Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bergabung dengan instans DB Anda ke Active Directory yang dikelola sendiri
Untuk menggabungkan instans RDS for SQL Server DB ke AD yang dikelola sendiri, ikuti langkah-langkah berikut:
## Langkah 1: Membuat atau memodifikasi instance SQL Server DB
Anda dapat menggunakan konsol, CLI, atau API RDS untuk SQL Server dengan domain AD yang dikelola sendiri. Anda dapat melakukannya dengan salah satu cara berikut:
+ Buat instans DB SQL Server baru menggunakan konsol, perintah CLI [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html), atau operasi API [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) RDS.
Untuk petunjuk, lihat [Membuat instans DB Amazon RDS](USER_CreateDBInstance.md).
+ Ubah instans DB SQL Server yang ada menggunakan konsol, perintah CLI [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html), atau operasi API [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) RDS.
Untuk petunjuk, lihat [Memodifikasi instans DB Amazon RDS](Overview.DBInstance.Modifying.md).
+ Pulihkan SQL Server DB instance dari DB snapshot menggunakan konsol, perintah CLI [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html), atau operasi [RestoreDBInstanceFromDBSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html) RDS API.
Untuk petunjuk, lihat [Memulihkan ke instans DB](USER_RestoreFromSnapshot.md).
+ Kembalikan SQL Server DB instance ke point-in-time menggunakan konsol, perintah CLI [restore-db-instance-to-point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html), atau operasi [RestoreDBInstanceToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) RDS API.
Untuk petunjuk, lihat [Memulihkan instans DB ke waktu yang ditentukan untuk Amazon RDS](USER_PIT.md).
Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan domain AD yang dikelola sendiri yang Anda buat:
+ Untuk `--domain-fqdn` parameternya, gunakan nama domain yang memenuhi syarat (FQDN) dari AD yang dikelola sendiri.
+ Untuk parameter `--domain-ou`, gunakan OU yang Anda buat di AD yang dikelola sendiri.
+ Untuk parameter `--domain-auth-secret-arn`, gunakan nilai **ARN Rahasia** yang Anda buat pada langkah sebelumnya.
+ Untuk parameter `--domain-dns-ips`, gunakan alamat IPv4 primer dan sekunder dari server DNS untuk AD yang dikelola sendiri. Jika Anda tidak memiliki alamat IP server DNS sekunder, masukkan alamat IP primer dua kali.
Contoh perintah CLI berikut menunjukkan cara membuat, memodifikasi, dan menghapus instans DB RDS for SQL Server dengan domain AD yang dikelola sendiri.
**penting**
Jika Anda memodifikasi instans DB untuk menggabungkannya ke atau menghapusnya dari domain AD yang dikelola sendiri, boot ulang instans DB tersebut diperlukan agar modifikasi diterapkan. Anda dapat memilih untuk segera menerapkan perubahan atau menunggu hingga periode pemeliharaan berikutnya. Memilih opsi **Terapkan Segera** akan menyebabkan waktu henti untuk instans DB AZ Tunggal. Instans DB Multi-AZ akan melakukan failover sebelum menyelesaikan boot ulang. Untuk informasi selengkapnya, lihat [Menggunakan pengaturan modifikasi jadwal](USER_ModifyInstance.ApplyImmediately.md).
Perintah CLI berikut membuat RDS baru untuk instans DB SQL Server dan menggabungkannya ke domain AD yang dikelola sendiri.
Untuk Linux, macOS, atau Unix:
```
aws rds create-db-instance \
--db-instance-identifier {{my-DB-instance}} \
--db-instance-class {{db.m5.xlarge}} \
--allocated-storage {{50}} \
--engine {{sqlserver-se}} \
--engine-version {{15.00.4043.16.v1}} \
--license-model {{license-included}} \
--master-username {{my-master-username}} \
--master-user-password {{my-master-password}} \
--domain-fqdn {{my_AD_domain.my_AD.my_domain}} \
--domain-ou {{OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain}} \
--domain-auth-secret-arn {{"arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456"}} \
--domain-dns-ips {{"10.11.12.13" "10.11.12.14"}}
```
Untuk Windows:
```
aws rds create-db-instance ^
--db-instance-identifier {{my-DB-instance}} ^
--db-instance-class {{db.m5.xlarge}} ^
--allocated-storage {{50}} ^
--engine {{sqlserver-se}} ^
--engine-version {{15.00.4043.16.v1}} ^
--license-model {{license-included}} ^
--master-username {{my-master-username}} ^
--master-user-password {{my-master-password}} ^
--domain-fqdn {{my-AD-test.my-AD.mydomain}} ^
--domain-ou {{OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain}} ^
--domain-auth-secret-arn {{"arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \}} ^
--domain-dns-ips {{"10.11.12.13" "10.11.12.14"}}
```
Perintah CLI berikut memodifikasi RDS yang ada untuk instans SQL Server DB untuk menggunakan domain AD yang dikelola sendiri.
Untuk Linux, macOS, atau Unix:
```
aws rds modify-db-instance \
--db-instance-identifier {{my-DB-instance}} \
--domain-fqdn {{my_AD_domain.my_AD.my_domain}} \
--domain-ou {{OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain}} \
--domain-auth-secret-arn {{"arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456"}} \
--domain-dns-ips {{"10.11.12.13" "10.11.12.14"}}
```
Untuk Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier {{my-DBinstance}} ^
--domain-fqdn {{my_AD_domain.my_AD.my_domain}} ^
--domain-ou {{OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain}} ^
--domain-auth-secret-arn {{"arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456"}} ^
--domain-dns-ips {{"10.11.12.13" "10.11.12.14"}}
```
Perintah CLI berikut menghapus instance RDS untuk SQL Server DB dari domain AD yang dikelola sendiri.
Untuk Linux, macOS, atau Unix:
```
aws rds modify-db-instance \
--db-instance-identifier {{my-DB-instance}} \
--disable-domain
```
Untuk Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier {{my-DB-instance}} ^
--disable-domain
```
## Langkah 2: Menggunakan Kerberos atau Otentikasi NTLM
### Otentikasi NTLM
Setiap instans Amazon RDS DB memiliki titik akhir dan setiap titik akhir memiliki nama DNS dan nomor port untuk instans DB. Untuk menghubungkan instans basis Anda menggunakan aplikasi klien SQL, Anda memerlukan nama dan nomor port DNS untuk instans tersebut. Untuk mengautentikasi menggunakan otentikasi NTLM, Anda harus terhubung ke titik akhir RDS atau titik akhir pendengar jika Anda menggunakan penerapan. Multi-AZ
Selama pemeliharaan database yang direncanakan atau gangguan layanan yang tidak direncanakan, Amazon RDS secara otomatis gagal ke database sekunder terbaru sehingga operasi dapat dilanjutkan dengan cepat tanpa intervensi manual. Contoh primer dan sekunder menggunakan titik akhir yang sama, yang alamat jaringan fisiknya bertransisi ke sekunder sebagai bagian dari proses failover. Anda tidak perlu mengonfigurasi ulang aplikasi Anda saat terjadi failover.
### Autentikasi Kerberos
Kerberos-based otentikasi untuk RDS untuk SQL Server memerlukan koneksi dibuat ke Service Principal Name (SPN) tertentu. Namun, setelah peristiwa failover, aplikasi mungkin tidak mengetahui SPN baru. Untuk mengatasi hal ini, RDS untuk SQL Server menawarkan endpoint. Kerberos-based
Kerberos-based Titik akhir mengikuti format tertentu. Jika titik akhir RDS Anda`{{rds-instance-name}}.{{account-region-hash}}.{{aws-region}}.rds.amazonaws.com`, Kerberos-based titik akhir yang sesuai adalah. `{{rds-instance-name}}.{{account-region-hash}}.{{aws-region}}.awsrds.{{fully qualified domain name (FQDN)}}`
Misalnya, jika titik akhir RDS adalah `ad-test.cocv6zwtircu.us-east-1.rds.amazonaws.com` dan nama domainnya`corp-ad.company.com`, Kerberos-based titik akhir akan menjadi. `ad-test.cocv6zwtircu.us-east-1.awsrds.corp-ad.company.com`
Kerberos-based Titik akhir ini dapat digunakan untuk mengautentikasi dengan instance SQL Server menggunakan Kerberos, bahkan setelah peristiwa failover, karena titik akhir diperbarui secara otomatis untuk menunjuk ke SPN baru dari instance SQL Server utama.
### Menemukan CNAME Anda
Untuk menemukan CNAME Anda, sambungkan ke pengontrol domain Anda dan buka **DNS Manager**. Arahkan ke **Zona Pencarian Maju** dan FQDN Anda.
**Arahkan melalui **awsrds,** aws-region, dan **hash spesifik akun dan wilayah**.**
Jika setelah menghubungkan CNAME dari klien jarak jauh, koneksi NTLM dikembalikan, periksa apakah port yang diperlukan diizinkan.
Untuk memeriksa apakah koneksi Anda menggunakan Kerberos, jalankan kueri berikut:
```
SELECT net_transport, auth_scheme
FROM sys.dm_exec_connections
WHERE session_id = @@SSPID;
```
Jika instans Anda mengembalikan koneksi NTLM saat Anda terhubung ke titik akhir Kerberos, verifikasi konfigurasi jaringan dan konfigurasi pengguna Anda. Lihat [Konfigurasikan konektivitas jaringan Anda](USER_SQLServer_SelfManagedActiveDirectory.Requirements.md#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig).
## Langkah 3: Buat login SQL Server Otentikasi Windows
Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans basis data SQL Server sebagaimana Anda lakukan dengan instans DB lain. Karena instans DB digabungkan ke domain AD yang dikelola sendiri, Anda dapat menyediakan login dan pengguna SQL Server. Anda melakukannya dari utilitas pengguna dan grup AD di domain AD yang dikelola sendiri. Izin basis data dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.
Agar akun layanan domain AD yang dikelola sendiri dapat diautentikasi dengan SQL Server, login SQL Server Windows harus ada untuk akun layanan domain AD yang dikelola sendiri atau grup AD yang dikelola sendiri yang menjadi anggotanya. Fine-grained kontrol akses ditangani melalui pemberian dan pencabutan izin pada login SQL Server ini. Akun layanan domain AD yang dikelola sendiri yang tidak memiliki login SQL Server atau milik grup AD yang dikelola sendiri dengan login seperti itu tidak dapat mengakses instans SQL Server DB.
Izin ALTER ANY LOGIN diperlukan untuk membuat login SQL Server AD yang dikelola sendiri. Jika Anda belum membuat login apa pun dengan izin ini, hubungkan sebagai pengguna master instans DB menggunakan Autentikasi SQL Server dan buat login SQL Server AD yang dikelola sendiri dalam konteks pengguna master.
Anda dapat menjalankan perintah bahasa definisi data (DDL) seperti berikut ini untuk membuat login SQL Server untuk akun atau grup layanan domain AD yang dikelola sendiri.
**catatan**
Tentukan pengguna dan grup yang menggunakan nama login pra-Windows 2000 dalam format `{{my_AD_domain}}\{{my_AD_domain_user}}`. Anda tidak dapat menggunakan nama prinsipal pengguna (UPN) dalam format {{`my_AD_domain_user`}}`@`{{`my_AD_domain`}}.
```
USE [master]
GO
CREATE LOGIN [{{my_AD_domain}}\{{my_AD_domain_user}}] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO
```
Untuk informasi selengkapnya, lihat [MEMBUAT LOGIN (Transact-SQL)](https://msdn.microsoft.com/en-us/library/ms189751.aspx) di dokumentasi Jaringan Pengembang Microsoft.
Pengguna (baik manusia maupun aplikasi) dari domain Anda kini dapat terhubung ke instans RDS for SQL Server dari mesin klien yang tergabung dengan domain AD yang dikelola sendiri menggunakan autentikasi Windows.