Como soluciono problemas de autenticação do Amazon RDS para SQL Server Windows com o AWS Managed Microsoft AD?

Breve descrição

Ao criar uma instância de banco de dados Amazon RDS para SQL Server, você pode enfrentar um dos seguintes problemas:

• O Microsoft Managed AD não está disponível.
• Você recebe a mensagem de erro Failed to join a host to a domain (Falha ao associar um host a um domínio) ou o status do diretório no console do Amazon RDS mostra Falha.
• Não é possível usar a Autenticação do Windows para fazer login na instância de banco de dados.

É possível usar a autenticação do Windows para instâncias de banco de dados do Amazon RDS para SQL Server em várias contas da AWS e Amazon Virtual Private Clouds (Amazon VPCs). Também é possível compartilhar um diretório AWS Managed Microsoft AD em várias contas e VPCs para gerenciar workloads de banco de dados com reconhecimento de diretórios. No entanto, as instâncias de banco de dados do RDS para SQL Server devem estar na mesma região da AWS que o diretório do AWS Managed Microsoft AD.

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

O AWS Managed Microsoft AD não está listado ou não está disponível quando você cria uma instância de banco de dados

Importante: para listar o AWS Managed Microsoft AD no console do Amazon RDS, o tipo de domínio gerenciado deve ser AWS Managed Active Directory.

Se o AWS Managed Microsoft AD estiver em uma região diferente da instância de banco de dados, o diretório não será listado quando você criar ou modificar a instância de banco de dados. Para resolver esse problema, certifique-se de que a instância de banco de dados esteja na mesma região que seu serviço de diretório.

Conclua as etapas a seguir:

1. Abra o console do Amazon RDS.
2. No painel de navegação, selecione Bancos de dados.
3. Selecione sua instância de banco de dados.
4. Na seção Resumo, observe a Região em que sua instância de banco de dados está.
5. Use o console do AWS Directory Service para confirmar se o serviço de diretório está na mesma região da instância de banco de dados.

Se o seu AWS Managed Microsoft AD estiver em uma conta diferente da instância de banco de dados, compartilhe o Microsoft Managed AD com a conta da AWS. Em seguida, liste o serviço de diretório ao criar ou modificar a instância de banco de dados.

Conclua as etapas a seguir:

1. Compartilhe o diretório com a conta da AWS na qual a instância de banco de dados será criada. Siga as etapas em Compartilhar seu diretório do AWS Managed Microsoft AD para uma união perfeita de domínios do EC2 no Guia de Administração do AWS Directory Service.
2. Use a conta da instância de banco de dados para abrir o console do AWS Directory Service.
3. Verifique se o domínio está no status COMPARTILHADO.
4. Use o valor do ID do diretório para unir a instância de banco de dados ao domínio.

Você recebe um erro ou o status do diretório mostra “Fail” ao associar uma instância de banco de dados a um domínio

Ao ingressar em uma instância de banco de dados a um domínio, você pode receber a seguinte mensagem de erro: “Failed to join a host to a domain. Domain membership status for instance XXXXXXX has been set to Failed.” Ou o status do Diretório pode aparecer como Falha.

Para solucionar a falha de ingresso no domínio, conclua as etapas a seguir:

1. Confirme se você configurou o grupo de segurança de instância do RDS para SQL Server para permitir o seguinte tráfego de saída:
   Porta TCP e UDP 53
   Porta TCP e UDP 88
   Porta TCP e UDP 135
   Porta TCP e UDP 389
   Porta TCP e UDP 445
   Porta TCP e UDP 464
   Porta TCP 636
   Porta TCP 3268
   Porta TCP 3269
   Porta TCP 9389
   Portas TCP 49152-65535
   Porta UDP 123
   Porta UDP 138
2. Confirme se o grupo de segurança AWS Managed Microsoft AD está configurado para permitir o tráfego de entrada correto.
   Observação: o AWS Directory Service cria um grupo de segurança quando você cria um AWS Managed Microsoft AD. Para ver a lista de regras de entrada e saída que são adicionadas ao grupo de segurança, consulte O que é criado com seu AWS Managed Microsoft AD.
3. Verifique se sua instância de banco de dados e o AWS Managed Microsoft AD estão em VPCs ou contas diferentes.
   Observação: nesse caso, certifique-se de que haja uma rota correta para conectar a instância de banco de dados ao AWS Managed Microsoft AD. Além disso, verifique se há uma rota correta para o Microsoft Managed AD acessar a instância de banco de dados. Para obter mais informações, consulte Suporte do RDS para uniões entre contas e domínios entre VPCs.

Depois de identificar e abordar as possíveis causas da falha na união do domínio, conclua as etapas a seguir para reassociar o domínio à instância de banco de dados:

1. Abra o console do Amazon RDS.
2. No painel de navegação, selecione Bancos de dados.
3. Selecione a instância de banco de dados que falhou ao ingressar no domínio e escolha Modificar.
4. Na seção de Autenticação do Windows do Microsoft SQL Server, em Diretório, escolha Nenhum.
5. Escolha Aplicar imediatamente.
   Observação: após a modificação for concluída, a instância de banco de dados será reinicializada automaticamente.
6. No painel de navegação, selecione Bancos de dados.
7. Selecione a instância de banco de dados e selecione Modificar.
8. Na seção de Autenticação do Windows do Microsoft SQL Server, em Diretório, selecione seu diretório.
9. Escolha Aplicar imediatamente.
   Observação: depois que a modificação for concluída, a instância de banco de dados será reinicializada novamente.

Um erro InvalidParameterCombination ocorre quando você chama a operação ModifyDBInstance

Se você receber a seguinte mensagem de erro: “IAM role provided is not valid, check that the role exists and has the correct policies”, execute as seguintes ações:

• Use o perfil padrão rds-directoryservice-access-role do AWS Identity and Access Management (AWS IAM) ao usar a AWS CLI para anexar um serviço de diretório à sua instância de banco de dados.
• Se você usa um perfil personalizado, anexe a política padrão do AmazonRDSDirectoryServiceAccess ao perfil personalizado.

Não foi possível usar a autenticação do Windows para fazer login na instância de banco de dados

A autenticação do Windows exige um login SQL na instância para o usuário ou grupo do AWS Managed Microsoft AD. O login do SQL usa as credenciais de usuário primário da instância de banco de dados. Se você usa grupos ou usuários em seu on-premises Microsoft Active Directory, você deve criar uma relação de confiança.

Para criar uma relação de confiança, conclua as etapas a seguir:

1. Use o SQL Server Management Studio (SSMS) para fazer login na sua instância de banco de dados como usuário principal.
2. Use o T-SQL para criar o login de autenticação do Windows:

   CREATE LOGIN [Domain Name\user or group] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

   Observação: ao criar um login de autenticação do Windows em uma instância do RDS para SQL Server, você deve usar o T-SQL. Não é possível usar a GUI para criar um login no SQL SSMS.
3. Use a Autenticação do Windows para se conectar à instância de banco de dados.

Informações relacionadas

Trabalhando com o AWS Managed Active Directory com o RDS para SQL Server

Controlar o acesso com grupos de segurança

Não consigo me conectar a uma instância de banco de dados Amazon RDS

Unindo suas instâncias de banco de dados do Amazon RDS em todas as contas em um único domínio compartilhado

Migrar bancos de dados do Microsoft SQL Server para a Nuvem AWS