當您需要將RDS SQL Server執行個體整合到企業的Active Directory(AD)身份認證體系中時,可通過本文配置自建域並完成接入,實現集中化的許可權管理與統一身分識別驗證。部署前需確保RDS執行個體與網域控制站之間網路連通,網域控制站所在位置支援阿里雲ECS、其他雲平台或本地IDC。本文以在阿里雲ECS上部署網域控制站為例示範具體配置方法。
背景資訊
Microsoft AD即Active Directory(活動目錄),是微軟提供的面向Windows Standard Server、Windows Enterprise Server以及Microsoft SQL Server等產品的目錄服務。目錄是一種分層結構,用於儲存同一區域網路絡上對象的資訊。例如,AD儲存有關使用者帳號的資訊,例如名稱、密碼、電話號碼等,並允許同一區域網路絡上的其他授權使用者訪問此資訊。
AD是Windows生態體系下的重要組成單元。諸多大型企業,會通過域控來實現統籌的集中式訪問管理,是企業內部長期依賴的原生管理方式。在上述背景下,當您從自建環境遷移整體服務至雲上或使用混合雲架構時,往往也需要在雲上體系中支援AD服務,以便於全域管理。具體至SQL Server資料庫,作為微軟生態體系下的重要一環,大型企業在搬遷上雲時AD的支援成為最基礎的要素。
基於上述情況,RDS SQL Server提供執行個體接入自建域功能,協助您完善業務生態體系。
開通並配置了AD域功能後,您可以通過AD自建域建立帳號,並授予相應的許可權,使得該帳號可以登入RDS SQL Server並對資料庫進行相應的操作。
但由於超級許可權帳號(System Admin)或主機帳號所擁有的操作許可權已超出了RDS控制的範圍,因此對於通過AD自建域功能所建立的該類型帳號的RDS執行個體,我們無法保證SLA。
前提條件
RDS SQL Server執行個體需滿足如下條件:
-
執行個體規格:通用型、獨享型(不支援共用型)
-
計費方式:訂用帳戶或隨用隨付(不支援Serverless執行個體)
-
操作帳號:需使用阿里雲主帳號執行配置
您可以前往執行個體基本資料頁面查看以上資訊。
準備工作
-
部署網域控制站
-
作業系統:需基於Windows Server 系統,最低版本為Windows Server 2012 R2,推薦使用Windows Server 2016及以上版本(本文以 Windows Server 2016英文版為例)。
-
DNS配置:域控伺服器必須同時作為DNS伺服器,且其IP地址與DNS伺服器位址一致。
-
許可權要求:用於RDS加網域作業的域帳號必須屬於Domain Admins組(因用戶端主動加域需高許可權)。
-
-
確保網路連通性:RDS執行個體與域控伺服器間必須雙向網路可達,不限部署位置,支援域控位於阿里雲ECS、其他雲平台或本地IDC均可。
注意事項
加入或退出AD域的操作都需要重啟Windows作業系統,為避免對進行中的業務造成中斷影響,請您盡量在業務低峰期執行此類操作。
使用限制
步驟一:ECS執行個體系統佈建網域控伺服器
登入ECS管理主控台。
在左側導覽列,選擇。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
-
在雲資料庫管理頁面中,單擊目標執行個體ID。
-
遠程登入ECS的Windows Server 2016系統。
-
搜尋Server Manager並開啟。
-
單擊Add roles and features,進行如下設定。
頁面名稱
設定說明
Installation Type
保持預設設定。
Server Selection
保持預設設定。
Server Roles
-
選中Active Directory Domain Services,並在彈出的對話方塊中單擊Add Features。
-
選中DNS Server,並在彈出的對話方塊中單擊Add Features。如果提示您電腦不是固定IP,建議您修改電腦為固定IP,防止IP自動變更導致DNS伺服器無法使用。
Features
保持預設設定。
AD DS
保持預設設定。
DNS Server
保持預設設定。
Confirmation
單擊Install進行安裝。
-
-
等待安裝完成後,單擊Close關閉頁面。
-
在左側導覽列單擊AD DS,然後在右上方單擊More。
-
單擊Promote this server to a domain...,進行如下設定。
頁面名稱
設定說明
Deployment Configuration
