Gabungkan instans RDS SQL Server ke domain yang dikelola sendiri - ApsaraDB RDS

Integrasikan instance RDS SQL Server Anda dengan Active Directory (AD) perusahaan untuk pengelolaan izin terpusat dan otentikasi identitas yang terpadu. Topik ini menjelaskan cara mengonfigurasi domain yang dikelola sendiri dan menggabungkan instance Anda ke dalamnya. Sebelum memulai, pastikan bahwa instance RDS Anda dan pengontrol domain dapat berkomunikasi melalui jaringan. Pengontrol domain dapat berada di instance ECS Alibaba Cloud, platform cloud lainnya, atau pusat data lokal. Topik ini menggunakan instance ECS sebagai contoh penerapan.

Informasi latar belakang

Microsoft Active Directory (AD) adalah layanan direktori untuk produk Microsoft seperti Windows Standard Server, Windows Enterprise Server, dan Microsoft SQL Server. Direktori adalah struktur hierarkis yang menyimpan informasi tentang objek pada jaringan area lokal. Misalnya, AD menyimpan informasi akun pengguna, seperti nama, kata sandi, dan nomor telepon. Ini memungkinkan pengguna lain yang berwenang di jaringan area lokal yang sama untuk mengakses informasi tersebut.

AD merupakan komponen kunci dari ekosistem Windows. Banyak perusahaan besar menggunakan kontrol domain untuk manajemen akses terpusat, metode asli yang telah mereka andalkan sejak lama. Saat Anda memigrasikan layanan ke cloud atau menggunakan arsitektur cloud hibrida, Anda sering kali memerlukan dukungan AD di cloud untuk manajemen global. Untuk database SQL Server, yang merupakan bagian penting dari ekosistem Microsoft, dukungan AD adalah persyaratan dasar bagi perusahaan besar yang beralih ke cloud.

RDS SQL Server menyediakan fitur yang memungkinkan Anda menggabungkan instance ke domain yang dikelola sendiri untuk membantu Anda menyelesaikan ekosistem bisnis Anda.

Peringatan

Setelah Anda mengaktifkan dan mengonfigurasi fitur domain AD, Anda dapat membuat akun di domain AD yang dikelola sendiri. Anda kemudian dapat memberikan izin kepada akun-akun ini untuk masuk ke RDS SQL Server dan melakukan operasi database.

Namun, karena superuser (System Admin) atau akun host memiliki izin yang melebihi cakupan kontrol RDS, kami tidak dapat menjamin SLA untuk instance RDS tempat jenis akun ini dibuat menggunakan fitur domain AD yang dikelola sendiri.

Prasyarat

Instance RDS SQL Server Anda harus memenuhi persyaratan berikut:

Tipe Instance: Tujuan Umum atau Spesifikasi Khusus. Instance Shared tidak didukung.
Metode Penagihan: Langganan atau bayar sesuai penggunaan (tidak tersedia untuk instance Serverless)
Akun: Anda harus menggunakan akun Alibaba Cloud account untuk melakukan konfigurasi.

Catatan

Anda dapat melihat informasi ini di halaman Basic Information dari instance.

Persiapan

Men-deploy Domain Controller
- Sistem Operasi: Memerlukan sistem operasi Windows Server. Versi minimum adalah Windows Server 2012 R2, dan Windows Server 2016 atau lebih baru direkomendasikan. (Topik ini menggunakan edisi bahasa Inggris Windows Server 2016 sebagai contoh.)
- Konfigurasi DNS: Pengontrol domain juga harus menjadi server DNS. Alamat IP-nya harus sama dengan alamat server DNS.
- Persyaratan Izin: Akun domain yang digunakan untuk menggabungkan instance RDS ke domain harus menjadi anggota grup Domain Admins karena klien memerlukan izin tinggi untuk bergabung ke domain.
Pastikan Konektivitas Jaringan: Instance RDS dan pengontrol domain harus memiliki konektivitas jaringan dua arah. Pengontrol domain dapat diterapkan di instance ECS Alibaba Cloud, di platform cloud lainnya, atau di pusat data lokal.
Contoh Konfigurasi (Topik ini menggunakan pengontrol domain yang diterapkan di instance ECS Alibaba Cloud sebagai contoh)
- Tempatkan instance RDS dan instance ECS di VPC yang sama. Ini menyederhanakan konfigurasi jaringan tetapi tidak wajib.
- Grup keamanan tempat instance ECS milik harus dikonfigurasi untuk mengizinkan akses dari alamat IP pribadi instance RDS Anda. Untuk informasi lebih lanjut, lihat Tambahkan Aturan Grup Keamanan.
- Jika firewall sistem ECS diaktifkan, Anda juga harus mengizinkan akses dari alamat IP pribadi instance RDS.

Catatan

Bergabung atau keluar dari domain AD memerlukan restart sistem operasi Windows. Untuk menghindari gangguan bisnis, lakukan operasi ini selama jam-jam sepi.

Batasan

Instance yang bergabung dengan domain AD tidak mendukung pemutakhiran versi utama database, pemutakhiran versi mesin minor, atau migrasi zona.

Langkah 1: Konfigurasikan pengontrol domain pada instance ECS

Masuk ke Konsol ECS.
Di panel navigasi di sebelah kiri, pilih Instances & Images > Instances.
Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya dari sumber daya yang ingin Anda kelola.
Di halaman Instances, klik ID instance target.
Masuk secara remote ke sistem operasi Windows Server 2016 dari instance ECS.
Cari dan buka Server Manager.

Klik Add roles and features dan konfigurasikan pengaturan sebagai berikut.

