pour plus d'informations, consultez Erreurs lors d'une tentative visant à joindre des ordinateurs à un domaine dans la documentation de Microsoft Windows Server.
Pour utiliser l'authentification Kerberos, vous devez fournir des noms principaux de service (SPNs) et des autorisations DNS à votre compte de service de domaine AD :
- SPN validé en écriture : déléguez l’autorisation de SPN validé en écriture au compte de service de domaine AD dans l’unité organisationnelle où vous devez rejoindre l’instance de base de données RDS for SQL Server. Ces autorisations sont différentes du SPN validé en écriture validé.
- Autorisations DNS : accordez les autorisations suivantes au compte de service de domaine AD dans le Gestionnaire DNS au niveau du serveur pour votre contrôleur de domaine :
  - Contenu de la liste
  - Lire toutes les propriétés
  - Autorisations de lecture

Important

Ne déplacez pas les objets informatiques créés par RDS for SQL Server dans l’unité organisationnelle après la création de votre instance de base de données. Le déplacement des objets associés entraînera une mauvaise configuration de votre instance de base de données RDS for SQL Server. Si vous devez déplacer les objets informatiques créés par Amazon RDS, utilisez l'opération Modify DBInstance RDS API pour modifier les paramètres du domaine avec l'emplacement souhaité pour les objets informatiques.

Configuration d’une communication sécurisée via LDAPS

La communication via LDAPS est recommandée pour que RDS puisse interroger des objets informatiques et y accéder, ainsi que SPNs dans le contrôleur de domaine. Pour utiliser le protocole LDAP sécurisé, utilisez un certificat SSL valide sur votre contrôleur de domaine qui répond aux exigences du protocole LDAPS sécurisé. Si aucun certificat SSL valide n’existe sur le contrôleur de domaine, l’instance de base de données RDS for SQL Server utilise par défaut le protocole LDAP. Pour plus d’informations sur la validité des certificats, consultez Exigences relatives à un certificat LDAPS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation d’Active Directory autogéré

Configuration d’Active Directory autogéré