選擇Add a new forest,設定網域名稱。在 Root domain name 中輸入
testdomain.net。Domain Controller Options
設定復原模式密碼。將 Forest functional level 和 Domain functional level 均設定為 Windows Server 2016,勾選 Domain Name System (DNS) server 和 Global Catalog (GC),然後在 Type the Directory Services Restore Mode (DSRM) password 地區輸入並確認恢複密碼。
DNS Options
取消Create DNS delegation選項的√。
Additional Options
保持預設設定。
Paths
保持預設設定。
Review Options
保持預設設定。
Prerequisites Check
單擊Install進行安裝。
說明安裝完成後系統會重啟。
-
等待系統重啟,再次搜尋Server Manager並開啟。
-
在左側導覽列單擊AD DS,然後在右側目標域控伺服器上單擊滑鼠右鍵,選擇Active Directory Users and Computers,進入AD使用者管理模組。
-
在上單擊滑鼠右鍵,選擇。
-
設定登入的使用者名稱稱,然後單擊Next。
在 Full name 中輸入
testuser,在 User logon name 中輸入testuser,尾碼選擇@testdomain.net。 -
設定登入密碼,並設定密碼永不到期,然後單擊Next及Finish完成建立。
在 Password 和 Confirm password 中輸入密碼,勾選 Password never expires 複選框,然後單擊 Next。在確認頁面單擊 Finish。
-
雙擊新建立的使用者,將該使用者加入Domain AdminsAdministrator 群組。
在使用者屬性對話方塊中選擇 Member Of 選項卡,單擊 Add,在彈出的 Select Groups 對話方塊中輸入
Domain Admins,單擊 Check Names 驗證後單擊 OK。
步驟二:配置ECS執行個體安全性群組
登入ECS管理主控台。
在左側導覽列,選擇。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
-
在雲資料庫管理頁面中,單擊目標執行個體ID。
-
在上方導覽列中選擇安全性群組:,然後單擊安全性群組操作列下的管理規則。
-
在入方向頁簽內單擊增加規則,允許如下連接埠訪問ECS執行個體。
協議類型
連接埠範圍
說明
TCP
88
Kerberos認證協議連接埠。
TCP
135
遠端程序呼叫協議(RPC)連接埠。
TCP/UDP
389
輕量型目錄存取通訊協定(LDAP)連接埠。
TCP
445
通用互連網文檔系統協議(CIFS)連接埠。
TCP
3268
Global Catalog連接埠。
TCP/UDP
53
DNS連接埠。
TCP
49152~65535
串連的預設動態連接埠範圍。輸入格式為:49152/65535。
步驟三:配置RDS執行個體AD網域服務
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
-
在左側導覽列單擊帳號管理。
-
單擊AD網域服務資訊頁簽,然後單擊配置AD網域服務。
-
在彈出的配置AD網域服務對話方塊中,設定如下參數,並選中我已閱讀並知曉配置AD網域服務對《RDS 服務等級協議》的影響。
警告開通並配置了AD域功能後,您可以通過AD自建域建立帳號,並授予相應的許可權,使得該帳號可以登入RDS SQL Server並對資料庫進行相應的操作。
但由於超級許可權帳號(System Admin)或主機帳號所擁有的操作許可權已超出了RDS控制的範圍,因此對於通過AD自建域功能所建立的該類型帳號的RDS執行個體,我們無法保證SLA。
參數
說明
網域名稱
建立活動目錄時(Deployment Configuration頁面)指定的網域名稱。例如本文設定的是testdomian.net。
目錄IP地址
域控伺服器所在ECS的IP,可以在ECS中使用
ipconfig擷取,也可以在阿里雲ECS控制台中查看。在ECS管理主控台的執行個體詳情頁,找到網路資訊地區,記錄主私網IP的值。域帳號
之前建立的使用者名稱。
域密碼
使用者名稱對應的密碼。
-
單擊確定,等待AD網域設定完成。
相關操作
使用API查看或修改AD域關聯資訊、退出所在AD域,請參見: