ApsaraDB RDS for SQL Server インスタンスをエンタープライズの Active Directory (AD) と統合して、一元的なアクセス許可管理と統合アイデンティティ認証を実現できます。そのためには、セルフマネージドドメインを設定し、RDS インスタンスとドメインコントローラー間のネットワーク接続を確保する必要があります。ドメインコントローラーは、Alibaba Cloud Elastic Compute Service (ECS) インスタンス、別のクラウドプラットフォーム、またはオンプレミスデータセンターでホストできます。このトピックでは、ドメインコントローラーをホストする ECS インスタンスを例に、設定方法を説明します。
背景情報
Microsoft Active Directory (AD) は、Microsoft が Windows Standard Server、Windows Enterprise Server、Microsoft SQL Server などの自社製品向けに開発したディレクトリサービスです。ディレクトリとは、ネットワーク上のオブジェクトに関する情報を格納する階層構造です。たとえば、AD はユーザーアカウントの名前、パスワード、電話番号などの情報を格納し、同じネットワーク上の他の権限を持つユーザーがこの情報にアクセスできるようにします。
Microsoft エコシステムの重要な部分として、AD のサポートは、大企業がクラウドに移行するための基本的な要件です。
ApsaraDB RDS for SQL Server では、インスタンスをセルフマネージドドメインに参加させて、ビジネスエコシステムを完成できます。
AD 機能を有効にして設定した後、セルフマネージド AD ドメインでアカウントを作成し、それらのアカウントに ApsaraDB RDS for SQL Server インスタンスにログインしてデータベース操作を実行するアクセス許可を付与できます。
ただし、セルフマネージド AD ドメインを介して作成されたスーパーユーザー (System Admin) またはホストアカウントのアクセス許可は RDS の管理対象外となるため、Alibaba Cloud はそのようなアカウントを持つ RDS インスタンスの SLA を保証できません。
前提条件
ApsaraDB RDS for SQL Server インスタンスは、次の要件を満たす必要があります。
-
インスタンス仕様:汎用、専用 (共有) タイプはサポートされていません
-
課金方法:サブスクリプションまたは従量課金 (サーバーレスインスタンス) ではサポートされていません
-
アカウント:Alibaba Cloud アカウントが必要です。
この情報は、インスタンスの基本情報ページで確認できます。
事前準備
-
ドメインコントローラーのデプロイ
-
オペレーティングシステム:ドメインコントローラーは Windows Server 上で実行する必要があります。サポートされる最小バージョンは Windows Server 2012 R2 です。Windows Server 2016 以降の使用を推奨します。このトピックでは、Windows Server 2016 英語版を例に説明します。
-
DNS 設定:ドメインコントローラーは DNS サーバーとしても機能する必要があり、その IP アドレスは DNS サーバーのアドレスと同じでなければなりません。
-
アクセス許可の要件:RDS インスタンスをドメインに参加させるために使用するドメインアカウントは、Domain Admins グループのメンバーである必要があります。これは、クライアントが能動的にドメインに参加するために高レベルのアクセス許可を必要とするためです。
-
-
ネットワーク接続の確保:RDS インスタンスとドメインコントローラーは、双方向のネットワーク接続が必要です。ドメインコントローラーは、Alibaba Cloud ECS インスタンス、別のクラウドプラットフォーム、またはオンプレミスデータセンターなど、どこにでも配置できます。
注意事項
AD ドメインへの参加または離脱には、Windows オペレーティングシステムの再起動が必要です。サービスの中断を避けるため、この操作はピーク時間外に実行することを推奨します。
制限事項
AD ドメインに参加しているインスタンスでは、メジャーエンジンバージョンのアップグレード、マイナーエンジンバージョンのアップグレード、またはインスタンスの別ゾーンへの移行の操作を実行できません。
ステップ1:ドメインコントローラーの設定
ECS コンソールにログインします。
左側メニューで、 を選択します。
上部メニューで、対象リソースのリージョンとリソースグループを選択します。
-
インスタンス ページで、対象のインスタンスの ID をクリックします。
-
ECS インスタンスの Windows Server 2016 オペレーティングシステムにリモート接続します。
-
[サーバー マネージャー] を検索して開きます。
-
[役割と機能の追加] をクリックし、以下の設定を構成します。
ページ
設定
インストールの種類
デフォルト設定を維持します。
サーバーの選択
デフォルト設定を維持します。
サーバーの役割
-
[Active Directory ドメイン サービス] を選択し、表示されるダイアログボックスで [機能の追加] をクリックします。
-
[DNS サーバー] を選択し、表示されるダイアログボックスで [機能の追加] をクリックします。 コンピューターに静的 IP アドレスがないことを示すメッセージが表示された場合は、静的 IP アドレスに変更することをお勧めします。 これにより、IP アドレスが自動的に変更された場合に DNS サーバーが利用できなくなるのを防ぐことができます。
機能
デフォルト設定を維持します。
AD DS
デフォルト設定を維持します。
DNS サーバー
デフォルト設定を維持します。
確認
[インストール] をクリックします。
-
-
インストールが完了したら、[閉じる] をクリックします。
-
左側のナビゲーションペインで、[AD DS] をクリックします。右上隅で、[その他] をクリックします。
-
[このサーバーをドメインに昇格させる...] をクリックして、次の設定を行います。
ページ
設定
展開の構成
[新しいフォレストを追加] を選択します。[ルートドメイン名] フィールドに
