Überprüfen Sie Ihre Active Directory-Konfiguration - Amazon FSx für Windows-Dateiserver

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfen Sie Ihre Active Directory-Konfiguration

Bevor Sie ein Dateisystem FSx für Windows File Server erstellen, das mit Ihrem Active Directory verknüpft ist, empfehlen wir Ihnen, Ihre Active Directory-Konfiguration mit dem Amazon FSx Active Directory Validation Tool zu überprüfen. Beachten Sie, dass eine ausgehende Internetverbindung erforderlich ist, um die Active Directory-Konfiguration erfolgreich zu validieren.

Um Ihre Active Directory-Konfiguration zu überprüfen

  1. Starten Sie eine Amazon EC2 Windows-Instance im selben Subnetz und mit denselben VPC Amazon-Sicherheitsgruppen, die Sie für Ihr Dateisystem FSx für Windows File Server verwenden. Stellen Sie sicher, dass Ihre EC2 Instance über die erforderlichen AmazonEC2ReadOnlyAccess IAM Berechtigungen verfügt. Sie können die Rollenberechtigungen für EC2 Instanzen mithilfe des IAM Richtliniensimulators überprüfen. Weitere Informationen finden Sie unter Testen von IAM Richtlinien mit dem IAM Richtliniensimulator im IAMBenutzerhandbuch.

  2. Verbinden Sie Ihre EC2 Windows-Instance mit Ihrem Active Directory. Weitere Informationen finden Sie unter Manuelles Beitreten zu einer Windows-Instanz im AWS Directory Service Administratorhandbuch.

  3. Connect zu Ihrer EC2 Instance her. Weitere Informationen finden Sie unter Connecting to Your Windows Instance im EC2Amazon-Benutzerhandbuch.

  4. Öffnen Sie ein PowerShell Windows-Fenster (mit „Als Administrator ausführen“) auf der EC2 Instance.

    Verwenden Sie den folgenden Testbefehl, um zu testen, ob das erforderliche Active Directory-Modul für Windows installiert PowerShell ist.

    PS C:\> Import-Module ActiveDirectory

    Wenn oben ein Fehler zurückgegeben wird, installieren Sie es mit dem folgenden Befehl.

    PS C:\> Install-WindowsFeature RSAT-AD-PowerShell

  5. Laden Sie das Netzwerkvalidierungstool mit dem folgenden Befehl herunter. 

    PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"

  6. Erweitern Sie die ZIP-Datei mit dem folgenden Befehl.

    PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"

  7. Fügen Sie das AmazonFSxADValidation Modul zur aktuellen Sitzung hinzu.

    PS C:\> Import-Module .\AmazonFSxADValidation

  8. Stellen Sie die erforderlichen Parameter ein, indem Sie den folgenden Befehl durch Ihr ersetzen:

    • Active Directory-Domänenname (DOMAINNAME.COM)

    • Bereiten Sie das $Credential Objekt mit einer der folgenden Optionen für das Dienstkontokennwort vor.

      • Verwenden Sie den folgenden Befehl, um das Anmeldeinformationsobjekt interaktiv zu generieren.

        $Credential = Get-Credential

      • Verwenden Sie den folgenden Befehl, um das Anmeldeinformationsobjekt mithilfe einer AWS Secrets Manager Ressource zu generieren.

        $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))

    • DNSServer-IP-Adressen (IP_ADDRESS_1, IP_ADDRESS_2)

    • Subnetz-ID (s) für Subnetze, in denen Sie Ihr FSx Amazon-Dateisystem erstellen möchten (SUBNET_1, SUBNET_2, zum Beispiel). subnet-04431191671ac0d19

    PS C:\> 
$FSxADValidationArgs = @{
    # DNS root of ActiveDirectory domain
    DomainDNSRoot = 'DOMAINNAME.COM'

    # IP v4 addresses of DNS servers
    DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')

    # Subnet IDs for Amazon FSx file server(s)
    SubnetIds = @('SUBNET_1', 'SUBNET_2')

    Credential = $Credential
}

  9. (Optional) Legen Sie die Organisationseinheit und die Gruppe der Delegierten Administratoren fest und aktivieren Sie die Überprüfung der Dienstkontoberechtigungen DomainControllersMaxCount, indem Sie die Anweisungen in der mitgelieferten README.md Datei befolgen, bevor Sie das Überprüfungstool ausführen.

    Anmerkung

    Die Domain Admins Gruppe hat einen anderen Namen, wenn das Betriebssystem nicht auf Englisch ist. Die Gruppe ist beispielsweise Administrateurs du domaine in der französischen Betriebssystemversion benannt. Wenn Sie keinen Wert angeben, wird der Domain Admins Standardgruppenname verwendet und die Erstellung des Dateisystems schlägt fehl.

  10. Führen Sie das Validierungstool mit diesem Befehl aus.

    PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs

  11. Im Folgenden finden Sie ein Beispiel für ein erfolgreiches Testergebnis.

    Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...

Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    Das Folgende ist ein Beispiel für ein Testergebnis mit Fehlern.

    Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...

Name          DistinguishedName                                                         Site
----          -----------------                                                         ----
10.0.0.0/19   CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local   CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19  CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local  CN=SiteB,CN=Sites,CN=Configu...



Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}



Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}


PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    Wenn Sie beim Ausführen des Validierungstools Warnungen oder Fehler erhalten, finden Sie weitere Informationen in der Anleitung zur Fehlerbehebung, die im Validierungstoolpaket enthalten ist (TROUBLESHOOTING.md) undProblembehebung bei Amazon FSx.