要求 - Amazon Relational Database Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

要求

在将 RDS for SQL Server 数据库实例加入自托管式 AD 域之前,请确保您已满足以下要求。

配置您的本地 AD

确保您有一个本地或其他自托管式 Microsoft AD,您可以在其中加入 Amazon RDS for SQL Server 实例。您的本地 AD 应具有以下配置:

  • 如果您定义了 Active Directory 站点,请确保在 Active Directory 站点中定义与 RDS for SQL Server 数据库实例关联的 VPC 中的子网。确认您的 VPC 中的子网与您其他 AD 站点中的子网之间没有任何冲突。

  • 您 AD 域控制器的域功能级别为 Windows Server 2008 R2 或更高版本。

  • 您的 AD 域名不能采用单标签域(SLD)格式。RDS for SQL Server 不支持 SLD 域。

  • AD 的完全限定域名(FQDN)不能超过 47 个字符。

配置您的网络连接

确保您满足以下网络配置:

  • 在您要在其中创建 RDS for SQL Server 数据库实例的 Amazon VPC 与自托管式 Active Directory 之间配置了连接。您可以使用 Amazon Direct Connect、Amazon VPN、VPC 对等或 Amazon Transit Gateway 设置连接。

  • 对于 VPC 安全组,原定设置 Amazon VPC 的原定设置安全组已添加到控制台中的 RDS for SQL Server 数据库实例。确保要在其中创建 RDS for SQL Server 数据库实例的子网的安全组和 VPC 网络 ACL 在端口上允许有下图所示方向的流量。

    自托管式 Active Directory 网络配置端口规则。

    下表确定了每个端口的作用。

    协议 端口 角色
    TCP/UDP 53 域名系统(DNS)
    TCP/UDP 88 Kerberos 身份验证
    TCP/UDP 464 更改/设置密码
    TCP/UDP 389 轻型目录访问协议(LDAP)
    TCP 135 分布式计算环境/端点映射器(DCE/EPMAP)
    TCP 445 目录服务 SMB 文件共享
    TCP 636 基于 TLS/SSL 的轻型目录访问协议(LDAPS)
    TCP 49152 - 65535 RPC 的临时端口
  • 通常,域 DNS 服务器位于 AD 域控制器中。您无需配置 VPC DHCP 选项集即可使用此功能。有关更多信息,请参阅《Amazon VPC 用户指南》中的 DHCP 选项集

重要

如果您使用的是 VPC 网络 ACL,则还必须允许动态端口(49152-65535)上有来自 RDS for SQL Server 数据库实例的出站流量。确保这些流量规则也镜像到适用于每个 AD 域控制器、DNS 服务器和 RDS for SQL Server 数据库实例的防火墙上。

虽然 VPC 安全组要求仅在发起网络流量的方向打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 要求双向打开端口。

配置您的 AD 域服务账户

确保您的 AD 域服务账户满足以下要求:

  • 确保您在自托管式 AD 域中有一个服务账户,该账户具有将计算机加入该域的委派权限。域服务账户是您的自托管式 AD 中的一个用户账户,该账户已被委派执行某些任务的权限。

  • 需要在您要加入 RDS for SQL Server 数据库实例的组织单位(OU)中向域服务账户委派以下权限:

    • 验证写入 DNS 主机名的能力

    • 验证写入服务主体名称的能力

    • 创建和删除计算机对象

    这些权限代表将计算机对象加入到您自托管式 Active Directory 至少需要具备的一组权限。有关更多信息,请参阅 Microsoft Windows Server 文档中的尝试将计算机加入域时出现错误

重要

创建数据库实例后,请勿移动 RDS for SQL Server 在组织单位中创建的计算机对象。移动关联对象将导致您的 RDS for SQL Server 数据库实例出现配置错误。如果您需要移动 Amazon RDS 创建的计算机对象,请通过 ModifyDBInstance RDS API 操作用计算机对象所需位置修改域参数。