testdomain.netを入力します。ドメイン コントローラー オプション
ディレクトリ サービス復元モード (DSRM) のパスワードを設定します。[フォレストの機能レベル] と [ドメインの機能レベル] の両方を [Windows Server 2016] に設定します。[ドメイン ネーム システム (DNS) サーバー] と [グローバル カタログ (GC)] のチェックボックスにチェックを入れます。[ディレクトリ サービス復元モード (DSRM) のパスワードを入力してください] セクションで、復元パスワードを入力し、確認のためにもう一度入力します。
DNS オプション
[DNS 委任の作成] オプションの [√] をクリアします。
追加オプション
デフォルト設定を維持します。
パス
デフォルト設定を維持します。
オプションの確認
デフォルト設定を維持します。
前提条件のチェック
[インストール] をクリックします。
説明インストールが完了すると、システムは自動的に再起動します。
-
システムの再起動後、再度[サーバー マネージャー]を検索して開きます。
-
左側のナビゲーションペインで、[AD DS] をクリックし、右側のペインでターゲットドメインコントローラーを右クリックして [Active Directory Users and Computers] を選択します。
-
を右クリックし、 を選択します。
-
ユーザー ログオン名を設定し、[次へ] をクリックします。
[フル ネーム] フィールドに
testuserを入力します。[ユーザー ログオン名] フィールドにtestuserを入力し、ドロップダウンリストから@testdomain.netを選択します。 -
ユーザーのパスワードを設定して無期限にし、[次へ] と [完了] をクリックしてユーザーを作成します。
[パスワード] と [パスワードの確認入力] フィールドにパスワードを入力します。[パスワードを無期限にする] チェックボックスにチェックを入れ、[次へ] をクリックします。確認ページで、[完了] をクリックします。
-
新しく作成したユーザーをダブルクリックし、ユーザーを Domain Admins グループに追加します。
ユーザーのプロパティダイアログボックスで、[所属するグループ] タブをクリックし、[追加] をクリックします。[グループの選択] ダイアログボックスで、
Domain Adminsと入力し、[名前の確認] をクリックして名前を確認し、[OK] をクリックします。
ステップ2:セキュリティグループの設定
ECS コンソールにログインします。
左側メニューで、 を選択します。
上部メニューで、対象リソースのリージョンとリソースグループを選択します。
-
インスタンス ページで、対象のインスタンスの ID をクリックします。
-
上部のナビゲーションバーで セキュリティグループ をクリックし、次にセキュリティグループの 操作 列で ルールの管理 をクリックします。
-
インバウンド タブで [ルールを追加] をクリックして、次のポートで ECS インスタンスへのアクセスを許可します。
プロトコルタイプ
ポート範囲
説明
TCP
88
Kerberos 認証プロトコルポート。
TCP
135
リモートプロシージャコール (RPC) プロトコルポート。
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP) ポート。
TCP
445
Common Internet File System (CIFS) プロトコルポート。
TCP
3268
グローバルカタログポート。
TCP/UDP
53
DNS ポート。
TCP
49152-65535
接続用のデフォルトの動的ポート範囲です。ポート範囲は
49152-65535 と入力します。
ステップ3:AD ドメインサービスの設定
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
左側のナビゲーションペインで、アカウント管理 をクリックします。
-
ADドメインサービス タブをクリックし、次に ADドメインサービスの設定 をクリックします。
-
ADドメインサービスの設定 ダイアログボックスで、次のパラメーターを設定し、[AD ドメインサービスが RDS サービスレベルアグリーメントに与える影響を読み、理解しました] を選択します。
警告AD 機能を有効にして設定した後、セルフマネージド AD ドメインでアカウントを作成し、それらのアカウントに ApsaraDB RDS for SQL Server インスタンスにログインしてデータベース操作を実行するアクセス許可を付与できます。
ただし、セルフマネージド AD ドメインを介して作成されたスーパーユーザー (System Admin) またはホストアカウントのアクセス許可は RDS の管理対象外となるため、Alibaba Cloud はそのようなアカウントを持つ RDS インスタンスの SLA を保証できません。
パラメーター
説明
[ドメイン名]
Active Directory の作成時に[デプロイ設定]ページで指定したドメイン名です。この例では、ドメイン名は
testdomain.netです。[ディレクトリ IP アドレス]
ドメインコントローラーをホストする ECS インスタンスの IP アドレス。この IP アドレスは、ECS コンソールのインスタンス詳細ページで確認できます。[ネットワーク情報] セクションで、[プライマリプライベート IP] を見つけます。または、ECS インスタンスで
ipconfigコマンドを実行して確認することもできます。[ドメインアカウント]
先ほど作成したユーザー名です。
[ドメインパスワード]
ドメインアカウントのパスワード。
-
OK をクリックし、AD ドメインの設定が完了するまで待ちます。
関連操作
次の API を使用して、AD ドメインの関連付けを表示、変更、または削除できます。
-
DescribeADInfo:ApsaraDB RDS for SQL Server インスタンスの AD ドメイン情報を照会します。
-
ModifyADInfo:ApsaraDB RDS for SQL Server インスタンスの AD ドメイン設定を変更します。
-
DeleteADSetting:ApsaraDB RDS for SQL Server インスタンスの AD ドメイン設定を削除します。