ApsaraDB RDS for SQL Serverインスタンスを企業のID認証システムと統合する場合は、このトピックの手順に従って、Elastic Compute Service (ECS) インスタンスにドメインコントローラサーバーをデプロイし、RDSインスタンスを自己管理ドメインに接続できます。 これにより、リソースのアクセス許可を管理し、IDを一元管理できます。
背景情報
Microsoft Active Directory (AD) は、Windows Server Standard、Windows Server Enterprise、Microsoft SQL Serverなどの特定のMicrosoft製品用に提供されるディレクトリサービスです。 ディレクトリは、同じLAN上のオブジェクトに関する情報を格納する階層構造です。 たとえば、ADは、名前、パスワード、電話番号などのユーザーアカウントに関する情報を保存し、同じLAN上の他の許可されたユーザーがその情報にアクセスできるようにします。
ADはWindowsエコシステムの重要な部分です。 多くの大企業は、集中型アクセス管理を計画および実装するために、Windowsによって提供されるドメイン制御メカニズムに依存しています。 すべてのワークロードをオンプレミス環境からクラウドに移行する場合、またはハイブリッドクラウドアーキテクチャを使用する場合は、クラウドがグローバル管理のADをサポートしていることを確認してください。 ADサポートは、オンプレミスのSQL Serverデータベースをクラウドに移行できるかどうかを決定する重要な要素です。
ApsaraDB RDS for SQL Serverを使用すると、RDSインスタンスを自己管理ドメインに接続して、ビジネスシステムを改善できます。
ADドメイン機能を有効にして設定した後、自己管理型ADドメインを使用してアカウントを作成し、アカウントにRDSインスタンスにログインしてRDSインスタンスで操作を実行する権限を付与できます。
ただし、システム管理者アカウントまたはホストアカウントには、ApsaraDB RDSの管理範囲を超える権限があります。 自己管理型ADドメインを使用してアカウントが作成されたRDSインスタンスには、Alibaba Cloudサービスレベル契約 (SLA) で指定されているサービスの可用性がシステムに提供されません。
前提条件
RDSインスタンスは次の要件を満たしています。
RDS Cluster Editionを実行するプライマリRDSインスタンスと、プライマリRDSインスタンスに属する読み取り専用RDSインスタンス。
RDSインスタンスは、汎用または専用インスタンスファミリーに属しています。 共有インスタンスファミリーはサポートされていません。
ログインアカウントはAlibaba Cloudアカウントです。
RDSインスタンスとドメインコントローラサーバーをホストするECSインスタンスは、同じ仮想プライベートクラウド (VPC) に存在します。
ECSインスタンスが属するセキュリティグループは、RDSインスタンスのプライベートIPアドレスからのアクセスを許可するように設定されています。 詳細については、「セキュリティグループルールの追加」をご参照ください。
RDSインスタンスのプライベートIPアドレスは、ECSインスタンスのファイアウォールによって許可されています。 ファイアウォールはデフォルトで無効になっています。 ファイアウォールを有効にした場合、RDSインスタンスのプライベートIPアドレスからのアクセスを許可するようにファイアウォールを設定する必要があります。
使用するドメインアカウントはdomain Adminsグループに属しています。これは、クライアントがドメインをプロアクティブに追加するには高い権限が必要なためです。
ドメインコントローラーサーバーは、ドメインネームシステム (DNS) サーバーと同じIPアドレスを使用します。
RDSインスタンスの [基本情報] ページに移動して、前述の情報を表示できます。
Windowsバージョンの選択
Windows serverを実行するECSインスタンスにドメインコントローラーサーバーをデプロイする必要があります。 ECSインスタンスは、Windows Server 2012 R2以降を実行する必要があります。 Windows Server 2016以降を使用し、表示言語として英語を選択することを推奨します。 次のセクションでは、Windows Server 2016を実行するECSインスタンスを使用して、RDSインスタンスにドメインコントローラーサーバーをデプロイする方法を説明します。
手順
ECSインスタンスへのドメインコントローラサーバーのデプロイ
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
[インスタンス] ページで、必要なECSインスタンスを見つけ、ECSインスタンスのIDをクリックします。
ECSインスタンスにログインします。
サーバーマネージャーを検索して開きます。
[ロールと機能の追加] をクリックし、次のパラメーターを設定します。
パラメーター
説明
インストールタイプ
デフォルト設定を保持します。
サーバーの選択
デフォルト設定を保持します。
サーバーの役割
[Active Directoryドメインサービス] を選択します。 表示されるダイアログボックスで、[機能の追加] をクリックします。
[DNSサーバー] を選択します。 表示されるダイアログボックスで、[機能の追加] をクリックします。 コンピューターが固定IPアドレスを使用していることを確認してください。 IPアドレスが動的に変更されると、DNSサーバーは使用できなくなります。
機能
デフォルト設定を保持します。
広告DS
デフォルト設定を保持します。
DNSサーバー
デフォルト設定を保持します。
確認
[インストール] をクリックします。
