Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden - Amazon FSx für Windows-Dateiserver
Bevor Sie beginnen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden

Wenn Sie ein neues Dateisystem FSx für Windows File Server erstellen, können Sie die Microsoft Active Directory-Integration so konfigurieren, dass es mit Ihrer selbstverwalteten Microsoft Active Directory-Domäne verbunden wird. Geben Sie dazu die folgenden Informationen für Ihr Microsoft Active Directory an:

  • Der vollqualifizierte Domänenname (FQDN) Ihres lokalen Microsoft Active Directory-Verzeichnisses.

    Anmerkung

    Amazon unterstützt FSx derzeit keine Single Label Domain (SLD) -Domains.

  • Die IP-Adressen der DNS Server für Ihre Domain.

  • Anmeldeinformationen für ein Dienstkonto in Ihrer lokalen Microsoft Active Directory-Domäne. Amazon FSx verwendet diese Anmeldeinformationen, um Ihrem selbstverwalteten Active Directory beizutreten.

Optional können Sie auch Folgendes spezifizieren:

  • Eine bestimmte Organisationseinheit (OU) innerhalb der Domain, zu der Sie Ihr FSx Amazon-Dateisystem hinzufügen möchten.

  • Der Name der Domain-Gruppe, deren Mitgliedern Administratorrechte für das FSx Amazon-Dateisystem gewährt werden. Der von Ihnen angegebene Domänengruppenname muss in Ihrem Active Directory eindeutig sein.

Nachdem Sie diese Informationen angegeben haben, FSx verknüpft Amazon Ihr neues Dateisystem mit Ihrer selbstverwalteten Active Directory-Domain unter Verwendung des von Ihnen angegebenen Dienstkontos.

Wichtig

Amazon registriert FSx nur DNS Datensätze für ein Dateisystem, wenn die Active Directory-Domäne, zu der Sie es hinzufügen, Microsoft DNS als Standard verwendetDNS. Wenn Sie einen Drittanbieter verwendenDNS, müssen Sie nach der Erstellung Ihres FSx Dateisystems manuell DNS Einträge für Ihre Amazon-Dateisysteme einrichten. Weitere Informationen zur Auswahl der richtigen IP-Adressen für das Dateisystem finden Sie unterAbrufen der richtigen Dateisystem-IP-Adressen zur Verwendung für manuelle DNS Einträge.

Bevor Sie beginnen

Vergewissern Sie sich, dass Sie die Voraussetzungen Einzelheiten unter ausgefüllt habenVerwenden eines selbstverwalteten Microsoft Active Directory.

  1. Öffnen Sie die FSx Amazon-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Klicken Sie auf dem Dashboard auf Create file system (Dateisystem erstellen), um den Erstellungsassistenten für Dateisysteme zu starten.

  3. Wählen Sie „FSxWindows-Dateiserver“ und anschließend „Weiter“. Die Seite Create file system (Dateisystem erstellen) wird angezeigt.

  4. Geben Sie einen Namen für Ihr Dateisystem ein. Sie können maximal 256 Unicode-Buchstaben, Leerzeichen und Zahlen sowie die Sonderzeichen + - = verwenden. _:/

  5. Geben Sie unter Speicherkapazität die Speicherkapazität Ihres Dateisystems in GiB ein. Wenn Sie SSD Speicher verwenden, geben Sie eine beliebige ganze Zahl im Bereich von 32 bis 65.536 ein. Wenn Sie HDD Speicher verwenden, geben Sie eine beliebige ganze Zahl im Bereich von 2.000 bis 65.536 ein. Sie können die Speicherkapazität jederzeit nach der Erstellung des Dateisystems nach Bedarf erhöhen. Weitere Informationen finden Sie unter Verwaltung der Speicherkapazität.

  6. Behalten Sie die Durchsatzkapazität auf ihrer Standardeinstellung. Die Durchsatzkapazität ist die konstante Geschwindigkeit, mit der der Dateiserver, der Ihr Dateisystem hostet, Daten bereitstellen kann. Die Einstellung „Empfohlene Durchsatzkapazität“ basiert auf der von Ihnen ausgewählten Speicherkapazität. Wenn Sie mehr als die empfohlene Durchsatzkapazität benötigen, wählen Sie Durchsatzkapazität angeben und wählen Sie dann einen Wert aus. Weitere Informationen finden Sie unter FSxfür die Leistung von Windows-Dateiservern.

