Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso risolvere i problemi di Autenticazione Windows in Amazon RDS per SQL Server con Microsoft AD gestito da AWS?

6 minuti di lettura
0

Ho configurato il Servizio di directory AWS per Microsoft Active Directory per il mio account AWS. Ho problemi nella creazione di un'istanza database Amazon Relational Database Service (Amazon RDS) per Microsoft SQL Server.

Breve descrizione

Quando crei un'istanza database Amazon RDS per SQL Server, potresti riscontrare uno dei seguenti problemi:

  • Microsoft AD gestito non è disponibile.
  • Ricevi il messaggio di errore Failed to join a host to a domain oppure lo stato della directory sulla console Amazon RDS indica Non riuscita.
  • Non riesci a utilizzare Autenticazione Windows per accedere all'istanza database.

Puoi utilizzare Autenticazione Windows per istanze database Amazon RDS per SQL Server in più account AWS e Amazon Virtual Private Cloud (Amazon VPC). Puoi anche condividere una directory di Microsoft AD gestito da AWS in più account e VPC per gestire carichi di lavoro del database consapevoli della directory. Tuttavia, le istanze database RDS per SQL Server devono trovarsi nella stessa Regione AWS della directory di Microsoft AD gestito da AWS.

Risoluzione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Microsoft AD gestito da AWS non è elencato o non è disponibile quando crei un'istanza database

Importante: per elencare Microsoft AD gestito da AWS sulla console Amazon RDS, il tipo di dominio gestito deve essere Active Directory gestito da AWS.

Se Microsoft AD gestito da AWS si trova in una Regione diversa dall'istanza database, la directory non viene elencata quando crei o modifichi l'istanza database. Per risolvere il problema, assicurati che l'istanza database si trovi nella stessa Regione del Servizio di directory.

Completa i seguenti passaggi:

  1. Apri la console Amazon RDS.
  2. Nel pannello di navigazione, scegli Database.
  3. Seleziona l'istanza database.
  4. Nella sezione Riepilogo, annota la Regione in cui si trova l'istanza database.
  5. Utilizza la console Servizio di directory AWS per verificare che il Servizio di directory si trovi nella stessa Regione dell'istanza dataaìbase.

Se Microsoft AD gestito da AWS si trova in un account diverso dall'istanza database, condividi Microsoft AD gestito con l'account AWS. Quindi elenca il Servizio di directory quando crei o modifichi l'istanza database.

Completa i seguenti passaggi:

  1. Condividi la directory con l'account AWS in cui verrà creata l'istanza database. Segui i passaggi riportati in Condivisione della directory di Microsoft AD gestito da AWS per aggiungere facilmente un dominio EC2 in Guida all’amministrazione del Servizio di directory AWS.
  2. Apri la console Servizio di directory AWS utilizzando l'account per l'istanza database.
  3. Verifica che il dominio sia nello stato CONDIVISO.
  4. Utilizza il valore ID directory per unire l'istanza database al dominio.

Ricevi un errore o lo stato della directory mostra "Non riuscita" quando aggiungi un'istanza database a un dominio

Quando aggiungi un'istanza database a un dominio, potresti ricevere il seguente messaggio di errore: "Failed to join a host to a domain. Domain membership status for instance XXXXXXX has been set to Failed." Oppure lo stato della directory potrebbe apparire come Non riuscita.

Per risolvere l'errore di aggiunta al dominio, completa i seguenti passaggi:

