本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

設定 RDS Custom for SQL Server 執行個體的 Windows 身分驗證

我們建議為擁有加入 AD 網域之 RDS Custom for SQL Server 資料庫執行個體的任何 AWS 帳戶 建立範圍為該 OU 的專用 OU 和服務憑證。透過指定 OU 和服務登入資料，您可以避免衝突許可，並遵循最低權限原則。

Active Directory 層級群組政策可能與 AWS 自動化和許可衝突。我們建議選取僅適用於您為 RDS Custom for SQL Server 建立之 OU 的 GPO。

以下是 AD 網域服務帳戶的需求：

這些是將電腦物件加入自我管理 AD 和 所需的最低許可集 AWS Managed Microsoft AD。如需詳細資訊，請參閱 Microsoft Windows Server 文件中的錯誤：當被委派控制的非管理員使用者嘗試將電腦加入網域控制站時，存取遭拒。

步驟 1：在您的 AD 中建立組織單位 (OU)

使用下列步驟在您的 AD 中建立組織單位：

對於 AWS Managed Microsoft AD，此 OU 的名稱是根據您在建立目錄時輸入的 NetBIOS 名稱。此 OU 由 擁有 AWS ，並包含您所有 AWS相關的目錄物件，您可以獲得完全控制。根據預設，此 OUs 下有兩個子 OU，即電腦和使用者。RDS Custom 建立的新 OUs 是以 NetBIOS 為基礎的 OU 子系。

步驟 2：建立 AD 網域使用者

網域使用者登入資料用於 Secrets Manager 中的秘密。

步驟 3：在自我管理或 中將控制權委派給 AD 使用者 AWS Managed Microsoft AD

步驟 4：建立秘密

在包含您要包含在作用中目錄中之 RDS Custom for SQL Server 資料庫執行個體的相同 AWS 帳戶 和 區域中建立秘密。儲存在 中建立的 AD 網域使用者的登入資料步驟 2：建立 AD 網域使用者。

Console

• 在 中 AWS Secrets Manager，選擇儲存新的秘密。

• 針對機密類型，選擇其他類型的機密。

• 對於鍵/值對，新增兩個鍵：

  • 第一個索引鍵，SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME然後輸入值的 AD 使用者名稱 （不含網域字首）。

  • 針對第二個金鑰，輸入SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD並輸入網域上 AD 使用者的密碼。

• 針對加密金鑰，輸入您用來建立 RDS Custom for SQL Server 執行個體的相同 AWS KMS 金鑰。

• 針對秘密名稱，選擇以 開頭的秘密名稱do-not-delete-rds-custom-，以允許執行個體描述檔存取此秘密。如果您想要為秘密選擇不同的名稱，請更新 RDSCustomInstanceProfile以存取秘密名稱。

• (選用) 對於描述，輸入秘密名稱的描述。

• 新增標籤 Key="AWSRDSCustom",Value="custom-sqlserver"

• 按一下儲存，然後按下一步。

• 對於設定輪換設定，保留預設值並選擇下一步。

• 檢閱秘密的設定，然後按一下存放。

• 選擇新的秘密，並複製秘密 ARN 的值。我們會在下一個步驟中使用此項目來設定您的 Active Directory。

CLI

在 CLI 中執行下列命令來建立秘密：

# Linux based
aws secretsmanager create-secret \
--name do-not-delete-rds-custom-DomainUserCredentails \ 
--description "Active directory user credentials for managing RDS Custom" \ 
--secret-string "{\"SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"tester\",\"SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"xxxxxxxx\"}" \
--kms-key-id <RDSCustomKMSKey> \
--tags Key="AWSRDSCustom",Value="custom-sqlserver"

# Windows based
aws secretsmanager create-secret ^
--name do-not-delete-rds-custom-DomainUserCredentails ^ 
--description "Active directory user credentials for managing RDS Custom" ^
--secret-string "{\"SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"tester\",\"SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"xxxxxxxx\"}" ^
--kms-key-id <RDSCustomKMSKey> ^
--tags Key="AWSRDSCustom",Value="custom-sqlserver"

