Übertragung des Betriebs auf Amazon FSx for Windows File Server - Amazon FSx für Windows-Dateiserver
Vorbereitung der Umstellung auf Amazon FSxKonfigurieren Sie SPNs für die Kerberos-AuthentifizierungAktualisieren Sie die DNS-CNAME-Einträge für das FSx Amazon-Dateisystem

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übertragung des Betriebs auf Amazon FSx for Windows File Server

Nachdem Sie Ihren lokalen Dateispeicher, die Dateifreigabekonfiguration und die DNS-Konfiguration migriert haben, besteht der nächste Schritt darin, Ihren Betrieb auf die Dateisysteme FSx für Windows File Server umzustellen. Um auf Ihr Dateisystem FSx für Windows File Server umzusteigen, führen Sie die folgenden Schritte aus:

  • Bereiten Sie sich auf den Schnitt vor.

    • Trennen Sie SMB-Clients vorübergehend vom ursprünglichen Dateisystem.

    • Führen Sie eine abschließende Synchronisierung der Datei- und Dateifreigabekonfiguration durch.

  • Konfigurieren Sie Service Principal Names (SPNs) für Ihr FSx Amazon-Dateisystem.

  • Aktualisieren Sie DNS-CNAME-Einträge so, dass sie auf Ihr FSx Amazon-Dateisystem verweisen.

Die Verfahren zur Durchführung der einzelnen Schritte werden in den folgenden Abschnitten beschrieben.

Vorbereitung der Umstellung auf Amazon FSx

Um die Umstellung auf Ihr FSx Amazon-Dateisystem vorzubereiten, müssen Sie wie folgt vorgehen:

Konfigurieren Sie SPNs für die Kerberos-Authentifizierung

Wir empfehlen Ihnen, bei der Übertragung mit Amazon die Kerberos-basierte Authentifizierung und Verschlüsselung zu verwenden. FSx Kerberos bietet die sicherste Authentifizierung für Clients, die auf Ihr Dateisystem zugreifen. Um die Kerberos-Authentifizierung für Clients zu aktivieren, die FSx über einen DNS-Alias auf Amazon zugreifen, müssen Sie Service Principal Names (SPNs) hinzufügen, die dem DNS-Alias auf dem Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems entsprechen.

Für die Kerberos-Authentifizierung sind zwei SPNs erforderlich.

HOST/alias
HOST/alias.domain

Wenn der Alias beispielsweise lautetfinance.domain.com, lauten die beiden erforderlichen Angaben wie SPNs folgt.

HOST/finance
HOST/finance.domain.com

Ein SPN kann jeweils nur einem einzigen Active Directory-Computerobjekt zugeordnet werden. Wenn SPNs für den DNS-Namen, der für das Active Directory-Computerobjekt Ihres ursprünglichen Dateisystems konfiguriert wurde, bereits vorhanden sind, müssen Sie sie löschen, bevor Sie sie SPNs für Ihr FSx Amazon-Dateisystem erstellen.

Die folgenden Verfahren beschreiben, wie Sie vorhandene Objekte finden SPNs, löschen und neue Objekte SPNs für das Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems erstellen können.

Um das erforderliche PowerShell Active Directory-Modul zu installieren

  1. Melden Sie sich bei einer Windows-Instance an, die mit dem Active Directory verbunden ist, mit dem Ihr FSx Amazon-Dateisystem verknüpft ist.

  2. PowerShell Als Administrator öffnen.

  3. Installieren Sie das PowerShell Active Directory-Modul mit dem folgenden Befehl.

    Install-WindowsFeature RSAT-AD-PowerShell
So suchen und löschen Sie einen vorhandenen DNS-Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems

  1. Suchen Sie mit den folgenden Befehlen SPNs nach vorhandenen Befehlen. alias_fqdnErsetzen Sie es durch den DNS-Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS-Konfiguration auf den FSx Windows-Dateiserver.

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. Löschen Sie den vorhandenen HOST, der im vorherigen Schritt SPNs zurückgegeben wurde, mithilfe des folgenden Beispielskripts.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. Wiederholen Sie diese Schritte für jeden DNS-Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS-Konfiguration auf den FSx Windows-Dateiserver.

Zur Einstellung SPNs auf dem Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems

  1. Stellen Sie SPNs das neue für Ihr FSx Amazon-Dateisystem ein, indem Sie die folgenden Befehle ausführen.

    • file_system_DNS_nameErsetzen Sie durch den DNS-Namen, den Amazon dem Dateisystem FSx zugewiesen hat.

      Um den DNS-Namen Ihres Dateisystems auf der FSx Amazon-Konsole zu finden, wählen Sie Dateisysteme und dann Ihr Dateisystem aus. Wählen Sie auf der Seite mit den Dateisystemdetails den Bereich Netzwerk und Sicherheit. Sie können den DNS-Namen auch in der Antwort auf den DescribeFileSystemsAPI-Vorgang abrufen.