インストールが完了したら、[閉じる] をクリックします。
左側のナビゲーションウィンドウで、[AD DS] をクリックします。 ページの右上隅にある [詳細] をクリックします。
[このサーバーをドメインに昇格させる] をクリックし、次のパラメーターを設定します。
パラメーター
説明
デプロイメントの設定
[新しいフォレストの追加] を選択し、ドメイン名を指定します。
ドメインコントローラのオプション
ディレクトリサービス復元モード (DSRM) のパスワードを設定します。
DNSオプション
[DNS委任の作成] をクリアします。
追加オプション
デフォルト設定を保持します。
パス
デフォルト設定を保持します。
レビューオプション
デフォルト設定を保持します。
前提条件チェック
[インストール] をクリックします。
説明インストールが完了すると、システムが再起動します。
システムが再起動したら、サーバーマネージャーを再度検索して開きます。
左側のナビゲーションウィンドウで、[AD DS] をクリックします。 必要なドメインコントローラーサーバーを右クリックし、[Active Directoryユーザーとコンピューター] を選択して、ADユーザー管理モジュールに移動します。
を展開します。 [ユーザー] を右クリックし、 を選択します。
ユーザー名を指定し、[次へ] をクリックします。
パスワードを指定し、[パスワードの有効期限はありません] を選択し、[次へ] をクリックします。 次に、[完了] をクリックします。
作成したユーザーをダブルクリックし、Domain Adminsグループに追加します。
ECSインスタンスのセキュリティグループの設定
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
[インスタンス] ページで、必要なECSインスタンスを見つけ、ECSインスタンスのIDをクリックします。
表示されるページで、[セキュリティグループ] タブをクリックします。 表示されるタブで、[操作] 列の [ルールの追加] をクリックします。
[インバウンド] タブで、[ルールの追加] をクリックして、RDSインスタンスが次のポートを介してECSインスタンスにアクセスできるようにするルールを作成します。
プロトコル
ポート
説明
TCP
88
Kerberos認証プロトコルのポート。
TCP
135
リモートプロシージャコール (RPC) プロトコルのポート。
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP) のポート。
TCP
445
Common Internet File System (CIFS) プロトコルのポート。
TCP
3268
グローバルカタログのポート。
TCP/UDP
53
DNSサービスのポート。
TCP
49152 ~ 65535
接続のデフォルトのダイナミックポート範囲。 次の形式で値を入力します。49152/65535.
RDSインスタンスのADドメインサービスの設定
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、アカウント管理 をクリックします。
ADドメインサービス タブをクリックし、ADドメインサービスの設定 をクリックします。
ADドメインサービスの設定 ダイアログボックスで、パラメーターを設定し、[ADドメインサービスがRDSサービスレベル契約に与える影響を確認しました] を参照して選択します。
警告ADドメイン機能を有効にして設定した後、自己管理型ADドメインを使用してアカウントを作成し、アカウントにRDSインスタンスにログインしてRDSインスタンスで操作を実行する権限を付与できます。
ただし、システム管理者アカウントまたはホストアカウントには、ApsaraDB RDSの管理範囲を超える権限があります。 自己管理ADドメインを使用してアカウントが作成されたRDSインスタンスに対して、Alibaba Cloud SLAで指定されたサービスの可用性がシステムに提供されません。 詳細は、「SLA」をご参照ください。
パラメーター
説明
ドメイン名
[デプロイ設定] ページでADを作成するときに指定したドメイン名。 この例では、testdomian.netが使用されます。
ディレクトリ IP アドレス
ドメインコントローラサーバーがデプロイされているECSインスタンスのIPアドレス。 ECSインスタンスで
ipconfigコマンドを実行するか、ECSコンソールを使用してIPアドレスを取得できます。
ドメインアカウント
作成したアカウントのユーザー名。
ドメインパスワード
アカウントのパスワードを入力します。
OK をクリックし、ドメインが追加されるまで待ちます。
よくある質問
RDSインスタンスをドメインに接続するために使用できるアカウントはどれですか。 アカウントの権限を管理するにはどうすればよいですか?
ドメインの管理者権限を持つアカウントを使用することを推奨します。 管理者権限を有効にしたくない場合は、次の操作を実行して、最小権限の原則を使用できます。 ただし、最小権限の原則を使用する場合は、RDSインスタンスをドメインから切断するときに、ドメインコントローラーサーバーからコンピューターを手動で削除する必要があります。 それ以外の場合、RDSインスタンスをこのドメインに再接続するとエラーが報告されます。
ユーザーを作成し、そのユーザーがドメインユーザーグループに属していることを確認したら、 を選択して、作成したユーザーを追加します。
ユーザーを右クリックし、[委任するカスタムタスクの作成] を選択します。 そして、[次へ] をクリックします。
[フォルダ内の次のオブジェクトのみ] と、次の図に示す赤色で強調表示されている項目を選択します。 そして、[次へ] をクリックします。
次の図に示す項目を選択します。 次に、手順が完了するまで [次へ] をクリックします。
