ApsaraDB RDS for SQL Serverインスタンスを企業のID認証システムと統合する場合は、このトピックの手順に従って、Elastic Compute Service (ECS) インスタンスにドメインコントローラサーバーをデプロイし、RDSインスタンスを自己管理ドメインに接続できます。 これにより、リソースのアクセス許可を管理し、IDを一元管理できます。
背景情報
Microsoft Active Directory (AD) は、Windows Server Standard、Windows Server Enterprise、Microsoft SQL Serverなどの特定のMicrosoftサービス用に提供されるディレクトリサービスです。 ディレクトリは、同じLAN上のオブジェクトに関する情報を格納する階層構造です。 たとえば、ADは、名前、パスワード、電話番号などのユーザーアカウントに関する情報を保存し、同じLAN上の他の許可されたユーザーがその情報にアクセスできるようにします。
ADはWindowsエコシステムの重要な部分です。 多くの大企業は、集中型アクセス管理を計画および実装するために、Windowsによって提供されるドメイン制御メカニズムに依存しています。 すべてのワークロードをオンプレミス環境からクラウドに移行する場合、またはハイブリッドクラウドアーキテクチャを使用する場合は、クラウドがグローバル管理のADをサポートしていることを確認してください。 ADサポートは、オンプレミスのSQL Serverデータベースをクラウドに移行できるかどうかを決定する重要な要素です。
ApsaraDB RDS for SQL Serverを使用すると、RDSインスタンスを自己管理ドメインに接続して、ビジネスシステムを改善できます。
ADドメイン機能を有効にして設定した後、自己管理型ADドメインを使用してアカウントを作成し、アカウントにRDSインスタンスにログインしてRDSインスタンスで操作を実行する権限を付与できます。
ただし、システム管理者アカウントまたはホストアカウントには、ApsaraDB RDSの管理範囲を超える権限があります。 自己管理型ADドメインを使用してアカウントが作成されたRDSインスタンスに対して、Alibaba Cloudサービスレベル契約 (SLA) で指定されているサービスの可用性がシステムに提供されません。 詳細は、「SLA」をご参照ください。
前提条件
RDSインスタンスは次の要件を満たしています。
RDSインスタンスは、RDS Basic Edition、RDS Cluster Edition、またはRDS High-availability Editionを実行します。
RDSインスタンスは、汎用または専用インスタンスファミリーに属しています。 共有インスタンスファミリーはサポートされていません。
説明RDSインスタンスの [基本情報] ページに移動して、前述の情報を表示できます。
ログインアカウントはAlibaba Cloudアカウントです。
RDSインスタンスとドメインコントローラサーバーをホストするECSインスタンスは、同じ仮想プライベートクラウド (VPC) に存在します。
ECSインスタンスが属するセキュリティグループは、RDSインスタンスのプライベートIPアドレスからのアクセスを許可するように設定されています。 詳細については、「セキュリティグループルールの追加」をご参照ください。
RDSインスタンスのプライベートIPアドレスは、ECSインスタンスのファイアウォールによって許可されています。 ファイアウォールはデフォルトで無効になっています。 ファイアウォールを有効にした場合、RDSインスタンスのプライベートIPアドレスからのアクセスを許可するようにファイアウォールを設定する必要があります。
使用するドメインアカウントはdomain Adminsグループに属しています。これは、クライアントがドメインをプロアクティブに追加するには高い権限が必要なためです。
ドメインコントローラーサーバーは、ドメインネームシステム (DNS) サーバーと同じIPアドレスを使用します。
使用上の注意
ADドメインにRDSインスタンスを追加する場合、またはADドメインからRDSインスタンスを削除する場合は、Windowsオペレーティングシステムを再起動する必要があります。 進行中のサービスの中断を避けるため、オフピーク時にこれらの操作を実行することを推奨します。
制限事項
RDSインスタンスをADドメインに追加した場合、メジャーエンジンのバージョンをアップグレードしたり、マイナーエンジンバージョンを更新したり、RDSインスタンスをゾーン間で移行したりすることはできません。 詳細については、「メジャーエンジンのバージョンのアップグレード」、「マイナーエンジンバージョンの更新」、および「ApsaraDB RDS For SQL Serverインスタンスのゾーン間移行」をご参照ください。
Windowsバージョンの選択
Windows serverを実行するECSインスタンスにドメインコントローラーサーバーをデプロイする必要があります。 ECSインスタンスは、Windows Server 2012 R2以降を実行する必要があります。 Windows Server 2016以降を使用し、表示言語として英語を選択することを推奨します。 次のセクションでは、Windows Server 2016を実行するECSインスタンスを使用して、RDSインスタンスにドメインコントローラーサーバーをデプロイする方法を説明します。
手順1: ECSインスタンスへのドメインコントローラサーバーのデプロイ
にログインします。ECSコンソール.
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
On theインスタンスページで、必要なECSインスタンスを見つけ、ECSインスタンスのIDをクリックします。
ECSインスタンスにログインします。
検索して開くサーバーマネージャー.
クリック役割と機能の追加次のパラメータを設定します。
パラメーター
説明
インストールタイプ
デフォルト設定を保持します。
サーバーの選択
デフォルト設定を保持します。
サーバーの役割
[Active Directoryドメインサービス] を選択します。 表示されるダイアログボックスで、[機能の追加] をクリックします。
[DNSサーバー] を選択します。 表示されるダイアログボックスで、[機能の追加] をクリックします。 コンピューターが固定IPアドレスを使用していることを確認してください。 IPアドレスが動的に変更されると、DNSサーバーは使用できなくなります。
機能
デフォルト設定を保持します。
広告DS
デフォルト設定を保持します。
DNSサーバー
デフォルト設定を保持します。
確認
[インストール] をクリックします。
インストールが完了したら、閉じる.
