将自托管式 Active Directory 用于 Amazon RDS for SQL Server 数据库实例
无论您的 AD 托管在数据中心、Amazon EC2 上还是其他云提供商处,Amazon RDS for SQL Server 都可与您的自托管式 Active Directory(AD)域无缝集成。这种集成支持通过 NTLM 或 Kerberos 协议直接进行用户身份验证,无需复杂的中间域或林信任。当您连接到 RDS SQL Server 数据库实例时,身份验证请求会安全地转发到您指定的 AD 域,从而在利用 Amazon RDS 托管数据库功能的同时保持现有的身份管理结构。
主题
区域和版本可用性
Amazon RDS 在所有商业 Amazon Web Services 区域和 Amazon GovCloud (US) Regions中都支持通过自托管式 AD 使用 NTLM 控制 SQL Server 的身份验证。
注意事项
将 RDS for SQL Server 数据库实例添加到自托管式 AD 时,请注意以下几点:
-
您的数据库实例与 Amazon 的 NTP 服务同步,而不是与 AD 域的时间服务器同步。对于 AD 域内链接 SQL Server 实例之间的数据库连接,您只能进行 SQL 身份验证,而不能进行 Windows 身份验证。
-
来自自托管式 AD 域的组策略对象设置不会传播到 RDS for SQL Server 实例。
了解自托管式 Active Directory 域成员资格
在创建或修改数据库实例并指定 AD 详细信息后,实例将成为自托管式 AD 域的成员。Amazon 控制台将指示数据库实例的自托管式 Active Directory 域成员资格的状态。数据库实例的状态可以是以下状态之一:
-
已加入 – 实例是 AD 域的成员。
-
正在加入 – 实例正处于成为 AD 域成员的过程中。
-
待联接 – 实例成员资格待定。
-
pending-maintenance-join – Amazon 将在下一计划维护时段期间尝试使实例成为 AD 域成员。
-
待删除 – 等待从 AD 域中删除实例。
-
pending-maintenance-removal – Amazon将在下一计划维护时段期间尝试从 AD 域中删除实例。
-
失败 – 配置问题阻碍实例加入 AD 域。在重新发出实例修改命令之前检查并修复配置。
-
正在删除 – 正从自托管式 AD 域中删除实例。
重要
成为自托管式 AD 域成员的请求可能因网络连接问题而失败。例如,您可能会创建数据库实例或修改现有实例,并且尝试使数据库实例成为某个自托管式 AD 域的成员会失败。在这种情况下,您重新发出命令来创建或修改数据库实例,或者修改新创建的实例来加入自托管式 AD 域。
还原 SQL Server 数据库实例,然后将其添加到自托管式 Active Directory 域
您可以还原数据库快照或对 SQL Server 数据库实例执行时间点恢复(PITR),然后将其添加到自托管式 Active Directory 域。还原数据库实例后,使用步骤 1:创建或修改 SQL Server 数据库实例中介绍的过程修改此实例,以将数据库实例添加到自托管式 AD 域。