Amazon verwenden FSx mit AWS Directory Service for Microsoft Active Directory - Amazon FSx für Windows-Dateiserver
NetzwerkvoraussetzungenVerwenden Sie ein Modell zur Isolierung von RessourcengesamtstrukturenTesten Sie Ihre Active Directory-Konfiguration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon verwenden FSx mit AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) bietet vollständig verwaltete, hochverfügbare, aktuelle Active Directory-Verzeichnisse in der Cloud. Sie können diese Active Directory-Verzeichnisse in Ihrer Workload-Bereitstellung verwenden.

Wenn Ihr Unternehmen Identitäten und Geräte verwaltet, empfehlen wir Ihnen, Ihr FSx Amazon-Dateisystem mit AWS Managed Microsoft AD zu integrieren. AWS Managed Microsoft AD Auf diese Weise erhalten Sie eine schlüsselfertige Lösung FSx mit AWS Managed Microsoft AD Amazon. AWS kümmert sich um die Bereitstellung, den Betrieb, die hohe Verfügbarkeit, Zuverlässigkeit, Sicherheit und die nahtlose Integration der beiden Dienste, sodass Sie sich auf den effektiven Betrieb Ihrer eigenen Workloads konzentrieren können.

Um Amazon FSx mit Ihrem AWS Managed Microsoft AD Setup zu verwenden, können Sie die FSx Amazon-Konsole verwenden. Wenn Sie in der Konsole ein neues Dateisystem FSx für Windows File Server erstellen, wählen Sie im Abschnitt Windows-Authentifizierung die Option AWS Managed Active Directory. Sie wählen auch das spezifische Verzeichnis aus, das Sie verwenden möchten. Weitere Informationen finden Sie unter Schritt 1. Erstellen Sie Ihr Dateisystem.

Ihre Organisation verwaltet möglicherweise Identitäten und Geräte in einer selbstverwalteten Active Directory-Domäne (lokal oder in der Cloud). Wenn ja, können Sie Ihr FSx Amazon-Dateisystem direkt mit Ihrer bestehenden, selbstverwalteten Active Directory-Domain verbinden. Weitere Informationen finden Sie unter Verwenden eines selbstverwalteten Microsoft Active Directory.

Darüber hinaus können Sie Ihr System auch so einrichten, dass es von einem Modell zur Isolierung von Ressourcenwäldern profitiert. In diesem Modell isolieren Sie Ihre Ressourcen, einschließlich Ihrer FSx Amazon-Dateisysteme, in einer anderen Active Directory-Gesamtstruktur als der, in der sich Ihre Benutzer befinden.

Wichtig

Bei Single-AZ 2- und allen Multi-AZ-Dateisystemen darf der Active Directory-Domänenname 47 Zeichen nicht überschreiten.

Netzwerkvoraussetzungen

Bevor Sie ein Dateisystem FSx für Windows File Server erstellen, das mit Ihrer AWS Microsoft Managed Active Directory-Domäne verknüpft ist, stellen Sie sicher, dass Sie die folgenden Netzwerkkonfigurationen erstellt und eingerichtet haben:

  • Bei VPCSicherheitsgruppen VPC ist die Standardsicherheitsgruppe für Ihr Standard-Amazon bereits zu Ihrem Dateisystem in der Konsole hinzugefügt. Bitte stellen Sie sicher, dass die Sicherheitsgruppe und das VPC Netzwerk ACLs für die Subnetze, in denen Sie Ihr FSx Dateisystem erstellen, Datenverkehr auf den Ports und in den Anweisungen zulassen, die in der folgenden Abbildung dargestellt sind.

    FSxfür die Anforderungen an die Portkonfiguration des Windows-Dateiservers für VPC Sicherheitsgruppen und das Netzwerk ACLs für die Subnetze, in denen das Dateisystem erstellt wird.

    In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.

    Protokoll

    Ports

    Rolle

    TCP/UDP

    53

    Domänennamensystem () DNS

    TCP/UDP

    88

    Kerberos-Authentifizierung

    TCP/UDP

    464

    Passwort ändern/festlegen

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Netzwerkzeitprotokoll (NTP)
    TCP 135

    Verteilte Computerumgebung/End Point Mapper (DCE/EPMAP)

    TCP

    445

    SMBDateifreigabe durch Verzeichnisdienste

    TCP

    636

    Lightweight Directory Access Protocol überTLS/SSL(LDAPS)

    TCP

    3268

    Globaler Microsoft-Katalog

    TCP

    3269

    Microsoft Global Catalog vorbei SSL

    TCP

    5985

    WinRM 2.0 (Microsoft Windows-Fernverwaltung)

    TCP

    9389

    Microsoft AD DS-Webdienste, PowerShell

    TCP

    49152–65535

    Kurzlebige Ports für RPC
    Wichtig

    Für Single-AZ 2- und alle Multi-AZ-Dateisystembereitstellungen ist es erforderlich, ausgehenden Verkehr auf TCP Port 9389 zuzulassen.

    Anmerkung

    Wenn Sie ein VPC Netzwerk verwendenACLs, müssen Sie auch ausgehenden Datenverkehr über dynamische Ports (49152-65535) von Ihrem Dateisystem aus zulassen. FSx

  • Wenn Sie Ihr FSx Amazon-Dateisystem mit einem AWS Managed Microsoft Active Directory in einem anderen VPC OR-Konto verbinden, stellen Sie die Konnektivität zwischen diesem Konto VPC und dem Amazon sicher, auf VPC dem Sie das Dateisystem erstellen möchten. Weitere Informationen finden Sie unter Amazon FSx mit AWS Managed Microsoft AD einem anderen VPC Oder-Konto verwenden.

    Wichtig

    Während VPC Amazon-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, ACLs erfordern VPC Netzwerke, dass Ports in beide Richtungen geöffnet sind.

Verwenden Sie das Amazon FSx Network Validation Tool, um die Konnektivität zu Ihren Active Directory-Domain-Controllern zu überprüfen.

Verwenden Sie ein Modell zur Isolierung von Ressourcengesamtstrukturen

Sie verbinden Ihr Dateisystem mit einem AWS Managed Microsoft AD Setup. Anschließend richten Sie eine unidirektionale Gesamtstruktur-Vertrauensstellung zwischen einer von Ihnen erstellten AWS Managed Microsoft AD Domäne und Ihrer vorhandenen selbstverwalteten Active Directory-Domäne ein. Für die Windows-Authentifizierung in Amazon FSx benötigen Sie nur eine unidirektionale Gesamtstrukturvertrauensstellung, bei der die AWS verwaltete Gesamtstruktur der Unternehmensdomänengesamtstruktur vertraut.

Ihre Unternehmensdomäne übernimmt die Rolle der vertrauenswürdigen Domäne, und die AWS Directory Service verwaltete Domäne übernimmt die Rolle der vertrauenden Domäne. Validierte Authentifizierungsanfragen werden zwischen den Domänen nur in eine Richtung übertragen, sodass sich Konten in Ihrer Unternehmensdomäne anhand von Ressourcen authentifizieren können, die in der verwalteten Domäne gemeinsam genutzt werden. In diesem Fall FSx interagiert Amazon nur mit der AWS verwalteten Domain. In einem Kerberos-Authentifizierungsszenario werden Authentifizierungsanfragen, die von einem Unternehmenskunden stammen, von der Unternehmensdomain validiert, die sie dann auf die verweist AWS Managed Microsoft AD, und schließlich legt der Client sein Serviceticket Ihrem Dateisystem FSx für Windows File Server vor. Weitere Informationen zu Vertrauensstellungen finden Sie im Sicherheits-Blog im Beitrag Alles, was Sie über Vertrauensstellungen wissen wollten. AWS Managed Microsoft AD AWS

Testen Sie Ihre Active Directory-Konfiguration

Bevor Sie Ihr FSx Amazon-Dateisystem erstellen, empfehlen wir Ihnen, die Konnektivität zu Ihren Active Directory-Domain-Controllern mit dem Amazon FSx Network Validation Tool zu überprüfen. Weitere Informationen finden Sie unter Überprüfen der Konnektivität zu Ihren Active Directory-Domänencontrollern.

Die folgenden verwandten Ressourcen können Ihnen bei der Verwendung AWS Directory Service for Microsoft Active Directory von FSx for Windows File Server helfen: