本文介绍如何配置ECS实例的域控服务器,以及如何将RDS SQL Server实例接入域。

前提条件

  • 实例版本如下:
    • 2019标准版(非共享型规格)
    • 2017标准版和企业集群版(非共享型规格)
    • 2016标准版和企业版(非共享型规格)
    • 2012标准版和企业版(非共享型规格)
  • RDS和域控服务器所在ECS在相同VPC。
  • ECS安全组放通RDS的内网IP。详情请参见添加安全组规则
  • ECS实例系统防火墙放通RDS的内网IP。ECS实例系统防火墙默认关闭,如果您开启过,需要放通RDS的内网IP。
  • 域账号属于Domain Admins组(由于客户端主动加域需要高权限)。
  • 域控服务器与DNS是相同IP。
  • 登录的阿里云账号为主账号。
说明 当前仅面向特定客户开放该功能,若有需求,请通过工单或客户经理申请。

背景信息

Microsoft AD即Active Directory(活动目录),是微软提供的面向Windows Standard Server、Windows Enterprise Server以及Microsoft SQL Server等产品的目录服务。目录是一种分层结构,用于存储同一局域网络上对象的信息。例如,AD存储有关用户账号的信息,例如名称、密码、电话号码等,并允许同一局域网络上的其他授权用户访问此信息。

AD是Windows生态体系下的重要组成单元。诸多大型企业,会通过域控来实现统筹的集中式访问管理,是企业内部长期依赖的原生管理方式。在上述背景下,当您从自建环境迁移整体服务至云上或使用混合云架构时,往往也需要在云上体系中支持AD服务,以便于全局管理。具体至SQL Server数据库,作为微软生态体系下的重要一环,大型企业在搬迁上云时AD的支持成为最基础的要素。

基于上述情况,RDS SQL Server提供实例接入自建域功能,帮助您完善业务生态体系。

注意事项

开通该功能后,不再提供SLA保障。

Windows版本选择

域控服务器需要建立在Windows Server操作系统之上,ECS创建实例时,系统最低版本为Windows Server 2012R2,建议使用Windows Server 2016及以上版本,语言选择英文,下文我们将以Windows Server 2016为例指导您建立可供RDS使用的域控服务器。

流程说明

  1. ECS实例系统配置域控服务器
  2. 配置ECS实例安全组
  3. 配置RDS实例

ECS实例系统配置域控服务器

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例与镜像 > 实例
  3. 在顶部菜单栏左上角处,选择地域。
  4. 实例列表页面中,单击目标实例ID。
  5. 远程登录ECS的Windows Server 2016系统。
  6. 搜索Server Manager并打开。
  7. 单击Add roles and features,进行如下设置。
    页面名称 设置说明
    Installation Type 保持默认设置。
    Server Selection 保持默认设置。
    Server Roles
    • 选中Active Directory Domain Services,并在弹出的对话框中单击Add Features
    • 选中DNS Server,并在弹出的对话框中单击Add Features。如果提示您电脑不是固定IP,建议您修改电脑为固定IP,防止IP自动变更导致DNS服务器无法使用。
    Server Roles
    Features 保持默认设置。
    AD DS 保持默认设置。
    DNS Server 保持默认设置。
    Confirmation 单击Install进行安装。
  8. 等待安装完成后,单击Close关闭页面。
  9. 在左侧导航栏单击AD DS,然后在右上方单击More
    More
  10. 单击Promote this server to a domain...,进行如下设置。
    Promote
    页面名称 设置说明
    Deployment Configuration 选择Add a new forest,设置域名。new forest
    Domain Controller Options 设置恢复模式密码。恢复模式密码
    DNS Options 取消Create DNS delegation选项的取消选项
    Additional Options 保持默认设置。
    Paths 保持默认设置。
    Review Options 保持默认设置。
    Prerequisites Check 单击Install进行安装。
    说明 安装完成后系统会重启。
  11. 等待系统重启,再次搜索Server Manager并打开。
  12. 在左侧导航栏单击AD DS,然后在右侧目标域控服务器上单击鼠标右键,选择Active Directory Users and Computers,进入AD用户管理模块。
    ad用户管理
  13. testdomain.net > Users上单击鼠标右键,选择New > User
    创建新用户
  14. 设置登录的用户名称,然后单击Next
    用户名
  15. 设置登录密码,并设置密码永不过期,然后单击NextFinish完成创建。
    设置密码
  16. 双击新创建的用户,将该用户加入Domain Admins管理员组。
    加入管理员组添加成功

配置ECS实例安全组

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例与镜像 > 实例
  3. 在顶部菜单栏左上角处,选择地域。
  4. 实例列表页面中,单击目标实例ID。
  5. 在左侧导航栏单击本实例安全组,然后在右侧单击配置规则
    说明 域控服务器需要开放较多端口,因此不建议和其他ECS实例共享安全组,建议创建单独的安全组使用。
  6. 入方向页签内单击手动添加,允许如下端口访问ECS实例。
    放通RDS访问ECS
    协议类型 端口范围 说明
    TCP 88 Kerberos认证协议端口。
    TCP 135 远程过程调用协议(RPC)端口。
    TCP/UDP 389 轻型目录访问协议(LDAP)端口。
    TCP 445 通用互联网文档系统协议(CIFS)端口。
    TCP 3268 Global Catalog端口。
    TCP/UDP 53 DNS端口。
    TCP 49152~65535 连接的默认动态端口范围。输入格式为:49152/65535。

配置RDS实例

  1. 登录RDS管理控制台
  2. 在左侧单击实例列表,然后在上方选择实例所在地域。
    选择地域
  3. 找到目标实例,单击实例ID。
  4. 在左侧导航栏单击账号管理
  5. 单击AD域服务信息页签,然后单击配置AD域服务
    配置AD域服务
  6. 设置如下参数,并选中我已阅读并知晓配置AD域服务对《RDS 服务等级协议》的影响。
    警告 开通AD域功能后,不再提供SLA保障。
    加域
    参数 说明
    域名 创建活动目录时(Deployment Configuration页面)指定的域名,例如本文设置的是testdomian.net。
    目录IP地址 域控服务器所在ECS的IP,可以在ECS中使用ipconfig获取,也可以在阿里云ECS控制台中查看。查看私网IP
    域账号 之前创建的用户名。
    域密码 用户名对应的密码。
  7. 单击确定,等待域操作完成。
    添加完成

常见问题

RDS使用什么权限用户加入域?如何控制其权限?

建议您使用域管理员权限的账号让RDS加入域,如果不希望使用域管理员权限,可以按照下面方法使用最小权限,但是使用最小权限账号退出域时,需要在域控服务器中手动删除对应的计算机对象,否则将同一RDS再次加入本域时会报错。

  1. 创建新用户并确认用户属于Domain Users组后,在Computers > Delegate Control...页面添加刚才创建的新用户。控制权限1控制权限2
  2. 在创建的用户上单击右键,选择Create a custom task to delegate,然后单击Next
  3. 选择Only the following objects in the folder,按下图所示进行选中,然后单击Next控制权限3
  4. 按下图所示进行选中,然后单击Next直至完成。控制权限4