Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden eines selbstverwalteten Microsoft Active Directory
Wenn Ihre Organisation Identitäten und Geräte mit einem selbstverwalteten Active Directory vor Ort oder in der Cloud verwaltet, können Sie Ihrer Active Directory-Domäne bei der Erstellung ein Dateisystem FSx für Windows File Server hinzufügen.
Wenn Sie Ihr Dateisystem mit Ihrem selbstverwalteten Active Directory verbinden, befindet sich Ihr Dateisystem FSx für Windows File Server in derselben Active Directory-Gesamtstruktur (dem obersten logischen Container in einer Active Directory-Konfiguration, die Domänen, Benutzer und Computer enthält) und in derselben Active Directory-Domäne wie Ihre Benutzer und vorhandenen Ressourcen (einschließlich vorhandener Dateiserver).
**Anmerkung**
Sie können Ihre Ressourcen — einschließlich Ihrer FSx Amazon-Dateisysteme — in einer anderen Active Directory-Gesamtstruktur isolieren als die, in der sich Ihre Benutzer befinden. Fügen Sie dazu Ihr Dateisystem einem AWS verwalteten Microsoft Active Directory hinzu und richten Sie eine unidirektionale Gesamtstrukturvertrauensstellung zwischen einem von Ihnen erstellten AWS verwalteten Microsoft Active Directory und Ihrem vorhandenen selbstverwalteten Active Directory ein.
+ Benutzername und Passwort für ein Dienstkonto in Ihrer Active Directory-Domain, das Amazon verwenden FSx kann, um das Dateisystem mit Ihrer Active Directory-Domain zu verbinden. Sie können diese Anmeldeinformationen als Klartext angeben oder sie im geheimen ARN speichern AWS Secrets Manager und angeben (empfohlen).
+ (Optional) Die Organisationseinheit (OU) in Ihrer Domain, der Sie Ihr Dateisystem zuordnen möchten.
+ (Optional) Die Domänengruppe, an die Sie die Befugnis zur Durchführung administrativer Aktionen in Ihrem Dateisystem delegieren möchten. Diese Domänengruppe kann beispielsweise Windows-Dateifreigaben verwalten, Zugriffssteuerungslisten (ACLs) im Stammordner des Dateisystems verwalten, den Besitz von Dateien und Ordnern übernehmen usw. Wenn Sie diese Gruppe nicht angeben, FSx delegiert Amazon diese Autorität standardmäßig an die Gruppe Domain-Admins in Ihrer Active Directory-Domain.
**Anmerkung**
Der von Ihnen angegebene Domänengruppenname muss in Ihrem Active Directory eindeutig sein. FSx für Windows File Server wird die Domänengruppe unter den folgenden Umständen nicht erstellt:
Wenn bereits eine Gruppe mit dem von Ihnen angegebenen Namen existiert
Wenn Sie keinen Namen angeben und eine Gruppe mit dem Namen „Domain-Admins“ bereits in Ihrem Active Directory existiert.
Weitere Informationen finden Sie unter [Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden](creating-joined-ad-file-systems.md).
**Topics**
+ [Voraussetzungen](#self-manage-prereqs)
+ [Berechtigungen für das Dienstkonto](#service-account-prereqs)
+ [Bewährte Methoden bei der Verwendung eines selbstverwalteten Active Directorys](#self-managed-AD-best-practices)
+ [FSx Amazon-Servicekonto](#self-managed-AD-service-account)
+ [Delegieren von Berechtigungen an das FSx Amazon-Servicekonto oder die Amazon-Servicegruppe](assign-permissions-to-service-account.md)
+ [Überprüfen Sie Ihre Active Directory-Konfiguration](validate-ad-config.md)
+ [Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden](creating-joined-ad-file-systems.md)
+ [Abrufen der richtigen Dateisystem-IP-Adressen zur Verwendung für manuelle DNS-Einträge](file-system-ip-addresses-for-dns.md)
+ [Aktualisierung einer selbstverwalteten Active Directory-Konfiguration](update-self-ad-config.md)
+ [Das FSx Amazon-Servicekonto ändern](changing-ad-service-account.md)
+ [Überwachung von selbstverwalteten Active Directory-Updates](monitor-self-ad-update.md)
## Voraussetzungen
Bevor Sie ein Dateisystem FSx für Windows File Server zu Ihrer selbstverwalteten Microsoft Active Directory-Domäne hinzufügen, überprüfen Sie die folgenden Voraussetzungen, um sicherzustellen, dass Sie Ihr FSx Amazon-Dateisystem erfolgreich mit Ihrem selbstverwalteten Active Directory verbinden können.
### Lokale Konfigurationen
Dies sind die Voraussetzungen für Ihr selbstverwaltetes Microsoft Active Directory, entweder lokal oder cloudbasiert, mit dem Sie dem FSx Amazon-Dateisystem beitreten werden.
+ Die Active Directory-Domänencontroller:
+ Muss über eine Domänenfunktionsebene auf Windows Server 2008 R2 oder höher verfügen.
+ Muss beschreibbar sein.
+ Bei mindestens einem der erreichbaren Domänencontroller muss es sich um einen globalen Katalog der Gesamtstruktur handeln.
+ Der DNS-Server muss in der Lage sein, Namen wie folgt aufzulösen:
+ In der Domäne, der Sie dem Dateisystem beitreten
+ In der Stammdomäne der Gesamtstruktur
+ Die IP-Adressen des DNS-Servers und des Active Directory-Domain-Controllers müssen die folgenden Anforderungen erfüllen, die je nachdem, wann Ihr FSx Amazon-Dateisystem erstellt wurde, variieren:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/fsx/latest/WindowsGuide/self-managed-AD.html)
Wenn Sie auf ein Dateisystem FSx für Windows File Server zugreifen müssen, das vor dem 17. Dezember 2020 mit einem nicht privaten IP-Adressbereich erstellt wurde, können Sie ein neues Dateisystem erstellen, indem Sie eine Sicherungskopie des Dateisystems wiederherstellen. Weitere Informationen finden Sie unter [Wiederherstellung eines Backups in einem neuen Dateisystem](how-to-restore-backups.md).
+ Der Domänenname Ihres selbstverwalteten Active Directory muss die folgenden Anforderungen erfüllen:
+ Der Domänenname ist nicht im Format Single Label Domain (SLD). Amazon unterstützt FSx keine SLD-Domains.
+ Bei Single-AZ 2- und allen Multi-AZ-Dateisystemen darf der Domainname 47 Zeichen nicht überschreiten.
+ Alle von Ihnen definierten Active Directory-Standorte müssen die folgenden Voraussetzungen erfüllen:
+ Die Subnetze in der VPC, die Ihrem Dateisystem zugeordnet ist, müssen an einem Active Directory-Standort definiert werden.
+ Es gibt keine Konflikte zwischen den VPC-Subnetzen und den Active Directory-Standortsubnetzen.
Amazon FSx benötigt Konnektivität zu den Domain-Controllern oder Active Directory-Standorten, die Sie in Ihrer Active Directory-Umgebung definiert haben. Amazon ignoriert FSx alle Domain-Controller, bei denen TCP und UDP auf Port 389 blockiert sind. Stellen Sie für die verbleibenden Domain-Controller in Ihrem Active Directory sicher, dass sie die FSx Amazon-Konnektivitätsanforderungen erfüllen. Stellen Sie außerdem sicher, dass alle Änderungen an Ihrem Servicekonto auf alle diese Domänencontroller übertragen werden.
**Wichtig**
Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.
Mit dem [Amazon FSx Active Directory Validation Tool können Sie Ihre Active Directory-Konfiguration validieren](validate-ad-config.md), einschließlich der Verbindungstests mehrerer Domain-Controller. Um die Anzahl der Domain-Controller zu begrenzen, die Konnektivität benötigen, können Sie auch eine Vertrauensbeziehung zwischen Ihren lokalen Domain-Controllern und AWS Managed Microsoft AD aufbauen. Weitere Informationen finden Sie unter [Verwenden Sie ein Modell zur Isolierung von Ressourcengesamtstrukturen](fsx-aws-managed-ad.md#using-a-rfim).
**Wichtig**
Amazon registriert die DNS-Einträge für ein Dateisystem FSx nur, wenn Sie Microsoft DNS als Standard-DNS-Service verwenden. Wenn Sie ein DNS eines Drittanbieters verwenden, müssen Sie die DNS-Eintragseinträge für Ihr Dateisystem manuell einrichten, nachdem Sie es erstellt haben.
### Netzwerkkonfigurationen
In diesem Abschnitt werden die Netzwerkkonfigurationsanforderungen für den Beitritt eines Dateisystems zu Ihrem selbstverwalteten Active Directory beschrieben. Wir empfehlen Ihnen dringend, das [Amazon FSx Active Directory-Validierungstool](validate-ad-config.md#test-ad-network-config) zu verwenden, um Ihre Netzwerkeinstellungen zu testen, bevor Sie versuchen, Ihr Dateisystem mit Ihrem selbstverwalteten Active Directory zu verbinden.
