如何配置ECS的域控服务器，以及将RDS SQL Server接入域

本文介绍如何配置ECS实例的域控服务器，以及如何将RDS SQL Server实例接入域。

前提条件

实例系列如下：
- RDS SQL Server 基础系列
- RDS SQL Server 集群系列
- RDS SQL Server 高可用系列（2012及以上版本）
说明该功能当前仅针对特定客户账号UID开放，所有客户默认不开放，若您有需求，请向客户经理反馈申请开放您的账号UID。另外如果是基础版实例，请在申请时说明您的实例版本，该版本需再开放一次白名单。
实例规格为通用型或独享型。
说明共享型规格不支持。
RDS和域控服务器所在ECS在相同VPC。
ECS安全组放通RDS的内网IP。详情请参见添加安全组规则。
ECS实例系统防火墙放通RDS的内网IP。ECS实例系统防火墙默认关闭，如果您开启过，需要放通RDS的内网IP。
域账号属于Domain Admins组（由于客户端主动加域需要高权限）。
域控服务器与DNS是相同IP。
登录的阿里云账号为主账号。

背景信息

Microsoft AD即Active Directory（活动目录），是微软提供的面向Windows Standard Server、Windows Enterprise Server以及Microsoft SQL Server等产品的目录服务。目录是一种分层结构，用于存储同一局域网络上对象的信息。例如，AD存储有关用户账号的信息，例如名称、密码、电话号码等，并允许同一局域网络上的其他授权用户访问此信息。

AD是Windows生态体系下的重要组成单元。诸多大型企业，会通过域控来实现统筹的集中式访问管理，是企业内部长期依赖的原生管理方式。在上述背景下，当您从自建环境迁移整体服务至云上或使用混合云架构时，往往也需要在云上体系中支持AD服务，以便于全局管理。具体至SQL Server数据库，作为微软生态体系下的重要一环，大型企业在搬迁上云时AD的支持成为最基础的要素。

基于上述情况，RDS SQL Server提供实例接入自建域功能，帮助您完善业务生态体系。

重要

开通该功能后，产品将不再提供SLA保障。

Windows版本选择

域控服务器需要建立在Windows Server操作系统之上，ECS创建实例时，系统最低版本为Windows Server 2012R2，建议使用Windows Server 2016及以上版本，语言选择英文，下文我们将以Windows Server 2016为例指导您建立可供RDS使用的域控服务器。

ECS实例系统配置域控服务器

登录ECS管理控制台。
在左侧导航栏，选择实例与镜像 > 实例。
在顶部菜单栏左上角处，选择地域。
在实例列表页面中，单击目标实例ID。
远程登录ECS的Windows Server 2016系统。
搜索Server Manager并打开。

单击Add roles and features，进行如下设置。


页面名称	设置说明
Installation Type	保持默认设置。
Server Selection	保持默认设置。
Server Roles	选中Active Directory Domain Services，并在弹出的对话框中单击Add Features。选中DNS Server，并在弹出的对话框中单击Add Features。如果提示您电脑不是固定IP，建议您修改电脑为固定IP，防止IP自动变更导致DNS服务器无法使用。
Features	保持默认设置。
AD DS	保持默认设置。
DNS Server	保持默认设置。
Confirmation	单击Install进行安装。

等待安装完成后，单击Close关闭页面。
在左侧导航栏单击AD DS，然后在右上方单击More。

单击Promote this server to a domain...，进行如下设置。


页面名称	设置说明
Deployment Configuration	选择Add a new forest，设置域名。
Domain Controller Options	设置恢复模式密码。
DNS Options	取消Create DNS delegation选项的√。
Additional Options	保持默认设置。
Paths	保持默认设置。
Review Options	保持默认设置。
Prerequisites Check	单击Install进行安装。说明安装完成后系统会重启。

等待系统重启，再次搜索Server Manager并打开。
在左侧导航栏单击AD DS，然后在右侧目标域控服务器上单击鼠标右键，选择Active Directory Users and Computers，进入AD用户管理模块。
在testdomain.net > Users上单击鼠标右键，选择New > User。
设置登录的用户名称，然后单击Next。
设置登录密码，并设置密码永不过期，然后单击Next及Finish完成创建。
双击新创建的用户，将该用户加入Domain Admins管理员组。

配置ECS实例安全组

登录ECS管理控制台。
在左侧导航栏，选择实例与镜像 > 实例。
在顶部菜单栏左上角处，选择地域。
在实例列表页面中，单击目标实例ID。
在上方导航栏中选择安全组，然后单击安全组操作列下的配置规则。

在入方向页签内单击手动添加，允许如下端口访问ECS实例。


协议类型	端口范围	说明
TCP	88	Kerberos认证协议端口。
TCP	135	远程过程调用协议（RPC）端口。
TCP/UDP	389	轻型目录访问协议（LDAP）端口。
TCP	445	通用互联网文档系统协议（CIFS）端口。
TCP	3268	Global Catalog端口。
TCP/UDP	53	DNS端口。
TCP	49152~65535	连接的默认动态端口范围。输入格式为：49152/65535。

配置RDS实例

访问RDS实例列表，在上方选择地域，然后单击目标实例ID。
在左侧导航栏单击账号管理。
单击AD域服务信息页签，然后单击配置AD域服务。

设置如下参数，并选中我已阅读并知晓配置AD域服务对《RDS 服务等级协议》的影响。

警告开通AD域功能后，不再提供SLA保障。


参数	说明
域名	创建活动目录时（Deployment Configuration页面）指定的域名，例如本文设置的是testdomian.net。
目录IP地址	域控服务器所在ECS的IP，可以在ECS中使用`ipconfig`获取，也可以在阿里云ECS控制台中查看。
域账号	之前创建的用户名。
域密码	用户名对应的密码。

单击确定，等待域操作完成。

常见问题

RDS使用什么权限用户加入域？如何控制其权限？

建议您使用域管理员权限的账号让RDS加入域，如果不希望使用域管理员权限，可以按照下面方法使用最小权限，但是使用最小权限账号退出域时，需要在域控服务器中手动删除对应的计算机对象，否则将同一RDS再次加入本域时会报错。

创建新用户并确认用户属于Domain Users组后，在Computers > Delegate Control...页面添加刚才创建的新用户。
在创建的用户上单击右键，选择Create a custom task to delegate，然后单击Next。
选择Only the following objects in the folder，按下图所示进行选中，然后单击Next。
按下图所示进行选中，然后单击Next直至完成。