AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Comment résoudre les problèmes d'authentification Windows liés à Amazon RDS for SQL Server avec AWS Managed Microsoft AD ?

Lecture de 7 minute(s)

J'ai configuré AWS Directory Service pour Microsoft Active Directory pour mon compte AWS. Je rencontre des problèmes lorsque je crée une instance de base de données Amazon Relational Database Service (Amazon RDS) pour Microsoft SQL Server.

Brève description

Lorsque vous créez une instance de base de données Amazon RDS for SQL Server, vous pouvez rencontrer l'un des problèmes suivants :

Microsoft Managed AD n'est pas disponible.
Le message d'erreur Impossible d’associer un hôte à un domaine s'affiche ou l'état de l’annuaire sur la console Amazon RDS indique Échec.
Vous ne pouvez pas utiliser l'authentification Windows pour vous connecter à l'instance de base de données.

Vous pouvez utiliser l'authentification Windows pour les instances de base de données Amazon RDS for SQL Server sur plusieurs comptes AWS et les Amazon Virtual Private Cloud (Amazon VPC). Vous pouvez également partager un annuaire AWS Managed Microsoft AD entre plusieurs comptes et VPC afin de gérer les charges de travail de base de données compatibles avec l’annuaire. Toutefois, les instances de base de données RDS for SQL Server doivent se trouver dans la même région AWS que l’annuaire AWS Managed Microsoft AD.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

AWS Managed Microsoft AD n'est pas répertorié ou n'est pas disponible lorsque vous créez une instance de base de données

Important : Pour répertorier AWS Managed Microsoft AD sur la console Amazon RDS, le type de domaine géré doit être AWS Managed Active Directory.

Si AWS Managed Microsoft AD se trouve dans une région différente de celle de l'instance de base de données, le répertoire ne sera pas répertorié lorsque vous créerez ou modifierez l'instance de base de données. Pour résoudre ce problème, assurez-vous que l'instance de base de données se trouve dans la même région que votre service d'annuaire.

Procédez comme suit :

Ouvrez la console Amazon RDS.
Dans le volet de navigation, sélectionnez Bases de données.
Sélectionnez votre instance de base de données.
Dans la section Résumé, notez la région dans laquelle se trouve votre instance de base de données.
Utilisez la console AWS Directory Service pour vérifier que le service d'annuaire se trouve dans la même région que l'instance de base de données.

Si votre AWS Managed Microsoft AD se trouve dans un compte différent de celui de l'instance de base de données, partagez Microsoft Managed AD avec le compte AWS. Répertoriez ensuite le service d'annuaire lorsque vous créez ou modifiez l'instance de base de données.

Procédez comme suit :

Partagez le répertoire avec le compte AWS dans lequel l'instance de base de données sera créée. Suivez les étapes décrites dans la section Partage de votre annuaire AWS Managed Microsoft AD pour une association transparente au domaine EC2 dans le guide d'administration d'AWS Directory Service.
Utilisez le compte de l'instance de base de données pour ouvrir la console AWS Directory Service.
Vérifiez que le domaine se trouve à l’état PARTAGÉ.
Utilisez la valeur ID de l’annuaire pour joindre l'instance de base de données au domaine.

Vous recevez un message d'erreur ou l'état du répertoire indique « Échec » lorsque vous associez une instance de base de données à un domaine

Lorsque vous joignez une instance de base de données à un domaine, le message d'erreur suivant peut s'afficher : « Failed to join a host to a domain. Domain membership status for instance XXXXXXX has been set to Failed. » Ou bien, l'annuaire peut apparaître à l’état Échec.

Pour résoudre l'échec de l’association de domaine, procédez comme suit :

Vérifiez que vous avez configuré le groupe de sécurité d'instance RDS for SQL Server pour autoriser le trafic sortant suivant :
Port TCP et UDP 53
Port TCP et UDP 88
Port TCP et UDP 135
Port TCP et UDP 389
Port TCP et UDP 445
Port TCP et UDP 464
Port TCP 636
Port TCP 3268
Port TCP 3269
Port TCP 9389
Ports TCP 49152 à 65535
Port UDP 123
Port UDP 138
Vérifiez que le groupe de sécurité AWS Managed Microsoft AD est configuré pour autoriser le trafic entrant correct.
Remarque : Le service AWS Directory crée un groupe de sécurité lorsque vous créez un AWS Managed Microsoft AD. Pour obtenir la liste des règles entrantes et sortantes ajoutées au groupe de sécurité, consultez la section Ce qui est créé avec votre AWS Managed Microsoft AD.
Vérifiez si votre instance de base de données et AWS Managed Microsoft AD se trouvent dans des VPC ou des comptes différents.
Remarque : Si tel est le cas, assurez-vous que la route est correcte pour connecter l'instance de base de données à AWS Managed Microsoft AD. Assurez-vous également qu’une route correcte est spécifiée afin de permettre à Microsoft Managed AD d’atteindre l'instance de base de données. Pour plus d'informations, consultez la section Prise en charge par RDS de l’association de domaine intercompte et entre VPC.