+ Stellen Sie sicher, dass Ihre Firewall-Regeln ICMP-Traffic zwischen Ihren Active Directory-Domain-Controllern und Amazon FSx zulassen.
+ Die Konnektivität zwischen der Amazon VPC, auf der Sie das Dateisystem erstellen möchten, und Ihrem selbstverwalteten Active Directory muss konfiguriert werden. Sie können diese Konnektivität mithilfe von [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), [AWS Virtual Private Network](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html), [VPC-Peering oder](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) einrichten. [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ Die Standard-VPC-Sicherheitsgruppe für Ihre Standard-Amazon-VPC muss über die FSx Amazon-Konsole zu Ihrem Dateisystem hinzugefügt werden. Stellen Sie sicher, dass die Sicherheitsgruppe und das VPC-Netzwerk ACLs für die Subnetze, in denen Sie Ihr Dateisystem erstellen, Datenverkehr auf den Ports und in der Richtung zulassen, die in der folgenden Abbildung dargestellt sind.
![\[FSx für die Anforderungen an die Portkonfiguration des Windows-Dateiservers für VPC-Sicherheitsgruppen und das Netzwerk ACLs für die Subnetze, in denen das Dateisystem erstellt wird.\]](http://docs.aws.amazon.com/de_de/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
In der folgenden Tabelle sind das Protokoll, die Ports und ihre Rolle aufgeführt.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/fsx/latest/WindowsGuide/self-managed-AD.html)
Diese Verkehrsregeln müssen auch auf den Firewalls widergespiegelt werden, die für die einzelnen Active Directory-Domänencontroller, DNS-Server, Clients und Administratoren gelten. FSx FSx
**Anmerkung**
Wenn Sie ein VPC-Netzwerk verwenden ACLs, müssen Sie auch ausgehenden Datenverkehr auf dynamischen Ports (49152-65535) von Ihrem Dateisystem aus zulassen.
**Wichtig**
Während Amazon VPC-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, ACLs erfordern die meisten Windows-Firewalls und VPC-Netzwerke, dass Ports in beide Richtungen geöffnet sind.
## Berechtigungen für das Dienstkonto
Sie benötigen ein Dienstkonto in Ihrem selbstverwalteten Microsoft Active Directory mit delegierten Berechtigungen, um Computerobjekte mit Ihrer selbstverwalteten Active Directory-Domäne zu verbinden. Ein *Dienstkonto* ist ein Benutzerkonto in Ihrem selbstverwalteten Active Directory, dem bestimmte Aufgaben delegiert wurden.
Im Folgenden finden Sie die Mindestberechtigungen, die an das FSx Amazon-Servicekonto in der Organisationseinheit delegiert werden müssen, zu der Sie das Dateisystem hinzufügen.
+ Wenn Sie *Delegate Control* in der MMC Active Directory-Benutzer und -Computer verwenden:
+ Zurücksetzen von Passwörtern
+ Kontoeinschränkungen beim Lesen und Schreiben
+ Das Schreiben in den DNS-Hostnamen wurde validiert
+ Das Schreiben in den Dienstprinzipalnamen wurde validiert
+ Wenn Sie die *erweiterten Funktionen* in der MMC Active Directory-Benutzer und -Computer verwenden:
+ Berechtigungen ändern
+ Erstellen von Computerobjekten
+ Computerobjekte löschen
Weitere Informationen finden Sie in der Microsoft Windows Server-Dokumentation zum Thema [Fehler: Zugriff wird verweigert, wenn Benutzer ohne Administratorrechte, denen die Steuerung delegiert wurde, versuchen, Computer mit einem Domänencontroller zu verbinden](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con).
Weitere Informationen zum Festlegen der erforderlichen Berechtigungen finden Sie unter. [Delegieren von Berechtigungen an das FSx Amazon-Servicekonto oder die Amazon-Servicegruppe](assign-permissions-to-service-account.md)
## Bewährte Methoden bei der Verwendung eines selbstverwalteten Active Directorys
**Topics**
+ [Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager-windows)
Wir empfehlen Ihnen, diese bewährten Methoden zu befolgen, wenn Sie ein Amazon FSx for Windows File Server-Dateisystem mit Ihrem selbstverwalteten Microsoft Active Directory verbinden. Diese bewährten Methoden helfen Ihnen dabei, die kontinuierliche, ununterbrochene Verfügbarkeit Ihres Dateisystems aufrechtzuerhalten.
**Verwenden Sie ein separates Servicekonto für Amazon FSx**
Verwenden Sie ein separates Servicekonto, um Amazon die [erforderlichen Rechte](#service-account-prereqs) zur vollständigen Verwaltung von Dateisystemen FSx zu delegieren, die mit Ihrem selbstverwalteten Active Directory verknüpft sind. Wir empfehlen nicht, die **Domain-Admins** für diesen Zweck zu verwenden.
**Verwenden Sie eine Active Directory-Gruppe**
Verwenden Sie eine Active Directory-Gruppe, um die mit dem FSx Amazon-Servicekonto verknüpften Active Directory-Berechtigungen und -Konfigurationen zu verwalten.
**Trennen Sie die Organisationseinheit (OU)**
Um das Auffinden und Verwalten Ihrer FSx Amazon-Computerobjekte zu erleichtern, empfehlen wir Ihnen, die Organisationseinheit (OU), die Sie für Ihre Dateisysteme FSx für Windows File Server verwenden, von anderen Domain-Controllern zu trennen.
**Behalten Sie die Active Directory-Konfiguration bei up-to-date**
Es ist unbedingt erforderlich, dass Sie die Active Directory-Konfiguration Ihres Dateisystems up-to-date bei allen Änderungen beibehalten. Wenn Ihr selbstverwaltetes Active Directory beispielsweise eine zeitbasierte Kennwortrücksetzrichtlinie verwendet, stellen Sie sicher, dass Sie das Kennwort für das Dienstkonto in Ihrem Dateisystem aktualisieren, sobald das Kennwort zurückgesetzt wurde. Weitere Informationen finden Sie unter [Aktualisierung einer selbstverwalteten Active Directory-Konfiguration](update-self-ad-config.md).
**Das FSx Amazon-Servicekonto ändern**
Wenn Sie Ihr Dateisystem mit einem neuen Dienstkonto aktualisieren, muss es über die erforderlichen Berechtigungen und Privilegien verfügen, um Ihrem Active Directory beizutreten, und es muss **über Vollzugriff** auf die vorhandenen Computerobjekte verfügen, die dem Dateisystem zugeordnet sind. Weitere Informationen finden Sie unter [Das FSx Amazon-Servicekonto ändern](changing-ad-service-account.md).
**Ordnen Sie Subnetze einem einzelnen Microsoft Active Directory-Standort zu**
Wenn Ihre Active Directory-Umgebung über eine große Anzahl von Domain-Controllern verfügt, verwenden Sie **Active Directory-Standorte und -Dienste**, um die von Ihren FSx Amazon-Dateisystemen verwendeten Subnetze einem einzigen Active Directory-Standort mit höchster Verfügbarkeit und Zuverlässigkeit zuzuweisen. Stellen Sie sicher, dass die VPC-Sicherheitsgruppe, die VPC-Netzwerk-ACL, die Windows-Firewallregeln auf Ihrer und alle anderen Netzwerkrouting-Kontrollen DCs, die Sie in Ihrer Active Directory-Infrastruktur haben, die Kommunikation von Amazon FSx über die erforderlichen Ports zulassen. Auf diese Weise kann Windows zu anderen Domänencontrollern zurückkehren, wenn es den zugewiesenen Active Directory-Standort nicht verwenden kann. Weitere Informationen finden Sie unter [Zugriffskontrolle für Dateisysteme mit Amazon VPC](limit-access-security-groups.md).
**Verwenden Sie Sicherheitsgruppenregeln, um den Datenverkehr zu begrenzen**
Verwenden Sie Sicherheitsgruppenregeln, um das Prinzip der geringsten Rechte in Ihrer Virtual Private Cloud (VPC) zu implementieren. Sie können die Art des eingehenden und ausgehenden Netzwerkverkehrs, der für Ihre Datei zulässig ist, mithilfe von VPC-Sicherheitsgruppenregeln einschränken. Wir empfehlen beispielsweise, nur ausgehenden Datenverkehr zu Ihren selbst verwalteten Active Directory-Domänencontrollern oder innerhalb des von Ihnen verwendeten Subnetzes oder der Sicherheitsgruppe zuzulassen. Weitere Informationen finden Sie unter [Zugriffskontrolle für Dateisysteme mit Amazon VPC](limit-access-security-groups.md).
**Verschieben Sie keine von Amazon erstellten Computerobjekte FSx**
Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.
**Überprüfen Sie Ihre Active Directory-Konfiguration**
Bevor Sie versuchen, ein Dateisystem FSx für Windows File Server mit Ihrem Active Directory zu verbinden, empfehlen wir Ihnen dringend, Ihre Active Directory-Konfiguration mit dem [Amazon FSx Active Directory Validation Tool](validate-ad-config.md) zu überprüfen.
### Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager
Sie können AWS Secrets Manager die Anmeldeinformationen für Ihr Microsoft Active Directory-Konto für den Domänenbeitrittsdienst sicher speichern und verwalten. Durch diesen Ansatz entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen im Klartext im Anwendungscode oder in Konfigurationsdateien zu speichern, wodurch Ihr Sicherheitsstatus gestärkt wird.
Sie können auch IAM-Richtlinien konfigurieren, um den Zugriff auf Ihre Geheimnisse zu verwalten, und automatische Rotationsrichtlinien für Ihre Passwörter einrichten.
#### Speichern Sie die Active Directory-Anmeldeinformationen in AWS Secrets Manager (Konsole)
##### Schritt 1: Erstellen Sie einen KMS-Schlüssel
Erstellen Sie einen KMS-Schlüssel, um Ihre Active Directory-Anmeldeinformationen in Secrets Manager zu verschlüsseln und zu entschlüsseln.
**So erstellen Sie einen Schlüssel**
**Anmerkung**
Erstellen Sie für den **Verschlüsselungsschlüssel** einen neuen Schlüssel und verwenden Sie nicht den AWS Standard-KMS-Schlüssel. Stellen Sie sicher, dass Sie das AWS KMS key in derselben Region erstellen, die das Dateisystem enthält, das Sie Ihrem Active Directory hinzufügen möchten.
1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com /kms.
1. Klicken Sie auf **Create key**.
1. Wählen Sie für **Schlüsseltyp** **Symmetrisch** aus.
1. Wählen Sie für **Schlüsselnutzung** die Option **Verschlüsseln und Entschlüsseln** aus.
1. Gehen Sie für **erweiterte Optionen** wie folgt vor:
1. Wählen Sie unter **Schlüsselmaterialursprung** **KMS** aus.
1. **Wählen Sie für **Regionalität** die Option **Single-Region-Schlüssel und dann** Weiter aus.**
1. Wählen Sie **Weiter** aus.
1. Geben Sie für **Alias** einen Namen für den KMS-Schlüssel an.
1. (Optional) Geben Sie unter **Beschreibung** eine Beschreibung des KMS-Schlüssels an.
1. **(Optional) Geben Sie für **Tags** ein Tag für den KMS-Schlüssel ein und wählen Sie Weiter aus.**
1. (Optional) Geben Sie für **Schlüsseladministratoren** die IAM-Benutzer und -Rollen an, die zur Verwaltung dieses Schlüssels berechtigt sind.
1. Lassen Sie für das **Löschen von Schlüsseln** das Kontrollkästchen **Schlüsseladministratoren das Löschen dieses Schlüssels erlauben** aktiviert und wählen Sie **Weiter**.
1. (Optional) Geben Sie für **Key-Benutzer** die IAM-Benutzer und -Rollen an, die berechtigt sind, diesen Schlüssel bei kryptografischen Vorgängen zu verwenden. Wählen Sie **Weiter** aus.
1. Wählen Sie unter **Schlüsselrichtlinie** die Option **Bearbeiten** aus und fügen Sie der **Richtlinienerklärung** Folgendes hinzu, damit Amazon FSx den KMS-Schlüssel verwenden kann, und wählen Sie **Weiter**. Stellen Sie sicher, dass Sie das durch *us-west-2* den AWS-Region Ort ersetzen, an dem das Dateisystem bereitgestellt wird*123456789012*, und durch Ihre AWS-Konto ID.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
```
1. Wählen Sie **Finish** (Abschließen).
**Anmerkung**
Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die `aws:SourceArn` Felder `Resource` und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.
##### Schritt 2: Erstellen Sie ein Geheimnis AWS Secrets Manager
**So erstellen Sie ein Secret**
1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).
1. Als **Secret-Typ** wählen Sie **Anderer Secret-Typ** aus.
1. Gehen Sie bei **Schlüssel/Wert-Paaren** wie folgt vor, um Ihre beiden Schlüssel hinzuzufügen:
1. Geben Sie als ersten Schlüssel `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` ein.
1. Geben Sie als Wert für den ersten Schlüssel nur den Benutzernamen (ohne das Domain-Präfix) des AD-Benutzers ein.
1. Geben Sie als zweiten Schlüssel `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` ein.
1. Geben Sie als Wert des zweiten Schlüssels das Passwort ein, das Sie für den AD-Benutzer in Ihrer Domain erstellt haben.
1. Geben Sie **unter Verschlüsselungsschlüssel** den ARN des KMS-Schlüssels ein, den Sie in einem vorherigen Schritt erstellt haben, und wählen Sie **Weiter**.
1. Geben Sie als **Secret-Name** einen aussagekräftigen Namen ein, anhand dessen Sie das Secret später leichter finden können.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für den Secret-Namen ein.
1. Wählen Sie für **die Ressourcenberechtigung** die Option **Bearbeiten** aus.
Fügen Sie der Berechtigungsrichtlinie die folgende Richtlinie hinzu, damit Amazon FSx das Geheimnis verwenden kann, und wählen Sie dann **Weiter** aus. Stellen Sie sicher, dass Sie das durch *us-west-2* den AWS-Region Ort ersetzen, an dem das Dateisystem bereitgestellt wird*123456789012*, und durch Ihre AWS-Konto ID.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
]
}
```
**Anmerkung**
Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die `aws:SourceArn` Felder `Resource` und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.
1. (Optional) Sie können Secrets Manager so konfigurieren, dass Ihre Anmeldeinformationen automatisch rotiert werden. Wählen Sie **Weiter** aus.
1. Wählen Sie **Finish** (Abschließen).
#### Speichern Sie Active Directory-Anmeldeinformationen in AWS Secrets Manager (CLI)
##### Schritt 1: Erstellen Sie einen KMS-Schlüssel
Erstellen Sie einen KMS-Schlüssel, um Ihre Active Directory-Anmeldeinformationen in Secrets Manager zu verschlüsseln und zu entschlüsseln.
[Verwenden Sie den AWS CLI Befehl create-key, um einen KMS-Schlüssel zu erstellen.](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)
Legen Sie in diesem Befehl den `--policy` Parameter fest, um die Schlüsselrichtlinie anzugeben, die die Berechtigungen für den KMS-Schlüssel definiert. Die Richtlinie muss Folgendes beinhalten:
+ Der Service Principal für Amazon FSx, das ist`fsx.amazonaws.com`.
+ Erforderliche KMS-Aktionen: `kms:Decrypt` und`kms:DescribeKey`.
+ Ressourcen-ARN-Muster für Ihr AWS-Region AND-Konto.
+ Bedingungsschlüssel, die die Verwendung von Schlüsseln einschränken:
+ `kms:ViaService`um sicherzustellen, dass Anfragen über Secrets Manager eingehen.
+ `aws:SourceAccount`um es auf Ihr Konto zu beschränken.
+ `aws:SourceArn`um sich auf bestimmte FSx Amazon-Dateisysteme zu beschränken.
Im folgenden Beispiel wird ein KMS-Schlüssel für die symmetrische Verschlüsselung mit einer Richtlinie erstellt, die es Amazon ermöglicht, den Schlüssel für Entschlüsselungs- und Schlüsselbeschreibungsvorgänge FSx zu verwenden. Der Befehl ruft automatisch Ihre AWS-Konto ID und Region ab und konfiguriert dann die Schlüsselrichtlinie mit diesen Werten, um eine ordnungsgemäße Zugriffskontrolle zwischen Amazon FSx, Secrets Manager und dem KMS-Schlüssel sicherzustellen. Stellen Sie sicher, dass sich Ihre AWS CLI Umgebung in derselben Region befindet wie das Dateisystem, das dem Active Directory beitreten wird.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**Anmerkung**
Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die `aws:SourceArn` Felder `Resource` und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.
##### Schritt 2: Erstellen Sie ein Geheimnis AWS Secrets Manager
Um ein Geheimnis für Amazon für den Zugriff auf Ihr Active Directory FSx zu erstellen, verwenden Sie den AWS CLI Befehl [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) und legen Sie die folgenden Parameter fest:
+ `--name`: Die Kennung für Ihr Geheimnis.
+ `--description`: Eine Beschreibung des Zwecks des Geheimnisses.
+ `--kms-key-id`: Der ARN des KMS-Schlüssels, den Sie in [Schritt 1](#create-kms-key-windows-cli) für die Verschlüsselung des geheimen Schlüssels im Ruhezustand erstellt haben.
+ `--secret-string`: Eine JSON-Zeichenfolge, die Ihre AD-Anmeldeinformationen im folgenden Format enthält:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: Der Benutzername Ihres AD-Dienstkontos ohne das Domainpräfix, z. `svc-fsx` B. Geben **Sie nicht** das Domänenpräfix an, z. `CORP\svc-fsx` B.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: Das Passwort Ihres AD-Dienstkontos.
+ `--region`: Der AWS-Region Ort, an dem Ihr FSx Amazon-Dateisystem erstellt wird. Dies ist standardmäßig auf Ihre konfigurierte Region eingestellt, falls dies nicht festgelegt `AWS_REGION` ist.
Nachdem Sie das Geheimnis erstellt haben, fügen Sie mit dem [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)Befehl eine Ressourcenrichtlinie hinzu und legen Sie die folgenden Parameter fest:
+ `--secret-id`: Der Name oder ARN des Secrets, an das die Richtlinie angehängt werden soll. Das folgende Beispiel verwendet **FSxSecret** als`--secret-id`.
+ `--region`: Das Gleiche AWS-Region wie dein Geheimnis.
+ `--resource-policy`: Ein JSON-Richtliniendokument, das Amazon die FSx Erlaubnis erteilt, auf das Geheimnis zuzugreifen. Die Richtlinie muss Folgendes beinhalten:
+ Der Service Principal für Amazon FSx, das ist**fsx.amazonaws.com**.
+ Erforderliche Secrets Manager Manager-Aktionen: `secretsmanager:GetSecretValue` und`secretsmanager:DescribeSecret`.
+ Ressourcen-ARN-Muster für Ihr AWS-Region AND-Konto.
+ Die folgenden Bedingungsschlüssel, die den Zugriff einschränken:
+ `aws:SourceAccount`um sich auf Ihr Konto zu beschränken.
+ `aws:SourceArn`um sich auf bestimmte FSx Amazon-Dateisysteme zu beschränken.
Im folgenden Beispiel wird ein Geheimnis mit dem erforderlichen Format erstellt und eine Ressourcenrichtlinie angehängt, die es Amazon ermöglicht, das Geheimnis FSx zu verwenden. In diesem Beispiel werden Ihre AWS-Konto ID und Region automatisch abgerufen und anschließend die Ressourcenrichtlinie mit diesen Werten konfiguriert, um eine ordnungsgemäße Zugriffskontrolle zwischen Amazon FSx und dem Secret sicherzustellen.
Stellen Sie sicher, dass Sie das `KMS_KEY_ARN` durch den ARN aus dem Schlüssel, den Sie in [Schritt 1](#create-kms-key-windows-cli) erstellt haben`CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`, und `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` durch die Anmeldeinformationen Ihres Active Directory-Dienstkontos ersetzen. Stellen Sie außerdem sicher, dass Ihre AWS CLI Umgebung für dieselbe Region konfiguriert ist wie das Dateisystem, das dem Active Directory beitreten wird.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**Anmerkung**
Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die `aws:SourceArn` Felder `Resource` und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.
## FSx Amazon-Servicekonto
FSx Amazon-Dateisysteme, die mit einem selbstverwalteten Active Directory verknüpft sind, benötigen während ihrer gesamten Lebensdauer ein gültiges Servicekonto. Amazon FSx verwendet das Servicekonto, um Ihre Dateisysteme vollständig zu verwalten und administrative Aufgaben auszuführen, die das Trennen und Wiederverbinden von Computerobjekten mit Ihrer Active Directory-Domain erfordern. Zu diesen Aufgaben gehören das Ersetzen eines ausgefallenen Dateiservers und das Patchen der Microsoft Windows Server-Software. FSx Damit Amazon diese Aufgaben ausführen kann, muss das FSx Amazon-Servicekonto mindestens über die Berechtigungen verfügen, die unter An Amazon [Berechtigungen für das Dienstkonto](#service-account-prereqs) delegiert beschrieben sind.
Mitglieder der Gruppe **Domain-Admins** verfügen zwar über ausreichende Rechte, um diese Aufgaben auszuführen, wir empfehlen jedoch dringend, ein separates Servicekonto zu verwenden, um die erforderlichen Rechte an Amazon zu delegieren. FSx
Weitere Informationen zum Delegieren von Rechten mithilfe der Funktionen **Delegate Control** oder **Advanced Features** im MMC-Snap-In **Active Directory-Benutzer und -Computer** finden Sie unter. [Delegieren von Berechtigungen an das FSx Amazon-Servicekonto oder die Amazon-Servicegruppe](assign-permissions-to-service-account.md)
Wenn Sie Ihr Dateisystem mit einem neuen Dienstkonto aktualisieren, muss das neue Dienstkonto über die erforderlichen Berechtigungen und Privilegien verfügen, um Ihrem Active Directory beizutreten, und es muss über **Vollzugriff** auf die vorhandenen Computerobjekte verfügen, die dem Dateisystem zugeordnet sind. Weitere Informationen finden Sie unter [Das FSx Amazon-Servicekonto ändern](changing-ad-service-account.md).
Wir empfehlen, die Anmeldeinformationen für Ihr Active Directory-Dienstkonto zu speichern, AWS Secrets Manager um die Sicherheit zu erhöhen. Dadurch entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen im Klartext zu speichern, und entspricht den bewährten Sicherheitsmethoden. Weitere Informationen finden Sie unter [Verwenden eines selbstverwalteten Microsoft Active Directory](#self-managed-AD).
# Delegieren von Berechtigungen an das FSx Amazon-Servicekonto oder die Amazon-Servicegruppe
Das FSx Amazon-Servicekonto oder die Administratorgruppe muss über die [erforderlichen Rechte](self-managed-AD.md#service-account-prereqs) verfügen, um FSx für Windows-Dateiserver-Dateisysteme Ihrer selbstverwalteten Active Directory-Domain beitreten zu können. Um diese Berechtigungen zu delegieren, können Sie entweder **Delegate Control** oder **Advanced Features** im Active Directory User and Computers MMC Snap-In verwenden, wie in den folgenden Verfahren beschrieben.
## **So weisen Sie Berechtigungen mithilfe von Delegate Control zu**
**Um einem Dienstkonto oder einer Gruppe mithilfe von **Delegate** Control Berechtigungen zuzuweisen**
1. Melden Sie sich bei Ihrem System als Domänenadministrator für Ihre Active Directory-Domäne an.
1. Öffnen Sie das MMC-Snap-In „**Active Directory-Benutzer und -Computer**“.
1. Erweitern Sie im Aufgabenbereich den Domänenknoten.
1. Suchen und öffnen Sie das Kontextmenü (mit der rechten Maustaste) für die Organisationseinheit, die Sie ändern möchten, und wählen Sie dann **Delegate Control** aus.
1. Wählen Sie auf der Seite **des Assistenten zum Delegieren der Steuerung** die Option **Weiter** aus.
1. Wählen Sie **Hinzufügen**, um den Namen Ihres FSx Amazon-Servicekontos oder Ihrer Gruppe hinzuzufügen, und wählen Sie dann **Weiter**.
1. Wählen Sie auf der Seite **Zu delegierende Aufgabe** die Option **Eine zu delegierende benutzerdefinierte Aufgabe erstellen** aus und klicken Sie auf **Weiter**.
1. Wählen Sie **Nur die folgenden Objekte im Ordner** und anschließend **Computerobjekte** aus.
1. Wählen Sie **Ausgewählte Objekte in diesem Ordner erstellen** und **Ausgewählte Objekte in diesem Ordner löschen**. Klicken Sie anschließend auf **Weiter**.
1. Wählen Sie unter **Berechtigungen** Folgendes aus:
+ **Passwort zurücksetzen**
+ **Kontoeinschränkungen beim Lesen und Schreiben**
+ **Das Schreiben in den DNS-Hostnamen wurde validiert**
+ **Das Schreiben in den Dienstprinzipalnamen wurde validiert**
1. Wählen Sie **Next** (Weiter) und danach **Finish** (Beenden).
1. Schließen Sie das MMC-Snap-In „**Active Directory-Benutzer und -Computer**“.
## **So weisen Sie Berechtigungen mithilfe der erweiterten Funktionen zu**
1. Melden Sie sich bei Ihrem System als Domänenadministrator für Ihre Active Directory-Domäne an.
1. Öffnen Sie das MMC-Snap-In „**Active Directory-Benutzer und -Computer**“.
1. Wählen Sie in der Menüleiste **Ansicht** aus und stellen Sie sicher, dass **Erweiterte Funktionen** aktiviert sind (ein Häkchen erscheint daneben, wenn die Funktion aktiviert ist).
1. Erweitern Sie im Aufgabenbereich den Domänenknoten.
1. Suchen Sie das Kontextmenü für die Organisationseinheit, die Sie ändern möchten, und öffnen Sie es (klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann **Eigenschaften** aus.
1. Wählen **Sie im Eigenschaftenbereich der Organisationseinheit** die Registerkarte **Sicherheit** aus.
1. Wählen Sie auf der Registerkarte **Sicherheit** die Option **Erweitert** aus. Wählen Sie dann **Hinzufügen** aus.
1. Wählen Sie auf der Seite **Permission Entry** die **Option Select a Principal** aus und geben Sie den Namen Ihres FSx Amazon-Servicekontos oder Ihrer Amazon-Gruppe ein. Wählen Sie für **Gilt für:** die Option **Dieses Objekt und alle abgeleiteten Computer** aus. Stellen Sie sicher, dass Folgendes ausgewählt ist:
+ **Berechtigungen ändern**
+ **Computerobjekte erstellen**
+ **Computerobjekte löschen**
1. Wählen Sie **Anwenden** und anschließend **OK** aus.
1. Schließen Sie das MMC-Snap-In „**Active Directory-Benutzer und -Computer**“.
# Überprüfen Sie Ihre Active Directory-Konfiguration
Bevor Sie ein Dateisystem FSx für Windows File Server erstellen, das mit Ihrem Active Directory verknüpft ist, empfehlen wir Ihnen, Ihre Active Directory-Konfiguration mit dem Amazon FSx Active Directory Validation Tool zu überprüfen. Beachten Sie, dass eine ausgehende Internetverbindung erforderlich ist, um die Active Directory-Konfiguration erfolgreich zu validieren.
**Um Ihre Active Directory-Konfiguration zu überprüfen**
1. Starten Sie eine Amazon EC2 Windows-Instance im selben Subnetz und mit denselben Amazon VPC-Sicherheitsgruppen, die Sie für Ihr FSx for Windows File Server Server-Dateisystem verwenden. Stellen Sie sicher, dass Ihre EC2-Instance über die erforderlichen IAM-Berechtigungen verfügt. `AmazonEC2ReadOnlyAccess` Sie können die Rollenberechtigungen für EC2-Instances mithilfe des IAM-Richtliniensimulators überprüfen. *Weitere Informationen finden Sie unter [Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) im IAM-Benutzerhandbuch.*
1. Verbinden Sie Ihre EC2-Windows-Instance mit Ihrem Active Directory. Weitere Informationen finden Sie unter [Manuelles Beitreten zu einer Windows-Instance](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html) im *AWS Directory Service Administratorhandbuch*.
1. Stellen Sie eine Verbindung zu Ihrer EC2- Instance her. Weitere Informationen finden Sie unter [Connecting to Your Windows Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
1. Öffnen Sie ein PowerShell Windows-Fenster (mit „**Als Administrator ausführen**“) auf der EC2-Instance.
Verwenden Sie den folgenden Testbefehl, um zu testen, ob das erforderliche Active Directory-Modul für Windows installiert PowerShell ist.
```
PS C:\> Import-Module ActiveDirectory
```
Wenn oben ein Fehler zurückgegeben wird, installieren Sie es mit dem folgenden Befehl.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. Laden Sie das Netzwerkvalidierungstool mit dem folgenden Befehl herunter.
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. Erweitern Sie die ZIP-Datei mit dem folgenden Befehl.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. Fügen Sie das `AmazonFSxADValidation` Modul zur aktuellen Sitzung hinzu.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. Stellen Sie die erforderlichen Parameter ein, indem Sie den folgenden Befehl durch Ihr ersetzen:
+ Active Directory-Domänenname () *DOMAINNAME.COM*
+ Bereiten Sie das `$Credential` Objekt mit einer der folgenden Optionen für das Dienstkontokennwort vor.
+ Verwenden Sie den folgenden Befehl, um das Anmeldeinformationsobjekt interaktiv zu generieren.
```
$Credential = Get-Credential
```
+ Verwenden Sie den folgenden Befehl, um das Anmeldeinformationsobjekt mithilfe einer AWS Secrets Manager Ressource zu generieren.
```
$Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
```
+ IP-Adressen des DNS-Servers (*IP\$1ADDRESS\$11*,*IP\$1ADDRESS\$12*)
+ Subnetz-ID (s) für Subnetze, in denen Sie Ihr FSx Amazon-Dateisystem erstellen möchten (*SUBNET\$11**SUBNET\$12*, zum Beispiel). `subnet-04431191671ac0d19`
```
PS C:\>
$FSxADValidationArgs = @{
# DNS root of ActiveDirectory domain
DomainDNSRoot = 'DOMAINNAME.COM'
# IP v4 addresses of DNS servers
DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')
# Subnet IDs for Amazon FSx file server(s)
SubnetIds = @('SUBNET_1', 'SUBNET_2')
Credential = $Credential
}
```
1. (Optional) Legen Sie die Organisationseinheit und die Gruppe der delegierten Administratoren fest und aktivieren Sie die Überprüfung der Dienstkontoberechtigungen DomainControllersMaxCount, indem Sie die Anweisungen in der mitgelieferten `README.md` Datei befolgen, bevor Sie das Validierungstool ausführen.
**Anmerkung**
Die `Domain Admins` Gruppe hat einen anderen Namen, wenn das Betriebssystem nicht auf Englisch ist. Die Gruppe ist beispielsweise `Administrateurs du domaine` in der französischen Betriebssystemversion benannt. Wenn Sie keinen Wert angeben, wird der `Domain Admins` Standardgruppenname verwendet und die Erstellung des Dateisystems schlägt fehl.
1. Führen Sie das Validierungstool mit diesem Befehl aus.
```
PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
```
1. Im Folgenden finden Sie ein Beispiel für ein erfolgreiches Testergebnis.
```
Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...
Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Das Folgende ist ein Beispiel für ein Testergebnis mit Fehlern.
```
Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...
Name DistinguishedName Site
---- ----------------- ----
10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Wenn Sie beim Ausführen des Validierungstools Warnungen oder Fehler erhalten, finden Sie weitere Informationen in der Anleitung zur Fehlerbehebung, die im Validierungstoolpaket enthalten ist (`TROUBLESHOOTING.md`) und[Problembehebung bei Amazon FSx](troubleshooting.md).
# Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden
Wenn Sie ein neues Dateisystem FSx für Windows File Server erstellen, können Sie die Microsoft Active Directory-Integration so konfigurieren, dass es mit Ihrer selbstverwalteten Microsoft Active Directory-Domäne verbunden wird. Geben Sie dazu die folgenden Informationen für Ihr Microsoft Active Directory an:
+ Der vollqualifizierte Domänenname (FQDN) Ihres lokalen Microsoft Active Directory-Verzeichnisses.
**Anmerkung**
Amazon unterstützt FSx derzeit keine Single Label Domain (SLD) -Domains.
+ Die IP-Adressen der DNS-Server für Ihre Domain.
+ Anmeldeinformationen für ein Active Directory-Dienstkonto, das Amazon FSx verwendet, um das Dateisystem mit Ihrer Domain zu verknüpfen. Sie können diese wie folgt angeben:
+ **Option 1**: AWS Secrets Manager geheimer ARN — Der geheime Schlüssel, der den Benutzernamen und das Passwort für ein Dienstkonto in Ihrer Active Directory-Domäne enthält. Weitere Informationen finden Sie unter [Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Option 2: Anmeldeinformationen** im Klartext-Format
+ **Benutzername des Dienstkontos** — Der Benutzername des Dienstkontos in Ihrem vorhandenen Microsoft Active Directory. Geben Sie kein Domänenpräfix oder -suffix an. Verwenden Sie zum `EXAMPLE\ADMIN` Beispiel nur `ADMIN` für.
+ **Passwort für das Dienstkonto** — Das Passwort für das Dienstkonto.
Optional können Sie auch Folgendes spezifizieren:
+ Eine bestimmte Organisationseinheit (OU) innerhalb der Domain, zu der Sie Ihr FSx Amazon-Dateisystem hinzufügen möchten.
+ Der Name der Domain-Gruppe, deren Mitgliedern Administratorrechte für das FSx Amazon-Dateisystem gewährt werden. Der von Ihnen angegebene Domänengruppenname muss in Ihrem Active Directory eindeutig sein.
Nachdem Sie diese Informationen angegeben haben, FSx verknüpft Amazon Ihr neues Dateisystem mit Ihrer selbstverwalteten Active Directory-Domain unter Verwendung des von Ihnen angegebenen Dienstkontos.
**Wichtig**
Amazon registriert DNS-Einträge für ein Dateisystem FSx nur, wenn die Active Directory-Domäne, zu der Sie es hinzufügen, Microsoft DNS als Standard-DNS verwendet. Wenn Sie DNS eines Drittanbieters verwenden, müssen Sie die DNS-Einträge für Ihre FSx Amazon-Dateisysteme manuell einrichten, nachdem Sie Ihr Dateisystem erstellt haben. Weitere Informationen zur Auswahl der richtigen IP-Adressen für das Dateisystem finden Sie unter[Abrufen der richtigen Dateisystem-IP-Adressen zur Verwendung für manuelle DNS-Einträge](file-system-ip-addresses-for-dns.md).
## Bevor Sie beginnen
Vergewissern Sie sich, dass Sie die [Voraussetzungen](self-managed-AD.md#self-manage-prereqs) Einzelheiten unter ausgefüllt haben[Verwenden eines selbstverwalteten Microsoft Active Directory](self-managed-AD.md).
## Um ein Dateisystem FSx für Windows File Server zu erstellen, das mit einem selbstverwalteten Active Directory (Konsole) verknüpft ist
1. Öffnen Sie die FSx Amazon-Konsole unter [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Klicken Sie auf dem Dashboard auf **Create file system (Dateisystem erstellen)**, um den Erstellungsassistenten für Dateisysteme zu starten.