    • alias_fqdnErsetzen Sie ihn durch den vollständigen DNS-Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS-Konfiguration auf den FSx Windows-Dateiserver.

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    Anmerkung

    Das Einrichten eines SPN für Ihr FSx Amazon-Dateisystem schlägt fehl, wenn ein SPN für den DNS-Alias im AD für das Computerobjekt des ursprünglichen Dateisystems vorhanden ist. Informationen zum Suchen und Löschen vorhandener Dateien finden Sie SPNs unter. So suchen und löschen Sie einen vorhandenen DNS-Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems

  2. Stellen Sie mithilfe des folgenden Beispielskripts sicher, dass die neuen für den DNS-Alias konfiguriert SPNs sind. Stellen Sie sicher, dass die Antwort zwei HOST SPNs HOST/alias und enthältHOST/alias_fqdn.

    file_system_DNS_nameErsetzen Sie durch den DNS-Namen, den Amazon Ihrem Dateisystem FSx zugewiesen hat. Um den DNS-Namen Ihres Dateisystems auf der FSx Amazon-Konsole zu finden, wählen Sie Dateisysteme, wählen Sie Ihr Dateisystem und dann auf der Seite mit den Dateisystemdetails den Bereich Netzwerk und Sicherheit.

    Sie können den DNS-Namen auch in der Antwort auf den DescribeFileSystemsAPI-Vorgang abrufen.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. Wiederholen Sie die vorherigen Schritte für jeden DNS-Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS-Konfiguration auf den FSx Windows-Dateiserver.

Anmerkung

Sie können die Kerberos-Authentifizierung und Verschlüsselung während der Übertragung erzwingen, wenn Clients über DNS-Aliase eine Verbindung zu Ihrem Dateisystem herstellen, indem Sie die folgenden Gruppenrichtlinienobjekte (GPOs) in Ihrem Active Directory einrichten:

  • NTLM einschränken: Ausgehender NTLM-Verkehr zu Remoteservern

  • NTLM einschränken: Fügen Sie Remoteserver-Ausnahmen für die NTLM-Authentifizierung hinzu

Weitere Informationen finden Sie unter Erzwingen der Kerberos-Authentifizierung mithilfe von Gruppenrichtlinienobjekten () GPOs Exemplarische Vorgehensweise 5: Verwenden von DNS-Aliasen für den Zugriff auf Ihr Dateisystem.

Aktualisieren Sie die DNS-CNAME-Einträge für das FSx Amazon-Dateisystem

Nachdem Sie Ihr Dateisystem ordnungsgemäß konfiguriert SPNs haben, können Sie zu Amazon wechseln, indem Sie jeden DNS-Eintrag, der in das ursprüngliche Dateisystem aufgelöst wurde, FSx durch einen DNS-Eintrag ersetzen, der in den Standard-DNS-Namen des FSx Amazon-Dateisystems aufgelöst wird.

Um die erforderlichen PowerShell Cmdlets zu installieren

  1. Melden Sie sich bei einer Windows-Instance an, die mit dem Active Directory verbunden ist, mit dem Ihr FSx Amazon-Dateisystem verknüpft ist, als Benutzer, der Mitglied einer Gruppe ist, die über DNS-Verwaltungsberechtigungen verfügt (AWS Delegierte Domänennamen-Systemadministratoren in AWS verwaltetem Microsoft Active Directory und Domain-Admins oder eine andere Gruppe, an die Sie DNS-Verwaltungsberechtigungen in Ihrem selbstverwalteten Active Directory delegiert haben).

    Weitere Informationen finden Sie unter Herstellen einer Verbindung zu Ihrer Windows-Instance im EC2 Amazon-Benutzerhandbuch.

  2. PowerShell Als Administrator öffnen.

  3. Das PowerShell DNS-Servermodul ist erforderlich, um die Anweisungen in diesem Verfahren auszuführen. Installieren Sie es mit dem folgenden Befehl.

    Install-WindowsFeature RSAT-DNS-Server
Um einen vorhandenen DNS-CNAME-Eintrag zu aktualisieren

  1. Das folgende Skript aktualisiert alle vorhandenen DNS-CNAME-Einträge für alias_fqdn das Computerobjekt Ihres FSx Amazon-Dateisystems. Wenn keiner gefunden wird, wird ein neuer DNS-CNAME-Eintrag für den DNS-Alias erstelltalias_fqdn, der in den Standard-DNS-Namen für Ihr FSx Amazon-Dateisystem aufgelöst wird.

    So führen Sie das Skript aus:

    • alias_fqdnErsetzen Sie ihn durch den DNS-Alias, den Sie dem Dateisystem zugeordnet haben.

    • file_system_DNS_nameErsetzen Sie durch den Standard-DNS-Namen, den Amazon dem Dateisystem zugewiesen FSx hat.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. Wiederholen Sie den vorherigen Schritt für jeden DNS-Alias, den Sie dem Dateisystem in zugeordnet habenMigrieren Sie Ihre lokale DNS-Konfiguration auf den FSx Windows-Dateiserver.