Après avoir identifié et résolu les causes potentielles de l'échec de l’association de domaine, effectuez les étapes suivantes pour associer à nouveau le domaine à l'instance de base de données :

Ouvrez la console Amazon RDS.
Dans le volet de navigation, sélectionnez Bases de données.
Sélectionnez l'instance de base de données qui n'a pas pu associer le domaine, puis choisissez Modifier.
Dans la section Authentification Windows de Microsoft SQL Server, pour Répertoire, choisissez Aucun.
Sélectionnez Appliquer immédiatement.
Remarque : Une fois la modification terminée, l'instance de base de données redémarre automatiquement.
Dans le volet de navigation, sélectionnez Bases de données.
Sélectionnez l’instance de base de données, puis sélectionnez Modifier.
Dans la section Authentification Windows de Microsoft SQL Server, pour Répertoire, sélectionnez votre répertoire.
Sélectionnez Appliquer immédiatement.
Remarque : Une fois la modification terminée, l'instance de base de données redémarre à nouveau.

Une erreur InvalidParameterCombination survient lorsque vous appelez l'opération ModifyDBInstance

Si vous recevez le message suivant : « IAM role provided is not valid, check that the role exists and has the correct policies », effectuez les actions suivantes :

Utilisez le rôle Gestion des identités et des accès AWS (AWS IAM) rds-directoryservice-access-role par défaut de lorsque vous utilisez l'AWS CLI pour associer un service d'annuaire à votre instance de base de données.
Si vous utilisez un rôle personnalisé, associez la politique AmazonRDSDirectoryServiceAccess par défaut au rôle personnalisé.

Impossible d'utiliser l'authentification Windows pour se connecter à l'instance de base de données

L'authentification Windows requiert une connexion SQL sur l'instance pour l'utilisateur ou le groupe AWS Managed Microsoft AD. La connexion SQL utilise les informations d'identification de l'utilisateur principal de l'instance de base de données. Si vous utilisez des groupes ou des utilisateurs dans votre Microsoft Active Directory sur site, vous devez créer une relation d’approbation.

Pour créer une relation d’approbation, procédez comme suit :

Utilisez SQL Server Management Studio (SSMS) pour vous connecter à votre instance de base de données en tant qu'utilisateur principal.

Utilisez T-SQL pour créer la connexion d'authentification Windows :

CREATE LOGIN [Domain Name\user or group] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

Remarque : Lorsque vous créez une connexion d'authentification Windows sur une instance RDS for SQL Server, vous devez utiliser T-SQL. Vous ne pouvez pas utiliser l'interface graphique pour créer une connexion dans SQL SSMS.

Utilisez l'authentification Windows pour vous connecter à l'instance de base de données.

Informations connexes

Utilisation d'AWS Managed Active Directory avec RDS for SQL Server

Contrôle des accès à l’aide des groupes de sécurité

Impossible de se connecter à une instance de base de données Amazon RDS

Association de vos instances de base de données Amazon RDS de plusieurs comptes à un seul domaine partagé

Migration de bases de données Microsoft SQL Server vers le cloud AWS

Sujets: Analytics Migration & Modernization Database
Balises: Microsoft SQL Server Amazon Relational Database Service
Langue: Français

AWS OFFICIELA mis à jour il y a 9 mois

Aucun commentaire

Contenus pertinents

Connexion base RDS Postgres à Power Bi Pro
GOT
demandé il y a 2 ans
Problème d'accès à une base de données logique dans une application laravel multi-tenant
rePost-User-0746455
demandé il y a un an
AWS SES Bloqué suite à un problème critique lié à votre envoi d'e-mails
rePost-User-2050300
demandé il y a 2 ans
Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a un an
Problème avec Layer AWS pour google-generativeai et erreur d'importation cygrpc
Baptiste
demandé il y a un an
Comment résoudre les problèmes liés à l'utilisation de mon identifiant Active Directory sur site pour mon instance RDS for SQL Server ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je synchroniser l'heure entre les instances jointes à un domaine Windows et AWS Managed Microsoft AD ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je activer MFA pour AWS Managed Microsoft AD ?
AWS OFFICIELA mis à jour il y a 5 ans
Pourquoi ne puis-je pas joindre facilement une instance Windows Amazon EC2 à un AWS Managed Microsoft AD dans Systems Manager ?
AWS OFFICIELA mis à jour il y a 10 mois