1. Wählen Sie „**FSx Windows-Dateiserver**“ und anschließend „**Weiter**“. Die Seite **Create file system (Dateisystem erstellen)** wird angezeigt.
1. Geben Sie einen Namen für Ihr Dateisystem ein. Sie können maximal 256 Unicode-Buchstaben, Leerzeichen und Zahlen sowie die Sonderzeichen \$1 - = verwenden. \$1:/
1. Geben Sie **unter Speicherkapazität** die Speicherkapazität Ihres Dateisystems in GiB ein. Wenn Sie SSD-Speicher verwenden, geben Sie eine beliebige ganze Zahl im Bereich von 32 bis 65.536 ein. Wenn Sie Festplattenspeicher verwenden, geben Sie eine ganze Zahl im Bereich von 2.000 bis 65.536 ein. Sie können die Speicherkapazität jederzeit nach der Erstellung des Dateisystems nach Bedarf erhöhen. Weitere Informationen finden Sie unter [Verwaltung der Speicherkapazität](managing-storage-configuration.md#managing-storage-capacity).
1. Behalten Sie die **Durchsatzkapazität** auf ihrer Standardeinstellung. Die **Durchsatzkapazität** ist die konstante Geschwindigkeit, mit der der Dateiserver, der Ihr Dateisystem hostet, Daten bereitstellen kann. Die Einstellung „**Empfohlene Durchsatzkapazität**“ basiert auf der von Ihnen ausgewählten Speicherkapazität. Wenn Sie mehr als die empfohlene Durchsatzkapazität benötigen, wählen Sie **Durchsatzkapazität angeben** und wählen Sie dann einen Wert aus. Weitere Informationen finden Sie unter [FSx für die Leistung von Windows-DateiservernLeistung](performance.md).
Sie können die Durchsatzkapazität jederzeit nach der Erstellung des Dateisystems nach Bedarf ändern. Weitere Informationen finden Sie unter [Verwaltung der Durchsatzkapazität](managing-throughput-capacity.md).
1. Wählen Sie die VPC aus, die Sie Ihrem Dateisystem zuordnen möchten. Wählen Sie für diese Übung „Erste Schritte“ dieselbe VPC wie für Ihr Directory Service Verzeichnis und Ihre Amazon EC2 EC2-Instance.
1. **Wählen Sie einen beliebigen Wert für **Availability Zones und Subnet**.**
1. Für **VPC-Sicherheitsgruppen** ist die Standardsicherheitsgruppe für Ihre standardmäßige Amazon-VPC bereits zu Ihrem Dateisystem in der Konsole hinzugefügt. Bitte stellen Sie sicher, dass die Sicherheitsgruppe und das VPC-Netzwerk ACLs für die Subnetze, in denen Sie Ihr FSx Dateisystem erstellen, Datenverkehr auf den Ports und in den Anweisungen zulassen, die in der folgenden Abbildung dargestellt sind.
![\[FSx für die Portkonfigurationsanforderungen von Windows File Server für VPC-Sicherheitsgruppen und das Netzwerk ACLs für die Subnetze, in denen das Dateisystem erstellt wird.\]](http://docs.aws.amazon.com/de_de/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**Wichtig**
Für Single-AZ 2- und alle Multi-AZ-Dateisystembereitstellungen ist es erforderlich, ausgehenden Verkehr auf TCP-Port 9389 zuzulassen.
**Anmerkung**
Wenn Sie ein VPC-Netzwerk verwenden ACLs, müssen Sie auch ausgehenden Datenverkehr auf dynamischen Ports (49152-65535) von Ihrem Dateisystem aus zulassen. FSx
+ Regeln für ausgehenden Datenverkehr, die den gesamten Datenverkehr zu den IP-Adressen zulassen, die den DNS-Servern und Domänencontrollern für Ihre selbstverwaltete Microsoft Active Directory-Domäne zugeordnet sind. Weitere Informationen finden Sie in [der Dokumentation von Microsoft zur Konfiguration Ihrer Firewall für die Active Directory-Kommunikation](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts).
+ Stellen Sie sicher, dass diese Verkehrsregeln auch auf den Firewalls widergespiegelt werden, die für die einzelnen Active Directory-Domänencontroller, DNS-Server, FSx Clients und Administratoren gelten. FSx
**Anmerkung**
Wenn Sie Active Directory-Standorte definiert haben, müssen Sie sicherstellen, dass die Subnetze in der VPC, die Ihrem FSx Amazon-Dateisystem zugeordnet sind, an einem Active Directory-Standort definiert sind und dass keine Konflikte zwischen den Subnetzen in Ihrer VPC und den Subnetzen an Ihren anderen Standorten bestehen. Sie können diese Einstellungen mithilfe des MMC-Snap-Ins Active Directory-Standorte und -Dienste anzeigen und ändern.
**Wichtig**
Während Amazon VPC-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, ACLs erfordern die meisten Windows-Firewalls und VPC-Netzwerke, dass Ports in beide Richtungen geöffnet sind.
1. Wählen Sie für die **Windows-Authentifizierung** **Self-managed Microsoft Active Directory**.
1. Geben Sie einen Wert für **Vollqualifizierter Domänenname** für das selbstverwaltete Microsoft Active Directory-Verzeichnis ein.
**Anmerkung**
Der Domänenname darf nicht im Format Single Label Domain (SLD) vorliegen. Amazon unterstützt FSx derzeit keine SLD-Domains.
**Wichtig**
Für Single-AZ 2- und alle Multi-AZ-Dateisysteme darf der Active Directory-Domänenname 47 Zeichen nicht überschreiten.
1. Geben Sie einen Wert für **Organisationseinheit** für das selbstverwaltete Microsoft Active Directory-Verzeichnis ein.
**Anmerkung**
Stellen Sie sicher, dass das von Ihnen angegebene Dienstkonto über Berechtigungen verfügt, die an die OU delegiert wurden, die Sie hier angeben, oder an die Standard-OU, falls Sie keine angeben.
1. Geben Sie mindestens einen und nicht mehr als zwei Werte für **DNS-Server-IP-Adressen** für das selbstverwaltete Microsoft Active Directory-Verzeichnis ein.
1. **Anmeldeinformationen für das Dienstkonto** — Wählen Sie aus, wie Sie die Anmeldeinformationen für Ihr Dienstkonto angeben möchten:
+ **Option 1**: AWS Secrets Manager geheimer ARN — Der geheime Schlüssel, der den Benutzernamen und das Passwort für ein Dienstkonto in Ihrer Active Directory-Domäne enthält. Weitere Informationen finden Sie unter [Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Option 2: Anmeldeinformationen** im Klartext-Format
+ **Benutzername des Dienstkontos** — Der Benutzername des Dienstkontos in Ihrem vorhandenen Microsoft Active Directory. Geben Sie kein Domänenpräfix oder -suffix an. Verwenden Sie zum `EXAMPLE\ADMIN` Beispiel nur `ADMIN` für.
+ **Passwort für das Dienstkonto** — Das Passwort für das Dienstkonto.
+ **Passwort bestätigen** — Das Passwort für das Dienstkonto.
**Wichtig**
Geben Sie bei der Eingabe des **Benutzernamens für das Dienstkonto** KEIN Domänenpräfix (`corp.com\ServiceAcct``ServiceAcct@corp.com`) oder Domänensuffix () an.
Verwenden Sie NICHT den Distinguished Name (DN) bei der Eingabe des **Benutzernamens (`CN=ServiceAcct,OU=example,DC=corp,DC=com`) für das Dienstkonto**.
1. Geben Sie für Gruppe **delegierter Dateisystemadministratoren** die `Domain Admins` Gruppe oder eine benutzerdefinierte Gruppe delegierter Dateisystemadministratoren an (falls Sie eine erstellt haben). Die von Ihnen angegebene Gruppe sollte über die delegierte Befugnis verfügen, administrative Aufgaben in Ihrem Dateisystem auszuführen. Wenn Sie keinen Wert angeben, FSx verwendet Amazon die `Domain Admins` Gruppe Builtin. Beachten Sie, dass Amazon FSx nicht unterstützt, dass sich eine `Delegated file system administrators group` (entweder die von Ihnen angegebene `Domain Admins` Gruppe oder eine benutzerdefinierte Gruppe) im integrierten Container befindet.
**Wichtig**
Wenn Sie keine **Gruppe für delegierte Dateisystemadministratoren** angeben, FSx versucht Amazon standardmäßig, die integrierte `Domain Admins` Gruppe in Ihrer Active Directory-Domain zu verwenden. Wenn der Name dieser integrierten Gruppe geändert wurde oder wenn Sie eine andere Gruppe für die Domänenverwaltung verwenden, müssen Sie diesen Namen für die Gruppe hier angeben.
**Wichtig**
Geben Sie KEIN Domänenpräfix (corp.com\$1 FSx Admins) oder ein Domänensuffix (FSxAdmins@corp.com) an, wenn Sie den Gruppennamenparameter angeben.
Verwenden Sie NICHT den Distinguished Name (DN) für die Gruppe. Ein Beispiel für einen eindeutigen Namen ist CN= FSx Admins, OU=Example, DC=Corp, DC=com.
