# 使用 Directory Service 配置 Microsoft Active Directory
AWS Managed Microsoft AD 在 AWS 中创建完全托管的 Microsoft Active Directory,由 Windows Server 2019 提供支持并在 2012 R2 林和域功能级别运行。Directory Service 在 Amazon VPC 的不同子网中创建域控制器,使您的目录即使在出现故障时也具有很高的可用性。
要使用 AWS Managed Microsoft AD 创建目录,请参阅《AWS Directory Service 管理指南》**中的 [AWS Managed Microsoft AD 入门](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)。
## 配置您的网络连接
### 在目录和数据库实例之间启用跨 VPC 流量
要在同一 VPC 中查找目录和数据库实例,请跳过该步骤,然后转到[网络配置端口规则](custom-sqlserver-WinAuth.NWConfigPorts.md)中的下一步。
要在不同的 VPC 中查找目录和数据库实例,请使用 VPC 对等连接或 AWS Transit Gateway 配置跨 VPC 流量。有关使用 VPC 对等连接的更多信息,请参阅《Amazon VPC 对等连接指南》**中的[什么是 VPC 对等连接?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)和《Amazon VPC Transit Gateways》**中的[什么是 AWS Transit Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)。
**使用 VPC 对等连接启用跨 VPC 流量**
1. 设置适合的 VPC 路由规则,以便确保网络流量可以双向流动。
1. 允许数据库实例的安全组从目录的安全组接收入站流量。有关更多信息,请参阅 [网络配置端口规则](custom-sqlserver-WinAuth.NWConfigPorts.md)。
1. 网络访问控制列表(ACL)不得阻止流量。
如果该目录由不同的 AWS 账户拥有,则您必须共享该目录。要与 AWS 账户共享 RDS Custom for SQL Server 实例所在的目录,请按照《AWS Directory Service 管理指南》**中的[教程:共享 AWS Managed Microsoft AD 以便无缝地加入 EC2 域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html)操作。
**在 AWS 账户之间共享目录**
1. 使用数据库实例的账户登录 Directory Service 控制台,并检查在处理之前域是否具有 `SHARED` 状态。
1. 使用数据库实例的账户登录 Directory Service 控制台后,记下**目录 ID** 值。您可以使用此 ID 将数据库实例加入域。
## 配置 DNS 解析
当您使用 AWS Managed Microsoft AD 创建目录时,Directory Service 将代表您创建两个域控制器并添加 DNS 服务。
如果您已有 AWS Managed Microsoft AD 或计划在 VPC 中启动一个(除 RDS Custom for SQL Server 数据库实例之外),请将 VPC DNS 解析程序配置为使用 Route 53 出站和解析程序规则转发对某些域的查询,请参阅[配置 Route 53 Resolver 出站端点以解析 DNS 记录](https://repost.aws/knowledge-center/route53-resolve-with-outbound-endpoint)。