Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden - Amazon FSx für Windows-Dateiserver
Bevor Sie beginnen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden

Wenn Sie ein neues Dateisystem FSx für Windows File Server erstellen, können Sie die Microsoft Active Directory-Integration so konfigurieren, dass es mit Ihrer selbstverwalteten Microsoft Active Directory-Domäne verbunden wird. Geben Sie dazu die folgenden Informationen für Ihr Microsoft Active Directory an:

  • Der vollqualifizierte Domänenname (FQDN) Ihres lokalen Microsoft Active Directory-Verzeichnisses.

    Anmerkung

    Amazon unterstützt FSx derzeit keine Single Label Domain (SLD) -Domains.

  • Die IP-Adressen der DNS-Server für Ihre Domain.

  • Anmeldeinformationen für ein Dienstkonto in Ihrer lokalen Microsoft Active Directory-Domäne. Amazon FSx verwendet diese Anmeldeinformationen, um Ihrem selbstverwalteten Active Directory beizutreten.

Optional können Sie auch Folgendes spezifizieren:

  • Eine bestimmte Organisationseinheit (OU) innerhalb der Domain, zu der Sie Ihr FSx Amazon-Dateisystem hinzufügen möchten.

  • Der Name der Domain-Gruppe, deren Mitgliedern Administratorrechte für das FSx Amazon-Dateisystem gewährt werden. Der von Ihnen angegebene Domänengruppenname muss in Ihrem Active Directory eindeutig sein.

Nachdem Sie diese Informationen angegeben haben, FSx verknüpft Amazon Ihr neues Dateisystem mit Ihrer selbstverwalteten Active Directory-Domain unter Verwendung des von Ihnen angegebenen Dienstkontos.

Wichtig

Amazon registriert DNS-Einträge für ein Dateisystem FSx nur, wenn die Active Directory-Domäne, zu der Sie es hinzufügen, Microsoft DNS als Standard-DNS verwendet. Wenn Sie DNS eines Drittanbieters verwenden, müssen Sie die DNS-Einträge für Ihre FSx Amazon-Dateisysteme manuell einrichten, nachdem Sie Ihr Dateisystem erstellt haben. Weitere Informationen zur Auswahl der richtigen IP-Adressen für das Dateisystem finden Sie unterAbrufen der richtigen Dateisystem-IP-Adressen zur Verwendung für manuelle DNS-Einträge.

Bevor Sie beginnen

Vergewissern Sie sich, dass Sie die Voraussetzungen Einzelheiten unter ausgefüllt habenVerwenden eines selbstverwalteten Microsoft Active Directory.

  1. Öffnen Sie die FSx Amazon-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Klicken Sie auf dem Dashboard auf Create file system (Dateisystem erstellen), um den Erstellungsassistenten für Dateisysteme zu starten.

  3. Wählen Sie „FSx Windows-Dateiserver“ und anschließend „Weiter“. Die Seite Create file system (Dateisystem erstellen) wird angezeigt.

  4. Geben Sie einen Namen für Ihr Dateisystem ein. Sie können maximal 256 Unicode-Buchstaben, Leerzeichen und Zahlen sowie die Sonderzeichen + - = verwenden. _:/

  5. Geben Sie unter Speicherkapazität die Speicherkapazität Ihres Dateisystems in GiB ein. Wenn Sie SSD-Speicher verwenden, geben Sie eine beliebige ganze Zahl im Bereich von 32 bis 65.536 ein. Wenn Sie Festplattenspeicher verwenden, geben Sie eine ganze Zahl im Bereich von 2.000 bis 65.536 ein. Sie können die Speicherkapazität jederzeit nach der Erstellung des Dateisystems nach Bedarf erhöhen. Weitere Informationen finden Sie unter Verwaltung der Speicherkapazität.

  6. Behalten Sie die Durchsatzkapazität auf ihrer Standardeinstellung. Die Durchsatzkapazität ist die konstante Geschwindigkeit, mit der der Dateiserver, der Ihr Dateisystem hostet, Daten bereitstellen kann. Die Einstellung „Empfohlene Durchsatzkapazität“ basiert auf der von Ihnen ausgewählten Speicherkapazität. Wenn Sie mehr als die empfohlene Durchsatzkapazität benötigen, wählen Sie Durchsatzkapazität angeben und wählen Sie dann einen Wert aus. Weitere Informationen finden Sie unter FSx für die Leistung von Windows-Dateiservern.