## Um ein Dateisystem FSx für Windows File Server zu erstellen, das mit einem selbstverwalteten Active Directory verknüpft ist ()AWS CLI
Im folgenden Beispiel wird ein Dateisystem FSx für Windows File Server mit einem `SelfManagedActiveDirectoryConfiguration` in der `us-east-2` Availability Zone erstellt.
```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```
**Wichtig**
Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.
# Abrufen der richtigen Dateisystem-IP-Adressen zur Verwendung für manuelle DNS-Einträge
Amazon registriert DNS-Einträge für ein Dateisystem FSx nur, wenn Sie Microsoft DNS als Standard-DNS-Service verwenden. Wenn Sie DNS eines Drittanbieters verwenden, müssen Sie DNS-Einträge für Ihre FSx Amazon-Dateisysteme manuell einrichten. In diesem Abschnitt wird beschrieben, wie Sie die richtigen Dateisystem-IP-Adressen erhalten, die Sie verwenden können, wenn Sie das Dateisystem manuell zu Ihrem DNS hinzufügen müssen. Beachten Sie, dass sich die IP-Adressen eines einmal erstellten Dateisystems erst ändern, wenn das Dateisystem gelöscht wird.
**Wie erhält man Dateisystem-IP-Adressen, die für DNS-A-Einträge verwendet werden können**
1. Wählen Sie im das [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)Dateisystem aus, dessen IP-Adresse Sie abrufen möchten, um die Seite mit den Dateisystemdetails anzuzeigen.
1. Führen Sie auf der Registerkarte **Netzwerk und Sicherheit** einen der folgenden Schritte aus:
+ Für Single-AZ 1-Dateisysteme:
+ **Wählen Sie im Bereich **Subnet** die elastic network interface aus, die unter Netzwerkschnittstelle angezeigt wird, um die Seite **Netzwerkschnittstellen** in der Amazon EC2 EC2-Konsole zu öffnen.**
+ Die IP-Adresse für das zu verwendende Single-AZ 1-Dateisystem wird in der Spalte **Primäre private IPv4 ** IP angezeigt.
+ Für Single-AZ 2- oder Multi-AZ-Dateisysteme:
+ **Wählen Sie im Bereich **Bevorzugtes Subnetz** die elastic network interface aus, die unter Netzwerkschnittstelle angezeigt wird, um die Seite **Netzwerkschnittstellen** in der Amazon EC2 EC2-Konsole zu öffnen.**
+ Die IP-Adresse für das bevorzugte zu verwendende Subnetz wird in der Spalte **Sekundäre private IPv4 ** IP angezeigt.
+ Wählen Sie im Amazon FSx **Standby-Subnetz-Panel die Elastic Network-Schnittstelle** aus, die unter **Netzwerkschnittstelle** angezeigt wird, um die Seite **Netzwerkschnittstellen** in der Amazon EC2 EC2-Konsole zu öffnen.
+ Die IP-Adresse für das zu verwendende Standby-Subnetz wird in der Spalte **Sekundäre private IPv4 ** IP angezeigt.
**Anmerkung**
Wenn Sie DNS-Einträge für Ihren Windows Remote PowerShell Endpoint für Single-AZ 2- oder Multi-AZ-Dateisysteme einrichten müssen, sollten Sie die **primäre private IPv4 Adresse** für die elastic network interface für Ihr **bevorzugtes** Subnetz verwenden. Weitere Informationen finden Sie unter [Verwenden der Amazon FSx CLI für PowerShell](administering-file-systems.md#remote-pwrshell).
# Aktualisierung einer selbstverwalteten Active Directory-Konfiguration
Um die kontinuierliche, ununterbrochene Verfügbarkeit Ihres FSx Amazon-Dateisystems sicherzustellen, müssen Sie die Active Directory-Konfiguration des Dateisystems aktualisieren, wenn sich eine der folgenden Active Directory-Eigenschaften ändert:
+ Die IP-Adressen des DNS-Servers
+ Die Anmeldeinformationen für das Dienstkonto des selbstverwalteten Active Directory
Wenn Sie die selbstverwaltete Active Directory-Konfiguration für Ihr FSx Amazon-Dateisystem aktualisieren, wechselt der Status Ihres Dateisystems von **Verfügbar** zu **Aktualisierung**, während das Update angewendet wird. Stellen Sie sicher, dass der Status nach der Installation des Updates wieder auf **Verfügbar** wechselt. Beachten Sie, dass es bis zu mehreren Minuten dauern kann, bis das Update abgeschlossen ist. Weitere Informationen finden Sie unter [Überwachung von selbstverwalteten Active Directory-Updates](monitor-self-ad-update.md).
Wenn ein Problem mit der aktualisierten selbstverwalteten Active Directory-Konfiguration auftritt, wechselt der Dateisystemstatus zu **Fehlkonfiguriert**. In diesem Status werden neben der Dateisystembeschreibung in der Konsole, der API und der CLI eine Fehlermeldung und empfohlene Korrekturmaßnahmen angezeigt. **Nachdem Sie die empfohlenen Korrekturmaßnahmen ergriffen haben, stellen Sie sicher, dass sich der Status Ihres Dateisystems irgendwann auf Verfügbar ändert.**
**Wichtig**
Wenn Sie Ihr Dateisystem mit einem neuen Dienstkonto aktualisieren, stellen Sie sicher, dass das neue Dienstkonto über **Vollzugriff** auf die vorhandenen Computerobjekte verfügt, die dem Dateisystem zugeordnet sind.
Informationen zur Behebung möglicher Probleme im Zusammenhang mit selbstverwalteten Active Directory-Konfigurationen finden Sie unter[Das Dateisystem befindet sich in einem falsch konfigurierten Zustand](misconfigured-ad-config.md).
Sie können die AWS-Managementkonsole FSx Amazon-API oder verwenden, AWS CLI um die Anmeldeinformationen für das Dienstkonto und die DNS-Server-IP-Adressen der selbstverwalteten Active Directory-Konfiguration eines Dateisystems zu aktualisieren. Sie können den Fortschritt eines selbstverwalteten Active Directory-Konfigurationsupdates jederzeit mithilfe von CLI und API verfolgen. AWS-Managementkonsole Weitere Informationen finden Sie unter [Überwachung von selbstverwalteten Active Directory-Updates](monitor-self-ad-update.md).
**So aktualisieren Sie die selbstverwaltete Active Directory-Konfiguration (Konsole)**
1. Öffnen Sie die FSx Amazon-Konsole unter [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Navigieren Sie zu **Dateisysteme** und wählen Sie das Windows-Dateisystem aus, für das Sie die selbstverwaltete Active Directory-Konfiguration aktualisieren möchten.
1. Wählen Sie dann auf der Registerkarte **Netzwerk und Sicherheit** die Option **Update** für die **IP-Adressen des DNS-Servers** oder für den Benutzernamen des Dienstkontos aus, je nachdem, welche Active Directory-Eigenschaften Sie aktualisieren.
1. Geben Sie die neuen IP-Adressen des DNS-Servers oder die neuen Anmeldeinformationen für das Dienstkonto (Benutzername und Passwort) oder den geheimen ARN in das angezeigte Dialogfeld ein. Sie können es verwenden AWS Secrets Manager , um Ihre Anmeldeinformationen zu speichern. Weitere Informationen finden Sie unter [Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
1. Wählen Sie **Update**, um das Active Directory-Konfigurationsupdate zu starten.
Sie können [den Aktualisierungsfortschritt mit dem AWS-Managementkonsole oder dem überwachen](monitor-self-ad-update.md) AWS CLI.
**So aktualisieren Sie die selbstverwaltete Active Directory-Konfiguration (CLI)**
+ Verwenden Sie den Befehl, um die selbstverwaltete Active Directory-Konfiguration eines Dateisystems FSx für Windows File Server zu aktualisieren. AWS CLI [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) Legen Sie die folgenden Parameter fest:
+ `--file-system-id`auf die ID des Dateisystems, das Sie aktualisieren.
+ `UserName`der neue Benutzername für das selbstverwaltete Active Directory-Dienstkonto.
+ `Password`das neue Passwort für das selbstverwaltete Active Directory-Dienstkonto.
+ `DomainJoinServiceAccountSecret`das AWS Secrets Manager Geheimnis, das den Benutzernamen und das Passwort für ein Dienstkonto in Ihrer Active Directory-Domäne enthält
**Anmerkung**
Sie können nicht beides username/password und ein geheimes Dienstkonto für den Domänenbeitritt angeben, um eine Verbindung zu Ihrem Active Directory herzustellen. Geben Sie nur einen Satz von Anmeldeinformationen an.
+ `DnsIps`die IP-Adressen für die selbstverwalteten Active Directory-DNS-Server.
```
aws fsx update-file-system --file-system-id fs-0123456789abcdef0 \
--windows-configuration 'SelfManagedActiveDirectoryConfiguration={UserName=username,Password=password,\
DnsIps=[192.0.2.0,192.0.2.24]}'
```
Wenn die Aktualisierungsaktion erfolgreich ist, sendet der Dienst eine HTTP 200-Antwort zurück. Das `AdminstrativeActions` Objekt in der Antwort beschreibt die Anfrage und ihren Status.
