本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

為 RDS Custom for SQL Server 執行個體設定 Windows 身分驗證

任何 AWS 帳戶 若擁有加入您 AD 網域的 RDS for SQL Server 資料庫執行個體，我們建議為其建立範圍受限於該 OU 的專用 OU 和服務憑證。透過專用 OU 和服務憑證，您可避免衝突的許可，並遵循最低權限的主體。

Active Directory 層級群組政策可能與 AWS 自動化和許可衝突。我們建議選取僅適用於您為 RDS Custom for SQL Server 建立之 OU 的 GPO。

以下是 AD 網域服務帳戶的需求：

這些是將電腦物件加入自我管理 AD 和 AWS Managed Microsoft AD 所需的最低許可集。如需詳細資訊，請參閱 Microsoft Windows Server 文件中的錯誤：當被委派控制的非管理員使用者嘗試將電腦加入網域控制站時，存取遭拒。

步驟 1：在您的 AD 中建立組織單位

使用下列步驟在您的 AD 中建立組織單位：

對於 AWS Managed Microsoft AD，此 OU 的名稱的基礎，是您建立目錄時所輸入的 NetBIOS 名稱。此 OU 屬於 AWS 且包含您所有 AWS 相關的目錄物件，您對此擁有完全控制權。此 OU 下預設存在兩個子 OU：電腦和使用者。RDS Custom 建立的新 OU 是以 NetBIOS 為基礎的 OU 子系。

步驟 2：建立 AD 網域使用者

網域使用者憑證會用於 Secrets Manager 中的秘密。

步驟 3：將控制權委派給自我管理或 AWS Managed Microsoft AD 中的 AD 使用者

步驟 4：建立私密

在相同的 AWS 帳戶 帳戶和區域中建立秘密，其中包含要納入自我管理 Active Directory 的 RDS Custom for SQL Server 資料庫執行個體。儲存在 步驟 2：建立 AD 網域使用者 中建立的 AD 網域使用者的憑證。

Console

• 在 AWS Secrets Manager 中，選擇儲存新機密。

• 針對機密類型，選擇其他類型的機密。

• 對於金鑰/值對，新增兩個金鑰：

  • 第一個金鑰，SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME 然後針對值輸入 AD 使用者的名稱 (不含網域字首)。

  • 針對第二個金鑰，輸入 SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD 並輸入網域上 AD 使用者的密碼。

• 針對加密金鑰，輸入您用來建立 RDS Custom for SQL Server 執行個體的相同 AWS KMS 金鑰。

• 針對秘密名稱，選擇以 do-not-delete-rds-custom- 開頭的秘密名稱，以允許執行個體設定檔存取此秘密。如果您想要為秘密選擇不同的名稱，請更新 RDSCustomInstanceProfile 以存取秘密名稱。

• (選用) 對於描述，輸入秘密名稱的描述。

• 新增標籤 Key="AWSRDSCustom",Value="custom-sqlserver"

• 按一下儲存，然後按下一步。

• 對於設定輪換設定，保留預設值並選擇下一步。

• 檢閱秘密的設定，然後按一下存放。

• 選擇新的秘密，然後複製秘密 ARN 的值。我們會在下一個步驟中使用此項目來設定您的 Active Directory。

CLI

在 CLI 中執行以下命令來建立秘密：

# Linux based
aws secretsmanager create-secret \
--name do-not-delete-rds-custom-DomainUserCredentails \ 
--description "Active directory user credentials for managing RDS Custom" \ 
--secret-string "{\"SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"tester\",\"SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"xxxxxxxx\"}" \
--kms-key-id <RDSCustomKMSKey> \
--tags Key="AWSRDSCustom",Value="custom-sqlserver"

# Windows based
aws secretsmanager create-secret ^
--name do-not-delete-rds-custom-DomainUserCredentails ^ 
--description "Active directory user credentials for managing RDS Custom" ^
--secret-string "{\"SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"tester\",\"SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"xxxxxxxx\"}" ^
--kms-key-id <RDSCustomKMSKey> ^
--tags Key="AWSRDSCustom",Value="custom-sqlserver"

