将自托管式 Active Directory 用于 Amazon RDS for SQL Server 数据库实例
无论您的 AD 托管在数据中心、Amazon EC2 上还是其他云提供商处,Amazon RDS for SQL Server 都可与您的自托管式 Active Directory(AD)域无缝集成。这种集成支持通过 NTLM 或 Kerberos 协议直接进行用户身份验证,无需复杂的中间域或林信任。当您连接到 RDS SQL Server 数据库实例时,身份验证请求会安全地转发到您指定的 AD 域,从而在利用 Amazon RDS 托管数据库功能的同时保持现有的身份管理结构。
主题
区域和版本可用性
Amazon RDS 在所有商业 AWS 区域和 AWS GovCloud (US) Regions中都支持通过自托管式 AD 使用 NTLM 控制 SQL Server 的身份验证。
注意事项
将 RDS for SQL Server 数据库实例添加到自托管式 AD 时,请注意以下几点:
-
您的数据库实例与 AWS 的 NTP 服务同步,而不是与 AD 域的时间服务器同步。对于 AD 域内链接 SQL Server 实例之间的数据库连接,您只能进行 SQL 身份验证,而不能进行 Windows 身份验证。
-
来自自托管式 AD 域的组策略对象设置不会传播到 RDS for SQL Server 实例。
了解自托管式 Active Directory 域成员资格
在创建或修改数据库实例并指定 AD 详细信息后,实例将成为自托管式 AD 域的成员。AWS 控制台将指示数据库实例的自托管式 Active Directory 域成员资格的状态。数据库实例的状态可以是以下状态之一:
-
已加入 – 实例是 AD 域的成员。
-
正在加入 – 实例正处于成为 AD 域成员的过程中。
-
待联接 – 实例成员资格待定。
-
pending-maintenance-join – AWS 将在下一计划维护时段期间尝试使实例成为 AD 域成员。
-
待删除 – 等待从 AD 域中删除实例。
-
pending-maintenance-removal – AWS将在下一计划维护时段期间尝试从 AD 域中删除实例。
-
失败 – 配置问题阻碍实例加入 AD 域。在重新发出实例修改命令之前检查并修复配置。
-
正在删除 – 正从自托管式 AD 域中删除实例。
重要
成为自托管式 AD 域成员的请求可能因网络连接问题而失败。例如,您可能会创建数据库实例或修改现有实例,并且尝试使数据库实例成为某个自托管式 AD 域的成员会失败。在这种情况下,您重新发出命令来创建或修改数据库实例,或者修改新创建的实例来加入自托管式 AD 域。
还原 SQL Server 数据库实例,然后将其添加到自托管式 Active Directory 域
您可以还原数据库快照或对 SQL Server 数据库实例执行时间点恢复(PITR),然后将其添加到自托管式 Active Directory 域。还原数据库实例后,使用步骤 1:创建或修改 SQL Server 数据库实例中介绍的过程修改此实例,以将数据库实例添加到自托管式 AD 域。
