Übertragung des Betriebs auf Amazon FSx for Windows File Server - Amazon FSx für Windows-Dateiserver
Vorbereitung der Umstellung auf Amazon FSxKonfigurieren Sie SPNs für die Kerberos-AuthentifizierungAktualisieren Sie die DNS CNAME Datensätze für das FSx Amazon-Dateisystem

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übertragung des Betriebs auf Amazon FSx for Windows File Server

Nachdem Sie Ihren lokalen Dateispeicher, die Dateifreigabekonfiguration und DNS die Konfiguration migriert haben, besteht der nächste Schritt darin, Ihren Betrieb auf die Dateisysteme FSx für Windows File Server umzustellen. Um auf Ihr Dateisystem FSx für Windows File Server umzusteigen, führen Sie die folgenden Schritte aus:

  • Bereiten Sie sich auf den Schnitt vor.

    • Trennen Sie die SMB Clients vorübergehend vom ursprünglichen Dateisystem.

    • Führen Sie eine abschließende Synchronisierung der Datei- und Dateifreigabekonfiguration durch.

  • Konfigurieren Sie Service Principal Names (SPNs) für Ihr FSx Amazon-Dateisystem.

  • Aktualisieren Sie die DNS CNAME Datensätze so, dass sie auf Ihr FSx Amazon-Dateisystem verweisen.

Die Verfahren zur Durchführung der einzelnen Schritte werden in den folgenden Abschnitten beschrieben.

Vorbereitung der Umstellung auf Amazon FSx

Um die Umstellung auf Ihr FSx Amazon-Dateisystem vorzubereiten, müssen Sie wie folgt vorgehen:

Konfigurieren Sie SPNs für die Kerberos-Authentifizierung

Wir empfehlen Ihnen, bei der Übertragung mit Amazon die Kerberos-basierte Authentifizierung und Verschlüsselung zu verwenden. FSx Kerberos bietet die sicherste Authentifizierung für Clients, die auf Ihr Dateisystem zugreifen. Um die Kerberos-Authentifizierung für Clients zu aktivieren, die FSx über einen DNS Alias auf Amazon zugreifen, müssen Sie Service Principal Names (SPNs) hinzufügen, die dem DNS Alias auf dem Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems entsprechen.

Für die Kerberos-Authentifizierung sind zwei SPNs erforderlich.

HOST/alias
HOST/alias.domain

Wenn der Alias beispielsweise lautetfinance.domain.com, lauten die beiden erforderlichen Angaben wie SPNs folgt.

HOST/finance
HOST/finance.domain.com

Ein SPN kann jeweils nur einem einzigen Active Directory-Computerobjekt zugeordnet werden. Wenn SPNs für den DNS Namen, der für das Active Directory-Computerobjekt Ihres ursprünglichen Dateisystems konfiguriert wurde, bereits vorhanden sind, müssen Sie sie löschen, bevor Sie sie SPNs für Ihr FSx Amazon-Dateisystem erstellen.

Die folgenden Verfahren beschreiben, wie Sie vorhandene Objekte findenSPNs, löschen und neue Objekte SPNs für das Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems erstellen können.

Um das erforderliche PowerShell Active Directory-Modul zu installieren

  1. Melden Sie sich bei einer Windows-Instance an, die mit dem Active Directory verbunden ist, mit dem Ihr FSx Amazon-Dateisystem verknüpft ist.

  2. PowerShell Als Administrator öffnen.

  3. Installieren Sie das PowerShell Active Directory-Modul mit dem folgenden Befehl.

    Install-WindowsFeature RSAT-AD-PowerShell
So suchen und löschen Sie DNS einen vorhandenen Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems

  1. Suchen Sie mit den folgenden Befehlen SPNs nach vorhandenen Befehlen. alias_fqdnErsetzen Sie es durch den DNS Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS Konfiguration auf den FSx Windows-Dateiserver.

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. Löschen Sie das im vorherigen Schritt HOST SPNs zurückgegebene Objekt mithilfe des folgenden Beispielskripts.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. Wiederholen Sie diese Schritte für jeden DNS Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS Konfiguration auf den FSx Windows-Dateiserver.

Zur Einstellung SPNs auf dem Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems

  1. Stellen Sie SPNs das neue für Ihr FSx Amazon-Dateisystem ein, indem Sie die folgenden Befehle ausführen.

    • file_system_DNS_nameErsetzen Sie durch den DNS Namen, den Amazon dem Dateisystem FSx zugewiesen hat.

      Um den DNS Namen Ihres Dateisystems auf der FSx Amazon-Konsole zu finden, wählen Sie Dateisysteme und dann Ihr Dateisystem aus. Wählen Sie auf der Seite mit den Dateisystem-Details den Bereich Netzwerk und Sicherheit. Sie können den DNS Namen auch in der Antwort auf den DescribeFileSystemsAPIVorgang abrufen.

    • alias_fqdnErsetzen Sie ihn durch den vollständigen DNS Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS Konfiguration auf den FSx Windows-Dateiserver.

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    Anmerkung

    Die Einstellung eines SPN für Ihr FSx Amazon-Dateisystem schlägt fehl, wenn im AD ein SPN für den DNS Alias für das Computerobjekt des ursprünglichen Dateisystems vorhanden ist. Informationen zum Suchen und Löschen vorhandener Objekte SPNs finden Sie unterSo suchen und löschen Sie DNS einen vorhandenen Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems.

  2. Stellen Sie mithilfe des folgenden Beispielskripts sicher, dass die neuen für den DNS Alias konfiguriert SPNs sind. Stellen Sie sicher, dass die Antwort zwei HOST SPNs HOST/alias und enthältHOST/alias_fqdn.

    file_system_DNS_nameErsetzen Sie durch den DNS Namen, den Amazon Ihrem Dateisystem FSx zugewiesen hat. Um den DNS Namen Ihres Dateisystems auf der FSx Amazon-Konsole zu finden, wählen Sie Dateisysteme, wählen Sie Ihr Dateisystem und dann auf der Seite mit den Dateisystemdetails den Bereich Netzwerk und Sicherheit.

    Sie können den DNS Namen auch in der Antwort auf den DescribeFileSystemsAPIVorgang abrufen.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. Wiederholen Sie die vorherigen Schritte für jeden DNS Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS Konfiguration auf den FSx Windows-Dateiserver.

Anmerkung

Sie können die Kerberos-Authentifizierung und Verschlüsselung während der Übertragung erzwingen, wenn Clients über DNS Aliase eine Verbindung zu Ihrem Dateisystem herstellen, indem Sie die folgenden Gruppenrichtlinienobjekte (GPOs) in Ihrem Active Directory einrichten:

  • EinschränkenNTLM: Ausgehender NTLM Verkehr zu Remoteservern

  • EinschränkenNTLM: Fügen Sie Remoteserver-Ausnahmen für die NTLM Authentifizierung hinzu

Weitere Informationen finden Sie unter Erzwingen der Kerberos-Authentifizierung mithilfe von Gruppenrichtlinienobjekten () GPOs Exemplarische Vorgehensweise 5: Verwenden von DNS Aliasen für den Zugriff auf Ihr Dateisystem.

Aktualisieren Sie die DNS CNAME Datensätze für das FSx Amazon-Dateisystem

Nachdem Sie Ihr Dateisystem ordnungsgemäß konfiguriert SPNs haben, können Sie zu Amazon wechseln, indem Sie jeden DNS Datensatz, der in das ursprüngliche Dateisystem aufgelöst wurde, FSx durch einen DNS Datensatz ersetzen, der in den DNS Standardnamen des FSx Amazon-Dateisystems aufgelöst wird.

Um die erforderlichen PowerShell Cmdlets zu installieren

  1. Melden Sie sich bei einer Windows-Instance an, die mit dem Active Directory verbunden ist, mit dem Ihr FSx Amazon-Dateisystem verknüpft ist, als Benutzer, der Mitglied einer Gruppe mit Administratorberechtigungen ist (AWS Delegated Domain Name System DNS Administrators in AWS Managed Microsoft Active Directory und Domain Admins oder eine andere Gruppe, an die Sie DNS Administrationsberechtigungen in Ihrem selbstverwalteten Active Directory delegiert haben).

    Weitere Informationen finden Sie unter Verbindung zu Ihrer Windows-Instance herstellen im EC2 Amazon-Benutzerhandbuch.

  2. PowerShell Als Administrator öffnen.

  3. Das PowerShell DNS Servermodul ist erforderlich, um die Anweisungen in diesem Verfahren auszuführen. Installieren Sie es mit dem folgenden Befehl.

    Install-WindowsFeature RSAT-DNS-Server
Um einen vorhandenen DNS CNAME Datensatz zu aktualisieren

  1. Das folgende Skript aktualisiert alle vorhandenen DNS CNAME Datensätze für alias_fqdn das Computerobjekt Ihres FSx Amazon-Dateisystems. Wenn keiner gefunden wird, wird ein neuer DNS CNAME Datensatz für den DNS Alias erstelltalias_fqdn, der in den DNS Standardnamen für Ihr FSx Amazon-Dateisystem aufgelöst wird.

    So führen Sie das Skript aus:

    • alias_fqdnErsetzen Sie es durch den DNS Alias, den Sie dem Dateisystem zugeordnet haben.

    • file_system_DNS_nameErsetzen Sie durch den DNS Standardnamen, den Amazon dem Dateisystem zugewiesen FSx hat.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. Wiederholen Sie den vorherigen Schritt für jeden DNS Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS Konfiguration auf den FSx Windows-Dateiserver.