Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie die Dienstprinzipalnamen (SPNs) für Kerberos
Wir empfehlen Ihnen, bei der Übertragung mit Amazon die Kerberos-basierte Authentifizierung und Verschlüsselung zu verwenden. FSx Kerberos bietet die sicherste Authentifizierung für Clients, die auf Ihr Dateisystem zugreifen.
Um die Kerberos-Authentifizierung für Clients zu aktivieren, die FSx über einen DNS-Alias auf Amazon zugreifen, müssen Sie Service Principal Names (SPNs) hinzufügen, die dem DNS-Alias auf dem Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems entsprechen. Ein SPN kann jeweils nur einem einzigen Active Directory-Computerobjekt zugeordnet werden. Wenn Sie bereits einen DNS-Namen SPNs für das Active Directory-Computerobjekt Ihres ursprünglichen Dateisystems konfiguriert haben, müssen Sie ihn zuerst löschen.
Für die SPNs Kerberos-Authentifizierung sind zwei erforderlich:
HOST/aliasHOST/alias.domain
Wenn der Alias lautetfinance.domain.com, sind die folgenden beiden erforderlich: SPNs
HOST/finance HOST/finance.domain.com
Anmerkung
Sie müssen alle vorhandenen HOSTs löschen SPNs , die dem DNS-Alias auf dem Active Directory-Computerobjekt entsprechen, bevor Sie einen neuen HOST SPNs für das Active Directory (AD) -Computerobjekt Ihres FSx Amazon-Dateisystems erstellen. Versuche, Einstellungen SPNs für Ihr FSx Amazon-Dateisystem vorzunehmen, schlagen fehl, wenn im AD ein SPN für den DNS-Alias vorhanden ist.
In den folgenden Verfahren wird beschrieben, wie Sie Folgendes tun können:
Suchen Sie nach einem vorhandenen DNS-Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems.
Löschen Sie das vorhandene SPNs gefundene Objekt, falls vorhanden.
Erstellen Sie einen neuen DNS-Alias SPNs für das Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems.
Um das erforderliche PowerShell Active Directory-Modul zu installieren
-
Melden Sie sich bei einer Windows-Instance an, die mit dem Active Directory verbunden ist, mit dem Ihr FSx Amazon-Dateisystem verknüpft ist.
PowerShell Als Administrator öffnen.
Installieren Sie das PowerShell Active Directory-Modul mit dem folgenden Befehl.
Install-WindowsFeature RSAT-AD-PowerShell
So suchen und löschen Sie einen vorhandenen DNS-Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems
Wenn Sie für den DNS-Alias SPNs konfiguriert haben, den Sie einem anderen Dateisystem auf einem Computerobjekt in Ihrem Active Directory zugewiesen haben, müssen Sie diese zuerst entfernen, SPNs bevor Sie sie SPNs zum Computerobjekt Ihres Dateisystems hinzufügen können.
Suchen Sie mit den folgenden Befehlen nach vorhandenen Befehlen. SPNs
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])Löschen Sie den vorhandenen HOST, der im vorherigen Schritt SPNs zurückgegeben wurde, mithilfe des folgenden Beispielskripts.
alias_fqdnfile_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
Wiederholen Sie die vorherigen Schritte für jeden DNS-Alias, den Sie dem Dateisystem in Schritt 1 zugeordnet haben.
Zur Einstellung SPNs auf dem Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems
Stellen Sie SPNs das neue für Ihr FSx Amazon-Dateisystem ein, indem Sie die folgenden Befehle ausführen.
file_system_DNS_nameUm den DNS-Namen Ihres Dateisystems auf der FSx Amazon-Konsole zu finden, wählen Sie Dateisysteme, wählen Sie Ihr Dateisystem und dann auf der Seite mit den Dateisystemdetails den Bereich Netzwerk und Sicherheit.
Sie können den DNS-Namen auch in der Antwort auf den DescribeFileSystemsAPI-Vorgang abrufen.
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use one of the following commands, not both: Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} ##Or SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.NameAnmerkung
Das Einrichten eines SPN für Ihr FSx Amazon-Dateisystem schlägt fehl, wenn ein SPN für den DNS-Alias im AD für das Computerobjekt des ursprünglichen Dateisystems vorhanden ist. Informationen zum Suchen und Löschen vorhandener Dateien finden Sie SPNs unter. So suchen und löschen Sie einen vorhandenen DNS-Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems
-
Stellen Sie mithilfe des folgenden Beispielskripts sicher, dass die neuen für den DNS-Alias konfiguriert SPNs sind. Stellen Sie sicher, dass die Antwort zwei HOST
HOST/und SPNsaliasHOST/, wie zuvor in diesem Verfahren beschrieben, enthält.alias_fqdnfile_system_DNS_nameSie können den DNS-Namen auch in der Antwort auf den DescribeFileSystemsAPI-Vorgang abrufen.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
Wiederholen Sie die vorherigen Schritte für jeden DNS-Alias, den Sie dem Dateisystem in Schritt 1 zugeordnet haben.
