Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfiguration von AWS DataSync Übertragungen mit einem SMB-Dateiserver
Mit AWS DataSync können Sie Daten zwischen Ihrem Server Message Block (SMB) -Dateiserver und den folgenden AWS Speicherdiensten übertragen. Die unterstützten Speicherdienste hängen von Ihrem Aufgabenmodus ab, wie unten dargestellt:
| Basismodus | Verbesserter Modus |
| --- | --- |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/datasync/latest/userguide/create-smb-location.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/datasync/latest/userguide/create-smb-location.html) |
Um diese Art der Übertragung einzurichten, erstellen Sie einen [Speicherort](how-datasync-transfer-works.md#sync-locations) für Ihren SMB-Dateiserver. Sie können dies als Übertragungsquelle oder -ziel verwenden. Stellen Sie sicher, dass Sie den Agenten verwenden, der Ihrem gewünschten Aufgabenmodus entspricht.
## Bereitstellung des DataSync Zugriffs auf SMB-Dateiserver
DataSync stellt über das SMB-Protokoll eine Verbindung zu Ihrem Dateiserver her und kann sich mit NTLM oder Kerberos authentifizieren.
**Topics**
+ [Unterstützte SMB-Versionen](#configuring-smb-version)
+ [Verwenden der NTLM-Authentifizierung](#configuring-smb-ntlm-authentication)
+ [Verwenden der Kerberos-Authentifizierung](#configuring-smb-kerberos-authentication)
+ [Erforderliche Berechtigungen](#configuring-smb-permissions)
+ [DFS-Namespaces](#configuring-smb-location-dfs)
### Unterstützte SMB-Versionen
Wählt standardmäßig DataSync automatisch eine Version des SMB-Protokolls auf der Grundlage der Verhandlungen mit Ihrem SMB-Dateiserver aus.
Sie können auch die Verwendung einer bestimmten SMB-Version konfigurieren. Wir empfehlen jedoch, dies nur dann DataSync zu tun, wenn DataSync Probleme bei der automatischen Aushandlung mit dem SMB-Dateiserver auftreten. DataSync unterstützt SMB-Versionen 1.0 und höher. Aus Sicherheitsgründen empfehlen wir die Verwendung von SMB Version 3.0.2 oder höher. Frühere Versionen, wie SMB 1.0, enthalten bekannte Sicherheitslücken, die Angreifer ausnutzen können, um Ihre Daten zu gefährden.
In der folgenden Tabelle finden Sie eine Liste der Optionen in der DataSync Konsole und der API:
| Konsolenoption | API-Option | Description |
| --- | --- | --- |
| Automatisch | `AUTOMATIC` | DataSync und der SMB-Dateiserver handeln zwischen 2.1 und 3.1.1 die höchste Version von SMB aus, die sie gegenseitig unterstützen. Dies ist die Standardoption und die empfohlene Option. Wenn Sie stattdessen eine bestimmte Version auswählen, die Ihr Dateiserver nicht unterstützt, erhalten Sie möglicherweise eine `Operation Not Supported`-Fehlermeldung. |
| SMB 3.0.2 | `SMB3` | Beschränkt die Protokollaushandlung nur auf SMB-Version 3.0.2. |
| SMB 2.1 | `SMB2` | Beschränkt die Protokollaushandlung nur auf SMB-Version 2.1. |
| SMB 2.0 | `SMB2_0` | Beschränkt die Protokollaushandlung nur auf SMB Version 2.0. |
| SMB 1.0 | `SMB1` | Beschränkt die Protokollaushandlung nur auf SMB Version 1.0. |
### Verwenden der NTLM-Authentifizierung
Um die NTLM-Authentifizierung zu verwenden, geben Sie einen Benutzernamen und ein Passwort an, mit denen Sie auf den SMB-Dateiserver zugreifen können, DataSync zu dem oder von dem Sie Daten übertragen. Der Benutzer kann ein lokaler Benutzer auf Ihrem Dateiserver oder ein Domänenbenutzer in Ihrem Microsoft Active Directory sein.
### Verwenden der Kerberos-Authentifizierung
Um die Kerberos-Authentifizierung zu verwenden, stellen Sie einen Kerberos-Prinzipal, eine Kerberos-Schlüsseltabellendatei (Keytab) und eine Kerberos-Konfigurationsdatei bereit, die den Zugriff auf den SMB-Dateiserver ermöglichen, DataSync zu dem oder von dem Sie übertragen.
**Topics**
+ [Voraussetzungen](#configuring-smb-kerberos-prerequisites)
+ [DataSync Konfigurationsoptionen für Kerberos](#configuring-smb-kerberos-options)
#### Voraussetzungen
Sie müssen einige Kerberos-Artefakte erstellen und Ihr Netzwerk so konfigurieren, dass es auf Ihren SMB-Dateiserver zugreifen kann. DataSync
+ [https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass)
Das folgende Beispiel erstellt eine Keytab-Datei mithilfe von. `ktpass` Der Kerberos-Bereich, den Sie angeben (`MYDOMAIN.ORG`), muss in Großbuchstaben geschrieben werden.
```
ktpass /out C:\YOUR_KEYTAB.keytab /princ HOST/kerberosuser@MYDOMAIN.ORG /mapuser kerberosuser /pass * /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL
```
+ Bereiten Sie eine vereinfachte Version der Kerberos-Konfigurationsdatei vor (). `krb5.conf` Fügen Sie Informationen über den Bereich, den Standort der Domain-Admin-Server und Zuordnungen von Hostnamen zu einem Kerberos-Bereich hinzu.
Stellen Sie sicher, dass der `krb5.conf` Inhalt mit der richtigen Groß- und Kleinschreibung für die Namen der Bereiche und Domänenbereiche formatiert ist. Beispiel:
```
[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
forwardable = true
default_realm = MYDOMAIN.ORG
[realms]
MYDOMAIN.ORG = {
kdc = mydomain.org
admin_server = mydomain.org
}
[domain_realm]
.mydomain.org = MYDOMAIN.ORG
mydomain.org = MYDOMAIN.ORG
```
+ Stellen Sie in Ihrer Netzwerkkonfiguration sicher, dass Ihr Kerberos Key Distribution Center (KDC) -Serverport geöffnet ist. Der KDC-Port ist in der Regel der TCP-Port 88.
#### DataSync Konfigurationsoptionen für Kerberos
Wenn Sie einen SMB-Standort erstellen, der Kerberos verwendet, konfigurieren Sie die folgenden Optionen.
| Konsolenoption | API-Option | Description |
| --- | --- | --- |
| **SMB-Server** | `ServerHostName` | Der Domainname des SMB-Dateiservers, den Ihr DataSync Agent mounten wird. Für Kerberos können Sie die IP-Adresse des Dateiservers nicht angeben. |
| **Kerberos-Prinzipal** | `KerberosPrincipal` | Eine Identität in Ihrem Kerberos-Bereich, die berechtigt ist, auf die Dateien, Ordner und Dateimetadaten auf Ihrem SMB-Dateiserver zuzugreifen. Ein Kerberos-Prinzipal könnte so aussehen. `HOST/kerberosuser@MYDOMAIN.ORG` Bei Prinzipalnamen wird Groß- und Kleinschreibung beachtet. |
| **Keytab-Datei** | `KerberosKeytab` | Eine Kerberos-Schlüsseltabellendatei (Keytab), die Zuordnungen zwischen Ihrem Kerberos-Prinzipal und den Verschlüsselungsschlüsseln enthält. |
| **Kerberos-Konfigurationsdatei** | `KerberosKrbConf` | Eine `krb5.conf` Datei, die Ihre Kerberos-Realm-Konfiguration definiert. |
| **DNS-IP-Adressen (optional**) | `DnsIpAddresses` | Die IPv4 Adressen für die DNS-Server, zu denen Ihr SMB-Dateiserver gehört. Wenn Sie mehrere Domänen in Ihrer Umgebung haben, stellen Sie durch diese Konfiguration sicher, dass DataSync eine Verbindung zum richtigen SMB-Dateiserver hergestellt wird. |
### Erforderliche Berechtigungen
Die von Ihnen angegebene Identität DataSync muss berechtigt sein, die Dateien, Ordner und Dateimetadaten Ihres SMB-Dateiservers bereitzustellen und darauf zuzugreifen.
Wenn Sie in Ihrem Active Directory eine Identität angeben, muss diese Mitglied einer Active Directory-Gruppe mit einem oder beiden der folgenden Benutzerrechte sein (abhängig von den [Metadaten, die Sie kopieren DataSync möchten](configure-metadata.md)):
| Benutzerrecht | Description |
| --- | --- |
| **Dateien und Verzeichnisse wiederherstellen** (`SE_RESTORE_NAME`) | Ermöglicht DataSync das Kopieren von Objekteigentümern, Berechtigungen, Dateimetadaten und beliebigen NTFS-Zugriffslisten ()DACLs. Dieses Benutzerrecht wird normalerweise Mitgliedern der Gruppen **Domänen-Admins** und **Backup-Operatoren** gewährt (beide sind Active Directory-Standardgruppen). |
| **Überwachungs- und Sicherheitsprotokoll verwalten** () `SE_SECURITY_NAME` | Ermöglicht DataSync das Kopieren von NTFS-Systemzugriffskontrolllisten (SACLs). Dieses Benutzerrecht wird normalerweise Mitgliedern der Gruppe **Domänen-Admins** gewährt. |
Wenn Sie Windows kopieren möchten ACLs und zwischen einem SMB-Dateiserver und einem anderen Speichersystem, das SMB verwendet (wie Amazon FSx für Windows File Server oder FSx für ONTAP), übertragen, DataSync muss die von Ihnen angegebene Identität zu derselben Active Directory-Domäne gehören oder über eine Active Directory-Vertrauensstellung zwischen ihren Domänen verfügen.
### DFS-Namespaces
DataSync unterstützt keine Microsoft Distributed File System (DFS) -Namespaces. Wir empfehlen, bei der Erstellung Ihres Standorts stattdessen einen zugrunde liegenden Dateiserver oder eine Dateifreigabe anzugeben. DataSync
## Erstellen Sie Ihren SMB-Übertragungsort
Bevor Sie beginnen, benötigen Sie einen SMB-Dateiserver, von dem Sie Daten übertragen möchten.
### Verwenden der Konsole DataSync
1. Öffnen Sie die AWS DataSync Konsole unter [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. Erweitern Sie im linken Navigationsbereich die Option **Datenübertragung** und wählen Sie dann **Standorte** und **Standort erstellen** aus.
1. Wählen Sie für **Location type (Speicherorttyp)** **Server Message Block (SMB)**.
Sie konfigurieren diesen Speicherort später als Quelle oder Ziel.
1. Wählen Sie für **Agenten** den DataSync Agenten aus, der eine Verbindung zu Ihrem SMB-Dateiserver herstellen kann.
Sie können mehr als einen Agenten auswählen. Weitere Informationen finden Sie unter [Verwendung mehrerer DataSync Agenten](do-i-need-datasync-agent.md#multiple-agents).
1. Geben Sie für **SMB-Server** den Domainnamen oder die IP-Adresse des SMB-Dateiservers ein, den Ihr DataSync Agent bereitstellen wird.
Beachten Sie bei dieser Einstellung Folgendes:
+ Sie können keine IP-Adresse der Version 6 (IPv6) angeben.
+ Wenn Sie die Kerberos-Authentifizierung verwenden, müssen Sie einen Domänennamen angeben.
1. Geben Sie unter **Freigabename** den Namen der Freigabe ein, die von Ihrem SMB-Dateiserver exportiert wurde und auf der Daten gelesen oder DataSync geschrieben werden sollen.
Sie können ein Unterverzeichnis in den Freigabepfad aufnehmen (z. B.`/path/to/subdirectory`). Stellen Sie sicher, dass andere SMB-Clients in Ihrem Netzwerk diesen Pfad ebenfalls bereitstellen können.
Um alle Daten im Unterverzeichnis zu kopieren, DataSync müssen Sie in der Lage sein, die SMB-Freigabe zu mounten und auf alle zugehörigen Daten zuzugreifen. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](#configuring-smb-permissions).
1. (Optional) Erweitern Sie **Zusätzliche Einstellungen** und wählen Sie eine **SMB-Version** aus, die Sie beim Zugriff auf Ihren Dateiserver verwenden möchten. DataSync
Wählt standardmäßig DataSync automatisch eine Version aus, die auf Verhandlungen mit dem SMB-Dateiserver basiert. Weitere Informationen finden Sie unter [Unterstützte SMB-Versionen](#configuring-smb-version).
1. **Wählen Sie als **Authentifizierungstyp** **NTLM** oder Kerberos aus.**
1. Führen Sie je nach Authentifizierungstyp einen der folgenden Schritte aus:
------
#### [ NTLM ]
+ Geben Sie **unter Benutzer** einen Benutzernamen ein, der Ihren SMB-Dateiserver einbinden kann und der Zugriff auf die Dateien und Ordner hat, die an Ihrer Übertragung beteiligt sind.
Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](#configuring-smb-permissions).
+ Geben Sie **unter Passwort** das Passwort des Benutzers ein, der Ihren SMB-Dateiserver mounten kann und Zugriff auf die Dateien und Ordner hat, die an Ihrer Übertragung beteiligt sind.
+ (Optional) Geben Sie unter **Domain** den Windows-Domänennamen ein, zu dem Ihr SMB-Dateiserver gehört.
Wenn Sie mehrere Domänen in Ihrer Umgebung haben, wird durch die Konfiguration dieser Einstellung sichergestellt, dass DataSync eine Verbindung zum richtigen SMB-Dateiserver hergestellt wird.
------
#### [ Kerberos ]
+ Geben Sie für **Kerberos-Prinzipal** einen Prinzipal in Ihrem Kerberos-Bereich an, der berechtigt ist, auf die Dateien, Ordner und Dateimetadaten auf Ihrem SMB-Dateiserver zuzugreifen.
Ein Kerberos-Prinzipal könnte wie folgt aussehen. `HOST/kerberosuser@MYDOMAIN.ORG`
Bei Prinzipalnamen wird Groß- und Kleinschreibung beachtet. Ihre DataSync Aufgabenausführung schlägt fehl, wenn der Prinzipal, den Sie für diese Einstellung angeben, nicht exakt dem Prinzipal entspricht, den Sie zum Erstellen der Keytab-Datei verwenden.
+ Laden Sie für die **Keytab-Datei** eine Keytab-Datei hoch, die Zuordnungen zwischen Ihrem Kerberos-Prinzipal und den Verschlüsselungsschlüsseln enthält.
+ Laden Sie für die **Kerberos-Konfigurationsdatei eine `krb5.conf` Datei hoch, die Ihre** Kerberos-Realm-Konfiguration definiert.
+ (Optional) Geben Sie für **DNS-IP-Adressen bis zu zwei IPv4 Adressen** für die DNS-Server an, zu denen Ihr SMB-Dateiserver gehört.
Wenn Sie mehrere Domänen in Ihrer Umgebung haben, wird durch die Konfiguration dieses Parameters sichergestellt, dass DataSync eine Verbindung zum richtigen SMB-Dateiserver hergestellt wird.
------
1. (Optional) Wählen Sie **Tag hinzufügen** aus, um Ihren SMB-Standort zu kennzeichnen.
*Stichwörter* sind Schlüssel-Wert-Paare, die Ihnen helfen, Ihre Standorte zu verwalten, zu filtern und nach ihnen zu suchen. Wir empfehlen, zumindest ein Namensschild für Ihren Standort zu erstellen.
1. Wählen Sie Standort **erstellen** aus.
### Verwenden Sie den AWS CLI
In den folgenden Anweisungen wird beschrieben, wie SMB-Standorte mit NTLM- oder Kerberos-Authentifizierung erstellt werden.
------
#### [ NTLM ]
1. Kopieren Sie den folgenden Befehl. `create-location-smb`
```
aws datasync create-location-smb \
--agent-arns datasync-agent-arns \
--server-hostname smb-server-address \
--subdirectory smb-export-path \
--authentication-type "NTLM" \
--user user-who-can-mount-share \
--password user-password \
--domain windows-domain-of-smb-server
```
1. Geben Sie für `--agent-arns` den DataSync Agenten an, der eine Verbindung zu Ihrem SMB-Dateiserver herstellen kann.
Sie können mehr als einen Agenten auswählen. Weitere Informationen finden Sie unter [Verwendung mehrerer DataSync Agenten](do-i-need-datasync-agent.md#multiple-agents).
1. Geben Sie für `--server-hostname` den Domainnamen oder die IPv4 Adresse des SMB-Dateiservers an, den Ihr DataSync Agent bereitstellen wird.
1. Geben Sie für den Namen der Freigabe an`--subdirectory`, die von Ihrem SMB-Dateiserver exportiert wurde und auf der Daten gelesen oder geschrieben DataSync werden sollen.
Sie können ein Unterverzeichnis in den Freigabepfad aufnehmen (z. B.`/path/to/subdirectory`). Stellen Sie sicher, dass andere SMB-Clients in Ihrem Netzwerk diesen Pfad ebenfalls bereitstellen können.
Um alle Daten im Unterverzeichnis zu kopieren, DataSync müssen Sie in der Lage sein, die SMB-Freigabe zu mounten und auf alle zugehörigen Daten zuzugreifen. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](#configuring-smb-permissions).
1. Geben Sie zum Beispiel einen Benutzernamen an`--user`, der Ihren SMB-Dateiserver einbinden kann und der Zugriff auf die Dateien und Ordner hat, die an Ihrer Übertragung beteiligt sind.
Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](#configuring-smb-permissions).
1. Geben Sie zum `--password` Beispiel das Passwort des Benutzers an, der Ihren SMB-Dateiserver bereitstellen kann und über Zugriffsrechte auf die Dateien und Ordner verfügt, die an Ihrer Übertragung beteiligt sind.
1. (Optional) Geben Sie für `--domain` den Windows-Domänennamen an, zu dem Ihr SMB-Dateiserver gehört.
