Amazon RDS for SQL Server DB インスタンスによるセルフマネージド Active Directory の操作
Amazon RDS for SQL Server は、データセンター内、Amazon EC2、またはその他のクラウドプロバイダーなど、AD がホストされている場所に関係なく、セルフマネージド Active Directory (AD) ドメインとシームレスに統合されます。この統合により、NTLM または Kerberos プロトコルを介した直接ユーザー認証が可能になり、複雑な中間ドメインやフォレストの信頼性が不要になります。RDS SQL Server DB インスタンスに接続すると、認証リクエストは指定された AD ドメインに安全に転送され、Amazon RDS のマネージドデータベース機能を活用しながら、既存の ID 管理構造が維持されます。
トピック
利用可能なリージョンとバージョン
Amazon RDS は、すべての商用 AWS リージョンおよび AWS GovCloud (US) Regions で NTLM を使用するセルフマネージド AD for SQL Server をサポートしています。
考慮事項
RDS for SQL Server DB インスタンスをセルフマネージド AD に追加するときは、次の点を考慮してください。
-
DB インスタンスは、AD ドメインのタイムサーバーではなく、AWS の NTP サービスと同期します。AD ドメイン内のリンクされた SQL Server インスタンス間のデータベース接続の場合、SQL 認証のみ実行でき、Windows 認証は実行できません。
-
セルフマネージド AD ドメインのグループポリシーオブジェクト設定は RDS for SQL Server インスタンスには伝播されません。
セルフマネージド Active Directory ドメインメンバーシップについて
AD の詳細を指定しながら DB インスタンスを作成または変更した後、そのインスタンスはセルフマネージド AD ドメインのメンバーになります。AWS コンソールは、DB インスタンスについて、セルフマネージド Active Directory ドメインメンバーシップのステータスを示します。DB インスタンスのステータスは、以下のいずれかです。
-
joined – インスタンスは AD ドメインのメンバーです。
-
Joining – インスタンスは、AD ドメインのメンバーになる途中です。
-
pending-join (参加保留中) – インスタンスのメンバーシップは保留中です。
-
pending-maintenance-join – AWS は、次に予定されているメンテナンスウィンドウ中に、インスタンスを AD ドメインのメンバーにできるよう試みます。
-
pending-removal – AD ドメインからのインスタンスの削除は保留中です。
-
pending-maintenance-removal – AWS は、次に予定されているメンテナンスウィンドウ中に、AD ドメインからのインスタンスの削除を試みます。
-
failed – 設定の問題により、インスタンスは AD ドメインに参加できませんでした。インスタンスの変更コマンドを再発行する前に、設定を確認して修正してください。
-
removing – インスタンスをセルフマネージド AD ドメインから削除しています。
重要
セルフマネージド AD ドメインのメンバーになるリクエストは、ネットワーク接続の問題が原因で失敗する場合があります。例えば、DB インスタンスを作成したか、既存のインスタンスを変更したが、DB インスタンスをセルフマネージド AD ドメインのメンバーにする試みが失敗することがあります。この場合、コマンドを再発行して DB インスタンスを作成または変更するか、新しく作成されたインスタンスを変更して、セルフマネージド AD ドメインに参加させます。
SQL Server DB インスタンスを復元してからセルフマネージド Active Directory ドメインに追加する
SQL Server DB インスタンスの DB スナップショットまたはポイントインタイムリカバリ (PITR) を復元して、セルフマネージド Active Directory ドメインに追加できます。DB インスタンスが復元されたら、「ステップ 1: SQL Server DB インスタンスを作成または変更する」で説明している手順に従ってインスタンスを変更し、DB インスタンスをセルフマネージド AD ドメインに追加します。