  1. Verifica di aver configurato il gruppo di sicurezza dell'istanza RDS per SQL Server per consentire il seguente traffico in uscita:
    Porta TCP e UDP 53
    Porta TCP e UDP 88
    Porta TCP e UDP 135
    Porta TCP e UDP 389
    Porta TCP e UDP 445
    Porta TCP e UDP 464
    Porta TCP 636
    Porta TCP 3268
    Porta TCP 3269
    Porta TCP 9389
    Porte TCP 49152-65535
    Porta UDP 123
    Porta UDP 138
  2. Verifica che il gruppo di sicurezza di Microsoft AD gestito da AWS sia configurato per consentire il traffico in entrata corretto.
    Nota: quando crei un Microsoft AD gestito da AWS, il Servizio di directory AWS crea un gruppo di sicurezza. Per l'elenco delle regole in entrata e in uscita aggiunte al gruppo di sicurezza, consulta Cosa viene creato con Microsoft AD gestito da AWS.
  3. Verifica se l'istanza database e Microsoft AD gestito da AWS si trovano in VPC o account diversi.
    Nota: in tal caso, assicurati che esista una route corretta per connettere l'istanza database a Microsoft AD gestito da AWS. Inoltre, assicurati che esista una route corretto per consentire a Microsoft AD gestito di raggiungere l'istanza database. Per ulteriori informazioni, consulta RDS support for cross-account and cross-VPC domain join (Supporto RDS per l’aggiunta a domini in più account e VCP).

Dopo aver identificato e risolto le potenziali cause dell'errore di aggiunta al dominio, completa i seguenti passaggi per aggiungere nuovamente l'istanza database al dominio:

  1. Apri la console Amazon RDS.
  2. Nel pannello di navigazione, scegli Database.
  3. Seleziona l'istanza database che non è stato possibile aggiungere al dominio, quindi scegli Modifica.
  4. Nella sezione Autenticazione Microsoft SQL Server Windows, in Directory, scegli Nessuna.
  5. Scegli Applica immediatamente.
    Nota: una volta completata la modifica, l'istanza database si riavvia automaticamente.
  6. Nel pannello di navigazione, scegli Database.
  7. Seleziona l'istanza database, quindi scegli Modifica.
  8. Nella sezione Autenticazione Microsoft SQL Server Windows, per Directory, scegli la directory.
  9. Scegli Applica immediatamente.
    Nota: una volta completata la modifica, l'istanza database si riavvia nuovamente.

Si verifica un errore InvalidParameterCombination quando chiami l'operazione ModifyDBInstance

Ricevi il seguente errore: "IAM role provided is not valid, check that the role exists and has the correct policies", then take the following actions:

  • Utilizza il ruolo AWS Identity and Access Management (AWS IAM) rds-directoryservice-access-role predefinito quando colleghi un Servizio di directory all'istanza database con AWS CLI.
  • Se utilizzi un ruolo personalizzato, collega la policy predefinita AmazonRDSDirectoryServiceAccess al ruolo personalizzato.

Impossibile utilizzare Autenticazione Windows per accedere all'istanza database

Autenticazione Windows richiede un accesso SQL all'istanza per l'utente o il gruppo Microsoft AD gestito da AWS. L'accesso SQL utilizza le credenziali dell'utente principale dell'istanza database. Se utilizzi gruppi o utenti nel Microsoft Active Directory on-premises, devi creare una relazione di attendibilità.

Per creare una relazione di attendibilità, completa i seguenti passaggi:

  1. Accedi all'istanza database come utente principale utilizzando SQL Server Management Studio (SSMS).
  2. Utilizza T-SQL per creare l'accesso Autenticazione Windows: 
    CREATE LOGIN [Domain Name\user or group] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
    Nota: quando crei un accesso Autenticazione Windows su un'istanza RDS per SQL Server, devi utilizzare T-SQL. Non puoi utilizzare la GUI per creare un accesso in SQL SSMS.
  3. Utilizza Autenticazione Windows per connetterti all'istanza database.

Informazioni correlate

Utilizzo di Active Directory gestito da AWS con RDS per SQL Server

Controllo dell'accesso con i gruppi di sicurezza

Impossibile connettersi all'istanza database di Amazon RDS

Joining your Amazon RDS DB instances across accounts to a single shared domain (Aggiunta di istanze database Amazon RDS in più account a un unico dominio condiviso)

Migrazione dei database Microsoft SQL Server sul cloud AWS

Argomenti
AnalyticsMigration & ModernizationDatabase
Tag
Microsoft SQL ServerAmazon Relational Database Service
Lingua
Italiano
AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente