Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden der Kerberos-Authentifizierung für Aurora MySQL
Sie können die Kerberos-Authentifizierung verwenden, um Benutzer zu authentifizieren, wenn diese sich mit Ihrem DB-Cluster von Aurora MySQL verbinden. Konfigurieren Sie Ihren DB-Cluster dazu so, dass AWS Directory Service for Microsoft Active Directory für die Kerberos-Authentifizierung verwendet wird. AWS Directory Service for Microsoft Active Directory wird auch als AWS Managed Microsoft AD bezeichnet. Es ist eine Funktion, die mit Directory Service verfügbar ist. Weitere Informationen finden Sie unter [Was ist Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) im *Administratorhandbuch für AWS Directory Service*.
Zunächst erstellen Sie ein AWS Managed Microsoft AD-Verzeichnis, um Benutzeranmeldeinformationen zu speichern. Anschließend stellen Sie Ihrem DB-Cluster von Aurora MySQL die Active Directory Domain und weitere Informationen zur Verfügung. Wenn sich Benutzer beim DB-Cluster von Aurora MySQL authentifizieren, werden Authentifizierungsanforderungen an das AWS Managed Microsoft AD-Verzeichnis weitergeleitet.
Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Mit diesem Ansatz haben Sie einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Cluster. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.
Außerdem können Sie von Ihrem eigenen On-Premises Microsoft Active Directory auf Anmeldeinformationen zugreifen. Dazu erstellen Sie eine vertrauensvolle Domain-Beziehung, damit das AWS Managed Microsoft AD-Verzeichnis Ihrem On-Premises Microsoft Active Directory vertraut. Auf diese Weise können Ihre Benutzer auf Ihre DB-Cluster von Aurora SQL mit derselben Windows Single Sign-On-Oberfläche (SSO) zugreifen, die sie auch für den Zugriff auf Workloads in Ihrem lokalen Netzwerk verwenden.
Eine Datenbank kann Kerberos, AWS Identity and Access Management (IAM) oder sowohl Kerberos- als auch IAM-Authentifizierung nutzen. Da die Kerberos- und IAM-Authentifizierung jedoch unterschiedliche Authentifizierungsmethoden bereitstellen, kann sich ein bestimmter Benutzer nur mit der einen oder anderen Authentifizierungsmethode bei einer Datenbank anmelden, jedoch nicht mit beiden. Weitere Informationen zur IAM-Authentifizierung finden Sie unter [IAM-Datenbankauthentifizierung](UsingWithRDS.IAMDBAuth.md).
**Contents**
+ [
## Übersicht über die Kerberos-Authentifizierung für DB-Cluster von Aurora MySQL
](#aurora-mysql-kerberos-setting-up-overview)
+ [
## Einschränkungen bei der Kerberos-Authentifizierung für Aurora MySQL
](#aurora-mysql-kerberos.limitations)
+ [
# Einrichten der Kerberos-Authentifizierung für DB-Cluster von Aurora MySQL
](aurora-mysql-kerberos-setting-up.md)
+ [
## Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD
](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-directory)
+ [
## Schritt 2: (Optional) Erstellen einer Vertrauensstellung für ein On-Premise-Active-Directory
](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-trust)
+ [
## Schritt 3: Erstellen einer IAM-Rolle zur Verwendung durch Amazon Aurora
](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.CreateIAMRole)
+ [
## Schritt 4: Anlegen und Konfigurieren von Benutzern
](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-users)
+ [
## Schritt 5: Erstellen oder Ändern eines DB-Clusters von Aurora MySQL
](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-modify)
+ [
## Schritt 6: Erstellen von Aurora-MySQL-Benutzern, die die Kerberos-Authentifizierung verwenden
](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins)
+ [
### Ändern einer vorhandenen Aurora-MySQL-Anmeldung
](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos.modify-login)
+ [
## Schritt 7: Konfigurieren eines MySQL-Clients
](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.configure-client)
+ [
## Schritt 8: (Optional) Konfigurieren eines Benutzernamenvergleichs ohne Berücksichtigung der Groß-/Kleinschreibung
](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.case-insensitive)
+ [
# Herstellen einer Verbindung mit Aurora MySQL mit Kerberos-Authentifizierung
](aurora-mysql-kerberos-connecting.md)
+ [
## Verwenden der Kerberos-Anmeldung von Aurora MySQL, um eine Verbindung mit dem DB-Cluster herzustellen
](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos-connecting.login)
+ [
## Kerberos-Authentifizierung mit globalen Aurora-Datenbanken
](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos-connecting.global)
+ [
## Migration von RDS für MySQL zu Aurora MySQL
](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos-connecting.rds)
+ [
## Verhindern einer Zwischenspeicherung von Tickets
](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos.destroy-tickets)
+ [
## Protokollieren für die Kerberos-Authentifizierung
](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos.logging)
+ [
# Verwalten eines DB-Clusters in einer Domain
](aurora-mysql-kerberos-managing.md)
+ [
## Grundlegendes zur Domänenmitgliedschaft
](aurora-mysql-kerberos-managing.md#aurora-mysql-kerberos-managing.understanding)
## Übersicht über die Kerberos-Authentifizierung für DB-Cluster von Aurora MySQL
Wenn Sie die Kerberos-Authentifizierung für einen DB-Cluster von Aurora MySQL einrichten möchten, führen Sie die folgenden allgemeinen Schritte aus. Diese Schritte werden später ausführlich beschrieben.
1. Verwenden Sie AWS Managed Microsoft AD zum Erstellen eines AWS Managed Microsoft AD-Verzeichnisses. Zur Erstellung des Verzeichnisses können Sie AWS-Managementkonsole, AWS CLI oder Directory Service verwenden. Ausführliche Anweisungen dazu finden Sie unter [Erstellen Ihres AWS Managed Microsoft AD-Verzeichnisses](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) im *AWS Directory Service-Administratorhandbuch*.
1. Erstellen Sie eine AWS Identity and Access Management-(IAM)-Rolle, die die verwaltete IAM-Richtlinie `AmazonRDSDirectoryServiceAccess` verwendet. Die Rolle erlaubt Amazon Aurora, Aufrufe an Ihr Verzeichnis zu senden.
Damit die Rolle Zugriff gewährt, muss der AWS -Security-Token-Service (AWS STS)-Endpunkt in der AWS-Region für Ihr AWS-Konto aktiviert sein. AWS STS-Endpunkte sind standardmäßig in allen AWS-Regionen aktiv und Sie können sie ohne weitere Maßnahmen nutzen. Weitere Informationen finden Sie unter [Aktivieren und Deaktivieren von AWS STS in einer AWS-Region](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#sts-regions-activate-deactivate) im *IAM-Benutzerhandbuch*.
1. Erstellen und konfigurieren Sie Benutzer im Verzeichnis AWS Managed Microsoft AD mithilfe der Tools aus dem Microsoft Active Directory. Weitere Informationen zum Erstellen von Benutzern in Ihrem Active Directory finden Sie unter [Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html) im *AWS Directory Service Administrationshandbuch*.
1. Erstellen oder ändern Sie einen DB-Cluster von Aurora MySQL. Wenn Sie entweder die CLI oder die RDS-API für die Erstellungsanforderung verwenden, geben Sie eine Domänen-ID mit dem Parameter `Domain` an. Verwenden Sie die `d-*`-ID, die bei der Erstellung Ihres Verzeichnisses generiert wurde, und den Namen der von Ihnen erstellten IAM-Rolle.
Wenn Sie einen vorhandenen DB-Cluster von Aurora MySQL so ändern, dass er die Kerberos-Authentifizierung verwendet, legen Sie die Parameter für die Domain und die IAM-Rolle für den DB-Cluster fest. Suchen Sie den DB-Cluster in derselben VPC wie das Domain-Verzeichnis.
1. Verwenden Sie die Hauptbenutzer-Anmeldeinformationen von Amazon RDS, um sich mit dem DB-Cluster von Aurora MySQL zu verbinden. Erstellen Sie den Datenbankbenutzer in Aurora MySQL gemäß den Anweisungen in [Schritt 6: Erstellen von Aurora-MySQL-Benutzern, die die Kerberos-Authentifizierung verwenden](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins).
Benutzer, die Sie auf diese Weise anlegen, können sich mit der Kerberos-Authentifizierung beim DB-Cluster von Aurora MySQL anmelden. Weitere Informationen finden Sie unter [Herstellen einer Verbindung mit Aurora MySQL mit Kerberos-Authentifizierung](aurora-mysql-kerberos-connecting.md).
Wenn Sie die Kerberos-Authentifizierung mit einem On-Premises oder einem selbst gehosteten Microsoft Active Directory verwenden möchten, erstellen Sie eine *Gesamtstruktur-Vertrauensstellung*. Eine Gesamtstruktur-Vertrauensstellung ist eine Vertrauensbeziehung zwischen zwei Gruppen von Domains. Die Vertrauensstellung kann uni- oder bidirektional sein. Weitere Informationen zur Einrichtung einer gesamtstrukturbasierten Vertrauensstellung mit Directory Service finden Sie unter [?Wann sollte eine Vertrauensstellung erstellt werden](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) im *AWS Directory Service-Administrationshandbuch*.
## Einschränkungen bei der Kerberos-Authentifizierung für Aurora MySQL
Die folgenden Einschränkungen gelten für die Kerberos-Authentifizierung für Aurora MySQL:
+ Die Kerberos-Authentifizierung wird für Aurora MySQL Version 3.03 und höher unterstützt.
Weitere Informationen zur AWS-Region-Unterstützung finden Sie unter [Kerberos-Authentifizierung mit Aurora MySQL](Concepts.Aurora_Fea_Regions_DB-eng.Feature.KerberosAuthentication.md#Concepts.Aurora_Fea_Regions_DB-eng.Feature.KerberosAuthentication.amy).
+ Um die Kerberos-Authentifizierung mit Aurora MySQL zu verwenden, muss Ihr MySQL-Client oder Connector Version 8.0.26 oder höher auf Unix-Plattformen bzw. 8.0.27 oder höher unter Windows verwenden. Andernfalls ist das clientseitige `authentication_kerberos_client`-Plugin nicht verfügbar und Sie können sich nicht authentifizieren.
+ Nur AWS Managed Microsoft AD wird in Aurora MySQL unterstützt. Sie können jedoch DB-Cluster von Aurora MySQL zu gemeinsam genutzten verwalteten Microsoft-AD-Domains zusammenführen, die verschiedenen Konten in derselben AWS-Region gehören.
Außerdem können Sie ein eigenes On-Premises Active Directory verwenden. Weitere Informationen finden Sie unter [Schritt 2: (Optional) Erstellen einer Vertrauensstellung für ein On-Premise-Active-Directory](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-trust).
+ Wenn Kerberos verwendet wird, um einen Benutzer zu authentifizieren, der sich von MySQL-Clients oder von Treibern auf dem Windows-Betriebssystem aus mit dem Aurora-MySQL-Cluster verbindet, muss die Groß-/Kleinschreibung des Datenbankbenutzernamens standardmäßig mit der Groß-/Kleinschreibung des Benutzers im Active Directory übereinstimmen. Wenn der Benutzer im Active Directory beispielsweise als `Admin` angezeigt wird, muss der Datenbankbenutzername `Admin` lauten.
Mit dem Plug-in `authentication_kerberos` können Sie jetzt jedoch den Benutzernamenvergleich ohne Berücksichtigung der Groß-/Kleinschreibung verwenden. Weitere Informationen finden Sie unter [Schritt 8: (Optional) Konfigurieren eines Benutzernamenvergleichs ohne Berücksichtigung der Groß-/Kleinschreibung](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.case-insensitive).
+ Sie müssen die Reader-DB-Instances neu starten, nachdem Sie die Funktion zur Installation des `authentication_kerberos`-Plugins aktiviert haben.
+ Die Replikation auf DB-Instances, die das `authentication_kerberos`-Plugin nicht unterstützen, kann zu einem Replikationsfehler führen.
+ Damit globale Aurora-Datenbanken die Kerberos-Authentifizierung verwenden können, müssen Sie diese für jeden DB-Cluster in der globalen Datenbank konfigurieren.
+ Der Domain-Name muss weniger als 62 Zeichen lang sein.
+ Ändern Sie den DB-Cluster-Port nicht, nachdem Sie die Kerberos-Authentifizierung aktiviert haben. Wenn Sie den Port ändern, funktioniert die Kerberos-Authentifizierung nicht mehr.
# Einrichten der Kerberos-Authentifizierung für DB-Cluster von Aurora MySQL
Wird verwendet AWS Managed Microsoft AD , um die Kerberos-Authentifizierung für einen Aurora MySQL-DB-Cluster einzurichten. Um die Kerberos-Authentifizierung einzurichten, führen Sie die folgenden Schritte aus.
**Topics**
+ [
## Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD
](#aurora-mysql-kerberos-setting-up.create-directory)
+ [
## Schritt 2: (Optional) Erstellen einer Vertrauensstellung für ein On-Premise-Active-Directory
](#aurora-mysql-kerberos-setting-up.create-trust)
+ [
## Schritt 3: Erstellen einer IAM-Rolle zur Verwendung durch Amazon Aurora
](#aurora-mysql-kerberos-setting-up.CreateIAMRole)
+ [
## Schritt 4: Anlegen und Konfigurieren von Benutzern
](#aurora-mysql-kerberos-setting-up.create-users)
+ [
## Schritt 5: Erstellen oder Ändern eines DB-Clusters von Aurora MySQL
](#aurora-mysql-kerberos-setting-up.create-modify)
+ [
## Schritt 6: Erstellen von Aurora-MySQL-Benutzern, die die Kerberos-Authentifizierung verwenden
](#aurora-mysql-kerberos-setting-up.create-logins)
+ [
## Schritt 7: Konfigurieren eines MySQL-Clients
](#aurora-mysql-kerberos-setting-up.configure-client)
+ [
## Schritt 8: (Optional) Konfigurieren eines Benutzernamenvergleichs ohne Berücksichtigung der Groß-/Kleinschreibung
](#aurora-mysql-kerberos-setting-up.case-insensitive)
## Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD
Directory Service erstellt ein vollständig verwaltetes Active Directory in der AWS Cloud. Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, Directory Service erstellt in Ihrem Namen zwei Domänencontroller und DNS-Server (Domain Name System). Die Verzeichnisserver werden in verschiedenen Subnetzen in einer VPC erstellt. Diese Redundanz trägt dazu bei, dass Ihr Verzeichnis auch im Fehlerfall erreichbar bleibt.
Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, Directory Service führt er in Ihrem Namen die folgenden Aufgaben aus:
+ Einrichten eines Active Directory innerhalb der VPC.
+ Erstellt ein Konto für den Verzeichnisadministrator mit dem Benutzernamen `Admin` und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.
**Anmerkung**
Achten Sie darauf, dieses Passwort zu speichern. Directory Service speichert es nicht. Sie können es zurücksetzen, aber Sie können es nicht abrufen.
+ Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.
Wenn Sie eine starten AWS Managed Microsoft AD, AWS erstellt eine Organisationseinheit (OU), die alle Objekte Ihres Verzeichnisses enthält. Diese OU erhält den NetBIOS-Namen, den Sie beim Erstellen des Verzeichnisses eingegeben haben. Es befindet sich im Domänenstamm, der Eigentümer ist und von diesem verwaltet wird AWS.
Das `Admin` Konto, das mit Ihrem AWS Managed Microsoft AD Verzeichnis erstellt wurde, verfügt über Berechtigungen für die gängigsten Verwaltungsaktivitäten Ihrer Organisationseinheit, darunter:
+ Erstellen, Aktualisieren oder Löschen von Benutzern
+ Hinzufügen von Ressourcen zu Ihrer Domain, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer in der OU
+ Zusätzliche OUs Container erstellen
+ Delegieren von Befugnissen
+ Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb
+ Führen Sie AD- und PowerShell DNS-Windows-Module im Active Directory-Webdienst aus
Das `Admin`-Konto hat auch die Berechtigung, die folgenden domänenweiten Aktivitäten durchzuführen:
+ Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonen und Weiterleitungen)
+ Aufrufen von DNS-Ereignisprotokollen
+ Anzeigen von Sicherheitsereignisprotokollen
**Um ein Verzeichnis zu erstellen mit AWS Managed Microsoft AD**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die Directory Service Konsole unter [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Wählen Sie im Navigationsbereich **Directories (Verzeichnisse)** aus. Wählen Sie denn **Set up Directory (Verzeichnis einrichten)** aus.
1. Wähle **AWS Managed Microsoft AD**. AWS Managed Microsoft AD ist die einzige Option, die Sie derzeit mit Amazon RDS verwenden können.
1. Geben Sie die folgenden Informationen ein:
**DNS-Name des Verzeichnisses**
Den vollständig qualifizierten Namen für das Verzeichnis, z. B. **corp.example.com**.
**NetBIOS-Name des Verzeichnisses**
Die kurzen Namen für das Verzeichnis, z. B. **CORP**.
**Verzeichnisbeschreibung**
(Optional) Eine Beschreibung für das Verzeichnis.
**Administratorpasswort**
Das Passwort für den Verzeichnisadministrator. Während des Verzeichniserstellungsprozesses wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt.
Das Passwort für den Verzeichnisadministrator das nicht das Wort "admin" enthalten. Beachten Sie beim Passwort die Groß- und Kleinschreibung und es muss 8 bis 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:
+ Kleinbuchstaben (a–z)
+ Großbuchstaben (A–Z)
+ Zahlen (0–9)
+ Nicht-alphanumerische Zeichen (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**Passwort bestätigen**
Das wiederholte Administrator-Passwort.
1. Wählen Sie **Weiter** aus.
1. Geben Sie die folgenden Informationen in den Abschnitt **Networking** ein. Wählen Sie dann **Next (Weiter)** aus:
**VPC**
Die VPC für das Verzeichnis. Erstellen Sie den DB-Cluster von Aurora MySQL in derselben VPC.
**Subnets**
Subnetze für die Verzeichnisserver. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.
1. Prüfen Sie die Verzeichnisinformationen und nehmen Sie ggf. Änderungen vor. Wenn die Informationen richtig sind, wählen Sie **Create directory (Verzeichnis erstellen)**.
![\[Verzeichnis-Detailseite während der Erstellung\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/WinAuth2.png)
Es dauert einige Minuten, bis das Verzeichnis erstellt wird. Wenn es erfolgreich erstellt wurde, ändert sich der Wert **Status** in **Active (Aktiv)**.
Um Informationen über Ihr Verzeichnis anzuzeigen, wählen Sie den Verzeichnisnamen in der Verzeichnisliste aus. Notieren Sie sich den Wert **Verzeichnis-ID**. Sie benötigen diesen Wert, wenn Sie Ihren DB-Cluster von Aurora MySQL erstellen oder ändern.
![\[Verzeichnis-ID auf der Seite mit den Verzeichnisdetails\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/WinAuth3.png)
## Schritt 2: (Optional) Erstellen einer Vertrauensstellung für ein On-Premise-Active-Directory
Wenn Sie Ihr eigenes lokales Microsoft Active Directory nicht verwenden möchten, fahren Sie mit for [Schritt 3: Erstellen einer IAM-Rolle zur Verwendung durch Amazon Aurora](#aurora-mysql-kerberos-setting-up.CreateIAMRole).
Um die Kerberos-Authentifizierung mit Ihrem lokalen Active Directory zu verwenden, müssen Sie eine vertrauensvolle Domänenbeziehung mithilfe einer Gesamtvertrauensstellung zwischen Ihrem lokalen Microsoft Active Directory und dem AWS Managed Microsoft AD Verzeichnis (erstellt in) einrichten. [Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD](#aurora-mysql-kerberos-setting-up.create-directory) Die Vertrauensstellung kann einseitig erfolgen, wobei das AWS Managed Microsoft AD -Verzeichnis dem lokalen Microsoft Active Directory vertraut. Die Vertrauensstellung kann auch bidirektional erfolgen, wobei beide Active Directories einander vertrauen. *Weitere Informationen zum Einrichten von Vertrauensstellungen mithilfe von Directory Service finden Sie unter [Wann sollte eine Vertrauensstellung eingerichtet werden? im Administratorhandbuch](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html).AWS Directory Service *
**Anmerkung**
Verwendung eines lokalen Microsoft Active Directory:
Windows-Clients können keine Verbindung über benutzerdefinierten Aurora-Endpunkte herstellen. Weitere Informationen hierzu finden Sie unter [Amazon-Aurora-Endpunktverbindungen](Aurora.Overview.Endpoints.md).
[Globale Datenbanken](aurora-global-database.md):
Windows-Clients können sich nur über Instance- oder Cluster-Endpunkte in der primären AWS-Region der globalen Datenbank verbinden.
Windows-Clients können über sekundäre Clusterendpunkte keine Verbindung herstellen. AWS-Regionen
Stellen Sie sicher, dass der lokale Microsoft Active Directory-Domänenname ein DNS-Suffix-Routing enthält, das der neu erstellten Vertrauensstellung entspricht. Im folgenden Screenshot wird ein Beispiel gezeigt.
![\[DNS-Routing entspricht der erstellten Vertrauensstellung\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/kerberos-auth-trust.png)
## Schritt 3: Erstellen einer IAM-Rolle zur Verwendung durch Amazon Aurora
Damit Amazon Aurora für Sie anrufen Directory Service kann, benötigen Sie eine AWS Identity and Access Management (IAM-) Rolle, die die verwaltete IAM-Richtlinie verwendet. `AmazonRDSDirectoryServiceAccess` Diese Rolle ermöglicht es Aurora, Aufrufe an Directory Service durchzuführen.
Wenn Sie mit dem AWS-Managementkonsole einen DB-Cluster erstellen und Sie die `iam:CreateRole` entsprechende Berechtigung haben, erstellt die Konsole diese Rolle automatisch. In diesem Fall lautet der Rollenname `rds-directoryservice-kerberos-access-role`. Andernfalls müssen Sie die IAM-Rolle manuell erstellen. Wenn Sie diese IAM-Rolle erstellen`Directory Service`, wählen Sie die AWS verwaltete Richtlinie aus und fügen Sie sie `AmazonRDSDirectoryServiceAccess` an.
Weitere Informationen zum Erstellen von IAM-Rollen für einen Dienst finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
Optional können Sie Richtlinien mit den erforderlichen Berechtigungen erstellen, anstatt die verwaltete IAM-Richtlinie zu verwende `AmazonRDSDirectoryServiceAccess`. In diesem Fall muss die IAM-Rolle die folgende IAM-Vertrauensrichtlinie haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"directoryservice.rds.amazonaws.com",
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Die Rolle muss auch über die folgende IAM-Rollenrichtlinie verfügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Schritt 4: Anlegen und Konfigurieren von Benutzern
Sie können Benutzer mit dem Tool "Active Directory-Benutzer und -Computer" erstellen. Dieses Tool ist Teil der Tools Active Directory Domain Services und Active Directory Lightweight Directory Services. „Benutzer“ sind Einzelpersonen oder Entitäten, die Zugriff auf Ihr Verzeichnis haben.
Um Benutzer in einem Directory Service Verzeichnis zu erstellen, verwenden Sie eine lokale oder Amazon EC2 EC2-Instance, die auf Microsoft Windows basiert und mit Ihrem Directory Service Verzeichnis verknüpft ist. Gleichzeitig müssen Sie bei der Instance als Benutzer angemeldet sein, der über Berechtigungen zum Erstellen von Benutzern verfügt. Weitere Informationen finden Sie unter[ Verwalten von Benutzern und Gruppen AWS Managed Microsoft AD im AWS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/creating_ad_users_and_groups.html)* Directory-Service-Administrationshandbuch*.
## Schritt 5: Erstellen oder Ändern eines DB-Clusters von Aurora MySQL
Erstellen oder ändern Sie einen DB-Cluster von Aurora MySQL zur Verwendung mit Ihrem Verzeichnis. Sie können die Konsole oder die RDS-API verwenden AWS CLI, um einen DB-Cluster einem Verzeichnis zuzuordnen. Sie können diese Aufgabe mit einer der folgenden Methoden durchführen:
+ Erstellen Sie mit der Konsole, dem [ create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)CLI-Befehl oder dem Vorgang [Create DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html) RDS API einen neuen Aurora MySQL-DB-Cluster.
Detaillierte Anweisungen finden Sie unter [Erstellen eines Amazon Aurora-DB Clusters](Aurora.CreateInstance.md).
+ Ändern Sie einen vorhandenen Aurora MySQL-DB-Cluster mithilfe der Konsole, des [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)CLI-Befehls oder der Operation [Modify DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html) RDS API.
Detaillierte Anweisungen finden Sie unter [Ändern eines Amazon Aurora-DB-Clusters](Aurora.Modifying.md).
+ Stellen Sie einen Aurora MySQL-DB-Cluster aus einem DB-Snapshot mithilfe der Konsole, des [restore-db-cluster-fromCLI-Befehls -snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-cluster-from-snapshot.html) oder der Operation [Restore DBCluster FromSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBClusterFromSnapshot.html) RDS API wieder her.
Detaillierte Anweisungen finden Sie unter [Wiederherstellen aus einem DB-Cluster-Snapshot](aurora-restore-snapshot.md).
+ Stellen Sie einen Aurora MySQL-DB-Cluster point-in-time mithilfe der Konsole, des Befehls [ restore-db-cluster-to- point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-cluster-to-point-in-time.html) CLI oder der Operation [Restore DBCluster ToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBClusterToPointInTime.html) RDS API auf einem wieder her.
Detaillierte Anweisungen finden Sie unter [Wiederherstellen eines DB-Clusters zu einer bestimmten Zeit](aurora-pitr.md).
Die Kerberos-Authentifizierung wird nur für DB-Cluster von Aurora MySQL in einer VPC unterstützt. Der DB-Cluster kann sich in derselben VPC wie das Verzeichnis oder in einer anderen VPC befinden. Die VPC des DB-Clusters muss über eine VPC-Sicherheitsgruppe verfügen, die ausgehende Kommunikation mit Ihrem Verzeichnis zulässt.
### Konsole
Wenn Sie die Konsole zum Erstellen, Ändern oder Wiederherstellen eines DB-Clusters verwenden, wählen Sie **Kerberos-Authentifizierung** im **Datenbank-Authentifizierung**-Abschnitt. Wählen Sie **Verzeichnis durchsuchen** und dann das Verzeichnis aus, oder klicken Sie auf **Neues Verzeichnis erstellen**.
![\[Kerberos-Authentifizierungseinstellung beim Erstellen eines DB-Clusters\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/kerberos-auth-create-cluster.png)
### AWS CLI
Wenn Sie die AWS CLI oder die RDS-API verwenden, verknüpfen Sie einen DB-Cluster mit einem Verzeichnis. Die folgenden Parameter sind erforderlich, damit der DB-Cluster das von Ihnen erstellte Domain-Verzeichnis verwendet:
+ Für den `--domain`-Parameter verwenden Sie den Domänenbezeichner („d-\$1“-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde.
+ Verwenden Sie für den `--domain-iam-role-name`-Parameter die von Ihnen erstellte Rolle, die die verwaltete IAM-Richtlinie `AmazonRDSDirectoryServiceAccess` verwendet.
Beispielsweise ändert der folgende CLI-Befehl einen DB-Cluster so, dass er ein Verzeichnis verwendet.
Für Linux, macOS oder Unix:
```
aws rds modify-db-cluster \
--db-cluster-identifier mydbcluster \
--domain d-ID \
--domain-iam-role-name role-name
```
Für Windows:
```
aws rds modify-db-cluster ^
--db-cluster-identifier mydbcluster ^
--domain d-ID ^
--domain-iam-role-name role-name
```
**Wichtig**
Wenn Sie einen DB-Cluster ändern, um die Kerberos-Authentifizierung zu aktivieren, starten Sie die Reader-DB-Instances neu, nachdem Sie die Änderung vorgenommen haben.
## Schritt 6: Erstellen von Aurora-MySQL-Benutzern, die die Kerberos-Authentifizierung verwenden
Der DB-Cluster ist mit der AWS Managed Microsoft AD Domäne verbunden. Auf diese Weise können Sie Aurora-MySQL-Benutzer aus den Active-Directory-Benutzern Ihrer Domain bereitstellen. Die Datenbankberechtigungen werden durch Standardberechtigungen von Aurora MySQL verwaltet, die diesen Benutzern gewährt und entzogen werden.
Sie können einem Active-Directory-Benutzer erlauben, sich bei Aurora MySQL zu authentifizieren. Dazu verwenden Sie zunächst die Hauptbenutzer-Anmeldeinformationen von Amazon RDS, um sich mit der DB-Instance von Aurora MySQL sowie mit jedem anderen DB-Cluster zu verbinden. Nachdem Sie angemeldet sind, erstellen Sie einen extern authentifizierten Benutzer mit Kerberos-Authentifizierung in Aurora MySQL wie folgt:
```
CREATE USER user_name@'host_name' IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```
+ Ersetzen Sie `user_name` durch den Benutzernamen. Benutzer (sowohl Menschen als auch Anwendungen) aus Ihrer Domain können sich nun über einen der Domain beigetretenen Client per Kerberos-Authentifizierung mit dem DB-Cluster verbinden.
+ Ersetzen Sie `host_name` durch den Hostnamen. Sie können `%` als Platzhalter verwenden. Sie können auch bestimmte IP-Adressen für den Hostnamen verwenden.
+ *realm\$1name*Ersetzen Sie es durch den Namen des Verzeichnisbereichs der Domäne. Der Bereichsname entspricht normalerweise dem DNS-Domain-Namen in Großbuchstaben, z. B. `CORP.EXAMPLE.COM`. Ein Bereich ist eine Gruppe von Systemen, die dasselbe Kerberos Key Distribution Center verwenden.
Im folgenden Beispiel wird ein Datenbankbenutzer mit dem Namen `Admin` erstellt, der sich gegenüber dem Active Directory mit dem Bereichsnamen `MYSQL.LOCAL` authentifiziert.
```
CREATE USER Admin@'%' IDENTIFIED WITH 'authentication_kerberos' BY 'MYSQL.LOCAL';
```
### Ändern einer vorhandenen Aurora-MySQL-Anmeldung
Sie können auch eine vorhandene Aurora-MySQL-Anmeldung ändern, um die Kerberos-Authentifizierung zu verwenden. Nutzen Sie dazu die folgende Syntax:
```
ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```
## Schritt 7: Konfigurieren eines MySQL-Clients
Gehen Sie folgendermaßen vor, um einen MySQL-Client zu konfigurieren:
1. Erstellen Sie eine `krb5.conf`-Datei (oder eine vergleichbare Datei), um auf die Domain zu verweisen.
1. Stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und fließen kann Directory Service. Verwenden Sie ein Netzwerk-Dienstprogramm wie Netcat für die folgenden Aufgaben:
+ Überprüfen Sie den Datenverkehr über DNS für Port 53.
+ Überprüfen Sie den Datenverkehr TCP/UDP für Port 53 und für Kerberos, einschließlich der Ports 88 und 464 für. Directory Service
1. Stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und der DB-Instance über den Datenbank-Port fließen kann. Verwenden Sie beispielsweise `mysql`, um eine Verbindung herzustellen und auf die Datenbank zuzugreifen.
Im Folgenden finden Sie einen `krb5.conf` Beispielinhalt für. AWS Managed Microsoft AD
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
```
Nachfolgend ist ein Beispiel für den Inhalt von `krb5.conf` für ein On-Premises Microsoft Active Directory aufgeführt.
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
ONPREM.COM = {
kdc = onprem.com
admin_server = onprem.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
.onprem.com = ONPREM.COM
onprem.com = ONPREM.COM
.rds.amazonaws.com = EXAMPLE.COM
.amazonaws.com.rproxy.govskope.us.cn = EXAMPLE.COM
.amazon.com = EXAMPLE.COM
```
## Schritt 8: (Optional) Konfigurieren eines Benutzernamenvergleichs ohne Berücksichtigung der Groß-/Kleinschreibung
Standardmäßig muss die Groß-/Kleinschreibung des MySQL-Datenbankbenutzernamens mit der Groß-/Kleinschreibung der Active-Directory-Anmeldung übereinstimmen. Mit dem Plug-in `authentication_kerberos` können Sie jetzt jedoch den Benutzernamenvergleich ohne Berücksichtigung der Groß-/Kleinschreibung verwenden. Setzen Sie dazu den Parameter `authentication_kerberos_caseins_cmp` des DB-Clusters auf `true`.
**So verwenden Sie den Benutzernamenvergleich ohne Berücksichtigung der Groß-/Kleinschreibung**
1. Erstellen Sie eine benutzerdefinierte DB-Cluster-Parametergruppe. Folgen Sie den Verfahren in [Eine DB-Cluster-Parametergruppe in Amazon Aurora erstellen](USER_WorkingWithParamGroups.CreatingCluster.md).
1. Bearbeiten Sie die neue Parametergruppe, um den Wert für `authentication_kerberos_caseins_cmp` auf `true` zu setzen. Folgen Sie den Verfahren in [Ändern von Parametern in einer DB-Cluster-Parametergruppe in Amazon Aurora](USER_WorkingWithParamGroups.ModifyingCluster.md).
