Wie behebe ich Probleme mit der Windows-Authentifizierung von Amazon RDS für SQL Server mit AWS Managed Microsoft AD?

Kurzbeschreibung

Wenn du eine Amazon RDS für SQL Server-DB-Instance erstellst, tritt möglicherweise eines der folgenden Probleme auf:

• Das Microsoft Managed AD ist nicht verfügbar.
• Du erhältst die Fehlermeldung Failed to join a host to a domain oder der Verzeichnisstatus auf der Amazon RDS-Konsole lautet Fehlgeschlagen.
• Du kannst die Windows-Authentifizierung nicht verwenden, um dich bei der DB-Instance anzumelden.

Du kannst die Windows-Authentifizierung für Amazon RDS für SQL Server-DB-Instances für mehrere AWS-Konten und Amazon Virtual Private Clouds (Amazon VPCs) verwenden. Du kannst auch ein von AWS verwaltetes Microsoft AD-Verzeichnis für mehrere Konten und VPCs gemeinsam nutzen, um verzeichnisorientierte Datenbank-Workloads zu verwalten. Jedoch müssen sich die RDS für SQL Server-DB-Instances in derselben AWS-Region wie das von AWS Managed Microsoft AD-Verzeichnis befinden.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI-Version verwendest.

Das von AWS Managed Microsoft AD ist nicht aufgeführt oder nicht verfügbar, wenn du einer DB-Instance erstellst

Wichtig: Um das AWS Managed Microsoft AD auf der Amazon RDS-Konsole aufzulisten, muss der verwaltete Domain-Typ AWS Managed Active Directory sein.

Wenn sich das AWS Managed Microsoft AD in einer anderen Region als die DB-Instance befindet, wird das Verzeichnis nicht aufgeführt, wenn du die DB-Instance erstellst oder änderst. Um dieses Problem zu lösen, stelle sicher, dass sich die DB-Instance in derselben Region wie der Directory Service befindet.

Führe die folgenden Schritte aus:

1. Öffne die Amazon-RDS-Konsole.
2. Wähle im Navigationsbereich Datenbanken.
3. Wähle die DB-Instance aus.
4. Notiere dir im Abschnitt Zusammenfassung die Region, in der sich die DB-Instance befindet.
5. Verwende die AWS Directory Service-Konsole, um zu bestätigen, dass sich der Directory Service in derselben Region wie die DB-Instance befindet.

Wenn sich das AWS Managed Microsoft AD in einem anderen Konto als die DB-Instance befindet, teile dann das Microsoft Managed AD mit dem AWS-Konto. Liste dann den Directory Service auf, wenn du die DB-Instance erstellst oder änderst.

Führe die folgenden Schritte aus:

1. Teile das Verzeichnis mit dem AWS-Konto, in dem die DB-Instance erstellt wird. Folge den Schritten unter Freigeben des von AWS verwalteten Microsoft AD-Verzeichnisses für einen nahtlosen EC2-Domain-Beitritt im AWS Directory Service Administration Guide.
2. Verwende das Konto für die DB-Instance, um die AWS Directory Service-Konsole zu öffnen.
3. Stelle sicher, dass sich die Domain im Status FREIGEGEBEN befindet.
4. Verwende den Directory-ID-Wert, um die DB-Instance mit der Domain zu verbinden.

Du erhältst eine Fehlermeldung oder der Verzeichnisstatus zeigt „Fehlgeschlagen“ an, wenn du eine DB-Instance zu einer Domain hinzufügst

Wenn du eine DB-Instance mit einer Domain verbindest, erhältst du möglicherweise die folgende Fehlermeldung: „Ein Host konnte nicht mit einer Domain verbunden werden. Der Domain-Mitgliedschaftsstatus zum Beispiel XXXXXXX wurde auf Fehlgeschlagen gesetzt.“ Oder der Verzeichnisstatus wird möglicherweise als Fehlgeschlagen angezeigt.

Gehe wie folgt vor, um den Fehler beim Domain-Beitritt zu beheben:

1. Bestätige, dass du die Sicherheitsgruppe RDS für die SQL Server-Instance so konfiguriert hast, dass sie den folgenden ausgehenden Datenverkehr zulässt:
   TCP- und UDP-Port 53
   TCP- und UDP-Port 88
   TCP- und UDP-Port 135
   TCP- und UDP-Port 389
   TCP- und UDP-Port 445
   TCP- und UDP-Port 464
   TCP-Port 636
   TCP-Port 3268
   TCP-Port 3269
   TCP-Port 9389
   TCP-Anschlüsse 49152-65535
   UDP-Port 123
   UDP-Anschluss 138
2. Vergewissere dich, dass die von AWS verwaltete Microsoft AD-Sicherheitsgruppe so konfiguriert ist, dass sie den richtigen eingehenden Datenverkehr zulässt.
   Hinweis: Der AWS Directory Service erstellt eine Sicherheitsgruppe, wenn du ein AWS Managed Microsoft AD erstellst. Eine Liste der Regeln für eingehenden und ausgehenden Datenverkehr, die der Sicherheitsgruppe hinzugefügt wurden, findest du unter Was wird mit dem AWS Managed Microsoft AD erstellt?.
3. Prüfe, ob sich die DB-Instance und das AWS Managed Microsoft AD in unterschiedlichen VPCs oder Konten befinden.
   Hinweis: Wenn ja, stelle sicher, dass es eine korrekte Route gibt, um die DB-Instance mit dem AWS Managed Microsoft AD zu verbinden. Stelle außerdem sicher, dass es eine korrekte Route für das Microsoft Managed AD gibt, um die DB-Instance zu erreichen. Weitere Informationen findest du unter RDS-Unterstützung für konto- und vPC-Domain-Join.

Nachdem du mögliche Ursachen für den Fehler beim Domain-Beitritt identifiziert und behoben hast, führe die folgenden Schritte aus, um die Domain erneut mit der DB-Instance zu verbinden:

1. Öffne die Amazon-RDS-Konsole.
2. Wähle im Navigationsbereich Datenbanken.
3. Wähle die DB-Instance aus, die der Domain nicht beitreten konnte und wähle dann Ändern.
4. Wähle im Abschnitt Microsoft SQL Server-Windows-Authentifizierung für Verzeichnis die Option Keine.
5. Wähle Sofort anwenden.
   Hinweis: Nachdem die Änderung abgeschlossen ist, wird die DB-Instance automatisch neu gestartet.
6. Wähle im Navigationsbereich Datenbanken.
7. Wähle die DB-Instance und anschließend Ändern aus.
8. Wähle im Abschnitt Microsoft SQL Server-Windows-Authentifizierung für Verzeichnis dein Verzeichnis aus.
9. Wähle Sofort anwenden.
   Hinweis: Nachdem die Änderung abgeschlossen ist, wird die DB-Instance erneut gestartet.

Ein InvalidParameterCombination-Fehler tritt auf, wenn du die modifyDBInstance-Opration aufrufst

Wenn du die folgende Fehlermeldung erhältst: „IAM role provided is not valid, check that the role exists and has the correct policies“, und führe dann die folgenden Aktionen aus:

• Verwende die standardmäßige AWS Identity and Access Management (IAM)-Rolle rds-directoryservice-access-role, wenn du die AWS-CLI verwendest, um einen Directory Service an die DB-Instance anzuhängen.
• Wenn du eine benutzerdefinierte Rolle verwendest, füge der benutzerdefinierten Rolle die Standardrichtlinie AmazonRdsDirectoryServiceAccess hinzu.

Die Windows-Authentifizierung konnte nicht verwendet werden, um sich bei der DB-Instance anzumelden

Die Windows-Authentifizierung erfordert eine SQL-Anmeldung auf der Instance für den AWS Managed Microsoft AD-Benutzer oder die Gruppe. Die SQL-Anmeldung verwendet die primären Benutzeranmeldeinformationen der DB-Instance. Wenn du Gruppen oder Benutzer im On-Premises-Microsoft Active Directory verwendest, dann musst duein Vertrauensverhältnis einrichten.

Gehe wie folgt vor, um eine Vertrauensbeziehung einzurichten:

1. Melde dich mit SQL Server Management Studio (SSMS) als Hauptbenutzer bei der DB-Instance an.
2. Verwende T-SQL, um das Windows-Authentifizierungs-Login zu erstellen:

   CREATE LOGIN [Domain Name\user or group] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

   Hinweis: Wenn du ein Windows-Authentifizierungs-Login auf einer RDS für SQL Server-Instance erstellst, musst du T-SQL verwenden. Du kannst die GUI nicht verwenden, um ein Login in SQL SSMS zu erstellen.
3. Stelle mithilfe der Windows-Authentifizierung eine Verbindung zur DB-Instance her.

Ähnliche Informationen

Arbeiten mit AWS Managed Active Directory mit RDS für SQL Server

Zugriffskontrolle mit Sicherheitsgruppen

Es kann keine Verbindung zu einer Amazon RDS-DB-Instance hergestellt werden

Kontenübergreifende Verknüpfung der Amazon RDS-DB-Instances zu einer einzigen gemeinsamen Domain

Migration von Microsoft SQL Server-Datenbanken zur AWS Cloud