本文介绍如何配置ECS实例的域控服务器,以及如何将RDS SQL Server实例接入域。
前提条件
- 实例版本如下:
- 2019标准版(非共享型规格)
- 2017标准版和企业集群版(非共享型规格)
- 2016标准版和企业版(非共享型规格)
- 2012标准版和企业版(非共享型规格)
- RDS和域控服务器所在ECS在相同VPC。
- ECS安全组放通RDS的内网IP。详情请参见添加安全组规则。
- ECS实例系统防火墙放通RDS的内网IP。ECS实例系统防火墙默认关闭,如果您开启过,需要放通RDS的内网IP。
- 域账号属于Domain Admins组(由于客户端主动加域需要高权限)。
- 域控服务器与DNS是相同IP。
- 登录的阿里云账号为主账号。
说明 当前仅面向特定客户开放该功能,若有需求,请通过
工单或客户经理申请。
背景信息
Microsoft AD即Active Directory(活动目录),是微软提供的面向Windows Standard Server、Windows Enterprise
Server以及Microsoft SQL Server等产品的目录服务。目录是一种分层结构,用于存储同一局域网络上对象的信息。例如,AD存储有关用户账号的信息,例如名称、密码、电话号码等,并允许同一局域网络上的其他授权用户访问此信息。
AD是Windows生态体系下的重要组成单元。诸多大型企业,会通过域控来实现统筹的集中式访问管理,是企业内部长期依赖的原生管理方式。在上述背景下,当您从自建环境迁移整体服务至云上或使用混合云架构时,往往也需要在云上体系中支持AD服务,以便于全局管理。具体至SQL
Server数据库,作为微软生态体系下的重要一环,大型企业在搬迁上云时AD的支持成为最基础的要素。
基于上述情况,RDS SQL Server提供实例接入自建域功能,帮助您完善业务生态体系。
Windows版本选择
域控服务器需要建立在Windows Server操作系统之上,ECS创建实例时,系统最低版本为Windows Server 2012R2,建议使用Windows Server
2016及以上版本,语言选择英文,下文我们将以Windows Server 2016为例指导您建立可供RDS使用的域控服务器。
ECS实例系统配置域控服务器
- 登录ECS管理控制台。
- 在左侧导航栏,单击。
- 在顶部菜单栏左上角处,选择地域。
- 在实例列表页面中,单击目标实例ID。
- 远程登录ECS的Windows Server 2016系统。
- 搜索Server Manager并打开。
- 单击Add roles and features,进行如下设置。
页面名称 |
设置说明 |
Installation Type |
保持默认设置。 |
Server Selection |
保持默认设置。 |
Server Roles |
- 选中Active Directory Domain Services,并在弹出的对话框中单击Add Features。
- 选中DNS Server,并在弹出的对话框中单击Add Features。如果提示您电脑不是固定IP,建议您修改电脑为固定IP,防止IP自动变更导致DNS服务器无法使用。
 |
Features |
保持默认设置。 |
AD DS |
保持默认设置。 |
DNS Server |
保持默认设置。 |
Confirmation |
单击Install进行安装。
|
- 等待安装完成后,单击Close关闭页面。
- 在左侧导航栏单击AD DS,然后在右上方单击More。
- 单击Promote this server to a domain...,进行如下设置。

页面名称 |
设置说明 |
Deployment Configuration |
选择Add a new forest,设置域名。 |
Domain Controller Options |
设置恢复模式密码。 |
DNS Options |
取消Create DNS delegation选项的√。 |
Additional Options |
保持默认设置。 |
Paths |
保持默认设置。 |
Review Options |
保持默认设置。 |
Prerequisites Check |
单击Install进行安装。
|
- 等待系统重启,再次搜索Server Manager并打开。
- 在左侧导航栏单击AD DS,然后在右侧目标域控服务器上单击鼠标右键,选择Active Directory Users and Computers,进入AD用户管理模块。
- 在上单击鼠标右键,选择。
- 设置登录的用户名称,然后单击Next。
- 设置登录密码,并设置密码永不过期,然后单击Next及Finish完成创建。
- 双击新创建的用户,将该用户加入Domain Admins管理员组。
配置ECS实例安全组
- 登录ECS管理控制台。
- 在左侧导航栏,单击。
- 在顶部菜单栏左上角处,选择地域。
- 在实例列表页面中,单击目标实例ID。
- 在左侧导航栏单击本实例安全组,然后在右侧单击配置规则。
说明 域控服务器需要开放较多端口,因此不建议和其他ECS实例共享安全组,建议创建单独的安全组使用。
- 在入方向页签内单击手动添加,允许如下端口访问ECS实例。

协议类型 |
端口范围 |
说明 |
TCP |
88 |
Kerberos认证协议端口。 |
TCP |
135 |
远程过程调用协议(RPC)端口。 |
TCP/UDP |
389 |
轻型目录访问协议(LDAP)端口。 |
TCP |
445 |
通用互联网文档系统协议(CIFS)端口。 |
TCP |
3268 |
Global Catalog端口。 |
TCP/UDP |
53 |
DNS端口。 |
TCP |
49152~65535 |
连接的默认动态端口范围。输入格式为:49152/65535。 |
配置RDS实例
- 登录RDS管理控制台。
- 在左侧单击实例列表,然后在上方选择实例所在地域。
- 找到目标实例,单击实例ID。
- 在左侧导航栏单击账号管理。
- 单击AD域服务信息页签,然后单击配置AD域服务。
- 设置如下参数,并选中我已阅读并知晓配置AD域服务对《RDS 服务等级协议》的影响。。

参数 |
说明 |
域名 |
创建活动目录时(Deployment Configuration页面)指定的域名,例如本文设置的是testdomian.net。
|
目录IP地址 |
域控服务器所在ECS的IP,可以在ECS中使用ipconfig获取,也可以在阿里云ECS控制台中查看。 |
域账号 |
之前创建的用户名。 |
域密码 |
用户名对应的密码。 |
- 单击确定,等待域操作完成。