すべてのプロダクト
Search
ドキュメントセンター

ApsaraDB RDS:RDS for SQL Server インスタンスのセルフマネージドドメインへの参加

最終更新日:Jun 21, 2026

ApsaraDB RDS for SQL Server インスタンスをエンタープライズの Active Directory (AD) と統合して、一元的なアクセス許可管理と統合アイデンティティ認証を実現できます。そのためには、セルフマネージドドメインを設定し、RDS インスタンスとドメインコントローラー間のネットワーク接続を確保する必要があります。ドメインコントローラーは、Alibaba Cloud Elastic Compute Service (ECS) インスタンス、別のクラウドプラットフォーム、またはオンプレミスデータセンターでホストできます。このトピックでは、ドメインコントローラーをホストする ECS インスタンスを例に、設定方法を説明します。

背景情報

Microsoft Active Directory (AD) は、Microsoft が Windows Standard Server、Windows Enterprise Server、Microsoft SQL Server などの自社製品向けに開発したディレクトリサービスです。ディレクトリとは、ネットワーク上のオブジェクトに関する情報を格納する階層構造です。たとえば、AD はユーザーアカウントの名前、パスワード、電話番号などの情報を格納し、同じネットワーク上の他の権限を持つユーザーがこの情報にアクセスできるようにします。

Microsoft エコシステムの重要な部分として、AD のサポートは、大企業がクラウドに移行するための基本的な要件です。

ApsaraDB RDS for SQL Server では、インスタンスをセルフマネージドドメインに参加させて、ビジネスエコシステムを完成できます。

警告

AD 機能を有効にして設定した後、セルフマネージド AD ドメインでアカウントを作成し、それらのアカウントに ApsaraDB RDS for SQL Server インスタンスにログインしてデータベース操作を実行するアクセス許可を付与できます。

ただし、セルフマネージド AD ドメインを介して作成されたスーパーユーザー (System Admin) またはホストアカウントのアクセス許可は RDS の管理対象外となるため、Alibaba Cloud はそのようなアカウントを持つ RDS インスタンスの SLA を保証できません。

前提条件

ApsaraDB RDS for SQL Server インスタンスは、次の要件を満たす必要があります。

  • インスタンス仕様:汎用、専用 (共有) タイプはサポートされていません

  • 課金方法:サブスクリプションまたは従量課金 (サーバーレスインスタンス) ではサポートされていません

  • アカウント:Alibaba Cloud アカウントが必要です。

説明

この情報は、インスタンスの基本情報ページで確認できます。

事前準備

  • ドメインコントローラーのデプロイ

    • オペレーティングシステム:ドメインコントローラーは Windows Server 上で実行する必要があります。サポートされる最小バージョンは Windows Server 2012 R2 です。Windows Server 2016 以降の使用を推奨します。このトピックでは、Windows Server 2016 英語版を例に説明します。

    • DNS 設定:ドメインコントローラーは DNS サーバーとしても機能する必要があり、その IP アドレスは DNS サーバーのアドレスと同じでなければなりません。

    • アクセス許可の要件:RDS インスタンスをドメインに参加させるために使用するドメインアカウントは、Domain Admins グループのメンバーである必要があります。これは、クライアントが能動的にドメインに参加するために高レベルのアクセス許可を必要とするためです。

  • ネットワーク接続の確保:RDS インスタンスとドメインコントローラーは、双方向のネットワーク接続が必要です。ドメインコントローラーは、Alibaba Cloud ECS インスタンス、別のクラウドプラットフォーム、またはオンプレミスデータセンターなど、どこにでも配置できます。

    設定例 (ECS インスタンスを使用してドメインコントローラーをホストする場合):

    • ネットワーク設定を簡素化するため、RDS インスタンスと ECS インスタンスを同じ VPC に配置することを推奨します。これは必須要件ではありません。

    • ECS インスタンスのセキュリティグループを設定して、RDS インスタンスのプライベート IP アドレスからのトラフィックを許可します。詳細については、「セキュリティグループルールの追加」をご参照ください。

    • ECS インスタンスでシステムファイアウォールを有効にしている場合は、RDS インスタンスのプライベート IP アドレスからのトラフィックも許可する必要があります。

注意事項

AD ドメインへの参加または離脱には、Windows オペレーティングシステムの再起動が必要です。サービスの中断を避けるため、この操作はピーク時間外に実行することを推奨します。

制限事項

AD ドメインに参加しているインスタンスでは、メジャーエンジンバージョンのアップグレードマイナーエンジンバージョンのアップグレード、またはインスタンスの別ゾーンへの移行の操作を実行できません。

ステップ1:ドメインコントローラーの設定

  1. ECS コンソールにログインします。

  2. 左側メニューで、[Instances & Images] > [Instances] を選択します。

  3. 上部メニューで、対象リソースのリージョンとリソースグループを選択します。 地域

  4. インスタンス ページで、対象のインスタンスの ID をクリックします。

  5. ECS インスタンスの Windows Server 2016 オペレーティングシステムにリモート接続します。

  6. [サーバー マネージャー] を検索して開きます。

  7. [役割と機能の追加] をクリックし、以下の設定を構成します。

    ページ

    設定

    インストールの種類

    デフォルト設定を維持します。

    サーバーの選択

    デフォルト設定を維持します。

    サーバーの役割

    • [Active Directory ドメイン サービス] を選択し、表示されるダイアログボックスで [機能の追加] をクリックします。

    • [DNS サーバー] を選択し、表示されるダイアログボックスで [機能の追加] をクリックします。 コンピューターに静的 IP アドレスがないことを示すメッセージが表示された場合は、静的 IP アドレスに変更することをお勧めします。 これにより、IP アドレスが自動的に変更された場合に DNS サーバーが利用できなくなるのを防ぐことができます。

    機能

    デフォルト設定を維持します。

    AD DS

    デフォルト設定を維持します。

    DNS サーバー

    デフォルト設定を維持します。

    確認

    [インストール] をクリックします。

  8. インストールが完了したら、[閉じる] をクリックします。

  9. 左側のナビゲーションペインで、[AD DS] をクリックします。右上隅で、[その他] をクリックします。

  10. [このサーバーをドメインに昇格させる...] をクリックして、次の設定を行います。

    ページ

    設定

    展開の構成

    [新しいフォレストを追加] を選択します。[ルートドメイン名] フィールドに testdomain.net を入力します。

    ドメイン コントローラー オプション

    ディレクトリ サービス復元モード (DSRM) のパスワードを設定します。[フォレストの機能レベル][ドメインの機能レベル] の両方を [Windows Server 2016] に設定します。[ドメイン ネーム システム (DNS) サーバー][グローバル カタログ (GC)] のチェックボックスにチェックを入れます。[ディレクトリ サービス復元モード (DSRM) のパスワードを入力してください] セクションで、復元パスワードを入力し、確認のためにもう一度入力します。

    DNS オプション

    [DNS 委任の作成] オプションの [√] をクリアします。

    追加オプション

    デフォルト設定を維持します。

    パス

    デフォルト設定を維持します。

    オプションの確認

    デフォルト設定を維持します。

    前提条件のチェック

    [インストール] をクリックします。

    説明

    インストールが完了すると、システムは自動的に再起動します。

  11. システムの再起動後、再度[サーバー マネージャー]を検索して開きます。

  12. 左側のナビゲーションペインで、[AD DS] をクリックし、右側のペインでターゲットドメインコントローラーを右クリックして [Active Directory Users and Computers] を選択します。

  13. testdomain.net > [ユーザー] を右クリックし、新規 > [ユーザー] を選択します。

  14. ユーザー ログオン名を設定し、[次へ] をクリックします。

    [フル ネーム] フィールドに testuser を入力します。[ユーザー ログオン名] フィールドに testuser を入力し、ドロップダウンリストから @testdomain.net を選択します。

  15. ユーザーのパスワードを設定して無期限にし、[次へ][完了] をクリックしてユーザーを作成します。

    [パスワード][パスワードの確認入力] フィールドにパスワードを入力します。[パスワードを無期限にする] チェックボックスにチェックを入れ、[次へ] をクリックします。確認ページで、[完了] をクリックします。

  16. 新しく作成したユーザーをダブルクリックし、ユーザーを Domain Admins グループに追加します。

    ユーザーのプロパティダイアログボックスで、[所属するグループ] タブをクリックし、[追加] をクリックします。[グループの選択] ダイアログボックスで、Domain Admins と入力し、[名前の確認] をクリックして名前を確認し、[OK] をクリックします。

