Bewährte Methoden für die Arbeit mit Active Directory - FSx für ONTAP
Delegieren von Berechtigungen an Ihr Amazon FSx-ServicekontoHalten Sie eine AD-Konfiguration auf dem neuesten StandBeschränken Sie den Verkehr innerhalb einer VPC mit SicherheitsgruppenRegeln für Sicherheitsgruppen für ausgehenden Datenverkehr erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Arbeit mit Active Directory

Im Folgenden finden Sie einige Vorschläge und Richtlinien, die Sie berücksichtigen sollten, wenn Sie Amazon FSx for NetApp ONTAP SVMs zu Ihrem selbstverwalteten Microsoft Active Directory hinzufügen. Beachten Sie, dass diese als bewährte Methoden empfohlen werden, aber nicht erforderlich sind.

Delegieren von Berechtigungen an Ihr Amazon FSx-Servicekonto

Stellen Sie sicher, dass Sie das Servicekonto, das Sie Amazon FSx zur Verfügung stellen, mit den erforderlichen Mindestberechtigungen konfigurieren. Trennen Sie außerdem die Organisationseinheit (OU) von anderen Domain-Controllern.

Um Amazon FSx-SVMs Ihrer Domain hinzuzufügen, stellen Sie sicher, dass das Dienstkonto über delegierte Berechtigungen verfügt. Mitglieder der Gruppe Domain-Admins verfügen über ausreichende Rechte, um diese Aufgabe auszuführen. Es hat sich jedoch bewährt, ein Dienstkonto zu verwenden, das nur über die dafür erforderlichen Mindestberechtigungen verfügt. Das folgende Verfahren zeigt, wie Sie nur die Berechtigungen delegieren, die für den Beitritt zu FSx for ONTAP SVMs an Ihre Domain erforderlich sind.

Führen Sie dieses Verfahren auf einem Computer aus, der zu Ihrem Verzeichnis hinzugefügt wurde und auf dem das MMC-Snap-In Active Directory-Benutzer und -Computer installiert ist.

So erstellen Sie ein Dienstkonto für Ihre Microsoft Active Directory-Domäne

  1. Stellen Sie sicher, dass Sie als Domänenadministrator für Ihre Microsoft Active Directory-Domäne angemeldet sind.

  2. Öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“.

  3. Erweitern Sie im Aufgabenbereich den Domänenknoten.

  4. Suchen und öffnen Sie das Kontextmenü (mit der rechten Maustaste) für die Organisationseinheit, die Sie ändern möchten, und wählen Sie dann Delegate Control aus.

  5. Wählen Sie auf der Seite des Assistenten zum Delegieren der Steuerung die Option Weiter aus.

  6. Wählen Sie Hinzufügen, um einen bestimmten Benutzer oder eine bestimmte Gruppe für Ausgewählte Benutzer und Gruppen hinzuzufügen, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Zu delegierende Aufgabe die Option Eine zu delegierende benutzerdefinierte Aufgabe erstellen aus und klicken Sie auf Weiter.

  8. Wählen Sie Nur die folgenden Objekte im Ordner und anschließend Computerobjekte aus.

  9. Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen und Ausgewählte Objekte in diesem Ordner löschen. Wählen Sie anschließend Weiter.

  10. Stellen Sie sicher, dass unter Diese Berechtigungen anzeigen die Optionen Allgemein und Eigenschaftsspezifisch ausgewählt sind.

  11. Wählen Sie für Berechtigungen Folgendes aus:

    • Passwort zurücksetzen

    • Kontoeinschränkungen beim Lesen und Schreiben

    • Das Schreiben in den DNS-Hostnamen wurde validiert

    • Das Schreiben in den Dienstprinzipalnamen wurde validiert

    • Schreiben Sie MSDs- SupportedEncryptionTypes

  12. Wählen Sie Next (Weiter) und danach Finish (Beenden).

  13. Schließen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“.

Wichtig

Verschieben Sie keine Computerobjekte, die Amazon FSx in der Organisationseinheit erstellt, nachdem Ihre SVMs erstellt wurden. Wenn Sie das tun, werden Ihre SVMs falsch konfiguriert.

Halten Sie Ihre Active Directory-Konfiguration mit Amazon FSx auf dem neuesten Stand

Um eine ununterbrochene Verfügbarkeit Ihrer Amazon FSx-SVMs zu gewährleisten, aktualisieren Sie die selbstverwaltete Active Directory-Konfiguration (AD) einer SVM, wenn Sie Ihr selbstverwaltetes AD-Setup ändern.

Nehmen wir zum Beispiel an, dass Ihr AD eine zeitbasierte Richtlinie zum Zurücksetzen von Passwörtern verwendet. Stellen Sie in diesem Fall sicher, dass Sie das Passwort für das Servicekonto mit Amazon FSx aktualisieren, sobald das Passwort zurückgesetzt wurde. Verwenden Sie dazu die Amazon FSx-Konsole, die Amazon FSx-API oder. AWS CLI Wenn sich die IP-Adressen des DNS-Servers für Ihre Active Directory-Domain ändern, aktualisieren Sie die IP-Adressen der DNS-Server ebenfalls mit Amazon FSx, sobald die Änderung erfolgt.

Wenn es ein Problem mit der aktualisierten selbstverwalteten AD-Konfiguration gibt, wechselt der SVM-Status zu Fehlkonfiguriert. In diesem Status werden neben der SVM-Beschreibung in der Konsole, der API und der CLI eine Fehlermeldung und eine empfohlene Aktion angezeigt. Wenn ein Problem mit der AD-Konfiguration Ihrer SVM auftritt, stellen Sie sicher, dass Sie die empfohlenen Korrekturmaßnahmen für die Konfigurationseigenschaften ergreifen. Wenn das Problem behoben ist, überprüfen Sie, ob sich der Status Ihrer SVM auf Erstellt ändert.

Weitere Informationen finden Sie unter Aktualisieren einer vorhandenen SVM-Active-Directory-Konfiguration mithilfe der AWS Management ConsoleAWS CLI, und API und Ändern einer Active-Directory-Konfiguration mit der ONTAP-CLI.

Verwendung von Sicherheitsgruppen zur Begrenzung des Datenverkehrs innerhalb Ihrer VPC

Um den Netzwerkverkehr in Ihrer Virtual Private Cloud (VPC) zu begrenzen, können Sie das Prinzip der geringsten Rechte in Ihrer VPC implementieren. Mit anderen Worten, Sie können die Berechtigungen auf das erforderliche Minimum beschränken. Verwenden Sie dazu Sicherheitsgruppenregeln. Weitere Informationen hierzu finden Sie unter Amazon VPC-Sicherheitsgruppen.

Sicherheitsgruppenregeln für ausgehende Nachrichten für die Netzwerkschnittstelle Ihres Dateisystems erstellen

Für mehr Sicherheit sollten Sie erwägen, eine Sicherheitsgruppe mit Regeln für ausgehenden Datenverkehr zu konfigurieren. Diese Regeln sollten ausgehenden Datenverkehr nur zu Ihren selbstverwalteten AD-Domänencontrollern oder innerhalb des Subnetzes oder der Sicherheitsgruppe zulassen. Wenden Sie diese Sicherheitsgruppe auf die VPC an, die mit der elastic network interface Ihres Amazon FSx-Dateisystems verknüpft ist. Weitere Informationen hierzu finden Sie unter Dateisystem-Zugriffskontrolle mit Amazon VPC.