SQL Server接入自建域 - RDS SQL Server 数据库| 阿里云

本文介绍如何配置ECS实例的域控服务器，以及如何将RDS SQL Server实例接入域。

前提条件

实例版本如下：
- 2019标准版（非共享型规格）
- 2017标准版和企业集群版（非共享型规格）
- 2016标准版和企业版（非共享型规格）
- 2012标准版和企业版（非共享型规格）
RDS和域控服务器所在ECS在相同VPC。
ECS安全组放通RDS的内网IP。详情请参见添加安全组规则。
ECS实例系统防火墙放通RDS的内网IP。ECS实例系统防火墙默认关闭，如果您开启过，需要放通RDS的内网IP。
域账号属于Domain Admins组（由于客户端主动加域需要高权限）。
域控服务器与DNS是相同IP。
登录的阿里云账号为主账号。

说明当前仅面向特定客户开放该功能，若有需求，请通过工单或客户经理申请。

背景信息

Microsoft AD即Active Directory（活动目录），是微软提供的面向Windows Standard Server、Windows Enterprise Server以及Microsoft SQL Server等产品的目录服务。目录是一种分层结构，用于存储同一局域网络上对象的信息。例如，AD存储有关用户账号的信息，例如名称、密码、电话号码等，并允许同一局域网络上的其他授权用户访问此信息。

AD是Windows生态体系下的重要组成单元。诸多大型企业，会通过域控来实现统筹的集中式访问管理，是企业内部长期依赖的原生管理方式。在上述背景下，当您从自建环境迁移整体服务至云上或使用混合云架构时，往往也需要在云上体系中支持AD服务，以便于全局管理。具体至SQL Server数据库，作为微软生态体系下的重要一环，大型企业在搬迁上云时AD的支持成为最基础的要素。

基于上述情况，RDS SQL Server提供实例接入自建域功能，帮助您完善业务生态体系。

注意事项

开通该功能后，不再提供SLA保障。

Windows版本选择

域控服务器需要建立在Windows Server操作系统之上，ECS创建实例时，系统最低版本为Windows Server 2012R2，建议使用Windows Server 2016及以上版本，语言选择英文，下文我们将以Windows Server 2016为例指导您建立可供RDS使用的域控服务器。

ECS实例系统配置域控服务器

登录ECS管理控制台。
在左侧导航栏，单击实例与镜像 > 实例。
在顶部菜单栏左上角处，选择地域。
在实例列表页面中，单击目标实例ID。
远程登录ECS的Windows Server 2016系统。
搜索Server Manager并打开。

单击Add roles and features，进行如下设置。


页面名称	设置说明
Installation Type	保持默认设置。
Server Selection	保持默认设置。
Server Roles	选中Active Directory Domain Services，并在弹出的对话框中单击Add Features。选中DNS Server，并在弹出的对话框中单击Add Features。如果提示您电脑不是固定IP，建议您修改电脑为固定IP，防止IP自动变更导致DNS服务器无法使用。
Features	保持默认设置。
AD DS	保持默认设置。
DNS Server	保持默认设置。
Confirmation	单击Install进行安装。

等待安装完成后，单击Close关闭页面。
在左侧导航栏单击AD DS，然后在右上方单击More。

单击Promote this server to a domain...，进行如下设置。


页面名称	设置说明
Deployment Configuration	选择Add a new forest，设置域名。
Domain Controller Options	设置恢复模式密码。
DNS Options	取消Create DNS delegation选项的√。
Additional Options	保持默认设置。
Paths	保持默认设置。
Review Options	保持默认设置。
Prerequisites Check	单击Install进行安装。说明安装完成后系统会重启。

等待系统重启，再次搜索Server Manager并打开。
在左侧导航栏单击AD DS，然后在右侧目标域控服务器上单击鼠标右键，选择Active Directory Users and Computers，进入AD用户管理模块。
在testdomain.net > Users上单击鼠标右键，选择New > User。
设置登录的用户名称，然后单击Next。
设置登录密码，并设置密码永不过期，然后单击Next及Finish完成创建。
双击新创建的用户，将该用户加入Domain Admins管理员组。

配置ECS实例安全组

登录ECS管理控制台。
在左侧导航栏，单击实例与镜像 > 实例。
在顶部菜单栏左上角处，选择地域。
在实例列表页面中，单击目标实例ID。
在左侧导航栏单击本实例安全组，然后在右侧单击配置规则。

说明域控服务器需要开放较多端口，因此不建议和其他ECS实例共享安全组，建议创建单独的安全组使用。

在入方向页签内单击手动添加，允许如下端口访问ECS实例。


协议类型	端口范围	说明
TCP	88	Kerberos认证协议端口。
TCP	135	远程过程调用协议（RPC）端口。
TCP/UDP	389	轻型目录访问协议（LDAP）端口。
TCP	445	通用互联网文档系统协议（CIFS）端口。
TCP	3268	Global Catalog端口。
TCP/UDP	53	DNS端口。
TCP	49152~65535	连接的默认动态端口范围。输入格式为：49152/65535。

配置RDS实例

登录RDS管理控制台。
在左侧单击实例列表，然后在上方选择实例所在地域。
找到目标实例，单击实例ID。
在左侧导航栏单击账号管理。
单击AD域服务信息页签，然后单击配置AD域服务。

设置如下参数，并选中我已阅读并知晓配置AD域服务对《RDS 服务等级协议》的影响。。

警告开通AD域功能后，不再提供SLA保障。


参数	说明
域名	创建活动目录时（Deployment Configuration页面）指定的域名，例如本文设置的是testdomian.net。
目录IP地址	域控服务器所在ECS的IP，可以在ECS中使用`ipconfig`获取，也可以在阿里云ECS控制台中查看。
域账号	之前创建的用户名。
域密码	用户名对应的密码。

单击确定，等待域操作完成。

常见问题

RDS使用什么权限用户加入域？如何控制其权限？

建议您使用域管理员权限的账号让RDS加入域，如果不希望使用域管理员权限，可以按照下面方法使用最小权限，但是使用最小权限账号退出域时，需要在域控服务器中手动删除对应的计算机对象，否则将同一RDS再次加入本域时会报错。

创建新用户并确认用户属于Domain Users组后，在Computers > Delegate Control...页面添加刚才创建的新用户。
在创建的用户上单击右键，选择Create a custom task to delegate，然后单击Next。
选择Only the following objects in the folder，按下图所示进行选中，然后单击Next。
按下图所示进行选中，然后单击Next直至完成。