步驟 5：建立或修改 RDS Custom for SQL Server 資料庫執行個體

建立或修改 RDS Custom for SQL Server 資料庫執行個體，以搭配您的目錄使用。您可以使用主控台、CLI 或 RDS API，將資料庫執行個體與目錄建立關聯。您可採用下列其中一種方式來這麼做：

當您使用 時 AWS CLI，資料庫執行個體需要下列參數，才能使用您建立的目錄：

下列 CLI 命令會建立新的 RDS Custom for SQL Server 資料庫執行個體，並將其加入自我管理或 AWS Managed Microsoft AD 網域。

對於 Linux、 macOS或 Unix：

aws rds create-db-instance  \
--engine custom-sqlserver-se \
--engine-version 15.00.4312.2.v1 \
--db-instance-identifier my-custom-instance \
--db-instance-class db.m5.large \
--allocated-storage 100 --storage-type io1 --iops 1000 \
--master-username my-master-username \
--master-user-password my-master-password \
--kms-key-id  my-RDSCustom-key-id \
--custom-iam-instance-profile AWSRDSCustomInstanceProfileForRdsCustomInstance  \
--domain-fqdn "corp.example.com" \
--domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" \
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" \
--db-subnet-group-name my-DB-subnet-grp \
--vpc-security-group-ids  my-securitygroup-id \
--no-publicly-accessible \
--backup-retention-period 3 \
--port 8200 \
--region us-west-2 \
--no-multi-az 
            

在 Windows 中：

aws rds create-db-instance  ^
--engine custom-sqlserver-se ^
--engine-version 15.00.4312.2.v1 ^
--db-instance-identifier my-custom-instance ^
--db-instance-class db.m5.large ^
--allocated-storage 100 --storage-type io1 --iops 1000 ^
--master-usernamemy-master-username ^
--master-user-password my-master-password ^
--kms-key-id  my-RDSCustom-key-id ^
--custom-iam-instance-profile AWSRDSCustomInstanceProfileForRdsCustomInstance  ^
--domain-fqdn "corp.example.com" ^
--domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" ^
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" ^
--db-subnet-group-name my-DB-subnet-grp ^
--vpc-security-group-ids  my-securitygroup-id ^
--no-publicly-accessible ^
--backup-retention-period 3 ^
--port 8200 ^
--region us-west-2 ^
--no-multi-az

下列命令會將現有的 RDS Custom for SQL Server 資料庫執行個體修改為使用 Active Directory 網域。

對於 Linux、 macOS或 Unix：

aws rds modify-db-instance \
    --db-instance-identifier my-custom-instance \
    --domain-fqdn "corp.example.com" \
    --domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" \ 

在 Windows 中：

aws rds modify-db-instance ^
    --db-instance-identifier my-custom-instance ^
    --domain-fqdn "corp.example.com" ^
    --domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" ^

下列 CLI 命令會從 Active Directory 網域移除 和 RDS Custom for SQL Server 資料庫執行個體。

對於 Linux、 macOS或 Unix：

aws rds modify-db-instance \
    --db-instance-identifier my-custom-instance \
    --disable-domain

在 Windows 中：

aws rds modify-db-instance ^
    --db-instance-identifier my-custom-instance ^
    --disable-domain

使用主控台建立或修改執行個體時，請按一下啟用 Microsoft SQL Server Windows 身分驗證以查看下列選項。

您有責任確保您的網域 FQDN 正在解析為網域控制站 IP 地址。如果網域控制站 IPs 未解析，網域聯結操作會失敗，但 RDS Custom for SQL Server 執行個體建立成功。如需故障診斷資訊，請參閱故障診斷 Active Directory。

步驟 6：建立 Windows 身分驗證 SQL Server 登入

使用 Amazon RDS 主要使用者憑證來連線至 SQL Server 資料庫執行個體，如同您對任何其他資料庫執行個體所做一般。由於資料庫執行個體已加入 AD 網域，因此您可以佈建 SQL Server 登入和使用者。您可以從 AD 網域中的 AD 使用者和群組公用程式執行此操作。您可透過對這些 Windows 登入授予和撤銷的標準 SQL Server 許可來管理資料庫許可。

若要讓 AD 使用者使用 SQL Server 進行身分驗證，AD 使用者或使用者所屬的 Active Directory 群組必須存在 SQL Server Windows 登入。精細定義的存取控制是透過授予和撤銷這些 SQL Server 登入的許可來處理。沒有 SQL Server 登入或屬於具有此類登入的 AD 群組的 AD 使用者無法存取 SQL Server 資料庫執行個體。

建立 AD SQL Server 登入需要 ALTER ANY LOGIN許可。如果您尚未使用此許可建立任何登入，請使用 SQL Server 身分驗證以資料庫執行個體的主要使用者身分連線，並在主要使用者的內容下建立 AD SQL Server 登入。

您可以執行如下的資料定義語言 (DDL) 命令，為 AD 使用者或群組建立 SQL Server 登入。

USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

來自您網域的使用者 （人類和應用程式） 現在可以使用 Windows 身分驗證從加入網域的用戶端機器連線至 RDS Custom for SQL Server 執行個體。

步驟 7：使用 Kerberos 或 NTLM 身分驗證

使用 RDS 端點的 NTLM 身分驗證

每個 Amazon RDS 資料庫執行個體都有一個端點，而每個端點都有資料庫執行個體的 DNS 名稱和連接埠號碼。若要使用 SQL 用戶端應用程式連線至您的資料庫執行個體，您需要資料庫執行個體的 DNS 名稱和連接埠號碼。若要使用 NTLM 身分驗證進行驗證，您必須連線到 RDS 端點。

在計劃中的資料庫維護或計劃外的服務中斷期間，Amazon RDS 會自動容錯移轉至up-to-date次要資料庫，因此無需手動介入即可快速恢復操作。主要和次要執行個體使用相同的端點，其實體網路地址會在容錯移轉程序中轉換為次要執行個體。當容錯移轉發生時，您不必重新設定應用程式。

Kerberos 身分驗證

RDS Custom for SQL Server 的 Kerberos 型身分驗證需要連線到特定服務主體名稱 (SPN)。不過，容錯移轉事件之後，應用程式可能不知道新的 SPN。為了解決此問題，RDS Custom for SQL Server 提供 Kerberos 型端點。

Kerberos 型端點遵循特定格式。如果您的 RDS 端點為 rds-instance-name.account-region-hash.aws-region.rds.amazonaws.com，則對應的 Kerberos 型端點將為 rds-instance-name.account-region-hash.aws-region.awsrds.fully qualified domain name (FQDN)。

例如，如果 RDS 端點為 ad-test.cocv6zwtircu.us-east-1.rds.amazonaws.com且網域名稱為 corp-ad.company.com，則 Kerberos 型端點將為 ad-test.cocv6zwtircu.us-east-1.awsrds.corp-ad.company.com。

此 Kerberos 型端點可以使用 Kerberos 與 SQL Server 執行個體進行身分驗證，即使在容錯移轉事件之後，因為端點會自動更新以指向主要 SQL Server 執行個體的新 SPN。

尋找您的 CNAME

若要尋找 CNAME，請連線至您的網域控制器並開啟 DNS Manager。導覽至轉送查詢區域和您的 FQDN。

導覽 awsrds、aws-region 以及帳戶和區域特定的雜湊。

如果您要連接 RDS Custom EC2 執行個體，並嘗試使用 CNAME 在本機連線至資料庫，您的連線將使用 NTLM 身分驗證，而不是 Kerberos。

如果從遠端用戶端連接 CNAME 之後，傳回 NTLM 連線，請檢查是否允許列出必要的連接埠。

若要檢查您的連線是否使用 Kerberos，請執行下列查詢：

SELECT net_transport, auth_scheme
    FROM sys.dm_exec_connections
    WHERE session_id = @@SSPID;