Wenn Sie mehrere Domänen in Ihrer Umgebung haben, wird durch die Konfiguration dieser Einstellung sichergestellt, dass DataSync eine Verbindung zum richtigen SMB-Dateiserver hergestellt wird.
1. (Optional) Fügen Sie die `--version` Option hinzu, wenn Sie eine bestimmte SMB-Version verwenden möchten DataSync . Weitere Informationen finden Sie unter [Unterstützte SMB-Versionen](#configuring-smb-version).
1. Führen Sie den Befehl `create-location-smb` aus.
Wenn der Befehl erfolgreich ist, erhalten Sie eine Antwort, die Ihnen den ARN des Speicherorts anzeigt, den Sie erstellt haben. Beispiel:
```
{
"arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
```
------
#### [ Kerberos ]
1. Kopieren Sie den folgenden `create-location-smb` Befehl.
```
aws datasync create-location-smb \
--agent-arns datasync-agent-arns \
--server-hostname smb-server-address \
--subdirectory smb-export-path \
--authentication-type "KERBEROS" \
--kerberos-principal "HOST/kerberosuser@EXAMPLE.COM" \
--kerberos-keytab "fileb://path/to/file.keytab" \
--kerberos-krb5-conf "file://path/to/krb5.conf" \
--dns-ip-addresses array-of-ipv4-addresses
```
1. Geben Sie für `--agent-arns` den DataSync Agenten an, der eine Verbindung zu Ihrem SMB-Dateiserver herstellen kann.
Sie können mehr als einen Agenten auswählen. Weitere Informationen finden Sie unter [Verwendung mehrerer DataSync Agenten](do-i-need-datasync-agent.md#multiple-agents).
1. Geben Sie für `--server-hostname` den Domainnamen des SMB-Dateiservers an, den Ihr DataSync Agent bereitstellen wird.
1. Geben Sie für den Namen der Freigabe an`--subdirectory`, die von Ihrem SMB-Dateiserver exportiert wurde und auf der Daten gelesen oder geschrieben DataSync werden sollen.
Sie können ein Unterverzeichnis in den Freigabepfad aufnehmen (z. B.`/path/to/subdirectory`). Stellen Sie sicher, dass andere SMB-Clients in Ihrem Netzwerk diesen Pfad ebenfalls bereitstellen können.
Um alle Daten im Unterverzeichnis zu kopieren, DataSync müssen Sie in der Lage sein, die SMB-Freigabe zu mounten und auf alle zugehörigen Daten zuzugreifen. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](#configuring-smb-permissions).
1. Gehen Sie für die Kerberos-Optionen wie folgt vor:
+ `--kerberos-principal`: Geben Sie einen Principal in Ihrem Kerberos-Bereich an, der berechtigt ist, auf die Dateien, Ordner und Dateimetadaten auf Ihrem SMB-Dateiserver zuzugreifen.
Ein Kerberos-Prinzipal könnte wie folgt aussehen. `HOST/kerberosuser@MYDOMAIN.ORG`
Bei Prinzipalnamen wird Groß- und Kleinschreibung beachtet. Ihre DataSync Aufgabenausführung schlägt fehl, wenn der Prinzipal, den Sie für diese Option angeben, nicht exakt dem Prinzipal entspricht, den Sie zum Erstellen der Keytab-Datei verwenden.
+ `--kerberos-keytab`: Geben Sie eine Keytab-Datei an, die Zuordnungen zwischen Ihrem Kerberos-Prinzipal und den Verschlüsselungsschlüsseln enthält.
+ `--kerberos-krb5-conf`: Geben Sie eine `krb5.conf` Datei an, die Ihre Kerberos-Realm-Konfiguration definiert.
+ (Optional)`--dns-ip-addresses`: Geben Sie bis zu zwei IPv4 Adressen für die DNS-Server an, zu denen Ihr SMB-Dateiserver gehört.
Wenn Sie mehrere Domänen in Ihrer Umgebung haben, wird durch die Konfiguration dieses Parameters sichergestellt, dass DataSync eine Verbindung zum richtigen SMB-Dateiserver hergestellt wird.
1. (Optional) Fügen Sie die `--version` Option hinzu, wenn Sie eine bestimmte SMB-Version verwenden möchten DataSync . Weitere Informationen finden Sie unter [Unterstützte SMB-Versionen](#configuring-smb-version).
1. Führen Sie den Befehl `create-location-smb` aus.
Wenn der Befehl erfolgreich ist, erhalten Sie eine Antwort, die Ihnen den ARN des Speicherorts anzeigt, den Sie erstellt haben. Beispiel:
```
{
"arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
```
------