# 网络配置端口规则
<a name="custom-sqlserver-WinAuth.NWConfigPorts"></a>

确保您满足以下网络配置：
+ 在您要在其中创建 RDS Custom for SQL Server 数据库实例的 Amazon VPC 与自托管式 Active Directory 或 AWS Managed Microsoft AD 之间配置了连接。对于自托管式 Active Directory，使用 AWS Direct Connect、AWS VPN、VPC 对等连接或 AWS Transit Gateway 来设置连接。对于 AWS Managed Microsoft AD，使用 VPC 对等连接来设置连接。
+ 确保要在其中创建 RDS Custom for SQL Server 数据库实例的子网的安全组和 VPC 网络 ACL 在端口上允许有下图所示方向的流量。  
![\[Microsoft Active Directory 网络配置端口规则。\]](http://docs.aws.amazon.com/zh_cn/AmazonRDS/latest/UserGuide/images/custom_sqlserver_ActiveDirectory_Requirements_NetworkConfig.png)

  下表确定了每个端口的作用。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/AmazonRDS/latest/UserGuide/custom-sqlserver-WinAuth.NWConfigPorts.html)
+ 通常，域 DNS 服务器位于 AD 域控制器中。您无需配置 VPC DHCP 选项集即可使用此功能。有关更多信息，请参阅《Amazon VPC 用户指南》**中的 [DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。

**重要**  
如果您使用的是 VPC 网络 ACL，则还必须允许动态端口（49152-65535）上有来自 RDS Custom for SQL Server 数据库实例的出站流量。确保这些流量规则也镜像到适用于每个 AD 域控制器、DNS 服务器和 RDS Custom for SQL Server 数据库实例的防火墙上。  
虽然 VPC 安全组要求仅在发起网络流量的方向打开端口，但大多数 Windows 防火墙和 VPC 网络 ACL 要求双向打开端口。