    Sie können die Durchsatzkapazität jederzeit nach der Erstellung des Dateisystems nach Bedarf ändern. Weitere Informationen finden Sie unter Verwaltung der Durchsatzkapazität.

  7. Wählen Sie die VPC aus, die Sie Ihrem Dateisystem zuordnen möchten. Wählen Sie für diese Übung „Erste Schritte“ dieselbe VPC wie für Ihr AWS Directory Service Verzeichnis und Ihre EC2 Amazon-Instance aus.

  8. Wählen Sie einen beliebigen Wert für Availability Zones und Subnet.

  9. Für VPC-Sicherheitsgruppen ist die Standardsicherheitsgruppe für Ihre standardmäßige Amazon-VPC bereits zu Ihrem Dateisystem in der Konsole hinzugefügt. Bitte stellen Sie sicher, dass die Sicherheitsgruppe und das VPC-Netzwerk ACLs für die Subnetze, in denen Sie Ihr FSx Dateisystem erstellen, Datenverkehr auf den Ports und in den Anweisungen zulassen, die in der folgenden Abbildung dargestellt sind.

    FSx für die Portkonfigurationsanforderungen von Windows File Server für VPC-Sicherheitsgruppen und das Netzwerk ACLs für die Subnetze, in denen das Dateisystem erstellt wird.

    In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.

    Protokoll

    Ports

    Rolle

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Kerberos-Authentifizierung

    TCP/UDP

    464

    Passwort ändern/festlegen

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    Distributed Computing Environment / End Point Mapper (DCE / EPMAP)

    TCP

    445

    Directory-Services-SMB-Dateifreigabe

    TCP

    636

    Lightweight Directory Access Protocol über TLS/SSL (LDAPS)

    TCP

    3268

    Globaler Microsoft-Katalog

    TCP

    3269

    Microsoft Global Catalog über SSL

    TCP

    5985

    WinRM 2.0 (Microsoft Windows-Fernverwaltung)

    TCP

    9389

    Microsoft Active Directory DS-Webdienste, PowerShell

    TCP

    49152–65535

    Flüchtige Ports für RPC
    Wichtig

    Für Single-AZ 2- und alle Multi-AZ-Dateisystembereitstellungen ist es erforderlich, ausgehenden Verkehr auf TCP-Port 9389 zuzulassen.

    Anmerkung

    Wenn Sie ein VPC-Netzwerk verwenden ACLs, müssen Sie auch ausgehenden Datenverkehr auf dynamischen Ports (49152-65535) von Ihrem Dateisystem aus zulassen. FSx

    • Regeln für ausgehenden Datenverkehr, die den gesamten Datenverkehr zu den IP-Adressen zulassen, die den DNS-Servern und Domänencontrollern für Ihre selbstverwaltete Microsoft Active Directory-Domäne zugeordnet sind. Weitere Informationen finden Sie in der Dokumentation von Microsoft zur Konfiguration Ihrer Firewall für die Active Directory-Kommunikation.

    • Stellen Sie sicher, dass diese Verkehrsregeln auch auf den Firewalls widergespiegelt werden, die für die einzelnen Active Directory-Domänencontroller, DNS-Server, FSx Clients und Administratoren gelten. FSx

    Anmerkung

    Wenn Sie Active Directory-Standorte definiert haben, müssen Sie sicherstellen, dass die Subnetze in der VPC, die Ihrem FSx Amazon-Dateisystem zugeordnet sind, an einem Active Directory-Standort definiert sind und dass keine Konflikte zwischen den Subnetzen in Ihrer VPC und den Subnetzen an Ihren anderen Standorten bestehen. Sie können diese Einstellungen mithilfe des MMC-Snap-Ins Active Directory-Standorte und -Dienste anzeigen und ändern.

    Wichtig

    Während Amazon VPC-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, ACLs erfordern die meisten Windows-Firewalls und VPC-Netzwerke, dass Ports in beide Richtungen geöffnet sind.