    Sie können die Durchsatzkapazität jederzeit nach der Erstellung des Dateisystems nach Bedarf ändern. Weitere Informationen finden Sie unter Verwaltung der Durchsatzkapazität.

  7. Wählen Sie VPC das aus, das Sie Ihrem Dateisystem zuordnen möchten. Wählen Sie für diese Übung „Erste Schritte“ dasselbe aus VPC wie für Ihr AWS Directory Service Verzeichnis und Ihre EC2 Amazon-Instance.

  8. Wählen Sie einen beliebigen Wert für Availability Zones und Subnet.

  9. Bei VPCSicherheitsgruppen VPC ist die Standardsicherheitsgruppe für Ihr Standard-Amazon bereits zu Ihrem Dateisystem in der Konsole hinzugefügt. Bitte stellen Sie sicher, dass die Sicherheitsgruppe und das VPC Netzwerk ACLs für die Subnetze, in denen Sie Ihr FSx Dateisystem erstellen, Datenverkehr auf den Ports und in den Anweisungen zulassen, die in der folgenden Abbildung dargestellt sind.

    FSxfür die Anforderungen an die Portkonfiguration des Windows-Dateiservers für VPC Sicherheitsgruppen und das Netzwerk ACLs für die Subnetze, in denen das Dateisystem erstellt wird.

    In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.

    Protokoll

    Ports

    Rolle

    TCP/UDP

    53

    Domänennamensystem () DNS

    TCP/UDP

    88

    Kerberos-Authentifizierung

    TCP/UDP

    464

    Passwort ändern/festlegen

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Netzwerkzeitprotokoll (NTP)
    TCP 135

    Verteilte Computerumgebung/End Point Mapper (DCE/EPMAP)

    TCP

    445

    SMBDateifreigabe durch Verzeichnisdienste

    TCP

    636

    Lightweight Directory Access Protocol überTLS/SSL(LDAPS)

    TCP

    3268

    Globaler Microsoft-Katalog

    TCP

    3269

    Microsoft Global Catalog vorbei SSL

    TCP

    5985

    WinRM 2.0 (Microsoft Windows-Fernverwaltung)

    TCP

    9389

    Microsoft Active Directory DS-Webdienste, PowerShell

    TCP

    49152–65535

    Kurzlebige Ports für RPC
    Wichtig

    Für Single-AZ 2- und alle Multi-AZ-Dateisystembereitstellungen ist es erforderlich, ausgehenden Verkehr auf TCP Port 9389 zuzulassen.

    Anmerkung

    Wenn Sie ein VPC Netzwerk verwendenACLs, müssen Sie auch ausgehenden Datenverkehr über dynamische Ports (49152-65535) von Ihrem Dateisystem aus zulassen. FSx

    • Regeln für ausgehenden Datenverkehr, die den gesamten Datenverkehr zu den IP-Adressen zulassen, die den DNS Servern und Domänencontrollern für Ihre selbstverwaltete Microsoft Active Directory-Domäne zugeordnet sind. Weitere Informationen finden Sie in der Dokumentation von Microsoft zur Konfiguration Ihrer Firewall für die Active Directory-Kommunikation.

    • Stellen Sie sicher, dass diese Verkehrsregeln auch auf den Firewalls widergespiegelt werden, die für jeden Active Directory-Domänencontroller, DNS -Server, FSx -Clients und -Administrator gelten. FSx

    Anmerkung

    Wenn Sie Active Directory-Standorte definiert haben, müssen Sie sicherstellen, dass die Subnetze in den mit Ihrem FSx Amazon-Dateisystem VPC verknüpften Subnetzen an einem Active Directory-Standort definiert sind und dass keine Konflikte zwischen den Subnetzen in Ihrem VPC und den Subnetzen an Ihren anderen Standorten bestehen. Sie können diese Einstellungen mithilfe des Snap-Ins für Active Directory-Standorte und -Dienste anzeigen und ändern. MMC

    Wichtig

    Während VPC Amazon-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, ACLs erfordern die meisten Windows-Firewalls und VPC Netzwerke, dass Ports in beide Richtungen geöffnet sind.

  10. Wählen Sie für die Windows-Authentifizierung Self-managed Microsoft Active Directory.

  11. Geben Sie einen Wert für Vollqualifizierter Domänenname für das selbstverwaltete Microsoft Active Directory-Verzeichnis ein.

    Anmerkung

    Der Domänenname darf nicht im Format Single Label Domain (SLD) vorliegen. Amazon unterstützt FSx derzeit keine SLD Domains.

    Wichtig

    Für Single-AZ 2- und alle Multi-AZ-Dateisysteme darf der Active Directory-Domänenname 47 Zeichen nicht überschreiten.

  12. Geben Sie einen Wert für Organisationseinheit für das selbstverwaltete Microsoft Active Directory-Verzeichnis ein.

    Anmerkung

    Stellen Sie sicher, dass das von Ihnen angegebene Dienstkonto über Berechtigungen verfügt, die an die OU delegiert wurden, die Sie hier angeben, oder an die Standard-OU, falls Sie keine angeben.

  13. Geben Sie mindestens einen und nicht mehr als zwei Werte für DNSServer-IP-Adressen für das selbstverwaltete Microsoft Active Directory-Verzeichnis ein.

  14. Geben Sie einen Zeichenfolgenwert für den Benutzernamen des Dienstkontos für das Konto in Ihrer selbstverwalteten Active Directory-Domäne ein, z. B. ServiceAcct Amazon FSx verwendet diesen Benutzernamen, um Ihrer Microsoft Active Directory-Domain beizutreten.

    Wichtig

    NOTGeben Sie bei der Eingabe des Benutzernamens für das Servicekonto ein Domain-Präfix (corp.com\ServiceAcctServiceAcct@corp.com) oder ein Domain-Suffix () an.

    NOTVerwenden Sie bei der Eingabe des Benutzernamens des Dienstkontos () den Distinguished Name (DNCN=ServiceAcct,OU=example,DC=corp,DC=com).

  15. Geben Sie einen Wert für das Dienstkontokennwort für das Konto in Ihrer selbstverwalteten Active Directory-Domäne ein. Amazon FSx verwendet dieses Passwort, um Ihrer Microsoft Active Directory-Domain beizutreten.

  16. Geben Sie das Passwort erneut ein, um es unter Passwort bestätigen zu bestätigen.

  17. Geben Sie unter Gruppe delegierter Dateisystemadministratoren die Domain Admins Gruppe oder eine benutzerdefinierte Gruppe delegierter Dateisystemadministratoren an (falls Sie eine erstellt haben). Die von Ihnen angegebene Gruppe sollte über die delegierte Befugnis verfügen, administrative Aufgaben in Ihrem Dateisystem auszuführen. Wenn Sie keinen Wert angeben, FSx verwendet Amazon die Domain Admins Gruppe Builtin. Beachten Sie, dass Amazon FSx nicht unterstützt, dass sich eine Delegated file system administrators group (entweder die von Ihnen angegebene Domain Admins Gruppe oder eine benutzerdefinierte Gruppe) im integrierten Container befindet.

    Wichtig

    Wenn Sie keine Gruppe für delegierte Dateisystemadministratoren angeben, FSx versucht Amazon standardmäßig, die integrierte Domain Admins Gruppe in Ihrer Active Directory-Domain zu verwenden. Wenn der Name dieser integrierten Gruppe geändert wurde oder wenn Sie eine andere Gruppe für die Domänenverwaltung verwenden, müssen Sie diesen Namen für die Gruppe hier angeben.

    Wichtig

    NOTGeben Sie bei der Angabe des Parameters für den Gruppennamen ein Domänenpräfix (corp.com\FSxAdmins) oder ein Domänensuffix (FSxAdmins@corp .com) an.

    NOTVerwenden Sie den Distinguished Name (DN) für die Gruppe. Ein Beispiel für einen definierten Namen ist CN=FSxAdmins, OU=Example, DC=Corp, DC=com.

Im folgenden Beispiel wird ein Dateisystem FSx für Windows File Server mit einem SelfManagedActiveDirectoryConfiguration in der us-east-2 Availability Zone erstellt. 

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
Wichtig

Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.