1. Ordnen Sie die DB-Clusterparametergruppe dem DB-Cluster von Aurora MySQL zu. Folgen Sie den Verfahren in [Zuordnen einer DB-Cluster-Parametergruppe zu einem DB-Cluster](USER_WorkingWithParamGroups.AssociatingCluster.md).
1. Starten Sie den DB-Cluster neu.
# Herstellen einer Verbindung mit Aurora MySQL mit Kerberos-Authentifizierung
Um Fehler zu vermeiden, verwenden Sie einen MySQL-Client mit Version 8.0.26 oder höher auf Unix-Plattformen, 8.0.27 oder höher unter Windows.
## Verwenden der Kerberos-Anmeldung von Aurora MySQL, um eine Verbindung mit dem DB-Cluster herzustellen
Wenn Sie eine Verbindung mit Aurora MySQL mit Kerberos-Authentifizierung herstellen möchten, melden Sie sich als Datenbankbenutzer an, den Sie gemäß den Anweisungen unter [Schritt 6: Erstellen von Aurora-MySQL-Benutzern, die die Kerberos-Authentifizierung verwenden](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins) erstellt haben.
Stellen Sie über die Eingabeaufforderung eine Verbindung mit einem der Endpunkte her, die mit Ihrem DB-Cluster von Aurora MySQL verbunden sind. Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie das mit diesem Benutzernamen verknüpfte Kerberos-Passwort ein.
Wenn Sie sich bei Kerberos authentifizieren, wird ein *Ticket-Granting Ticket* (TGT) generiert, falls noch keines existiert. Das `authentication_kerberos`-Plugin verwendet das TGT, um ein *Serviceticket* zu erhalten, das dann dem Aurora-MySQL-Datenbankserver vorgelegt wird.
Sie können den MySQL-Client verwenden, um sich mit Kerberos-Authentifizierung unter Windows oder Unix mit Aurora MySQL zu verbinden.
### Unix
Sie können die Verbindung mit einer der folgenden Methoden herstellen:
+ Rufen Sie das TGT manuell ab. In diesem Fall müssen Sie dem MySQL-Client das Passwort nicht nennen.
+ Stellen Sie das Passwort für die Active-Directory-Anmeldung direkt dem MySQL-Client zur Verfügung.
Das clientseitige Plugin wird auf Unix-Plattformen für MySQL-Client-Versionen ab 8.0.26 unterstützt.
**So stellen Sie eine Verbindung her, indem Sie das TGT manuell abrufen**
1. Verwenden Sie an der Befehlszeilenschnittstelle den folgenden Befehl, um das TGT abzurufen.
```
kinit user_name
```
1. Verwenden Sie den folgenden `mysql`-Befehl, um sich beim DB-Instance-Endpunkt Ihres DB-Clusters anzumelden.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name -p
```
**Anmerkung**
Die Authentifizierung kann fehlschlagen, wenn der Keytab auf der DB-Instance rotiert wird. Rufen Sie in diesem Fall ein neues TGT ab, indem Sie `kinit` erneut ausführen.
**So stellen Sie eine direkte Verbindung her**
1. Verwenden Sie an der Befehlszeilenschnittstelle den folgenden `mysql`-Befehl, um sich beim DB-Instance-Endpunkt Ihres DB-Clusters anzumelden.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name -p
```
1. Geben Sie das Passwort für den Active-Directory-Benutzer an.
### Windows
Unter Windows erfolgt die Authentifizierung normalerweise bei der Anmeldung, sodass Sie das TGT nicht manuell abrufen müssen, um eine Verbindung mit dem DB-Cluster von Aurora MySQL herzustellen. Die Groß- und Kleinschreibung des Datenbankbenutzernamens muss mit der Groß-/Kleinschreibung des Benutzers im Active Directory übereinstimmen. Wenn der Benutzer im Active Directory beispielsweise als `Admin` angezeigt wird, muss der Datenbankbenutzername `Admin` lauten.
Das clientseitige Plugin wird unter Windows für MySQL-Client-Versionen ab 8.0.27 unterstützt.
**So stellen Sie eine direkte Verbindung her**
+ Verwenden Sie an der Befehlszeilenschnittstelle den folgenden `mysql`-Befehl, um sich beim DB-Instance-Endpunkt Ihres DB-Clusters anzumelden.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name
```
## Kerberos-Authentifizierung mit globalen Aurora-Datenbanken
Die Kerberos-Authentifizierung für Aurora MySQL wird für globale Aurora-Datenbanken unterstützt. Wenn Sie Benutzer im sekundären DB-Cluster mithilfe des Active Directory des primären DB-Clusters authentifizieren möchten, replizieren Sie das Active Directory auf die sekundäre AWS-Region. Sie aktivieren die Kerberos-Authentifizierung auf dem sekundären Cluster mit derselben Domain-ID wie für den primären Cluster. Die AWS Managed Microsoft AD-Replikation wird nur mit der Enterprise-Version von Active Directory unterstützt. Weitere Informationen finden Sie unter [Regionsübergreifende Replikation](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_configure_multi_region_replication.html) im *AWS Directory Service-Administratorhandbuch*.
