本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
當您需要將RDS SQL Server實例集成到企業的身份認證體系中時,可參考本文教程在ECS實例中配置域控服務器,并將RDS SQL Server實例接入自建域中,幫助您實現資源的集中權限管理和身份驗證。
背景信息
Microsoft AD即Active Directory(活動目錄),是微軟提供的面向Windows Standard Server、Windows Enterprise Server以及Microsoft SQL Server等產品的目錄服務。目錄是一種分層結構,用于存儲同一局域網絡上對象的信息。例如,AD存儲有關用戶賬號的信息,例如名稱、密碼、電話號碼等,并允許同一局域網絡上的其他授權用戶訪問此信息。
AD是Windows生態體系下的重要組成單元。諸多大型企業,會通過域控來實現統籌的集中式訪問管理,是企業內部長期依賴的原生管理方式。在上述背景下,當您從自建環境遷移整體服務至云上或使用混合云架構時,往往也需要在云上體系中支持AD服務,以便于全局管理。具體至SQL Server數據庫,作為微軟生態體系下的重要一環,大型企業在搬遷上云時AD的支持成為最基礎的要素。
基于上述情況,RDS SQL Server提供實例接入自建域功能,幫助您完善業務生態體系。
開通并配置了AD域功能后,您可以通過AD自建域創建賬號,并授予相應的權限,使得該賬號可以登錄RDS SQL Server并對數據庫進行相應的操作。
但由于超級權限賬號(System Admin)或主機賬號所擁有的操作權限已超出了RDS控制的范圍,因此對于通過AD自建域功能所創建的該類型賬號的RDS實例,我們無法保證SLA。
前提條件
RDS實例需滿足如下條件:
實例規格:通用型、獨享型(不支持共享型)
計費方式:包年包月或按量付費(不支持Serverless實例)
說明您可以前往實例基本信息頁面查看以上信息。
登錄賬號必須為阿里云主賬號。
RDS和域控服務器所在ECS在相同VPC。
ECS安全組放通RDS的內網IP。詳情請參見添加安全組規則。
ECS實例系統防火墻放通RDS的內網IP。ECS實例系統防火墻默認關閉,如果您開啟過,需要放通RDS的內網IP。
域賬號屬于Domain Admins組(由于客戶端主動加域需要高權限)。
域控服務器與DNS是相同IP。
注意事項
加入或退出AD域的操作都需要重啟Windows操作系統,為避免對正在進行的業務造成中斷影響,請您盡量在業務低峰期執行此類操作。
使用限制
Windows版本選擇
域控服務器需要建立在Windows Server操作系統之上,創建ECS實例時,系統最低版本為Windows Server 2012 R2,建議使用Windows Server 2016及以上版本,語言選擇英文,本文將以Windows Server 2016為例指導您建立可供RDS使用的域控服務器。
步驟一:ECS實例系統配置域控服務器
登錄ECS管理控制臺。
在左側導航欄,選擇。
在頁面左側頂部,選擇目標資源所在的資源組和地域。
在實例列表頁面中,單擊目標實例ID。
遠程登錄ECS的Windows Server 2016系統。
搜索Server Manager并打開。
單擊Add roles and features,進行如下設置。
頁面名稱
設置說明
Installation Type
保持默認設置。
Server Selection
保持默認設置。
Server Roles
選中Active Directory Domain Services,并在彈出的對話框中單擊Add Features。
選中DNS Server,并在彈出的對話框中單擊Add Features。如果提示您電腦不是固定IP,建議您修改電腦為固定IP,防止IP自動變更導致DNS服務器無法使用。
Features
保持默認設置。
AD DS
保持默認設置。
DNS Server
保持默認設置。
Confirmation
單擊Install進行安裝。
等待安裝完成后,單擊Close關閉頁面。
在左側導航欄單擊AD DS,然后在右上方單擊More。
單擊Promote this server to a domain...,進行如下設置。
頁面名稱
設置說明
Deployment Configuration
選擇Add a new forest,設置域名。
Domain Controller Options
設置恢復模式密碼。
DNS Options
取消Create DNS delegation選項的√。
Additional Options
保持默認設置。
Paths
保持默認設置。
Review Options
保持默認設置。
Prerequisites Check
單擊Install進行安裝。
說明安裝完成后系統會重啟。
等待系統重啟,再次搜索Server Manager并打開。
在左側導航欄單擊AD DS,然后在右側目標域控服務器上單擊鼠標右鍵,選擇Active Directory Users and Computers,進入AD用戶管理模塊。
在上單擊鼠標右鍵,選擇。
設置登錄的用戶名稱,然后單擊Next。
設置登錄密碼,并設置密碼永不過期,然后單擊Next及Finish完成創建。
雙擊新創建的用戶,將該用戶加入Domain Admins管理員組。
步驟二:配置ECS實例安全組
登錄ECS管理控制臺。
在左側導航欄,選擇。
在頁面左側頂部,選擇目標資源所在的資源組和地域。
在實例列表頁面中,單擊目標實例ID。
在上方導航欄中選擇安全組,然后單擊安全組操作列下的配置規則。
在入方向頁簽內單擊手動添加,允許如下端口訪問ECS實例。
協議類型
端口范圍
說明
TCP
88
Kerberos認證協議端口。
TCP
135
遠程過程調用協議(RPC)端口。
TCP/UDP
389
輕型目錄訪問協議(LDAP)端口。
TCP
445
通用互聯網文檔系統協議(CIFS)端口。
TCP
3268
Global Catalog端口。
TCP/UDP
53
DNS端口。
TCP
49152~65535
連接的默認動態端口范圍。輸入格式為:49152/65535。
步驟三:配置RDS實例AD域服務
訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄單擊賬號管理。
單擊AD域服務信息頁簽,然后單擊配置AD域服務。
在彈出的配置AD域服務對話框中,設置如下參數,并選中我已閱讀并知曉配置AD域服務對《RDS 服務等級協議》的影響。
警告開通并配置了AD域功能后,您可以通過AD自建域創建賬號,并授予相應的權限,使得該賬號可以登錄RDS SQL Server并對數據庫進行相應的操作。
但由于超級權限賬號(System Admin)或主機賬號所擁有的操作權限已超出了RDS控制的范圍,因此對于通過AD自建域功能所創建的該類型賬號的RDS實例,我們無法保證SLA。
參數
說明
域名
創建活動目錄時(Deployment Configuration頁面)指定的域名。例如本文設置的是testdomian.net。
IP地址
域控服務器所在ECS的IP,可以在ECS中使用
ipconfig獲取,也可以在阿里云ECS控制臺中查看。
域賬號
之前創建的用戶名。
域密碼
用戶名對應的密碼。
單擊確定,等待AD域配置完成。
相關操作
使用API查看或修改AD域關聯信息、退出所在AD域,請參見:
常見問題
建議您使用域管理員權限的賬號讓RDS加入域,如果不希望使用域管理員權限,可以按照下面方法使用最小權限,但使用最小權限賬號退出域時,需要在域控服務器中手動刪除對應的計算機對象,否則將同一RDS再次加入本域時會報錯。
創建新用戶并確認用戶屬于Domain Users組后,在頁面添加剛才創建的新用戶。
在創建的用戶上單擊右鍵,選擇Create a custom task to delegate,然后單擊Next。
選擇Only the following objects in the folder,按下圖所示進行選中,然后單擊Next。
按下圖所示進行選中,然后單擊Next直至完成。