ステップ2:セキュリティグループの設定

  1. ECS コンソールにログインします。

  2. 左側メニューで、[Instances & Images] > [Instances] を選択します。

  3. 上部メニューで、対象リソースのリージョンとリソースグループを選択します。 地域

  4. インスタンス ページで、対象のインスタンスの ID をクリックします。

  5. 上部のナビゲーションバーで セキュリティグループ をクリックし、次にセキュリティグループの 操作 列で ルールの管理 をクリックします。

  6. インバウンド タブで [ルールを追加] をクリックして、次のポートで ECS インスタンスへのアクセスを許可します。

    プロトコルタイプ

    ポート範囲

    説明

    TCP

    88

    Kerberos 認証プロトコルポート。

    TCP

    135

    リモートプロシージャコール (RPC) プロトコルポート。

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP) ポート。

    TCP

    445

    Common Internet File System (CIFS) プロトコルポート。

    TCP

    3268

    グローバルカタログポート。

    TCP/UDP

    53

    DNS ポート。

    TCP

    49152-65535

    接続用のデフォルトの動的ポート範囲です。ポート範囲は 49152-65535 と入力します。

ステップ3:AD ドメインサービスの設定

  1. RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
  2. 左側のナビゲーションペインで、アカウント管理 をクリックします。

  3. ADドメインサービス タブをクリックし、次に ADドメインサービスの設定 をクリックします。

  4. ADドメインサービスの設定 ダイアログボックスで、次のパラメーターを設定し、[AD ドメインサービスが RDS サービスレベルアグリーメントに与える影響を読み、理解しました] を選択します。

    警告

    AD 機能を有効にして設定した後、セルフマネージド AD ドメインでアカウントを作成し、それらのアカウントに ApsaraDB RDS for SQL Server インスタンスにログインしてデータベース操作を実行するアクセス許可を付与できます。

    ただし、セルフマネージド AD ドメインを介して作成されたスーパーユーザー (System Admin) またはホストアカウントのアクセス許可は RDS の管理対象外となるため、Alibaba Cloud はそのようなアカウントを持つ RDS インスタンスの SLA を保証できません。

    パラメーター

    説明

    [ドメイン名]

    Active Directory の作成時に[デプロイ設定]ページで指定したドメイン名です。この例では、ドメイン名は testdomain.net です。

    [ディレクトリ IP アドレス]

    ドメインコントローラーをホストする ECS インスタンスの IP アドレス。この IP アドレスは、ECS コンソールのインスタンス詳細ページで確認できます。[ネットワーク情報] セクションで、[プライマリプライベート IP] を見つけます。または、ECS インスタンスで ipconfig コマンドを実行して確認することもできます。

    [ドメインアカウント]

    先ほど作成したユーザー名です。

    [ドメインパスワード]

    ドメインアカウントのパスワード。

  5. OK をクリックし、AD ドメインの設定が完了するまで待ちます。

関連操作

次の API を使用して、AD ドメインの関連付けを表示、変更、または削除できます。

  • DescribeADInfo:ApsaraDB RDS for SQL Server インスタンスの AD ドメイン情報を照会します。

  • ModifyADInfo:ApsaraDB RDS for SQL Server インスタンスの AD ドメイン設定を変更します。

  • DeleteADSetting:ApsaraDB RDS for SQL Server インスタンスの AD ドメイン設定を削除します。

よくある質問

RDS インスタンスをドメインに参加させるには、どのようなアクセス許可が必要ですか。 これらのアクセス許可を制限するにはどうすればよいですか。

RDS インスタンスをドメインに参加させるには、ドメイン管理者のアクセス許可を持つアカウントを使用することを推奨します。または、以下の手順に従って、最小限のアクセス許可を持つアカウントを使用することもできます。注意:最小限のアクセス許可を持つアカウントを使用してドメインから離脱する場合、対応するコンピューターオブジェクトをドメインコントローラーから手動で削除する必要があります。そうしないと、後で同じ RDS インスタンスをドメインに再参加させようとするとエラーが発生します。

  1. 新しいユーザーを作成し、そのユーザーが Domain Users グループに属していることを確認した後、[コンピューター] > [コントロールの委任...] を介して新しいユーザーを追加します。[Active Directory ユーザーとコンピューター] で、[コンピューター] コンテナーを右クリックし、[コントロールの委任...] を選択して、コントロールの委任ウィザードを開始します。コントロールの委任ウィザードの [ユーザーまたはグループ] ページで、[追加] ボタンをクリックします。表示される [ユーザー、コンピューター、またはグループの選択] ダイアログボックスで、コントロールを委任するユーザーまたはグループの名前を入力し、[OK] をクリックして、[次へ] をクリックします。

  2. [委任するタスク] ページで、[委任するカスタムタスクを作成] を選択し、次に [次へ] をクリックします。

  3. [Active Directory オブジェクトの種類] ページで、[フォルダー内の次のオブジェクトのみ] を選択します。オブジェクトの一覧で、[コンピューター オブジェクト] を選択します。次に、下部にある [このフォルダーに選択したオブジェクトを作成する] および [このフォルダーで選択したオブジェクトを削除する] チェックボックスを選択し、[次へ] をクリックします。

  4. [アクセス許可] ページの [アクセス許可の表示] セクションで、[全般][特定の子オブジェクトの作成/削除] のチェックボックスにチェックを入れます。[アクセス許可] リストで [すべての子オブジェクトの作成] を選択し、[次へ] をクリックします。