Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Voraussetzungen für das Verbinden einer SVM mit einem selbstverwalteten Microsoft AD
Bevor Sie eine FSx for ONTAP SVM mit einer selbstverwalteten Microsoft AD-Domain verbinden, stellen Sie sicher, dass Ihr Active Directory und Netzwerk die in den folgenden Abschnitten beschriebenen Anforderungen erfüllen.
Themen
On-Premises-Active-Directory-Anforderungen
Stellen Sie sicher, dass Sie bereits über ein On-Premises- oder ein anderes selbstverwaltetes Microsoft AD verfügen, mit dem Sie die SVM verbinden können. Dieses Active Directory sollte die folgende Konfiguration haben:
-
Die Funktionsebene der Active-Directory-Domain-Controller-Domain befindet sich auf Windows Server 2000 oder höher.
-
Das Active Directory verwendet einen Domänennamen, der nicht im SLD-Format (Single Label Domain) vorliegt. Amazon FSx unterstützt keine SLD-Domänen.
-
Wenn Sie Active-Directory-Standorte definiert haben, stellen Sie sicher, dass die Subnetze in der VPC, die Ihrem FSx-für-ONTAP-Dateisystem zugeordnet sind, an denselben Active-Directory-Standorten definiert sind und dass keine Konflikte zwischen Ihren VPC-Subnetzen und den Subnetzen an Ihren Active-Directory-Standorten bestehen.
Anmerkung
Wenn Sie verwenden AWS Directory Service, unterstützt FSx für ONTAP das Verbinden von SVMs mit dem Simple Active Directory nicht.
Anforderungen an die Netzwerkkonfiguration
Stellen Sie sicher, dass Sie über die folgenden Netzwerkkonfigurationen und die zugehörigen Informationen verfügen.
Wichtig
Damit eine SVM Active Directory beitreten kann, müssen Sie sicherstellen, dass die in diesem Thema dokumentierten Ports Datenverkehr zwischen allen Active Directory Domain Controllern und sowohl iSCSI-IP-Adressen (iscsi_1 und iscsi_2 logical interfaces (LIFs )) auf der SVM zulassen.
-
Die IP-Adressen des DNS-Servers und des Active-Directory-Domain-Controllers.
-
Konnektivität zwischen der Amazon VPC, in der Sie das Dateisystem erstellenAWS Direct Connect
, und Ihrem selbstverwalteten Active Directory mit AWS VPN , oder AWS Transit Gateway . -
Die Sicherheitsgruppe und die VPC-Netzwerk-ACLs für die Subnetze, in denen Sie das Dateisystem erstellen, müssen Datenverkehr an den Ports und in den im folgenden Diagramm gezeigten Richtungen zulassen.
Die Rolle der einzelnen Ports wird in der folgenden Tabelle beschrieben.
Protokoll
Ports
Rolle
TCP/UDP
53
Domain Name System (DNS)
TCP/UDP
88
Kerberos-Authentifizierung
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
TCP
445
Directory-Services-SMB-Dateifreigabe
TCP/UDP
464
Passwort ändern/festlegen
TCP
636
Lightweight Directory Access Protocol über TLS/SSL (LDAPS)
-
Diese Datenverkehrsregeln sollten auch in den Firewalls gespiegelt werden, die für jeden der Active-Directory-Domain-Controller, DNS-Server, FSx-Clients und FSx-Administratoren gelten.
Wichtig
Während Amazon-VPC-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, erfordern die meisten Windows-Firewalls und VPC-Netzwerk-ACLs, dass Ports in beide Richtungen geöffnet sind.
Anforderungen an Active-Directory-Servicekonten
Stellen Sie sicher, dass Sie in Ihrem selbstverwalteten Microsoft AD über ein Servicekonto verfügen, das über delegierte Berechtigungen zum Verbinden von Computern mit der Domain verfügt. Ein Servicekonto ist ein Benutzerkonto in Ihrem selbstverwalteten Active Directory, dem bestimmte Aufgaben delegiert wurden.
Dem Servicekonto müssen mindestens die folgenden Berechtigungen in der Organisationseinheit delegiert werden, an die Sie der SVM beitreten:
-
Möglichkeit zum Zurücksetzen von Passwörtern
-
Möglichkeit, Konten am Lesen und Schreiben von Daten zu hindern
-
Möglichkeit zum Festlegen der -
msDS-SupportedEncryptionTypesEigenschaft für Computerobjekte -
Überprüfte Fähigkeit zum Schreiben in den DNS-Hostnamen
-
Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service
-
Möglichkeit zum Erstellen und Löschen von Computerobjekten
-
Überprüfte Fähigkeit zum Lesen und Schreiben von Kontobeschränkungen
Diese stellen den Mindestsatz von Berechtigungen dar, die erforderlich sind, um Computerobjekte mit Ihrem Active Directory zu verbinden. Weitere Informationen finden Sie im Windows Server-Dokumentationsthema Fehler: Zugriff wird verweigert, wenn Nicht-Administratorbenutzer, denen die Kontrolle delegiert wurde, versuchen, Computer mit einem Domain-Controller zu verbinden
Weitere Informationen zum Erstellen eines Servicekontos mit den richtigen Berechtigungen finden Sie unter Delegieren von Berechtigungen an Ihr Amazon FSx-Servicekonto.
Wichtig
Amazon FSx benötigt während der gesamten Lebensdauer Ihres Amazon-FSx-Dateisystems ein gültiges Servicekonto. Amazon FSx muss in der Lage sein, das Dateisystem vollständig zu verwalten und Aufgaben auszuführen, die erfordern, dass es Ressourcen zu Ihrer Active-Directory-Domain aufhebt und wieder hinzufügt. Zu diesen Aufgaben gehören das Ersetzen eines ausgefallenen Dateisystems oder einer ausgefallenen SVM oder das Patchen von NetApp ONTAP-Software. Halten Sie Ihre Active-Directory-Konfigurationsinformationen mit Amazon FSx auf dem neuesten Stand, einschließlich der Anmeldeinformationen für das Servicekonto. Weitere Informationen hierzu finden Sie unter Halten Sie Ihre Active Directory-Konfiguration mit Amazon FSx auf dem neuesten Stand.
Wenn Sie AWS und FSx für ONTAP zum ersten Mal verwenden, stellen Sie sicher, dass Sie die ersten Einrichtungsschritte ausführen, bevor Sie Ihre Active-Directory-Integration starten. Weitere Informationen finden Sie unter FSx für ONTAP einrichten.
Wichtig
Verschieben Sie keine Computerobjekte, die Amazon FSx in der Organisationseinheit erstellt, nachdem Ihre SVMs erstellt wurden, oder löschen Sie Ihr Active Directory, während Ihre SVM mit ihr verbunden ist. Dies führt dazu, dass Ihre SVMs falsch konfiguriert werden.
