Como soluciono problemas de autenticação do RDS para SQL Server Windows com o AWS Managed Microsoft AD?

Breve descrição

Ao criar uma instância de banco de dados Amazon RDS para SQL Server, você pode encontrar um dos seguintes problemas:

• O Microsoft Managed AD não está disponível.
• Recebo um erro que diz “Falha ao unir um host a um domínio” ou o status do diretório no console do RDS mostra “Falha”.
• Não consigo fazer login na instância de banco de dados usando a Autenticação do Windows.

A autenticação do Windows para RDS para instâncias de banco de dados SQL Server é suportada em várias contas da AWS e Amazon Virtual Private Clouds (Amazon VPCs). Um único Microsoft Active Directory gerenciado pela AWS pode ser compartilhado entre várias contas e VPCs da AWS para gerenciar facilmente workloads de banco de dados com reconhecimento de diretórios. No entanto, isso só é verdade se o RDS para instâncias de banco de dados SQL Server estiver na mesma região da AWS que o AWS Managed Microsoft AD.

Resolução

**Observação:**Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.

O AWS Managed Microsoft AD não está listado ou não está disponível ao criar uma instância de banco de dados

**Importante:**O tipo de domínio gerenciado deve ser o AWS Managed Active Directory para que o AWS Managed Microsoft AD seja listado no console do Amazon RDS.

Quando o AWS Managed Microsoft AD está em uma região diferente da instância, esse diretório não é listado ao criar ou modificar uma instância de banco de dados. Para resolver esse problema, certifique-se de que a instância de banco de dados esteja na mesma região da AWS que seu serviço de diretório.

Confirme se a instância de banco de dados do RDS e o Serviço de Diretório estão na mesma região:

1.Abra o console do Amazon RDS e escolha Bancos de dados no painel de navegação.

2.Escolha a instância de banco de dados que você deseja conectar ao diretório.

3.Na seção Resumo, revise a Região associada à sua instância de banco de dados.

4.Confirme se o Directory Service está na mesma região da AWS que a instância de banco de dados verificando o console do AWS Directory Service.

Se o seu AWS Managed Microsoft AD estiver em uma conta da AWS diferente da instância de banco de dados, compartilhe o Microsoft Managed AD com a conta da AWS. Em seguida, você pode listar o Serviço de Diretório ao criar ou modificar a instância de banco de dados.

1.Comece a compartilhar o diretório com a conta da AWS na qual a instância de banco de dados será criada. Siga as etapas em Compartilhar seu diretório do AWS Managed Microsoft AD para uma união perfeita de domínios do EC2 no Guia de Administração do AWS Directory Service.

2.Faça login no console do AWS Directory Service usando a conta da instância de banco de dados. Verifique se o domínio tem o status COMPARTILHADO antes de continuar.

3.Faça login no console do AWS Directory Service usando a conta da instância de banco de dados, não o valor do ID do diretório. Use esse ID de diretório para unir a instância de banco de dados ao domínio.

Erro recebido ao unir uma instância de banco de dados a um domínio ou o status do diretório no console do RDS mostra “Falha”

Ao unir uma instância de banco de dados a um domínio, você pode receber a seguinte mensagem de erro:

“Falha ao associar um host a um domínio. O status de associação de domínio da instância XXXXXXX foi definido como Falha.”

Ou o status do diretório pode aparecer como Falha.

1.Confirme se o grupo de segurança da instância do RDS for SQL Server está configurado para permitir o tráfego de saída correto.

• Porta TCP e UDP 53
• Porta TCP e UDP 88
• Porta TCP e UDP 135
• Porta TCP e UDP 389
• Porta TCP e UDP 445
• Porta TCP e UDP 464
• Porta TCP 636
• Porta TCP 3268
• Porta TCP 3269
• Porta TCP 9389
• Portas TCP 49152-65535
• Porta UDP 123
• Porta UDP 138

2.Confirme se o grupo de segurança do AWS Managed Microsoft AD está configurado para permitir o tráfego de entrada correto. Um grupo de segurança é criado quando você cria um AWS Managed Microsoft AD. Para ver a lista de regras de entrada e saída adicionadas a esse grupo de segurança, consulte O que é criado no Guia de Administração do AWS Directory Service.

3.Você pode ter sua instância de banco de dados e o AWS Managed Microsoft AD em diferentes VPCs ou em contas diferentes. Em caso afirmativo, verifique se há uma rota correta para a instância de banco de dados acessar o AWS Managed Microsoft AD. Além disso, verifique se há uma rota correta para o Microsoft Managed AD acessar a instância de banco de dados. Para obter mais informações, consulte Suporte do RDS para uniões entre contas e domínios entre VPC (vídeo).

Depois de identificar e abordar as possíveis causas da falha de união de domínio, faça o seguinte para desassociar o domínio e, em seguida, unir o domínio à instância de banco de dados:

1.Abra o console do Amazon RDS e escolha Bancos de dados no painel de navegação.

2.Selecione a instância de banco de dados que falhou ao ingressar no domínio e escolha Modificar.

3.Na seção Autenticação do Microsoft SQL Server Windows, em Diretório, escolha Nenhum.

4.Escolha Aplicar imediatamente. Depois que a modificação for concluída, a instância de banco de dados será reinicializada automaticamente.

5.Para ingressar novamente no diretório, escolha Bancos de dados no painel de navegação.

6.Selecione a instância de banco de dados e escolha Modificar.

7.Na seção Autenticação do Microsoft SQL Server Windows, em Diretório, escolha seu diretório na lista.

8.Escolha Aplicar imediatamente. Depois que a modificação for concluída, a instância de banco de dados será reinicializada novamente.

Ocorreu um erro (InvalidParameterCombination) ao chamar a operação ModifyDBInstance: O perfil do IAM fornecido não é válido. Verifique se o perfil existe e se tem as políticas corretas

Ao usar a AWS CLI para anexar um serviço de diretório à sua instância de banco de dados, use o perfil padrão do IAM rds-directoryservice-access-role. Se você usar uma função personalizada, anexe a política padrão AmazonRDSDirectoryServiceAccess à função personalizada. Isso resolve o erro o perfil do IAM fornecido não é valido.

Não é possível fazer login na instância de banco de dados usando a Autenticação do Windows

O login usando a autenticação do Windows exige um login SQL na instância para o usuário ou grupo do AWS Managed Microsoft AD. O login do SQL usa as credenciais de usuário primário da instância de banco de dados. Se você usa grupos ou usuários em seu on-premises Microsoft Active Directory, você deve criar uma relação de confiança.

1.Faça login na sua instância de banco de dados como usuário principal usando o SQL Server Management Studio (SSMS).

2.Use o T-SQL para criar o login de autenticação do Windows:

CREATE LOGIN [Domain Name\user or group] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];

**Observação:**A criação de um login de autenticação do Windows em uma instância do RDS para SQL Server é suportada somente quando se usa o T-SQL. Você não pode usar a GUI para criar um login no SQL Server Management Studio.

3.Conecte-se à instância de banco de dados usando a Autenticação do Windows.

Informações relacionadas

Usar a autenticação do Windows com uma instância de banco de dados Amazon RDS para SQL Server

Controlar o acesso com grupos de segurança

Não consigo me conectar a uma instância de banco de dados Amazon RDS

Unir suas instâncias de banco de dados Amazon RDS em todas as contas em um único domínio compartilhado

Migração de bancos de dados do Microsoft SQL Server para a Nuvem da AWS