当您需要将RDS SQL Server实例集成到企业的身份认证体系中时,可参考本文教程在ECS实例中配置域控服务器,并将RDS SQL Server实例接入自建域中,帮助您实现资源的集中权限管理和身份验证。
背景信息
Microsoft AD即Active Directory(活动目录),是微软提供的面向Windows Standard Server、Windows Enterprise Server以及Microsoft SQL Server等产品的目录服务。目录是一种分层结构,用于存储同一局域网络上对象的信息。例如,AD存储有关用户账号的信息,例如名称、密码、电话号码等,并允许同一局域网络上的其他授权用户访问此信息。
AD是Windows生态体系下的重要组成单元。诸多大型企业,会通过域控来实现统筹的集中式访问管理,是企业内部长期依赖的原生管理方式。在上述背景下,当您从自建环境迁移整体服务至云上或使用混合云架构时,往往也需要在云上体系中支持AD服务,以便于全局管理。具体至SQL Server数据库,作为微软生态体系下的重要一环,大型企业在搬迁上云时AD的支持成为最基础的要素。
基于上述情况,RDS SQL Server提供实例接入自建域功能,帮助您完善业务生态体系。
开通并配置了AD域功能后,您可以通过AD自建域创建账号,并授予相应的权限,使得该账号可以登录RDS SQL Server并对数据库进行相应的操作。
但由于超级权限账号(System Admin)或主机账号所拥有的操作权限已超出了RDS控制的范围,因此对于通过AD自建域功能所创建的该类型账号的RDS实例,我们无法保证SLA。
前提条件
RDS实例需满足如下条件:
实例系列:基础系列、集群系列、高可用系列
实例规格:通用型、独享型(不支持共享型)
说明您可以前往实例基本信息页面查看以上信息。
登录账号必须为阿里云主账号。
RDS和域控服务器所在ECS在相同VPC。
ECS安全组放通RDS的内网IP。详情请参见添加安全组规则。
ECS实例系统防火墙放通RDS的内网IP。ECS实例系统防火墙默认关闭,如果您开启过,需要放通RDS的内网IP。
域账号属于Domain Admins组(由于客户端主动加域需要高权限)。
域控服务器与DNS是相同IP。
注意事项
加入或退出AD域的操作都需要重启Windows操作系统,为避免对正在进行的业务造成中断影响,请您尽量在业务低峰期执行此类操作。
使用限制
Windows版本选择
域控服务器需要建立在Windows Server操作系统之上,创建ECS实例时,系统最低版本为Windows Server 2012 R2,建议使用Windows Server 2016及以上版本,语言选择英文,本文将以Windows Server 2016为例指导您建立可供RDS使用的域控服务器。
步骤一:ECS实例系统配置域控服务器
登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在实例列表页面中,单击目标实例ID。
远程登录ECS的Windows Server 2016系统。
搜索Server Manager并打开。
单击Add roles and features,进行如下设置。
页面名称
设置说明
Installation Type
保持默认设置。
Server Selection
保持默认设置。
Server Roles
选中Active Directory Domain Services,并在弹出的对话框中单击Add Features。
选中DNS Server,并在弹出的对话框中单击Add Features。如果提示您电脑不是固定IP,建议您修改电脑为固定IP,防止IP自动变更导致DNS服务器无法使用。
Features
保持默认设置。
AD DS
保持默认设置。
DNS Server
保持默认设置。
Confirmation
单击Install进行安装。
等待安装完成后,单击Close关闭页面。
在左侧导航栏单击AD DS,然后在右上方单击More。
单击Promote this server to a domain...,进行如下设置。
页面名称
设置说明
Deployment Configuration
选择Add a new forest,设置域名。
Domain Controller Options
设置恢复模式密码。
DNS Options
取消Create DNS delegation选项的√。
Additional Options
保持默认设置。
Paths
保持默认设置。
Review Options
保持默认设置。
Prerequisites Check
单击Install进行安装。
说明安装完成后系统会重启。
等待系统重启,再次搜索Server Manager并打开。
在左侧导航栏单击AD DS,然后在右侧目标域控服务器上单击鼠标右键,选择Active Directory Users and Computers,进入AD用户管理模块。
在 上单击鼠标右键,选择 。
设置登录的用户名称,然后单击Next。
设置登录密码,并设置密码永不过期,然后单击Next及Finish完成创建。
双击新创建的用户,将该用户加入Domain Admins管理员组。
步骤二:配置ECS实例安全组
登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在实例列表页面中,单击目标实例ID。
在上方导航栏中选择安全组,然后单击安全组操作列下的配置规则。
在入方向页签内单击手动添加,允许如下端口访问ECS实例。
协议类型
端口范围
说明
TCP
88
Kerberos认证协议端口。
TCP
135
远程过程调用协议(RPC)端口。
TCP/UDP
389
轻型目录访问协议(LDAP)端口。
TCP
445
通用互联网文档系统协议(CIFS)端口。
TCP
3268
Global Catalog端口。
TCP/UDP
53
DNS端口。
TCP
49152~65535
连接的默认动态端口范围。输入格式为:49152/65535。
步骤三:配置RDS实例AD域服务
- 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击账号管理。
单击AD域服务信息页签,然后单击配置AD域服务。
在弹出的配置AD域服务对话框中,设置如下参数,并选中我已阅读并知晓配置AD域服务对《RDS 服务等级协议》的影响。
警告开通并配置了AD域功能后,您可以通过AD自建域创建账号,并授予相应的权限,使得该账号可以登录RDS SQL Server并对数据库进行相应的操作。
但由于超级权限账号(System Admin)或主机账号所拥有的操作权限已超出了RDS控制的范围,因此对于通过AD自建域功能所创建的该类型账号的RDS实例,我们无法保证SLA。
参数
说明
域名
创建活动目录时(Deployment Configuration页面)指定的域名。例如本文设置的是testdomian.net。
IP地址
域控服务器所在ECS的IP,可以在ECS中使用
ipconfig
获取,也可以在阿里云ECS控制台中查看。域账号
之前创建的用户名。
域密码
用户名对应的密码。
单击确定,等待AD域配置完成。
相关操作
使用API查看或修改AD域关联信息、退出所在AD域,请参见: