Wie behebe ich Probleme mit der Windows-Authentifizierung von RDS für SQL Server mit AWS Managed Microsoft AD?

Lesedauer: 6 Minute
0

Ich habe AWS Directory Service für Microsoft Active Directory für mein AWS-Konto konfiguriert. Ich habe Probleme beim Erstellen eines Amazon Relational Database Service (Amazon RDS) für eine Microsoft SQL Server-DB-Instance.

Kurzbeschreibung

Beim Erstellen einer Amazon RDS für SQL Server-DB-Instance kann eines der folgenden Probleme auftreten:

  • Das Microsoft Managed AD ist nicht verfügbar.
  • Ich erhalte die Fehlermeldung „Ein Host konnte nicht mit einer Domain verknüpft werden“ oder der Verzeichnisstatus in der RDS-Konsole zeigt „Fehlgeschlagen“ an.
  • Ich kann mich mit der Windows-Authentifizierung nicht bei der DB-Instance anmelden.

Die Windows-Authentifizierung für RDS für SQL Server-DB-Instances wird für mehrere AWS-Konten und Amazon Virtual Private Clouds (Amazon VPCs) unterstützt. Ein einzelnes von AWS verwaltetes Microsoft Active Directory kann von mehreren AWS-Konten und VPCs gemeinsam genutzt werden, um verzeichnisorientierte Datenbank-Workloads einfach zu verwalten. Dies gilt jedoch nur, wenn sich die RDS for SQL Server-DB-Instances in derselben AWS-Region wie das von AWS Managed Microsoft AD befinden.

Behebung

**Hinweis:**Wenn Sie beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI-Version verwenden.

Das von AWS Managed Microsoft AD ist nicht aufgeführt oder bei der Erstellung einer DB-Instance nicht verfügbar

**Wichtig:**Der verwaltete Domänentyp muss AWS Managed Active Directory sein, damit das AWS Managed Microsoft AD in der Amazon RDS-Konsole aufgeführt wird.

Wenn sich das von AWS Managed Microsoft AD in einer anderen Region als die Instance befindet, wird dieses Verzeichnis beim Erstellen oder Ändern einer DB-Instance nicht aufgeführt. Um dieses Problem zu lösen, stellen Sie sicher, dass sich die DB-Instance in derselben AWS-Region wie Ihr Directory Service befindet.

Vergewissern Sie sich, dass sich die RDS-DB-Instance und der Directory Service in derselben Region befinden:

1.Öffnen Sie die Amazon RDS-Konsole und wählen Sie im Navigationsbereich Datenbanken aus.

2.Wählen Sie die DB-Instance aus, die Sie mit dem Verzeichnis verbinden möchten.

3.Überprüfen Sie im Abschnitt Zusammenfassung die Region, die Ihrer DB-Instance zugeordnet ist.

4.Vergewissern Sie sich, dass sich der Directory Service in derselben AWS-Region wie die DB-Instance befindet, indem Sie in der AWS Directory Service-Konsole nachschauen.

Wenn sich Ihr AWS Managed Microsoft AD in einem anderen AWS-Konto als die DB-Instance befindet, teilen Sie das Microsoft Managed AD mit dem AWS-Konto. Anschließend können Sie den Directory Service auflisten, während Sie die DB-Instance erstellen oder ändern.

1.Beginnen Sie, das Verzeichnis mit dem AWS-Konto zu teilen, in dem die DB-Instance erstellt wird. Folgen Sie den Schritten unter Freigeben Ihres von AWS verwalteten Microsoft AD-Verzeichnisses für einen nahtlosen EC2-Domainbeitritt im AWS Directory Service Administration Guide.

2.Melden Sie sich mit dem Konto für die DB-Instance bei der AWS Directory Service-Konsole an. Stellen Sie sicher, dass die Domain den SHARED-Stand hat, bevor Sie fortfahren.

3.Melden Sie sich bei der AWS Directory Service-Konsole mit dem Konto für die DB-Instance an, nicht mit dem Directory-ID-Wert. Verwenden Sie diese Verzeichnis-ID, um die DB-Instance mit der Domain zu verbinden.

Beim Hinzufügen einer DB-Instance zu einer Domain ist ein Fehler aufgetreten, oder der Verzeichnisstatus in der RDS-Konsole zeigt „Fehlgeschlagen“ an

Wenn Sie eine DB-Instance mit einer Domain verbinden, erhalten Sie möglicherweise die folgende Fehlermeldung:

„Ein Host konnte nicht mit einer Domain verbunden werden. Der Domain-Mitgliedschaftsstatus zum Beispiel XXXXXXX wurde auf Fehlgeschlagen gesetzt.“

Oder der Verzeichnisstatus wird möglicherweise als Fehlgeschlagen angezeigt.

1.Vergewissern Sie sich, dass die Sicherheitsgruppe der RDS for SQL Server-Instanz so konfiguriert ist, dass sie den richtigen ausgehenden Datenverkehr zulässt.

