本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 要求
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements"></a>

在將 RDS for SQL Server 資料庫執行個體加入自我管理 AD 網域之前，請確定您已符合下列需求。

**Topics**
+ [設定內部部署 AD](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.OnPremConfig)
+ [設定您的網路連線能力](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig)
+ [設定您的 AD 網域服務帳戶](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig)
+ [設定透過 LDAPS 的安全通訊](#USER_SQLServer_SelfManagedActiveDirectory.Requirements.LDAPS)

## 設定內部部署 AD
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.OnPremConfig"></a>

請確定您具有可以將 Amazon RDS for SQL Server 執行個體加入其中的內部部署或其他自我管理 Microsoft AD。您的內部部署 AD 應該具有下列組態：
+ 如果您已定義 AD 網站，請確定 VPC 中與您的 RDS for SQL Server 資料庫執行個體相關聯的子網路已定義在您的 AD 網站中。確認 VPC 中的子網路與其他 AD 網站中的子網路之間沒有任何衝突。
+ 您的 AD 網域控制器具有 Windows Server 2008 R2 或更新版本的網域功能層級。
+ 您的 AD 網域名稱不能採用單一標籤網域 (SLD) 格式。RDS for SQL Server 不支援 SLD 網域。
+ AD 的完整網域名稱 (FQDN) 不得超過 47 個字元。

## 設定您的網路連線能力
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.NetworkConfig"></a>

請確定您已符合下列網路組態：
+ 在您想要建立 RDS for SQL Server 資料庫執行個體和自我管理 AD 的 Amazon VPC 之間設定連線能力。您可以使用 AWS Direct Connect、 AWS VPN、VPC 對等互連或 AWS Transit Gateway 設定連線。
+ 對於 VPC 安全群組，預設 Amazon VPC 的預設安全群組已新增至主控台中的 RDS for SQL Server 資料庫執行個體。請確定您要在其中建立 RDS for SQL Server 資料庫執行個體之子網路的安全群組和 VPC 網路 ACL 允許連接埠上的流量，並依下圖所示的方向前進。  
![自我管理 AD 網路組態連接埠規則。](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/images/SQLServer_SelfManagedActiveDirectory_Requirements_NetworkConfig.png)

  下表識別每個連接埠的角色。    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/USER_SQLServer_SelfManagedActiveDirectory.Requirements.html)
+ 一般而言，網域 DNS 伺服器位於 AD 網域控制器中。您不需要設定 VPC DHCP 選項集，即可使用此功能。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的 [DHCP 選項集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。

**重要**  
如果使用 VPC 網路 ACL，您也必須允許動態連接埠 (49152-65535) 上來自 RDS for SQL Server 資料庫執行個體的傳出流量。請確定也會在適用於每個 AD 網域控制器、DNS 伺服器和 RDS for SQL Server 資料庫執行個體的防火牆上鏡像這些流量規則。  
雖然 VPC 安全群組只需要以網路流量起始的方向開啟連接埠，但大多數 Windows 防火牆和 VPC 網路 ACL 都需要雙向開啟連接埠。

## 設定您的 AD 網域服務帳戶
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.DomainAccountConfig"></a>

請確定您已符合 AD 網域服務帳戶的下列需求：
+ 確定您在自我管理 AD 網域中具有網域服務帳戶，且該帳戶具有將電腦加入網域的委派許可。網域服務帳戶是自我管理 AD 中的使用者帳戶，其已獲委派執行特定任務的許可。
+ 在您正要將 RDS for SQL Server 資料庫執行個體加入其中的組織單位 (OU) 中，網域服務帳戶必須獲得委派下列許可：
  + 已驗證能夠寫入 DNS 主機名稱
  + 已驗證能夠寫入服務主體名稱
  + 建立和刪除電腦物件

  這些代表將電腦物件加入自我管理 AD 所需的最低許可集。如需詳細資訊，請參閱 Microsoft Windows Server 文件中的[嘗試將電腦加入網域時發生錯誤](https://learn.microsoft.com/en-US/troubleshoot/windows-server/identity/access-denied-when-joining-computers)。
+ 若要使用 Kerberos 身分驗證，您必須將服務主體名稱 (SPN) 和 DNS 許可提供給 AD 網域服務帳戶：
  + **寫入 SPN**：在您需要加入 RDS for SQL Server 資料庫執行個體的 OU 中，將**寫入 SPN** 許可委派給 AD 網域服務帳戶。此許可與已驗證的寫入 SPN 不同。
  + **DNS 許可**：在網域控制站的伺服器層級，透過 DNS 管理員將下列許可提供給 AD 網域服務帳戶：
    + 列出內容
    + 讀取所有屬性
    + 讀取許可

**重要**  
在建立資料庫執行個體之後，請不要移動 RDS for SQL Server 在組織單位中建立的電腦物件。移動相關聯的物件會導致 RDS for SQL Server 資料庫執行個體設定錯誤。如果您需要移動 Amazon RDS 所建立的電腦物件，請使用 [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) RDS API 操作，透過所需的電腦物件位置修改網域參數。

## 設定透過 LDAPS 的安全通訊
<a name="USER_SQLServer_SelfManagedActiveDirectory.Requirements.LDAPS"></a>

對於 RDS 建議透過 LDAPS 進行通訊，以查詢和存取網域控制站中的電腦物件和 SPNs。若要使用安全 LDAP，請使用您的網域控制站上符合安全 LDAPS 需求的有效 SSL 憑證。如果網域控制站上不存在有效的 SSL 憑證，RDS for SQL Server 資料庫執行個體會預設為使用 LDAP。如需憑證有效性的詳細資訊，請參閱 [LDAPS 憑證的需求](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/enable-ldap-over-ssl-3rd-certification-authority#requirements-for-an-ldaps-certificate)。