  10. Wählen Sie für die Windows-Authentifizierung Self-managed Microsoft Active Directory.

  11. Geben Sie einen Wert für Vollqualifizierter Domänenname für das selbstverwaltete Microsoft Active Directory-Verzeichnis ein.

    Anmerkung

    Der Domänenname darf nicht im Format Single Label Domain (SLD) vorliegen. Amazon unterstützt FSx derzeit keine SLD-Domains.

    Wichtig

    Für Single-AZ 2- und alle Multi-AZ-Dateisysteme darf der Active Directory-Domänenname 47 Zeichen nicht überschreiten.

  12. Geben Sie einen Wert für Organisationseinheit für das selbstverwaltete Microsoft Active Directory-Verzeichnis ein.

    Anmerkung

    Stellen Sie sicher, dass das von Ihnen angegebene Dienstkonto über Berechtigungen verfügt, die an die OU delegiert wurden, die Sie hier angeben, oder an die Standard-OU, falls Sie keine angeben.

  13. Geben Sie mindestens einen und nicht mehr als zwei Werte für DNS-Server-IP-Adressen für das selbstverwaltete Microsoft Active Directory-Verzeichnis ein.

  14. Geben Sie einen Zeichenfolgenwert für den Benutzernamen des Dienstkontos für das Konto in Ihrer selbstverwalteten Active Directory-Domäne ein, z. B. ServiceAcct Amazon FSx verwendet diesen Benutzernamen, um Ihrer Microsoft Active Directory-Domain beizutreten.

    Wichtig

    Geben Sie bei der Eingabe des Benutzernamens für das Servicekonto KEIN Domain-Präfix (corp.com\ServiceAcctServiceAcct@corp.com) oder Domain-Suffix () an.

    Verwenden Sie NICHT den Distinguished Name (DN) bei der Eingabe des Benutzernamens (CN=ServiceAcct,OU=example,DC=corp,DC=com) für das Dienstkonto.

  15. Geben Sie einen Wert für das Dienstkontokennwort für das Konto in Ihrer selbstverwalteten Active Directory-Domäne ein. Amazon FSx verwendet dieses Passwort, um Ihrer Microsoft Active Directory-Domain beizutreten.

  16. Geben Sie das Passwort erneut ein, um es unter Passwort bestätigen zu bestätigen.

  17. Geben Sie unter Gruppe delegierter Dateisystemadministratoren die Domain Admins Gruppe oder eine benutzerdefinierte Gruppe delegierter Dateisystemadministratoren an (falls Sie eine erstellt haben). Die von Ihnen angegebene Gruppe sollte über die delegierte Befugnis verfügen, administrative Aufgaben in Ihrem Dateisystem auszuführen. Wenn Sie keinen Wert angeben, FSx verwendet Amazon die Domain Admins Gruppe Builtin. Beachten Sie, dass Amazon FSx nicht unterstützt, dass sich eine Delegated file system administrators group (entweder die von Ihnen angegebene Domain Admins Gruppe oder eine benutzerdefinierte Gruppe) im integrierten Container befindet.

    Wichtig

    Wenn Sie keine Gruppe für delegierte Dateisystemadministratoren angeben, FSx versucht Amazon standardmäßig, die integrierte Domain Admins Gruppe in Ihrer Active Directory-Domain zu verwenden. Wenn der Name dieser integrierten Gruppe geändert wurde oder wenn Sie eine andere Gruppe für die Domänenverwaltung verwenden, müssen Sie diesen Namen für die Gruppe hier angeben.

    Wichtig

    Geben Sie KEIN Domänenpräfix (corp.com\ FSx Admins) oder ein Domänensuffix (FSxAdmins@corp.com) an, wenn Sie den Gruppennamenparameter angeben.

    Verwenden Sie NICHT den Distinguished Name (DN) für die Gruppe. Ein Beispiel für einen eindeutigen Namen ist CN= FSx Admins, OU=Example, DC=Corp, DC=com.

Im folgenden Beispiel wird ein Dateisystem FSx für Windows File Server mit einem SelfManagedActiveDirectoryConfiguration in der us-east-2 Availability Zone erstellt. 

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
Wichtig

Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.