网络配置端口规则
确保您满足以下网络配置:
-
在您要在其中创建 RDS Custom for SQL Server 数据库实例的 Amazon VPC 与自托管式 Active Directory 或 Amazon Managed Microsoft AD 之间配置了连接。对于自托管式 Active Directory,使用 Amazon Direct Connect、Amazon VPN、VPC 对等连接或 Amazon Transit Gateway 来设置连接。对于 Amazon Managed Microsoft AD,使用 VPC 对等连接来设置连接。
-
确保要在其中创建 RDS Custom for SQL Server 数据库实例的子网的安全组和 VPC 网络 ACL 在端口上允许有下图所示方向的流量。
下表确定了每个端口的作用。
协议 端口 角色 TCP/UDP 53 域名系统(DNS) TCP/UDP 88 Kerberos 身份验证 TCP/UDP 464 更改/设置密码 TCP/UDP 389 轻型目录访问协议(LDAP) TCP 135 分布式计算环境/端点映射器(DCE/EPMAP) TCP 445 目录服务 SMB 文件共享 TCP 636 基于 TLS/SSL 的轻型目录访问协议(LDAPS) TCP 49152 - 65535 RPC 的临时端口 通常,域 DNS 服务器位于 AD 域控制器中。您无需配置 VPC DHCP 选项集即可使用此功能。有关更多信息,请参阅《Amazon VPC 用户指南》中的 DHCP 选项集。
重要
如果您使用的是 VPC 网络 ACL,则还必须允许动态端口(49152-65535)上有来自 RDS Custom for SQL Server 数据库实例的出站流量。确保这些流量规则也镜像到适用于每个 AD 域控制器、DNS 服务器和 RDS Custom for SQL Server 数据库实例的防火墙上。
虽然 VPC 安全组要求仅在发起网络流量的方向打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 要求双向打开端口。