Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
如何對使用 AWS Managed Microsoft AD 進行 Amazon RDS for SQL Server Windows 驗證的問題進行疑難排解?
我為 AWS 帳戶設定了 AWS Directory Service for Microsoft Active Directory。我在為 Microsoft SQL Server 資料庫執行個體建立 Amazon Relational Database Service (Amazon RDS) 時遇到問題。
簡短描述
建立 Amazon RDS for SQL Server 資料庫執行個體時,您可能會遇到下列其中一個問題:
- Managed Microsoft AD 無法使用。
- 您收到無法將主機加入網域錯誤訊息,或 Amazon RDS 主控台上的目錄狀態顯示失敗。
- 您無法使用 Windows 驗證登入資料庫執行個體。
您可以跨多個 AWS 帳戶和 Amazon Virtual Private Cloud (Amazon VPC) 對 Amazon RDS for SQL Server 資料庫執行個體使用 Windows 驗證。您也可以在多個帳戶和 VPC 之間共用 AWS Managed Microsoft AD 目錄,以管理目錄感知資料庫工作負載。但是,RDS for SQL Server 資料庫執行個體必須與 AWS Managed Microsoft AD 目錄位於相同 AWS 區域。
解決方法
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請參閱對 AWS CLI 錯誤進行疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本。
建立資料庫執行個體時,AWS Managed Microsoft AD 未列出或無法使用
**重要:**若要在 Amazon RDS 主控台上列出 AWS Managed Microsoft AD,首管網域類型必須是 AWS Managed 作用中的目錄。
如果 AWS Managed Microsoft AD 與資料庫執行個體位於不同的區域,則在建立或修改資料庫執行個體時不會列出該目錄。若要解決此問題,請確定資料庫執行個體與 Directory Service 位於相同的區域。
請完成下列步驟:
- 開啟 Amazon RDS console (Amazon RDS 主控台)。
- 在導覽窗格中,選擇 Databases (資料庫)。
- 選取您的資料庫執行個體。
- 在 Summary (摘要) 區段中,記下資料庫執行個體所在的區域。
- 使用 AWS Directory Service 主控台確認目錄服務與資料庫執行個體位於相同區域。
如果您的 AWS Managed Microsoft AD 與資料庫執行個體位於不同的帳戶,請與 AWS 帳戶共用 Microsoft Managed AD。然後,在建立或修改資料庫執行個體時,列出目錄服務。
請完成下列步驟:
- 與將在其中建立資料庫執行個體的 AWS 帳戶共用目錄。請依照 AWS Directory Service 管理指南中的共用 AWS Managed Microsoft AD 目錄以順暢加入 EC2 網域步驟進行操作。
- 使用資料庫執行個體的帳戶開啟 AWS Directory Service 主控台。
- 確認網域是否處於共用狀態。
- 使用目錄 ID 值將資料庫執行個體加入網域。
將資料庫執行個體加入網域時,您收到錯誤或目錄狀態顯示「失敗」
將資料庫執行個體加入網域時,您可能會收到下列錯誤訊息: 「無法將主機加入網域。執行個體 XXXXXXX 的網域成員資格狀態已設定為失敗。」 或者,目錄狀態可能會顯示為失敗。
若要對網域加入失敗進行疑難排解,請完成下列步驟:
- 確認您已將 RDS for SQL Server 執行個體安全群組設定為允許下列傳出流量:
TCP 和 UDP 連接埠 53
TCP 和 UDP 連接埠 88
TCP 和 UDP 連接埠 135
TCP 和 UDP 連接埠 389
TCP 和 UDP 連接埠 445
TCP 和 UDP 連接埠 464
TCP 連接埠 636
TCP 連接埠 3268
TCP 連接埠 3269
TCP 連接埠 9389
TCP 連接埠 49152-65535
UDP 連接埠 123
UDP 連接埠 138 - 確認 AWS Managed Microsoft AD 安全群組已設定為允許正確的傳入流量。
**注意:**當您建立 AWS Managed Microsoft AD 時,AWS Directory Service 會建立一個安全群組。如需新增至安全群組的傳入和傳出規則清單,請參閱使用 AWS Managed Microsoft AD 建立的內容。 - 檢查您的資料庫執行個體和 AWS Managed Microsoft AD 是否位於不同的 VPC 或帳戶中。
**注意:**如果是這樣,請確定有正確的路由來將資料庫執行個體連線到 AWS Managed Microsoft AD。此外,請確定與資料庫執行個體連線的 Microsoft Managed AD 路由正確。如需詳細資訊,請參閱跨帳戶和跨 VPC 網域加入的 RDS 支援。
在您確定並解決網域加入失敗的潛在原因之後,請完成下列步驟,將網域重新連接到資料庫執行個體:
- 開啟 Amazon RDS console (Amazon RDS 主控台)。
- 在導覽窗格中,選擇 Databases (資料庫)。
- 選取無法加入網域的資料庫執行個體,然後選擇 Modify (修改)。
- 在 Microsoft SQL Server Windows Authentication (Microsoft SQL Server Windows 驗證) 區段的 Directory (目錄) 中,選擇 None (無)。
- 選擇 Apply immediately (立即套用)。
**注意:**修改完成後,資料庫執行個體會自動重新啟動。 - 在導覽窗格中,選擇 Databases (資料庫)。
- 選取資料庫執行個體,然後選擇 Modify (修改)。
- 在 Microsoft SQL Server Windows Authentication (Microsoft SQL Server Windows 驗證) 區段的 Directory (目錄) 中,選取您的目錄。
- 選擇 Apply immediately (立即套用)。
**注意:**修改完成後,資料庫執行個體會再次重新啟動。
呼叫 ModifyDBInstance 作業時出現 InvalidParameterCombination 錯誤
如果您收到以下錯誤訊息: 「提供的 IAM 角色無效,請檢查角色是否存在且具有正確的政策」,然後執行下列動作:
- 當您使用 AWS CLI 將目錄服務附加到資料庫執行個體時,請使用預設的 rds-directory service-access-role AWS Identity and Access Management (IAM) 角色。
- 如果您使用自訂角色,請將 AmazonRDSDirectoryServiceAccess 預設政策附加至自訂角色。
無法使用 Windows 驗證登入資料庫執行個體
Windows 驗證需要在 AWS Managed Microsoft AD 使用者或群組的執行個體上登入 SQL。SQL 登入會使用資料庫執行個體的主要使用者憑證。如果您在內部部署 Microsoft Active Directory 中使用群組或使用者,則必須建立信任關係。
若要建立信任關係,請完成下列步驟:
- 使用 SQL Server Management Studio (SSMS) 以主要使用者身分登入您的資料庫執行個體。
- 使用 T-SQL 以建立 Windows 驗證登入:
**注意:**在 RDS for SQL Server 執行個體上建立 Windows 驗證登入時,必須使用 T-SQL。您無法使用 GUI 在 SQL SSMS 中建立登入。CREATE LOGIN [Domain Name\user or group] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english]; - 使用 Windows 驗證連線到資料庫執行個體。
相關資訊
使用 AWS Managed Active Directory 和 RDS for SQL Server
相關內容
- 已提問 9 個月前
- 已提問 2 年前
- 已提問 2 年前
