Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Antes de unir una SVM FSx para ONTAP a un dominio de Microsoft AD autogestionado, asegúrese de que Active Directory y su red cumplen los requisitos descritos en las siguientes secciones.
Temas
Requisitos de Active Directory en las instalaciones
Asegúrese de que ya dispone de un Microsoft AD en las instalaciones u otro AD autogestionado al que pueda unirse la SVM. Este Active Directory debe tener la siguiente configuración:
-
El controlador de dominio de Active Directory tiene un nivel funcional de dominio de Windows Server 2000 o superior.
-
El Active Directory usa un nombre de dominio que no tiene el formato de dominio de etiqueta única (SLD). Amazon FSx no admite dominios SLD.
-
Si tiene sitios de Active Directory definidos, asegúrese de que las subredes de la FSx VPC asociadas al sistema de archivos de ONTAP estén definidas en los mismos sitios de Active Directory y de que no existan conflictos entre las subredes de la VPC y las subredes de los sitios de Active Directory.
nota
Si los utiliza AWS Directory Service, ya que ONTAP no admite FSx la unión a la versión simple de Active Directory. SVMs
Requisitos de configuración de la red
Asegúrese de tener las siguientes configuraciones de red y de disponer de la información asociada.
importante
Para que una SVM se una a Active Directory, debe asegurarse de que los puertos documentados en este tema permitan el tráfico entre todos los controladores de dominio de Active Directory y las dos direcciones IP iSCSI (interfaces lógicas iscsi_1 e iscsi_2 ()) en la SVM. LIFs
-
Las direcciones IP del servidor DNS y del controlador de dominio de Active Directory.
-
La conectividad debe estar configurada entre la Amazon VPC donde desea crear el sistema de archivos y el Active Directory autogestionado utilizando AWS Direct Connect
, AWS VPN o AWS Transit Gateway . -
El grupo de seguridad y la red ACLs de VPC de las subredes en las que va a crear el sistema de archivos deben permitir el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.
El rol de cada puerto se describe en la tabla siguiente.
Protocolo
Puertos
Rol
TCP/UDP
53
Sistema de nombres de dominio (DNS)
TCP/UDP
88
Autenticación de Kerberos
TCP/UDP
389
Protocolo ligero de acceso a directorios (LDAP)
TCP
445
Uso compartido de archivos SMB de Directory Services
TCP/UDP
464
Cambiar/establecer contraseña
TCP
636
Protocolo ligero de acceso a directorios sobre TLS/SSL (LDAP)
-
Estas reglas de tráfico también deberían reflejarse en los firewalls que se aplican a cada uno de los controladores de dominio, servidores DNS, clientes y administradores de Active Directory. FSx FSx
importante
Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las redes de VPC ACLs requieren que los puertos estén abiertos en ambas direcciones.
Requisitos de la cuenta de servicio de Active Directory
Asegúrese de que dispone de una cuenta de servicio en su Microsoft AD autogestionado que tenga permisos delegados para unir equipos al dominio. Una cuenta de servicio es una cuenta de usuario del Active Directory autoadministrado a la que se le delegó permiso para realizar determinadas tareas.
Como mínimo, se deben delegar en la cuenta de servicio los siguientes permisos en la OU a la que se va a unir a la SVM:
-
Capacidad de restablecer las contraseñas
-
Capacidad de restringir la lectura y escritura de datos en las cuentas
-
Capacidad de establecer la propiedad
msDS-SupportedEncryptionTypesen objetos de equipo -
Capacidad validada para escribir en el nombre de host del DNS
-
Capacidad validada para escribir en el nombre de entidad principal del servicio
-
Capacidad para crear y eliminar objetos del equipo
-
Capacidad validada para leer y escribir las restricciones de la cuenta
Estos representan el conjunto mínimo de permisos que se necesitan para unir objetos informáticos al Active Directory. Para obtener más información, consulte el tema Error de la documentación de Windows Server: se deniega el acceso cuando usuarios no administradores a los que se les ha delegado el control intentan unir equipos a un controlador de dominio
Para obtener más información acerca de la creación de una cuenta de servicio con los permisos correctos, consulte Delegar permisos a tu cuenta de FSx servicio de Amazon.
importante
Amazon FSx requiere una cuenta de servicio válida durante toda la vida útil del sistema de FSx archivos de Amazon. Amazon FSx debe poder administrar completamente el sistema de archivos y realizar tareas que requieran separar y volver a unir los recursos a su dominio de Active Directory. Estas tareas incluyen la sustitución de un sistema de archivos o SVM defectuoso o la aplicación de parches NetApp al software de ONTAP. Mantén tu información de configuración de Active Directory actualizada con Amazon FSx, incluidas las credenciales de la cuenta de servicio. Para obtener más información, consulte Mantener la configuración de Active Directory actualizada con Amazon FSx.
Si es la primera vez que utiliza AWS y FSx para ONTAP, asegúrese de completar los pasos de configuración iniciales antes de iniciar la integración con Active Directory. Para obtener más información, consulte Configuración FSx para ONTAP.
importante
No muevas los objetos de ordenador que Amazon FSx crea en la unidad organizativa después de crearlos, ni elimines Active Directory mientras el SVM esté unido a él. SVMs Si lo hace, se SVMs configurará mal.
