Comment résoudre les problèmes d'authentification Windows pour Amazon RDS for SQL Server avec AWS Managed Microsoft Active Directory ?

Date de la dernière mise à jour : 18/06/2019

AWS Directory Service pour Microsoft Active Directory est configuré sur mon compte AWS. Cependant, lorsque j'essaie de créer une instance Amazon Relational Database Service (Amazon RDS) qui exécute SQL Server, je rencontre l'un des problèmes suivants :

  • Active Directory n'est pas disponible.
  • Je rencontre l'erreur « Failed to join a host to a domain » (Impossible de joindre un hôte à un domaine).
  • Je ne parviens pas à me connecter à l'instance de base de données à l'aide de l'authentification Windows.

Comment puis-je résoudre ces problèmes avec AWS Managed Microsoft AD ?

Brève description

L'authentification Windows pour les instances Amazon RDS qui exécutent SQL Server est prise en charge uniquement dans un Amazon Virtual Private Cloud (VPC Amazon). Pour cette raison, le répertoire doit se trouver dans la même région AWS et dans le même VPC que les instances de base de données. Même s'il existe une liaison VPC entre deux VPC dans des régions AWS différentes, le répertoire n'est pas listé dans la console Amazon RDS.

Résolution

Active Directory n'est pas répertorié ou n'est pas disponible lors de la création d'une instance de base de données.

Important : le type de domaine géré doit être un répertoire actif géré pour Active Directory et ce dernier doit se trouver dans la console Amazon RDS.

Si le VPC et le répertoire se trouvent dans des régions AWS différentes de celles de l'instance de base de données, vous ne verrez pas le répertoire dans la liste au moment de créer ou de modifier une instance de base de données. Pour résoudre ce problème, assurez-vous que l'instance de base de données se trouve dans la même région AWS et le même VPC que votre répertoire.

1.    Ouvrez la console Amazon RDS et choisissez Databases (Bases de données) dans le volet de navigation.

2.    Choisissez l'instance que vous souhaitez connecter au répertoire.

3.    Dans l'onglet Connectivity & security (Connectivité et sécurité), passez en revue le VPC associé à votre instance de base de données.

4.    Vérifiez que le répertoire se trouve dans la même région AWS et dans le même VPC que l'instance de base de données.

5.    Ouvrez la console Directory Service.

6.    Choisissez Directories (Répertoires) dans le volet de navigation, puis sélectionnez le répertoire que vous avez créé.

7.    Dans l'onglet Directory details (Détails du répertoire), passez en revue les informations sur le VPC. Vérifiez que les informations correspondent à l'instance de base de données.

Ensuite, le répertoire apparaît dans la liste d'authentification Windows pour Microsoft SQL Server lorsque vous créez une instance de base de données.

Si votre répertoire se trouve dans la même région AWS et le même VPC que votre instance de base de données et que l'option d'ajout de répertoire ne s'affiche toujours pas, il se peut que votre instance ne se trouve pas dans une région prise en charge. Pour plus d'informations, consultez la section Utilisation de l'authentification Windows avec une instance de base de données Microsoft SQL Server.

Erreur reçue lors de la connexion d'une instance de base de données à un domaine

Lorsque vous joignez une instance à un domaine, le message d'erreur suivant est susceptible de s'afficher :

Failed to join a host to a domain. Domain membership status for instance XXXXXXX has been set to Failed. (Échec de la connexion d'un hôte à un domaine. Le statut d'appartenance de XXXXXXX à un domaine a été défini sur Échec.)

Pour résoudre cette erreur, vérifiez que les règles entrantes et sortantes du groupe de sécurité sont configurées pour que l'instance de base de données puisse communiquer avec Active Directory. Ensuite, joignez l'instance de base de données sur le domaine en procédant comme suit :

1.    Ouvrez la console Amazon RDS et choisissez Databases (Bases de données) dans le volet de navigation.

2.    Sélectionnez l'instance de base de données impossible à joindre au domaine, puis choisissez Modify (Modifier).

3.    Dans la section Authentification Windows pour Microsoft SQL Server, sous Directory (Répertoire), choisissez None (Aucun).

4.    Choisissez Apply immediately (Appliquer immédiatement). Une fois la modification effectuée, l'instance de base de données redémarre automatiquement.

5.    Pour joindre le répertoire, choisissez Databases (Bases de données) dans le volet de navigation.

6.    Sélectionnez l'instance de base de données, puis Modify (Modifier).

7.    Dans la section Microsoft SQL Server Windows Authentication (Authentification Windows pour Microsoft SQL Server), sous Directory (Répertoire), choisissez votre répertoire dans la liste.

8.    Choisissez Apply immediately (Appliquer immédiatement). Une fois la modification effectuée, l'instance de base de données redémarre à nouveau.

Impossible de se connecter à l'instance de base de données à l'aide de l'authentification Windows

Pour utiliser l'authentification Windows, vous devez créer une connexion SQL sur l'instance de base de données pour l'utilisateur ou le groupe Active Directory à l'aide des informations d'identification de l'utilisateur principal de l'instance de base de données RDS. Si vous utilisez des groupes ou des utilisateurs dans votre répertoire Active Directory local, vous devez créer une relation de confiance.

1.    Connectez-vous à votre instance de base de données Amazon RDS SQL Server en tant qu'utilisateur principal par le biais de SQL Server Management Studio (SSMS).

2.    Utilisez T-SQL pour créer le nom de connexion de l'authentification Windows :

CREATE LOGIN [<Domain Name>\<user or group>] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

Remarque : la création d'un nom de connexion pour l'authentification Windows sur RDS SQL Server est prise en charge uniquement par T-SQL. Il n'est pas possible d'utiliser l'interface graphique pour créer un nom de connexion sur SQL Server Management Studio ou service similaire.

3.    Connectez-vous à l'instance de base de données à l'aide de l'authentification Windows.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?