# Das FSx Amazon-Servicekonto ändern
Wenn Sie Ihr Dateisystem mit einem neuen Servicekonto aktualisieren, muss das neue Servicekonto über die erforderlichen Berechtigungen und Privilegien verfügen, um Ihrem Active Directory beizutreten, und es muss über **Vollzugriff** auf die vorhandenen Computerobjekte verfügen, die dem Dateisystem zugeordnet sind. Stellen Sie außerdem sicher, dass das neue Dienstkonto zu den vertrauenswürdigen Konten gehört, wenn die **Gruppenrichtlinieneinstellung** **Domänencontroller: Wiederverwendung von Computerkonten beim Domänenbeitritt zulassen** aktiviert ist.
Es wird dringend empfohlen, eine Active Directory-Gruppe zu verwenden, um Active Directory-Berechtigungen und -Konfigurationen für Dienstkonten zu verwalten.
Wenn Sie das Servicekonto für Amazon ändern FSx, stellen Sie sicher, dass die Servicekonten die folgenden Einstellungen haben:
+ Das neue Dienstkonto (oder die Active Directory-Gruppe, zu der es gehört) verfügt über **Vollzugriff** auf die vorhandenen Computerobjekte, die dem Dateisystem zugeordnet sind.
+ Das neue und das vorherige Dienstkonto (oder die Active Directory-Gruppe, zu der sie gehören) sind Teil der vertrauenswürdigen Konten (oder der vertrauenswürdigen Active Directory-Gruppe) mit dem **Domänencontroller: Die Gruppenrichtlinieneinstellung „Wiederverwendung von Computerkonten beim Domänenbeitritt zulassen**“ ist auf allen Domänencontrollern im Active Directory aktiviert.
Wenn die Dienstkonten diese Anforderungen nicht erfüllen, können die folgenden Bedingungen eintreten:
+ Bei Single-AZ-Dateisystemen könnte das Dateisystem zu **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)** werden.
+ Bei Multi-AZ-Dateisystemen könnte das Dateisystem **[FEHLKONFIGURIERT werden und der Endpunktname könnte sich ändern](administering-file-systems.md#file-system-lifecycle-states)**. RemotePowerShell
## Konfiguration der Gruppenrichtlinie eines Domänencontrollers
Das folgende [von Microsoft empfohlene Verfahren](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action) beschreibt, wie die Domänencontroller-Gruppenrichtlinie zur Konfiguration der Zulassungslistenrichtlinie verwendet wird.
**So konfigurieren Sie die Richtlinie für die Zulassungsliste eines Domänencontrollers**
1. Installieren Sie die Microsoft Windows-Updates vom 12. September 2023 oder später auf allen Mitgliedscomputern und Domänencontrollern in Ihrem selbstverwalteten Microsoft Active Directory.
1. Konfigurieren Sie in einer neuen oder vorhandenen Gruppenrichtlinie, die für alle Domänencontroller in Ihrem selbstverwalteten Active Directory gilt, die folgenden Einstellungen.
1. Navigieren Sie zu **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen**.
1. Doppelklicken Sie **auf Domänencontroller: Erlauben Sie die Wiederverwendung von Computerkonten während des Domänenbeitritts.**
1. Wählen Sie **Diese Richtlinieneinstellung definieren und** aus.
1. Verwenden Sie die Objektauswahl, um Benutzer oder Gruppen vertrauenswürdiger Computerkontoersteller und -besitzer zur Berechtigung „**Zulassen**“ hinzuzufügen. (Als bewährte Methode empfehlen wir dringend, Gruppen für Berechtigungen zu verwenden.) **Fügen Sie nicht das Benutzerkonto hinzu, das den Domänenbeitritt durchführt.**
**Warnung**
Beschränken Sie die Mitgliedschaft in der Richtlinie auf vertrauenswürdige Benutzer und Dienstkonten. Fügen Sie dieser Richtlinie keine authentifizierten Benutzer, alle Benutzer oder andere große Gruppen hinzu. Fügen Sie stattdessen bestimmte vertrauenswürdige Benutzer und Dienstkonten zu Gruppen hinzu und fügen Sie diese Gruppen der Richtlinie hinzu.
1. Warten Sie auf das Aktualisierungsintervall der Gruppenrichtlinien oder führen Sie die Anwendung **gpupdate /force** auf allen Domänencontrollern aus.
1. Stellen Sie sicher, dass der Registrierungsschlüssel HKLM\$1 System\$1 CCS\$1 Control\$1 SAM — „ComputerAccountReuseAllowList“ mit der gewünschten SDDL gefüllt ist. **Bearbeiten Sie die Registrierung nicht manuell**.
1. Versuchen Sie, einem Computer beizutreten, auf dem die Updates vom 12. September 2023 oder höher installiert sind. Stellen Sie sicher, dass eines der in der Richtlinie aufgeführten Konten Eigentümer des Computerkontos ist. Stellen Sie außerdem sicher, dass der **NetJoinLegacyAccountReuse**Schlüssel in der Registrierung nicht aktiviert ist (auf 1 gesetzt). Wenn der Domänenbeitritt fehlschlägt, überprüfen Sie die **`c:\windows\debug\netsetup.log`**.
# Überwachung von selbstverwalteten Active Directory-Updates
Sie können den Fortschritt eines selbstverwalteten Active Directory-Konfigurationsupdates mithilfe der AWS-Managementkonsole, der API oder der überwachen AWS CLI, wie in den folgenden Verfahren beschrieben.
Wenn Sie die selbstverwaltete Active Directory-Konfiguration Ihres Dateisystems aktualisieren, wechselt der Status des Dateisystems während der Installation des Updates von **Verfügbar** zu **Aktualisierung**. Sobald das Update abgeschlossen ist, wechselt der Status wieder zu **Verfügbar.** Es kann mehrere Minuten dauern, bis ein Active Directory-Konfigurationsupdate abgeschlossen ist.
## Überwachung von Updates in der Konsole
Auf der Registerkarte **Updates** im Fenster mit den **Dateisystemdetails** können Sie die 10 neuesten Updates für jeden Updatetyp einsehen.
![\[Bildschirmfoto der Konsole mit der Liste der letzten Updates.\]](http://docs.aws.amazon.com/de_de/fsx/latest/WindowsGuide/images/fs-updates-panel.png)
Für selbstverwaltete Active Directory-Updates können Sie die folgenden Informationen einsehen.
****Art des Updates****
Folgende Typen werden unterstützt:
+ IP-Adresse des DNS-Servers
+ Anmeldeinformationen für das Dienstkonto
****Zielwert****
Der gewünschte Wert, auf den die Dateisystemeigenschaft aktualisiert werden soll. Bei Aktualisierungen der **Anmeldeinformationen für Dienstkonten** wird nur der Benutzername angezeigt. Kennwörter für Dienstkonten sind in diesem Feld nie enthalten.
****Status****
Der aktuelle Status des Updates. Für selbstverwaltete Active Directory-Updates sind die folgenden Werte möglich:
+ **Ausstehend** — Amazon FSx hat die Aktualisierungsanfrage erhalten, aber noch nicht mit der Bearbeitung begonnen.
+ **In Bearbeitung** — Amazon bearbeitet FSx die Aktualisierungsanfrage.
+ **Abgeschlossen** — Das Dateisystem-Update wurde erfolgreich abgeschlossen.
+ **Fehlgeschlagen** — Das Dateisystem-Update ist fehlgeschlagen. Wählen Sie das Fragezeichen (**?** ), um Details zum Fehler zu sehen.
****Fortschritt%****
Zeigt den Status der Dateisystemaktualisierung als% abgeschlossen an.
****Uhrzeit der Anfrage****
Der Zeitpunkt, zu dem Amazon die Anfrage zur Aktualisierungsaktion FSx erhalten hat.
## Überwachung von Updates mithilfe der AWS CLI AND-API
Mithilfe des [describe-file-systems](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html) AWS CLI Befehls und der [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API-Aktion können Sie laufende Aktualisierungsanforderungen für das Dateisystem anzeigen und überwachen. Das `AdministrativeActions` Array listet die 10 neuesten Aktualisierungsaktionen für jeden administrativen Aktionstyp auf.
Das folgende Beispiel zeigt einen Auszug der Antwort auf einen **describe-file-systems** CLI-Befehl. Die Ausgabe zeigt zwei selbstverwaltete Active Directory-Dateisystemupdates.
```
{
"OwnerId": "111122223333",
.
.
.
"StorageCapacity": 1000,
"AdministrativeActions": [
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1581694766.757,
"Status": "PENDING",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "serviceUser",
}
}
}
},
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1619032957.759,
"Status": "FAILED",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"DnsIps": [
"10.0.138.161"
]
}
}
},
"FailureDetails": {
"Message": "Failure details message."
}
}
],
.
.
.
```