## Migration von RDS für MySQL zu Aurora MySQL
Nachdem Sie von RDS für MySQL mit aktivierter Kerberos-Authentifizierung zu Aurora MySQL migriert haben, ändern Sie Benutzer, die mit dem `auth_pam`-Plugin erstellt wurden, so, dass sie das `authentication_kerberos`-Plugin verwenden. Zum Beispiel:
```
ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```
## Verhindern einer Zwischenspeicherung von Tickets
Wenn beim Start der MySQL-Client-Anwendung kein gültiges TGT vorhanden ist, kann die Anwendung das TGT abrufen und zwischenspeichern. Wenn Sie verhindern möchten, dass das TGT zwischengespeichert wird, legen Sie in der Datei `/etc/krb5.conf` einen Konfigurationsparameter fest.
**Anmerkung**
Diese Konfiguration gilt nur für Client-Hosts, auf denen Unix ausgeführt wird, nicht für Windows.
**So verhindern Sie das Zwischenspeichern von TGTs**
+ Fügen Sie `/etc/krb5.conf` wie folgt einen `[appdefaults]`-Abschnitt hinzu:
```
[appdefaults]
mysql = {
destroy_tickets = true
}
```
## Protokollieren für die Kerberos-Authentifizierung
Die Umgebungsvariable `AUTHENTICATION_KERBEROS_CLIENT_LOG` legt die Protokollierungsebene für die Kerberos-Authentifizierung fest. Sie können die Protokolle für das clientseitige Debugging verwenden.
Die zulässigen Werte sind 1–5. Protokollmeldungen werden in die Standardfehlerausgabe geschrieben. In der folgenden Tabelle ist jede Protokollierungsebene beschrieben.
| Protokollierungsstufe | Beschreibung |
| --- | --- |
| 1 oder nicht festgelegt | Keine Protokollierung |
| 2 | Fehlermeldungen |
| 3 | Fehler- und Warnmeldungen |
| 4 | Fehler-, Warn- und Informationsmeldungen |
| 5 | Fehler-, Warn-, Informations- und Debug-Meldungen |
# Verwalten eines DB-Clusters in einer Domain
Sie können die AWS CLI oder die RDS-API verwenden, um Ihren DB-Cluster und seine Beziehung zu Ihrem verwalteten Active Directory zu verwalten. Sie können z. B. ein Active Directory für die Kerberos-Authentifizierung zuordnen und ein Active Directory trennen, um die Kerberos-Authentifizierung zu deaktivieren. Sie können auch einen DB-Cluster, der extern von einem Active Directory authentifiziert werden soll, in ein anderes Active Directory verschieben.
Sie können z. B. mithilfe der Amazon RDS-API Folgendes tun:
+ Um erneut zu versuchen, die Kerberos-Authentifizierung für eine fehlgeschlagene Mitgliedschaft zu aktivieren, verwenden Sie die API-Operation `ModifyDBInstance` und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft an.
+ Um den IAM-Rollennamen für die Mitgliedschaft zu aktualisieren, verwenden Sie die `ModifyDBInstance`-API-Operation und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft und die neue IAM-Rolle an.
+ Wenn Sie die Kerberos-Authentifizierung in einem DB-Cluster deaktivieren möchten, verwenden Sie die API-Operation `ModifyDBInstance` und geben Sie `none` als Domain-Parameter an.
+ Um einen DB-Cluster von einer Domain in eine andere zu verschieben, verwenden Sie die API-Operation `ModifyDBInstance`. Geben Sie die Domain-ID der neuen Domain als Domain-Parameter an.
+ Wenn Sie die Mitgliedschaft für jeden DB-Cluster auflisten möchten, verwenden Sie die API-Operation `DescribeDBInstances`.
## Grundlegendes zur Domänenmitgliedschaft
Nachdem Sie Ihren DB-Cluster erstellt oder geändert haben, wird er Mitglied der Domain. Sie können den Status der Domain-Mitgliedschaft für den DB-Cluster anzeigen, indem Sie den CLI-Befehl [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html) verwenden. Der Status des DB-Clusters kann einer der folgenden sein:
+ `kerberos-enabled`: Für den DB-Cluster ist die Kerberos-Authentifizierung aktiviert.
+ `enabling-kerberos`: AWS ist dabei, die Kerberos-Authentifizierung auf diesem DB-Cluster zu aktivieren.
+ `pending-enable-kerberos`: Das Aktivieren der Kerberos-Authentifizierung in diesem DB-Cluster steht aus.
+ `pending-maintenance-enable-kerberos`: AWS versucht, die Kerberos-Authentifizierung auf dem DB-Cluster während des nächsten geplanten Wartungsfensters zu aktivieren.
+ `pending-disable-kerberos`: Das Deaktivieren der Kerberos-Authentifizierung in diesem DB-Cluster steht aus.
+ `pending-maintenance-disable-kerberos`: AWS versucht, die Kerberos-Authentifizierung auf dem DB-Cluster während des nächsten geplanten Wartungsfensters zu deaktivieren.
+ `enable-kerberos-failed`: Ein Konfigurationsproblem hat AWS daran gehindert, die Kerberos-Authentifizierung auf dem DB-Cluster zu aktivieren. Überprüfen und korrigieren Sie Ihre Konfiguration, bevor Sie den Befehl zum Ändern des DB-Clusters erneut ausführen.
+ `disabling-kerberos`: AWS ist dabei, die Kerberos-Authentifizierung auf diesem DB-Cluster zu deaktivieren.
Eine Anfrage zur Aktivierung der Kerberos-Authentifizierung kann wegen eines Netzwerkverbindungsproblems oder einer falschen IAM-Rolle fehlschlagen. Angenommen, Sie erstellen einen DB-Cluster oder ändern einen vorhandenen DB-Cluster und der Versuch, die Kerberos-Authentifizierung zu aktivieren, schlägt fehl. Wenn dies geschieht, führen Sie den Befehl zum Ändern erneut aus oder ändern Sie den neu erstellte DB-Cluster, um der Domain beizutreten.