Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Amazon FSx mit AWS Directory Service for Microsoft Active Directory
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) bietet vollständig verwaltete, hochverfügbare, aktuelle Active Directory-Verzeichnisse in der Cloud. Sie können diese Active Directory-Verzeichnisse in Ihrer Workload-Bereitstellung verwenden.
Wenn Ihr Unternehmen Identitäten und Geräte verwaltet, empfehlen wir Ihnen, Ihr Amazon FSx-Dateisystem mit zu integrieren. AWS Managed Microsoft AD AWS Managed Microsoft AD Auf diese Weise erhalten Sie eine schlüsselfertige Lösung mit Amazon FSx mit. AWS Managed Microsoft AD AWS kümmert sich um die Bereitstellung, den Betrieb, die hohe Verfügbarkeit, Zuverlässigkeit, Sicherheit und die nahtlose Integration der beiden Dienste, sodass Sie sich auf den effektiven Betrieb Ihrer eigenen Workloads konzentrieren können.
Um Amazon FSx mit Ihrem AWS Managed Microsoft AD Setup zu verwenden, können Sie die Amazon FSx-Konsole verwenden. Wenn Sie in der Konsole ein neues Dateisystem FSx for Windows File Server erstellen, wählen Sie im Abschnitt Windows-Authentifizierung die Option AWS Managed Active Directory aus. Sie wählen auch das spezifische Verzeichnis aus, das Sie verwenden möchten. Weitere Informationen finden Sie unter Schritt 5. Erstellen Sie Ihr Dateisystem.
Ihre Organisation verwaltet möglicherweise Identitäten und Geräte in einer selbstverwalteten Active Directory-Domäne (lokal oder in der Cloud). Falls ja, können Sie Ihr Amazon FSx-Dateisystem direkt mit Ihrer bestehenden, selbstverwalteten Active Directory-Domain verbinden. Weitere Informationen finden Sie unter Verwenden eines selbstverwalteten Microsoft Active Directory.
Darüber hinaus können Sie Ihr System auch so einrichten, dass es von einem Modell zur Isolierung von Ressourcengesamtstrukturen profitiert. In diesem Modell isolieren Sie Ihre Ressourcen, einschließlich Ihrer Amazon FSx-Dateisysteme, in einer anderen Active Directory-Gesamtstruktur als der, in der sich Ihre Benutzer befinden.
Wichtig
Für Single-AZ zwei und alle Multi-AZ Dateisysteme darf der vollqualifizierte Domänenname (FQDN) von Active Directory nicht länger als 47 Zeichen sein.
Voraussetzungen für das Netzwerk
Bevor Sie ein FSx for Windows File Server Server-Dateisystem erstellen, das mit Ihrer AWS Microsoft Managed Active Directory-Domäne verknüpft ist, stellen Sie sicher, dass Sie die folgenden Netzwerkkonfigurationen erstellt und eingerichtet haben:
-
Für VPC-Sicherheitsgruppen ist die Standardsicherheitsgruppe für Ihre standardmäßige Amazon-VPC bereits zu Ihrem Dateisystem in der Konsole hinzugefügt. Bitte stellen Sie sicher, dass die Sicherheitsgruppe und die VPC-Netzwerk-ACLs für die Subnetze, in denen Sie Ihr FSx-Dateisystem erstellen, Datenverkehr auf den Ports und in den in der folgenden Abbildung gezeigten Anweisungen zulassen.
In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.
Protocol (Protokoll)
Ports
Rolle
TCP/UDP
53
Domain Name System (DNS)
TCP/UDP
88
Kerberos-Authentifizierung
TCP/UDP
464
Change/Set Passwort
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
UDP 123 Network Time Protocol (NTP)
TCP 135 Distributed Computing Environment / End Point Mapper (DCE / EPMAP)
TCP
445
Directory-Services-SMB-Dateifreigabe
TCP
636
Lightweight Directory Access Protocol over TLS/SSL (LDAPS)
TCP
3268
Globaler Microsoft-Katalog
TCP
3269
Microsoft Global Catalog über SSL
TCP
5985
WinRM 2.0 (Microsoft Windows-Fernverwaltung)
TCP
9389
Microsoft AD DS-Webdienste, PowerShell
TCP
49152–65535
Flüchtige Ports für RPC
Wichtig
Das Zulassen von ausgehendem Datenverkehr auf TCP-Port 9389 ist für Single-AZ 2 und alle Multi-AZ Dateisystembereitstellungen erforderlich.
Anmerkung
Wenn Sie VPC-Netzwerk-ACLs verwenden, müssen Sie auch ausgehenden Datenverkehr auf dynamischen Ports (49152-65535) aus Ihrem FSx-Dateisystem zulassen.
-
Wenn Sie Ihr Amazon FSx-Dateisystem mit einem AWS Managed Microsoft Active Directory in einer anderen VPC oder einem anderen Konto verbinden, stellen Sie die Konnektivität zwischen dieser VPC und der Amazon VPC sicher, auf der Sie das Dateisystem erstellen möchten. Weitere Informationen finden Sie unter Verwenden von Amazon FSx mit AWS Managed Microsoft AD in einer anderen VPC oder einem anderen Konto.
Wichtig
Während Amazon VPC-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, erfordern VPC-Netzwerk-ACLs, dass Ports in beide Richtungen geöffnet sind.
Verwenden Sie das Amazon FSx Network Validation Tool, um die Konnektivität zu Ihren Active Directory-Domain-Controllern zu überprüfen.
Verwenden Sie ein Modell zur Isolierung von Ressourcengesamtstrukturen
Sie verbinden Ihr Dateisystem mit einem AWS Managed Microsoft AD Setup. Anschließend richten Sie eine unidirektionale Gesamtstruktur-Vertrauensstellung zwischen einer von Ihnen erstellten AWS Managed Microsoft AD Domäne und Ihrer vorhandenen selbstverwalteten Active Directory-Domäne ein. Für die Windows-Authentifizierung in Amazon FSx benötigen Sie nur eine unidirektionale Gesamtstrukturvertrauensstellung, bei der die AWS verwaltete Gesamtstruktur der Unternehmensdomänengesamtstruktur vertraut.
Ihre Unternehmensdomäne übernimmt die Rolle der vertrauenswürdigen Domäne, und die Directory Service verwaltete Domäne übernimmt die Rolle der vertrauenswürdigen Domäne. Validierte Authentifizierungsanfragen werden zwischen den Domänen nur in eine Richtung übertragen, sodass sich Konten in Ihrer Unternehmensdomäne anhand von Ressourcen authentifizieren können, die in der verwalteten Domäne gemeinsam genutzt werden. In diesem Fall interagiert Amazon FSx nur mit der AWS verwalteten Domain. In einem Kerberos-Authentifizierungsszenario werden Authentifizierungsanfragen, die von einem Unternehmensclient stammen, von der Unternehmensdomäne validiert AWS Managed Microsoft AD, die sie dann auf die verweist, und schließlich präsentiert der Client sein Serviceticket Ihrem FSx for Windows File Server Server-Dateisystem. Weitere Informationen zu Vertrauensstellungen finden Sie im Sicherheits-Blog im Beitrag Alles, was Sie über Vertrauensstellungen wissen wollten
Testen Sie Ihre Active Directory-Konfiguration
Bevor Sie Ihr Amazon FSx-Dateisystem erstellen, empfehlen wir Ihnen, die Konnektivität zu Ihren Active Directory-Domain-Controllern mit dem Amazon FSx Network Validation Tool zu überprüfen. Weitere Informationen finden Sie unter Überprüfen der Konnektivität zu Ihren Active Directory-Domänencontrollern.
Die folgenden verwandten Ressourcen können Ihnen bei der Verwendung AWS Directory Service for Microsoft Active Directory von FSx for Windows File Server helfen:
-
Was steht Directory Service im AWS Directory Service Administratorhandbuch
-
Erstellen Sie Ihr AWS verwaltetes Active Directory im AWS Directory Service Administratorhandbuch
-
Wann sollte im AWS Directory Service Administratorhandbuch eine Vertrauensbeziehung eingerichtet werden