左側のナビゲーションウィンドウで、[AD DS] をクリックします。 ページの右上隅にある [詳細] をクリックします。
クリックこのサーバーをドメインに昇格する次のパラメータを設定します。
パラメーター
説明
デプロイメントの設定
[新しいフォレストの追加] を選択し、ドメイン名を指定します。
ドメインコントローラのオプション
ディレクトリサービス復元モード (DSRM) のパスワードを設定します。
DNSオプション
[DNS委任の作成] をクリアします。
追加オプション
デフォルト設定を保持します。
パス
デフォルト設定を保持します。
レビューオプション
デフォルト設定を保持します。
前提条件チェック
[インストール] をクリックします。
説明インストールが完了すると、システムが再起動します。
システムの再起動後、を検索して開きますサーバーマネージャー再び。
左側のナビゲーションウィンドウで、[AD DS] をクリックします。 必要なドメインコントローラーサーバーを右クリックし、[Active Directoryユーザーとコンピューター] を選択して、ADユーザー管理モジュールに移動します。
を展開します。 [ユーザー] を右クリックし、 を選択します。
ユーザー名を指定して、次へ.
パスワードを指定し、[パスワードの有効期限はありません] を選択し、[次へ] をクリックします。 次に、[完了] をクリックします。
作成したユーザーをダブルクリックし、Domain Adminsグループに追加します。
ステップ2: ECSインスタンスのセキュリティグループの設定
にログインします。ECSコンソール.
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
On theインスタンスページで、必要なECSインスタンスを見つけ、ECSインスタンスのIDをクリックします。
表示されるページで、[セキュリティグループ] タブをクリックします。 表示されるタブで、[操作] 列の [ルールの設定] をクリックします。
On theインバウンドタブをクリックします。ルールの追加を使用して、RDSインスタンスが次のポートを介してECSインスタンスにアクセスできるようにするルールを作成します。
プロトコルタイプ
ポートとポート範囲
説明
TCP
88
Kerberos認証プロトコルのポート。
TCP
135
リモートプロシージャコール (RPC) プロトコルのポート。
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP) のポート。
TCP
445
Common Internet File System (CIFS) プロトコルのポート。
TCP
3268
グローバルカタログのポート。
TCP/UDP
53
DNSサービスのポート。
TCP
65535に49152
接続のデフォルトのダイナミックポート範囲。 次の形式で値を入力します。49152/65535.
手順3: RDSインスタンスのADドメインサービスの設定
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、アカウント管理.
をクリックし、ADドメインサービスタブをクリックし、ADドメインサービスの設定.
ADドメインサービスの設定 ダイアログボックスで、パラメーターを設定し、[ADドメインサービスがRDSサービスレベル契約に与える影響を確認しました] を参照して選択します。
警告ADドメイン機能を有効にして設定した後、自己管理型ADドメインを使用してアカウントを作成し、アカウントにRDSインスタンスにログインしてRDSインスタンスで操作を実行する権限を付与できます。
ただし、システム管理者アカウントまたはホストアカウントには、ApsaraDB RDSの管理範囲を超える権限があります。 自己管理型ADドメインを使用してアカウントが作成されたRDSインスタンスに対して、Alibaba Cloudサービスレベル契約 (SLA) で指定されているサービスの可用性がシステムに提供されません。 詳細は、「SLA」をご参照ください。
パラメーター
説明
ドメイン名
[デプロイ設定] ページでADを作成するときに指定したドメイン名。 この例では、testdomian.netが使用されます。
ディレクトリ IP アドレス
ドメインコントローラサーバーがデプロイされているECSインスタンスのIPアドレス。 ECSインスタンスで
ipconfigコマンドを実行するか、ECSコンソールを使用してIPアドレスを取得できます。
ドメインアカウント
作成したアカウントのユーザー名。
ドメインパスワード
アカウントのパスワードを入力します。
クリックOKドメインが追加されるまで待ちます。
次に何をすべきか
次の操作を呼び出して、ADドメインに関する情報を表示または変更し、ADドメインからRDSインスタンスを削除できます。
よくある質問
ドメイン管理者権限を持つアカウントを使用することを推奨します。 ドメイン管理者権限を持つアカウントを使用しない場合は、次の操作を実行して、権限の少ないアカウントを使用できます。 ただし、権限が最も少ないアカウントを使用している場合は、RDSインスタンスをドメインから切断するときに、ドメインコントローラーサーバーからコンピューターを手動で削除する必要があります。 それ以外の場合、RDSインスタンスをこのドメインに再接続するとエラーが報告されます。
ユーザーを作成し、そのユーザーがドメインユーザーグループに属していることを確認したら、 を選択して、作成したユーザーを追加します。
ユーザーを右クリックし、[委任するカスタムタスクの作成] を選択します。 そして、[次へ] をクリックします。
[フォルダ内の次のオブジェクトのみ] と、次の図に示す赤色で強調表示されている項目を選択します。 そして、[次へ] をクリックします。
次の図に示す項目を選択します。 次に、手順が完了するまで [次へ] をクリックします。
