RDS SQL Server執行個體接入自建域

注意事項

加入或退出AD域的操作都需要重啟Windows作業系統，為避免對進行中的業務造成中斷影響，請您盡量在業務低峰期執行此類操作。

使用限制

加入AD域的執行個體不支援升級資料庫大版本、升級核心小版本、遷移可用性區域操作。

Windows版本選擇

域控伺服器需要建立在Windows Server作業系統之上，建立ECS執行個體時，系統最低版本為Windows Server 2012 R2，建議使用Windows Server 2016及以上版本，語言選擇英文，本文將以Windows Server 2016為例指導您建立可供RDS使用的域控伺服器。

步驟一：ECS執行個體系統佈建網域控伺服器

1. 登入ECS管理主控台。

2. 在左側導覽列，選擇執行個體與鏡像 > 執行個體。

3. 在頁面左側頂部，選擇目標資源所在的資源群組和地區。

4. 在執行個體列表頁面中，單擊目標執行個體ID。

5. 遠程登入ECS的Windows Server 2016系統。

6. 搜尋Server Manager並開啟。

7. 單擊Add roles and features，進行如下設定。

   頁面名稱	設定說明

   頁面名稱	設定說明
   Installation Type	保持預設設定。
   Server Selection	保持預設設定。
   Server Roles	選中Active Directory Domain Services，並在彈出的對話方塊中單擊Add Features。 選中DNS Server，並在彈出的對話方塊中單擊Add Features。如果提示您電腦不是固定IP，建議您修改電腦為固定IP，防止IP自動變更導致DNS伺服器無法使用。
   Features	保持預設設定。
   AD DS	保持預設設定。
   DNS Server	保持預設設定。
   Confirmation	單擊Install進行安裝。

8. 等待安裝完成後，單擊Close關閉頁面。

9. 在左側導覽列單擊AD DS，然後在右上方單擊More。

   

10. 單擊Promote this server to a domain...，進行如下設定。

    

    頁面名稱	設定說明

    頁面名稱	設定說明
    Deployment Configuration	選擇Add a new forest，設定網域名稱。
    Domain Controller Options	設定復原模式密碼。
    DNS Options	取消Create DNS delegation選項的√。
    Additional Options	保持預設設定。
    Paths	保持預設設定。
    Review Options	保持預設設定。
    Prerequisites Check	單擊Install進行安裝。 說明 安裝完成後系統會重啟。

11. 等待系統重啟，再次搜尋Server Manager並開啟。

12. 在左側導覽列單擊AD DS，然後在右側目標域控伺服器上單擊滑鼠右鍵，選擇Active Directory Users and Computers，進入AD使用者管理模組。

    

13. 在testdomain.net > Users上單擊滑鼠右鍵，選擇New > User。

    

14. 設定登入的使用者名稱稱，然後單擊Next。

    

15. 設定登入密碼，並設定密碼永不到期，然後單擊Next及Finish完成建立。

    

16. 雙擊新建立的使用者，將該使用者加入Domain AdminsAdministrator 群組。

    

步驟二：配置ECS執行個體安全性群組

1. 登入ECS管理主控台。

2. 在左側導覽列，選擇執行個體與鏡像 > 執行個體。

3. 在頁面左側頂部，選擇目標資源所在的資源群組和地區。

4. 在執行個體列表頁面中，單擊目標執行個體ID。

5. 在上方導覽列中選擇安全性群組，然後單擊安全性群組操作列下的配置規則。

6. 在入方向頁簽內單擊手動添加，允許如下連接埠訪問ECS執行個體。

   

   協議類型	連接埠範圍	說明

   協議類型	連接埠範圍	說明
   TCP	88	Kerberos認證協議連接埠。
   TCP	135	遠端程序呼叫協議（RPC）連接埠。
   TCP/UDP	389	輕量型目錄存取通訊協定（LDAP）連接埠。
   TCP	445	通用互連網文檔系統協議（CIFS）連接埠。
   TCP	3268	Global Catalog連接埠。
   TCP/UDP	53	DNS連接埠。
   TCP	49152~65535	串連的預設動態連接埠範圍。輸入格式為：49152/65535。

步驟三：配置RDS執行個體AD網域服務

1. 訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。

2. 在左側導覽列單擊帳號管理。

3. 單擊AD網域服務資訊頁簽，然後單擊配置AD網域服務。

   

4. 在彈出的配置AD網域服務對話方塊中，設定如下參數，並選中我已閱讀並知曉配置AD網域服務對《RDS 服務等級協議》的影響。

   警告

   開通並配置了AD域功能後，您可以通過AD自建域建立帳號，並授予相應的許可權，使得該帳號可以登入RDS SQL Server並對資料庫進行相應的操作。

   但由於超級許可權帳號（System Admin）或主機帳號所擁有的操作許可權已超出了RDS控制的範圍，因此對於通過AD自建域功能所建立的該類型帳號的RDS執行個體，我們無法保證SLA。

   參數	說明

   參數	說明
   網域名稱	建立活動目錄時（Deployment Configuration頁面）指定的網域名稱。例如本文設定的是testdomian.net。
   目錄IP地址	域控伺服器所在ECS的IP，可以在ECS中使用ipconfig擷取，也可以在阿里雲ECS控制台中查看。
   域帳號	之前建立的使用者名稱。
   域密碼	使用者名稱對應的密碼。

5. 單擊確定，等待AD網域設定完成。

相關操作

使用API查看或修改AD域關聯資訊、退出所在AD域，請參見：

• DescribeADInfo - 查詢RDS SQL Server的AD域關聯資訊

• ModifyADInfo - 修改RDS SQL Server的AD網域設定

• DeleteADSetting - 刪除RDS SQL Server的AD域關聯

常見問題