使用 Amazon Directory Service 配置 Microsoft Active Directory
Amazon Managed Microsoft AD 在 Amazon 中创建完全托管的 Microsoft Active Directory,由 Windows Server 2019 提供支持并在 2012 R2 林和域功能级别运行。Amazon Directory Service 在 Amazon VPC 的不同子网中创建域控制器,使您的目录即使在出现故障时也具有很高的可用性。
要使用 Amazon Managed Microsoft AD 创建目录,请参阅《Amazon Directory Service 管理指南》中的 Amazon Managed Microsoft AD 入门。
配置您的网络连接
在目录和数据库实例之间启用跨 VPC 流量
要在同一 VPC 中查找目录和数据库实例,请跳过该步骤,然后转到网络配置端口规则中的下一步。
要在不同的 VPC 中查找目录和数据库实例,请使用 VPC 对等连接或 Amazon Transit Gateway 配置跨 VPC 流量。有关使用 VPC 对等连接的更多信息,请参阅《Amazon VPC 对等连接指南》中的什么是 VPC 对等连接?和《Amazon VPC Transit Gateways》中的什么是 Amazon Transit Gateway?。
使用 VPC 对等连接启用跨 VPC 流量
设置适合的 VPC 路由规则,以便确保网络流量可以双向流动。
允许数据库实例的安全组从目录的安全组接收入站流量。有关更多信息,请参阅 网络配置端口规则。
网络访问控制列表(ACL)不得阻止流量。
如果该目录由不同的 Amazon Web Services 账户拥有,则您必须共享该目录。要与 Amazon Web Services 账户共享 RDS Custom for SQL Server 实例所在的目录,请按照《Amazon Directory Service 管理指南》中的教程:共享 Amazon Managed Microsoft AD 以便无缝地加入 EC2 域操作。
在 Amazon Web Services 账户之间共享目录
-
使用数据库实例的账户登录 Amazon Directory Service 控制台,并检查在处理之前域是否具有
SHARED
状态。 使用数据库实例的账户登录 Amazon Directory Service 控制台后,记下目录 ID 值。您可以使用此 ID 将数据库实例加入域。
配置 DNS 解析
当您使用 Amazon Managed Microsoft AD 创建目录时,Amazon Directory Service 将代表您创建两个域控制器并添加 DNS 服务。
如果您已有 Amazon Managed Microsoft AD 或计划在 VPC 中启动一个(除 RDS Custom for SQL Server 数据库实例之外),请将 VPC DNS 解析程序配置为使用 Route 53 出站和解析程序规则转发对某些域的查询,请参阅配置 Route 53 Resolver 出站端点以解析 DNS 记录