Nama Halaman	Pengaturan
Installation Type	Pertahankan pengaturan default.
Server Selection	Pertahankan pengaturan default.
Server Roles	Pilih Active Directory Domain Services dan klik Add Features di kotak dialog yang muncul. Pilih DNS Server dan klik Add Features di kotak dialog yang muncul. Jika ada pesan yang menunjukkan bahwa komputer Anda tidak memiliki alamat IP statis, ubahlah menjadi alamat IP statis. Ini mencegah server DNS menjadi tidak tersedia karena perubahan otomatis alamat IP.
Features	Pertahankan pengaturan default.
AD DS	Pertahankan pengaturan default.
DNS Server	Pertahankan pengaturan default.
Confirmation	Klik Install.

Setelah instalasi selesai, klik Close.
Di panel navigasi di sebelah kiri, klik AD DS. Kemudian, di pojok kanan atas, klik More.

Klik Promote this server to a domain... dan konfigurasikan pengaturan sebagai berikut.

Promote

Nama Halaman	Pengaturan
Deployment Configuration	Pilih Add a new forest dan atur nama domain.
Domain Controller Options	Atur kata sandi model pemulihan.
DNS Options	Hapus opsi Create DNS delegation dengan tanda centang √.
Additional Options	Pertahankan pengaturan default.
Paths	Pertahankan pengaturan default.
Review Options	Pertahankan pengaturan default.
Prerequisites Check	Klik Install. Catatan Sistem akan restart setelah instalasi selesai.

Tunggu sistem untuk restart. Kemudian, cari dan buka Server Manager lagi.
Di panel navigasi di sebelah kiri, klik AD DS. Kemudian, klik kanan pengontrol domain target di sebelah kanan dan pilih Active Directory Users and Computers untuk membuka modul manajemen pengguna AD.
Klik kanan Users > testdomain.net dan pilih New > User.
Atur nama logon pengguna dan klik Next.
Atur kata sandi logon, pilih opsi agar kata sandi tidak pernah kedaluwarsa, lalu klik Next dan Finish untuk menyelesaikan pembuatan.
Klik dua kali pengguna yang baru dibuat dan tambahkan pengguna ke grup Domain Admins.

Langkah 2: Konfigurasikan grup keamanan instance ECS

Masuk ke Konsol ECS.
Di panel navigasi di sebelah kiri, pilih Instances & Images > Instances.
Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya dari sumber daya yang ingin Anda kelola.
Di halaman Instances, klik ID instance target.
Di bilah navigasi atas, pilih Security Groups. Kemudian, di kolom Actions dari grup keamanan, klik Manage Rules.

Di tab Inbound, klik Add Rule untuk mengizinkan akses ke instance ECS pada port berikut.

Tipe Protokol	Rentang Port	Deskripsi
TCP	88	Port protokol otentikasi Kerberos.
TCP	135	Port protokol panggilan prosedur jarak jauh (RPC).
TCP/UDP	389	Port Protokol Akses Direktori Ringan (LDAP).
TCP	445	Port protokol Sistem File Internet Umum (CIFS).
TCP	3268	Port Katalog Global.
TCP/UDP	53	Port DNS.
TCP	49152~65535	Range port dinamis default untuk koneksi. Masukkan range dalam format: 49152/65535.

Langkah 3: Konfigurasikan layanan domain AD untuk instance RDS

Pergi ke halaman Instance. Di bilah navigasi atas, pilih wilayah tempat instance RDS berada. Kemudian, temukan instance RDS dan klik ID instance tersebut.
Di panel navigasi di sebelah kiri, klik Accounts.
Klik tab AD Domain Services, lalu klik Configure AD Domain Services.

Di kotak dialog Configure AD Domain Services, atur parameter berikut dan pilih I Have Read And Understood The Impact Of Configuring The AD Domain Service On The RDS Service Level Agreement.

Peringatan

Parameter	Deskripsi
Domain Name	Nama domain yang ditentukan saat Anda membuat Active Directory (di halaman Deployment Configuration). Sebagai contoh, topik ini menggunakan testdomian.net.
Directory IP Address	Alamat IP dari instance ECS tempat pengontrol domain berada. Anda dapat memperolehnya dengan menjalankan perintah `ipconfig` di instance ECS atau melihatnya di Konsol ECS Alibaba Cloud.
Domain Account	Nama pengguna yang Anda buat sebelumnya.
Domain Password	Kata sandi untuk nama pengguna tersebut.

Klik OK dan tunggu konfigurasi domain AD selesai.

Operasi terkait

Untuk melihat atau mengubah informasi asosiasi domain AD atau keluar dari domain AD menggunakan API, lihat topik berikut:

FAQ

Izin Pengguna Apa yang Digunakan oleh RDS untuk Bergabung ke Domain? Bagaimana Cara Mengontrol Izin Ini?

Anda dapat menggunakan akun dengan izin administrator domain untuk menggabungkan instance RDS ke domain. Jika Anda tidak ingin menggunakan izin administrator domain, Anda dapat menggunakan metode hak istimewa minimal. Namun, jika Anda menggunakan akun hak istimewa minimal untuk keluar dari domain, Anda harus secara manual menghapus objek komputer yang sesuai dari pengontrol domain. Jika tidak, kesalahan akan terjadi jika Anda mencoba menggabungkan instance RDS yang sama ke domain lagi.

Buat pengguna baru dan pastikan bahwa pengguna tersebut adalah anggota grup Domain Users. Klik kanan Computers, pilih Delegate Control..., dan tambahkan pengguna baru yang dibuat.
Pilih Create a custom task to delegate, kemudian klik Next.
Pilih Only the following objects in the folder, pilih opsi sesuai yang ditunjukkan pada gambar, lalu klik Next.
Pilih opsi seperti yang ditunjukkan pada gambar, lalu klik Next hingga wizard selesai.