步驟 5：建立或修改 RDS Custom for SQL Server 資料庫執行個體

建立或修改要搭配您目錄使用的 RDS Custom for SQL Server 資料庫執行個體。您可以使用主控台、CLI 或 RDS API，將資料庫執行個體與目錄建立關聯。您可採用下列其中一種方式來這麼做：

使用 AWS CLI 時，需要下列參數，資料庫執行個體才能使用您建立的目錄：

下列 CLI 命令會建立新的 RDS Custom for SQL Server 資料庫執行個體，並將其加入自我管理或 AWS Managed Microsoft AD 網域。

在 Linux、macOS 或 Unix 中：

aws rds create-db-instance  \
--engine custom-sqlserver-se \
--engine-version 15.00.4312.2.v1 \
--db-instance-identifier my-custom-instance \
--db-instance-class db.m5.large \
--allocated-storage 100 --storage-type io1 --iops 1000 \
--master-username my-master-username \
--master-user-password my-master-password \
--kms-key-id  my-RDSCustom-key-id \
--custom-iam-instance-profile AWSRDSCustomInstanceProfileForRdsCustomInstance  \
--domain-fqdn "corp.example.com" \
--domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" \
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" \
--db-subnet-group-name my-DB-subnet-grp \
--vpc-security-group-ids  my-securitygroup-id \
--no-publicly-accessible \
--backup-retention-period 3 \
--port 8200 \
--region us-west-2 \
--no-multi-az 
            

在 Windows 中：

aws rds create-db-instance  ^
--engine custom-sqlserver-se ^
--engine-version 15.00.4312.2.v1 ^
--db-instance-identifier my-custom-instance ^
--db-instance-class db.m5.large ^
--allocated-storage 100 --storage-type io1 --iops 1000 ^
--master-usernamemy-master-username ^
--master-user-password my-master-password ^
--kms-key-id  my-RDSCustom-key-id ^
--custom-iam-instance-profile AWSRDSCustomInstanceProfileForRdsCustomInstance  ^
--domain-fqdn "corp.example.com" ^
--domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" ^
--domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" ^
--db-subnet-group-name my-DB-subnet-grp ^
--vpc-security-group-ids  my-securitygroup-id ^
--no-publicly-accessible ^
--backup-retention-period 3 ^
--port 8200 ^
--region us-west-2 ^
--no-multi-az

下列命令會修改現有的 RDS Custom for SQL Server 資料庫執行個體，以使用 Active Directory 網域。

在 Linux、macOS 或 Unix 中：

aws rds modify-db-instance \
    --db-instance-identifier my-custom-instance \
    --domain-fqdn "corp.example.com" \
    --domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" \ 

在 Windows 中：

aws rds modify-db-instance ^
    --db-instance-identifier my-custom-instance ^
    --domain-fqdn "corp.example.com" ^
    --domain-ou "OU=RDSCustomOU,DC=corp,DC=example,DC=com" ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:do-not-delete-rds-custom-my-AD-test-secret-123456" ^

下列 CLI 命令會從 Active Directory 網域中移除 RDS Custom for SQL Server 資料庫執行個體。

在 Linux、macOS 或 Unix 中：

aws rds modify-db-instance \
    --db-instance-identifier my-custom-instance \
    --disable-domain

在 Windows 中：

aws rds modify-db-instance ^
    --db-instance-identifier my-custom-instance ^
    --disable-domain

使用主控台建立或修改執行個體時，請按一下啟用 Microsoft SQL Server Windows 身分驗證，以查看下列選項。

您有責任確保您的網域 FQDN 正在解析為網域控制器 IP 位址。如果網域控制器 IP 未解析，網域聯結作業就會失敗，但 RDS Custom for SQL Server 執行個體建立會成功。如需故障診斷資訊，請參閱故障診斷 Active Directory。

步驟 6：建立 Windows 身分驗證 SQL Server 登入

使用 Amazon RDS 主要使用者憑證來連線至 SQL Server 資料庫執行個體，如同您對任何其他資料庫執行個體所做一般。因為資料庫執行個體已加入 AD 網域，您可以佈建 SQL Server 登入和使用者。您可以從 AD 網域中的 AD 使用者和群組公用程式執行此作業。您可透過對這些 Windows 登入授予和撤銷的標準 SQL Server 許可來管理資料庫許可。

若要讓 AD 使用者向 SQL Server 進行身分驗證，必須存在 AD 使用者或使用者為其成員之 Active Directory 群組的 SQL Server Windows 登入。精細定義的存取控制是透過授予和撤銷這些 SQL Server 登入的許可來處理。沒有 SQL Server 登入或屬於具有此類登入的 AD 群組的 AD 使用者無法存取 SQL Server 資料庫執行個體。

需要 ALTER ANY LOGIN 許可才能建立 AD SQL Server 登入。如果您尚未使用此許可建立任何登入，請使用 SQL Server 身分驗證，以資料庫執行個體的主要使用者身分連線，並在主要使用者的內容下建立 AD SQL Server 登入。

您可以執行如下的資料定義語言 (DDL) 命令，為 AD 使用者或群組建立 SQL Server 登入。

USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

來自您網域的使用者 (人員和應用程式兩者)，現在可以使用 Windows 身分驗證從加入網域的用戶端機器連接至 RDS Custom for SQL Server 執行個體。

步驟 7：使用 Kerberos 或 NTLM 身分驗證

使用 RDS 端點的 NTLM 身分驗證

每個 Amazon RDS 資料庫執行個體都有端點，並且每個端點有資料庫執行個體的 DNS 名稱和連接埠號碼。若要使用 SQL 用戶端應用程式連線至您的資料庫執行個體，您需要資料庫執行個體的 DNS 名稱和連接埠號碼。若要使用 NTLM 身分驗證進行身分驗證，您必須連線至 RDS 端點。

在規劃的資料庫維護或未規劃的服務中斷期間，Amazon RDS 會自動容錯移轉到最新的次要資料庫，以便操作可以很快繼續執行，而無須人為介入。主要與次要執行個體會使用相同的端點，其實體網路會處理轉換至次要的作業，做為容錯移轉程序的一部分。當容錯移轉發生時，您不必重新設定應用程式。

Kerberos 身分驗證

RDS Custom for SQL Server 的 Kerberos 型身分驗證需要提供特定服務主體名稱 (SPN) 的連線。不過，容錯移轉事件之後，應用程式可能不知道新的 SPN。為了解決此問題，RDS Custom for SQL Server 提供 Kerberos 型端點。

Kerberos 型端點遵循特定格式。如果您的 RDS 端點為 rds-instance-name.account-region-hash.aws-region.rds.amazonaws.com，則對應的 Kerberos 型端點將為 rds-instance-name.account-region-hash.aws-region.awsrds.fully qualified domain name (FQDN)。

例如，如果 RDS 端點為 ad-test.cocv6zwtircu.us-east-1.rds.amazonaws.com，且網域名稱為 corp-ad.company.com，則 Kerberos 型端點將為 ad-test.cocv6zwtircu.us-east-1.awsrds.corp-ad.company.com。

此 Kerberos 型端點可以使用 Kerberos 與 SQL Server 執行個體進行驗證，即使在容錯移轉事件之後也一樣，因為端點會自動更新，以指向主要 SQL Server 執行個體的新 SPN。

尋找您的 CNAME

若要尋找 CNAME，請連線至您的網域控制器，並開啟 DNS Manager。導覽至轉送查詢區域和您的 FQDN。

導覽 awsrds、aws-region 以及帳戶和區域特定的雜湊。

如果您要連接 RDS Custom EC2 執行個體，並嘗試使用 CNAME 在本機連線至資料庫，則您的連線將使用 NTLM 身分驗證，而不是 Kerberos。

如果從遠端用戶端連線 CNAME 之後傳回 NTLM 連線，請檢查是否允許列出必要的連接埠。

如果要檢查您的連線使用的是 Kerberos，請執行下列查詢：

SELECT net_transport, auth_scheme
    FROM sys.dm_exec_connections
    WHERE session_id = @@SSPID;