Prácticas recomendadas para trabajar con Oracle - FSx para ONTAP
Delegar permisos a tu cuenta de FSx servicio de AmazonMantenga actualizada la configuración de ADLimite el tráfico dentro de un VPC con grupos de seguridadCreación de reglas de grupos de seguridad de salida

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para trabajar con Oracle

Estas son algunas sugerencias y pautas que deberías tener en cuenta a la hora de unirte a Amazon FSx NetApp ONTAP SVMs para tu Microsoft Active Directory autogestionado. Tenga en cuenta que se recomiendan como prácticas recomendadas, pero no son obligatorias.

Delegar permisos a tu cuenta de FSx servicio de Amazon

Asegúrese de configurar la cuenta de servicio que proporciona a Amazon FSx con los permisos mínimos necesarios. Además, separe la unidad organizativa (OU) de otras cuestiones relacionadas con el controlador de dominio.

Para unir Amazon FSx SVMs a tu dominio, asegúrate de que la cuenta de servicio tenga permisos delegados. Los miembros del grupo de Administradores de dominio tienen permisos suficientes para realizar esta tarea. Sin embargo, como práctica recomendada, utilice una cuenta de servicio que solo tenga los permisos mínimos necesarios para hacerlo. El siguiente procedimiento muestra cómo delegar solo los permisos necesarios FSx para unirse ONTAP SVMs a tu dominio.

Realice este procedimiento en una máquina que esté unida a su directorio y que tenga instalado el MMC complemento Usuarios y equipos de Active Directory.

Para crear una cuenta de servicio para su dominio de Microsoft Active Directory

  1. Asegúrese de haber iniciado sesión como administrador de dominio de su dominio de Microsoft Active Directory.

  2. Abra el MMC complemento Usuarios y ordenadores de Active Directory.

  3. En el panel de tareas, expanda el nodo del dominio.

  4. Busque y abra el menú contextual (botón derecho) de la unidad organizativa que quiera modificar y, a continuación, elija Delegate Control (Delegar control).

  5. En la página Delegation of Control Wizard (Asistente de delegación de control), elija Next (Siguiente).

  6. Elija Add (Agregar) para agregar un usuario específico o un grupo específico para los usuarios y grupos seleccionados y, a continuación, elija Next (Siguiente).

  7. En la página Tareas que se delegarán, elija Crear una tarea personalizada para delegar y luego elija Siguiente.

  8. Elija Only the following objects in the folder (Sólo los siguientes objetos en la carpeta) y, a continuación, seleccione Computer objects (Objetos de equipo).

  9. Elija Create selected objects in this folder (Crear los objetos seleccionados en esta carpeta) y Delete selected objects in this folder (Eliminar los objetos seleccionados en esta carpeta). A continuación, elija Siguiente.

  10. En Mostrar estos permisos, asegúrese de seleccionar General y Específico de la propiedad.

  11. Para los Permisos, elija lo siguiente:

    • Restablecer contraseña

    • Leer y escribir las restricciones de la cuenta

    • Se validó la escritura en el nombre del DNS host

    • Escritura validada en el nombre de entidad principal del servicio

    • Escribe MSDs- SupportedEncryptionTypes

  12. Elija Siguiente y, a continuación, elija Finalizar.

  13. Cierre el MMC complemento Usuarios y ordenadores de Active Directory.

importante

No muevas los objetos de ordenador que Amazon FSx cree en la unidad organizativa una vez creados SVMs los tuyos. Si lo hace, se configurará mal. SVMs

Mantener la configuración de Active Directory actualizada con Amazon FSx

Para una disponibilidad ininterrumpida de tu Amazon FSxSVMs, actualiza la configuración SVM de Active Directory (AD) autogestionada de un servidor cuando cambies tu configuración de AD autogestionada.

Por ejemplo, suponga que su AD utiliza una política de restablecimiento de contraseñas basada en el tiempo. En este caso, tan pronto como se restablezca la contraseña, asegúrate de actualizar la contraseña de la cuenta de servicio con AmazonFSx. Para ello, utilice la FSx consola de Amazon FSxAPI, Amazon o AWS CLI. Del mismo modo, si las direcciones IP DNS del servidor cambian para su dominio de Active Directory, tan pronto como se produzca el cambio, actualice las direcciones IP DNS del servidor con AmazonFSx.

Si hay algún problema con la configuración de AD autogestionada actualizada, el SVM estado cambia a Misconfigured. Este estado muestra un mensaje de error y una acción recomendada junto a la SVM descripción en la consolaAPI, y. CLI Si se produce un problema con SVM la configuración de AD, asegúrese de tomar las medidas correctivas recomendadas para las propiedades de configuración. Si el problema se ha resuelto, comprueba que tu SVM estado cambie a Creado.

Para obtener más información, consulte Actualizar las configuraciones de SVM Active Directory existentes mediante AWS Management ConsoleAWS CLI, y API y Modifique una configuración de Active Directory mediante el ONTAP CLI.

Usa grupos de seguridad para limitar el tráfico dentro de tu VPC

Para limitar el tráfico de red en su nube privada virtual (VPC), puede implementar el principio de privilegios mínimos en suVPC. En otras palabras, puedes limitar los permisos al mínimo necesario. Para ello, utilice las reglas de los grupos de seguridad. Para obtener más información, consulte Grupos de VPC seguridad de Amazon.

Crear reglas de grupos de seguridad salientes para la interfaz de red del sistema de archivos

Para mayor seguridad, considere la posibilidad de configurar un grupo de seguridad con reglas de tráfico saliente. Estas reglas deben permitir el tráfico saliente sólo a sus controladores de dominios AD autogestionados o dentro de la subred o grupo de seguridad. Aplique este grupo de seguridad a la interfaz de red elástica VPC asociada a su sistema de FSx archivos de Amazon. Para obtener más información, consulte Control de acceso al sistema de archivos con Amazon VPC.