Come posso risolvere i problemi di autenticazione Windows di RDS per SQL Server con Microsoft AD gestito da AWS?

6 minuti di lettura

Ho configurato il Servizio di directory AWS per Microsoft Active Directory per il mio account AWS. Riscontro problemi nella creazione di Amazon Relational Database Service (Amazon RDS) per un'istanza database di Microsoft SQL Server.

Breve descrizione

Quando crei un'istanza database di Amazon RDS per SQL Server, potresti riscontrare uno dei seguenti problemi:

Microsoft AD gestito non è disponibile.
Ricevo un errore che dice «Impossibile aggiungere un host a un dominio» o lo stato della directory sulla console RDS mostra "Non riuscito".
Non riesco ad accedere all'istanza database utilizzando l'autenticazione Windows.

L'autenticazione Windows per le istanze database di RDS per SQL Server è supportata su più account AWS e Amazon Virtual Private Clouds (Amazon VPC). Un singolo Microsoft Active Directory gestito da AWS può essere condivisa tra più account AWS e VPC per gestire facilmente i carichi di lavoro dei database basati sulle directory. Tuttavia, questo è vero solo se le istanze database RDS per SQL Server si trovano nella stessa regione AWS di Microsoft AD gestito da AWS.

Risoluzione

Nota: Se ricevi errori durante l'esecuzione dei comandi dall’interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

Microsoft AD gestito da AWS non è elencato o non è disponibile durante la creazione di un'istanza database

**Importante:perché Microsoft AD gestito da AWS venga elencato nella console Amazon RDS, **il tipo di dominio gestito deve essere Active Directory gestito da AWS.

Quando Microsoft AD gestito da AWS si trova in una regione diversa dall'istanza, tale directory non viene elencata durante la creazione o la modifica di un'istanza database. Per risolvere questo problema, assicurati che l'istanza database si trovi nella stessa regione AWS del tuo servizio di directory.

Verifica che l'istanza database RDS e il servizio di directory si trovino nella stessa regione:

1. Apri la console Amazon RDS e scegli Database dal pannello di navigazione.

2. Scegli l'istanza database che desideri connettere alla directory.

3. Dalla sezione Riepilogo, rivedi la regione associata alla tua istanza database.

4. Verifica che il servizio di directory si trovi nella stessa regione AWS dell'istanza database controllando la console del Servizio di directory AWS.

Se Microsoft AD gestito da AWS si trova in un account AWS diverso dall'istanza database, condividi Microsoft AD gestito con l'account AWS. Puoi quindi elencare il servizio di directory durante la creazione o la modifica dell'istanza database.

1. Inizia a condividere la directory con l'account AWS in cui verrà creata l'istanza database. Segui i passaggi riportati in Condivisione della directory di Microsoft AD gestito da AWS per l’aggiunta al dominio EC2 senza interruzioni nella Guida all’amministrazione del Servizio di directory AWS.

2. Accedi alla console del Servizio di directory AWS utilizzando l'account per l'istanza database. Prima di continuare, verifica che il dominio sia in stato CONDIVISO.

3. Accedi alla console del Servizio di directory AWS utilizzando l'account per l'istanza database, non il valore dell'ID della directory. Usa questo ID della directory per aggiungere l'istanza database al dominio.

Errore ricevuto quando si aggiunge un'istanza database a un dominio o lo stato della directory nella console RDS mostra "Non riuscito"

Quando si aggiunge un'istanza database a un dominio, potresti ricevere questo messaggio di errore:

"Impossibile aggiungere un host a un dominio. Lo stato di appartenenza al dominio per l'istanza XXXXXXX è stato impostato su Non riuscito".

Oppure, lo Stato della directory potrebbe apparire come Non riuscito.

1. Verificare che il gruppo di sicurezza dell'istanza RDS per SQL Server sia configurato per consentire il corretto traffico in uscita.

Porta TCP e UDP 53
Porta TCP e UDP 88
Porta TCP e UDP 135
Porta TCP e UDP 389
Porta TCP e UDP 445
Porta TCP e UDP 464
Porta TCP 636
Porta TCP 3268
Porta TCP 3269
Porta TCP 9389
Porte TCP 49152-65535
Porta UDP 123
Porta UDP 138

2. Verifica che il gruppo di sicurezza di Microsoft AD gestito da AWS sia configurato per consentire il traffico in entrata corretto. Quando crei una directory Microsoft AD gestito da AWS, viene creato anche un gruppo di sicurezza. Per l'elenco delle regole in entrata e in uscita aggiunte a questo gruppo di sicurezza, consulta Cosa viene creato nella Guida all’amministrazione del Servizio di directory AWS.

3. Potresti avere l'istanza database e Microsoft AD gestito da AWS in VPC o account diversi. In tal caso, assicurati che esista un percorso corretto affinché l'istanza database raggiunga Microsoft AD gestito da AWS. Inoltre, assicurati che esista un percorso corretto per consentire a Microsoft AD gestito di raggiungere l'istanza database. Per ulteriori informazioni, consulta Supporto RDS per le aggiunte tra account e tra domini VPC (video).

Dopo aver identificato e risolto le potenziali cause dell'errore di accesso al dominio, procedi come segue per annullare l’aggiunta e quindi aggiungere il dominio all'istanza database:

1. Apri la console Amazon RDS, quindi scegli Database dal riquadro di navigazione.

2. Seleziona l'istanza database che non è riuscita a essere aggiunta al dominio, quindi scegli Modifica.

3. Nella sezione Autenticazione Microsoft SQL Server Windows, in Directory, scegli Nessuno.

4. Scegli Applica immediatamente. Una volta completata la modifica, l'istanza database si riavvia automaticamente.

5. Per aggiungere di nuovo la directory, scegli Database dal riquadro di navigazione.

6. Seleziona l'istanza database e scegli Modifica.

7. Nella sezione Autenticazione Microsoft SQL Server Windows, in Directory, scegli la tua directory dall'elenco.

8. Scegli Applica immediatamente. Una volta completata la modifica, l'istanza database si riavvia nuovamente.

Si è verificato un errore (InvalidParameterCombination) durante la chiamata all'operazione ModifyDBInstance: il ruolo IAM fornito non è valido, verifica che il ruolo esista e disponga delle policy corrette

Quando usi l'Interfaccia AWS CLI per collegare un servizio di directory alla tua istanza database, usa il ruolo IAM predefinito rds-directoryservice-access-role. Se utilizzi un ruolo personalizzato, associa la policy predefinita AmazonRDSDirectoryServiceAccess al ruolo personalizzato. In questo modo risolvi l'errore ruolo IAM fornito non valido.

Impossibile accedere all'istanza database utilizzando l'autenticazione Windows

L'accesso tramite l'autenticazione Windows richiede un accesso SQL all'istanza per l'utente o il gruppo Microsoft AD gestito da AWS. L'accesso SQL utilizza le credenziali utente principale dell'istanza database. Se utilizzi gruppi o utenti nel tuo Microsoft Active Directory on-premise, devi creare una relazione di trust.

1. Accedi alla tua istanza database come utente principale utilizzando SQL Server Management Studio (SSMS).

2. Usa T-SQL per creare l'accesso all'autenticazione Windows:

CREATE LOGIN [Domain Name\user or group] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

Nota: la creazione di un accesso per l'autenticazione Windows in un'istanza RDS per SQL Server è supportata solo quando si utilizza T-SQL. Non puoi utilizzare la GUI per creare un accesso in SQL Server Management Studio.

3. Connettiti all'istanza database utilizzando l'autenticazione Windows.