  • TCP- und UDP-Port 53
  • TCP- und UDP-Port 88
  • TCP- und UDP-Port 135
  • TCP- und UDP-Port 389
  • TCP- und UDP-Port 445
  • TCP- und UDP-Port 464
  • TCP-Anschluss 636
  • TCP-Port 3268
  • TCP-Anschluss 3269
  • TCP-Port 9389
  • TCP-Anschlüsse 49152-65535
  • UDP-Anschluss 123
  • UDP-Anschluss 138

2.Vergewissern Sie sich, dass die von AWS verwaltete Microsoft AD-Sicherheitsgruppe so konfiguriert ist, dass sie den richtigen eingehenden Datenverkehr zulässt. Eine Sicherheitsgruppe wird erstellt, wenn Sie ein von AWS Managed Microsoft AD erstellen. Eine Liste der Regeln für eingehenden und ausgehenden Datenverkehr, die zu dieser Sicherheitsgruppe hinzugefügt wurden, finden Sie unter Was wird erstellt im AWS Directory Service Administration Guide.

  1. Möglicherweise haben Sie Ihre DB-Instance und das AWS Managed Microsoft AD in verschiedenen VPCs oder in verschiedenen Konten. Wenn ja, stellen Sie sicher, dass es eine korrekte Route für die DB-Instance gibt, um das AWS Managed Microsoft AD zu erreichen. Stellen Sie außerdem sicher, dass es eine korrekte Route für das Microsoft Managed AD gibt, um die DB-Instance zu erreichen. Weitere Informationen finden Sie unter RDS-Unterstützung für konto- und vPC-Domain-Joins (Video).

Nachdem Sie die möglichen Ursachen für den Fehler beim Domänenbeitritt identifiziert und behoben haben, gehen Sie wie folgt vor, um die Verbindung aufzuheben und die Domain dann mit der DB-Instance zu verbinden:

1.Öffnen Sie die Amazon RDS-Konsole und wählen Sie dann im Navigationsbereich Snapshots aus.

2.Wählen Sie die DB-Instance aus, die der Domain nicht beitreten konnte, und wählen Sie dann Ändern.

3.Wählen Sie im Abschnitt Microsoft SQL Server-Windows-Authentifizierung für Verzeichnis die Option Keine aus.

4.Wählen Sie Anwenden sofort. Nachdem die Änderung abgeschlossen ist, wird die DB-Instance automatisch neu gestartet.

5.Um dem Verzeichnis erneut beizutreten, wählen Sie im Navigationsbereich Datenbanken aus.

6.Wählen Sie die DB-Instance aus und wählen Sie Ändern.

7.Wählen Sie im Abschnitt ** Microsoft SQL Server-Windows-Authentifizierung** für Verzeichnis Ihr Verzeichnis aus der Liste aus.

8.Wählen Sie Anwenden sofort. Nachdem die Änderung abgeschlossen ist, wird die DB-Instance erneut gestartet.

Beim Aufrufen der ModifyDBInstance-Operation ist ein Fehler aufgetreten (InvalidParameterCombination): Die angegebene IAM-Rolle ist nicht gültig. Bitte überprüfen Sie, ob die Rolle existiert und über die richtigen Richtlinien verfügt

Wenn Sie die AWS-CLI verwenden, um einen Directory Service an Ihre DB-Instance anzuhängen, verwenden Sie die Standard-IAM-Rolle rds-directoryservice-access-role. Wenn Sie eine benutzerdefinierte Rolle verwenden, fügen Sie der benutzerdefinierten Rolle die Standardrichtlinie AmazonRdsDirectoryServiceAccess hinzu. Dadurch wird der Fehler „Die angegebene IAM-Rolle ist nicht gültig behoben.

Anmeldung bei der DB-Instance mit der Windows-Authentifizierung nicht möglich

Für die Anmeldung mit der Windows-Authentifizierung ist eine SQL-Anmeldung auf der Instance für den AWS Managed Microsoft AD-Benutzer oder die Gruppe erforderlich. Die SQL-Anmeldung verwendet die primären Benutzeranmeldeinformationen der DB-Instance. Wenn Sie Gruppen oder Benutzer in Ihrem lokalen Microsoft Active Directory verwenden, müssen Sie ein Vertrauensverhältnis einrichten.

1.Melden Sie sich mit SQL Server Management Studio (SSMS) als Hauptbenutzer bei Ihrer DB-Instance an.

2.Verwenden Sie T-SQL, um das Windows-Authentifizierungs-Login zu erstellen:

CREATE LOGIN [Domain Name\user or group] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

**Hinweis:**Das Erstellen eines Windows-Authentifizierungs-Logins auf einer RDS for SQL Server-Instanz wird nur unterstützt, wenn T-SQL verwendet wird. Sie können die GUI nicht verwenden, um eine Anmeldung in SQL Server Management Studio zu erstellen.

3.Stellen Sie mithilfe der Windows-Authentifizierung eine Verbindung zur DB-Instance her.


Ähnliche Informationen

Verwenden der Windows-Authentifizierung mit einer Amazon RDS for SQL Server-DB-Instance

Zugriffskontrolle mit Sicherheitsgruppen

Es kann keine Verbindung zu einer Amazon RDS-DB-Instance hergestellt werden

Kontenübergreifende Verknüpfung Ihrer Amazon RDS-DB-Instances zu einer einzigen gemeinsamen Domain

Migration von Microsoft SQL Server-Datenbanken in die AWS-Cloud